Für manche sind sie ein großer Spaß, für andere ein Ärgernis: E-Roller sind seit 2019 in allen großen deutschen Städten zu finden. Wer damit fahren möchte, muss sich per App anmelden, beispielsweise seine Kreditkarten- oder PayPal-Daten angeben und kann dann Roller in der Umgebung suchen und freischalten. Und selbstverständlich zahlt man dafür. Pro Fahrt fällt ein kleiner Grundbetrag an, danach wird pro Minute abgerechnet.
Die Hoffnung, dass, wer mit Geld zahlt, keine Sorge um seine Daten haben muss, wird dabei enttäuscht. Das ist das Ergebnis unserer Testreihe, bei der wir die Anbieter Lime, Bolt, TIER und Voi untersucht haben. Persönliche Daten unserer Testperson landeten bei etlichen Drittanbietern, darunter ihr vollständiger Name, Kontaktdaten, Standort und WLAN-Informationen. Keiner der Anbieter klärte konkret über diese Praxis auf.
Diese Apps haben wir geprüft
- Lime – immer mobil (10 Mio.+ Downloads, Neutron Holdings, Inc., USA) | Zum Testbericht
- Bolt: Preiswerte Fahrten (10 Mio.+ Downloads, Bolt Technology, Estland) | Zum Testbericht
- TIER E-Scooter & E-Bikes (1 Mio.+ Downloads, Tier Mobility GmbH, Deutschland) | Zum Testbericht
- Voi – E-Scooter zum Mieten (1 Mio.+ Downloads, Voi Technology Ab, Schweden) | Zum Testbericht
Unser Testsystem: Der AppChecker
- Unser Tool AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet es sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
- Mehr Infos zum AppChecker gibt's in diesem Video.
Testbedingungen
Wir haben uns mit unserem Namen und unserer Telefonnummer in der jeweiligen App angemeldet und zusätzlich eine E-Mail-Adresse angegeben. Um E-Roller in der Nähe anzuzeigen, haben wir den Standortzugriff erlaubt. Wir haben anschließend keine Fahrt gestartet und auch keinen E-Roller freigeschaltet.
Als Zahlungsmittel haben wir PayPal angetippt, woraufhin die App auf die PayPal-Webseite umleitete. Wir haben uns nicht bei PayPal angemeldet und sind stattdessen direkt in die App zurückgekehrt.
Testergebnisse
Zwei Apps gaben Kontaktdaten an die Firma Braze, Inc.
Zwei Apps, Tier und Voi, leiteten den vollständigen Namen, die Telefonnummer und E-Mail-Adresse unserer Testperson direkt aus der App an die Firma Braze Inc. weiter. Das Marketing- und Analyseunternehmen mit Hauptsitz in New York, USA, ist auch in andere Apps eingebunden, die Dienstleistungen anbieten. Beispielsweise gaben die Apps einiger von uns analysierter Lieferdienste ebenfalls Namen und Kontaktdaten an Braze, Inc. weiter.
Die App Lime baute ebenfalls eine Internetverbindung zu Servern von Braze Inc. auf. Hier konnten wir im Test aber keine Übertragung von persönlichen Daten beobachten.
Keine der drei Apps nannte Braze in ihrer Datenschutzerklärung. Dort wurde lediglich über die Datenweitergabe für Marketingzwecke an Dritte informiert.
Werbe-IDs an Facebook und Adjust
Die Apps Bolt und Lime übermittelten die Werbe-ID des Test-Gerätes an den Analysedienst von Facebook. Entwickler können durch die Einbindung des Dienstes nachvollziehen, wie eine App genutzt wird, zum Beispiel auf welche Menüpunkte geklickt wird. Diese Informationen werden dabei automatisch auch an Facebook übermittelt. Durch das Auslesen der Werbe-ID kann der Konzern in vielen Fällen nachvollziehen, welche Person zu diesen Daten gehört.
Die Apps Voi und Tier übermittelten die Werbe-ID an den Analysedienst Adjust GmbH, aus der Tier-App erhielt Adjust außerdem den Standort der Nutzer*in.
So funktioniert die Werbe-ID:
Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Gerät eindeutig ist. Eigentlich dient sie der Anonymisierung der Nutzer*innen. Ohne genau zu wissen, wer gerade eine App verwendet, kann mit Hilfe der Nummer personenbezogene Werbung geschaltet werden. In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch sehr oft zusammen mit anderen Daten aus, sodass bei diesen Unternehmen anschließend doch klar ist, zur welcher Person die Werbe-ID gehört. Das ist insbesondere deshalb problematisch, weil sie von extrem vielen Apps ausgelesen wird. Bilden Datenhändler Profile rund um die Werbe-ID, können die daraus abgeleiteten Interessen, Vorlieben und Standorte einer realen Person zugeordnet werden, von der häufig sogar Kontakt- und Adressdaten vorliegen.
Drei Apps gaben den Standort an PayPal weiter
Sobald wir im Test PayPal als Zahlungsmittel antippten – noch bevor wir uns also für diesen Dienstleister entschieden hatten – wurden aus drei von vier getesteten Apps die genauen Standortdaten an PayPal übermittelt. Nutzen Personen Paypal tatsächlich als Zahlungsmittel, liegen dem Dienst zusätzlich der vollständige Name und die E-Mail-Adresse sowie weitere Daten rund um das Kaufverhalten vor.
Lime sendete allein die GPS-Koordinaten, Voi und Tier übermittelten zusätzlich den Namen des genutzten WLANs (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers an PayPal. Diese MAC-Adresse ist eine weltweit eindeutige und permanente Kennnummer, über die der Standort des Gerätes auch dann genau ermittelt werden kann, wenn die Standortfreigabe verweigert wird.
Keine der Apps informierte transparent über diese Datenübermittlung an PayPal.
E-Roller: Weitere Daten
Alle vier Apps banden noch weitere Marketing- und Analyseunternehmen ein, die zum Beispiel den Standort, die Werbe-ID oder beides in Kombination erhielten.
Die Bolt-App erhob bei der Nutzung den WLAN-Namen (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers.
Das sagen die Datenschutzerklärungen
Keine der vier Datenschutzerklärungen nennt die in unseren Tests identifizierten Drittanbieter namentlich. Sie weisen nur darauf hin, dass zu Analyse- und Marketingzwecken mit Partnern zusammengearbeitet wird. Die Formulierungen sind dabei schwammig gehalten.
Der Anbieter Lime gibt laut Datenschutzerklärung Kundeninformationen zum Beispiel dann weiter, „wenn die Verarbeitung für die berechtigten Interessen von Lime oder eines Dritten erforderlich ist, sofern wir diese gegen Ihre Grundrechte und Interessen abgewogen haben“.
Was genau mit den Daten der Nutzer*innen passiert, weiß und entscheidet also allein Lime.
Das können Nutzer*innen tun
Leider nicht viel. Wer mit einem der analysierten Anbieter E-Roller fahren möchte, kann die Datenerhebung in der App selbst nicht beschränken.
Zwar nennen die Anbieter in ihren Datenschutzerklärungen eine Widerspruchsmöglichkeit zur Datenweitergabe, machen aber keine Angaben dazu, was damit genau verhindert wird.
Mit Ausnahme von TIER, der eine E-Mail-Adresse zur Kontaktaufnahme nennt, geben die Anbieter im Zusammenhang mit der Widerspruchsmöglichkeit keine Hinweise für das weitere Vorgehen.
Aus unserer Sicht bleibt da nur: Fahrrad fahren.
• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten. • Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie. • Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.