MedikamentensucheApotheken-App gibt Gesundheitsdaten zu Werbezwecken weiter

Die App einer Online-Apotheke lässt Werbeunternehmen heimlich wissen, nach welchen Medikamenten ihre Nutzer:innen gesucht haben. Die Unternehmen können so Rückschlüsse auf den Gesundheitszustand einer Person ziehen und ein Profil anlegen.

Tresen einer altmodischen Apotheke mit Fläschchen und Mörser.
Bitten halten Sie Abstand und respektieren Sie die Privatsphäre der anderen Kund:innen. – Vereinfachte Pixabay Lizenz Michael Treu

Wer sich am Verkaufstresen einer Apotheke etwas betreten nach Hämorrhoiden-Salbe erkundigt, hätte wohl ungern einen Mitarbeiter von Facebook oder einer anderen Marketingfirma in Hörweite, der sich fleißig Notizen über Beschwerden und erworbene Medikamente macht. Genau dem setzen sich aber Kund:innen aus, die ihre Medikamente online über die App „Shop Apotheke“ kaufen.

Wie das Infoportal mobilsicher.de herausfand, gibt die App zahlreiche Daten an Dritte weiter. Facebook erfährt, nach welchen Medikamenten Nutzer:innen in der App gesucht haben. Diese Information lässt Rückschlüsse auf Erkrankungen und Behandlungsmethoden zu.

Das Unternehmen bekommt zwar nicht den Namen der Person, dafür aber die Werbe-ID, die Google und Apple über ihre App Stores an Kund:innen vergeben. So können die Werbekonzerne Nutzer:innen App-übergreifend identifizieren und anhand der gesammelten Daten ein Profil anlegen.

Profilbildung auch ohne Facebook-Konto

Dafür ist es nicht nötig, die „Shop Apotheke“-App mit einem Facebook-Konto zu verknüpfen. Vor einigen Jahren berichtete mobilsicher.de bereits, dass etwa ein Drittel aller Android-Apps so Daten an Facebook weiterleiten. Wer sich auf seinem Handy mal in der Facebook-App angemeldet hat, dessen Werbe-ID ist automatisch mit dem eigenen Facebook-Konto verknüpft, sodass der Werbekonzern oft gar keine Namen benötigt, um die Nutzer:innen einer anderen App einem Facebook-Konto zuzuordnen.

Das Marketing-Unternehmen LeanPlum bekommt neben der Information, nach welchen Medikamenten Nutzer:innen suchten, auch noch Informationen aus den Benutzerkonten, die nötig sind, um im Shop etwas zu bestellen. Die Firma bekommt laut mobilsicher.de Zugriff auf Vor- und Nachnamen, Ortsangaben und E-Mailadressen der Kund:innen.

Insgesamt nimmt die App zu neun Drittanbietern Kontakt auf. Die Anbieter fordern die Nutzer:innen nicht explizit auf, der Datenweitergabe zuzustimmen. Ziemlich versteckt in den Einstellungen gibt es die Möglichkeit, die Weitergabe für vier Firmen zu unterbinden. Es ist sehr zweifelhaft, ob dieses Vorgehen mit der Datenschutzgrundverordnung vereinbar ist, die für die Weitergabe derartiger Daten eine aktive Einwilligung vorsieht.

Das Team von mobilsicher.de stuft das Risiko für die Privatsphäre der Nutzer:innen als sehr hoch ein und rät davon ab, die App zu nutzen.

Es ist nicht das erste Mal, dass Apps wegen der Weitergabe von Gesundheitsdaten an Drittanbieter in die Kritik geraten. Gerade große Digitalkonzerne wie Facebook, Google, Apple oder Amazon wollen im Gesundheitsmarkt Fuß fassen und mit Gesundheitsdaten Geld verdienen. Wie Mitte Februar bekannt wurde, arbeitet Facebook aktuell an Smartwatches, um Gesundheits- und Fitnessdaten wie Herzfrequenzen selbst erheben zu können.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

7 Ergänzungen

  1. Na und? Hat jemand ernsthaft etwas Anderes erwartet? Die Libs von facebook und Co. haben sogenannte „Telemetrie“ eingebaut.

    Jede App, sogar deine Taschenlampe, kann und die meisten Apps senden persönliche Daten an die Anbieter und die großen Datensammler. Und obschon verboten, tun weder Behörden hier noch die EU da etwas Wirksames dagegen.

    Aber Uploadfilter, Umgehung von Verschlüsselung, Passworte klauen, Sicherheitslücken zum eigenen Nutzen und für Polizei und Geheimdienste verschweigen, Trojaner und Internetsperren, das können die. Das können die, obwohl mehrfach und immer wieder die Nutzlosigkeit und sogar Schädlichkeit belegt wird und ihnen immer wieder Alternativen angeboten werden.

    Dazu kommt, dass Spahn ja die Gesundheitsdaten sowieso der Wissenschaft (gemeint ist der Wirtschaft, wegen der Privatisierung) zur Verfügung stellen will. Deshalb brauchen wir e-Irgendwas unbedingt! Begründet wird das damit, dass man Simulationen mit KI für die Notfall-Ambulanz erstellen muss und es um neue Impfstoffe geht.

    „Wir retten Leben“ mit KI und Blockchain und absolut sicher pseudo-anonymisiert (sparen wir im Gesundheitswesen). Wie konnte die Menschheit bisher nur überleben? Die Tk hatte (oder hat?) eine nicht datenschutzkonforme „Gesundheits-App“. Vermutlich um (Ironie!) besser auf die Anforderungen zur Homöopathie reagieren zu können…

    Nebenbei, wenn die Wissenschaft oder die „bösen Hacker“ hier nicht bei Bedarf das Puzzle wieder deanonymisieren könnten, dann haben die vielleicht auch nicht die Kompetenz… Wie geht noch einmal wissenschaftliches Arbeiten? Googles KI trainieren, auf den Knopf drücken und warten, was heraus kommt? Geht es noch?

    Leute, es geht um Geld. Deine Daten sind das Öl des .. keine Ahnung, welches Jahr ist gerade? Egal, das gilt schon immer. Du bist das Produkt!

    Das mit dem Jahr war ein Witz. Klar soweit? Denn a) kapiert das jeder Blödmann, der nicht einmal das Jahr kennt und b) war beim letzten Blick auf den Kalender noch 2021. Oder? Moment… wo ist nur dieser blöde Kalender? Internet? Google? Alexa: welches Jahr haben wir? Smartphone ist auch schon alle. Hiiiillllfe! Alexa sagt: „Soll ich einen Krankenwagen rufen“ KI, ihr wisst schon…

    Tja, so ist das heute.

  2. Das sollte man nicht auf die leichte Schulter nehmen. Als netzpolitik.org-Leser wird man erstmal denken: »Eine weitere Datenschnorchel-App. Na und? Erzählt mal was Neues!«.

    Das hier ist aber anders. Das ist nicht einfach nur das »normale« Abschnorcheln, was wir (leider) schon gewöhnt sind. Es geht hier um Gesundheitsdaten, und die sind viel sensibler als alles andere. Es kann saugefährlich sein, wenn solche Daten in die falschen Hände geraten. Wenn wir als Gesellschaft das auch noch tolerieren, dann gute Nacht.

    Das ist ganz klar NICHT mit dt. Datenschutzrecht vereinbar. Gesundheitsdaten standen schon seit jeher unter besonderem Schutz, und das aus gutem Grund.

  3. Liebe Mitarbeiter bei Netzpolitik.org. Es sind mir inzwischen viel zu häufig Kommentare von mir nicht veröffentlicht worden. Nicht dass ich es als Recht betrachte, hier schreiben zu „dürfen“. Genau so wenig erwarte ich irgend eine Rechtfertigung. Mir ist auch klar, dass Moderation Zeit, Nerven und Geld kostet und einige Kommentare euch nicht „weiter bringen“. Bei der letzten Nichtveröffentlichung habe ich mich aber ganz ähnlich wie Felim Felim geäußert. Nur einen Tag früher, freilich in einem ganz anderen Stil.

    Nur, aus meiner Sicht habe ich keinen Anhaltspunkt, wie ich meine Kommentare hier verbessern kann. Ich weiß nicht einmal wieviel gelöscht wird, ob es anderen so geht wie mir. Liegt vielleicht ein technisches Problem vor? Habe ich versehentlich jemanden beleidigt oder gegen die Regeln verstoßen? Gibt es vielleicht eine maximale Zeichenzahl, die ein Post nicht überschreiten darf? Ist das einfach Zufall oder Überarbeitung? Mir kam schon der Gedanke, ihr könntet vielleicht Rosinen picken um die Kommunikation in eurem Sinn zu steuern – was natürlich absurd wäre.

    Vielleicht mögt ihr mich ja einfach nicht. Das ist okay. Doch das wäre vor Jahren schon mit einer kleinen Mail zu klären gewesen. Das hätte euch und mir Arbeit erspart.

    Falls ich mich nun nicht mehr melden sollte oder kann: Weiterhin viel Erfolg, danke für die vielen Informationen und nicht so viel Streß. Ihr seit es, die die Welt etwas besser machen.

    1. Es hat eher organisatorische Gründe. Da manchmal die Autoren der Texte nicht an allen Tagen der Woche arbeiten oder auch mal im Urlaub oder krank sind, bleiben noch nicht veröffentlichte Kommentare eine Weile ungelesen. Zudem entscheidet oft der Autor, was er als Ergänzung sieht und was nicht. Dadurch ist die Kommentarmoderation nicht bei allen Artikeln identisch. Grundsätzlich gilt aber: Wer eine freundliche, sachliche Sprache nutzt und am Inhalt des Artikels orientiert kommentiert und diesen ergänzt, wird auch nicht gelöscht. Aber es kann manchmal etwas dauern, ehe es freigeschaltet wird.

      1. Danke Constanze. Das mit „am Inhalt des Artikels orientiert“ steht ja so auch in den Regeln. Ich finde meine Sprache nicht unfreundlich, wohl manchmal ironisch, polemisch und überzeichnend. Ich finde, ich bin am Thema. Doch wie ihr wohl am Besten wisst, es ist kompliziert.

        Jeder Jeck ist eben anders und jeder blamiert sich so gut er kann. Manchmal kann ich die Löschung gut hinnehmen. Ich bin nicht immer so sicher oder verständlich. Dann kann ich euch auch mal dankbar sein mich vor Dummheit zu bewahren. Manchmal aber eben auch nicht. Dann bleibt ein Geschmack von Willkür oder persönlicher Vorliebe – die aber hier sicher nicht hingehört – meine ich. Denn wofür steht ihr denn?

        Wie gesagt, es ist klar euer Recht und vielleicht weit mehr im Sinn der Sache als meine Kommentare. Trotzdem bitte ich euch bei einer Kaffepause noch einmal darüber nachzudenken. Es ist auch eine Transparenzfrage.

        Ich mache es mir nicht leicht, hier etwas zu schreiben (was wohl Teil des Problems ist). Dumm? Von mir aus, klar, geschenkt. Tut mir Leid. Aber ich mache es mir nicht leicht.

        TL;DR: Ich will euch definitiv nicht stören. Eigentlich möchte ich auf meine (vielleicht seltsame) Art beitragen. Es ist nur etwas frustrierend, wenn das nun gar nicht gelingt.


        Und das müsst ihr jetzt nicht veröffentlichen oder kommentieren. Ich bin auf eurer Seite! Es geht ganz sicher nicht um mich.

        1. Es kann wirklich sehr lange dauern, und nicht immer gleichförmig. Ist eben kein Gleichschritt hier :).

          Soweit ich mit big big data ermitteln konnte, können Verzögerungen auch weitere Gründe haben.
          Z.B.: Moderator X fand den Text zum Zeitpunkt A nicht interessant genug, oder hat ihn nicht verstanden, oder ein anderer Text war vielversprechender, oder lässt den Text für Moderator Y/Z übrig. Moderator Y zum Zeitpunkt B, zu dem andere Posts schon hart aussortiert oder veröffentlicht waren, fand den Text hinreichend interessant, oder meinte ihn zu verstehen, und veröffentlichte ihn – bis zu … 3 Wochen später +-?

          Alles schon so ungefähr, äh, vermutet…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.