DatenschutzverstößeE-Roller-Apps sollen persönliche Daten an Dritte weitergeben

Die Elektro-Roller-Anbieter Lime, Bolt, Tier und Voi geben persönliche Daten ihrer Kund:innen an Drittanbieter weiter, sagt Mobilsicher.de. Eine Untersuchung des Portals zeigt: Keiner der Anbieter klärt konkret über diese Praxis auf.

Fahren ist ja ganz lustig. Doch bei der Nutzung der Apps werden Daten weitergegeben. Gemeinfrei-ähnlich freigegeben durch unsplash.com Jonas Jacobsson

Die kleinen E-Roller prägen mittlerweile das Bild vieler Städte. Wer sie benutzen will, braucht eine App und muss Kontaktdaten und Paypal oder Kreditkarteninformationen angeben. Das Portal Mobilsicher.de hat nun in einer Testreihe die Anbieter Lime, Bolt, Tier und Voi untersucht. Dabei kam heraus: „Persönliche Daten unserer Testperson landeten bei etlichen Drittanbietern, darunter ihr vollständiger Name, Kontaktdaten, Standort und WLAN-Informationen. Keiner der Anbieter klärte konkret über diese Praxis auf.“

Für den Testaufbau hat sich Mobilsicher mit Namen und Telefonnummer in der jeweiligen App angemeldet und zusätzlich eine E-Mail-Adresse angegeben. Um E-Scooter in der Nähe anzuzeigen, hat das Team außerdem den Standortzugriff erlaubt. Anschließend wurde keine Fahrt gestartet und auch keine Roller freigeschaltet. Als Zahlungsmittel tippte Mobilsicher.de Paypal an, woraufhin die App auf die Paypal-Webseite umleitete. Dort meldete sich die Versuchsperson allerdings nicht an, sondern kehrte direkt in die App zurück.

Daten an Analyseunternehmen

Zwei Apps, Tier und Voi, leiteten nach Angaben von Mobilsicher.de den vollständigen Namen, die Telefonnummer und E-Mail- Adresse der Testperson direkt aus der App an die Firma Braze Inc. weiter. Hinter Braze steckt ein Marketing- und Analyseunternehmen mit Hauptsitz in New York. Auch Apps mit anderen Dienstleistungen wie Lieferdienste geben laut Mobilsicher.de Daten an Braze weiter. 

Die App von Lime baute im Test ebenfalls eine Internetverbindung zu Servern von Braze auf. Hier konnte Mobilsicher.de im Test allerdings keine Übertragung von persönlichen Daten beobachten. Keine der drei Apps nannte Braze in ihrer Datenschutzerklärung. Dort wurde lediglich über die Datenweitergabe für Marketingzwecke an Dritte informiert, heißt es in der Presseerklärung von Mobilsicher.de.

Facebook und Paypal bekommen Daten

Das war nicht die einzige Datenweitergabe, die beobachtet wurde: „Die Apps Bolt und Lime übermittelten die Werbe-ID des Test-Gerätes an den Analysedienst von Facebook.“ Entwickler können durch die Einbindung des Dienstes nachvollziehen, wie eine App genutzt wird, zum Beispiel auf welche Buttons geklickt wird. Diese Informationen werden dabei automatisch auch an Facebook übermittelt. Durch das Auslesen der Werbe-ID kann der Konzern in vielen Fällen nachvollziehen, welche Person zu diesen Daten gehört. Die Apps Voi und Tier übermittelten die Werbe-ID an den Analysedienst Adjust GmbH, aus der Tier-App erhielt Adjust außerdem den Standort der Nutzer:in.

Außerdem gaben drei von vier Apps den Standort an Paypal weiter, schon bevor der Testnutzer den Zahlungsdienstleister ausgewählt hatte. Tier und Voi übermittelten zudem das WLAN und die MAC-Adresse des WLAN-Routers. Laut Mobilsicher.de informierte keine der betreffenden Apps transparent über diese Datenübermittlung.

Keine der vier Apps nannten die Firmen, an die Daten übermittelt werden, namentlich. Nutzer:innen können auch nicht in der App entscheiden, welche Daten sie weitergeben wollen. Wer mit dieser Datenweitergabe nicht einverstanden ist, dem bleibt nichts anderes übrig, als die Roller munter weiter vor sich Hinblinken zu lassen – und zu laufen.

Korrektur: In der ursprünglichen Fassung hieß es, alle der vier Apps würden den Standort vor der Zahlungsdienstleister-Auswahl an Paypal weiterleiten. Es waren aber drei von vier. Wir haben die entsprechende Stelle geändert.

10 Ergänzungen

  1. „Wer mit dieser Datenweitergabe nicht einverstanden ist, dem bleibt nichts anderes übrig, als die Roller munter weiter vor sich Hinblinken zu lassen – und zu laufen. “

    Und ich dachte da müsste es auch noch die Möglichkeit geben mit dem Finger in der App nach dem ersten Start auf „Ablehnen“ zu tippen wenn das Einverständnis zur Datenverarbeitung/weitergabe abgefragt wird.

    1. natürlich kannst du auf „Ablehnen“ klicken, wie bei Whatsapp. Dann verweigert die App schlicht ihren Dienst, wie Whatsapp.
      So einfach ist das. Vogel, friss oder stirb. Da kann man wirklich nur mit den Füßen abstimmen, hier sogar wörtlich. :-)

      1. Mir ging es mit dem Kommentar darum darauf hinzuweisen, dass eine Ablehnung als solche erkennbar möglich ist bzw. sein müsste – direkt in der App. An den Rollern „vorbeizugehen“ ist nur der indirekte Weg der Ablehnung.

  2. Damit ist das eigentliche Geschäftsmodell aufgedeckt worden: Das Generieren und Sammeln von personenbezogenen Daten, welche Zahlungsabwicklung und Standort-Daten betreffen. Zudem ist das Kundenklientel ein sehr spezielles, das so ausgeforscht werden kann.

    1. Das steht so nicht im verlinkten noyb-Artikel. Es ging weniger um die Frage, ob Standortdaten personenbezogen sind, sondern mehr darum, ob sie eindeutig einer Person zugeordnet werden können.
      Bei Handyweitergabe entstehen somit personenbezogene Standortdaten von zwei oder mehr Personen und der Besitzer hat logischerweise nicht das Recht die Standortdaten der anderen Personen anzufordern. Allerdings kann ein Handybesitzer kaum beweisen, dass nur er das Handy benutzt, was in Österreich aber scheinbar verlangt wird. Selbst eine eidesstattliche Erklärung wird dort nicht als ausreichend anerkannt. DAS ist der eigentliche Skandal (auch, weil man es auf fast jeden Dienst ausweiten kann).

      Damit kann ich Deine Frage also eindeutig beantworten: Die Standortdaten dürfen zu 99% trotzdem nicht in die USA abgeführt werden. Sie sind personenbezogen, selbst wenn unklar ist zu welcher Person sie gehören, sofern sie nicht 100%ig anonymisiert sind. Standortdaten zu anonymisieren ist aber fast unmöglich, da man in der Regel recht schnell Wohn- und Arbeitsort ableiten kann. Es müsste also ein unbrauchbarer kleiner Datensatz sein oder Daten, die bereits statistisch mit anderen Datensätzen aufbereitet und vermischt wurden (z.B. eine Übersicht über befahrene Wege aller E-Roller der Stadt). Verbunden mit z.B. einer Werbe-ID ist aber selbst ein einzelner Datenpunkt personifiziert.

      Bezüglich NP.org Artikel:
      Danke für die Bestätigung meiner Befürchtung zu TIER. Ich laufe weiterhin gerne.

  3. Gut zu wissen. Haben die eig. getestet wie das lit der Werbe-ID läuft wenn man Apples Richtlinien für „Datenschutz und Privatsphäre“ aktiviert. Ich glaube das das nicht so gut funkt wie Apple behauptet

  4. Tja, so ist das mit „kein gesetzgeberischer Handlungsbedarf“ und der Zukunft der Mobilität. So wie die Masse der Nutzer droht, das Internet und die ganze Gesellschaft in den Schlund weniger Dinosaurierkonstrukte zu ziehen, wird auch hier kaum eine Wahl bestehen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.