Ratgeber

Apps gecheckt: Wenn Dritte mitlesen, was du shoppst (Android)

Ein Artikel von , veröffentlicht am 21.05.2021

Shopping-Apps erfassen häufig den Standort, eindeutige Geräte-IDs und sämtliche Suchbegriffe. Wohin versenden sie diese Informationen? Wir haben die Apps großer deutscher Baumärkte und die IKEA-App geprüft.

App laden, Produkt suchen, kaufen – so funktionieren viele Apps aus dem Einzelhandel, vom Klamottenladen bis zum Baumarkt. Das Produkt holt man entweder in der Filiale ab oder lässt es sich nach Hause schicken. Diese Art des Einkaufens gab es schon vor der Corona-Zeit – doch seit man Geschäfte nicht mehr ohne weiteres betreten darf, ist Shopping per App gefragter denn je.

Die meisten Shopping-Apps fragen zu Beginn den Standort ab, um die nächste Filiale zu finden. Auch lassen sie sich oft vollständige Adressdaten geben, um den Kauf abwickeln zu können. Welche Geräte-Informationen zusätzlich ausgelesen werden, sehen Nutzer*innen nicht. Auch lässt sich von außen nicht nachvollziehen, mit wem Apps ihre Informationen teilen – ob etwa der Standort, die E-Mail-Adresse oder die Namen der gesuchten Produkte an Dritte weitergegeben werden.

In unserer neusten Testreihe haben wir stellvertretend die Apps der größten deutschen Baumärkte und zusätzlich die IKEA-App auf ihr Datensendeverhalten geprüft. Was also passiert im Hintergrund, wenn man etwa „Blumentopf“ in die Suche eingibt, das Produkt in den Warenkorb legt und schließlich kauft?

Der AppChecker

  • Untersucht haben wir die Apps mit dem AppChecker, unserem Testsystem für Android-Apps.
  • Der AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet er sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Die Testergebnisse veröffentlichen wir auf appcheck.mobilsicher.de. Wir vergeben einen Privacy-Score von 1 bis 5 an Apps.
  • Mehr zum AppChecker erfahren Sie in diesem Video.

Diese Apps haben wir geprüft

 

Testbedingungen:

Wir sind den Empfehlungen der App gefolgt und haben bei Aufforderung den Standort freigegeben und ein Profil angelegt. Produkte wurden gezielt gesucht und in den Warenkorb gelegt, allerdings kein Kauf abgeschlossen.

Testsieger: IKEA, Bauhaus

Am besten schnitt bei unserer Analyse die IKEA-App ab. Sie kontaktierte neben dem Anbieter der App nur einen weitere Dienst. Der Anbieter, die Inter IKEA Systems B.V., erhielt nur Daten, die wir selbst in der App eingegeben hatten. Als einzige zusätzliche Verbindung beobachteten wir den Captcha-Dienst von Google, der sicherstellt, dass ein Mensch und kein Roboter die App bedient.

Wie bewerten wir Google-Dienste im AppChecker?

Den Datenfluss an Google-Dienste halten wir durchaus für problematisch. Er stellt bei handelsüblichen Android-Geräten aber kein zusätzliches Risiko dar. Denn diese Geräte leiten über den Play-Store und andere Android-Dienste ohnehin Informationen an Google weiter, darunter die Werbe-ID, die IMEI, die Namen aller installierten Apps und wann diese genutzt wurden. Daher können Apps, die diese Informationen ebenfalls an Google senden, auch den Privacy-Score 2 (geringes Risiko) erhalten. Nur wenn eine App darüber hinaus Informationen an Google sendet, zum Beispiel den Standort oder die E-Mail-Adresse, gibt es von uns Punkteabzug.

Ähnlich sah es in der Bauhaus-App aus, die allerdings kein Shopping bietet, sondern als reiner Umzugsplaner konzipiert ist. Die eingetragenen To-Do-Punkte und Kalenderdaten wurden in unserem Test lokal auf dem Gerät gespeichert und nicht an Dritte weitergeben. Mit der Adobe Inc. und der New Relic Inc. wurden im Test zwar zwei Analysedienste kontaktiert, diese erhielten jedoch keine persönlichen Daten aus der App.

Die Testverlierer

Am schlechtesten schnitt in unserem Test die App des Baumarkts Hellweg ab. Sie nahm im Test nicht nur Kontakt zum Analysedienst von Facebook auf, sondern übertrug dorthin auch den Nachnamen unserer Testnutzerin, ihre E-Mail-Adresse und die eingegebenen Suchbegriffe. Dass Facebook Teil der App ist, können Nutzer*innen im Gebrauch nicht erkennen.

Facebook kann anhand der E-Mail-Adresse die Informationen aus der App einem Personenprofil zuordnen und daraus Interessen und Vorlieben ableiten. So kann das soziale Netzwerk dann besonders effizient interessenbezogene Werbung schalten.

Die Hellweg-App nahm insgesamt Kontakt zu 14 Drittanbietern auf, von denen mindestens sechs im Feld Nutzeranalyse und Marketing tätig sind. In der Datenschutzerklärung der App wird keiner dieser Drittanbieter genannt.

Wir unterscheiden grundsätzlich zwischen dem Anbieter einer App und eingebundenen Drittanbietern. Während Nutzer*innen den Anbieter kennen und entscheiden können, ob sie ihm vertrauen, bleiben Drittanbieter in der Regel im Dunkeln. Mehr dazu erklären wir hier.

Auch die heyOBI-App versendete kritische Daten an Dritte. Sie nahm im Test Kontakt zu insgesamt 17 Drittanbietern auf. Die Adjust GmbH erhielt neben Informationen über die App-Nutzung (z.B. Zeitpunkt, Dauer) mit der Werbe-ID auch ein eindeutiges Erkennungsmerkmal des Testgeräts. Die damit verknüpften Informationen können einem bestehenden Personenprofil zugeordnet werden, aus dem Interessen und Vorlieben abgeleitet werden können.

Die Obi-App erfasste beim Shopping auch den Standort des Gerätes und leitete diese Information an an die Suchmaschine Bing (Microsoft) und an den deutsch-amerikanischen Dienstleister Instana Inc. weiter. Bing benötigt den Standort, um die Filialen in der Nähe zu suchen und auf einer Karte anzuzeigen. Instana Inc. vermarktet einen Dienst, mit dem App-Anbieter Funktionsfehler in der App überwachen können. Wozu der Dienstleister den Standort des Gerätes benötigt, ist unklar.

Die Hagebau-App band sechs Drittanbieter ein. Auffällig ist hier der Anbieter Gimbal Inc., der auf standortbasierte Werbe- und Marketingdienstleistungen spezialisiert und die GPS-Koordinaten des Gerätes auf die Server der Firma übertrug.  Auch wenn Gimbal dabei keine eindeutigen Kennnummern erfasste, ist es nicht unwahrscheinlich, dass mit diesen Informationen ein Bewegungsprofil erstellt wird, das einer Person zugeordnet werden kann.

Das Mittelfeld

Die Hornbach-App schnitt noch zufriedenstellend ab: Sie nahm im Test zwar Kontakt zu Drittanbietern auf, diese erhielten aber keine persönlichen Daten aus der App. Eingebunden waren der Absturzmelder Bugsnag, der Pushnachrichten-Dienst Pushwoosh und die Marketing-Firma Mapp Digital by Webtrekk GmbH.

Die Toom-App nahm Kontakt zu 14 Drittanbietern auf. Für die Newsletter-Anmeldung greift die App auf die Publicare Marketing Communications GmbH zurück, die entsprechend die E-Mail-Adresse und den vollen Namen unserer Testperson erfasste.

Fazit

Wer in Shopping-Apps einkauft und seinen Standort für die Filialsuche freigibt, muss leider davon ausgehen, dass nicht nur die eingegebenen Suchbegriffe an Werbe- und Analysedienstleister übermittelt werden, sondern oft auch der Standort und manchmal sogar die angegebene E-Mail-Adresse. Wer die Datenschutzerklärung nicht studiert, erfährt davon nichts.

Dies ist einerseits nicht ganz verwunderlich, schließlich haben die Anbieter ein Interesse daran, ihre Waren auch online bestmöglich zu vermarkten. Nutzer*innen, die sich die App des Anbieters auf das Handy laden, gelten in dieser Industrie als besonders wertvoll und werden sorgfältig vermessen und im Netz beobachtet.

Andererseits gilt der übliche "kostenlose Leistung gegen Daten"-Deal gerade bei Shopping-Apps auf keinen Fall: Denn die Ware müssen Kund*innen am Ende ja trotzdem mit Geld bezahlen. Aus diesem Blickwinkel ist der direkte Besuch im Laden für Kund*innen jedenfalls das bessere Geschäft.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App Blokada (Android und iOS) erkennt viele Tracking-Verbindungen und blockiert sie. Mehr Infos hier.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

i.poeting@mobilsicher.de

PGP-Key

0x98926A6965C84F21

Fingerprint

7F5D B2F7 C59F 0547 D730 7DD7 9892 6A69 65C8 4F21

Inga Pöting

Seit 2022 baut sie für den ITUJ e.V. ein Team gegen digitale Gewalt auf. Mehr Infos dazu unter: www.ein-team.org. Davor leitete sie die Redaktion bei mobilsicher.de, recherchierte und schrieb Texte, gab Beiträgen von anderen den letzten Schliff und betreute den YouTube-Kanal.

Weitere Artikel

Ratgeber 

Video-Chat: 12 beliebte Dienste und Geheimtipps

Sie suchen einen bezahlbaren, einfachen Dienst für Video-Telefonie, bei dem Ihre Daten sicher sind? Wir haben zehn bekannte und weniger bekannte Anbieter für Sie geprüft. Die Vor- und Nachteile von zehn Diensten im Überblick.

Mehr
Ratgeber 

Android ohne Google

Google und Android, das gehört eng zusammen. Googles Dienste und Apps sind fest in das Betriebssystem integriert. Und viele Android-Nutzer haben für ihr Gerät ein Google-Konto eingerichtet. Was aber, wenn man Android ohne die Google-Dienste nutzen möchte?

Mehr
Ratgeber 

Gesicherte Verbindung: Die Ende-zu-Ende-Verschlüsselung bei WhatsApp

Whatsapp gehört zu den beliebtesten Messengern auf Smartphones. Mit Verschlüsselung polierte der Dienst sein schlechtes Image als „Datenschleuder“ auf. Einige Probleme bleiben aber bestehen, auch Mutterkonzern Facebook greift auf einige Daten zu.

Mehr
Ratgeber 

„Viele Menschen gehen mit ihren Daten nicht sorgsam um“

Wer mit der kostenlosen App Magic Earth navigiert, bleibt anonym. So lautet das Versprechen der Entwicklerfirma General Magic, die auch Unternehmenslösungen anbietet. Magic Earth soll der beste Kartendienst von allen werden, sagt Firmensprecher Job van Dijk im mobilsicher-Interview.

Mehr