In mindestens zwei Bundesländern hat sich die Polizei Daten von Databrokern beschafft, wie Recherchen von netzpolitik.org und BR erstmals zeigen. Mit solchen Daten könnten sich Handys metergenau orten lassen. Fachleute halten das für illegal, eine Datenschutzbehörde hat sich bereits eingeschaltet.

Fachleute haben es schon vermutet, jetzt belegen Recherchen von netzpolitik.org und Bayerischem Rundfunk exklusiv: Auch in Deutschland nutzt die Polizei Daten der Werbe-Industrie. Mindestens zwei Landeskriminalämter haben sich von kommerziellen Anbietern Daten beschafft.

Dahinter steckt das oftmals illegale Geschäft der Databroker. Erhoben werden solche Daten etwa angeblich zu Werbezwecken, doch über Databroker werden sie zur Handelsware. In die Hände der Datenhändler gelangen sie über Tracking-Firmen, abgesaugt von populären Apps – und in der Regel ohne Wissen der Betroffenen.

Zum Angebot der Databroker gehören auch metergenaue Ortungen, aus denen sich Bewegungsprofile von Handys und ihren Besitzer*innen ablesen lassen: Wohnort, Arbeitsplatz und mehr. Das gefährdet nicht nur die Privatsphäre aller, sondern lässt sich auch für Spionage und Sabotage nutzen. Expert*innen aus Politik und Wissenschaft sehen im Handel mit Standortdaten deshalb eine Gefahr für die nationale Sicherheit.

Dass Polizeibehörden selbst Daten von Databrokern nutzen, war bislang nur von wenigen Staaten bekannt, etwa den USA und seit Kurzem Ungarn. Jetzt haben das auch zwei deutsche Landeskriminalämter bestätigt: Brandenburg und Mecklenburg-Vorpommern. Anlass waren Anfragen nach dem Informationsfreiheitsgesetz (IFG) und Presseanfragen von netzpolitik.org und dem BR.

Ein Geschäft, das Europas Sicherheit bedroht

Möglicherweise nutzen noch mehr deutsche Landespolizeien solche Daten. In neun Bundesländern haben die Behörden eine Auskunft verweigert. Nur in fünf Bundesländern hat die Polizei den Einsatz klar verneint.

In Reaktion auf die Recherche hat der Landesdatenschutzbeauftragte Mecklenburg-Vorpommern eine Prüfung eingeleitet. Weder seine Behörde noch die sonstigen 15 Landesdatenschutzbehörden, die wir angefragt haben, sehen eine konkrete rechtliche Grundlage für die Nutzung von Werbedaten durch die Polizei.

Auch der Polizeirechtler Mark Zöller von der Ludwig-Maximilians-Universität München hält die Praxis für rechtswidrig. Er spricht von einem „wirklich massiven“ Risiko, dass Behörden Daten erhalten, die sie nicht zu sehen bekommen sollten.

Unsere Recherche zeigt: Auf wahrscheinlich illegale Weise unterstützt die Polizei den Schwarzmarkt der Databroker. Damit beteiligen sich deutsche Behörden im Namen der Sicherheit an einem Geschäft, das selbst Europas Sicherheit bedroht. Ob und wie viel Steuergeld dabei geflossen ist, wissen wir jedoch nicht.

Brandenburg „greift auf Datenhändler zurück“

Ein wichtiger Baustein unserer Recherche war eine Liste von sogenannten ADINT-Firmen. ADINT steht für Advertising-based Intelligence, also werbebasierte Aufklärung. Die Liste haben der Tracking-Forscher Wolfie Christl und das Citizen Lab der Universität Toronto bereitgestellt. Sie arbeiten an einer globalen Bestandsaufnahme zum Missbrauch von Werbedaten für Überwachungszwecke. Ihre bislang unveröffentlichten Zwischenergebnisse sind in unsere IFG- und Presseanfragen an deutsche Behörden geflossen.

Die Polizei in Brandenburg antwortete:

Das Landeskriminalamt Brandenburg greift zur Bekämpfung unterschiedlicher Kriminalitätsphänomene bei der Informationsbeschaffung anlassbezogen auch auf Datenhändler oder andere Anbieter kommerziell erwerblicher Daten zurück.

Unter anderem würden „in den Phänomenbereichen Cybercrime und Wirtschaftskriminalität Daten weniger kommerzieller Anbieter erhoben“. Dies diene „in der Regel zur Analyse von Täter- und Tatzusammenhängen“.

Mehr zu den Daten und ihren Quellen, den beteiligten Firmen oder entsprechenden Verträgen wollte die Behörde nicht offenlegen. Das könne „Belange der Strafverfolgung und ‑vollstreckung, der Gefahrenabwehr sowie die Tätigkeit der Polizei beeinträchtigen“. Wir wissen deshalb nicht genau, welche kommerziellen Daten die Polizei in Brandenburg nutzt und ob dazu auch Handy-Standortdaten gehören.

Die Polizei in Mecklenburg-Vorpommern hat unsere IFG-Anfrage so beantwortet:

Im Zusammenhang mit der Bekämpfung von Kriminalität, die im Zuständigkeitsbereich des LKA MV liegt, wie zum Beispiel im Bereich der Bekämpfung von Cybercrime oder auch Wirtschaftskriminalität, erfolgt mitunter die Nutzung von Daten weniger und etablierter kommerzieller Anbieter, insbesondere für eine erste Analyse von Beteiligungen und Verflechtungen.

Erst nach einer weiteren Presseanfrage wurde die Behörde genauer: Zu den Daten gehörten demnach auch Standortdaten der Werbe-Industrie. Das LKA legt aber nicht offen, ob es die Daten selbst erworben oder einen ADINT-Dienstleister genutzt hat. Künftig will die Behörde allerdings keine kommerziellen Daten mehr nutzen: Es sei “gegenwärtig und auch zukünftig” nicht vorgesehen.

Mecklenburg-Vorpommern: Datenschutzbehörde prüft

Was sagt die zuständige Datenschutzbehörde zu den Databroker-Deals der Polizei in Mecklenburg-Vorpommern? Das LKA hatte die Behörde „über ein entsprechendes Produkt informiert“, erklärt eine Sprecherin auf Anfrage. Anlass sei ein „regelmäßiger, informeller Austausch“ gewesen. „Bereits in diesem Termin haben wir uns kritisch zum Einsatz und insbesondere Zweifel an einer tragfähigen Rechtsgrundlage geäußert.“

Dass die Polizei das Produkt tatsächlich eingesetzt hat, erfuhr die Behörde jedoch erst auf Anfrage von netzpolitik.org und BR, wie der Landesdatenschutzbeauftragte Sebastian Schmidt auf Anfrage erklärt. Daraufhin habe die Behörde eine Prüfung eingeleitet. Zunächst müsse man herausfinden, welche Daten die Polizei tatsächlich genutzt habe und wofür – mehr Details zum konkreten Fall könne er deshalb nicht nennen. Grundsätzlich weist der Datenschützer jedoch auf drei mögliche Probleme bei kommerziellen Werbedaten hin:

Erstens könne die Polizei mit Standortdaten aus der Werbe-Industrie „ähnliche Erkenntnisse“ gewinnen wie mit einer Funkzellenabfrage – so nennt man es, wenn die Polizei Handys über Daten von Mobilfunkanbietern ortet. Diese Überwachungsmaßnahme muss aber ein*e Richter*in genehmigen. „Einen solchen Richtervorbehalt würde man zum Beispiel umgehen, wenn man kommerzielle Standortdaten nutzt, ohne dass man eine entsprechende Rechtsgrundlage dafür hat“, erklärt Schmidt.

Zweitens stecken in den Angeboten von Databrokern oftmals Daten von Millionen Geräten, also von sehr vielen Unbeteiligten. Daran seien noch mal andere Anforderungen geknüpft, als wenn es nur um Verdächtige gehe, erklärt der Datenschützer. „Wir prüfen selbstverständlich auch, ob Daten von unbeteiligten Dritten angekauft worden sind.“

Drittens ist bei kommerziell erworbenen Standortdaten nicht klar, ob sie rechtmäßig erhoben wurden. Die bisherigen Recherchen von BR und netzpolitik.org zeigen: Von der informierten Einwilligung, auf die sich viele App-Betreiber und Databroker mit Blick auf die europäische Datenschutzgrundverordnung (DSGVO) berufen, kann in der Regel keine Rede sein. Schmidt sagt: „Diese Daten dann für polizeiliche Ermittlungen zu verwenden, ist aus datenschutzrechtlicher Sicht nicht ganz unproblematisch.“

Die Prüfung könnte Schmidt zufolge etwa ein halbes Jahr lang dauern. Das heißt, Ergebnisse kommen nicht vor der Landtagswahl am 20. September, in der die in Teilen rechtsextreme AfD Umfragen zufolge stärkste Kraft werden könnte. Was würde eine potenzielle AfD-Regierung mit einem solchen Überwachungs-Instrument tun?

Polizei-Behörden sehen sich im Recht

Der Fall Mecklenburg-Vorpommern könnte für ganz Deutschland wichtig sein. Denn unsere Recherchen zeigen: Bundesweit gehen die Einschätzungen von Polizei- und Datenschutzbehörden zur Rechtmäßigkeit der Nutzung von Werbedaten auseinander.

Wir haben alle 16 Landesdatenschutzbehörden angefragt – keine nannte eine konkrete Rechtsgrundlage für den Einsatz kommerzieller Standortdaten durch die Polizei.

Offenbar bräuchte es jedoch eine solche Grundlage. Allgemeine Ermittlungsbefugnisse, sogenannte Generalklauseln, dürften nicht ausreichen. Das sagt etwa die Landesdatenschutzbeauftragte von Brandenburg auf Nachfrage von BR und netzpolitik.org. Generalklauseln “können unseres Erachtens nicht für die Erhebung und Verwendung kommerzieller Standortdaten herangezogen werden”.

Das LKA Brandenburg, das nach eigener Aussage auf Datenhändler zurückgreift, hat unsere Frage zur Rechtsgrundlage nicht beantwortet. Andere Polizeibehörden argumentieren jedoch mit Generalklauseln. Das LKA Mecklenburg-Vorpommern beruft sich etwa auf allgemeine Befugnisse in der Strafprozessordnung und dem Landespolizeigesetz. Auch die Landeskriminalämter von Hamburg, Nordrhein-Westfalen, Thüringen und Saarland halten den Einsatz kommerzieller Standortdaten für rechtlich möglich.

Diese neun LKAs schweigen

Während die Polizeibehörden in Brandenburg und Mecklenburg-Vorpommern einige Fragen offenlassen, sind die Behörden der meisten anderen Bundesländer noch weniger transparent.



Lediglich die Polizei in Bremen, Hessen, Rheinland-Pfalz, Sachsen-Anhalt und Schleswig-Holstein hat den Einsatz kommerzieller Werbedaten bei unseren jüngsten Presseanfragen klar verneint.

Neun weitere LKAs verwiesen auf Geheimschutzgründe und äußern sich nicht. „Um die Wirksamkeit der Strafverfolgung und der Gefahrenabwehr effektiv zu schützen und laufende Verfahren nicht zu gefährden, müssen diese Angaben vertraulich behandelt werden“, heißt es etwa aus Sachsen. Thüringen und Baden-Württemberg verweisen auf „polizeitaktische Gründe“.

Von „sensiblen Bereichen der Polizeiarbeit“, schreiben die Behörden in Niedersachsen und Hamburg. Auch Bayern, Berlin, Nordrhein-Westfalen und das Saarland verweigerten eine Auskunft.

Jurist: Praxis ist „rechtswidrig“

Darf die Polizei nun Werbedaten nutzen oder nicht? Der Jurist Mark Zöller ist Professor an der Ludwig-Maximilians-Universität München und forscht dort zu Innerer Sicherheit und Digitalisierung. Im Gespräch mit netzpolitik.org und BR sagt er zur Nutzung von Werbedaten durch die Polizei: „Nach dem jetzigen Stand der Dinge wäre das rechtswidrig.“

Eine Ermächtigungsgrundlage gebe es in keinem Polizeigesetz, Behörden könnten sich nicht auf bestehende Generalklauseln berufen. „Wer das im Moment macht, handelt ohne gesetzliche Grundlage.“

Zwar könne die Polizei im Einzelfall auch illegal erhobene Daten verwenden, wie der Jurist erklärt. Die Rechtsprechung folge dem Muster: Je schlimmer die Straftat, desto eher könne auch ein rechtswidrig erhobenes Beweismittel benutzt werden. Im Fall von Standortdaten und anderen Informationen aus der Werbe-Industrie brauche es jedoch ausdrückliche gesetzliche Regelungen.

„Das Risiko halte ich für wirklich massiv, dass man da über die Hintertür Daten erhält, die man auf verfassungskonformen Weg als Staat eigentlich gar nicht zu sehen bekommen sollte“, sagt Zöller. Nach der Rechtsprechung des Bundesverfassungsgerichts müssten sich Menschen darauf verlassen können, dass ihre Daten nur für den Zweck verwendet werden, für den sie erhoben werden.

„Wir sehen das sehr häufig, dass Polizeibehörden neue technische Möglichkeiten erkennen und dann schon mal voranpreschen, weil die Verlockung groß ist, so etwas zu nutzen“, sagt Zöller mit Blick auf den Datenhandel. Auch ermittlungstaktisch könne man das nachvollziehen. Im Rechtsstaat funktioniere die Logik jedoch anders herum: „Erst regeln, dann loslegen.“

Zöller sieht es kritisch, dass mehrere Polizeibehörden den Einsatz von Werbedaten weder bestätigen noch verneinen: „Das spricht dafür, dass das auch dort zumindest in Erwägung gezogen wird.“

Der Wiener Tracking-Forscher Wolfie Christl warnt vor den Folgen staatlicher Überwachung mit Werbedaten: „Sollten deutsche Polizeibehörden ADINT-Systeme einsetzen, wäre damit eine Art unkontrollierte Massenüberwachung möglich – auf Grundlage großer Mengen zugekaufter personenbezogener Verhaltensdaten über Millionen von Menschen in Deutschland.“

Er spricht vom „Missbrauch“ der Daten für Überwachung. „Es gibt über die gesamte Datenlieferkette hinweg keine Rechtsgrundlage für eine Weitergabe dieser Daten für Überwachungszwecke.“

Bundesbehörden mauern ebenfalls

Nicht nur in den Bundesländern verweigern Sicherheitsbehörden Transparenz, sondern auch auf Bundesebene. Nutzen etwa die Bundespolizei und Bundeskriminalamt Daten der Werbe-Industrie? Das wollte Ende 2025 die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) in einer Kleinen Anfrage wissen. Die Bundesregierung gab keine Auskunft.

Auch ein geringfügiges Risiko des Bekanntwerdens derart sensibler Informationen kann unter keinen Umständen hingenommen werden.

Nicht einmal in eingestufter Form, also unter Auflagen zur Geheimhaltung, wollte die Regierung das Parlament über eine mögliche Nutzung von Werbedaten durch Polizeibehörden informieren. Auch Auskünfte zur Nutzung durch Geheimdienste verweigerte sie auf vorherige Anfragen von netzpolitik.org und BR.

Fachleute halten es jedoch für wahrscheinlich, dass auch Bundesbehörden bei Databrokern einkaufen oder Dienste von ADINT-Anbietern nutzen. „Es gibt gute Gründe, davon auszugehen, dass dies längst geschieht“, schlussfolgern die Autoren einer Studie des Thinktanks Interface im Jahr 2024. Hinweise darauf gibt es unter anderem in der Begründung für die 2023 beschlossene Novelle des BND-Gesetzes.

Auch die Wissenschaftlichen Dienste des Deutschen Bundestages sehen Hinweise, „dass die Praxis kein Ausnahmephänomen darstellt, sondern zunehmend Teil des behördlichen Informationsmanagements wird“. Das dazu gehörige Gutachten entstand auf Anfrage von Linken-Politikerin Vogtschmidt.

Sollten Bundesbehörden tatsächlich Werbedaten kaufen, würde das laut Gutachten rechtlich auf tönernen Füßen stehen: Bundespolizei und Bundeskriminalamt hätten dafür keine Rechtsgrundlage, heißt es. Eine klare Rechtsgrundlage fehlt demnach sogar für Geheimdienste, die deutlich mehr Befugnisse zur Überwachung haben.

Politiker*innen warnen über Parteigrenzen hinweg

Hinter dem Geschäft mit Handy-Standortdaten steckt globale kommerzielle Massenüberwachung. Hierzu recherchieren netzpolitik.org, Bayerischer Rundfunk und internationale Recherche-Partner seit Februar 2024. Databroker bündeln Daten aus der Werbe-Industrie und verkaufen sie in riesigen Paketen, in der Regel rechtswidrig. Dabei geht es längst nicht mehr um personalisierte Werbung. Die Daten werden zur Handelsware – ein klarer Bruch mit der Zweckbindung, wie sie die DSGVO verlangt.

Allein anhand von Gratis-Kostproben verschiedener Anbieter konnte das Recherche-Team inzwischen mehr als 13 Milliarden Handy-Standorte von Millionen Betroffenen weltweit sammeln und auswerten.

In zahlreichen Veröffentlichungen haben die Databroker Files gezeigt: In den Daten stecken teils genaueste Bewegungsprofile. Sie verraten Wohnadressen und Urlaubsziele, aber auch Privates wie Besuche in Kliniken, Bordellen oder religiösen Einrichtungen. Ausspionieren lassen sich selbst hochrangige Beamt*innen der Bundesregierung und der EU-Kommission oder Menschen mit Zugang zu Militärstützpunkten und Geheimdiensten.

Sicherheitsbehörden müssen die milliardenfachen Standortdaten nicht selbst auswerten. Dafür bieten spezialisierte Firmen Software an. Zum Angebot gehört eine interaktive, grafische Nutzungsoberfläche, ähnlich wie ein Online-Kartendienst. Statt nach Restaurants können Beamt*innen damit etwa nach Handy-Ortungen in bestimmten Gebieten suchen sowie nach den Bewegungsprofilen bestimmter Geräte.

Für den Zugriff auf solche Software verlangen ADINT-Firmen eine Gebühr. Zur Branche gehören etwa die US-amerikanische Firma Penlink, das israelische Unternehmen Rayzone oder das italienische RCS Labs. Zu den öffentlich bekannten Kunden zählen die US-amerikanische Abschiebe-Miliz ICE und die ungarische Regierung, wie kürzlich das Citizen Lab der Universität Torotono mit dem Medium VSquare aufgedeckt hat.

Parteiübergreifend haben Politiker*innen in Deutschland und in der EU den unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie als Gefahr für die innere und äußere Sicherheit bezeichnet. Mit Blick auf erhöhte Gefahr von Spionage ist die Sorge groß, dass ausländische Geheimdienste solche Daten nutzen.

---

Korrektur, 2. Juni, 12:00 Uhr: Aus den Antworten des LKA Brandenburg geht nicht klar hervor, ob die von Datenhändlern beschafften kommerziellen Daten aus der Werbe-Industrie stammen oder möglicherweise aus Quellen außerhalb der Werbe-Industrie. Auch auf direkte Nachfrage hat die Behörde das nicht offengelegt. Das war etwa im Teaser und in der Info-Grafik nicht sauber formuliert. Wir haben das korrigiert.

---

Update, 4. Juni, 11:00 Uhr: Erst nach der Veröffentlichung hat das LKA Brandenburg weitere Details genannt. Die Behörde habe „bisher keine personenbezogenen Standortdaten von Datenhändlern oder anderen kommerziellen Anbietern bezogen“. Auch seien „bisher keine Dienstleister in Anspruch genommen worden, die solche Daten aus dem Ökosystem der Online-Werbung, aus anderen kommerziell erwerblichen oder unbekannten Quellen zur Verfügung stellen“. Stattdessen habe die Polizei auf Daten von kommerziellen Plattformen „wie beispielsweise von Wirtschaftsauskunfteien“ zurückgegriffen.

---

netzpolitik.org und Bayerischer Rundfunk recherchieren weiter zur Nutzung von Werbedaten durch Polizeibehörden. Für Hinweise sind die Autoren Ingo Dachwitz und Sebastian Meineck dankbar.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Vor einem Jahr erhielten wir einen Datensatz mit Milliarden Handy-Standortdaten aus Deutschland, vermittelt über einen Berliner Datenmarktplatz. Politiker*innen warnten vor einer Gefahr für die nationale Sicherheit. Neue Recherchen zeigen, wie der Marktplatz dem Geschäft weiter eine Plattform bietet.

Exakte Standortdaten von Millionen Handys weltweit lassen sich einfach online kaufen. Datenhändler verschleudern sie sogar als Gratis-Kostprobe. Bereits diese kostenlosen Datensätze sind so umfangreich, dass sich damit Massenüberwachung betreiben lässt. Das haben unsere bisherigen Recherchen zu den Databroker Files mit dem Bayerischen Rundfunk gezeigt. Aus den Daten lassen sich teils detaillierte Bewegungsprofile ablesen, sogar von Soldat*innen oder Politiker*innen.

Wer Kontakt zu Händlern, also Databrokern sucht, wird auf dem Online-Marktplatz eines Berliner Unternehmens fündig: Datarade.ai. Der Marktplatz verkauft die Daten zwar nicht selbst, verkuppelt aber Anbieter und Interessierte. Das funktioniert ähnlich wie Amazon, nur eben für Datensätze. Für erfolgreiche Deals streicht der Marktplatz eine Provision ein.

Vermittelt über Datarade haben nicht nur wir sensible Handy-Standortdaten von Databrokern erhalten, sondern auch Journalist*innen aus den Niederlanden, der Schweiz und Belgien, und zwar unabhängig voneinander. Das hat im Jahr 2023 geklappt, im Jahr 2024 – und trotz der kritischen Berichterstattung in zahlreichen Medien war es auch noch 2025 möglich.

Das Problem: Der Handel mit derart detaillierten Handy-Standortdaten ist nach Einschätzung von Fachleuten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Zudem haben Bundestagsabgeordnete wie Konstantin von Notz (Grüne) oder Roderich Kiesewetter (CDU) bereits vergangenes Jahr vor einer Gefahr für die nationale Sicherheit gewarnt.

Datarade wollte „alle zumutbaren Anstrengungen“ unternehmen

Und was tut Datarade? Noch vor gut einem Jahr hatte uns der Berliner Marktplatz mitgeteilt, man nehme die von unseren Recherchen ausgelösten, öffentlichen Bedenken „sehr ernst“. Die Angebote auf der Plattform prüfe das Unternehmen zwar nicht einzeln. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten.“ Dennoch unternehme Datarade „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.

Ein Jahr später haben wir uns nochmal auf dem Marktplatz umgeschaut. Unsere neue Recherche weckt Zweifel daran, dass Datarade „alle zumutbaren Anstrengungen“ unternimmt. So preiste Datarade in einem eigenen, redaktionellen Beitrag selbst Handy-Standortdaten an, schrieb über die daraus ablesbaren, sehr genauen Bewegungsmuster – und empfahl passende Händler. Als wir per Presseanfrage mehr zu der Seite erfahren wollten, wurde sie offline genommen.

Bereits 2024 warnte die damals kurz vor ihrem Amtsantritt stehende Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, vor einer Regulierungslücke. Auch die zuständige Berliner Datenschutzbeauftragte sah ein Problem: Solange ein Marktplatz die Daten nicht selbst verarbeitet, sondern nur Kontakte zwischen Käufern und Verkäufern herstellt, habe sie keine Handhabe. Verantwortlich nach der DSGVO sei nur jemand, der selbst auch Daten verarbeitet.

Unter Datenschützer*innen gibt es in dieser Frage keine Einigkeit. Das Netzwerk Datenschutzexpertise etwa kam in einem Gutachten aus dem Frühjahr 2025 zu dem Schluss, dass die DSGVO hier sehr wohl anwendbar sei. Um verantwortlich zu sein, müsse ein Datenmarktplatz nicht notwendigerweise selbst in Besitz der Daten sein. Oft sei der Handel mit personenbezogenen Daten sogar strafbar, weshalb nicht nur Datenschutzbehörden, sondern auch Staatsanwaltschaften handeln müssten.

Passiert ist so etwas bisher nicht. Auf Datarade preisen Händler weiterhin ihre Handy-Standortdaten an. In Datarade selbst steckt sogar Geld vom deutschen Staat, und zwar mehr als bisher angenommen. Dazu später mehr.

Auf Anfrage entfernte Datarade Angebote für Handystandortdaten

Nach unseren Veröffentlichungen im Jahr 2024 hatte Datarade ein Angebot für Handystandortdaten des US-Datenhändler Datastream Group offline genommen. Hierzu schrieb das Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“

Davon unberührt waren jedoch ähnliche Angebote von anderen Datenhändlern. Auch nach Veröffentlichung der Recherchen präsentierte Datarade Angebote von ähnlichen Datensätzen. Suchte man etwa Anfang September dieses Jahres auf Datarade nach Angeboten mit Geo-Koordinaten und mobilen Werbe-IDs, erhielt man rund 50 Ergebnisse. Grenzte man die Suche weiter ein auf Daten aus Deutschland, waren es noch 15 Treffer.

Über ein Online-Formular können Nutzer*innen verdächtige Inhalte melden. Genau das haben wir ausprobiert. Für eine solche Meldung müssen Nutzer*innen Namen und E-Mail-Adresse angeben. Um das Ergebnis nicht zu verfälschen, hat ein Kollege ohne erkennbare Verbindung zu netzpolitik.org diese Meldungen vorgenommen. Es handelte sich um insgesamt fünf Angebote von Handystandortdaten aus Deutschland oder der EU. Das Ergebnis: Die Angebote waren weniger als zwei Wochen nach Eingang der Meldungen offline.

Auf Presseanfrage teilt Datarade mit: „Die Produkt-Listungen wurden vorsorglich offline genommen, um den Hinweisen nachzugehen.“ Man gebe den Anbietern nun die Möglichkeit, Stellung zu beziehen.

So preist Datarade selbst Handy-Standortdaten an

Hatte Datarade vor unseren Meldungen wirklich keine Kenntnis über diese Angebote? Zumindest einen Überblick dürfte Datarade gehabt haben. Es gab nämlich die bereits erwähnte von Datarade selbst bereitgestellte Infoseite mit dem Titel „Was sind Handy-Standortdaten“ (im Original: „What is Mobile Location Data?“), die nach unserer Presseanfrage offline genommen wurde.

Auf dieser Seite beschrieb ein Datarade-Mitarbeiter im Detail, wie solche Datensätze aufgebaut sind: mit GPS-Koordinaten und individueller Werbe-ID, der sogenannten MAID („mobile advertising ID“). Vorschaufenster auf der Seite präsentieren mehrere passende Angebote von Datenhändlern, etwa als „Ausgewählte Datensets“. Anhand kleiner Flaggen-Emojis in den Angeboten ließ sich ablesen, woher die Daten kommen, auch mehrere Deutschland-Flaggen waren zu sehen.

Übersetzt aus dem Englischen stand auf der Infoseite, viele Datensätze böten eine hohe GPS-Genauigkeit, „wodurch sichergestellt wird, dass die von Ihnen erhaltenen Daten den realen Standorten und Bewegungsmustern sehr genau entsprechen“. Einige Datensätze würden sogar eine Präzision von unter 19 Metern erreichen, „was besonders nützlich sein kann, wenn Sie sehr detaillierte Einblicke benötigen“.

An einer anderen Stelle der Infoseite hieß es: „Manche Menschen fühlen sich möglicherweise unwohl dabei, wenn ihre Standortdaten gesammelt und für kommerzielle Zwecke verwendet werden.“ Das ist korrekt, wie die Reaktionen auf unsere Recherchen zeigen. Eine Betroffene sagte zum Beispiel im Gespräch mit netzpolitik.org:

Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist.

Und der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte 2024 mit Blick auf den Handel mit Handy-Standortdaten: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden.“ Dass etwas passieren müsse, stehe für ihn völlig außer Frage. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“

Warum Handel mit Standortdaten fast immer DSGVO-widrig ist

Auf potenzielle Bedenken beim Handel von Handy-Standortdaten ging die Datarade-Infoseite selbst ein. Dort hieß es auf Englisch:

Es gibt mehrere verbreitete Missverständnisse über mobile Standortdaten, darunter die Annahme, dass sie immer genau seien und dass man damit Personen ohne deren Wissen oder Zustimmung verfolgen könne. In Wirklichkeit kann die Genauigkeit mobiler Standortdaten je nach Qualität der Datenquelle und der verwendeten Technologie variieren. Darüber hinaus ist das Sammeln und Nutzen von Standortdaten ohne Zustimmung sowohl illegal als auch unethisch.

Drei Aspekte an diesem Zitat verdienen besondere Aufmerksamkeit: Es ist erstens korrekt, dass Handy-Standortdaten nicht immer genau sind. Unsere Recherchen haben gezeigt, dass Händler auch ungenaue Standortdaten verbreiten.

Es ist zweitens allerdings kein „Missverständnis“, dass sich mit diesen Daten „Personen ohne deren Wissen oder Zustimmung verfolgen“ lassen. Gemeinsam mit unseren Recherche-Partnern konnten wir in mehreren Fällen sogar Angehörige von Geheimdiensten und Regierungen vom Arbeitsplatz bis hin zu ihren Privatwohnungen tracken. Die Kolleg*innen aus Norwegen konnten sogar einen verdutzten Grindr-Nutzer zuhause besuchen, der nicht geoutet werden wollte.

Mehrere Betroffene sagten uns im Gespräch, ihnen sei nicht bewusst, einer solchen Art von Tracking zugestimmt zu haben. Zum Beispiel Hedi aus Bayern, die sagte:

Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.

Drittens ist der Handel mit Standortdaten nach Ansicht von Datenschutzbehörden und anderen Fachleuten oftmals selbst mit Einwilligung nicht von der DSGVO gedeckt. So werden die Daten zum einen oft angeblich nur für Werbezwecke erhoben; der Handel stellt also eine verbotene Änderung des Verarbeitungszwecks dar. Zum anderen fehlt es an Transparenz, denn Menschen müssten bei der Einwilligung umfassend informiert werden, an wen Händler Daten weitergeben. Deshalb sind die Einwilligungen oft unwirksam.

Datarade – geschickte Geschäfte im Graubereich

Hinzu kommt, dass sich aus Standortdaten oft sensible Informationen ableiten lassen, zum Beispiel über Besuche in spezialisierten Kliniken, bei Parteien und Gewerkschaften oder in religiösen Gebäuden. Solche Informationen sind durch die DSGVO besonders geschützt.

Die Beobachtungen auf dem Marktplatz Datarade werfen Fragen auf. Wieso hat die Plattform auf einer selbst verfassten Infoseite Angebote mit GPS-Daten angepriesen, die realen „Bewegungsmustern sehr genau entsprechen“ – nahm solche Angebote allerdings nach der Meldung durch einen Nutzer wieder offline?

Wir haben Datarade per Presseanfrage auf die Infoseite angesprochen. Wenig später war sie offline. „Wir nehmen Ihren Hinweis zum Anlass, die Kategorie-Seite redaktionell zu überprüfen und vorsorglich offline zu nehmen“, teilt das Unternehmen mit.

Diese Anstrengungen unternimmt Datarade nach eigenen Angaben

Datarade legt Wert darauf, zu betonen, selbst kein Datenanbieter zu sein, „sondern ein Verzeichnis von Datenanbietern und deren Produktkatalogen“. Weiter schreibt die Pressestelle auf unsere Fragen: „Datarade verurteilt jedweden rechtswidrigen Handel mit Daten und setzt sich für einen rechtskonformen Austausch von Daten ein.“

Demnach dürften sich auf Datarade nur registrierte Unternehmen anmelden. Anbieter würden sich vertraglich dazu verpflichten, nur rechtskonforme „Inhalte auf Datarade zu veröffentlichen“. Sie würden „angehalten“, ihre Datenschutz-Richtlinien zu verlinken und die Konformität mit Datenschutzbestimmungen zu bestätigen. Auf jeder Produktseite gebe es einen Link zum Melden von Inhalten; den Meldungen gehe man dem Digitale-Dienste-Gesetz entsprechend nach.

Wir wollten wissen, in welchem Ausmaß Datarade am mutmaßlich illegalen Geschäft mit Handy-Standortdaten mitverdient. Genauer gesagt: Wie viel Provision Datarade in den letzten drei Jahren durch über den Marktplatz vermittelte Deals mit Handy-Standortdaten erhalten hat. Diese Frage hat uns das Unternehmen nicht beantwortet. Stattdessen verwies die Pressestelle auf den allgemein gehaltenen Jahresabschluss, nach dem wir nicht gefragt hatten.

Zum Zeitpunkt der Veröffentlichung dieser Recherche gibt es auf Datarade noch immer mehrere Angebote für Handy-Standortdaten, die mit individuellen Werbe-IDs verknüpft sind. Sie lassen sich kinderleicht über die Suchfunktion auf der Plattform finden. Damit Datarade sie offline nimmt, müsste sie wohl erst jemand von außerhalb aktiv melden – und den Marktplatz regelmäßig auf neue Angebote prüfen.

Wir erinnern uns: Datarade unternimmt nach eigener Aussage „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.

So will Datarade neue Händler auf den Marktplatz locken

Im Zuge unserer Recherchen hatten wir uns auch selbst als potenzieller Anbieter für Ortsdaten bei Datarade registriert. Dafür haben wir eine E-Mail-Adresse mit Pseudonym genutzt – und nichts weiter unternommen. Seitdem erhalten wir regelmäßig E-Mails von Datarade. Daraus lässt sich ableiten, welche Mühen die Plattform unternimmt, um aktiv neue Datenhändler für sich zu gewinnen.

Mehrfach versuchte Datarade etwa, ein persönliches Gespräch mit uns – dem vermeintlich neuen Händler – zu vereinbaren. „Lass mich wissen, wenn du Daten zum Verkauf hast, dann können wir darüber nachdenken, sie auf den größten Datenmarktplätzen zu monetarisieren“, hieß es auf Englisch.

Es folgten weitere E-Mails von Datarade. Darunter eine, die versuchte, uns mit der Aussicht auf Umsatz zu locken. Demnach sollten wir lernen, wie ein anderer Anbieter von Standortdaten „Kunden in neuen Märkten erreicht hat“. Das Marktvolumen, also der Umsatz aller Akteur*innen am Markt, liege demnach bei 93 Millionen Euro.

Auch Tutorials erreichten uns. Sie handelten davon, wie wir unser Angebot für Datarade optimieren können. Demnach sollten wir unseren Produktkatalog per ChatGPT ausformulieren lassen. Einen passenden Prompt lieferte die Plattform gleich mit. Auf unserem Anbieterprofil sollte der Hinweis auf DSGVO-Compliance nicht fehlen, riet ein anderes Tutorial.

In den Datenmarktplatz floss mehr Steuergeld als bisher angenommen

Bereits 2024 konnten wir berichten, dass in Datarade auch Steuergeld steckt. Inzwischen wissen wir: Es ist noch mehr Geld als bisher bekannt.

Zunächst hatte der Datenmarktplatz im Jahr 2019 ein Investment in Höhe von einer Million Euro aus dem „High-Tech Gründerfonds“ (HTGF) erhalten. Das ist ein zentrales Instrument der deutschen Start-up-Förderung. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds stammt vom Bundeswirtschaftsministerium, 170 Millionen Euro.

Darüber hinaus schoss der HTGF allerdings vier Jahre später weitere knapp 500.000 Euro in das Unternehmen. Der Anlass war eine Runde zur Anschlussfinanzierung. Das geht aus einer Antwort des Wirtschaftsministeriums auf eine parlamentarische Anfrage der damaligen Linken-Abgeordneten Martina Renner aus dem Jahr 2024 hervor.

Abgeordnete kritisieren Staatsgeld für Datenmarktplatz

Wir haben das Dokument mit einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) erhalten, jedoch zunächst in einer fast vollständig geschwärzten Variante. Das Wirtschaftsministerium hatte die Antwort des damaligen Staatssekretärs als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft. Erst nachdem wir Widerspruch gegen die Entscheidung eingelegt hatten, gab das Ministerium die Antwort für die Öffentlichkeit frei.

Das Ministerium betont darin erneut, dass es „auf die Investmententscheidungen des HTGF keinen Einfluss“ nehme. Jedoch seien „Investitionen in Unternehmen, die Aktivitäten in Verbindung mit Cybercrime verfolgen“, gemäß „der Ausschlussliste des HTGF ausgeschlossen.“ Als solche könne das Geschäftsmodell von Datarade nicht betrachtet werden, da die Plattform lediglich Kontakte zwischen Datenanbietern und Interessierten herstelle. „Das Zustandekommen eines Vertrags und der Austausch von Daten läuft grundsätzlich vollständig außerhalb der Plattform.“

SPD sieht „erheblichen Handlungsbedarf“, CDU bleibt unkonkret

Wie viel Verantwortung sollen Datenmarktplätze dafür tragen, wenn Datenhändler dort die Standortdaten von Millionen Menschen verschleudern? Einen Vorschlag hierzu hatte die heutige Bundesdatenschutzbeauftragte bereits im vergangen Jahr: Der deutsche Gesetzgeber könnte die Reform des Bundesdatenschutzgesetzes nutzen, um das Geschäft von Datenmarktplätzen zu regeln. Die Reform war zunächst für 2024 geplant gewesen, fiel aber dem vorzeitigen Aus der Ampel-Koalition zum Opfer.

Auch die neue Koalition aus Union und SPD will den Datenschutz reformieren. Im Fokus stand zwar bisher ein Rückbau von Regulierung – aber gerade bei Datenmarktplätzen sehen Politiker*innen mehrerer Parteien Probleme.

„Auch wenn im Koalitionsvertrag keine konkrete Aussage dazu vereinbart wurde, so sehen wir mit Blick auf die Databroker-Files-Recherchen nicht allein aus datenschutzrechtlicher Sicht, sondern auch aus sicherheitspolitischer Perspektive erheblichen Handlungsbedarf“, schreibt uns etwa Johannes Schätzl, der digitalpolitische Sprecher der SPD-Fraktion im Bundestag. Er werde „diese Thematik in den anstehenden Verhandlungen selbstverständlich auch ansprechen und konkrete Vorschläge einbringen“. Es sei allerdings noch offen, ob es in der Koalition eine Zustimmung für entsprechende Gesetzesänderungen gibt.

Der Koalitionspartner, die Union, hält sich auf Anfrage von netzpoiltik.org bedeckt. Ralph Brinkhaus, Sprecher für Digitalisierung und Staatsmodernisierung, lässt auf unsere sechs Fragen zur anstehenden Datenschutzreform lediglich verlauten: „Wir arbeiten an den von Ihnen genannten Punkten.“

Grüne und Linke machen Druck

Die Grünen-Digitalpolitiker Lukas Benner und Konstantin von Notz sehen im fehlenden Plan der Regierungskoalition beim Datenhandel ein Beispiel für deren Datenschutzpolitik. Während Union und SPD sich „verfassungsrechtlich hochumstrittene Vorhaben“ wie die Wiedereinführung der Vorratsdatenspeicherung vorgenommen hätten, fehle auf ihrer Agenda die Lösung der „anhaltenden und zunehmenden Problematik der Databroker“.

Die grüne Bundestagsfraktion halte „eine gesetzliche Einschränkung dieser Praktiken für dringend geboten – übrigens auch mit Blick auf den Schutz unserer Sicherheitsbehörden und ihrer Mitarbeiterinnen und Mitarbeiter“. Das Innenministerium müsse sich endlich der Thematik widmen.

Grundsätzlicher wird bei dem Thema Donata Vogtschmidt, digitalpolitische Sprecherin der Linkspartei. Sie wolle „Geschäftsmodellen, die auf personalisierter Onlinewerbung basieren, insgesamt den Kampf ansagen“. Vogtschmidts Vorschlag, um das Problem an der Wurzel zu lösen: Im Gesetz über digitale Dienste (DSA) der Europäischen Union ist bereits ein Verbot personalisierter Werbung für Minderjährige vorgesehen. Dieses Verbot sollte auf alle Nutzenden ausgeweitet werden, denn „so ließe sich kommerzieller Datenhandel wirklich eindämmen“.

Unterdessen könnte auch die EU aktiv werden. Sie will mit dem kommenden Digital Fairness Act Lücken für Verbraucher*innen im Netz schließen. Bis 24. Oktober können Interessierte Ideen einreichen, in welchen Bereichen sie Handlungsbedarf sehen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.