Spektrum
» Alle Artikel

Analyse von Usercentrics

EU-Arzneimittelversender verstoßen gegen DSGVO

Traunstein - 29.03.2022, 17:50 Uhr

0

Ein Münchener Start-up hat im Februar 2022 EU-weit Apotheken-Webshops gescannt: Halten sie die  DSGVO-Anforderungen an eine gültige Cookie-Einwilligung ein? (x / Foto: DatenschutzStockfoto  / AdobeStock)

Ein Münchener Start-up hat im Februar 2022 EU-weit Apotheken-Webshops gescannt: Halten sie die  DSGVO-Anforderungen an eine gültige Cookie-Einwilligung ein? (x / Foto: DatenschutzStockfoto  / AdobeStock)

Jeder Internet-Nutzer kennt die Frage, ob er mit der Nutzung von sogenannten Cookies einverstanden ist. Diese kleinen Textdateien sollen einerseits das Surfen erleichtern, indem zum Beispiel die Website bereits die Login-Daten kennt, andererseits werden damit Informationen über den Besucher gesammelt. Mit dem Einholen der Genehmigung scheinen es die meisten EU-Arzneimittelversender allerdings nicht so genau zu nehmen – das legt zumindest eine Analyse des Münchener Start-ups Usercentrics nahe.  

Das Münchener Unternehmen Usercentrics unterstützt mit seiner Consent Management Platform (CMP) Unternehmen dabei, die Anforderungen der Datenschutz-Grundverordnung  (DSGVO) zu erfüllen. Offenbar bislang keine Kunden sind die 150 „beliebtesten Online-Apotheken in der EU“, deren Websites Usercentrics nun unter die Lupe genommen hat. Um zu prüfen, inwieweit diese die Anforderungen der DSGVO an eine gültige Cookie-Einwilligung einhalten, wurden im Februar 2022 die Apotheken-Webshops gescannt. 

Die Vorgehensweise wird in der Marktanalyse mit dem Titel „EU-Online-Apotheken: Wie DSGVO-Verstöße das Vertrauen der Kunden aufs Spiel setzen“ folgendermaßen beschrieben: Eingesetzt wurde der Cookiebot CMP-Scanner; dieser erkennt, ob Cookies oder andere Tracking-Technologien bereits beim Besuch einer Website aktiviert werden, noch bevor der Nutzer dazu seine Einwilligung gegeben hat. „Dazu führt er eine vollständige Simulationen eines Website-Besuchs mehrerer Nutzer durch, um sämtliche Cookies und Tracking-Technologien zu erkennen, die auf der gesamten Website einschließlich aller Unterseiten aktiv sind.“ Für die Analyse wurden Scans auf allen Unterseiten jeder Apotheken-Webshop-Domain durchgeführt, für jede Domain wurden bis zu 10.000 Seiten analysiert – das entspricht einem Gesamtscan von 1.089.438 Seiten.

Was ist ein „notwendiges“ oder „nicht notwendiges Cookie“?

Ein „notwendiges Cookie“ ist jede Art von Cookie, das für die grundlegenden Funktionen der Website erforderlich ist, z. B. Cookies, die Benutzeranmeldungen oder den Inhalt von Warenkörben auf einer Domain verwalten. Ein „nicht notwendiges Cookie“ ist jede Art von Cookie, das für die grundlegenden Funktionen einer Website nicht unbedingt erforderlich ist. Cookies, die personenbezogene Daten von Nutzern erfassen, um z. B. die Sprachpräferenz bei verschiedenen Besuchen oder die Wahl der Währung zu speichern, Analysedienste zu erbringen oder Marketing und digitale Werbung zu betreiben, werden als nicht notwendige Cookies eingestuft. 

(Quelle: Usercentrics)

Welche Arzneimittelversender konkret getestet wurden, geht aus dem Bericht nicht hervor. Dort steht lediglich: „Die 150 EU-Webshops wurden aus den Top-Ergebnissen bei Google in zehn EU-Mitgliedstaaten ausgewählt – mit einer durchschnittlichen Größe von 7.078 Unterseiten und einem durchschnittlichen monatlichen Traffic von 495.000 Besuchen – und gehören zu den beliebtesten Websites der Online-Apothekenbranche der jeweiligen Region oder des jeweiligen Landes.“ Welche Versender konkret dabei waren, wollte Usercentrics auch auf Anfrage der DAZ nicht mitteilen. Der Grund dafür sei, dass man Unternehmen und Branchen, insbesondere jene, die mit sensiblen Daten umgehen, „in erster Linie dafür sensibilisieren (möchte), dass es noch erhebliche Mängel in Bezug auf die Datenschutzgrundverordnung gibt. Keinesfalls aber sollen die Unternehmen potenziellen Abmahnanwälten präsentiert werden.“ Klar ist aber, dass aufgrund des Auswahlverfahrens die „Großen“ der Branche auf jeden Fall mit dabei sind.

Ergebnis ist „beunruhigend“

Das Ergebnis ist laut Usercentrics „beunruhigend“:

  • 89 Prozent der 150 beliebtesten Online-Apotheken in der EU verstoßen gegen die DSGVO, da sie mindestens ein (nicht notwendiges) Cookie ohne Einwilligung der Endnutzer setzen. In der DACH-Region sind es sogar 94 Prozent. 
  • 55 Prozent aller nicht notwendigen Cookies wurden nicht rechtskonform eingesetzt, das heißt bereits beim Besuch der Website ohne jegliche Zustimmung der Nutzer aktiviert. 
  • 62 Prozent der Cookies, die ohne Einwilligung der Nutzer gesetzt werden, sind Marketing-Cookies von Drittanbietern. 

In Deutschland setzten sämtliche gescannten Domains mindestens ein nicht notwendiges Cookie ohne Einwilligung des Nutzers, im Durchschnitt waren es  14,3 nicht notwendige Cookies. 

Datenprofil zur Gesundheit des Nutzers

Konkret genannt werden folgende personenbezogene Daten, die beim Besuch dieser 150 Online-Apotheken von in der EU ansässigen Personen generiert und verarbeitet werden:

  • Details über die gekauften oder angesehenen Produkte
  • der Such- und Browserverlauf
  • das Verhalten auf der Webseite (z. B. die Geschwindigkeit des Scrollens und die Klicks)
  • die zuvor besuchten Websites 
  • die zuvor gegoogelten Suchbegriffe
  • die IP-Adressen und andere Kennungen

„All diese Informationen können zu detaillierten Datenprofilen über jeden einzelnen Nutzer zusammengefasst werden, die konkret darüber Auskunft geben, wer er ist, wie es ihm vermutlich geht und wie es möglicherweise um seine körperliche oder geistige Gesundheit steht“, heißt es dazu.

Wie funktionieren Cookies?

Cookies sind in der Regel kleine Dateien, die durch den Browser eines Endnutzers auf dem Endgerät gespeichert werden, wenn dieser eine Website besucht. Hier werden Informationen (oft personenbezogene Daten) über den Endnutzer gesammelt, verarbeitet und weitergegeben, um Analysedienste über die Leistung der Website zu nutzen oder Marketingkampagnen auf der Domain durchzuführen. Einige Cookies, wie z. B. Marketing-Cookies von Drittanbietern, verfolgen persönliche Daten wie IP-Adressen, Such- und Browserverläufe und können jahrelang in den Browsern der Nutzer aktiv bleiben, wenn sie nicht gelöscht werden.

Diese Zahlen seien besonders brisant, so die Pressemeldung, da Verbraucher zunehmend mehr Datenschutz einforderten: „So geben beispielsweise 75 Prozent der Kunden, die in den letzten 12 Monaten bei einer Online-Apotheke eingekauft haben, an, dass ihnen das Thema Datenschutz beim Kauf dort besonders wichtig ist.“ Auf Nachfrage erklärt die Presseabteilung, dass diese Aussage auf einer von Usercentrics in Auftrag gegebenen Umfrage durch das Marktforschungsinstitut Innofact  im Februar 2022 beruht.

Keine wertvollen Daten verlieren

Doch warum halten sich die Versender nicht an die Vorschriften der DSGVO? Als mögliche Gründe nennt Usercentrics unter anderem, dass die Website keine Consent Management Platform (CMP) implementiert habe, die Cookies kontrollieren kann und die Einwilligung der Endnutzer verarbeitet, oder dass die Website eine benutzerdefinierte CMP verwendet, die den Anforderungen der DSGVO für die Kontrolle aller Cookies auf der Grundlage der Einwilligung des Nutzers nicht gerecht wird. Als weitere Möglichkeit wird angeführt, dass der Website-Betreiber sich dafür entscheide, „die CMP nicht korrekt einzusetzen, um keine Daten zu verlieren, die für Einnahmen und Analysen wichtig sind“.

Fazit: Die Analyse von Usercentrics dürfte vor allem der Akquise neuer Kunden im Bereich der Arzneimittelversender dienen. Gleichwohl liefert sie einen wichtigen Hinweis darauf, wie wenig wichtig den Versendern der Datenschutz ist und dass die zum Teil günstigen Preise möglicherweise durch den Verkauf der Nutzerdaten querfinanziert werden.

Dr. Christine Ahlheim (cha), Chefredakteurin AZ
redaktion@deutsche-apotheker-zeitung.de

Diesen Artikel teilen:

Seite drucken
Ganzen Artikel drucken
Startseite

Das könnte Sie auch interessieren

Ist Ihre Webseite datenschutzkonform?

AZ-Tipp

Ist Ihre Webseite datenschutzkonform?

Apothekenwebseiten und Datenschutz

Wie Sie sich vor Abmahnungen und behördlichen Maßnahmen schützen können

Apothekenwebseiten und Datenschutz

Sechs Monate DSGVO – ein Zwischenfazit

Teil 3: Gemeinsame Verantwortlichkeit und Facebook-Fanpages

Sechs Monate DSGVO – ein Zwischenfazit

Was kommt da auf uns zu?

Im Mai 2018 tritt die Europäische Datenschutzgrundverordnung in Kraft

Was kommt da auf uns zu?

Personenbezogene Daten bei Bewerbungen

ADEXA-Praxistipp zum Datenschutz

Personenbezogene Daten bei Bewerbungen

Neue Datenschutzregeln ante portas

Serie zur Datenschutz-Grundverordnung in der Apotheke / Teil 1: Die Grundsätze der Datenverarbeitung

Neue Datenschutzregeln ante portas

Rechtssichere Gestaltung von Apothekenwebseiten

Wie Sie Stolperfallen vermeiden / Vielfältige Vorgaben erfordern ein sorgsames Vorgehen bei der Umsetzung

Rechtssichere Gestaltung von Apothekenwebseiten

Gabelmann (Linke) fordert gesondertes Datenschutzniveau für Versandhändler

Gesundheitsdaten

Gabelmann (Linke) fordert gesondertes Datenschutzniveau für Versandhändler

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 4)

DSGVO-Expertenbefragung

Das sind die wichtigsten Antworten zum Datenschutz in der Apotheke (Teil 4)

Muss ich als Apotheker jetzt meine Facebook-Fanpage löschen?

Nach Datenschutz-Urteil des EuGH

Muss ich als Apotheker jetzt meine Facebook-Fanpage löschen?

0 Kommentare

Das Kommentieren ist aktuell nicht möglich.

Inhalt

Seite 1: EU-Arzneimittelversender verstoßen gegen DSGVO »
Seite 2: Ergebnis ist „beunruhigend“ »

INTERPHARM

Real-World-Daten zeigen Mehrwert von Cineol gegenüber Nasenspray-Monotherapie bei Rhinosinusitis
Aktuelle Ausgabe
NR. 16
Cover Jetzt online lesen
Aktuelle Ausgabe
NR. 51-52
Cover Jetzt online lesen
Meist gelesen
Meist kommentiert

Meist gelesen

Xarelto gibt es in verschiedenen Dosierungen, doch nur eine davon ist in Deutschland jetzt auch als Generikum erhältlich. (Foto: Semi / AdobeStock)

Erstmals Xarelto-Generika im Handel

Die Zuständigkeit fürs Apothekenhonorar wechselt: von Robert Habecks Bundeswirtschaftsministerium in Karl Lauterbachs Bundesgesundheitsministerium. (Foto. IMAGO / Mike Schmidt)

Lauterbach künftig fürs Apothekenhonorar zuständig
Probiotika gibt es nicht nur für den Darm, sondern auch für die Vaginalflora. (Foto: Orawan / AdobeStock)

Was passiert mit Döderlein, Kijimea und Co.?
Drohen den Apotheken Retaxationen, wenn sie bei Cannabisverordnungen die Genehmigung der Krankenkasse nicht überprüfen? (Foto: IMAGO / epd)

Müssen Apotheken bei Cannabis die Genehmigung der Kasse prüfen?
Auch Schwangere benötigen gelegentlich Schmerzmittel. Ob Paracetamol unbedenklich ist, wird seit einiger Zeit kontrovers diskutiert. Schwedische Forscher geben nun Entwarnung. (Foto: AdobeStock/New Africa)

Schwangerschaft: Freispruch für Paracetamol?

Meist kommentiert

Sieht bei den Apotheken eine wachsende Bedeutung: der Thüringer FDP-Generalsekretär Robert-Martin Montag. (Foto: Robert-Martin Montag)

Apothekenvergütung: Thüringer FDP will Debatte anstoßen
Will mit den „schärfsten Maßnahmen“ noch warten: ABDA-Präsidentin Gabriele Regina Overwiening. (Foto: ABDA)

Overwiening: „Wut ersetzt keine Strategie“
(Foto: DocMorris)

Als Wandelanleihe: DocMorris sammelt 200 Millionen Franken ein
Die Zuständigkeit fürs Apothekenhonorar wechselt: von Robert Habecks Bundeswirtschaftsministerium in Karl Lauterbachs Bundesgesundheitsministerium. (Foto. IMAGO / Mike Schmidt)

Lauterbach künftig fürs Apothekenhonorar zuständig
Wie stehen Sie zu CardLink? (Foto: picture alliance/dpa | Jens Büttner)

Planen Sie, CardLink anzubieten?

Apotheken-Protest
Article teaser image

Gedächtnis

» Zu den Artikeln
Handverkauf

Pharmazeutische Dienstleistungen

via-Studie

Bürokratiekosten bei 
GKV-Rezepten

Impfen in Apotheken
Article image

Interpharm 2024

Sonnige Interpharm

» mehr
DAZ Abo

Lernen und Punkten »

Pädiatrie

Für eine unbeschwerte Kindheit

Für eine unbeschwerte Kindheit