Experteninterview mit Miriam Ruhenstroth (Mobilsicher.de)

Datenhandel bei DocMorris und Shop Apotheke Alexander Müller, 05.05.2022 09:49 Uhr

Versandapotheken geben Kundendaten weiter – Interview mit Miriam Ruhenstroth von MOBILSICHER.DE
Mobilsicher.de hat verschiedene Apps von Versandapotheken und Lieferdiensten getestet.
Berlin - 

Die Apps von Versandapotheken und Lieferdiensten geben die Daten über gesuchte Medikamente an Drittanbieter weiter. Miriam Ruhenstroth und das Team von Mobilsicher.de haben den zweifelhaften Datenverkehr analysiert. Im Gespräch mit APOTHEKE ADHOC berichtet Ruhenstroth, weshalb sie Shop Apotheke und DocMorris dabei Absicht unterstellt und warum sich Apotheken ihre Verträge mit Lieferdiensten lieber ganz genau ansehen sollten.

Mobilsicher.de hat die Software „App-Checker“ entwickelt, mit der Android-Apps systematisch analysiert werden können. Im Apothekentest wurden die Versender Shop Apotheke, DocMorris und Medpex sowie die Lieferdienste Mayd und Cure unter die Lupe genommen. Die fünf Apps wurden dazu auf dem präparierten Smartphone installiert, so dass der erzeugte Datenverkehr über einen angeschlossenen Computer ausgelesen werden konnte. „Wir analysieren nicht nur, wohin gesendet wird, sondern auch was, das heißt, wir gucken in die Datenpakete rein“, erklärt Ruhenstroth.

Der entscheidende Unterschied zu anderen Shopping-Apps: Wenn man in einer Apotheken-App nach Medikamenten sucht, sagt das auch etwas aus über den eigenen Gesundheitszustand. „Deswegen haben wir insbesondere darauf geguckt, wie mit den eingegebenen Suchbegriffen umgegangen wurde. Und da waren wir wirklich schon sehr überrascht und auch ein bisschen schockiert, dass drei dieser getesteten Apps die Suchbegriffe nicht nur selbst speichern, sondern auch an Drittfirmen weitergeben. Das hätten wir so nicht erwartet, dass da so locker mit umgegangen wird. Denn das fällt nach unserer Auffassung unter den Tatbestand Gesundheitsdaten, die besonders geschützt sind.“

DocMorris und Shop Apotheke ignorieren Kritik

Shop Apotheke und DocMorris sowie Mayd waren besonders freigiebig mit den gesammelten Daten – und bei den Versendern glaubt Ruhenstroht nicht an ein Versehen. Denn die seien schon vor einem halben Jahr mit den Erkenntnissen von Mobilsicher.de konfrontiert worden. „Die wissen von dieser Kritik – und interessieren sich gar nicht dafür. Das ist Absicht.” Solche Unternehmen würden sich nur bewegen, wenn sie vom Gesetz dazu gezwungen würden. Also wäre es vielleicht in diesen Fällen angebracht, die Datenschutzbehörden einzuschalten.

Mayd dagegen habe sich nach dem Test gemeldet und die Kritik durchaus zur Kenntnis genommen, dass zum Beispiel Medikamentennamen eigentlich nicht an Drittanbieter übertragen werden sollen, berichtet Ruhenstroth. Durch mehr Transparenz auf ein verändertes Verhalten bei den App-Anbietern hinzuwirken, das ist die Hoffnung von Mobilsicher.de.

Gerade die Geschäftsmodelle der Lieferdienste fußen auf einer Zusammenarbeit mit Apotheken vor Ort. Und die könnten je nach Vertrag mit dem App-Anbieter durchaus mit in der Haftung sein, was die Verarbeitung dieser Daten betrifft. „Es kann sein, dass der Lieferdienst ein reiner Auftragnehmer ist, dann wäre tatsächlich die Apotheke selbst in der Haftung und dafür zuständig, was mit den Daten passiert, es kann aber auch andere Vertragsstrukturen geben. Ich kann alle teilnehmenden Apotheken nur auffordern, das zu prüfen, ob sie mit dem Datenverarbeitungsverhalten ihrer Dienstleister einverstanden und als Daten-Controller mit in der Haftung sind“, so Ruhenstroth.

Verbraucher:innen würden bei der Nutzung der App davon ausgehen, dass sie beispielsweise mit Shop Apotheke im Geschäft seien – und nicht mit einem amerikanischen Marketingdienstleister. Letzterer erfahre damit, dass die Person beispielsweise nach einem Krebsmedikament gesucht habe und könne das auch zuordnen. Denn zusammen mit dem Medikamentennamen würden Kennnummern erfasst, was Rückschlüsse ermögliche. „Es gibt einen Grund, warum der Gesundheitszustand eine besonders geschützte Information ist, weil das für alles Mögliche genutzt werden kann“, so Rohenstroth.

Und was passiert mit den Daten? Die US-Firmen, an die bei der Untersuchung die Daten weitergegeben werden, bieten den App-Betreibern beispielsweise an, die übermittelten Nutzerdaten mit Künstlicher Intelligenz (KI) zu analysieren und teilen wiederum dem App-Betreiber mit, welche anderen Produkte dieser Nutzer auch noch kaufen würde.

Missbrauch nicht ausgeschlossen

„Aber diese Drittfirma könnte mit den Daten natürlich auch noch ganz andere Sachen machen“, erklärt Ruhenstroth. Das reiche vom Weiterverkauf an Firmen, die ihrerseits gezielt Werbung machen möchten, bis hin zu Arbeitgebern, Recruitern, Kreditdienstleistern oder Versicherungen. „Da gibt es durchaus Begehrlichkeiten.“ Zwar versuche der Gesetzgeber, Grenzen zu ziehen, das sei aber gar nicht so leicht, zumal wenn die Daten – wie im Fall der Apotheken-Apps – Europa verlassen.

Zusammen mit dem Medikamentennamen wurde im Test häufig die sogenannte Werbe-ID übermittelt. Dabei handelt es sich um eine eindeutige Kennnummer für jedes Android-Gerät, die bei Erstellen eines Google-Kontos automatisch angelegt wird. Mobilsicher.de bietet auf der eigenen Seite detaillierte Informationen zur Werbe-ID und wie man sie löscht.

In den Datenschutzbestimmungen der Apps werden die Empfänger der Daten nicht immer namentlich genannt. Und auch welche Daten genau erfasst und weitergegeben werden, sei ohne technischen Aufwand nicht ersichtlich. „Das Problem ist, und deswegen haben wir den App-Checker gebaut, dass man als Nutzerin oder Nutzer diesen Datentransfer nicht sieht.“

Hinter Mobilsicher.de steht der Verein iRights.info, der sich aus Spenden, Zuwendungen und Auftragsarbeiten finanziert. Die Plattform wird aufgrund eines Bundestagsbeschlusses durch das Bundesverbraucherministerium gefördert.