Ratgeber

Apps gecheckt: Daten, die vom E-Roller fallen

Ein Artikel von , veröffentlicht am 24.11.2021
Viele Firmen erfahren, wo E-Roller-Fahrer*innen gerade unterwegs sind. Bild von Pavel Kapysh auf Pixabay

Wer sich per App einen E-Roller ausleiht, zahlt dafür. Trotzdem werden persönliche Daten an etliche Dritte weitergegeben, darunter der eigene Name, Kontaktdaten, Standort und WLAN-Informationen. Vier Apps im Datentest.

Für manche sind sie ein großer Spaß, für andere ein Ärgernis: E-Roller sind seit 2019 in allen großen deutschen Städten zu finden. Wer damit fahren möchte, muss sich per App anmelden, beispielsweise seine Kreditkarten- oder PayPal-Daten angeben und kann dann Roller in der Umgebung suchen und freischalten. Und selbstverständlich zahlt man dafür. Pro Fahrt fällt ein kleiner Grundbetrag an, danach wird pro Minute abgerechnet.

Die Hoffnung, dass, wer mit Geld zahlt, keine Sorge um seine Daten haben muss, wird dabei enttäuscht. Das ist das Ergebnis unserer Testreihe, bei der wir die Anbieter Lime, Bolt, TIER und Voi untersucht haben. Persönliche Daten unserer Testperson landeten bei etlichen Drittanbietern, darunter ihr vollständiger Name, Kontaktdaten, Standort und WLAN-Informationen. Keiner der Anbieter klärte konkret über diese Praxis auf.

Diese Apps haben wir geprüft

  • Lime – immer mobil (10 Mio.+ Downloads, Neutron Holdings, Inc., USA) | Zum Testbericht
  • Bolt: Preiswerte Fahrten (10 Mio.+ Downloads, Bolt Technology, Estland) | Zum Testbericht
  • TIER E-Scooter & E-Bikes (1 Mio.+ Downloads, Tier Mobility GmbH, Deutschland) | Zum Testbericht
  • Voi – E-Scooter zum Mieten (1 Mio.+ Downloads, Voi Technology Ab, Schweden) | Zum Testbericht

 

Unser Testsystem: Der AppChecker

  • Unser Tool AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet es sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Wir vergeben einen Privacy-Score von 1 bis 5 an Apps. Die Testberichte finden Sie auf appcheck.mobilsicher.de.
  • Mehr Infos zum AppChecker gibt's in diesem Video.

 

Testbedingungen 

Wir haben uns mit unserem Namen und unserer Telefonnummer in der jeweiligen App angemeldet und zusätzlich eine E-Mail-Adresse angegeben. Um E-Roller in der Nähe anzuzeigen, haben wir den Standortzugriff erlaubt. Wir haben anschließend keine Fahrt gestartet und auch keinen E-Roller freigeschaltet.

Als Zahlungsmittel haben wir PayPal angetippt, woraufhin die App auf die PayPal-Webseite umleitete. Wir haben uns nicht bei PayPal angemeldet und sind stattdessen direkt in die App zurückgekehrt.

Testergebnisse

Zwei Apps gaben Kontaktdaten an die Firma Braze, Inc.

Zwei Apps, Tier und Voi, leiteten den vollständigen Namen, die Telefonnummer und E-Mail-Adresse unserer Testperson direkt aus der App an die Firma Braze Inc. weiter. Das Marketing- und Analyseunternehmen mit Hauptsitz in New York, USA, ist auch in andere Apps eingebunden, die Dienstleistungen anbieten. Beispielsweise gaben die Apps einiger von uns analysierter Lieferdienste ebenfalls Namen und Kontaktdaten an Braze, Inc. weiter.

Die App Lime baute ebenfalls eine Internetverbindung zu Servern von Braze Inc. auf. Hier konnten wir im Test aber keine Übertragung von persönlichen Daten beobachten.

Keine der drei Apps nannte Braze in ihrer Datenschutzerklärung. Dort wurde lediglich über die Datenweitergabe für Marketingzwecke an Dritte informiert.

 

Werbe-IDs an Facebook und Adjust

Die Apps Bolt und Lime übermittelten die Werbe-ID des Test-Gerätes an den Analysedienst von Facebook. Entwickler können durch die Einbindung des Dienstes nachvollziehen, wie eine App genutzt wird, zum Beispiel auf welche Menüpunkte geklickt wird. Diese Informationen werden dabei automatisch auch an Facebook übermittelt. Durch das Auslesen der Werbe-ID kann der Konzern in vielen Fällen nachvollziehen, welche Person zu diesen Daten gehört.

Die Apps Voi und Tier übermittelten die Werbe-ID an den Analysedienst Adjust GmbH, aus der Tier-App erhielt Adjust außerdem den Standort der Nutzer*in.

So funktioniert die Werbe-ID:

Bei der Werbe-ID handelt es sich um eine von Google vergebene Kennnummer, die für jedes Gerät eindeutig ist. Eigentlich dient sie der Anonymisierung der Nutzer*innen. Ohne genau zu wissen, wer gerade eine App verwendet, kann mit Hilfe der Nummer personenbezogene Werbung geschaltet werden. In der Praxis lesen App-Anbieter, Marketing- und Analysefirmen die Nummer jedoch sehr oft zusammen mit anderen Daten aus, sodass bei diesen Unternehmen anschließend doch klar ist, zur welcher Person die Werbe-ID gehört. Das ist insbesondere deshalb problematisch, weil sie von extrem vielen Apps ausgelesen wird. Bilden Datenhändler Profile rund um die Werbe-ID, können die daraus abgeleiteten Interessen, Vorlieben und Standorte einer realen Person zugeordnet werden, von der häufig sogar Kontakt- und Adressdaten vorliegen.

 

Drei Apps gaben den Standort an PayPal weiter

Sobald wir im Test PayPal als Zahlungsmittel antippten – noch bevor wir uns also für diesen Dienstleister entschieden hatten – wurden aus drei von vier getesteten Apps die genauen Standortdaten an PayPal übermittelt. Nutzen Personen Paypal tatsächlich als Zahlungsmittel, liegen dem Dienst zusätzlich der vollständige Name und die E-Mail-Adresse sowie weitere Daten rund um das Kaufverhalten vor.

Lime sendete allein die GPS-Koordinaten, Voi und Tier übermittelten zusätzlich den Namen des genutzten WLANs (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers an PayPal. Diese MAC-Adresse ist eine weltweit eindeutige und permanente Kennnummer, über die der Standort des Gerätes auch dann genau ermittelt werden kann, wenn die Standortfreigabe verweigert wird.

Keine der Apps informierte transparent über diese Datenübermittlung an PayPal.

Wie die Standortermittlung per WLAN funktioniert, erfahren Sie hier.

 

E-Roller: Weitere Daten

Alle vier Apps banden noch weitere Marketing- und Analyseunternehmen ein, die zum Beispiel den Standort, die Werbe-ID oder beides in Kombination erhielten.

Die Bolt-App erhob bei der Nutzung den WLAN-Namen (z.B. LisasWLAN) sowie die MAC-Adresse des WLAN-Routers.

Das sagen die Datenschutzerklärungen

Keine der vier Datenschutzerklärungen nennt die in unseren Tests identifizierten Drittanbieter namentlich. Sie weisen nur darauf hin, dass zu Analyse- und Marketingzwecken mit Partnern zusammengearbeitet wird. Die Formulierungen sind dabei schwammig gehalten.

Der Anbieter Lime gibt laut Datenschutzerklärung Kundeninformationen zum Beispiel dann weiter, „wenn die Verarbeitung für die berechtigten Interessen von Lime oder eines Dritten erforderlich ist, sofern wir diese gegen Ihre Grundrechte und Interessen abgewogen haben“.

Was genau mit den Daten der Nutzer*innen passiert, weiß und entscheidet also allein Lime.

Das können Nutzer*innen tun

Leider nicht viel. Wer mit einem der analysierten Anbieter E-Roller fahren möchte, kann die Datenerhebung in der App selbst nicht beschränken.

Zwar nennen die Anbieter in ihren Datenschutzerklärungen eine Widerspruchsmöglichkeit zur Datenweitergabe, machen aber keine Angaben dazu, was damit genau verhindert wird.

Mit Ausnahme von TIER, der eine E-Mail-Adresse zur Kontaktaufnahme nennt, geben die Anbieter im Zusammenhang mit der Widerspruchsmöglichkeit keine Hinweise für das weitere Vorgehen.

Aus unserer Sicht bleibt da nur: Fahrrad fahren.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App Blokada (Android und iOS) erkennt viele Tracking-Verbindungen und blockiert sie. Mehr Infos hier.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

leitet die Redaktion bei mobilsicher.de. Sie recherchiert und schreibt Texte, gibt Beiträgen von anderen den letzten Schliff, betreut den YouTube-Kanal und die Webseite. Seit 2022 baut sie für den ITUJ e.V. ein Team gegen digitale Gewalt auf, mehr Infos dazu unter: ein-team.org

Weitere Artikel

Ratgeber 

Cybermobbing: Zahlen und Fakten

Für viele Schüler beginnt mit der Schule nach den Sommerferien wieder das tägliche Spießrutenlaufen - auch online. Wir geben einen Überblick, wie häufig Cybermobbing ist, wo und wie es stattfindet und wie drastisch die Auswirkungen sein können.

Mehr
Ratgeber 

Rückblick: Das Wichtigste im Juni

Wir haben nach unserer Analyse der Doctolib-App gehörig Krach geschlagen und einen ehrenamtlich entwickelten Podcast-Player zum Testsieger gekrönt. Außerdem unterstützen wir ab sofort eine Initiative gegen übergriffige Werbung. Das war der Juni bei mobilsicher.

Mehr
Ratgeber 

Passwortsperre für Google Drive bei iOS einrichten

Auch Nutzer von Apples iOS bewahren sensible Daten auf Google Drive auf, die geschützt werden sollten. Dafür lässt sich auf dem iPhone oder iPad ein Sicherheitscode vorschalten. Wir zeigen, wie man die vierstellige Zahlenkombination einrichtet oder ändert.

Mehr
Ratgeber 

Häufige App-Tracker kurz vorgestellt (Android)

Viele Android-Apps enthalten Software-Bausteine von Dritten, zum Beispiel von Werbefirmen oder Analysediensten. Wer diese Anbieter sind, erfährt man in der Regel nicht. Problematische Dienstleister auf einen Blick.

Mehr