Shop Apotheke, Mayd, Docmorris: Apotheken-Apps geben sensible Nutzerdaten weiter

Mehrere Apps zur Bestellung von Medikamenten leiten sensible Nutzerdaten an Werbenetzwerke weiter. Das ergab eine Analyse von fünf Apotheken-Apps durch das Portal Mobilsicher.de. "Drei von fünf analysierten Apps gaben in unserem Test sämtliche Suchabfragen an andere Unternehmen weiter. Außerdem übermittelten sie Namen, Kontaktdaten, Angaben zum Wohnort und eindeutige Gerätedaten", hieß es.

Untersucht wurden demnach die Apps der Anbieter Shop Apotheke, Docmorris, Medpex, Cure und Mayd. Für den Test sei in jeder Apotheken-App ein Nutzerkonto mit Namen, Anschrift und Telefonnummer oder E-Mail-Adresse angelegt worden. Anschließend suchten die Tester zwei verschiedene Medikamente. Rezepte wurden hingegen nicht hochgeladen.

Am schlechtesten schnitten demnach die beiden Versandapotheken Shop Apotheke und Docmorris sowie der Lieferdienst Mayd ab. Die Shop Apotheke habe sämtliche Suchanfragen aus der App zusammen mit dem vollen Namen, der E-Mail-Adresse, dem Wohnort und der Werbe-ID an den US-amerikanischen Marketingdienst LeanPlum weitergegeben. Suchabfragen habe auch der Dienst Algolia erhalten, der einen Suchmaschinenservice und Nutzeranalyse anbietet. Neun Drittfirmen bezogen demnach Daten aus der Apotheken-App, zwei davon die Werbe-ID.

Docmorris leitete dem Test zufolge sämtliche Suchabfragen an das Unternehmen Omikron Data Quality weiter. Dieses biete Datenverwaltung und Nutzungsanalyse an. Insgesamt hätten sechs Drittfirmen Daten aus der App erhielten, drei davon die Werbe-ID.

Der Lieferdienst Mayd (Meds at your Doorstep) gab laut Mobilsicher.de sämtliche Suchwörter aus der App zusammen mit dem Straßennamen, der Hausnummer und der Postleitzahl an Google weiter. Der Analysedienst Braze Inc. habe Vor- und Nachnamen, die Postleitzahl sowie die eingegebenen Kontaktdaten (Telefonnummer, E-Mail-Adresse) erhalten. Das gesamte Datenpaket floss zudem an einen US-amerikanischen Dienst zur Nutzerdatenverwaltung und -analyse, Segment.io. Dorthin seien Name, Adresse, Kontaktdaten und Suchhistorie gegangen.

Besser schnitten die Dienste Cure und Medpex ab. Die Cure-App gab demnach Daten aus der App an drei andere Unternehmen weiter, Facebook erhielt die Werbe-ID. Suchbegriffe seien im Test nicht weitergegeben worden.

Medpex gebe Anwendern nach dem ersten Öffnen der App die Möglichkeit, die Nutzungsanalyse durch Google, Facebook und Adjust komplett abzuwählen. Allerdings habe in dem Test die Apotheken-App auch bei abgewählter Nutzeranalyse Kontakt zu den drei Firmen aufgenommen und jeweils die Werbe-ID übermittelt. Dieses Vorgehen soll nach Angabe des Anbieters jedoch nicht beabsichtigt sein.

Kritisch sehen die Tester auch die Datenschutzerklärungen der Anbieter. Diese seien extrem lang und verwiesen wiederum auf die Datenschutzerklärungen von Drittfirmen. Drei Apps gäben an, im Zusammenhang mit einem Kauf eine Bonitätsprüfung vorzunehmen.

Das Fazit der Tester: "Informationen darüber, für welche Medikamente man sich interessiert, lassen Rückschlüsse auf Erkrankungen und Behandlungsmethoden zu - insbesondere dann, wenn die gesamte Suchhistorie aus einer Apotheken-App, potenziell über Monate hinweg, zusammen mit dem Namen, Kontaktdaten oder aber eindeutigen Gerätedaten an Datensammler weitergegeben werden." Es sei daher für Verbraucher nicht wünschenswert, dass Apps diese Daten an Dritte übermittelten.

Nachtrag vom 29. April 2022, 17:52 Uhr

Ein Sprecher von Mayd räumte in einer Stellungnahme die Datenweitergabe an Google ein. Diese sei erforderlich, um den Fahrern den Zustellort anzeigen zu können. Mayd arbeite aber daran, "dass eine Weitergabe spezifischer Informationen zeitnah nicht mehr für die Funktionalität des Services nötig sein wird".

Anders als von Mobilsicher.de dargestellt, gebe Mayd jedoch keine kompletten Adressdaten an Braze weiter. "Es wird lediglich die jeweilige Postleitzahl an Braze übermittelt - dies dient etwa der Anzeige der örtlichen Öffnungszeiten oder spezifische Angeboten und Rabattaktionen, welche von Stadt zu Stadt variieren können", hieß es.

An Segmento.io wird der Darstellung zufolge lediglich die Postleitzahl einer Bestellung übermittelt. Mit Segment tracke Mayd primär sogenannte In-App Events, wie etwa das Tätigen eines Kaufs, erklärte der Sprecher. Sämtliche Daten bei Segment würden nach sieben Tagen gelöscht.