Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
Ratgeber

Apps gecheckt: Daten, die vom E-Roller fallen

Ein Artikel von Inga Pöting, veröffentlicht am 24.11.2021
Viele Firmen erfahren, wo E-Roller-Fahrer*innen gerade unterwegs sind. Bild von Pavel Kapysh auf Pixabay

Wer sich per App einen E-Roller ausleiht, zahlt dafür. Trotzdem werden persönliche Daten an etliche Dritte weitergegeben, darunter der eigene Name, Kontaktdaten, Standort und WLAN-Informationen. Vier Apps im Datentest.

Für manche sind sie ein großer Spaß, für andere ein Ärgernis: E-Roller sind seit 2019 in allen großen deutschen Städten zu finden. Wer damit fahren möchte, muss sich per App anmelden, beispielsweise seine Kreditkarten- oder PayPal-Daten angeben und kann dann Roller in der Umgebung suchen und freischalten. Und selbstverständlich zahlt man dafür. Pro Fahrt fällt ein kleiner Grundbetrag an, danach wird pro Minute abgerechnet.

Die Hoffnung, dass, wer mit Geld zahlt, keine Sorge um seine Daten haben muss, wird dabei enttäuscht. Das ist das Ergebnis unserer Testreihe, bei der wir die Anbieter Lime, Bolt, TIER und Voi untersucht haben. Persönliche Daten unserer Testperson landeten bei etlichen Drittanbietern, darunter ihr vollständiger Name, Kontaktdaten, Standort und WLAN-Informationen. Keiner der Anbieter klärte konkret über diese Praxis auf.

Diese Apps haben wir geprüft

  • Lime – immer mobil (10 Mio.+ Downloads, Neutron Holdings, Inc., USA) | Zum Testbericht
  • Bolt: Preiswerte Fahrten (10 Mio.+ Downloads, Bolt Technology, Estland) | Zum Testbericht
  • TIER E-Scooter & E-Bikes (1 Mio.+ Downloads, Tier Mobility GmbH, Deutschland) | Zum Testbericht
  • Voi – E-Scooter zum Mieten (1 Mio.+ Downloads, Voi Technology Ab, Schweden) | Zum Testbericht

 

Unser Testsystem: Der AppChecker

  • Unser Tool AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet es sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Mehr Infos zum AppChecker gibt's in diesem Video.

 

Testbedingungen 

Wir haben uns mit unserem Namen und unserer Telefonnummer in der jeweiligen App angemeldet und zusätzlich eine E-Mail-Adresse angegeben. Um E-Roller in der Nähe anzuzeigen, haben wir den Standortzugriff erlaubt. Wir haben anschließend keine Fahrt gestartet und auch keinen E-Roller freigeschaltet.

Als Zahlungsmittel haben wir PayPal angetippt, woraufhin die App auf die PayPal-Webseite umleitete. Wir haben uns nicht bei PayPal angemeldet und sind stattdessen direkt in die App zurückgekehrt.

Testergebnisse

Zwei Apps gaben Kontaktdaten an die Firma Braze, Inc.

Zwei Apps, Tier und Voi, leiteten den vollständigen Namen, die Telefonnummer und E-Mail-Adresse unserer Testperson direkt aus der App an die Firma Braze Inc. weiter. Das Marketing- und Analyseunternehmen mit Hauptsitz in New York, USA, ist auch in andere Apps eingebunden, die Dienstleistungen anbieten. Beispielsweise gaben die Apps einiger von uns analysierter Lieferdienste ebenfalls Namen und Kontaktdaten an Braze, Inc. weiter.

Die App Lime baute ebenfalls eine Internetverbindung zu Servern von Braze Inc. auf. Hier konnten wir im Test aber keine Übertragung von persönlichen Daten beobachten.

Keine der drei Apps nannte Braze in ihrer Datenschutzerklärung. Dort wurde lediglich über die Datenweitergabe für Marketingzwecke an Dritte informiert.

 

Werbe-IDs an Facebook und Adjust

Die Apps Bolt und Lime übermittelten die Werbe-ID des Test-Gerätes an den Analysedienst von Facebook. Entwickler können durch die Einbindung des Dienstes nachvollziehen, wie eine App genutzt wird, zum Beispiel auf welche Menüpunkte geklickt wird. Diese Informationen werden dabei automatisch auch an Facebook übermittelt. Durch das Auslesen der Werbe-ID kann der Konzern in vielen Fällen nachvollziehen, welche Person zu diesen Daten gehört.

Die Apps Voi und Tier übermittelten die Werbe-ID an den Analysedienst Adjust GmbH, aus der Tier-App erhielt Adjust außerdem den Standort der Nutzer*in.

So funktioniert die Werbe-ID:

Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Gerät eindeutig ist. Eigentlich dient sie der Anonymisierung der Nutzer*innen. Ohne genau zu wissen, wer gerade eine App verwendet, kann mit Hilfe der Nummer personenbezogene Werbung geschaltet werden. In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch sehr oft zusammen mit anderen Daten aus, sodass bei diesen Unternehmen anschließend doch klar ist, zur welcher Person die Werbe-ID gehört. Das ist insbesondere deshalb problematisch, weil sie von extrem vielen Apps ausgelesen wird. Bilden Datenhändler Profile rund um die Werbe-ID, können die daraus abgeleiteten Interessen, Vorlieben und Standorte einer realen Person zugeordnet werden, von der häufig sogar Kontakt- und Adressdaten vorliegen.

 

Drei Apps gaben den Standort an PayPal weiter

Sobald wir im Test PayPal als Zahlungsmittel antippten – noch bevor wir uns also für diesen Dienstleister entschieden hatten – wurden aus drei von vier getesteten Apps die genauen Standortdaten an PayPal übermittelt. Nutzen Personen Paypal tatsächlich als Zahlungsmittel, liegen dem Dienst zusätzlich der vollständige Name und die E-Mail-Adresse sowie weitere Daten rund um das Kaufverhalten vor.

Lime sendete allein die GPS-Koordinaten, Voi und Tier übermittelten zusätzlich den Namen des genutzten WLANs (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers an PayPal. Diese MAC-Adresse ist eine weltweit eindeutige und permanente Kennnummer, über die der Standort des Gerätes auch dann genau ermittelt werden kann, wenn die Standortfreigabe verweigert wird.

Keine der Apps informierte transparent über diese Datenübermittlung an PayPal.

Wie die Standortermittlung per WLAN funktioniert, erfahren Sie hier.

 

E-Roller: Weitere Daten

Alle vier Apps banden noch weitere Marketing- und Analyseunternehmen ein, die zum Beispiel den Standort, die Werbe-ID oder beides in Kombination erhielten.

Die Bolt-App erhob bei der Nutzung den WLAN-Namen (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers.

Das sagen die Datenschutzerklärungen

Keine der vier Datenschutzerklärungen nennt die in unseren Tests identifizierten Drittanbieter namentlich. Sie weisen nur darauf hin, dass zu Analyse- und Marketingzwecken mit Partnern zusammengearbeitet wird. Die Formulierungen sind dabei schwammig gehalten.

Der Anbieter Lime gibt laut Datenschutzerklärung Kundeninformationen zum Beispiel dann weiter, „wenn die Verarbeitung für die berechtigten Interessen von Lime oder eines Dritten erforderlich ist, sofern wir diese gegen Ihre Grundrechte und Interessen abgewogen haben“.

Was genau mit den Daten der Nutzer*innen passiert, weiß und entscheidet also allein Lime.

Das können Nutzer*innen tun

Leider nicht viel. Wer mit einem der analysierten Anbieter E-Roller fahren möchte, kann die Datenerhebung in der App selbst nicht beschränken.

Zwar nennen die Anbieter in ihren Datenschutzerklärungen eine Widerspruchsmöglichkeit zur Datenweitergabe, machen aber keine Angaben dazu, was damit genau verhindert wird.

Mit Ausnahme von TIER, der eine E-Mail-Adresse zur Kontaktaufnahme nennt, geben die Anbieter im Zusammenhang mit der Widerspruchsmöglichkeit keine Hinweise für das weitere Vorgehen.

Aus unserer Sicht bleibt da nur: Fahrrad fahren.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier gehts zur Anmeldung.

Weitere Artikel

Ratgeber 

Handy für Kinder einrichten (Android)

Wenn ein Kind sein erstes eigenes Smartphone bekommen soll, tun sich für Eltern viele Fragen auf. Mit unseren Tipps werden die Weichen in Sachen Privatsphäre gleich richtig gestellt.

Mehr
Hintergrund 

Fünf Irrtümer über Seltene Erden in Handys

Neodym, Praseodym und ihre Verwandten sorgen oft für Verwirrung. Fängt schon damit an, dass die Seltenen Erden nicht selten sind.

Mehr
Ratgeber 

Messenger-App Threema kurz vorgestellt

Um den verschlüsselten Messenger Threema zu nutzen, muss man überhaupt keine persönlichen Daten angeben. Die App aus der Schweiz kostet einmalig vier Euro und ist für Android-Handys und iPhones zu haben.

Mehr
Kommentar 

Super organisiert und trotzdem nicht super: Das deutsche E-Schrott-System

Es gibt in Deutschland genaue Vorgaben dafür, wie Elektroschrott erfasst wird. Mit ein paar Stellschrauben könnte man das System noch deutlich verbessern.

Mehr