Irgendwie haben wir uns daran gewöhnt, im Internet beobachtet zu werden. Aber gerade beim Bestellen von Medikamenten bei einer Online-Apotheke würde man doch denken, dass Diskretion und Datenschutz da ganz besonders großgeschrieben werden. Das scheint aber nicht so zu sein, wie das Portal "mobilsicher.de" kürzlich herausgefunden hat.
Was genau wurde entdeckt?
Es wurden die Android-Versionen der Apps von fünf großen Online-Apotheken gecheckt. Dies waren die von Shop-Apotheke, DocMorris, MAYD, medpex und Cure. Bis auf die von medpex geben alle Daten in großem Umfang an andere Unternehmen weiter. Bei der App von medpex kann man die Weitergabe ausschalten.
Welche Daten werden weitergegeben?
Am schlechtesten schnitten die Apps von Shop-Apotheke, Doc Morris und MAYD ab. Unter anderem werden Daten darüber weitergegeben, nach welchen Medikamenten gesucht wurde. Auch der volle Name, die E-Mail-Adresse, der Wohnort und eine sogenannte Werbe-ID bleiben nicht privat. Die App von DocMorris fragt sogar den ungefähren Standort ab und leitet ihn weiter. Das alles sind Daten, die weitergeben, wer da nach was sucht. Und es sind so auch Rückschlüsse auf eine Erkrankung möglich.
Was ist denn diese Werbe-ID?
Dabei handelt es sich um ein eindeutiges Kennzeichen für das benutzte Gerät (also das Android-Smartphone). Über diese ID können die Empfänger der Daten z. B. zusammenstellen, wonach jemand in verschiedenen Apps oder Websites gesucht hat. Die Kombination aus einer Suche nach Kopfschmerztabletten, einer Creme gegen Pilzinfektionen (beides aus der Apotheken-App), der Suche nach einem Getränke-Lieferdienst in einer Suchmaschine und der Nutzung einer von Dating-App könnte darauf schließen lassen, dass diese Person offenbar gerne feiert. Diese Werbe-ID wird von Google vergeben und ist fest mit einem Gerät und damit einem Nutzer verbunden.
An wen gehen die Daten?
Die Daten-Empfänger sind z. B. Dienstleister, die die Nutzerdaten auswerten, Facebook, Google und viele andere. Man muss davon ausgehen, dass die, eben weil auch die Werbe-ID mit dabei ist, die Daten zur Profilbildung nutzen. Dem Profil zugeordnet werden kann dann zum Beispiel: Was kauft die oder der regelmäßig? Wonach sucht die Person häufig? Wo wohnt sie? Und weil eben an einige auch der Name und die E-Mail-Adresse gehen, bekommen die Datensammler ein ziemlich präzises Bild. Diese Daten können weiter verkauft werden. Denkbar wären Versicherungen, andere Online-Händler oder auch Finanzdienstleister.
Sind iPhones auch betroffen?
mobilsicher.de hat das nicht überprüft. Die Prüf-Software "AppChecker" verfolgt lediglich Daten-Verbindungen bei Android-Geräten nach und funktioniert bei iPhone-Apps nicht. Man kann aber davon ausgehen, dass das bei iPhones ähnlich ist. Eine Ausnahme gibt es: Die Weitergabe der Werbe-ID an Dritte lässt sich im iPhone in den Einstellungen abschalten.
Autor: Michael Stein
Redaktion: Jan Friese
Service Computer ist eine Rubrik in der WDR 5 Sendung Neugier genügt und ist dort jeden ersten Dienstag im Monat zwischen 10.04 Uhr und 12.00 Uhr zu hören.
