App laden, Produkt suchen, kaufen – so funktionieren viele Apps aus dem Einzelhandel, vom Klamottenladen bis zum Baumarkt. Das Produkt holt man entweder in der Filiale ab oder lässt es sich nach Hause schicken. Diese Art des Einkaufens gab es schon vor der Corona-Zeit – doch seit man Geschäfte nicht mehr ohne weiteres betreten darf, ist Shopping per App gefragter denn je.
Die meisten Shopping-Apps fragen zu Beginn den Standort ab, um die nächste Filiale zu finden. Auch lassen sie sich oft vollständige Adressdaten geben, um den Kauf abwickeln zu können. Welche Geräte-Informationen zusätzlich ausgelesen werden, sehen Nutzer*innen nicht. Auch lässt sich von außen nicht nachvollziehen, mit wem Apps ihre Informationen teilen – ob etwa der Standort, die E-Mail-Adresse oder die Namen der gesuchten Produkte an Dritte weitergegeben werden.
In unserer neusten Testreihe haben wir stellvertretend die Apps der größten deutschen Baumärkte und zusätzlich die IKEA-App auf ihr Datensendeverhalten geprüft. Was also passiert im Hintergrund, wenn man etwa „Blumentopf“ in die Suche eingibt, das Produkt in den Warenkorb legt und schließlich kauft?
Der AppChecker
- Untersucht haben wir die Apps mit dem AppChecker, unserem Testsystem für Android-Apps.
- Der AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet er sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
- Die Testergebnisse veröffentlichen wir auf appcheck.mobilsicher.de.
- Mehr zum AppChecker erfahren Sie in diesem Video.
Diese Apps haben wir geprüft
- Bauhaus Umzugshelfer (10.000 Downloads, BAUHAUS AG)
- hagebau (100.000 Downloads, hagebau connect GmbH & Co KG)
- HELLWEG Die Profi-Baumärkte (10.000 Downloads, HELLWEG Die Profi-Baumärkte)
-
heyOBI: DIY-Projekte mit OBI (1.000.000 Downloads, OBI GmbH & Co. Deutschland KG)
- HORNBACH (500.000 Downloads, Hornbach Baumarkt AG)
- IKEA (5.000.000 Downloads, Inter IKEA Systems B.V.)
- toom (50.000 Downloads, toom Baumarkt GmbH)
Testbedingungen:
Wir sind den Empfehlungen der App gefolgt und haben bei Aufforderung den Standort freigegeben und ein Profil angelegt. Produkte wurden gezielt gesucht und in den Warenkorb gelegt, allerdings kein Kauf abgeschlossen.
Testsieger: IKEA, Bauhaus
Am besten schnitt bei unserer Analyse die IKEA-App ab. Sie kontaktierte neben dem Anbieter der App nur einen weitere Dienst. Der Anbieter, die Inter IKEA Systems B.V., erhielt nur Daten, die wir selbst in der App eingegeben hatten. Als einzige zusätzliche Verbindung beobachteten wir den Captcha-Dienst von Google, der sicherstellt, dass ein Mensch und kein Roboter die App bedient.
Wie bewerten wir Google-Dienste im AppChecker?
Den Datenfluss an Google-Dienste halten wir durchaus für problematisch. Er stellt bei handelsüblichen Android-Geräten aber kein zusätzliches Risiko dar. Denn diese Geräte leiten über den Play-Store und andere Android-Dienste ohnehin Informationen an Google weiter, darunter die Werbe-ID, die IMEI, die Namen aller installierten Apps und wann diese genutzt wurden. Daher können Apps, die diese Informationen ebenfalls an Google senden, ein geringes Risiko erhalten. Nur wenn eine App darüber hinaus Informationen an Google sendet, zum Beispiel den Standort oder die E-Mail-Adresse, gibt es von uns Punkteabzug.
Ähnlich sah es in der Bauhaus-App aus, die allerdings kein Shopping bietet, sondern als reiner Umzugsplaner konzipiert ist. Die eingetragenen To-Do-Punkte und Kalenderdaten wurden in unserem Test lokal auf dem Gerät gespeichert und nicht an Dritte weitergeben. Mit der Adobe Inc. und der New Relic Inc. wurden im Test zwar zwei Analysedienste kontaktiert, diese erhielten jedoch keine persönlichen Daten aus der App.
Die Testverlierer
Am schlechtesten schnitt in unserem Test die App des Baumarkts Hellweg ab. Sie nahm im Test nicht nur Kontakt zum Analysedienst von Facebook auf, sondern übertrug dorthin auch den Nachnamen unserer Testnutzerin, ihre E-Mail-Adresse und die eingegebenen Suchbegriffe. Dass Facebook Teil der App ist, können Nutzer*innen im Gebrauch nicht erkennen.
Facebook kann anhand der E-Mail-Adresse die Informationen aus der App einem Personenprofil zuordnen und daraus Interessen und Vorlieben ableiten. So kann das soziale Netzwerk dann besonders effizient interessenbezogene Werbung schalten.
Die Hellweg-App nahm insgesamt Kontakt zu 14 Drittanbietern auf, von denen mindestens sechs im Feld Nutzeranalyse und Marketing tätig sind. In der Datenschutzerklärung der App wird keiner dieser Drittanbieter genannt.
Auch die heyOBI-App versendete kritische Daten an Dritte. Sie nahm im Test Kontakt zu insgesamt 17 Drittanbietern auf. Die Adjust GmbH erhielt neben Informationen über die App-Nutzung (z.B. Zeitpunkt, Dauer) mit der Werbe-ID auch ein eindeutiges Erkennungsmerkmal des Testgeräts. Die damit verknüpften Informationen können einem bestehenden Personenprofil zugeordnet werden, aus dem Interessen und Vorlieben abgeleitet werden können.
Die Obi-App erfasste beim Shopping auch den Standort des Gerätes und leitete diese Information an an die Suchmaschine Bing (Microsoft) und an den deutsch-amerikanischen Dienstleister Instana Inc. weiter. Bing benötigt den Standort, um die Filialen in der Nähe zu suchen und auf einer Karte anzuzeigen. Instana Inc. vermarktet einen Dienst, mit dem App-Anbieter Funktionsfehler in der App überwachen können. Wozu der Dienstleister den Standort des Gerätes benötigt, ist unklar.
Die Hagebau-App band sechs Drittanbieter ein. Auffällig ist hier der Anbieter Gimbal Inc., der auf standortbasierte Werbe- und Marketingdienstleistungen spezialisiert und die GPS-Koordinaten des Gerätes auf die Server der Firma übertrug. Auch wenn Gimbal dabei keine eindeutigen Kennnummern erfasste, ist es nicht unwahrscheinlich, dass mit diesen Informationen ein Bewegungsprofil erstellt wird, das einer Person zugeordnet werden kann.
Das Mittelfeld
Die Hornbach-App schnitt noch zufriedenstellend ab: Sie nahm im Test zwar Kontakt zu Drittanbietern auf, diese erhielten aber keine persönlichen Daten aus der App. Eingebunden waren der Absturzmelder Bugsnag, der Pushnachrichten-Dienst Pushwoosh und die Marketing-Firma Mapp Digital by Webtrekk GmbH.
Die Toom-App nahm Kontakt zu 14 Drittanbietern auf. Für die Newsletter-Anmeldung greift die App auf die Publicare Marketing Communications GmbH zurück, die entsprechend die E-Mail-Adresse und den vollen Namen unserer Testperson erfasste.
Fazit
Wer in Shopping-Apps einkauft und seinen Standort für die Filialsuche freigibt, muss leider davon ausgehen, dass nicht nur die eingegebenen Suchbegriffe an Werbe- und Analysedienstleister übermittelt werden, sondern oft auch der Standort und manchmal sogar die angegebene E-Mail-Adresse. Wer die Datenschutzerklärung nicht studiert, erfährt davon nichts.
Dies ist einerseits nicht ganz verwunderlich, schließlich haben die Anbieter ein Interesse daran, ihre Waren auch online bestmöglich zu vermarkten. Nutzer*innen, die sich die App des Anbieters auf das Handy laden, gelten in dieser Industrie als besonders wertvoll und werden sorgfältig vermessen und im Netz beobachtet.
Andererseits gilt der übliche "kostenlose Leistung gegen Daten"-Deal gerade bei Shopping-Apps auf keinen Fall: Denn die Ware müssen Kund*innen am Ende ja trotzdem mit Geld bezahlen. Aus diesem Blickwinkel ist der direkte Besuch im Laden für Kund*innen jedenfalls das bessere Geschäft.
• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten. • Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie. • Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.
