Datenschutz und Datensicherheit

74% der getesteten Versandapotheken halten sich nicht an Vorgaben zu Datenschutz und Datensicherheit!

Häufige Probleme sind:

• unzureichender und falscher Umgang mit Verschlüsselung (https)
• veraltete Software und Zertifikate
• keine datenschutzkonformer Einsatz von Analysesoftware
• Weitergabe von Nutzerdaten an Dritt-Anbieter durch Integrationen von deren Inhalten

Siegel und Kennzeichnungen, welche Nutzern Vertrauen und Sicherheit implizieren, haben keinen messbaren Einfluss darauf, ob der Shop-Betreiber seriös mit Kunden- und Nutzerdaten umgeht.

51% der getesteten Versandapotheken haben keine intakte Verschlüsselung!

Sobald in einem Online-Shop Kundendaten erfasst werden, sollten die Daten auf verschlüsseltem Weg an den Browser geschickt werden. Hierzu werden sogenannte SSL-Zertifikate verwendet. Dadurch wird sichergestellt, dass Informationen, die ein Nutzer eingibt (etwa Kontakt- oder Zahlungsdaten), nicht von Unbefugten abgefangen und genutzt werden können. Wenn ein SSL-Zertifikat verwendet wird, müssen auch alle Daten der Webseite (also auch Abbildungen und Scripte) per SSL übertragen werden. Eine einzige nicht per SSL übertragene Datei verursacht bereits ein Datenschutzproblem. Im Browser erkennt man das an einem entsprechenden Hinweis neben der Adressleiste.

Ist die Verschlüsselung zu schwach, falsch konfiguriert oder enthält Sicherheitslücken (Poodle), können Kriminelle unter Umständen den verschlüsselten Verkehr einfach dechiffrieren. Die Zertifikate sind also nicht sicher und sollten umgehend durch neue ersetzt werden.
Quelle: https://www.ssllabs.com/ssltest/index.html

70 Versandapotheken haben eine gute Verschlüsselung, 75 eine unzureichende oder keine Verschlüsselung.

Ist die Server-Software veraltet, öffnen sich viele potentielle Sicherheitsrisiken, auch für den Datenschutz. Server können missbraucht und deren Daten entwendet werden.
Zur Anlayse verwendeten wir die Server-Signatur. Das ist ein Standard-Wert, den der Server bei jedem Seitenaufruf mit zurückgibt (Beispiel: "Apache/2.2.15 (Linux/SUSE)"). Einige Online-Shops melden sogar die Auslastung von CPU und RAM - so wissen Angreifer ganz genau, wann der Server überlastet ist. Am besten verbirgt man welchen Webserver man benutzt. Denn diese Information hilft potentiellen Hackern Sicherheitslücken schnell zu identifizieren.

Für unsere Studie ist die Serveraktualität ein starkes Indiz, wie seriös die Online-Shops betrieben werden.
Alles was älter als 1-2 Jahre ist, sollte geprüft und aktualisiert werden.

89 der getesteten Versandapotheken haben den Tracking-Code von Google Analytics, Piwik oder einem anderen Dienst in die Webseite integriert. 51 der 89 Versandapotheken haben die Analysesoftware datenschutzkonform integriert. D.h. das Tracking erfolgt anonymisiert, es wird nur eine verkürzte Nutzer-IP gespeichert, der Nutzer hat ein Widerspruchsrecht und die Datenschutzerklärung informiert über die Erhebung der Daten.
38 Versandapotheken setzen die Analysesoftware nicht datenschutzkonform ein.

130 Versandapotheken haben Inhalte von Dritt-Anbietern in ihre Seite integriert. Zum Beispiel Gütesiegel vom DIMDI (Deutschen Institut für Medizinische Dokumentation und Information, einer Bundesbehörde), Trusted Shops oder anderen Bewertungsplattformen, Preisvergleichen sowie von Anbietern zur Zahlungsabwicklung.

Mit jedem Aufruf eines fremden Inhalts innerhalb der Apothekenwebsite, wird die IP-Adresse des Nutzers an den Server, auf dem sich der Inhalt befindet, weiter gegeben. Dies ist für die Zurverfügungstellung des Inhalts erforderlich.
Es ist nicht klar, ob die Anbieter diese Informationen anonymisieren, speichern und/oder auswerten. Einige Dritt-Anbieter speichern auf den Nutzer-PCs auch Cookies, so dass das aufgezeichnete Nutzerverhalten ggf. durch weitere Informationen (Name, Anschrift etc.) angereichert und zur detaillierten Profilbildung verwendet werden kann.

99 Versandapotheken informieren den Nutzer nicht über die Weitergabe der Daten an Dritt-Anbieter.

Nach der EU-Richtlinie 2009/136/EG zur Änderung u. a. der Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (kurz sog. „Cookie-Richtlinie“) soll der Einsatz von Cookies im Internet nur noch dann erlaubt sein, wenn die Nutzer darin ausdrücklich eingewilligt haben. Die Vorgaben wurden aber bisher noch nicht in Deutschland als Gesetz verabschiedet. Problem: eines Tages wird es so oder so kommen, dass die Vorgaben der Cookie-Richtlinie auch in Deutschland umgesetzt werden müssen.
Weitere Informationen: https://www.cookiechoices.org/

Die Online-Shops der Versandapotheken suggerieren dem Nutzer durch die Einbindung von Zertifizierungssiegeln Sicherheit. Diese ist faktisch nicht zu bestätigen. Nur 15 von 45 zertifizierten Online-Shops haben keine offensichtlichen Mängel bei Datenschutz und -sicherheit.

67 Online-Shops nutzen Trusted Shops, ekomi etc. 27 Online-Shops haben keine offensichtlichen Mängel bei Datenschutz und -sicherheit. Bewertungssiegel haben also keinen direkten Einfluss auf das Bewusstsein für die Qualität des Shop-Betriebs und werden vermutlich allein aus Gründen des Marketings verwendet.