Analyse von Usercentrics

EU-Arzneimittelversender verstoßen gegen DSGVO

Traunstein - 29.03.2022, 17:50 Uhr

Ein Münchener Start-up hat im Februar 2022 EU-weit Apotheken-Webshops gescannt: Halten sie die DSGVO-Anforderungen an eine gültige Cookie-Einwilligung ein? (x / Foto: DatenschutzStockfoto / AdobeStock)

Jeder Internet-Nutzer kennt die Frage, ob er mit der Nutzung von sogenannten Cookies einverstanden ist. Diese kleinen Textdateien sollen einerseits das Surfen erleichtern, indem zum Beispiel die Website bereits die Login-Daten kennt, andererseits werden damit Informationen über den Besucher gesammelt. Mit dem Einholen der Genehmigung scheinen es die meisten EU-Arzneimittelversender allerdings nicht so genau zu nehmen – das legt zumindest eine Analyse des Münchener Start-ups Usercentrics nahe.

Das Münchener Unternehmen Usercentrics unterstützt mit seiner Consent Management Platform (CMP) Unternehmen dabei, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu erfüllen. Offenbar bislang keine Kunden sind die 150 „beliebtesten Online-Apotheken in der EU“, deren Websites Usercentrics nun unter die Lupe genommen hat. Um zu prüfen, inwieweit diese die Anforderungen der DSGVO an eine gültige Cookie-Einwilligung einhalten, wurden im Februar 2022 die Apotheken-Webshops gescannt.

Die Vorgehensweise wird in der Marktanalyse mit dem Titel „EU-Online-Apotheken: Wie DSGVO-Verstöße das Vertrauen der Kunden aufs Spiel setzen“ folgendermaßen beschrieben: Eingesetzt wurde der Cookiebot CMP-Scanner; dieser erkennt, ob Cookies oder andere Tracking-Technologien bereits beim Besuch einer Website aktiviert werden, noch bevor der Nutzer dazu seine Einwilligung gegeben hat. „Dazu führt er eine vollständige Simulationen eines Website-Besuchs mehrerer Nutzer durch, um sämtliche Cookies und Tracking-Technologien zu erkennen, die auf der gesamten Website einschließlich aller Unterseiten aktiv sind.“ Für die Analyse wurden Scans auf allen Unterseiten jeder Apotheken-Webshop-Domain durchgeführt, für jede Domain wurden bis zu 10.000 Seiten analysiert – das entspricht einem Gesamtscan von 1.089.438 Seiten.

Was ist ein „notwendiges“ oder „nicht notwendiges Cookie“?

Ein „notwendiges Cookie“ ist jede Art von Cookie, das für die grundlegenden Funktionen der Website erforderlich ist, z. B. Cookies, die Benutzeranmeldungen oder den Inhalt von Warenkörben auf einer Domain verwalten. Ein „nicht notwendiges Cookie“ ist jede Art von Cookie, das für die grundlegenden Funktionen einer Website nicht unbedingt erforderlich ist. Cookies, die personenbezogene Daten von Nutzern erfassen, um z. B. die Sprachpräferenz bei verschiedenen Besuchen oder die Wahl der Währung zu speichern, Analysedienste zu erbringen oder Marketing und digitale Werbung zu betreiben, werden als nicht notwendige Cookies eingestuft.

^{(Quelle: Usercentrics)}

Welche Arzneimittelversender konkret getestet wurden, geht aus dem Bericht nicht hervor. Dort steht lediglich: „Die 150 EU-Webshops wurden aus den Top-Ergebnissen bei Google in zehn EU-Mitgliedstaaten ausgewählt – mit einer durchschnittlichen Größe von 7.078 Unterseiten und einem durchschnittlichen monatlichen Traffic von 495.000 Besuchen – und gehören zu den beliebtesten Websites der Online-Apothekenbranche der jeweiligen Region oder des jeweiligen Landes.“ Welche Versender konkret dabei waren, wollte Usercentrics auch auf Anfrage der DAZ nicht mitteilen. Der Grund dafür sei, dass man Unternehmen und Branchen, insbesondere jene, die mit sensiblen Daten umgehen, „in erster Linie dafür sensibilisieren (möchte), dass es noch erhebliche Mängel in Bezug auf die Datenschutzgrundverordnung gibt. Keinesfalls aber sollen die Unternehmen potenziellen Abmahnanwälten präsentiert werden.“ Klar ist aber, dass aufgrund des Auswahlverfahrens die „Großen“ der Branche auf jeden Fall mit dabei sind.