Ratgeber

Apps gecheckt: Wenn Dritte mitlesen, was du shoppst (Android)

Ein Artikel von , veröffentlicht am 21.05.2021

Shopping-Apps erfassen häufig den Standort, eindeutige Geräte-IDs und sämtliche Suchbegriffe. Wohin versenden sie diese Informationen? Wir haben die Apps großer deutscher Baumärkte und die IKEA-App geprüft.

App laden, Produkt suchen, kaufen – so funktionieren viele Apps aus dem Einzelhandel, vom Klamottenladen bis zum Baumarkt. Das Produkt holt man entweder in der Filiale ab oder lässt es sich nach Hause schicken. Diese Art des Einkaufens gab es schon vor der Corona-Zeit – doch seit man Geschäfte nicht mehr ohne weiteres betreten darf, ist Shopping per App gefragter denn je.

Die meisten Shopping-Apps fragen zu Beginn den Standort ab, um die nächste Filiale zu finden. Auch lassen sie sich oft vollständige Adressdaten geben, um den Kauf abwickeln zu können. Welche Geräte-Informationen zusätzlich ausgelesen werden, sehen Nutzer*innen nicht. Auch lässt sich von außen nicht nachvollziehen, mit wem Apps ihre Informationen teilen – ob etwa der Standort, die E-Mail-Adresse oder die Namen der gesuchten Produkte an Dritte weitergegeben werden.

In unserer neusten Testreihe haben wir stellvertretend die Apps der größten deutschen Baumärkte und zusätzlich die IKEA-App auf ihr Datensendeverhalten geprüft. Was also passiert im Hintergrund, wenn man etwa „Blumentopf“ in die Suche eingibt, das Produkt in den Warenkorb legt und schließlich kauft?

Der AppChecker

  • Untersucht haben wir die Apps mit dem AppChecker, unserem Testsystem für Android-Apps.
  • Der AppChecker macht sichtbar, was Apps im Verborgenen tun. Dafür schaltet er sich zwischen App und Internet und zeichnet größtenteils automatisiert auf, welche Daten Apps erheben und weitergeben.
  • Die Testergebnisse veröffentlichen wir auf appcheck.mobilsicher.de.
  • Mehr zum AppChecker erfahren Sie in diesem Video.

Diese Apps haben wir geprüft

 

Testbedingungen:

Wir sind den Empfehlungen der App gefolgt und haben bei Aufforderung den Standort freigegeben und ein Profil angelegt. Produkte wurden gezielt gesucht und in den Warenkorb gelegt, allerdings kein Kauf abgeschlossen.

Testsieger: IKEA, Bauhaus

Am besten schnitt bei unserer Analyse die IKEA-App ab. Sie kontaktierte neben dem Anbieter der App nur einen weitere Dienst. Der Anbieter, die Inter IKEA Systems B.V., erhielt nur Daten, die wir selbst in der App eingegeben hatten. Als einzige zusätzliche Verbindung beobachteten wir den Captcha-Dienst von Google, der sicherstellt, dass ein Mensch und kein Roboter die App bedient.

Wie bewerten wir Google-Dienste im AppChecker?

Den Datenfluss an Google-Dienste halten wir durchaus für problematisch. Er stellt bei handelsüblichen Android-Geräten aber kein zusätzliches Risiko dar. Denn diese Geräte leiten über den Play-Store und andere Android-Dienste ohnehin Informationen an Google weiter, darunter die Werbe-ID, die IMEI, die Namen aller installierten Apps und wann diese genutzt wurden. Daher können Apps, die diese Informationen ebenfalls an Google senden, ein geringes Risiko erhalten. Nur wenn eine App darüber hinaus Informationen an Google sendet, zum Beispiel den Standort oder die E-Mail-Adresse, gibt es von uns Punkteabzug.

Ähnlich sah es in der Bauhaus-App aus, die allerdings kein Shopping bietet, sondern als reiner Umzugsplaner konzipiert ist. Die eingetragenen To-Do-Punkte und Kalenderdaten wurden in unserem Test lokal auf dem Gerät gespeichert und nicht an Dritte weitergeben. Mit der Adobe Inc. und der New Relic Inc. wurden im Test zwar zwei Analysedienste kontaktiert, diese erhielten jedoch keine persönlichen Daten aus der App.

Die Testverlierer

Am schlechtesten schnitt in unserem Test die App des Baumarkts Hellweg ab. Sie nahm im Test nicht nur Kontakt zum Analysedienst von Facebook auf, sondern übertrug dorthin auch den Nachnamen unserer Testnutzerin, ihre E-Mail-Adresse und die eingegebenen Suchbegriffe. Dass Facebook Teil der App ist, können Nutzer*innen im Gebrauch nicht erkennen.

Facebook kann anhand der E-Mail-Adresse die Informationen aus der App einem Personenprofil zuordnen und daraus Interessen und Vorlieben ableiten. So kann das soziale Netzwerk dann besonders effizient interessenbezogene Werbung schalten.

Die Hellweg-App nahm insgesamt Kontakt zu 14 Drittanbietern auf, von denen mindestens sechs im Feld Nutzeranalyse und Marketing tätig sind. In der Datenschutzerklärung der App wird keiner dieser Drittanbieter genannt.

Wir unterscheiden grundsätzlich zwischen dem Anbieter einer App und eingebundenen Drittanbietern. Während Nutzer*innen den Anbieter kennen und entscheiden können, ob sie ihm vertrauen, bleiben Drittanbieter in der Regel im Dunkeln. Mehr dazu erklären wir hier.

Auch die heyOBI-App versendete kritische Daten an Dritte. Sie nahm im Test Kontakt zu insgesamt 17 Drittanbietern auf. Die Adjust GmbH erhielt neben Informationen über die App-Nutzung (z.B. Zeitpunkt, Dauer) mit der Werbe-ID auch ein eindeutiges Erkennungsmerkmal des Testgeräts. Die damit verknüpften Informationen können einem bestehenden Personenprofil zugeordnet werden, aus dem Interessen und Vorlieben abgeleitet werden können.

Die Obi-App erfasste beim Shopping auch den Standort des Gerätes und leitete diese Information an an die Suchmaschine Bing (Microsoft) und an den deutsch-amerikanischen Dienstleister Instana Inc. weiter. Bing benötigt den Standort, um die Filialen in der Nähe zu suchen und auf einer Karte anzuzeigen. Instana Inc. vermarktet einen Dienst, mit dem App-Anbieter Funktionsfehler in der App überwachen können. Wozu der Dienstleister den Standort des Gerätes benötigt, ist unklar.

Die Hagebau-App band sechs Drittanbieter ein. Auffällig ist hier der Anbieter Gimbal Inc., der auf standortbasierte Werbe- und Marketingdienstleistungen spezialisiert und die GPS-Koordinaten des Gerätes auf die Server der Firma übertrug.  Auch wenn Gimbal dabei keine eindeutigen Kennnummern erfasste, ist es nicht unwahrscheinlich, dass mit diesen Informationen ein Bewegungsprofil erstellt wird, das einer Person zugeordnet werden kann.

Das Mittelfeld

Die Hornbach-App schnitt noch zufriedenstellend ab: Sie nahm im Test zwar Kontakt zu Drittanbietern auf, diese erhielten aber keine persönlichen Daten aus der App. Eingebunden waren der Absturzmelder Bugsnag, der Pushnachrichten-Dienst Pushwoosh und die Marketing-Firma Mapp Digital by Webtrekk GmbH.

Die Toom-App nahm Kontakt zu 14 Drittanbietern auf. Für die Newsletter-Anmeldung greift die App auf die Publicare Marketing Communications GmbH zurück, die entsprechend die E-Mail-Adresse und den vollen Namen unserer Testperson erfasste.

Fazit

Wer in Shopping-Apps einkauft und seinen Standort für die Filialsuche freigibt, muss leider davon ausgehen, dass nicht nur die eingegebenen Suchbegriffe an Werbe- und Analysedienstleister übermittelt werden, sondern oft auch der Standort und manchmal sogar die angegebene E-Mail-Adresse. Wer die Datenschutzerklärung nicht studiert, erfährt davon nichts.

Dies ist einerseits nicht ganz verwunderlich, schließlich haben die Anbieter ein Interesse daran, ihre Waren auch online bestmöglich zu vermarkten. Nutzer*innen, die sich die App des Anbieters auf das Handy laden, gelten in dieser Industrie als besonders wertvoll und werden sorgfältig vermessen und im Netz beobachtet.

Andererseits gilt der übliche "kostenlose Leistung gegen Daten"-Deal gerade bei Shopping-Apps auf keinen Fall: Denn die Ware müssen Kund*innen am Ende ja trotzdem mit Geld bezahlen. Aus diesem Blickwinkel ist der direkte Besuch im Laden für Kund*innen jedenfalls das bessere Geschäft.

Tracking stoppen per App

• Viele Apps nehmen im laufenden Betrieb Tracking-Verbindungen auf, die für die Funktion nicht notwendig sind, zum Beispiel zu Werbenetzwerken und Analysediensten.

• Die App AdAway (Android) erkennt viele Tracking-Verbindungen und blockiert sie.

• Ähnlich funktionieren Firewalls. Wir empfehlen NetGuard für Android und Lockdown Apps für iOS.

Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Weitere Artikel

Ratgeber 

Daten vom Mobilgerät löschen

Smartphones können jede Menge sensibler Daten speichern. Manchmal ist es wünschenswert, diese Daten wieder zu entfernen. Einfach Zurücksetzen oder Löschen reicht dafür nicht, denn dann können die Daten unter Umständen leicht wiederhergestellt werden.

Mehr
YouTube-Video 

Collabora Office: Diese Google-Docs-Alternative empfehlen wir

Texte bearbeiten auf dem Handy - dafür braucht es eine gut laufende App. Wer auf Google Docs lieber verzichtet, findet mit Collabora Office eine vollwertige Alternative für Android und iOS. Die App ist quelloffen, kostenlos und werbefrei.

Ansehen
Ratgeber 

Ratgeber: So surfen Sie anonym mit Tor (Android)

Wer im Internet surft, hinterlässt Spuren. Das Anonymisierungsnetzwerk Tor kann helfen, diese zu verschleiern. Wie Sie den Tor-Browser auf Ihrem Android-Gerät installieren und nutzen können, erklären wir hier Schritt für Schritt.

Mehr
Ratgeber 

Fruchtbarkeits-App MyNFP: Empfehlenswert

Die Zyklus-App MyNFP misst die fruchtbaren und unfruchtbaren Tage der Nutzerinnen nach der wissenschaftlich validierten NFP-Methode. Die App ist nach 30 Tagen kostenpflichtig und überträgt keinerlei Nutzerdaten. Unser Fazit: Empfehlenswert!

Mehr