Ratgeber

Apps gecheckt: Daten, die vom E-Roller fallen

Ein Artikel von , veröffentlicht am 24.11.2021
Viele Firmen erfahren, wo E-Roller-Fahrer*innen gerade unterwegs sind. Bild von Pavel Kapysh auf Pixabay

Wer sich per App einen E-Roller ausleiht, zahlt dafür. Trotzdem werden persönliche Daten an etliche Dritte weitergegeben, darunter der eigene Name, Kontaktdaten, Standort und WLAN-Informationen. Vier Apps im Datentest.

Für manche sind sie ein großer Spaß, für andere ein Ärgernis: E-Roller sind seit 2019 in allen großen deutschen Städten zu finden. Wer damit fahren möchte, muss sich per App anmelden, beispielsweise seine Kreditkarten- oder PayPal-Daten angeben und kann dann Roller in der Umgebung suchen und freischalten. Und selbstverständlich zahlt man dafür. Pro Fahrt fällt ein kleiner Grundbetrag an, danach wird pro Minute abgerechnet.

Die Hoffnung, dass, wer mit Geld zahlt, keine Sorge um seine Daten haben muss, wird dabei enttäuscht. Das ist das Ergebnis unserer Testreihe, bei der wir die Anbieter Lime, Bolt, TIER und Voi untersucht haben. Persönliche Daten unserer Testperson landeten bei etlichen Drittanbietern, darunter ihr vollständiger Name, Kontaktdaten, Standort und WLAN-Informationen. Keiner der Anbieter klärte konkret über diese Praxis auf.

Diese Apps haben wir geprüft

  • Lime – immer mobil (10 Mio.+ Downloads, Neutron Holdings, Inc., USA) | Zum Testbericht
  • Bolt: Preiswerte Fahrten (10 Mio.+ Downloads, Bolt Technology, Estland) | Zum Testbericht
  • TIER E-Scooter & E-Bikes (1 Mio.+ Downloads, Tier Mobility GmbH, Deutschland) | Zum Testbericht
  • Voi – E-Scooter zum Mieten (1 Mio.+ Downloads, Voi Technology Ab, Schweden) | Zum Testbericht

 

Unser Testsystem: Der AppChecker

  • Unser Tool AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet es sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Mehr Infos zum AppChecker gibt's in diesem Video.

 

Testbedingungen 

Wir haben uns mit unserem Namen und unserer Telefonnummer in der jeweiligen App angemeldet und zusätzlich eine E-Mail-Adresse angegeben. Um E-Roller in der Nähe anzuzeigen, haben wir den Standortzugriff erlaubt. Wir haben anschließend keine Fahrt gestartet und auch keinen E-Roller freigeschaltet.

Als Zahlungsmittel haben wir PayPal angetippt, woraufhin die App auf die PayPal-Webseite umleitete. Wir haben uns nicht bei PayPal angemeldet und sind stattdessen direkt in die App zurückgekehrt.

Testergebnisse

Zwei Apps gaben Kontaktdaten an die Firma Braze, Inc.

Zwei Apps, Tier und Voi, leiteten den vollständigen Namen, die Telefonnummer und E-Mail-Adresse unserer Testperson direkt aus der App an die Firma Braze Inc. weiter. Das Marketing- und Analyseunternehmen mit Hauptsitz in New York, USA, ist auch in andere Apps eingebunden, die Dienstleistungen anbieten. Beispielsweise gaben die Apps einiger von uns analysierter Lieferdienste ebenfalls Namen und Kontaktdaten an Braze, Inc. weiter.

Die App Lime baute ebenfalls eine Internetverbindung zu Servern von Braze Inc. auf. Hier konnten wir im Test aber keine Übertragung von persönlichen Daten beobachten.

Keine der drei Apps nannte Braze in ihrer Datenschutzerklärung. Dort wurde lediglich über die Datenweitergabe für Marketingzwecke an Dritte informiert.

 

Werbe-IDs an Facebook und Adjust

Die Apps Bolt und Lime übermittelten die Werbe-ID des Test-Gerätes an den Analysedienst von Facebook. Entwickler können durch die Einbindung des Dienstes nachvollziehen, wie eine App genutzt wird, zum Beispiel auf welche Menüpunkte geklickt wird. Diese Informationen werden dabei automatisch auch an Facebook übermittelt. Durch das Auslesen der Werbe-ID kann der Konzern in vielen Fällen nachvollziehen, welche Person zu diesen Daten gehört.

Die Apps Voi und Tier übermittelten die Werbe-ID an den Analysedienst Adjust GmbH, aus der Tier-App erhielt Adjust außerdem den Standort der Nutzer*in.

So funktioniert die Werbe-ID:

Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Gerät eindeutig ist. Eigentlich dient sie der Anonymisierung der Nutzer*innen. Ohne genau zu wissen, wer gerade eine App verwendet, kann mit Hilfe der Nummer personenbezogene Werbung geschaltet werden. In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch sehr oft zusammen mit anderen Daten aus, sodass bei diesen Unternehmen anschließend doch klar ist, zur welcher Person die Werbe-ID gehört. Das ist insbesondere deshalb problematisch, weil sie von extrem vielen Apps ausgelesen wird. Bilden Datenhändler Profile rund um die Werbe-ID, können die daraus abgeleiteten Interessen, Vorlieben und Standorte einer realen Person zugeordnet werden, von der häufig sogar Kontakt- und Adressdaten vorliegen.

 

Drei Apps gaben den Standort an PayPal weiter

Sobald wir im Test PayPal als Zahlungsmittel antippten – noch bevor wir uns also für diesen Dienstleister entschieden hatten – wurden aus drei von vier getesteten Apps die genauen Standortdaten an PayPal übermittelt. Nutzen Personen Paypal tatsächlich als Zahlungsmittel, liegen dem Dienst zusätzlich der vollständige Name und die E-Mail-Adresse sowie weitere Daten rund um das Kaufverhalten vor.

Lime sendete allein die GPS-Koordinaten, Voi und Tier übermittelten zusätzlich den Namen des genutzten WLANs (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers an PayPal. Diese MAC-Adresse ist eine weltweit eindeutige und permanente Kennnummer, über die der Standort des Gerätes auch dann genau ermittelt werden kann, wenn die Standortfreigabe verweigert wird.

Keine der Apps informierte transparent über diese Datenübermittlung an PayPal.

Wie die Standortermittlung per WLAN funktioniert, erfahren Sie hier.

 

E-Roller: Weitere Daten

Alle vier Apps banden noch weitere Marketing- und Analyseunternehmen ein, die zum Beispiel den Standort, die Werbe-ID oder beides in Kombination erhielten.

Die Bolt-App erhob bei der Nutzung den WLAN-Namen (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers.

Das sagen die Datenschutzerklärungen

Keine der vier Datenschutzerklärungen nennt die in unseren Tests identifizierten Drittanbieter namentlich. Sie weisen nur darauf hin, dass zu Analyse- und Marketingzwecken mit Partnern zusammengearbeitet wird. Die Formulierungen sind dabei schwammig gehalten.

Der Anbieter Lime gibt laut Datenschutzerklärung Kundeninformationen zum Beispiel dann weiter, „wenn die Verarbeitung für die berechtigten Interessen von Lime oder eines Dritten erforderlich ist, sofern wir diese gegen Ihre Grundrechte und Interessen abgewogen haben“.

Was genau mit den Daten der Nutzer*innen passiert, weiß und entscheidet also allein Lime.

Das können Nutzer*innen tun

Leider nicht viel. Wer mit einem der analysierten Anbieter E-Roller fahren möchte, kann die Datenerhebung in der App selbst nicht beschränken.

Zwar nennen die Anbieter in ihren Datenschutzerklärungen eine Widerspruchsmöglichkeit zur Datenweitergabe, machen aber keine Angaben dazu, was damit genau verhindert wird.

Mit Ausnahme von TIER, der eine E-Mail-Adresse zur Kontaktaufnahme nennt, geben die Anbieter im Zusammenhang mit der Widerspruchsmöglichkeit keine Hinweise für das weitere Vorgehen.

Aus unserer Sicht bleibt da nur: Fahrrad fahren.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Ratgeber 

Android One: Pures Android für aktuellere Geräte

Bei Android One passen Hersteller das Android-System nicht selbst für ihre Geräte an, sondern bekommen eine fertige Version von Android-Entwickler Google. Auch Handys und Tablets, die nicht von Google produziert werden, bekommen so schneller Updates. Das macht sie sicherer - und Google stärker.

Mehr
Ratgeber 

Facebook unterwegs: Zugriffsrechte, Tracking, Akkulaufzeit

Für viele Nutzer ist Facebook der wichtigste Dienst auf dem Smartphone. Das Problem: Die Facebook-App verlangt viele Zugriffsrechte und verbraucht Akku und Speicherplatz. Die meisten dieser Probleme lassen sich lösen – wir erklären, wie.

Mehr
Ratgeber 

Opt-out: Telefonnummer-Weitergabe bei WhatsApp widersprechen

Die aktuellen AGB von WhatsApp verbindet die Telefonnummern und Nutzungsdaten der WhatsApp-Nutzer mit Unternehmen, die über Facebook für Kunden direkt erreichbar sind. Wer seine Daten nicht teilen möchte, sollte der Weitergabe widersprechen.

Mehr
Ratgeber 

Apps gecheckt: Diese Selfie-Apps sammeln deine Gesichtsdaten (Android)

Bild hochladen, Katzenohren dran, fertig: Fotofilter für Selfies gibt es schon lange. Doch was passiert, wenn Software-Firmen ihr Geschäftsmodell ganz auf die Gesichter von Nutzer*innen ausrichten? Sechs beliebte Apps im Test.

Mehr