Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Jetzt zeigt unsere neue Recherche: Auch die deutsche Polizei bedient sich daran und unterläuft dabei den Rechtsstaat. So schafft man Unsicherheit im Namen der Sicherheit. Ein Kommentar.
Standortdaten von Handys können über Online-Werbung an die Polizei fließen – Nebel: Vecteezy; Mütze: Pixabay/S_Salow; Montage: netzpolitik.org
Donald Trumps Abschiebemiliz ICE tut es, ungarische Behörden unter Viktor Orbán taten es und jetzt steht fest: Auch die deutsche Polizei hat Daten aus dem Ökosystem der Online-Werbung für heimliche Überwachung genutzt. Vermutet worden war das schon länger, dank unserer neuen IFG-Recherche mit dem Bayerischen Rundfunk haben wir es erstmals Schwarz auf Weiß: Mindestens in Mecklenburg-Vorpommern ist es passiert. Vielleicht auch in Brandenburg, das dortige Landeskriminalamt will auch auf Nachfrage nicht sagen, auf welche Art kommerzieller Daten von Databrokern es zurückgreift.
Zu den polizeilich genutzten Datensätzen aus der digitalen Werbeindustrie können unter anderem metergenaue Standortdaten von Handys gehören. Sie werden von Tracking-Firmen aus beliebten Apps ohne Wissen der Nutzer:innen abgesaugt und von windigen Databrokern an potenziell alle verkauft, die danach fragen.
Hinzu kommt, dass die Daten, nach allem, was wir wissen, überwiegend illegal fließen. Von der Erhebung über den Handel bis zur Verwendung dürfte jedes Glied dieser Datenlieferkette gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Mindestens das Landeskriminalamt von Mecklenburg-Vorpommern muss sich den Vorwurf gefallen lassen, dass es auf einem Daten-Schwarzmarkt mitgemischt hat. Ob und wie viel Geld geflossen ist, verrät es nicht.
Wo ein Trog ist, da sammeln sich Schweine
Überhaupt mauern deutsche Behörden bei diesem Thema, wo es nur geht. Nutzt die Polizei wirklich nur in zwei Bundesländern Daten von Databrokern? Neun LKAs verweigerten die Auskunft gleich ganz – unter Verweis auf den Schutz der Polizeiarbeit. Der Verdacht liegt nahe, dass sie etwas zu verbergen haben.
Während US-Behörden ihre Geschäftsbeziehungen zu kommerziellen Datenfirmen wie selbstverständlich offenlegen, können wir hierzulande nicht mal eine Debatte darüber führen, ob und unter welchen Umständen werbebasierte Überwachung zu unserem Verständnis vom Rechtsstaat passt. Auch die Bundesregierung verweigerte dem Parlament im Dezember Informationen zu dem Thema, selbst in eingestufter Form.
Dabei ist der Missbrauch von angeblich nur für Werbezwecke erhobenen Daten durch Polizeibehörden und Geheimdienste nur die neuste Stufe einer längeren Entwicklung: Die vermeintlich harmlose Welt der kommerziellen Datensammlung verschmilzt mit staatlicher Überwachung.
Bereits die Snowden-Leaks hatten gezeigt, dass US-Geheimdienste in großem Stil auf Daten zugreifen, die etwa bei kommerziellen E‑Mail-Anbietern wie Google oder Yahoo anfallen. Heute können staatliche Stellen auf ein wachsendes Netz privater Überwachungskameras zugreifen, mit KI-Gesichtserkennung Menschen auf Fotos in Sozialen Netzwerken aufspüren und mit Hilfe privater Anbieter wie Palantir Verdächtige aus riesigen Datenmengen generieren.
Und jetzt also ADINT, kurz für Advertising-based Intelligence, werbebasierte Aufklärung. Eigentlich keine Überraschung: Die Werbeindustrie hat den größten Überwachungsapparat der Geschichte geschaffen. Es war nur eine Frage der Zeit, bis sich daran auch andere gütlich tun. Wer sich schon länger mit den Begehrlichkeiten von einmal erhobenen Daten beschäftigt, kennt den Spruch: Wo ein Trog ist, sammeln sich Schweine.
Datensparsamkeit nur bei Medienanfragen
Dass deutsche Polizeibehörden darüber lieber nicht sprechen, hat wohl einen Grund: Nach Einschätzung von Jurist:innen fehlt ihnen eine rechtliche Grundlage, um kommerziell erhobene Daten aus der Werbeindustrie zu nutzen. Auf Generalklauseln können sie sich jedenfalls nicht stützen, sagen Datenschutzbehörden.
Das Zusammenwachsen von Überwachungskapitalismus und Überwachungsstaat stellt die Wirksamkeit unseres Rechtsstaats auf die Probe. Wenn sie beispielsweise Menschen mit Funkzellenabfragen orten wollen, brauchen Polizeibehörden dafür eine richterliche Genehmigung. Diesen Umweg, der den Schutz von Grundrechten sicherstellen und Überwachungsexzesse verhindern soll, will sich die Polizei offenbar gerne sparen.
Deshalb müssen wir jetzt nicht nur auf Transparenz und eine politische Debatte drängen, sondern auch auf strenge Regeln. Im besten Fall verbieten wir Behörden die Nutzung von illegal erhobenen Werbedaten.
Man muss sich das vor Augen halten: In den USA jagt ICE Menschen, vermutlich auch mit Hilfe von Werbedaten. Die Regierung von Viktor Orbán könnte sie gegen Oppositionelle genutzt haben. Expert:innen warnen davor, dass feindliche Geheimdienste und Militärs sie gegen die EU einsetzen könnten. Und deutsche Polizist:innen – machen einfach auch mit. Hallo, geht’s noch?
Wir brauchen keine Polizeibehörden, die nur bei ihren Antworten auf Presseanfragen Datensparsamkeit praktizieren, aber bei neuartigen Überwachungsmethoden aus dem Vollen schöpfen wollen. Der Staat sollte uns vor Tracking-Firmen und Datenhändlern schützen, nicht mit ihnen Geschäfte machen.
Korrektur, 2. Juni, 12:00 Uhr: Aus den Antworten des LKA Brandenburg geht nicht klar hervor, ob die von Datenhändlern beschafften kommerziellen Daten aus der Werbe-Industrie stammen oder möglicherweise aus Quellen außerhalb der Werbe-Industrie. Auch auf direkte Nachfrage hat die Behörde das nicht offengelegt. Das war nicht sauber formuliert. Wir haben das korrigiert.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Meta verletzte mit seinen „Smart Glasses“ die Privatsphäre der eigenen Nutzer:innen. Leidtragende des Vorfalls sind nun ausgerechnet Datenarbeiter:innen in Kenia, denen das intime Material zur Bewertung vorgesetzt wurde.
Metas Überwachungsbrille gefährdet die Privatsphäre – in Zukunft vermutlich auch mit Gesichtserkennung. – Alle Rechte vorbehalten IMAGO / Reporters
Sama ist ein US-Unternehmen, das in Ländern wie Kenia, Uganda oder Costa Rica für viele westliche Unternehmen Aufgaben wie Inhalte-Moderation und Daten-Annotation übernimmt. Letztere Tätigkeit wird benötigt, um so genannte Künstliche Intelligenz zu verbessern. Dabei werden zum Beispiel Bilder und Gegenstände mit Metadaten versehen, also beschrieben und kategorisiert. Bei der Auswertung solcher Daten aus den Meta-Brillen hatten die Sama-Mitarbeiter:innen auch Videos gesehen von Nutzer:innen, die sich umzogen, auf der Toilette waren oder Sex hatten.
Meta begründete laut dem Guardian das Ende des Vertrages mit Sama damit, dass das Unternehmen Standards nicht erfülle. Am vergangenen Donnerstag verkündete Sama dann, dass es mehr als 1000 Mitarbeiter:innen entlassen. Mit einer Kündigungsfrist von sechs Tagen, wie der Guardian berichtet.
Kauna Malgwi, eine ehemalige Mitarbeiterin von Sama, sagte gegenüber dem britischen Medium: „Dieses Problem beschränkt sich nicht auf ein einzelnes Unternehmen oder einen Vertrag. Es zeigt, wie die globale KI-Branche gestaltet ist. Die Macht liegt bei den großen Technologieunternehmen. Das Risiko fließt nach unten und betrifft ausgelagerte Arbeitskräfte, oft im globalen Süden, die den geringsten Schutz und die höchste Gefährdung haben.“
Erst vergangene Woche berichteten Sachverständige bei einem Fachgespräch im Bundestag von den problematischen Bedingungen in der Branche. Sie machten zahlreiche Vorschläge zur Verbesserung, von fairer Bezahlung über die Obergrenzen für die Arbeitszeit an belastendem Material bis zur Etablierung von Content-Moderation als Ausbildungsberuf.
Smart Glasses: „Unethische Technologie“
Metas Überwachungsbrille steht unterdessen auch aus anderen Gründen in der Kritik. Vermarktet wird das im September 2025 von Meta-Chef Mark Zuckerberg wie eine Sensation vorgestellte Gadget als stylischer Allround-Assistent, der den Alltag erleichtern soll. Dabei greift das Gerät nicht nur in die Privatsphäre der Nutzer:innen selbst, sondern auch in die von Unbeteiligten ein.
Die neuartigen Brillen von Meta sind ein großes Problem für die Privatsphäre und den Datenschutz. Wenn viele Menschen solche Brillen tragen, droht die kommerzielle Totalerfassung von privaten und öffentlichen Räumen; bald könnte Meta die Brille zusätzlich mit Gesichtserkennung aufrüsten.
Probleme gab es zuletzt schon, weil Menschen die Brillen vor Gericht trugen. Ein Bündnis von 75 US-Bürgerrechtsorganisationen wehrt sich gegen die Nutzung der Brillen im öffentlichen Raum. In einer Presseerklärung schreibt Cody Venzke, leitender Anwalt bei der Bürgerrechtsorganisation ACLU: „Es handelt sich um eine von Natur aus in die Privatsphäre eingreifende und unethische Technologie. Die Gefahren sind nicht hypothetisch – sie sind sehr real, wie wir am Einsatz der Gesichtserkennung in anderen Kontexten gesehen haben. Die Einbettung dieser Technologie in Brillen für Verbraucher würde das Risiko von Schäden für Einzelpersonen, Familien und unsere Demokratie selbst erheblich erhöhen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen.
Die Unternehmenszentrale von WetterOnline am Bonner Rheinufer – Alle Rechte vorbehalten Screenshot: ARD
Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen hat ein Bußgeldverfahren gegen Wetter Online eingeleitet. Wann es zu einem Abschluss kommt, sei derzeit jedoch noch nicht absehbar, erklärt Pressesprecher Jan Keuchel auf Anfrage von netzpolitik.org.
Mehr als 100 Millionen Mal wurde die App allein aus dem Google Play Store heruntergeladen; nach eigenen Angaben hat das Angebot mehr als 22 Millionen Nutzer:innen. Was vielen dieser Menschen wohl nicht klar war: Wetter Online hatte offenbar genaue Standortdaten erfasst, obwohl das für eine Wettervorhersage nicht notwendig wäre, und diese Daten sind darüber hinaus offenbar bei Dritten gelandet.
Zu diesem Schluss ist die Landesbeauftragte für Datenschutz, Bettina Gayk, gekommen. Nach intensiven Ermittlungen wirft ihre Behörde dem Unternehmen vor, „über Jahre Standortdaten seiner Nutzer*innen ohne Rechtsgrundlage, konkret ohne deren wirksame Einwilligung erhoben und für Werbezwecke (weiter-)verarbeitet zu haben“, so der Behördensprecher. Laut Jahresbericht der Datenschutzbehörde hatte man die Praxis zügig stoppen können; Wetter Online hat demnach nachgebessert.
Anstoß für das Verfahren der Datenschutzbehörde gegen Wetter Online waren die Databroker-Files-Recherchen von netzpolitik.org und BR. Auf Grundlage dieser Recherchen beleuchtet nun auch eine neue Dokumentation der ARD den außer Kontrolle geratenen Handel mit personenbezogenen Daten und geht auch auf den Fall Wetter Online ein.
Der Film „Gefährliche Apps – Im Netz der Datenhändler“ erzählt anschaulich, wie Standortdaten aus der Online-Werbeindustrie über Handy-Apps abfließen und letztlich zur Handelsware von Databrokern werden.
Um sich selbst ein Bild von der Lage bei Wetter Online zu machen, hatten Mitarbeiter:innen der Datenschutzbehörde im vergangenen Jahr bei Wetter Online einen überraschenden Kontrollbesuch gemacht. Davon berichtet die Datenschutzbeauftragte Bettina Gayk in der Doku: „Man hat uns mitgeteilt, dass Standortdaten nur für eigene Zwecke, nämlich das Ausspielen dieses Wetterdienstes genutzt werden“. Tatsächlich aber habe man feststellen können, dass die Daten auch für andere Zwecke verarbeitet werden. Außerdem habe es Schnittstellen zum Teilen der Daten mit Dritten gegeben.
Das Unternehmen selbst hat auf eine aktuelle Presseanfrage von netzpolitik.org nicht reagiert. Im vergangenen Jahr erklärte Wetter Online jedoch, dass niemals GPS-Daten „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, so ein Sprecher des Unternehmens im Juni 2025.
Wie genau Handy-Standortdaten von Wetter-Online-Nutzer:innen letztlich in dem uns vorliegenden Datensatz gelandet sein könnten, erklärte der Sprecher damals nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“
Unklar bleibt deshalb auch, an welche Drittparteien Standortdaten abgeflossen sein könnten. Zeitweise listete Wetter Online in der Datenschutzerklärung mehr als 800 Werbepartner auf.
Zehntausende Handys an nur an einem Tag geortet
Hinter dem globalen Datenhandel stecken mindestens Zehntausende Apps. Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten von verschiedenen Datenhändlern vor, allesamt erhalten als kostenlose Vorschau-Pakete. Woher die Daten stammen, erfahren Käufer:innen oft nicht. Im Januar 2025 konnten wir jedoch gemeinsam mit internationalen Partnermedien erstmals über einen Datensatz berichten, in dem auch konkrete Apps genannt werden. Insgesamt enthält dieses Datenset 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Verweisen auf rund 40.000 Apps für Android und iOS.
In dem Datensatz fanden wir auch zahlreiche Apps aus Deutschland, dazu teils genaue Handy-Standortdaten. Unter den Apps mit den meisten in Deutschland georteten Handys war Wetter Online. An nur einem Tag wurden zehntausende Wetter-Online-Nutzer:innen in Deutschland wohl teils auf den Meter genau geortet.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Die Landesdatenschutzbeauftragte Bettina Gayk reagierte damals umgehend und forderte Wetter Online schon kurz nach unserer Berichterstattung auf, die Verarbeitung präziser Standortdaten „so schnell wie möglich“ zu beenden. Das Unternehmen hinter der App, die „WetterOnline – Meteorologische Dienstleistungen GmbH“ hat ihren Sitz in Nordrhein-Westfalen, weshalb der Fall in die Zuständigkeit von Gayks Behörde fällt.
So gefährlich ist der Datenhandel
Die TV-Doku macht nun anhand konkreter Fälle anschaulich, wie gefährlich solche vermeintlich harmlosen Werbedaten in den falschen Händen werden können: Sie können etwa für Stalking genutzt werden, für Spionage durch ausländische Geheimdienste oder sogar Frontstellungen in der Ukraine verraten.
Die Standortdaten von Handys landen oft auf verschlungenen Pfaden bei den Databrokern. In der Regel enthalten die dort gehandelten Datensätze zwar keine Namen oder Telefonnummern der betroffenen Menschen. Aufspüren lassen sie sich dank der Mobile Advertising ID oftmals trotzdem.
Eine solche pseudonyme Identifikationsnummer ordnen Apple und Google Smartphones mit iOS oder Android zu. Mit ihr sollen Werbetreibende einzelne Personen wiedererkennen. Zugleich bewirkt die Nummer, dass sich vereinzelte Standortdaten zu aussagekräftigen Bewegungsprofilen zusammensetzen lassen.
In zahlreichen Recherchen haben wir aufgezeigt, wie leicht man anhand dieser Daten Personen ins Visier nehmen, identifizieren und ausspionieren kann. Mühelos lässt sich oftmals ablesen, wo Menschen wohnen und arbeiten, wo sie einkaufen und spazieren gehen – oder welche Ärzte, Bordelle oder religiösen Gebäude sie aufsuchen. So entdeckten wir in den Datensätzen auch genaue Standortdaten von hochrangigen Beamt:innen der EU-Kommission oder von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdiensten in Deutschland.
Datenschutzbehörde: Wirksame Einwilligung fehlte
Dass Tracking-Daten alles andere als harmlos sind, betont auch die Datenschutzbehörde. „In Kombination mit anderen Daten können solche Standortdaten zur Erstellung von Bewegungsprofilen genutzt werden und potenziell tiefe Einblicke in das Leben der Betroffenen ermöglichen“, erklärt Sprecher Jan Keuchel. „Die Gefahr eines Missbrauchs ist deshalb groß.“
Es müsse sichergestellt werden, dass Standortdaten und ähnliche Daten nur auf Basis einer wirksamen Rechtsgrundlage verarbeitet werden. „Dies gilt umso mehr, sofern die Daten zu Werbezwecken an Dritte weitergeleitet werden.“ Dafür komme aus datenschutzrechtlicher Sicht nur die informierte und freiwillige Einwilligung der Betroffenen infrage, so Keuchel.
Damit diese Einwilligung auch wirksam ist, müssten Nutzer:innen verstehen können, wozu sie genau ihr Einverständnis geben, zu welchen Zwecken ihre Daten verarbeitet werden und welche Dritten sie für welchen Zweck erhalten. An solch einer wirksamen Einwilligung habe es im Fall von Wetter Online gefehlt, so Keuchel weiter.
Potenzielle Gefährdung „hoch“
Auf Wetter Online könnte nun eine Geldbuße zukommen: „Da die potenzielle Gefährdung der Rechte der betroffenen Nutzer*innen hoch war“, so Behördensprecher Keuchel, könne man es nicht bei einer „Anordnung zur datenschutzgerechten Anpassung des Verfahrens“ belassen.
Alles netzpolitisch Relevante
Drei Mal pro Woche als Newsletter in deiner Inbox.
Dass der Fall nach mehr als einem Jahr noch nicht abgeschlossen ist, erklärt Keuchel mit dessen Umfang und der Komplexität. Die Untersuchungen hätten „eine Anhörung, einen Vor-Ort-Termin sowie verschiedene schriftliche Auskunftsersuchen gegenüber dem Unternehmen“ umfasst. „Das Geldbußeverfahren verlangt noch einmal eigene Arbeitsschritte.“ Grundsätzlich spiele es bei derlei Verfahren auch eine Rolle, ob der Sachverhalt „von dem betroffenen Unternehmen eingeräumt oder bestritten wird und ob es zu einer rechtlichen Auseinandersetzung kommt“.
Datenschutz-Nachhilfe von der Aufsichtsbehörde brauchte Wetter Online unterdessen auch in einem weiteren Fall: Ein Datenauskunftsersuchen unserer Redaktion im Rahmen der Databroker-Recherchen versuchte das Unternehmen zunächst mit Hinweis auf zu hohen Aufwand abzuwimmeln. Erst als wir – unterstützt von der Datenschutzorganisation noyb – Beschwerde bei der Behörde einlegten, rückte Wetter Online zumindest ein paar Daten heraus.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zwischen dem aktuellen KI-Hype und der ersten Industrialisierung gibt es Parallelen, das zeigt sich besonders in der drohenden Entfremdung, analysiert unsere Kolumnistin. Aber es gibt Wege, die gleichen Fehler nicht nochmals zu machen.
Müssen wir uns erst jahrelang entfremden? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Elijah Sargent
Unsere Erfindungen sind meistens niedliche Spielsachen, die unsere Aufmerksamkeit von ernsten Dingen ablenken. Sie sind nur verbesserte Mittel zu einem unverbesserten Zweck – zu einem Zweck, der auf die einfachste Weise von vornherein hätte erreicht werden können.
Sparsamkeit, Walden oder Leben in den Wäldern, Henry D. Thoreau
Die heutige Degitalisierung wird sich in dieser Zeit mit dem tieferen Sinn hinter allerlei Digitalisierungsbemühungen, im Speziellen sogenannter Künstlicher Intelligenz, beschäftigen müssen. Dass KI jetzt wieder Thema sein muss, ist auch mir inzwischen selbst nervig, aber genau diese permanente Durchsetzung in jeglichen Bereichen des Arbeits- und inzwischen auch Privatlebens braucht leider immer eine klare Thematisierung. Im Wesentlichen soll es aber auch um die Entfremdung gehen, die wir gerade durchleben.
Den Ton für diese Kolumne setzt dazu ein gewisser Henry Thoreau, der in Walden die einleitenden Worte in einer Blockhütte ab 1845 im Wald ersann. Quasi als eine Art Aussteiger oder Einsiedler, der sich schon im 19. Jahrhundert vom Fortschritt der Industrialisierung eine Auszeit nahm und im Wald über die Welt nachdachte.
Im 19. Jahrhundert befand sich Thoreau inmitten des ersten Maschinenzeitalters und brauchte eine Pause im Wald. Ein emotionales Bedürfnis, das allzu viele im Bereich der Informationstechnologie in den letzten Jahren immer wieder selbst verspürt haben dürften. Denn heute befinden wir uns quasi im zweiten Maschinenzeitalter, dem der Künstlichen Intelligenz, das auch kognitive Arbeitskontexte erfassen wird.
Üblicherweise sind solche Momente in der Geschichte aber auch weitere Gelegenheiten zur Entfremdung. Zur Entfremdung von sinnvollen Zwecken, für die all diese neue Technik genutzt werden könnte. Zur Entfremdung vor allem für „einfache“ Arbeitende. Nicht zum ersten Mal.
Marx und Manchesterkapitalismus
Entfremdung bzw. entfremdete Arbeit ist ein zentrales Konzept im Werk von Karl Marx. In der Zeit der ersten Industrialisierung hat Marx eine vierfache Entfremdung des arbeitenden Individuums in Bezug auf seine Arbeit attestiert. Nach Marx geschieht diese Entfremdung zwischen dem arbeitenden Individuum und dem Kapitalisten zum einen auf Ebene des Produkts der eigenen Arbeit, weil das Produkt der Arbeit ja gar nicht mehr dem Individuum selbst gehört, sondern anderen. Die Entfremdung geschieht auch auf der Ebene der Tätigkeit, die keine eigenen Bedürfnisse mehr befriedigt und auch keine freie und bewusste Tätigkeit mit der Umwelt oder Gesellschaft ermöglicht. Letztlich entfremdet sich der Mensch vom Menschen selbst.
In die Zeit der Industrialisierung und von Marx fällt auch eine Phase des besonders auf die Interessen von Unternehmen ausgerichteten Kapitalismus, des sogenannten Manchesterkapitalismus. Eine Zeit, in der vor allem in Großbritannien, aber nicht nur dort, Kinderarbeit, lange Arbeitszeiten von bis zu 14 Stunden, Hungerlöhne, Armut und das Fehlen jeglicher sozialer und gesundheitlicher Schutzmaßnahmen etwa bei Arbeitsunfällen vollkommen normal waren. Gewerkschaften oder politische Interessenvertretungen wurden lange Zeit unterdrückt. Die Lage trotz all des vermeintlichen technischen Fortschritts für einen Großteil der Bevölkerung elend.
Gebessert hat sich die Lage ein wenig erst durch Gesetze zum Arbeitsschutz, etwa durch das Festlegen von maximalen Arbeitszeiten und durch das schrittweise Verbot von Kinderarbeit, zumindest für Kinder unter 12.
Nur scheint sich im zweiten Maschinenzeitalter vieles, was wir eigentlich aus der Geschichte gelernt haben sollten, wiederholen zu müssen. Denn im modernen Techkapitalismus droht sich sowohl die Entfremdung als auch das Elend auf die gleiche, wenn auch an diese Zeit angepasste, Art und Weise zu wiederholen. In beiden Industrialisierungen geht es auch immer um Maschinen, in der Industrialisierung etwa um Dampfmaschinen und Webstühle, in der KI-Industrialisierung um massive Rechenzentren.
Musk und Techkapitalismus
Eines der ersten wirklich riesigen, auf KI spezialisierten Rechenzentren, ist Colossus von xAI, einem Unternehmen, das von Elon Musk gegründet wurde. Colossus war zu seiner Eröffnung Mitte 2024 der damals wohl schnellste Supercomputer der Welt.
Im Hype um KI wird immer wieder von den weltverändernden Möglichkeiten von Künstlicher Intelligenz gesprochen. Medikamente können schneller entwickelt werden, indem Proteine besser modelliert werden können. Wetter kann besser vorhergesagt werden. Das wäre vielleicht sogar ein sinnhafter Einsatz von KI. Nur forciert Musk den „vermeintlich freien“ Einsatz von KI für ganz andere Zwecke und damit auch von Supercomputern wie Colossus.
Grok, der Chatbot von xAI, flutet seit einiger Zeit den ehemals relevanten Kurznachrichtendienst Twitter, jetzt unter Musks Eigentümerschaft X genannt, mit massenhaft sexualisierten Deepfakes. Die Diskussion nahm in den letzten Tagen zu. Der selbst nicht ganz widerspruchsarme Kulturstaatsminister Wolfram Weimer bezeichnete das als eine „Industrialisierung der sexuellen Belästigung“. Die ansonsten eher seriös aufbereitete Financial Times illustrierte die Plattform X wegen der Ereignisse als eine Deepfake-Pornoseite, deren Mitarbeitende dort als eine Ansammlung von Clowns in einem Zirkuszelt dargestellt wurden.
Der typische techkapitalistische Einsatz dieser Tage führt also ebenfalls zu einer mehrfachen Entfremdung. Menschen oder Künstler*innen, die ihrer Werke und möglichen Einnahmen daraus beraubt werden, sei es bei Texten, Bildern, Illustrationen, Musik oder Filmen. Menschen, die im Sinne von digitalem Kolonialismus für KI-Modelle abartigen Content labeln und sortieren müssen. Menschen, die sich bei dieser Tätigkeit fühlen, als würde ihr Leben enden. Gigantomanische Rechenzentren, die in den nächsten Jahren Musks Colossus locker um das fast Zehnfache übertreffen werden und sich dabei in keinster Weise um die Auswirkungen auf Umwelt und Gesellschaft scheren. Energiebedarfe, die bis in den Gigawattbereich reichen, was dem Energiebedarf US-amerikanischer Großstädte wie Los Angeles entspricht. Ein Energiehunger, der mit zusätzlichen fossilen Energiequellen oder Atomreaktoren gestillt werden muss – bei denen aber die Entsorgung des Atommülls vollkommen unklar sind.
Dazu entfremdet sich auch noch das Finanzsystem immer weiter von der Realität überhaupt noch tragbarer Geschäftsmodelle. Moral ist dabei sowieso egal: Musks xAI sammelt weiter fleißig Geld ein und verbrennt es gleich wieder. Zuletzt fremdeln Anbieter von KI-Lösungen mit dem Konzept von Verantwortung für ihr eigenes Handeln. Hersteller von Chatbots zahlen lieber stillschweigend bei Gerichtsverfahren im Hintergrund Vergleiche, um nicht öffentlich in der Verantwortung für die Konsequenzen ihrer Produkte haften zu müssen.
Auf der anderen Seite starten Akteure wie OpenAI aber KI-Assistenten für die eigene Gesundheit – natürlich auf eigene Gefahr der Nutzenden.
Währenddessen wachsen die Rechenaufwände und die dafür notwendigen Rechenzentren in ihren Anforderungen immer weiter. Anwendungsfälle, die für die Menschheit von irgendeinem nachhaltigen Nutzen wären, werden aber damit kaum umgesetzt. Der Großteil der Rechenleistung wandert in Sprachmodelle, Videogeneratoren und Vision-Modelle. Eingesetzt als eher niedliche Spielsachen, ohne sich aber um ernste Dinge wie den Klimawandel oder die gesellschaftliche Ungleichheit zu scheren.
Grenzen und Wachstum
In manchen Momenten muss die fortschreitende KI-Industrialisierung aber immer wieder mit erstrebenswerten Zukunftsvisionen dargestellt werden, um sie weiter am Leben zu halten, teils geradezu mit marxistisch anmutenden Elementen.
Sam Altman, CEO von OpenAI, versprach etwa 2024 ein Grundeinkommen für alle – wenn denn bald GPT-7 superintelligent sein solle. 2024 veröffentlichte OpenResearch eine von Altman mitfinanzierte Studie zur Wirkung eines bedingungslosen Grundeinkommens, deren Erkenntnisse durchaus unterschiedlichinterpretiert wurden.
Altmans Einsatz für ein Grundeinkommen sollte aber nicht ohne seine eigenen Hintergedanken interpretiert werden. Aufgrund des geradezu kannibalistischen Verbrauchs von Ressourcen, die Systeme wie die von OpenAI aufweisen, muss Altman zumindest irgendeine Vision anbieten, die seine Maschinerie am Leben halten kann. Aber Altman ist ein Betrüger, immer wieder.
Das Wachstum der KI-Branche wird aktuell gerade etwas gebremst durch das Erreichen des Limits von produzierbaren Rechenressourcen wie Arbeitsspeicher oder aus dem Internet aufgesaugten Inhalten. LLMs auf der anderen Seite zerstören gerade aktiv ihre eigenen aufgesogenen Inhalte, wie etwa im aktuellen Beispiel des Open Source CSS-Frameworks Tailwind, das in dieser Woche massive Entlassungen wegen KI offenlegte.
In der finanziellen Realität ist aber auch der KI-Primus OpenAI bei seinem Geschäftsmodell schon längst bei Überlegungen zu Erotikinhalten und Werbung angekommen. Dabei sind in die KI-Branche bereits bis 2024 Investitionen gesteckt worden, von denen mehrere Mondprogramme und Manhattan-Projekte finanziert hätten werden könnten.
Bei all diesen Anlässen für Entfremdung ist aber die Frage: Was sind die Alternativen? KI als Teil des Rentensystems? Das ist bei techkapitalistischen Unternehmen, die von der EU geradezu mit Samthandschuhen angefasst werden, schwerlich vorstellbar.
Entfremdung und Rebellion
Ein möglicher Weg aus dieser Entfremdung ist in Thoreaus Worten vom Anfang zu finden. KI in der heutigen Form sind oftmals nur verschlimmbesserte Mittel zu einem kapitalistischen Zweck mit all den schlimmen negativen Konsequenzen.
Politisch wird jetzt vielleicht gefordert, dass es „europäische KI“ brauche mit „europäischen Werten“. Im Wesen von aktuellen KI-Systemen sind aber, ganz gleich welcher Herkunft diese sind, Elemente angelegt, die sich nicht von dieser Technologie trennen lassen. KI ist eine konservative Technologie, sie begünstigt wenige Kapitalisten oder Faschisten immens, bringt einer Mehrheit nur wenige Vorteile und diskriminiert Minderheiten, sei es durch Bias oder schweren Zugang zu aktueller digitaler Technik. Darüber hinaus bleibt die erratische Art des Handelns ein Wesensbestandteil dieser Systeme.
Der Weg aus der Entfremdung ist zuallererst die Erkenntnis, dass KI und die Versprechungen, die sie bringen soll, oftmals aus einer überaus beschränkten Sichtweise kommen. Häufig findet das mittlere oder obere Management in den niedlichen KI-Spielzeugen die vermeintliche Lösung für viele Probleme.
Zu wenig Pflegepersonal im Krankenhaus? Lässt sich bestimmt mit KI-unterstützten Apps für Schichtplanung und Gig Economy „lösen“. Macht die Situation aber nur schlimmer. Zu wenig Geld im Gesundheitssystem? Muss nur mit digitalen Tools besser geleitet werden, am liebsten noch mit Kontaktgebühren. Am besten wäre es doch, gleich die Krankenkassen mit KI tagesaktuell auf Behandlungsdaten agieren zu lassen.
All diese durch KI unterstützten Lösungsvorschläge sind oftmals nur elitäre Projektionen. Lösungen, die nur für einen Teil von Problemen eines Themenbereichs funktionieren und aus Sicht des Managements damit die Lösung für alle Probleme sein müssten, es aber nicht sind.
Die technologische Entfremdung entsteht nicht durch diejenigen, die unrealistische Versprechungen mittels KI machen und verkaufen wollen. Versprechungen wie die einer Superintelligenz, die jetzt 2026 nur noch ein Problem entfernt sei, was eigentlich 2024 schon hätte kommen sollen.
Die technologische Entfremdung des digitalen Maschinenzeitalters entsteht durch zu viele Käufer*innen im Management von Unternehmen, im Gesundheitswesen oder in Verwaltungen [€], die diesen Versprechungen trotz ihrer überzogenen Vorhersagen und trotz ihrer negativen Konsequenzen weiter hinterherlaufen.
Die Frage ist nicht, ob KI in aktueller Form sinnvolle Anwendungen hat. Die Frage ist, ob wir uns als Gesellschaft erst noch einmal jahrelang entfremden müssen, um dann zu erkennen, dass wir vieles aus den Verheißungen von Digitalisierung und KI auch auf einfache oder andere Weise hätten erreichen können – ganz ohne die destruktiven Einflüsse des aktuellen Techkapitalismus.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.
Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.
Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.
So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.
Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.
Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.
Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen
Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.
Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.
All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.
Besuche in der Deutschen Botschaft und beim Polo
Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.
Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.
Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.
Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.
Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.
Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.
Eine Gefahr für Europa
Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.
Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.
Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.
Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP. Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.
EU könnte Datenschutz noch weiter abschwächen
Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“
Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.
Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Einer der bekanntesten US-Databroker wurde offenbar Ziel eines Hackerangriffs: Gravy Analytics. Es geht um gigantische Mengen von Standortdaten, gesammelt durch populäre Handy-Apps. Erste Ausschnitte der erbeuteten Daten halten Fachleute für authentisch.
Standortdaten in freier Wildbahn. (Symbolbild) – Alle Rechte vorbehalten Flügel, Silhouette: Pixabay; Nebel: vecteezy, Montage: netzpolitik.org
Über viele Jahre lang war der US-Databroker Gravy Analytics dafür bekannt, massenhaft Daten von Handy-Nutzenden zu horten – ob die betroffenen Nutzer*innen das nun bewusst wollten oder nicht. Jetzt ist das eingetreten, wovor Fachleute immer gewarnt haben: Gravy Analytics hat offenbar die Kontrolle über seinen Datenschatz verloren.
Ein oder mehrere Hacker*innen behaupten, große Mengen sensibler Daten von Gravy Analytics erbeutet zu haben. Einen Ausschnitt davon haben sie bereits verbreitet. Es geht unter anderem um Standortdaten und Geräte-Kennungen (Mobile Advertising IDs) von Handy-Nutzenden weltweit. Sie drohen außerdem, die gesamten erbeuteten Daten zu veröffentlichen.
Für eine kurzfristige Presseanfrage war die Mutterfirma von Gravy Analytics, Unacast, nicht zu erreichen. Die Website von Gravy Analytics selbst ist am Donnerstagabend offline.
Was droht, wenn die Daten öffentlich werden? Wie ungewöhnlich ist der Vorfall? Und wer ist Gravy Analytics überhaupt? Die wichtigsten Fragen und Antworten.
Am 7. Januar berichtete das US-Medium 404 Media erstmals über den mutmaßlichen Hack von Gravy Analytics, verkündet in einem russischen Hackerforum. Die US-Firma Gravy Analytics hat sich aufs Sammeln und Auswerten von Standortdaten spezialisiert. Auch erste Ausschnitte aus den Daten erschienen im Netz.
Wenig später meldeten sich IT-Sicherheitsforscher zu Wort, die einen ersten Blick auf die Daten werfen konnten. Ihr Tenor ist eindeutig: Sie halten die Daten für authentisch. Gegenüber der Nachrichtenagentur Reuters sagte etwa Marley Smith von der IT-Sicherheitsfirma RedSense: „Es erscheint zu 100 Prozent stichhaltig“ (auf Englisch: „It passes the smell test 100 percent“).
Gegenüber 404 Media sagte der IT-Sicherheitsexperte Zach Edwards vom Unternehmen Silent Push: „Der Hack eines Standortdaten-Brokers wie Gravy Analytics ist das absolute Horrorszenario, das alle Datenschützer*innen befürchtet und vor dem sie gewarnt haben.“
Was für Daten sind das?
Zu den wichtigsten Funden in den Daten gehören einerseits Kombinationen aus Geo-Koordinaten und Geräte-Kennungen (mobile advertising IDs). Mit ihnen lassen sich potentiell detaillierte Bewegungsprofile von Handys erstellen – und damit von ihren Besitzer*innen. Häufungen von Standortdaten können verraten, wo eine Person wohnt und zur Arbeit geht. Auch Ausflüge, Reisen oder Besuche in Praxen, Kliniken, Kirchen, Bordellen und so weiter lassen sich ablesen.
In den bislang veröffentlichen Ausschnitten fanden IT-Sicherheitsforschende Standortdaten aus mehreren Ländern weltweit.
Brisant ist ebenso eine bereits öffentlich gewordene Liste mit mehr als 15.000 Apps. Demnach war Gravy Analytics im Besitz der Standortdaten von Nutzer*innen dieser Apps. Darunter sind weltweit populäre Apps aus allen typischen Kategorien wie Gaming, Dating, Wetter oder Nachrichten.
Warum ist das gefährlich?
Problematisch sind die umfangreichen Datensätze schon in den Händen der Firmen, für die sie gesammelt wurden: Werbeunternehmen, die anhand umfangreicher Überwachung nach den besten Wegen suchen, um Menschen Dinge zu verkaufen. Das können teurer Schmuck für spezifische Zielgruppen wie Viel-Shopper*innen, Online-Casino-Besuche für Spielsüchtige oder teure Therapien für verzweifelte Menschen mit schweren Krankheiten sein.
Allerdings lassen sich gerade mit Standortdaten noch schlimmere Dinge anstellen. Stalker*innen können damit ihren Opfern nachstellen. Täter*innen können ihre (Ex-)Partner*innen ausspionieren. Arbeitgeber*innen können ihre Angestellten überwachen. Behörden können auskundschaften, wer welche Demos besucht. Rechtsradikale könnten die Adressen politischer Gegner*innen finden.
Recherchen von netzpolitik.org und anderen Medien haben in der jüngeren Vergangenheit noch eine andere Gefahr deutlich gemacht: für die Sicherheit von Staaten. Denn auch Menschen, die in sicherheitsrelevanten Bereichen arbeiten, werden von Datenhändlern exponiert. So haben wir in Datensätzen von Databrokern Standorte von Personen gefunden, die auf Militärstützpunkten und kritischer Infrastruktur ein- und ausgehen, die in Bundesministerin, bei der Polizei oder bei Geheimdiensten arbeiten.
Ausländische Geheimdienste können solche Informationen für Spionage, Sabotage oder Erpressung nutzen. Zahlreiche Firmen der sogenannten ADINT-Branche haben sich darauf spezialisiert, die Werbeüberwachung auch für staatliche Akteure nutzbar zu machen.
Schon im alltäglichen Geschäft kontrollieren einige Datenhändler kaum, an wen sie Daten herausgeben, wie nicht nur unsere Recherchen belegen. Ein Leak würde die Daten noch leichter zugänglich machen, die Gefahren vervielfachen sich damit.
Was hat das mit den Databroker Files zu tun?
Der Fall Gravy Analytics untermauert die Gefahren, die netzpolitik.org und Bayerischer Rundfunk mit den Recherchen zu den Databroker Files aufdeckten. Auch in den Databroker Files ging es um Standortdaten von Handy-Nutzer*innen, aus denen genaue Bewegungsprofile hervorgehen, die Menschen identifizierbar machen.
Die bisherigen Veröffentlichungen zu den Databroker Files bezogen sich auf Daten eines weniger bekannten US-Databrokers als Gravy Analytics. Die zugrunde liegenden Probleme sind jedoch die gleichen.
Die Daten aus dem mutmaßlichen Hack von Gravy Analytics könnten zudem dabei helfen, die Rolle einzelner Handy-Apps im weltweiten Datenhandel konkreter zu beschreiben. Ohne eingehende Analyse der Daten lässt sich jedoch nicht sagen, welche Arten von Standortdaten mit einer bestimmten App verknüpft sind – und damit auch, in welchem Maß die erwähnten Apps an der Exponierung ihrer Nutzer*innen beteiligt sind.
Welche Zweifel sind angemessen?
Wie bei jedem noch unbestätigten Hack müssen die Erkenntnisse unter Vorbehalt betrachtet werden. Die bereits veröffentlichten Ausschnitte zeigen zwar offenkundig Standortdaten – es ist jedoch zunächst nicht belegt, dass sie tatsächlich von Gravy Analytics stammen. Nicht zuletzt die Recherchen zu den Databroker Files zeigen: Um an sensible Datensätze zu kommen, muss man Databroker nicht unbedingt hacken. Teils geben die Firmen solche Daten freiwillig als Kostprobe heraus.
Ebenso unklar ist, wie viele Daten der oder die Hacker*innen tatsächlich erbeutet haben und ob sie ihre Drohung einer umfangreichen Veröffentlichung überhaupt umsetzen könnten.
Weiterhin sind Zweifel an der Genauigkeit der Standortdaten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Detailtiefe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Datensätze künstlich aufgebläht. Nicht immer stecken hinter Geo-Koordinaten wertvolle, auf weniger Meter genaue GPS-Daten. Auch aus IP-Adressen werden Geo-Koordinaten generiert, selbst wenn sie die entsprechenden Geräte nicht eindeutig verorten können.
Solche Phänomene konnten netzpolitik.org und seine Kooperations-Partner in bisherigen Recherchen direkt beobachten. Potenziell gefährlich sind die von Gravy Analytics gesammelten Daten dennoch. Selbst auf diese Weise verwässerte Daten reichen, um einen Datenschutz-Skandal zu produzieren. Die wahre Dimension des Skandals lässt sich jedoch ohne nähere Analyse der Daten nur grob umreißen.
Wofür ist Gravy Analytics bekannt?
Gravy Analytics ist einer der bekanntesten Datenhändler der Welt und war regelmäßig Gegenstand kritischer Berichterstattung. 2020 deckte der norwegische Journalist Martin Gundersen auf, wie seine Standortdaten datenschutzwidrig über Wetter- und Navigationsapps bei Venntel landeten, einem Tochterunternehmen von Gravy Analytics.
Nach eigenen Angaben hat Venntel täglich rund 17 Milliarden Signale von einer Milliarde Mobilgeräten gesammelt und an Privat- und Regierungskund*innen verkauft. Dazu zählen auch US-Grenzschutz- und Einwanderungsbehörden, die damit Migrant*innen jagen.
Dass das Geschäft von Gravy Analytics und Venntel tatsächlich in Teilen illegal ist, entschied erst kürzlich die mächtige US-Handelsbehörde FTC. Im Dezember verkündete die scheidende Chef-Aufseherin Lina Khan, der Databroker habe durch den Verkauf von sensiblen Standort- und Werbedaten Millionen US-Amerikaner*innen in Gefahr gebracht. Demzufolge hat das Unternehmen Listen mit Personen erstellt und verkauft, die religiöse Orte oder bestimmte Veranstaltungen mit Bezug zu Krankheiten besucht haben.
Ein weiterer Vorwurf der FTC: Gravy Analytics und Venntel sollen gewusst haben, dass die Betroffenen nicht wirksam in die Nutzung der Daten eingewilligt hätten. Die Handelsbehörde untersagte dem Databroker deshalb Teile seines Geschäfts und ordnete die Löschung umfangreicher Datenbestände an. Ob die Hacker*innen auch die als illegal eingestuften Daten erbeuten konnten, ist unklar.
Woher hat Gravy Analytics all die Daten?
Nach Angaben der US-Handelsaufsicht FTC haben Venntel und Gravy Analytics ihre Daten überwiegend von anderen Datenhändlern bezogen. In der Branche ist es üblich, die eigenen Datenbestände durch Zukäufe bei Konkurrenten aufzustocken, daraus neue Pakete zu schnüren und sie gegebenenfalls durch eigene Analysen zu ergänzen. So sollen Venntel und Gravy Analytics aus gekauften Standortdaten beispielsweise persönliche Eigenschaften von Menschen abgeleitet und weiterverkauft haben.
Von Handys, Computern, Tablets und Smart-Home-Geräten führen viele Wege zu Datenhändlern. So unterhalten zum Beispiel viele Apps und Websites direkte Beziehungen zu Datenhändlern und leiten Daten über ihre Nutzer*innen direkt an sie weiter.
Ein anderer Weg führt über die Auktionen, mit denen im Internet Werbeplätze versteigert werden, dem sogenannten Real Time Bidding. App- und Websitebetreiber*innen verschicken Informationen über Nutzer*innen an ein undurchsichtiges Geflecht aus hunderten bis tausenden Firmen. Werbeunternehmen entscheiden auf dieser Grundlage, wo sie Werbung schalten. Die Daten können allerdings von allen beteiligten Firmen mitgeschnitten, gesammelt, sortiert und verkauft werden.
Was passiert als nächstes?
Weltweit dürften sich nun Fachleute an die Analyse der bereits veröffentlichten Daten machen. Erste Eindrücke zeigen, dass sie dabei sehr ähnlich vorgehen wie netzpolitik.org und seine Recherche-Partner bei den Databroker Files: Um die Gefahr der Daten zu verdeutlichen, richtet sich der Fokus zunächst auf sensible Orte wie etwa Einrichtungen von Militär und Regierungen oder Kliniken.
Stand 9. Januar ist zudem unklar, ob der oder die Hacker*innen ihre Drohung wahr machen und den gesamten erbeuteten Datensatz veröffentlichen. Auch eine Stellungnahme von Gravy Analytics selbst steht noch aus.
Update, 15. Januar: Wie zuerst NRK Beta am 10. Januar berichtete, hat Mutterfirma Unacast den Hack auf Gravy Analytics bestätigt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
