Analyse von Usercentrics

EU-Arzneimittelversender verstoßen gegen DSGVO

Traunstein - 29.03.2022, 17:50 Uhr

Ein Münchener Start-up hat im Februar 2022 EU-weit Apotheken-Webshops gescannt: Halten sie die DSGVO-Anforderungen an eine gültige Cookie-Einwilligung ein? (x / Foto: DatenschutzStockfoto / AdobeStock)

Ergebnis ist „beunruhigend“

Das Ergebnis ist laut Usercentrics „beunruhigend“:

89 Prozent der 150 beliebtesten Online-Apotheken in der EU verstoßen gegen die DSGVO, da sie mindestens ein (nicht notwendiges) Cookie ohne Einwilligung der Endnutzer setzen. In der DACH-Region sind es sogar 94 Prozent.
55 Prozent aller nicht notwendigen Cookies wurden nicht rechtskonform eingesetzt, das heißt bereits beim Besuch der Website ohne jegliche Zustimmung der Nutzer aktiviert.
62 Prozent der Cookies, die ohne Einwilligung der Nutzer gesetzt werden, sind Marketing-Cookies von Drittanbietern.

In Deutschland setzten sämtliche gescannten Domains mindestens ein nicht notwendiges Cookie ohne Einwilligung des Nutzers, im Durchschnitt waren es 14,3 nicht notwendige Cookies.

Datenprofil zur Gesundheit des Nutzers

Konkret genannt werden folgende personenbezogene Daten, die beim Besuch dieser 150 Online-Apotheken von in der EU ansässigen Personen generiert und verarbeitet werden:

Details über die gekauften oder angesehenen Produkte
der Such- und Browserverlauf
das Verhalten auf der Webseite (z. B. die Geschwindigkeit des Scrollens und die Klicks)
die zuvor besuchten Websites
die zuvor gegoogelten Suchbegriffe
die IP-Adressen und andere Kennungen

„All diese Informationen können zu detaillierten Datenprofilen über jeden einzelnen Nutzer zusammengefasst werden, die konkret darüber Auskunft geben, wer er ist, wie es ihm vermutlich geht und wie es möglicherweise um seine körperliche oder geistige Gesundheit steht“, heißt es dazu.

Wie funktionieren Cookies?

Cookies sind in der Regel kleine Dateien, die durch den Browser eines Endnutzers auf dem Endgerät gespeichert werden, wenn dieser eine Website besucht. Hier werden Informationen (oft personenbezogene Daten) über den Endnutzer gesammelt, verarbeitet und weitergegeben, um Analysedienste über die Leistung der Website zu nutzen oder Marketingkampagnen auf der Domain durchzuführen. Einige Cookies, wie z. B. Marketing-Cookies von Drittanbietern, verfolgen persönliche Daten wie IP-Adressen, Such- und Browserverläufe und können jahrelang in den Browsern der Nutzer aktiv bleiben, wenn sie nicht gelöscht werden.

Diese Zahlen seien besonders brisant, so die Pressemeldung, da Verbraucher zunehmend mehr Datenschutz einforderten: „So geben beispielsweise 75 Prozent der Kunden, die in den letzten 12 Monaten bei einer Online-Apotheke eingekauft haben, an, dass ihnen das Thema Datenschutz beim Kauf dort besonders wichtig ist.“ Auf Nachfrage erklärt die Presseabteilung, dass diese Aussage auf einer von Usercentrics in Auftrag gegebenen Umfrage durch das Marktforschungsinstitut Innofact im Februar 2022 beruht.

Keine wertvollen Daten verlieren

Doch warum halten sich die Versender nicht an die Vorschriften der DSGVO? Als mögliche Gründe nennt Usercentrics unter anderem, dass die Website keine Consent Management Platform (CMP) implementiert habe, die Cookies kontrollieren kann und die Einwilligung der Endnutzer verarbeitet, oder dass die Website eine benutzerdefinierte CMP verwendet, die den Anforderungen der DSGVO für die Kontrolle aller Cookies auf der Grundlage der Einwilligung des Nutzers nicht gerecht wird. Als weitere Möglichkeit wird angeführt, dass der Website-Betreiber sich dafür entscheide, „die CMP nicht korrekt einzusetzen, um keine Daten zu verlieren, die für Einnahmen und Analysen wichtig sind“.

Fazit: Die Analyse von Usercentrics dürfte vor allem der Akquise neuer Kunden im Bereich der Arzneimittelversender dienen. Gleichwohl liefert sie einen wichtigen Hinweis darauf, wie wenig wichtig den Versendern der Datenschutz ist und dass die zum Teil günstigen Preise möglicherweise durch den Verkauf der Nutzerdaten querfinanziert werden.