Erschreckende Lücken beim Datenschutz

BERLIN. Apothekentest? - Wer denkt da nicht zuerst an mehr oder weniger knifflige Problemkonstrukte rund um Beratung und pharmazeutische Kompetenz?

 Doch die jüngste Studie, die das Preisvergleichsportal Sparmedo jetzt vorgelegt hat, ist anders gestrickt: Das Berliner Unternehmen wollte wissen, wie sicher der Datenverkehr über Bestellportale von Versandapotheken ist.

Dazu wurden im Zeitraum Anfang Oktober 2015 bis Mitte Januar 2016 die Online-Shops von 145 aktiven Versandapotheken unter die Lupe genommen. Das Ergebnis ist erschreckend: Über zwei Drittel der Anbieter (108) "halten sich nicht an Vorgaben zu Datenschutz und Datensicherheit", wie es in der Studie heißt.

Lücken gebe es bei der Verschlüsselung, Software und Zertifikate

Lediglich 37 Online-Shops seien als datenschutzkonform identifiziert worden. Lücken gebe es bei der Verschlüsselung, Software und Zertifikate seien vielfach veraltet, Analysesoftware werde nicht datenschutzkonform eingesetzt und Nutzerdaten an Dritte weitergegeben, meist ohne die Nutzer darüber zu informieren. Ausgewählte Zahlen:

Nur bei rund der Hälfte (71) der getesteten Online-Apotheken können Kunden sich darauf verlassen, dass die per SSL-Zertifikat verschlüsselte Datenübertragung auch sicher ist. Alle anderen hätten keine intakte Verschlüsselung gehabt.

Auch die Qualität der Verschlüsselung lässt zu wünschen übrig. 70 Apotheken hätten ausreichend stark verschlüsselt, 75 Apotheken jedoch lediglich unzureichend oder sogar gar nicht. "Die Zertifikate sind nicht sicher und sollten umgehend durch neue ersetzt werden" empfehlen die Studienautoren diesen Anbietern.

Ebenfalls vielfach von gestern sei die Webserver-Software. Nur 25 Online-Shops liefen auf Programmen, die höchstens zwei Jahre alt sind und daher als sicher gelten. Viele (58) konnten oder wollten zur Aktualität ihrer Server-Software keine Angaben machen.

Magere Umsetzung der EU-Datenschutzrichtlinie

"Ist die Server-Software veraltet, öffnen sich viele Sicherheitsrisiken, auch für den Datenschutz", heißt es in der Studie. Offenkundig fehlt etlichen Versandapotheken das nötige Gespür für diese Problematik. Die Serveraktualität sei "ein starkes Indiz, wie seriös die Online-Shops betrieben werden", heißt es weiter.

Wie zur Bestätigung fällt die Umsetzungsquote hinsichtlich der Datenschutzrichtlinie der EU mager aus: Nur vier Versandapotheken praktizieren sie schon. Die Richtlinie sieht vor, dass User dem Einsatz von Cookies ausdrücklich zustimmen müssen. Der Gesetzgeber hat das in Deutschland zwar noch nicht in Paragrafen gegossen.

Eine freiwillige Umsetzung würde aber die Ernsthaftigkeit dokumentieren, die dem Thema Datenschutz und -sicherheit entgegengebracht wird.

Eine Korrelation zwischen Datensicherheit und Marktbedeutung einer Versandapotheke wurde in der anonymisierten Auswertung nicht vorgenommen. Allerdings betonen die Sparmedo-Autoren, dass sich Kunden diesbezüglich weder auf Zertifizierungen noch Bewertungssiegel verlassen könnten.

"Die Online-Shops der Versandapotheken suggerieren dem Nutzer durch die Einbindung von Zertifizierungssiegeln Sicherheit. Diese ist faktisch nicht zu bestätigen". Gleiches gelte für Bewertungssiegel wie beispielsweise "Trusted Shops".

Und welche Konsequenzen zieht die Branche aus den brisanten Ergebnissen der Studie? Für eine Stellungnahme fand sich beim Bundesverband Deutscher Versandapotheken (BVDVA) bis Redaktionsschluss niemand bereit.

Laut BVDVA haben rund 3000 Apotheken in Deutschland eine Erlaubnis zum Versandhandel. Der Branchenumsatz betrug 2014 rund 1,5 Milliarden Euro. 2012 haben nach Angaben des IT-Verbands Bitkom 16 Millionen Kunden bei Versandapotheken bestellt. Nach jüngsten Zahlen des Beratungsunternehmens IMS Health konnten die Versender 2015 im OTC-Geschäft erstmals die Milliarden-Schwelle durchbrechen und halten in diesem Teilmarkt jetzt einen Anteil von 13 Prozent. (cw)