Die Fahrer*innen von Lieferdiensten gehören seit einigen Jahren fest ins Bild deutscher Städte. Entsprechend weit verbreitet sind die zugehörigen Apps, mit denen man in wenigen Klicks Supermarktartikel oder Restaurantgerichte nach Hause bestellen kann.
Welche Artikel zu haben sind und von welchen Restaurants Essen geliefert werden kann, hängt dabei vom Liefergebiet ab, das über die angegebene Adresse bestimmt wird. Nur logisch also, dass sämtliche Apps über eine Standortfunktion verfügen. Diese muss für die Nutzung zwar nicht immer zwingend aktiviert werden – es ist in der Nutzung aber deutlich praktischer.
Neben den Adressdaten für die Lieferung, die entweder über den Standort bestimmt oder selbst eingegeben werden, fragen die meisten Anbieter auch E-Mail-Adressen und die Handynummern von Nutzer*innen ab. Insgesamt ziemlich viele Daten dafür, dass man doch eigentlich nur eine Pizza oder ein paar Packungen Chips für den Abend haben möchte.
Diese Apps haben wir geprüft
- FoodPanda (50 Mio. Downloads, Delivery Hero, Deutschland)
- Lieferando (10 Mio. Downloads, Just Eat Takeaway N.V., Niederlande)
- Wolt: Essenslieferung (5 Mio. Downloads, Wolt Enterprises Oy, Finnland)
- Gorillas (500.000 Downloads, Gorillas Technologies GmbH, Deutschland)
- Flink (100.000 Downloads, Flink Lebensmittel GmbH, Deutschland)
Keine Sieger, nur Verlierer
Unsere Analyse zeigt: Erfasste Kontakt- und Standortdaten bleiben nicht beim Dienstanbieter, sondern werden munter an Dritte weitergegeben.
Die Datenschutzerklärungen der App-Anbieter erwähnen keinen der eingebundenen Drittanbieter mit Namen. Selbst, wer diese vor der Installation liest, hat also keine Möglichkeit zu wissen, mit wem er hier abseits vom Anbieter ins Geschäft kommt.
Erwartbar ist das nicht, schließlich verdienen die Anbieter von Liefer-Apps kein Geld mit Werbung, sondern finanzieren sich zum Beispiel durch die Gebühren der teilnehmenden Restaurants.
Damit haben wir in dieser Testreihe einen neuen Negativrekord erreicht: Sämtliche getesteten Apps erhalten von uns den schlechtesten Privacy Score (Score 5).
Der AppChecker
- Untersucht haben wir die Apps mit dem AppChecker, unserem Testsystem für Android-Apps.
- Der AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet er sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
- Die Testergebnisse veröffentlichen wir auf appcheck.mobilsicher.de.
- Mehr zum AppChecker erfahren Sie in diesem Video.
Testbedingungen:
Wir sind den Empfehlungen der App gefolgt und haben bei Aufforderung den Standort freigegeben und ein Profil angelegt. Produkte wurden gezielt gesucht, allerdings kein Kauf abgeschlossen.
Auswertung: Nichts ist anonym
Das Berliner Unternehmen Adjust GmbH, das App-Anbietern Nutzungsanalysen und Erfolgsmessung bei Marketing-Kampagnen anbietet, erhielt aus sechs der sieben getesteten Apps Informationen über die Nutzer*innen.
Zu den Standortdaten und den eingegebenen Suchbegriffen bekam Adjust jeweils auch die Werbe-ID geliefert, die das genutzte Smartphone eindeutig identifiziert. Sie hat den Zweck, Nutzeranalysen und personalisierte Werbung zu ermöglichen.
Ursprünglich sollte diese zufällige Nummer der anonymen Wiedererkennung von Nutzer*innen dienen. Wir sehen in unseren Analysen aber regelmäßig, dass die Werbe-ID gemeinsam mit eindeutigen Nutzerinformationen wie dem Namen oder der E-Mail-Adresse erhoben wird. In dem Moment verliert sie ihre Anonymität und lässt eindeutig auf Personen schließen.
Das Datensendeverhalten der foodpanda-App zeigt besonders eindrücklich, wie das Anonymitätsversprechen der Werbe-ID ins Leere laufen kann. Die App gab den vollen Namen, die Telefonnummer und die E-Mail-Adresse zusammen mit der Werbe-ID an das US-amerikanische Marketingunternehmen Braze Inc. weiter.
Die meisten Daten erhielt in unserer Testreihe aber die Adjust GmbH. Die Analysefirma bekam umfassende Informationen darüber, wie die Apps genutzt werden und wann Nutzer*innen sich wo aufhalten (und damit auch, wo sie vermutlich wohnen und arbeiten). Über die Werbe-ID kann das Unternehmen auch erfahren, dass Sie außer der Liefer-App auch eine Poker-App und eine App zur Nikotinentwöhnung auf Ihrem Smartphone installiert haben.
Auch der Analysedienst von Facebook erhielt aus sechs von sieben Apps die Werbe-ID. Wenn Nutzer*innen zusätzlich Facebook oder Instagram auf Ihrem Smartphone installiert haben, kann der Mutterkonzern die Daten aus der App-Nutzung so mit Ihrem Social-Media-Profil verknüpfen.
Die Ergebnisse im Einzelnen
- foodpanda gab den vollen Namen, die Telefonnummer und die E-Mail-Adresse zusammen mit der Werbe-ID an die Marketingfirma Braze Inc. mit Sitz in den USA. Die Analysefirma Adjust GmbH mit Sitz in Berlin erhielt den Standort zusammen mit der Werbe-ID. Der Analysedienst von Facebook und der Anbieter der App erhielten ebenfalls die Werbe-ID.
- Lieferando übermittelte den Standort zusammen mit der Werbe-ID an die Analysefirma Adjust GmbH. Google erhielt den Standort, der Analysedienst von Facebook die Werbe-ID und die US-Marketingfirma LeanPlum die eingegebene E-Mail-Adresse.
- Wolt reichte den Standort zusammen mit der Werbe-ID an den israelischen Marketing- und Betrugserkennungsdienst Riskified weiter. Der US-Anbieter für Chat-Funktionen, Intercom, Inc., erhielt den vollen Namen und die E-Mail-Adresse. Mehrere weitere Drittanbieter erhielten die Werbe-ID, darunter der Analysedienst von Facebook.
- Gorillas gab den vollen Namen, die Telefonnummer und die E-Mail-Adresse an die Marketing- und Analysefirmen Braze Inc. und Segment.io mit Sitz in den USA. Letzterer erhielt zudem die eingegebenen Suchbegriffe. Die Suchbegriffe gingen auch an die Adjust GmbH, zusammen mit der Werbe-ID. Auch der Analysedienst von Facebook erhielt diese eindeutige Geräte-Nummer.
- Flink teilte den Standort, die eingegebene Lieferadresse und alle Suchbegriffe mit den Marketing- und Analysefirmen Adjust GmbH, Braze, Inc. und Segment.io. Die Adjust GmbH erhielt zusätzlich auch die Werbe-ID. Ein Profil kann man in der Flink-App nicht anlegen, daher wurden keine Telefonnummer und keine E-Mail-Adresse erfasst.
Stellungnahmen der Anbieter
Wir haben alle Anbieter der getesteten Apps über die Ergebnisse informiert.
Flink teilte gegenüber mobilsicher.de mit, dass mit den eingebundenen Drittanbietern Vereinbarungen zur Auftragsdatenverarbeitung geschlossen worden seien. Die erhobenen personenbezogenen Daten würden also nur im Rahmen dieses Auftrages verarbeitet und nicht für eigene Zwecke verwendet. Inwiefern zum Beispiel die Werbe-ID oder Standortdaten als personenbezogen gesehen und behandelt werden, ist zum aktuellen Zeitpunkt allerdings nicht geklärt.
Wolt teilte am 17. August 2021 mit, dass die Ergebnisse aus unserem Test "mit bestem Gewissen" geprüft würden und man sich "schnellstmöglich zurückmelden" werde. Auch auf nochmalige Nachfrage erhielten wir keine Reaktion.
Gorillas bedankte sich mit einer Standardantwort für das Interesse an der Zusammenarbeit und verwies uns an die E-Mail-Adresse für Partnerschaftsanfragen. Auf unsere Anfrage meldeten sie sich ansonsten nicht zurück.
foodpanda und Lieferando meldeten sich bis zur Veröffentlichung dieses Textes nicht. Sollten noch Stellungnahmen eintreffen, werden sie hier als Update ergänzt.
• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten. • Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie. • Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.