Ratgeber

Apps gecheckt: Wenn Dritte mitlesen, was du shoppst (Android)

Ein Artikel von , veröffentlicht am 21.05.2021

Shopping-Apps erfassen häufig den Standort, eindeutige Geräte-IDs und sämtliche Suchbegriffe. Wohin versenden sie diese Informationen? Wir haben die Apps großer deutscher Baumärkte und die IKEA-App geprüft.

App laden, Produkt suchen, kaufen – so funktionieren viele Apps aus dem Einzelhandel, vom Klamottenladen bis zum Baumarkt. Das Produkt holt man entweder in der Filiale ab oder lässt es sich nach Hause schicken. Diese Art des Einkaufens gab es schon vor der Corona-Zeit – doch seit man Geschäfte nicht mehr ohne weiteres betreten darf, ist Shopping per App gefragter denn je.

Die meisten Shopping-Apps fragen zu Beginn den Standort ab, um die nächste Filiale zu finden. Auch lassen sie sich oft vollständige Adressdaten geben, um den Kauf abwickeln zu können. Welche Geräte-Informationen zusätzlich ausgelesen werden, sehen Nutzer*innen nicht. Auch lässt sich von außen nicht nachvollziehen, mit wem Apps ihre Informationen teilen – ob etwa der Standort, die E-Mail-Adresse oder die Namen der gesuchten Produkte an Dritte weitergegeben werden.

In unserer neusten Testreihe haben wir stellvertretend die Apps der größten deutschen Baumärkte und zusätzlich die IKEA-App auf ihr Datensendeverhalten geprüft. Was also passiert im Hintergrund, wenn man etwa „Blumentopf“ in die Suche eingibt, das Produkt in den Warenkorb legt und schließlich kauft?

Der AppChecker

  • Untersucht haben wir die Apps mit dem AppChecker, unserem Testsystem für Android-Apps.
  • Der AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet er sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Die Testergebnisse veröffentlichen wir auf appcheck.mobilsicher.de. Wir vergeben einen Privacy-Score von 1 bis 5 an Apps.
  • Mehr zum AppChecker erfahren Sie in diesem Video.

Diese Apps haben wir geprüft

 

Testbedingungen:

Wir sind den Empfehlungen der App gefolgt und haben bei Aufforderung den Standort freigegeben und ein Profil angelegt. Produkte wurden gezielt gesucht und in den Warenkorb gelegt, allerdings kein Kauf abgeschlossen.

Testsieger: IKEA, Bauhaus

Am besten schnitt bei unserer Analyse die IKEA-App ab. Sie kontaktierte neben dem Anbieter der App nur einen weitere Dienst. Der Anbieter, die Inter IKEA Systems B.V., erhielt nur Daten, die wir selbst in der App eingegeben hatten. Als einzige zusätzliche Verbindung beobachteten wir den Captcha-Dienst von Google, der sicherstellt, dass ein Mensch und kein Roboter die App bedient.

Wie bewerten wir Google-Dienste im AppChecker?

Den Datenfluss an Google-Dienste halten wir durchaus für problematisch. Er stellt bei handelsüblichen Android-Geräten aber kein zusätzliches Risiko dar. Denn diese Geräte leiten über den Play-Store und andere Android-Dienste ohnehin Informationen an Google weiter, darunter die Werbe-ID, die IMEI, die Namen aller installierten Apps und wann diese genutzt wurden. Daher können Apps, die diese Informationen ebenfalls an Google senden, auch den Privacy-Score 2 (geringes Risiko) erhalten. Nur wenn eine App darüber hinaus Informationen an Google sendet, zum Beispiel den Standort oder die E-Mail-Adresse, gibt es von uns Punkteabzug.

Ähnlich sah es in der Bauhaus-App aus, die allerdings kein Shopping bietet, sondern als reiner Umzugsplaner konzipiert ist. Die eingetragenen To-Do-Punkte und Kalenderdaten wurden in unserem Test lokal auf dem Gerät gespeichert und nicht an Dritte weitergeben. Mit der Adobe Inc. und der New Relic Inc. wurden im Test zwar zwei Analysedienste kontaktiert, diese erhielten jedoch keine persönlichen Daten aus der App.

Die Testverlierer

Am schlechtesten schnitt in unserem Test die App des Baumarkts Hellweg ab. Sie nahm im Test nicht nur Kontakt zum Analysedienst von Facebook auf, sondern übertrug dorthin auch den Nachnamen unserer Testnutzerin, ihre E-Mail-Adresse und die eingegebenen Suchbegriffe. Dass Facebook Teil der App ist, können Nutzer*innen im Gebrauch nicht erkennen.

Facebook kann anhand der E-Mail-Adresse die Informationen aus der App einem Personenprofil zuordnen und daraus Interessen und Vorlieben ableiten. So kann das soziale Netzwerk dann besonders effizient interessenbezogene Werbung schalten.

Die Hellweg-App nahm insgesamt Kontakt zu 14 Drittanbietern auf, von denen mindestens sechs im Feld Nutzeranalyse und Marketing tätig sind. In der Datenschutzerklärung der App wird keiner dieser Drittanbieter genannt.

Wir unterscheiden grundsätzlich zwischen dem Anbieter einer App und eingebundenen Drittanbietern. Während Nutzer*innen den Anbieter kennen und entscheiden können, ob sie ihm vertrauen, bleiben Drittanbieter in der Regel im Dunkeln. Mehr dazu erklären wir hier.

Auch die heyOBI-App versendete kritische Daten an Dritte. Sie nahm im Test Kontakt zu insgesamt 17 Drittanbietern auf. Die Adjust GmbH erhielt neben Informationen über die App-Nutzung (z.B. Zeitpunkt, Dauer) mit der Werbe-ID auch ein eindeutiges Erkennungsmerkmal des Testgeräts. Die damit verknüpften Informationen können einem bestehenden Personenprofil zugeordnet werden, aus dem Interessen und Vorlieben abgeleitet werden können.

Die Obi-App erfasste beim Shopping auch den Standort des Gerätes und leitete diese Information an an die Suchmaschine Bing (Microsoft) und an den deutsch-amerikanischen Dienstleister Instana Inc. weiter. Bing benötigt den Standort, um die Filialen in der Nähe zu suchen und auf einer Karte anzuzeigen. Instana Inc. vermarktet einen Dienst, mit dem App-Anbieter Funktionsfehler in der App überwachen können. Wozu der Dienstleister den Standort des Gerätes benötigt, ist unklar.

Die Hagebau-App band sechs Drittanbieter ein. Auffällig ist hier der Anbieter Gimbal Inc., der auf standortbasierte Werbe- und Marketingdienstleistungen spezialisiert und die GPS-Koordinaten des Gerätes auf die Server der Firma übertrug.  Auch wenn Gimbal dabei keine eindeutigen Kennnummern erfasste, ist es nicht unwahrscheinlich, dass mit diesen Informationen ein Bewegungsprofil erstellt wird, das einer Person zugeordnet werden kann.

Das Mittelfeld

Die Hornbach-App schnitt noch zufriedenstellend ab: Sie nahm im Test zwar Kontakt zu Drittanbietern auf, diese erhielten aber keine persönlichen Daten aus der App. Eingebunden waren der Absturzmelder Bugsnag, der Pushnachrichten-Dienst Pushwoosh und die Marketing-Firma Mapp Digital by Webtrekk GmbH.

Die Toom-App nahm Kontakt zu 14 Drittanbietern auf. Für die Newsletter-Anmeldung greift die App auf die Publicare Marketing Communications GmbH zurück, die entsprechend die E-Mail-Adresse und den vollen Namen unserer Testperson erfasste.

Fazit

Wer in Shopping-Apps einkauft und seinen Standort für die Filialsuche freigibt, muss leider davon ausgehen, dass nicht nur die eingegebenen Suchbegriffe an Werbe- und Analysedienstleister übermittelt werden, sondern oft auch der Standort und manchmal sogar die angegebene E-Mail-Adresse. Wer die Datenschutzerklärung nicht studiert, erfährt davon nichts.

Dies ist einerseits nicht ganz verwunderlich, schließlich haben die Anbieter ein Interesse daran, ihre Waren auch online bestmöglich zu vermarkten. Nutzer*innen, die sich die App des Anbieters auf das Handy laden, gelten in dieser Industrie als besonders wertvoll und werden sorgfältig vermessen und im Netz beobachtet.

Andererseits gilt der übliche "kostenlose Leistung gegen Daten"-Deal gerade bei Shopping-Apps auf keinen Fall: Denn die Ware müssen Kund*innen am Ende ja trotzdem mit Geld bezahlen. Aus diesem Blickwinkel ist der direkte Besuch im Laden für Kund*innen jedenfalls das bessere Geschäft.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Inga Pöting ist Chefin vom Dienst bei mobilsicher.de. Sie gibt Texten den letzten Schliff, kümmert sich um die Webseite und erklärt Apps und Smartphone-Funktionen vor der Kamera. Davor hat sie im Ruhrgebiet für verschiedene Zeitungen und Magazine geschrieben.

Weitere Artikel

Ratgeber 

Das Datenschutz-Symbol bei iOS 11.3

Vielleicht ist es Ihnen schon aufgefallen: Seit iOS 11.3 taucht ein neues Symbol auf, wenn Sie bestimmte Apple-Apps das erste Mal starten. iOS signalisiert damit, dass die App persönliche Daten von Ihrem Gerät abfragt. Wir erklären, was hinter dem Symbol steckt und für welche Apps es gilt.

Mehr
Ratgeber 

Anleitung: USB-Debugging aktivieren (Android)

Für Backups und Synchronisierungen via USB-Kabel muss bei einigen Apps das USB-Debugging aktiviert werden. Die Funktion ist hauptsächlich für Entwickler*innen gedacht und sollte mit Bedacht genutzt werden. Wir zeigen, wie es geht.

Mehr
Ratgeber 

Navi-Apps im Check: Apples „Karten“

Die Navi-App für iOS heißt schlicht "Karten". Apple verwendet dafür Geodaten anderer Anbieter. Das hat Nachteile: zum Beispiel dauert es länger, Darstellungsfehler zu beheben. Apple plant daher ein großes Update mit eigenem Kartenmaterial ab Herbst 2018. Nutzerdaten bleiben laut Apple immer anonym.

Mehr
YouTube-Video 

Collabora Office: Diese Google-Docs-Alternative empfehlen wir

Texte bearbeiten auf dem Handy - dafür braucht es eine gut laufende App. Wer auf Google Docs lieber verzichtet, findet mit Collabora Office eine vollwertige Alternative für Android und iOS. Die App ist quelloffen, kostenlos und werbefrei.

Ansehen