Ratgeber

Apps gecheckt: Daten, die vom E-Roller fallen

Ein Artikel von , veröffentlicht am 24.11.2021
Viele Firmen erfahren, wo E-Roller-Fahrer*innen gerade unterwegs sind. Bild von Pavel Kapysh auf Pixabay

Wer sich per App einen E-Roller ausleiht, zahlt dafür. Trotzdem werden persönliche Daten an etliche Dritte weitergegeben, darunter der eigene Name, Kontaktdaten, Standort und WLAN-Informationen. Vier Apps im Datentest.

Für manche sind sie ein großer Spaß, für andere ein Ärgernis: E-Roller sind seit 2019 in allen großen deutschen Städten zu finden. Wer damit fahren möchte, muss sich per App anmelden, beispielsweise seine Kreditkarten- oder PayPal-Daten angeben und kann dann Roller in der Umgebung suchen und freischalten. Und selbstverständlich zahlt man dafür. Pro Fahrt fällt ein kleiner Grundbetrag an, danach wird pro Minute abgerechnet.

Die Hoffnung, dass, wer mit Geld zahlt, keine Sorge um seine Daten haben muss, wird dabei enttäuscht. Das ist das Ergebnis unserer Testreihe, bei der wir die Anbieter Lime, Bolt, TIER und Voi untersucht haben. Persönliche Daten unserer Testperson landeten bei etlichen Drittanbietern, darunter ihr vollständiger Name, Kontaktdaten, Standort und WLAN-Informationen. Keiner der Anbieter klärte konkret über diese Praxis auf.

Diese Apps haben wir geprüft

  • Lime – immer mobil (10 Mio.+ Downloads, Neutron Holdings, Inc., USA) | Zum Testbericht
  • Bolt: Preiswerte Fahrten (10 Mio.+ Downloads, Bolt Technology, Estland) | Zum Testbericht
  • TIER E-Scooter & E-Bikes (1 Mio.+ Downloads, Tier Mobility GmbH, Deutschland) | Zum Testbericht
  • Voi – E-Scooter zum Mieten (1 Mio.+ Downloads, Voi Technology Ab, Schweden) | Zum Testbericht

 

Unser Testsystem: Der AppChecker

  • Unser Tool AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet es sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Wir vergeben einen Privacy-Score von 1 bis 5 an Apps. Die Testberichte finden Sie auf appcheck.mobilsicher.de.
  • Mehr Infos zum AppChecker gibt's in diesem Video.

 

Testbedingungen 

Wir haben uns mit unserem Namen und unserer Telefonnummer in der jeweiligen App angemeldet und zusätzlich eine E-Mail-Adresse angegeben. Um E-Roller in der Nähe anzuzeigen, haben wir den Standortzugriff erlaubt. Wir haben anschließend keine Fahrt gestartet und auch keinen E-Roller freigeschaltet.

Als Zahlungsmittel haben wir PayPal angetippt, woraufhin die App auf die PayPal-Webseite umleitete. Wir haben uns nicht bei PayPal angemeldet und sind stattdessen direkt in die App zurückgekehrt.

Testergebnisse

Zwei Apps gaben Kontaktdaten an die Firma Braze, Inc.

Zwei Apps, Tier und Voi, leiteten den vollständigen Namen, die Telefonnummer und E-Mail-Adresse unserer Testperson direkt aus der App an die Firma Braze Inc. weiter. Das Marketing- und Analyseunternehmen mit Hauptsitz in New York, USA, ist auch in andere Apps eingebunden, die Dienstleistungen anbieten. Beispielsweise gaben die Apps einiger von uns analysierter Lieferdienste ebenfalls Namen und Kontaktdaten an Braze, Inc. weiter.

Die App Lime baute ebenfalls eine Internetverbindung zu Servern von Braze Inc. auf. Hier konnten wir im Test aber keine Übertragung von persönlichen Daten beobachten.

Keine der drei Apps nannte Braze in ihrer Datenschutzerklärung. Dort wurde lediglich über die Datenweitergabe für Marketingzwecke an Dritte informiert.

 

Werbe-IDs an Facebook und Adjust

Die Apps Bolt und Lime übermittelten die Werbe-ID des Test-Gerätes an den Analysedienst von Facebook. Entwickler können durch die Einbindung des Dienstes nachvollziehen, wie eine App genutzt wird, zum Beispiel auf welche Menüpunkte geklickt wird. Diese Informationen werden dabei automatisch auch an Facebook übermittelt. Durch das Auslesen der Werbe-ID kann der Konzern in vielen Fällen nachvollziehen, welche Person zu diesen Daten gehört.

Die Apps Voi und Tier übermittelten die Werbe-ID an den Analysedienst Adjust GmbH, aus der Tier-App erhielt Adjust außerdem den Standort der Nutzer*in.

So funktioniert die Werbe-ID:

Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Gerät eindeutig ist. Eigentlich dient sie der Anonymisierung der Nutzer*innen. Ohne genau zu wissen, wer gerade eine App verwendet, kann mit Hilfe der Nummer personenbezogene Werbung geschaltet werden. In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch sehr oft zusammen mit anderen Daten aus, sodass bei diesen Unternehmen anschließend doch klar ist, zur welcher Person die Werbe-ID gehört. Das ist insbesondere deshalb problematisch, weil sie von extrem vielen Apps ausgelesen wird. Bilden Datenhändler Profile rund um die Werbe-ID, können die daraus abgeleiteten Interessen, Vorlieben und Standorte einer realen Person zugeordnet werden, von der häufig sogar Kontakt- und Adressdaten vorliegen.

 

Drei Apps gaben den Standort an PayPal weiter

Sobald wir im Test PayPal als Zahlungsmittel antippten – noch bevor wir uns also für diesen Dienstleister entschieden hatten – wurden aus drei von vier getesteten Apps die genauen Standortdaten an PayPal übermittelt. Nutzen Personen Paypal tatsächlich als Zahlungsmittel, liegen dem Dienst zusätzlich der vollständige Name und die E-Mail-Adresse sowie weitere Daten rund um das Kaufverhalten vor.

Lime sendete allein die GPS-Koordinaten, Voi und Tier übermittelten zusätzlich den Namen des genutzten WLANs (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers an PayPal. Diese MAC-Adresse ist eine weltweit eindeutige und permanente Kennnummer, über die der Standort des Gerätes auch dann genau ermittelt werden kann, wenn die Standortfreigabe verweigert wird.

Keine der Apps informierte transparent über diese Datenübermittlung an PayPal.

Wie die Standortermittlung per WLAN funktioniert, erfahren Sie hier.

 

E-Roller: Weitere Daten

Alle vier Apps banden noch weitere Marketing- und Analyseunternehmen ein, die zum Beispiel den Standort, die Werbe-ID oder beides in Kombination erhielten.

Die Bolt-App erhob bei der Nutzung den WLAN-Namen (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers.

Das sagen die Datenschutzerklärungen

Keine der vier Datenschutzerklärungen nennt die in unseren Tests identifizierten Drittanbieter namentlich. Sie weisen nur darauf hin, dass zu Analyse- und Marketingzwecken mit Partnern zusammengearbeitet wird. Die Formulierungen sind dabei schwammig gehalten.

Der Anbieter Lime gibt laut Datenschutzerklärung Kundeninformationen zum Beispiel dann weiter, „wenn die Verarbeitung für die berechtigten Interessen von Lime oder eines Dritten erforderlich ist, sofern wir diese gegen Ihre Grundrechte und Interessen abgewogen haben“.

Was genau mit den Daten der Nutzer*innen passiert, weiß und entscheidet also allein Lime.

Das können Nutzer*innen tun

Leider nicht viel. Wer mit einem der analysierten Anbieter E-Roller fahren möchte, kann die Datenerhebung in der App selbst nicht beschränken.

Zwar nennen die Anbieter in ihren Datenschutzerklärungen eine Widerspruchsmöglichkeit zur Datenweitergabe, machen aber keine Angaben dazu, was damit genau verhindert wird.

Mit Ausnahme von TIER, der eine E-Mail-Adresse zur Kontaktaufnahme nennt, geben die Anbieter im Zusammenhang mit der Widerspruchsmöglichkeit keine Hinweise für das weitere Vorgehen.

Aus unserer Sicht bleibt da nur: Fahrrad fahren.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App Blokada (Android und iOS) erkennt viele Tracking-Verbindungen und blockiert sie. Mehr Infos hier.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Inga Pöting ist Chefin vom Dienst bei mobilsicher.de. Sie gibt Texten den letzten Schliff, kümmert sich um die Webseite und leitet die Videoredaktion. Davor hat sie im Ruhrgebiet für verschiedene Zeitungen und Magazine geschrieben.

Weitere Artikel

Verkehr & Navigation 

Magic Earth: Diese Navi-App empfehlen wir

Die kostenlose App gibt's für Android und iOS. Sie greift auf Kartenmaterial von OpenStreetMap zurück, kommt ohne Werbung aus und erhebt nur notwendige Daten. Auch Offline-Navigation ist möglich.

Mehr
YouTube-Video 

Apps gecheckt: Podcast-Player (Android)

Die Auswahl an Podcast-Playern ist groß. Manche Apps kommen von großen Firmen, die sich für Ihre Nutzungsdaten interessieren – andere sind schlanke Tools von freien Entwickler*innen, die einfach nur ihren Dienst tun. Wir haben für Sie die Spreu vom Weizen getrennt – und zwei Empfehlungen.

Ansehen
YouTube-Video 

Apps gecheckt: Liefer-Apps (Android)

Lieferando, Wolt, Gorillas, Flink – Liefer-Apps sind das große Ding der Stunde. Dass Sie den Apps beim Bestellen sagen, wo Sie gerade sind und wo Sie wohnen, ist dabei ganz normal. Und dann? Wir haben die Apps von innen angeschaut.

Ansehen
YouTube-Video 

Bezahldienst PayPal: Pro und Contra

Der Bezahldienst PayPal erspart Ihnen das Einrichten von Zahlungswegen in unterschiedlichen Online-Shops. Allerdings erhält der Dienstleister dabei auch sehr viele Informationen über Sie. Unser Video bietet eine kurze Pro-und-Contra-Liste als Entscheidungshilfe.

Ansehen