Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
Ratgeber

Apps gecheckt: Wenn Dritte mitlesen, was du shoppst (Android)

Ein Artikel von Inga Pöting, veröffentlicht am 21.05.2021

Shopping-Apps erfassen häufig den Standort, eindeutige Geräte-IDs und sämtliche Suchbegriffe. Wohin versenden sie diese Informationen? Wir haben die Apps großer deutscher Baumärkte und die IKEA-App geprüft.

App laden, Produkt suchen, kaufen – so funktionieren viele Apps aus dem Einzelhandel, vom Klamottenladen bis zum Baumarkt. Das Produkt holt man entweder in der Filiale ab oder lässt es sich nach Hause schicken. Diese Art des Einkaufens gab es schon vor der Corona-Zeit – doch seit man Geschäfte nicht mehr ohne weiteres betreten darf, ist Shopping per App gefragter denn je.

Die meisten Shopping-Apps fragen zu Beginn den Standort ab, um die nächste Filiale zu finden. Auch lassen sie sich oft vollständige Adressdaten geben, um den Kauf abwickeln zu können. Welche Geräte-Informationen zusätzlich ausgelesen werden, sehen Nutzer*innen nicht. Auch lässt sich von außen nicht nachvollziehen, mit wem Apps ihre Informationen teilen – ob etwa der Standort, die E-Mail-Adresse oder die Namen der gesuchten Produkte an Dritte weitergegeben werden.

In unserer neusten Testreihe haben wir stellvertretend die Apps der größten deutschen Baumärkte und zusätzlich die IKEA-App auf ihr Datensendeverhalten geprüft. Was also passiert im Hintergrund, wenn man etwa „Blumentopf“ in die Suche eingibt, das Produkt in den Warenkorb legt und schließlich kauft?

Der AppChecker

  • Untersucht haben wir die Apps mit dem AppChecker, unserem Testsystem für Android-Apps.
  • Der AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet er sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Die Testergebnisse veröffentlichen wir auf appcheck.mobilsicher.de.
  • Mehr zum AppChecker erfahren Sie in diesem Video.

Diese Apps haben wir geprüft

 

Testbedingungen:

Wir sind den Empfehlungen der App gefolgt und haben bei Aufforderung den Standort freigegeben und ein Profil angelegt. Produkte wurden gezielt gesucht und in den Warenkorb gelegt, allerdings kein Kauf abgeschlossen.

Testsieger: IKEA, Bauhaus

Am besten schnitt bei unserer Analyse die IKEA-App ab. Sie kontaktierte neben dem Anbieter der App nur einen weitere Dienst. Der Anbieter, die Inter IKEA Systems B.V., erhielt nur Daten, die wir selbst in der App eingegeben hatten. Als einzige zusätzliche Verbindung beobachteten wir den Captcha-Dienst von Google, der sicherstellt, dass ein Mensch und kein Roboter die App bedient.

Wie bewerten wir Google-Dienste im AppChecker?

Den Datenfluss an Google-Dienste halten wir durchaus für problematisch. Er stellt bei handelsüblichen Android-Geräten aber kein zusätzliches Risiko dar. Denn diese Geräte leiten über den Play-Store und andere Android-Dienste ohnehin Informationen an Google weiter, darunter die Werbe-ID, die IMEI, die Namen aller installierten Apps und wann diese genutzt wurden. Daher können Apps, die diese Informationen ebenfalls an Google senden, ein geringes Risiko erhalten. Nur wenn eine App darüber hinaus Informationen an Google sendet, zum Beispiel den Standort oder die E-Mail-Adresse, gibt es von uns Punkteabzug.

Ähnlich sah es in der Bauhaus-App aus, die allerdings kein Shopping bietet, sondern als reiner Umzugsplaner konzipiert ist. Die eingetragenen To-Do-Punkte und Kalenderdaten wurden in unserem Test lokal auf dem Gerät gespeichert und nicht an Dritte weitergeben. Mit der Adobe Inc. und der New Relic Inc. wurden im Test zwar zwei Analysedienste kontaktiert, diese erhielten jedoch keine persönlichen Daten aus der App.

Die Testverlierer

Am schlechtesten schnitt in unserem Test die App des Baumarkts Hellweg ab. Sie nahm im Test nicht nur Kontakt zum Analysedienst von Facebook auf, sondern übertrug dorthin auch den Nachnamen unserer Testnutzerin, ihre E-Mail-Adresse und die eingegebenen Suchbegriffe. Dass Facebook Teil der App ist, können Nutzer*innen im Gebrauch nicht erkennen.

Facebook kann anhand der E-Mail-Adresse die Informationen aus der App einem Personenprofil zuordnen und daraus Interessen und Vorlieben ableiten. So kann das soziale Netzwerk dann besonders effizient interessenbezogene Werbung schalten.

Die Hellweg-App nahm insgesamt Kontakt zu 14 Drittanbietern auf, von denen mindestens sechs im Feld Nutzeranalyse und Marketing tätig sind. In der Datenschutzerklärung der App wird keiner dieser Drittanbieter genannt.

Wir unterscheiden grundsätzlich zwischen dem Anbieter einer App und eingebundenen Drittanbietern. Während Nutzer*innen den Anbieter kennen und entscheiden können, ob sie ihm vertrauen, bleiben Drittanbieter in der Regel im Dunkeln. Mehr dazu erklären wir hier.

Auch die heyOBI-App versendete kritische Daten an Dritte. Sie nahm im Test Kontakt zu insgesamt 17 Drittanbietern auf. Die Adjust GmbH erhielt neben Informationen über die App-Nutzung (z.B. Zeitpunkt, Dauer) mit der Werbe-ID auch ein eindeutiges Erkennungsmerkmal des Testgeräts. Die damit verknüpften Informationen können einem bestehenden Personenprofil zugeordnet werden, aus dem Interessen und Vorlieben abgeleitet werden können.

Die Obi-App erfasste beim Shopping auch den Standort des Gerätes und leitete diese Information an an die Suchmaschine Bing (Microsoft) und an den deutsch-amerikanischen Dienstleister Instana Inc. weiter. Bing benötigt den Standort, um die Filialen in der Nähe zu suchen und auf einer Karte anzuzeigen. Instana Inc. vermarktet einen Dienst, mit dem App-Anbieter Funktionsfehler in der App überwachen können. Wozu der Dienstleister den Standort des Gerätes benötigt, ist unklar.

Die Hagebau-App band sechs Drittanbieter ein. Auffällig ist hier der Anbieter Gimbal Inc., der auf standortbasierte Werbe- und Marketingdienstleistungen spezialisiert und die GPS-Koordinaten des Gerätes auf die Server der Firma übertrug.  Auch wenn Gimbal dabei keine eindeutigen Kennnummern erfasste, ist es nicht unwahrscheinlich, dass mit diesen Informationen ein Bewegungsprofil erstellt wird, das einer Person zugeordnet werden kann.

Das Mittelfeld

Die Hornbach-App schnitt noch zufriedenstellend ab: Sie nahm im Test zwar Kontakt zu Drittanbietern auf, diese erhielten aber keine persönlichen Daten aus der App. Eingebunden waren der Absturzmelder Bugsnag, der Pushnachrichten-Dienst Pushwoosh und die Marketing-Firma Mapp Digital by Webtrekk GmbH.

Die Toom-App nahm Kontakt zu 14 Drittanbietern auf. Für die Newsletter-Anmeldung greift die App auf die Publicare Marketing Communications GmbH zurück, die entsprechend die E-Mail-Adresse und den vollen Namen unserer Testperson erfasste.

Fazit

Wer in Shopping-Apps einkauft und seinen Standort für die Filialsuche freigibt, muss leider davon ausgehen, dass nicht nur die eingegebenen Suchbegriffe an Werbe- und Analysedienstleister übermittelt werden, sondern oft auch der Standort und manchmal sogar die angegebene E-Mail-Adresse. Wer die Datenschutzerklärung nicht studiert, erfährt davon nichts.

Dies ist einerseits nicht ganz verwunderlich, schließlich haben die Anbieter ein Interesse daran, ihre Waren auch online bestmöglich zu vermarkten. Nutzer*innen, die sich die App des Anbieters auf das Handy laden, gelten in dieser Industrie als besonders wertvoll und werden sorgfältig vermessen und im Netz beobachtet.

Andererseits gilt der übliche "kostenlose Leistung gegen Daten"-Deal gerade bei Shopping-Apps auf keinen Fall: Denn die Ware müssen Kund*innen am Ende ja trotzdem mit Geld bezahlen. Aus diesem Blickwinkel ist der direkte Besuch im Laden für Kund*innen jedenfalls das bessere Geschäft.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier gehts zur Anmeldung.

Weitere Artikel

Ratgeber 

Android-Apps ersetzen: Fotogalerie

Galerie-Apps sind auf Android-Geräten standardmäßig vorinstalliert. Häufig fragen diese Apps viele Berechtigungen ab, die "Fotos"-App von Google synchronisiert Ihre Bilder automatisch ins Internet. Welche alternativen Fotogalerien wir empfehlen, erfahren Sie hier.

Mehr
Ratgeber 

VPN-Dienst auswählen: Das sollten Sie beachten

Wer seine Datenverbindung über einen VPN-Server umleitet, kann seine Datenspuren verwischen. Doch bei der Auswahl des Anbieters sollten Sie sorgfältig sein - denn er hat vollen Zugriff auf Ihre Datenverbindungen. Welche VPN-Apps wir empfehlen, erfahren Sie hier.

Mehr
Ratgeber 

Gefälschte Profile und die SMS-TAN

Manche Leistungen kann man im Internet per Mobilfunknummer bezahlen – sie werden dann auf die Handyrechnung gesetzt. Das machen sich Betrüger*innen zunutze. Als falsche Freund*innen erschleichen sie sich Ihre Telefonnummer und den Bestätigungs-Code und kaufen auf Ihre Kosten ein.

Mehr
Ratgeber 

IMSI-Catcher: So lassen sich Informationen übers Handynetz abfangen

Mit einem IMSI-Catcher lassen sich Handydaten über das Mobilfunknetz abfangen. Eingesetzt werden die Geräte zum Beispiel von Polizei und Geheimdiensten. Doch wer sich gut auskennt, kann so einen Spion auch selbst bauen. Wir erklären, was erlaubt ist und wie man sich schützen kann.

Mehr