TripAdvisor im Test: Saubere App, schmutzige Partner

Logo TripAdvisor App

TripAdvisor ist eine Such- und Bewertungsplattform für Hotels, Restaurants und Flüge. Sie lässt sich per Webseite oder per App nutzen. Unser Test auf Android zeigt: TripAdvisor bindet Drittunternehmen ein, die Nutzer hemmungslos tracken und analysieren.

Version
22.0
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Schlagworte
App-Test · Reisen
Drucken

Auf einen Blick

Was kann TripAdvisor?

TripAdvisor ist eine Plattform zur Planung, Suche, Buchung und Bewertung von Touristik-Angeboten. Nach Angaben des Betreibers befinden sich mittlerweile über 500 Millionen Bewertungen zu 7 Millionen Hotels, Restaurants und Aktivitäten von Reisenden aus aller Welt in der Datenbank von TripAdvisor.

Viele Anwender haben ihre Erfahrungsberichte auch mit Fotos und Videos angereichert, sodass man einen Eindruck vom Urlaubsziel erhält.

TripAdvisor kooperiert mit einer Reihe von Online-Reiseagenturen wie Booking.com, HRS oder ebookers.de. Reisende können ihr Hotel oder ihre Reise innerhalb der App direkt über einen dieser Anbieter buchen.

Hinter dem Angebot steht das börsennotierte Unternehmen TripAdvisor Inc. mit Hauptsitz in Newton, Massachusetts (USA).

Unser Test im Überblick

Die TripAdvisor-App verlangt Zugriff auf verschiedene Berechtigungen, die aber zur Funktionsvielfalt passen.

Nach dem Start der App verbindet sie sich zu den Servern von tripadvisor.com, aber auch zu Drittanbietern wie Facebook, diversen Tracking-Dienstleistern und Werbenetzwerken. Die Anmeldeinformationen werden sicher auf dem Smartphone gespeichert.

TripAdvisor informiert in seiner Datenschutzerklärung über die Erfassung, Verwendung und Weitergabe von übermittelten Daten, nennt allerdings nicht alle Drittanbieter.

Übermittelte Informationen im Überblick:

  • Gerätemodell und Hersteller, zum Beispiel Samsung Galaxy S3.
  • Eindeutige Android Geräte-ID
  • Detaillierte Angabe über die Android-Version (inkl. Build-Name)
  • Eingestellte Sprache und Länderkennung
  • Verbindungstyp (WiFi, Mobile, etc.)
  • Einmalig generierte Installations-ID
  • Einmalig generierter Werbe-Identifier
  • GPS-Positionsdaten
  • Mobilfunk- bzw. Netzanbieter
  • Alle Suchangaben zu einer Reise (Reiseziel, Ort, Anzahl der Reisenden, etc.)

Unsere Testergebnisse im Detail:

Dieser Test gibt keine Auskunft über abweichende Versionen. Getestet haben wir die Android-Version 22.0, die wir aus dem Play-Store heruntergeladen haben.

Auf welche Daten kann die App zugreifen?

In unserem Text App-Berechtigungen entschlüsselt erklären wir, was die einzelnen Zugriffsrechte bedeuten.

Die angeforderten Berechtigungen sind durchaus plausibel. Dennoch sollte man sich darüber im Klaren sein, dass TripAdvisor Zugriff auf sensible Ressourcen hat – zum Beispiel auf den Standort und die Kamera.

Standardmäßig erhält die App zunächst Zugriff auf die folgenden Ressourcen (Tippen Sie auf die Links, um zu erfahren, was die einzelnen Berechtigungen bedeuten).

Identität/Kontakte

Standort

Fotos/Medien/Dateien/Speicher

Kamera

Sonstige

Wohin verbindet sich die App?

tripadvisor.com (Hauptdienst): Die App baut mehrere Verbindungen zu den Servern des Anbieters auf, um den eigentlichen Dienst zu erbringen. Die Kommunikation erfolgt verschlüsselt, auf zusätzliche Sicherheit durch Cert-Pinning wird allerdings verzichtet.

Neben technischen Informationen, wie den Übertragungszeitpunkt, werden unter anderem folgende Informationen direkt beim Start der App übermittelt, die eventuell personenbeziehbar sind:

  • UUID: Ein einmalig generierte Identifier bei App-Installation
  • Eingestellte Sprache
  • Gerätemodell und Hersteller
  • Android-Version
  • Mobilfunk- bzw. Netzanbieter
  • Verbindungstyp (WiFi, Mobile, etc.)

Sofern der Nutzer für die Anmeldung bei TripAdvisor ein Konto direkt beim Anbieter erstellt, werden zusätzlich folgende Informationen übermittelt:

  • Aktueller Aufenthaltsort (Stadt)
  • E-Mail-Adresse
  • Vor- und Nachname
  • Installationsquelle (Play-Store)
  • Anmeldepasswort
  • Spitzname (selbstgewählt)

Während der App-Nutzung werden Suchanfragen, wie Reiseziel, Anzahl der Mitreisenden oder die Reisezeit an TripAdvisor übermittelt. Weiterhin auch Informationen wie der GPS-Standort, falls der Standortzugriff innerhalb der App erlaubt ist. TripAdvisor kann damit eine Art „Reiseprofil“ von einem Nutzer erstellen.

Die weitere Kommunikation zu den Servern von TripAdvisor ist zusätzlich verschlüsselt. Wir können also nicht sagen, welche weiteren Informationen ausgetauscht und werden.

Facebook: Direkt nach dem Start nimmt die App eine verschlüsselte Verbindung zu Facebook auf – auch wenn der Nutzer kein Facebook-Konto hat. Abgesehen von der IP-Adresse wurden während unseres Tests keine Informationen übermittelt.

Google: Unmittelbar nach dem Start werden Verbindungen zu unterschiedlichen Google-Adressen aufgebaut. Über diesen Kanal erhält Google die Rückmeldung, dass der Nutzer die TripAdvisor-App gestartet hat.

Sofern der Nutzer die Google-Anmeldung innerhalb TripAdvisor nutzt, werden Informationen an das Google-Konto übermittelt. Darunter die E-Mail-Adresse, die man in TripAdvisor angegeben hat und die Versionsnummer der Google-Play-Dienste.

Eingebundene Reisebüros, Beispiel Booking.com: TripAdvisor kooperiert mit diversen Online-Reiseagenturen. Beim Klick auf ein Angebot wird eine Verbindung zu den Servern der jeweiligen Reiseagentur aufgebaut und der Inhalt innerhalb der App eingebunden.

Die direkte Einbindung der Angebote ist für den Anwender zwar praktisch, da er die Buchung dann gleich innerhalb der App vornehmen kann, allerdings auch mit Nachteilen behaftet. Am Beispiel von einem Booking.com Angebot werden wir die damit einhergehende Problematik im Folgenden kurz skizzieren:

Sobald der Nutzer auf ein Angebot von Booking.com klickt, werden folgende Verbindungen zu Drittanbietern aufgebaut:

  • Google Analytics (Tracker)
  • Tealium (Tracker)
  • Criteo (Tracker)
  • Yahoo Analytics (Tracker)
  • DoubleClick (Gehört Goolge, Werbung)
  • Piwik (Tracker, open source)
  • Pintertest (Soziales Netzwerk)
  • LinkedIn (Soziales Netzwerk)
  • Facebook (Soziales Netzwerk)
  • Amazon Adsystem (Werbung)
  • Smartstream.tv (Werbung)
  • Bing (Unbekannte Funktion, möglicherweise Suchmaschine)

Beim Klick auf das Angebot werden also nicht nur Informationen von Booking.com geladen, sondern auch diverse Verbindungen zu Drittanbietern initiiert, die den Nutzer unter anderem Tracken und interessenbezogene Werbung einblenden. Sobald der Nutzer also auf ein Angebot von Booking.com oder einen anderen Anbieter klickt, hat TripAdvisor keine Kontrolle mehr über die Drittanbieter, die eine Reiseagentur einbindet.

Exemplarisch haben wir aufgezeichnet, was Booking.com bei einer Suche nach einem Hotel in Spanien, Gran Canaria an Facebook übermittelt. Auch die anderen genannten Anbieter erhalten Informationen, die wir hier aber nicht einzeln aufgelistet haben:

  • Vorgeschlagene Hotels
  • Reiseziel
    • Land
    • Region
    • Stadt
  • Währung
  • Gewünschtes Check-In und Check-Out Datum
  • Anzahl der Räume
  • Anzahl der Übernachtungen
  • Anzahl der Gäste (Erwachsene, Kinder)
  • Bevorzugte Bewertungen (1 bis 5 Sterne)
  • Aufruf über mobiles Endgerät
  • […]

Werbenetzwerke: Die App blendet Werbung über das Google Werbenetzwerk DoubleClick ein. Weitere Werbung wird eingeblendet, sobald der Anwender auf ein Angebot der diversen Online-Reiseagenturen tippt – siehe dazu den Punkt „eingebundene Reisebüros“.

In unserem Test konnten wir folgende Datenübertragungen an DoubleClick beim Aufruf eines Hotel-Angebots via Booking.com feststellen.

  • Android-Version
  • Browser-Version
  • Hotel
  • Währung
  • Gewünschtes Check-In und Check-Out Datum
  • Reiseziel (zum Beispiel Griechenland)
  • Sprache
  • Übernachtungszeitraum
  • Anzahl der Räume
  • Anzahl der Gäste
  • […]

Anhand der übermittelten Informationen kann der Dienstleister DoubleClick anschließend interessenbezogene Werbung innerhalb der App einblenden.

Analyse- und Trackerdienste: Während unseres Tests konnten wir Verbindungen zu folgenden Analyse-Plattformen feststellen: Crashlytics, online-metrix.net und ScorecardResearch (beim Aufruf des Forums). Von den übermittelten Informationen sind folgende eventuell personenbeziehbar:

Gerätemodell und Hersteller

  • Android-Version
  • Einmalig generierte Installations-ID
  • Einmalig generierter Werbe-Identifier
  • Eindeutige Android Geräte-ID

Beim Besuch des TripAdvisor Forums bekommt der AnbieterScorecardResearch folgende Informationen übermittelt:

  • Eingestellte Sprache
  • Gerätemodell und Hersteller
  • Android-Version
  • Mobilfunk- bzw. Netzanbieter
  • Verbindungstyp (WiFi, Mobile, etc.)
  • Welche Kategorie und welchen Beitrag ein Nutzer aufruft

Wie sicher speichert die App meine Daten?

Weder Benutzername, noch Passwort werden lokal auf dem Gerät abgelegt. Nach erfolgreicher Anmeldung an TripAdvisor via E-Mail, wird ein Identifizierungsmerkmal (Authorisierungs-Token) auf dem Smartphone abgelegt.

Vergangene Reisen, aufgerufene Orte und Hotels lassen sich aus einer Datenbank auslesen, falls sich jemand lokalen Zugriff auf das Gerät verschafft.

Was sagt die Datenschutzerklärung?

Die im Google Play-Store verlinkte Datenschutzerklärung verweist auf die Webseite von TripAdvisor. Innerhalb der App ist die Datenschutzerklärung über IchDatenschutzerklärung erreichbar.

Bei der Nutzung von TripAdvisor sollte man sich darüber im Klaren sein, dass laut Datenschutzerklärung alle Informationen, die man auf der Webseite / der App eingibt, von TripAdvisor gespeichert und für die unterschiedlichsten Zwecke verwendet wird. TripAdvisor begründet die umfangreiche Sammlung von Nutzerdaten unter anderem mit der Bereitstellung und Verbesserung ihrer Dienstleistung. Weiterhin werden Informationen genutzt, um relevante, also interessenbezogene Werbung einzublenden.

Insgesamt informiert TripAdvisor transparent über die Erfassung, Verwendung und Weitergabe der übermittelten Daten und Informationen. Nach unsere Auffassung weist die Datenschutzerklärung nur ungenügend darauf hin, dass möglicherweise Nutzerdaten von den eingebundenen Reiseagenturen und anderen Firmen erfasst werden. Es werden nicht alle eingebundenen Drittanbieter namentlich genannt, zum Beispiel fehlen DoubleClick und Crashlytics.

Werden nur notwendige Daten erhoben?

Das Prinzip der Datensparsamkeit wird nicht umgesetzt. Unter anderem werden Daten für Analyse, Werbung und Marktforschung gesammelt. Weiterhin hat TripAdvisor keine Kontrolle darüber, welche Daten ihre Kooperationspartner bei der Ansicht / Buchung eines Angebots vom Nutzer erfassen.

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!