Ratgeber

Diese Apps verraten, welche Medikamente du suchst

Ein Artikel von , veröffentlicht am 27.04.2022
Medikamente lassen sich per App nach Hause bestellen. Foto: iStock

Medikamente per App nach Hause bestellen – das geht über Versandapotheken und neuerdings auch per Lieferdienst. Dabei werden Daten aus den Apps auch an Dritte gesendet. Wir haben fünf beliebte Android-Apps analysiert.

Migränetabletten, Nikotinpflaster oder Schlafmittel lassen sich in der Apotheke an der Ecke anonym einkaufen. Um Medikamente online zu bestellen, muss man dagegen seinen Namen und die Lieferadresse angeben. Dabei erfahren Dienstleister, wofür man sich interessiert und was man wann bestellt.

Unsere aktuelle Testreihe zeigt: Anbieter von Online-Services behalten diese Informationen nicht für sich. Drei von fünf analysierten Apps gaben in unserem Test sämtliche Suchabfragen an andere Unternehmen weiter. Außerdem übermittelten sie Namen, Kontaktdaten, Angaben zum Wohnort und eindeutige Gerätedaten.

Diese Apps haben wir analysiert

 

Unser Testsystem: AppChecker

  • Unser AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet er sich zwischen App und Internet und zeichnet auf, welche Daten Apps erheben und weitergeben. Mehr in diesem Video.
  • Wir vergeben einen Privacy-Score von 1 (sehr gut) bis 5 (sehr kritisch) an Apps. Die Testberichte finden Sie auf appcheck.mobilsicher.de.

 

Testbedingungen:

Wir haben in jeder Apotheken-App ein Nutzerkonto mit Namen, Anschrift und Telefonnummer oder E-Mail-Adresse angelegt. Anschließend haben wir zwei verschiedene Medikamente gesucht. Wir haben kein Rezept in den Apps hochgeladen. Mit Ausnahme der CURE-App fragte keine App den Standort ab, hier haben wir ihn freigegeben.

Die Testergebnisse

Am schlechtesten schnitten die beiden Versandapotheken SHOP APOTHEKE und DocMorris sowie der Lieferdienst MAYD ab.

Die SHOP APOTHEKE gab sämtliche Suchanfragen aus der App zusammen mit dem vollen Namen, der E-Mail-Adresse, dem Wohnort und der Werbe-ID an den US-amerikanischen Marketingdienst LeanPlum, Inc. weiter. Suchabfragen erhielt auch der Dienst Algolia Inc., der einen Suchmaschinen-Service und Nutzeranalyse anbietet. Insgesamt erhielten neun Drittfirmen Daten aus der Apotheken-App, zwei davon die Werbe-ID.

DocMorris gab sämtliche Suchabfragen an das Unternehmen Omikron Data Quality GmbH weiter, das Datenverwaltung und Nutzungsanalyse anbietet. Insgesamt erhielten sechs Drittfirmen Daten aus der App, drei davon die Werbe-ID.

Der Lieferdienst MAYD, der 2021 in Berlin gegründet wurde, gab sämtliche Suchwörter aus der App zusammen mit dem Straßennamen, der Hausnummer und der Postleitzahl an Google weiter. Der Analysedienst Braze Inc. erhielt den Vor- und Nachnamen, die Postleitzahl sowie die eingegebenen Kontaktdaten (Telefonnummer, E-Mail-Adresse). Ein noch größeres Datenpaket erhielt ein US-amerikanischer Dienst zur Nutzerdatenverwaltung und -analyse, Segment.io. Dorthin gingen Name, Postleitzahl, Kontaktdaten und Suchhistorie. Insgesamt erhielten sechs Drittfirmen Daten von MAYD.

Die Liefer-App Cure gab Daten aus der App an drei andere Unternehmen weiter, Facebook erhielt die Werbe-ID. Suchbegriffe wurden im Test nicht weitergegeben.

So funktioniert die Werbe-ID:

  • Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Android-Gerät eindeutig ist. Analysedienste, die die Werbe-ID erhalten, erfahren den App-Namen und wann die App genutzt wird. Eigentlich dient die Nummer der Anonymisierung der Nutzer*innen: So kann personenbezogene Werbung geschaltet werden, ohne genau zu wissen, wer die App verwendet.
  • In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch oft zusammen mit anderen Daten aus, sodass anschließend doch klar ist, zur welcher Person die Werbe-ID gehört. Bilden Datenhändler Profile rund um die Werbe-ID, können die daraus abgeleiteten Interessen, Vorlieben und Standorte einer realen Person zugeordnet werden, von der häufig sogar Kontakt- und Adressdaten vorliegen.
  • Ab Android 12 kann die Werbe-ID in den Geräte-Einstellungen gelöscht werden. Der Marktanteil für diese Betriebssystemversion, die im Herbst 2021 erschien, ist aktuell jedoch noch sehr klein.

Die Versandapotheke Medpex gibt Anwender*innen nach dem ersten Öffnen der App die Möglichkeit, die Nutzungsanalyse komplett abzuwählen. Tippt man im ersten Fenster statt auf „Zustimmen“ auf „Einstellungen“, werden die Analysedienste von Google, Facebook und Adjust auf der Nutzeroberfläche deaktiviert.

Ärgerlich: In unserem Test nahm die Apotheken-App auch bei abgewählter Nutzeranalyse Kontakt zu den drei Firmen auf und übermittelte jeweils die Werbe-ID. Auf Anfrage von mobilsicher.de teilten die Anbieter mit, dass dieses Verhalten der App so nicht beabsichtigt sei und sie dem Hinweis nachgehen würden.

Sollte die App entsprechend überarbeitet werden, wäre sie – bei abgewählter Nutzungsanalyse – empfehlenswert, da sie ansonsten keinerlei Daten ausliest oder versendet. Bei einem Update der App werden wir davon berichten.

Update 18.05.2022: Die Fehler in der Tracking-Abwahl bei medpex wurden behoben, sodass wir die App jetzt empfehlen können. Hier geht's zum aktuellen Testbericht.

Das sagen die Datenschutzerklärungen

Die Datenschutzerklärungen aller geprüften Apps sind extrem lang und verweisen wiederum auf die Datenschutzerklärungen von Drittfirmen. Bei einigen verlinkten Analysefirmen kann man der Datenverarbeitung über deren Webseiten widersprechen.

Die in den Datenschutzerklärungen genannten Drittfirmen entsprechen nur teilweise den Dienstleistern, die wir in unseren Tests identifiziert haben. Manche von ihnen werden nicht genannt, dafür aber andere, die wir in den Tests nicht sehen konnten.

Während die Datenschutzerklärung der Cure-App im Abschnitt zu den personenbezogenen Daten plötzlich abbricht und zum Teil nicht funktionierende Links setzt, ist die Erklärung von Medpex besonders übersichtlich. Allerdings wird hier die Werbe-ID als anonyme Kennnummer/Pseudonym eingeordnet, was schon lange nicht mehr der Realität entspricht (siehe Abschnitt "So funktioniert die Werbe-ID").

Drei Apps geben an, im Zuge eines Kaufs eine Bonitätsprüfung vorzunehmen. Medpex und DocMorris nennen explizit den dafür beauftragten Dienstleister, Cure nennt die Praxis nur allgemein. SHOP APOTHEKE und MAYD machen keine Angaben zur Bonitätsprüfung von Nutzer*innen.

Fazit

Informationen darüber, für welche Medikamente man sich interessiert, lassen Rückschlüsse auf Erkrankungen und Behandlungsmethoden zu – insbesondere dann, wenn die gesamte Suchhistorie aus einer Apotheken-App, potenziell über Monate hinweg, zusammen mit dem Namen, Kontaktdaten oder aber eindeutigen Gerätedaten an Datensammler weitergegeben werden. Es ist daher für Verbraucher*innen nicht wünschenswert, dass Apps diese Daten an Dritte übermitteln.

Die SHOP APOTHEKE, DocMorris und MAYD können wir in der aktuellen Version aus diesem Grund nicht empfehlen. Da die CURE-App mit dem Facebook-Analysedienst einen der größten Datensammler überhaupt einbindet, raten wir auch von ihrer Verwendung ab.

Sollte die Versandapotheke Medpex ihre angekündigte Überarbeitung umsetzen und die Analysedienste nach Abwahl auf der Nutzeroberfläche deaktivieren, können wir die App mit dieser Einschränkung empfehlen.

Wirklich verbraucher*innenfreundlich wäre jedoch eine Apotheken-App, in der Analysedienste nicht erst abgewählt werden müssen. Nutzer*innen sollten davon ausgehen dürfen, dass ihr Verhalten beim Einkaufen von Medikamenten nicht verfolgt wird – genau wie in der analogen Apotheke.

[Update (02.05.2022): In einer früheren Version des Textes hieß es, das Unternehmen Segment.io erhalte die gesamte Anschrift aus der MAYD-App, tatsächlich ist es aber nur die Postleitzahl. Wir haben dies korrigiert. Die beiden Unternehmen Algolia Inc. (SHOP APOTHEKE) und Omikron Data Quality GmbH (DocMorris) bieten nicht nur Nutzungsanalyse, sondern auch einen Suchmaschinendienst bzw. Datenmanagement-Services an. Wir haben dies im Text konkretisiert.]

 

Tracking stoppen per App

  • Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.
  • Die App Blokada (Android und iOS) erkennt viele Tracking-Verbindungen und blockiert sie.
  • Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Seit 2022 baut sie für den ITUJ e.V. ein Team gegen digitale Gewalt auf. Mehr Infos dazu unter: www.ein-team.org. Davor leitete sie die Redaktion bei mobilsicher.de, recherchierte und schrieb Texte, gab Beiträgen von anderen den letzten Schliff und betreute den YouTube-Kanal.

Weitere Artikel

Ratgeber 

Datenschutzrisiken bei Internet-Browsern: Cookies & Caches

Wer Webseiten auf seinem Smartphone oder Tablet ansteuert, macht das mit einem Browser. Hinter den Kulissen sollen Cookies und Caches das Surfen erleichtern. Doch zugleich kann damit das Surfverhalten der Nutzer ausgespäht werden.

Mehr
YouTube-Video 

Tech-Wissen: Brauche ich einen Virenscanner?

Wer eine Anti-Viren-App für Android sucht, findet im Google Play-Store viel Auswahl. Doch wann sind sie überhaupt hilfreich? Und warum gibt es keine für iPhones? Im Video klären wir alle wichtigen Fragen rund um Sicherheits-Software fürs Smartphone.

Ansehen
Ratgeber 

Apps des Monats – die spannendsten im September

Samsung-Handys kindersicher machen, Lehrer*innen den digitalen Unterricht erleichtern und Fahrpläne in ganz Deutschland anzeigen - das können unsere Apps des Monats. Außerdem im Visier: die Bezahldienste Google Pay und Paypal.

Mehr
YouTube-Video 

3 Argumente gegen den Bezahldienst Google Pay

Mit Google Pay können Sie an der Kasse und in Apps bezahlen. Dabei holt der Dienst sich Daten und Verwertungsrechte, mit denen der Google-Konzern eine globalen Kreditauskunft werden könnte. Was er laut Datenschutzerklärung alles darf, erfahren Sie im Video.

Ansehen