Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.
Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.
Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.
So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.
Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.
Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.
Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen
Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.
Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.
All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.
Besuche in der Deutschen Botschaft und beim Polo
Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.
Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.
Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.
Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.
Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.
Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.
Eine Gefahr für Europa
Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.
Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.
Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.
Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP. Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.
EU könnte Datenschutz noch weiter abschwächen
Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“
Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.
Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. – Alle Rechte vorbehalten Johanna Wittig
Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.
Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.
Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.
„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“
netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?
Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.
In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.
netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?
Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.
Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.
netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?
Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.
Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.
„Es gibt im Omnibus auch Aspekte, die ich begrüße“
Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.
Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.
netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?
Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.
netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.
Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.
netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?
Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.
Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.
Wo eine Reform ansetzen sollte
netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.
Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.
netzpolitik.org: Was fehlt Ihnen?
Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?
Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.
Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.
netzpolitik.org: Sondern?
Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.
netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?
Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.
Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.
Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.
netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.
Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.
Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.
„Eine Verpflichtung wäre eine großer Schritt“
netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?
Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.
Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.
Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.
„Hundertprozentige Sicherheit gibt es nicht“
netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?
Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.
Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.
Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.
netzpolitik.org: Das war ja mal anders.
Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.
netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?
Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.
Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.
„Für eine patientenztentrierte ePA ist es noch nicht zu spät“
netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?
Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.
Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.
Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.
Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.
„Das würde meine Behörde und mich sehr schmerzen“
netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.
Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.
Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.
netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.
Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.
Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?
netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.
Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.
Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.
Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.
netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?
Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.
Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Vor einem Jahr erhielten wir einen Datensatz mit Milliarden Handy-Standortdaten aus Deutschland, vermittelt über einen Berliner Datenmarktplatz. Politiker*innen warnten vor einer Gefahr für die nationale Sicherheit. Neue Recherchen zeigen, wie der Marktplatz dem Geschäft weiter eine Plattform bietet.
Exakte Standortdaten von Millionen Handys weltweit lassen sich einfach online kaufen. Datenhändler verschleudern sie sogar als Gratis-Kostprobe. Bereits diese kostenlosen Datensätze sind so umfangreich, dass sich damit Massenüberwachung betreiben lässt. Das haben unsere bisherigen Recherchen zu den Databroker Files mit dem Bayerischen Rundfunk gezeigt. Aus den Daten lassen sich teils detaillierte Bewegungsprofile ablesen, sogar von Soldat*innen oder Politiker*innen.
Wer Kontakt zu Händlern, also Databrokern sucht, wird auf dem Online-Marktplatz eines Berliner Unternehmens fündig: Datarade.ai. Der Marktplatz verkauft die Daten zwar nicht selbst, verkuppelt aber Anbieter und Interessierte. Das funktioniert ähnlich wie Amazon, nur eben für Datensätze. Für erfolgreiche Deals streicht der Marktplatz eine Provision ein.
Vermittelt über Datarade haben nicht nur wir sensible Handy-Standortdaten von Databrokern erhalten, sondern auch Journalist*innen aus den Niederlanden, der Schweiz und Belgien, und zwar unabhängig voneinander. Das hat im Jahr 2023 geklappt, im Jahr 2024 – und trotz der kritischen Berichterstattung in zahlreichen Medien war es auch noch 2025 möglich.
Das Problem: Der Handel mit derart detaillierten Handy-Standortdaten ist nach Einschätzung von Fachleuten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Zudem haben Bundestagsabgeordnete wie Konstantin von Notz (Grüne) oder Roderich Kiesewetter (CDU) bereits vergangenes Jahr vor einer Gefahr für die nationale Sicherheit gewarnt.
Datarade wollte „alle zumutbaren Anstrengungen“ unternehmen
Und was tut Datarade? Noch vor gut einem Jahr hatte uns der Berliner Marktplatz mitgeteilt, man nehme die von unseren Recherchen ausgelösten, öffentlichen Bedenken „sehr ernst“. Die Angebote auf der Plattform prüfe das Unternehmen zwar nicht einzeln. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten.“ Dennoch unternehme Datarade „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
Ein Jahr später haben wir uns nochmal auf dem Marktplatz umgeschaut. Unsere neue Recherche weckt Zweifel daran, dass Datarade „alle zumutbaren Anstrengungen“ unternimmt. So preiste Datarade in einem eigenen, redaktionellen Beitrag selbst Handy-Standortdaten an, schrieb über die daraus ablesbaren, sehr genauen Bewegungsmuster – und empfahl passende Händler. Als wir per Presseanfrage mehr zu der Seite erfahren wollten, wurde sie offline genommen.
Bereits 2024 warnte die damals kurz vor ihrem Amtsantritt stehende Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, vor einer Regulierungslücke. Auch die zuständige Berliner Datenschutzbeauftragte sah ein Problem: Solange ein Marktplatz die Daten nicht selbst verarbeitet, sondern nur Kontakte zwischen Käufern und Verkäufern herstellt, habe sie keine Handhabe. Verantwortlich nach der DSGVO sei nur jemand, der selbst auch Daten verarbeitet.
Unter Datenschützer*innen gibt es in dieser Frage keine Einigkeit. Das Netzwerk Datenschutzexpertise etwa kam in einem Gutachten aus dem Frühjahr 2025 zu dem Schluss, dass die DSGVO hier sehr wohl anwendbar sei. Um verantwortlich zu sein, müsse ein Datenmarktplatz nicht notwendigerweise selbst in Besitz der Daten sein. Oft sei der Handel mit personenbezogenen Daten sogar strafbar, weshalb nicht nur Datenschutzbehörden, sondern auch Staatsanwaltschaften handeln müssten.
Passiert ist so etwas bisher nicht. Auf Datarade preisen Händler weiterhin ihre Handy-Standortdaten an. In Datarade selbst steckt sogar Geld vom deutschen Staat, und zwar mehr als bisher angenommen. Dazu später mehr.
Auf Anfrage entfernte Datarade Angebote für Handystandortdaten
Nach unseren Veröffentlichungen im Jahr 2024 hatte Datarade ein Angebot für Handystandortdaten des US-Datenhändler Datastream Group offline genommen. Hierzu schrieb das Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“
Davon unberührt waren jedoch ähnliche Angebote von anderen Datenhändlern. Auch nach Veröffentlichung der Recherchen präsentierte Datarade Angebote von ähnlichen Datensätzen. Suchte man etwa Anfang September dieses Jahres auf Datarade nach Angeboten mit Geo-Koordinaten und mobilen Werbe-IDs, erhielt man rund 50 Ergebnisse. Grenzte man die Suche weiter ein auf Daten aus Deutschland, waren es noch 15 Treffer.
Über ein Online-Formular können Nutzer*innen verdächtige Inhalte melden. Genau das haben wir ausprobiert. Für eine solche Meldung müssen Nutzer*innen Namen und E-Mail-Adresse angeben. Um das Ergebnis nicht zu verfälschen, hat ein Kollege ohne erkennbare Verbindung zu netzpolitik.org diese Meldungen vorgenommen. Es handelte sich um insgesamt fünf Angebote von Handystandortdaten aus Deutschland oder der EU. Das Ergebnis: Die Angebote waren weniger als zwei Wochen nach Eingang der Meldungen offline.
Auf Presseanfrage teilt Datarade mit: „Die Produkt-Listungen wurden vorsorglich offline genommen, um den Hinweisen nachzugehen.“ Man gebe den Anbietern nun die Möglichkeit, Stellung zu beziehen.
So preist Datarade selbst Handy-Standortdaten an
Hatte Datarade vor unseren Meldungen wirklich keine Kenntnis über diese Angebote? Zumindest einen Überblick dürfte Datarade gehabt haben. Es gab nämlich die bereits erwähnte von Datarade selbst bereitgestellte Infoseite mit dem Titel „Was sind Handy-Standortdaten“ (im Original: „What is Mobile Location Data?“), die nach unserer Presseanfrage offline genommen wurde.
Auf dieser Seite beschrieb ein Datarade-Mitarbeiter im Detail, wie solche Datensätze aufgebaut sind: mit GPS-Koordinaten und individueller Werbe-ID, der sogenannten MAID („mobile advertising ID“). Vorschaufenster auf der Seite präsentieren mehrere passende Angebote von Datenhändlern, etwa als „Ausgewählte Datensets“. Anhand kleiner Flaggen-Emojis in den Angeboten ließ sich ablesen, woher die Daten kommen, auch mehrere Deutschland-Flaggen waren zu sehen.
Übersetzt aus dem Englischen stand auf der Infoseite, viele Datensätze böten eine hohe GPS-Genauigkeit, „wodurch sichergestellt wird, dass die von Ihnen erhaltenen Daten den realen Standorten und Bewegungsmustern sehr genau entsprechen“. Einige Datensätze würden sogar eine Präzision von unter 19 Metern erreichen, „was besonders nützlich sein kann, wenn Sie sehr detaillierte Einblicke benötigen“.
An einer anderen Stelle der Infoseite hieß es: „Manche Menschen fühlen sich möglicherweise unwohl dabei, wenn ihre Standortdaten gesammelt und für kommerzielle Zwecke verwendet werden.“ Das ist korrekt, wie die Reaktionen auf unsere Recherchen zeigen. Eine Betroffene sagte zum Beispiel im Gespräch mit netzpolitik.org:
Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist.
Und der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte 2024 mit Blick auf den Handel mit Handy-Standortdaten: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden.“ Dass etwas passieren müsse, stehe für ihn völlig außer Frage. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“
Warum Handel mit Standortdaten fast immer DSGVO-widrig ist
Auf potenzielle Bedenken beim Handel von Handy-Standortdaten ging die Datarade-Infoseite selbst ein. Dort hieß es auf Englisch:
Es gibt mehrere verbreitete Missverständnisse über mobile Standortdaten, darunter die Annahme, dass sie immer genau seien und dass man damit Personen ohne deren Wissen oder Zustimmung verfolgen könne. In Wirklichkeit kann die Genauigkeit mobiler Standortdaten je nach Qualität der Datenquelle und der verwendeten Technologie variieren. Darüber hinaus ist das Sammeln und Nutzen von Standortdaten ohne Zustimmung sowohl illegal als auch unethisch.
Drei Aspekte an diesem Zitat verdienen besondere Aufmerksamkeit: Es ist erstens korrekt, dass Handy-Standortdaten nicht immer genau sind. Unsere Recherchen haben gezeigt, dass Händler auch ungenaue Standortdaten verbreiten.
Es ist zweitens allerdings kein „Missverständnis“, dass sich mit diesen Daten „Personen ohne deren Wissen oder Zustimmung verfolgen“ lassen. Gemeinsam mit unseren Recherche-Partnern konnten wir in mehreren Fällen sogar Angehörige von Geheimdiensten und Regierungen vom Arbeitsplatz bis hin zu ihren Privatwohnungen tracken. Die Kolleg*innen aus Norwegen konnten sogar einen verdutzten Grindr-Nutzer zuhause besuchen, der nicht geoutet werden wollte.
Mehrere Betroffene sagten uns im Gespräch, ihnen sei nicht bewusst, einer solchen Art von Tracking zugestimmt zu haben. Zum Beispiel Hedi aus Bayern, die sagte:
Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.
Drittens ist der Handel mit Standortdaten nach Ansicht von Datenschutzbehörden und anderen Fachleuten oftmals selbst mit Einwilligung nicht von der DSGVO gedeckt. So werden die Daten zum einen oft angeblich nur für Werbezwecke erhoben; der Handel stellt also eine verbotene Änderung des Verarbeitungszwecks dar. Zum anderen fehlt es an Transparenz, denn Menschen müssten bei der Einwilligung umfassend informiert werden, an wen Händler Daten weitergeben. Deshalb sind die Einwilligungen oft unwirksam.
Hinzu kommt, dass sich aus Standortdaten oft sensible Informationen ableiten lassen, zum Beispiel über Besuche in spezialisierten Kliniken, bei Parteien und Gewerkschaften oder in religiösen Gebäuden. Solche Informationen sind durch die DSGVO besonders geschützt.
Die Beobachtungen auf dem Marktplatz Datarade werfen Fragen auf. Wieso hat die Plattform auf einer selbst verfassten Infoseite Angebote mit GPS-Daten angepriesen, die realen „Bewegungsmustern sehr genau entsprechen“ – nahm solche Angebote allerdings nach der Meldung durch einen Nutzer wieder offline?
Wir haben Datarade per Presseanfrage auf die Infoseite angesprochen. Wenig später war sie offline. „Wir nehmen Ihren Hinweis zum Anlass, die Kategorie-Seite redaktionell zu überprüfen und vorsorglich offline zu nehmen“, teilt das Unternehmen mit.
Diese Anstrengungen unternimmt Datarade nach eigenen Angaben
Datarade legt Wert darauf, zu betonen, selbst kein Datenanbieter zu sein, „sondern ein Verzeichnis von Datenanbietern und deren Produktkatalogen“. Weiter schreibt die Pressestelle auf unsere Fragen: „Datarade verurteilt jedweden rechtswidrigen Handel mit Daten und setzt sich für einen rechtskonformen Austausch von Daten ein.“
Demnach dürften sich auf Datarade nur registrierte Unternehmen anmelden. Anbieter würden sich vertraglich dazu verpflichten, nur rechtskonforme „Inhalte auf Datarade zu veröffentlichen“. Sie würden „angehalten“, ihre Datenschutz-Richtlinien zu verlinken und die Konformität mit Datenschutzbestimmungen zu bestätigen. Auf jeder Produktseite gebe es einen Link zum Melden von Inhalten; den Meldungen gehe man dem Digitale-Dienste-Gesetz entsprechend nach.
Wir wollten wissen, in welchem Ausmaß Datarade am mutmaßlich illegalen Geschäft mit Handy-Standortdaten mitverdient. Genauer gesagt: Wie viel Provision Datarade in den letzten drei Jahren durch über den Marktplatz vermittelte Deals mit Handy-Standortdaten erhalten hat. Diese Frage hat uns das Unternehmen nicht beantwortet. Stattdessen verwies die Pressestelle auf den allgemein gehaltenen Jahresabschluss, nach dem wir nicht gefragt hatten.
Zum Zeitpunkt der Veröffentlichung dieser Recherche gibt es auf Datarade noch immer mehrereAngebote für Handy-Standortdaten, die mit individuellen Werbe-IDs verknüpft sind. Sie lassen sich kinderleicht über die Suchfunktion auf der Plattform finden. Damit Datarade sie offline nimmt, müsste sie wohl erst jemand von außerhalb aktiv melden – und den Marktplatz regelmäßig auf neue Angebote prüfen.
Wir erinnern uns: Datarade unternimmt nach eigener Aussage „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
So will Datarade neue Händler auf den Marktplatz locken
Im Zuge unserer Recherchen hatten wir uns auch selbst als potenzieller Anbieter für Ortsdaten bei Datarade registriert. Dafür haben wir eine E-Mail-Adresse mit Pseudonym genutzt – und nichts weiter unternommen. Seitdem erhalten wir regelmäßig E-Mails von Datarade. Daraus lässt sich ableiten, welche Mühen die Plattform unternimmt, um aktiv neue Datenhändler für sich zu gewinnen.
Mehrfach versuchte Datarade etwa, ein persönliches Gespräch mit uns – dem vermeintlich neuen Händler – zu vereinbaren. „Lass mich wissen, wenn du Daten zum Verkauf hast, dann können wir darüber nachdenken, sie auf den größten Datenmarktplätzen zu monetarisieren“, hieß es auf Englisch.
Es folgten weitere E-Mails von Datarade. Darunter eine, die versuchte, uns mit der Aussicht auf Umsatz zu locken. Demnach sollten wir lernen, wie ein anderer Anbieter von Standortdaten „Kunden in neuen Märkten erreicht hat“. Das Marktvolumen, also der Umsatz aller Akteur*innen am Markt, liege demnach bei 93 Millionen Euro.
Auch Tutorials erreichten uns. Sie handelten davon, wie wir unser Angebot für Datarade optimieren können. Demnach sollten wir unseren Produktkatalog per ChatGPT ausformulieren lassen. Einen passenden Prompt lieferte die Plattform gleich mit. Auf unserem Anbieterprofil sollte der Hinweis auf DSGVO-Compliance nicht fehlen, riet ein anderes Tutorial.
In den Datenmarktplatz floss mehr Steuergeld als bisher angenommen
Bereits 2024 konnten wir berichten, dass in Datarade auch Steuergeld steckt. Inzwischen wissen wir: Es ist noch mehr Geld als bisher bekannt.
Zunächst hatte der Datenmarktplatz im Jahr 2019 ein Investment in Höhe von einer Million Euro aus dem „High-Tech Gründerfonds“ (HTGF) erhalten. Das ist ein zentrales Instrument der deutschen Start-up-Förderung. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds stammt vom Bundeswirtschaftsministerium, 170 Millionen Euro.
Darüber hinaus schoss der HTGF allerdings vier Jahre später weitere knapp 500.000 Euro in das Unternehmen. Der Anlass war eine Runde zur Anschlussfinanzierung. Das geht aus einer Antwort des Wirtschaftsministeriums auf eine parlamentarische Anfrage der damaligen Linken-Abgeordneten Martina Renner aus dem Jahr 2024 hervor.
Wir haben das Dokument mit einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) erhalten, jedoch zunächst in einer fast vollständig geschwärzten Variante. Das Wirtschaftsministerium hatte die Antwort des damaligen Staatssekretärs als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft. Erst nachdem wir Widerspruch gegen die Entscheidung eingelegt hatten, gab das Ministerium die Antwort für die Öffentlichkeit frei.
Das Ministerium betont darin erneut, dass es „auf die Investmententscheidungen des HTGF keinen Einfluss“ nehme. Jedoch seien „Investitionen in Unternehmen, die Aktivitäten in Verbindung mit Cybercrime verfolgen“, gemäß „der Ausschlussliste des HTGF ausgeschlossen.“ Als solche könne das Geschäftsmodell von Datarade nicht betrachtet werden, da die Plattform lediglich Kontakte zwischen Datenanbietern und Interessierten herstelle. „Das Zustandekommen eines Vertrags und der Austausch von Daten läuft grundsätzlich vollständig außerhalb der Plattform.“
SPD sieht „erheblichen Handlungsbedarf“, CDU bleibt unkonkret
Wie viel Verantwortung sollen Datenmarktplätze dafür tragen, wenn Datenhändler dort die Standortdaten von Millionen Menschen verschleudern? Einen Vorschlag hierzu hatte die heutige Bundesdatenschutzbeauftragte bereits im vergangen Jahr: Der deutsche Gesetzgeber könnte die Reform des Bundesdatenschutzgesetzes nutzen, um das Geschäft von Datenmarktplätzen zu regeln. Die Reform war zunächst für 2024 geplant gewesen, fiel aber dem vorzeitigen Aus der Ampel-Koalition zum Opfer.
Auch die neue Koalition aus Union und SPD will den Datenschutz reformieren. Im Fokus stand zwar bisher ein Rückbau von Regulierung – aber gerade bei Datenmarktplätzen sehen Politiker*innen mehrerer Parteien Probleme.
„Auch wenn im Koalitionsvertrag keine konkrete Aussage dazu vereinbart wurde, so sehen wir mit Blick auf die Databroker-Files-Recherchen nicht allein aus datenschutzrechtlicher Sicht, sondern auch aus sicherheitspolitischer Perspektive erheblichen Handlungsbedarf“, schreibt uns etwa Johannes Schätzl, der digitalpolitische Sprecher der SPD-Fraktion im Bundestag. Er werde „diese Thematik in den anstehenden Verhandlungen selbstverständlich auch ansprechen und konkrete Vorschläge einbringen“. Es sei allerdings noch offen, ob es in der Koalition eine Zustimmung für entsprechende Gesetzesänderungen gibt.
Der Koalitionspartner, die Union, hält sich auf Anfrage von netzpoiltik.org bedeckt. Ralph Brinkhaus, Sprecher für Digitalisierung und Staatsmodernisierung, lässt auf unsere sechs Fragen zur anstehenden Datenschutzreform lediglich verlauten: „Wir arbeiten an den von Ihnen genannten Punkten.“
Grüne und Linke machen Druck
Die Grünen-Digitalpolitiker Lukas Benner und Konstantin von Notz sehen im fehlenden Plan der Regierungskoalition beim Datenhandel ein Beispiel für deren Datenschutzpolitik. Während Union und SPD sich „verfassungsrechtlich hochumstrittene Vorhaben“ wie die Wiedereinführung der Vorratsdatenspeicherung vorgenommen hätten, fehle auf ihrer Agenda die Lösung der „anhaltenden und zunehmenden Problematik der Databroker“.
Die grüne Bundestagsfraktion halte „eine gesetzliche Einschränkung dieser Praktiken für dringend geboten – übrigens auch mit Blick auf den Schutz unserer Sicherheitsbehörden und ihrer Mitarbeiterinnen und Mitarbeiter“. Das Innenministerium müsse sich endlich der Thematik widmen.
Grundsätzlicher wird bei dem Thema Donata Vogtschmidt, digitalpolitische Sprecherin der Linkspartei. Sie wolle „Geschäftsmodellen, die auf personalisierter Onlinewerbung basieren, insgesamt den Kampf ansagen“. Vogtschmidts Vorschlag, um das Problem an der Wurzel zu lösen: Im Gesetz über digitale Dienste (DSA) der Europäischen Union ist bereits ein Verbot personalisierter Werbung für Minderjährige vorgesehen. Dieses Verbot sollte auf alle Nutzenden ausgeweitet werden, denn „so ließe sich kommerzieller Datenhandel wirklich eindämmen“.
Unterdessen könnte auch die EU aktiv werden. Sie will mit dem kommenden Digital Fairness Act Lücken für Verbraucher*innen im Netz schließen. Bis 24. Oktober können Interessierte Ideen einreichen, in welchen Bereichen sie Handlungsbedarf sehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die 3. Kalenderwoche geht zu Ende. Wir haben 15 neue Texte mit insgesamt 127.903 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.
Liebe Leser*innen,
genau vor einem Jahr habe ich einen Account bei Datarade angelegt. Das ist ein in Berlin ansässiger Marktplatz für Databroker, der so ähnlich funktioniert wie ein Kleinanzeigen-Portal. Datenhändler posten dort, was sie so im Angebot haben. Und potenzielle Kund*innen posten, was sie gerne hätten. Auch ich war auf dem Marktplatz unterwegs, weil ich etwas haben wollte: Präzise Standortdaten von Handys aus Deutschland. Heiße Ware, die es so eigentlich nicht geben dürfte.
Dass ich mich mal auf Datarade umschauen sollte, dazu hatte mir ein Kollege von BNR Nieuwsradio aus den Niederlanden geraten. Eric van den Berg. Kurz zuvor war es ihm nämlich gelungen, solche präzisen Standortdaten aus den Niederlanden zu ergattern. Sie kamen von einem US-Händler, vermittelt über Datarade. Erics Bericht über die gefährlich genauen Bewegungsprofile nichts ahnender Nutzer*innen hatte uns bei netzpolitik.org ziemlich beeindruckt. Also dachte ich mir: Ach komm, einfach mal ausprobieren.
So ist das übrigens häufiger. Ich probiere Sachen aus, die zu Recherchen führen könnten. Viele davon klappen nicht. IFG-Anfragen zu vermeintlichen Behörden-Geheimnissen bringen nichts zu Tage. Vermeintliche Traum-Protagonist*innen für bewegende Porträts aus den Schattenwelten des Internets tauchen ab, bevor es ernst wird. Wir haben auch mal die Meta-Daten der Bibliothek einer der weltgrößten Pornoseiten analysiert – ohne nennenswerte Erkenntnisse.
Entsprechend gering waren meine Erwartungen, dass meine Anmeldung beim Datenmarktplatz zu etwas führen würde. Wahrscheinlich, so dachte ich mir, hatten die vorangegangenen Recherchen aus den Niederlanden die Datenhändler längst misstrauisch gemacht. Lassen die sich wirklich nochmal dazu hinreißen, einem Journalisten derart brisante Daten zu schicken? Dann wären die schon ziemlich verpeilt.
Sie ließen sich dazu hinreißen.
Zwölf Monate später stecken mein Kollege Ingo und ich immer noch knietief in der Recherche. Es gibt einfach so viel auszuwerten. Wir erhielten Datensätze mit teils Millionen, teils Milliarden Einträgen. Gratis, als Vorschau für kostenpflichtige Abos.
Diese Woche haben wir mit dem BR und Partnermedien aus sechs weiteren Ländern erstmals berichtet, wie Standortdaten aus 40.000 Apps Menschen weltweit auf die Pelle rücken. Mit an Bord waren etwa Le Monde aus Frankreich, SRF aus der Schweiz, Schwedens größte Tageszeitung – und auch Eric, ohne den der Stein gar nicht erst ins Rollen gekommen wäre. Berichtet hatte diese Woche auch die Tagesschau um 20 Uhr.
Die zunehmende Zahl der Berichte ist zugleich ein schlechtes Zeichen. Denn sie zeigt, das die Missstände weiterhin bestehen. Es ist paradox. Einerseits ist in Fachkreisen bekannt, was wir berichten. Andererseits ist die Dimension des Problems noch längst nicht durchgesickert. Weder in der breiten Öffentlichkeit noch in der Politik oder in Aufsichtsbehörden.
Klar freuen wir uns, wenn große Medien berichten. Aber noch größer wäre meine Freude, wenn Gesetze dieser Misere ein Ende bereiten würden. Nach einem Jahr Recherche zeichnet sich immer mehr ab: Der Ball liegt bei der EU. Wenn jemand Tracking und Profilbildung zu Werbezwecken wirksam verbieten könnte, dann sie. Eine Chance wäre der geplante Digital Fairness Act.
Ihr glaubt, daraus wird eh nichts, weil vom Tracking profitierende Konzerne mit aller Lobbykraft dagegenhalten? Ehrlich gesagt, das befürchte ich auch.
Andererseits: Ach komm, einfach mal ausprobieren.
Euch ein schönes Wochenende Sebastian
Degitalisierung: Alles gleichzeitig
Digitalisierungslösungen im Gesundheitsbereich sind entscheidende Technologien für eine moderne Gesundheitsversorgung. Sie unterstützen Forschende, Krankheiten besser und schneller zu verstehen und zu behandeln. Gleichzeitig werden im Gesundheitsbereich die sensibelsten personenbezogenen Daten verarbeitet. Von Bianca Kastl – Artikel lesen
Britische Regierung: „KI in die Venen der Nation“
Die britische Labour-Regierung plant einen drastischen Umbau des öffentlichen Sektors. Ein Aktionsplan soll sogenannte Künstliche Intelligenz priorisieren und die Insel zum KI-Weltmarktführer machen – mit tatkräftiger Einbindung der Industrie. Von Tomas Rudl – Artikel lesen
Pressefreiheit: Prominente georgische Journalistin festgenommen und angeklagt
Der georgische Staat nimmt nun oppositionelle Medien ins Visier. Am Samstag wurde die bekannte Journalistin Mzia Amaglobeli festgenommen. Ihr drohen bis zu sechs Jahre Haft. Von Markus Reuter – Artikel lesen
Studie: Big Tech schreibt sich die KI-Standards selbst
Ursprünglich war der AI Act dazu gedacht, die Grundrechte aller EU-Bürger:innen zu schützen. Nun wird er von Unternehmen ausgehöhlt, sagt die Forschungsgruppe Corporate Europe Observatory. Denn die Unternehmen bestimmen die Normen für KI-Systeme in Gremien massiv mit. Von Jan Grapenthin – Artikel lesen
Offener Brief: Fünf Maßnahmen für mehr Vertrauen in die elektronische Patientenakte
Unmittelbar vor der Pilotphase der elektronischen Patientenakte richten sich knapp 30 zivilgesellschaftliche Organisationen in einem offenen Brief an den Gesundheitsminister. Sie fordern, alle berechtigten Sicherheitsbedenken „glaubhaft und nachprüfbar“ auszuräumen und machen Lauterbach ein Gesprächsangebot. Von Daniel Leisegang – Artikel lesen
Free Our Feeds: Initiative will soziale Netzwerke vor Milliardären schützen
Ein neues spendenfinanziertes Projekt will bis zu 30 Millionen Dollar in die Entwicklung rund um das Bluesky-Protokoll AT Proto investieren, um dieses breiter aufzustellen. Kritiker fürchten, dass das Fediverse-Protokoll ActivityPub nur wenig von der Initiative profitieren könnte. Von Markus Reuter – Artikel lesen
Videoüberwachung: Hamburger Polizei soll KI mit personenbezogenen Daten trainieren
Ein kurzfristiger Änderungsantrag zum Hamburger Polizeigesetz sieht vor, personenbezogene Daten und auch Klarnamen in automatisierte Systeme einzuspeisen. Zum KI-Training dürfen die Daten auch an Dritte weitergegeben werden. Morgen wird über den Entwurf von Rot-Grün abgestimmt. Von Martin Schwarzbeck – Artikel lesen
Medienberichte: EU-Kommission soll bei der Durchsetzung von Plattformregeln zögern
Laut Medienberichten gibt es auf hoher Ebene der EU-Kommission Diskussionen um den Digital Markets Act. Das Gesetz soll eigentlich die Macht großer Online-Plattformen einschränken. Nun will die EU-Kommission angeblich alle schon eingeleiteten Verfahren überprüfen. Für die Zivilgesellschaft wäre das ein großer Fehler. Von Maximilian Henning – Artikel lesen
Databroker Files: Neuer Datensatz enthüllt 40.000 Apps hinter Standort-Tracking
380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen. Von Sebastian Meineck, Ingo Dachwitz – Artikel lesen
Databroker Files: „Schnauze voll!“ – das sagen Betroffene
Databroker verkaufen die Handy-Standortdaten von Millionen Menschen in Deutschland. Viele haben erst durch unseren Databroker Checker erfahren, dass sie betroffen sind. Was macht das mit ihnen? Hier sprechen sie selbst. Von Sebastian Meineck, Ingo Dachwitz – Artikel lesen
Databroker Files: New data set reveals 40,000 apps behind location tracking
380 million location data from 137 countries: a previously unknown data set from a US data broker shows the dangers of global data trading. 40,000 apps are affected, including queer dating apps. For some apps, the shared location data is very precise. Von Ingo Dachwitz, Sebastian Meineck – Artikel lesen
Databroker Files: Sieben Wege, um deinen Standort vor Databrokern zu schützen
Databroker verkaufen die Handy-Standortdaten von Millionen Menschen weltweit. Zehntausende App sind betroffen, wie Veröffentlichungen von netzpolitik.org und Recherche-Partnern aus sechs Ländern zeigen. Das kannst du tun, um dich zu schützen. Von Sebastian Meineck, Ingo Dachwitz – Artikel lesen
Mit fragwürdigen Methoden: Konservative US-Denkfabrik nimmt Wikipedia ins Visier
Eine Donald Trump nahestehende konservative US-Denkfabrik will die Identitäten unliebsamer Wikipedia-Autor:innen enthüllen. Das soll angeblich antisemitische Inhalte aus der freien Online-Enzyklopädie fegen. Wikimedia Deutschland sieht sich dagegen gewappnet. Von Tomas Rudl – Artikel lesen
Offener Brief an EU-Kommission: Kritik an geplantem Europol-Abkommen mit Ägypten
Anstatt Ägyptens repressive Politik zu unterstützen, soll die EU-Kommission Verhandlungen mit der Militärdiktatur stoppen und Reformen fordern. Das schreiben mehr als 40 Nichtregierungsorganisationen in einem offenen Brief an den Innenkommissar. Von Matthias Monroy – Artikel lesen
Immer mehr Menschen kehren Instagram den Rücken, weil ihnen die Politik des Meta-Konzerns nicht mehr passt. Die offene Alternative Pixelfed profitiert gerade davon. Sie ist werbefrei und bietet einen besseren Schutz der Privatsphäre. Von Markus Reuter – Artikel lesen
Europäische Regeln für KI: Wo die Zivilgesellschaft nachjustieren möchte
Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission. Von Maximilian Henning – Artikel lesen
NGOs fordern: Apple soll echte Interoperabilität umsetzen
Der Digital Markets Act der EU zwingt große Anbieter wie Apple, ihre Systeme für den Wettbewerb zu öffnen. Doch wie dies im Detail aussehen soll, ist hart umkämpft. Zivilgesellschaftliche Gruppen fordern nun von der EU-Kommission, Apple zu einem besseren Zusammenspiel mit der Konkurrenz zu zwingen. Von Tomas Rudl – Artikel lesen
Parlament und Rat uneins: Nachfolge für EU-Datenschutzbeauftragten bleibt offen
Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln. Von Maximilian Henning – Artikel lesen
Auf den letzten Metern: Biden und Trump wollen TikTok-Sperrung verhindern
Am Sonntag soll TikTok in den USA abgeschaltet werden. Aber die App bleibt eventuell doch. Und gerüchteweise soll Elon Musk sie kaufen. Nutzer:innen suchen derweil nach Alternativen – und wechseln zu einer App, die noch enger mit dem chinesischen Staat verbandelt ist. Von Jan Grapenthin – Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verkaufen die Handy-Standortdaten von Millionen Menschen weltweit. Zehntausende App sind betroffen, wie Veröffentlichungen von netzpolitik.org und Recherche-Partnern aus sechs Ländern zeigen. Das kannst du tun, um dich zu schützen.
Fachleute sprechen vom kompletten Kontrollverlust, Betroffene haben die Schnauze voll. Die Standortdaten von Millionen Handy-Nutzer*innen weltweit stehen zum Verkauf. Databroker sammeln sie in Multi-Milliarden-Paketen. Ja, sie verschenken sie sogar als Vorschau auf Bezahlabos. Das belegen unsere Recherchen zu den Databroker Files, die auf nationaler Ebene begannen und nun auch den weltweiten Handel beschreiben.
In unserem neuen Datensatz mit 380 Millionen Standortdaten aus 137 Ländern gibt es große Unterschiede in der Genauigkeit der Ortung: Viele der gehandelten Standortdaten haben eine Unschärfe von mehreren Kilometern. Andere sind auf den Meter genau. 2024 analysierten wird einen Datensatz mit 3,6 Milliarden hochgradig genauen Standortdaten allein aus Deutschland. Das kann offenbaren, wo eine Person wohnt und zur Arbeit geht, wo sie die Kinder zur Kita bringt, zur Psychotherapie geht oder ins Bordell.
Nicht nur Standortdaten kursieren. Viele weitere Daten können erfasst werden. Etwa, welches Handy man nutzt, welchen Netzbetreiber und welche Apps oder welche Websites man besucht hat. Auf dieser Grundlage wird man auch in Schubladen gesteckt, die einen beispielsweise als angebliche „fragile Senior*in“ outen sollen oder als „Shopping-versessene Mama“.
Wer das eigene Handy – wie die meisten Menschen – ohne besondere Sicherheitsmaßnahmen benutzt, ist mit hoher Wahrscheinlichkeit nach selbst betroffen. Denn über Apps und Website führen viele Wege in den Schlund der Databroker. Hier fassen wir einige simple Schritte zusammen, mit denen sich Handy-Nutzer*innen schützen können.
1. Mobile Advertising ID abschalten
Die „mobile advertising ID“ (MAID) ist eine Art Nummernschild. Die meisten Handys generieren diese Werbe-ID einfach im Hintergrund. Betroffen sind Geräte mit iOS, also Handys und Tablets von Apple, sowie die meisten handelsüblichen Handys mit Googles Betriebssystem Android.
Durch die Werbe-ID sind unsere Geräte – und damit auch wir – für die Werbeindustrie eindeutig wiedererkennbar. Oft steht die Werbe-ID dabei, wenn Apps unseren Standort an Datenhändler verraten oder personalisierte Werbung ausspielen.
Abschalten lässt sich diese Werbe-ID in den Systemeinstellungen. Der genaue Weg kann sich je nach Betriebssystem und dessen Version unterscheiden.
Für Google-basiertes Android: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung.
Für iOS: Einstellungen > Datenschutz > Tracking > Tracking für Apps verbieten.
2. Apps den Standort-Zugriff entziehen
Viele Apps möchten Zugriff auf den genauen Standort des Geräts haben. Wer sich vor dieser Form des Trackings schützen möchte, erlaubt das nicht. Oder nur in den wenigen Fällen, in denen man auf eine Ortung wirklich nicht verzichten möchte oder die App sie für ihre Kernfunktion benötigt. Etwa, wenn man sich von einer Navigations-Apps in Echtzeit den Weg zeigen lassen möchte.
Den meisten anderen Apps kann man den Zugriff auf Standortdaten getrost verwehren. Gelegentlich möchten etwa Wetter-Apps Zugriff auf den genauen Geräte-Standort haben. Notwendig ist das nicht. Oftmals kann man einfach eintippen, für welche Stadt man gerne das Wetter sehen möchte.
Den Standortzugriff prüfen und nachträglich ändern kann man in den Systemeinstellungen für jede einzelne App (Android / iOS).
3. Ortungs-Technologien abschalten
Der Standort eines Geräts kann über mehrere Quellen bestimmt werden, zum Beispiel GPS, Mobilfunk, Bluetooth oder WLAN. Wer das Tracking-Risiko senken möchte, schaltet davon nur ein, was wirklich gerade gebraucht wird.
4. Ortung via IP-Adresse eindämmen
Auch über die öffentliche IP-Adresse ist eine grobe Ortung möglich. Man bekommt sie über den Anbieter des Internet-Zugangs. Sie wird automatisch übermittelt, wenn man Apps und Websites nutzt und ist zur Kommunikation technisch notwendig. Auf den ersten Blick hat eine IP-Adresse keine direkte Verbindung zu einem Standort. Anders als beim Zugriff auf beispielsweise den GPS-Standort müssen Apps für die IP-Adresse auch nicht gesondert um Erlaubnis bitten.
Aber dennoch lassen sich aus IP-Adressen Standorte ableiten – und unsere Recherchen zeigen, dass genau das massenhaft geschieht. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer ist die Zuordnung korrekt, teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.
Um sich davor zu schützen, gibt es mehrere Möglichkeiten.
Mithilfe von VPN-Diensten lässt sich die tatsächliche IP-Adresse gegenüber Apps und Websites verschleiern. Sie sehen dann nur die IP-Adresse des VPN-Anbieters. Anderseits müsste man in diesem Szenario auch dem VPN-Anbieter vertrauen – der wiederum kann die tatsächliche, öffentliche IP-Adresse sehen.
Einen eher grundlegenden Ansatz verfolgen Tracking- und Werbeblocker, wie Datenschutzexperte Mike Kuketz auf seinem Blog erklärt. Mithilfe von Blocklisten verhindern sie, dass das eigene Gerät überhaupt erst eine Verbindung zu bekannten Trackingdiensten aufnimmt und dabei allerlei Daten übermittelt. Diese Blocklisten müssen jedoch regelmäßig aktualisiert werden und können lückenhaft sein. Teils sind händische Nachbesserungen notwendig, etwa gezielt für die Apps, die man nutzen möchte.
Auch auf Ebene von Browsern gibt es Tracking- und Werbeblocker. Diese Blocker sind aber nur auf besuchte Websites im Browser beschränkt. Sie betreffen also nicht das Tracking per Apps.
Durch spezielle DNS-Server lässt sich Tracking ebenso unterbinden. DNS ist einer der wichtigsten Dienste im Internet. Er übersetzt Domainnamen in IP-Adressen. Bei den Anti-Tracking-DNS-Servern gibt es zusätzlich Filterlisten. Auf den Listen stehen bekannte Adressen, die Nutzer*innen durch Tracking gefährden. Die Kommunikation mit diesen Adressen wird unterbunden. Hier gibt es ein Tutorial zur Einrichtung.
Schritt 5: Tracking ablehnen, wo es nur geht
Für Websites und Apps gilt, auch wenn es lästig ist: Cookie-Banner und ähnliche Tracking-Begehren konsequent ablehnen.
Oft sind die entsprechenden Abfragen aber bewusst unübersichtlich gestaltet – oder das Ablehnen von Tracking ist gar nicht möglich. Dann bleibt einem nur der Griff zu Alternativen.
6. Umsatteln auf Tracking-freie Alternativen
Viele Apps, Websites, Dienste und Plattformen des alltäglichen digitalen Lebens basieren auf Tracking und damit auf Überwachung von Nutzer*innen. Nicht für alles, aber für vieles gibt es jedoch datensparsame Alternativen. Braucht es wirklich eine Wetter-, Navi- oder Shopping-App mit Hunderten „Werbepartnern“?
Erschwerend kommt hinzu, dass Daten auch ohne Wissen und Zustimmung der App-Betreiber*innen abfließen können, zum Beispiel weil von Dritten eingebundene Software-Pakete nicht nur das tun, was sie sollen. Gerade bei überladener oder veralteter, bei nicht-quelloffener oder sonstwie fragwürdiger Software ist das Risiko erhöht.
Ein kompletter Umstieg auf datensparsame Alternativen von heute auf morgen kann schnell überfordern. Aber man kann Stück für Stück vorgehen. Empfehlungen für datensparsame Apps gibt es zum Beispiel auf mobilsicher.de oder oder dem Blog von Mike Kuketz. Oft freuen sich die Betreiber*innen nicht-kommerzieller Software über Spenden.
Auch auf Ebene von Betriebssystemen gibt es Optionen. Es muss nicht immer iOS oder Google-basiertes Android sein. Anbieter von Google-freien Android-Versionen haben es sich zur Aufgabe gemacht, Alternativen zum Tracking-basierten Mainstream zu geben. Das geht oft zulasten des Komforts. Es wird aber kontinuierlich daran gearbeitet, dass nicht nur Nerds damit klarkommen.
7. Sich für politische Lösungen starkmachen
Wer sich sorgfältig um die eigene digitale Selbstverteidigung kümmert, kann die Gefahr durch Tracking deutlich eindämmen. Im Kreis von Freund*innen, Kolleg*innen und Familie kann man Anregungen teilen und Hilfe anbieten. Den meisten Menschen aber lassen sich die vielen, notwendigen Kniffe der digitalen Selbstverteidigung kaum zumuten – sie haben einfach andere Sorgen. Und viele wollen an dem von Tracking durchwirkten digitalen Leben teilhaben, an das sich ganze Generationen längst gewöhnt haben.
Die Massenüberwachung durch Handy-Daten ist ein Problem, dessen Lösung sich nicht auf Verbraucher*innen abwälzen lässt. Deshalb fordern viele seit Jahren politische Lösungen, etwa ein Verbot von Tracking und Profilbildung zu Werbezwecken. Denn Daten, die gar nicht erst erhoben werden, können auch nicht an Databroker gelangen. Der Verbraucherzentrale Bundesverband fordert das ebenso wie das Bundesverbraucherschutzministerium. Der Ball ist bei der EU, deren Bemühungen jedoch zuletzt am Lobbying durch Konzerne scheiterten.
Der geplante Digital Fairness Act der EU könnte ein Gelegenheit für einen neuen Anlauf sein. Interessierte könnten sich an ihre Abgeordneten wenden oder sich bei NGOs organisieren, die sich als Teil der Zivilgesellschaft für netzpolitische Themen stark machen.
Wer darüber hinaus aktiv werden will, kann sich auf seine Rechte laut Datenschutzgrundverordnung berufen und Auskunftsanfragen an Datenhändler stellen. Die Unternehmen sind verpflichtet, zu antworten, welche Daten sie über einen gespeichert haben. Auch wenn bei solchen Anfragen lange nichts passiert und Unternehmen außerhalb der EU oft schwer zu greifen sind: Anfragen machen sichtbar, dass Nutzer*innen ein Problem haben.
Wer das Gefühl hast, da ist etwas faul, kann daraufhin die zuständige Datenschutzbehörde einschalten, damit sie ein Unternehmen genauer unter die Lupe nehmen. Hier erklären wir mehr über Datenauskünfte und Beschwerden.
Schon jetzt kommen die Datenschutzbehörden kaum hinterher beim Abarbeiten der Anfragen. Gerade wenn Anbieter im Ausland sitzen, ist die Handhabe oft schwer. Doch auch wenn das Ergebnis einer Beschwerde in einigen Fällen mau sein wird: Es kann verdeutlichen, dass die bisherigen Instrumente nicht ausreichen und damit eine politische Signalwirkung haben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
380 million location data from 137 countries: a previously unknown data set from a US data broker shows the dangers of global data trading. 40,000 apps are affected, including queer dating apps. For some apps, the shared location data is very precise.
Data about users of popular apps end up at data brokers – Handy: Pixabay; App-Icons: Freepik; Auge: Auge: maxpixel.net/CCO; Nebel: Vecteezy; Montage: netzpolitik.org
A new data set obtained from a US data broker reveals for the first time about 40,000 apps from which users‘ data is being traded. The data set was obtained by a journalist from netzpolitik.org as a free preview sample for a paid subscription. It is dated to a single day in the summer of 2024.
Among other things, the data set contains 47 million “Mobile Advertising IDs”, to which 380 million location data from 137 countries are assigned. In addition, the data set contains information on devices, operating systems and telecommunication providers.
The approximately 40,000 apps in the new dataset cover a wide range of categories, from gaming, dating and shopping to news and education. They include some of the most popular apps worldwide, with millions of downloads in some cases.
For a smaller number of apps, the data set contains alarmingly precise location data. This data can help to identify a person’s place of residence. These apps include the queer dating app Hornet with more than 35 million users; the messaging app Kik with more than 100 million downloads in the Google Play Store alone; Germany’s most popular weather app Wetter Online, which also has more than 100 million downloads in the Google Play Store; and the flight tracking app Flightradar24 with more than 50 million downloads in the Googles Play Store; the app of German news site Focus Online and classifieds apps for German users (Kleinanzeigen) and French users (leboncoin).
For a bigger number of apps, less precise locations which appear to have been derived from IP addresses can be found in the data set. This list includes popular apps such as Candy Crush, Grindr, Vinted, Happy Color, dating apps Lovoo and Jaumo, news aggregator Upday, German email apps gmx.de and web.de as well as the popular dutch weather app Buienalarm.
Since the sample only covers one day, it is difficult to identify people based on their locations from this data set alone. However, in combination with other data sets from the advertising industry, which the research team obtained from data brokers, it’s possible to identify and track people on a large scale. The location data might for example provide clues to their home and work addresses.
Thus, the team was able to identify users of Wetter Online in Germany and Kik in Norway. The individuals confirmed that the data must belong to their devices and their use of the respective apps.
Location data aside, the mere information about who uses which apps can already be dangerous. For example the data set includes numerous Muslim and Christian prayer apps, health apps (blood pressure, menstruation trackers) and queer dating apps, which hint at special categories of personal data under GDPR.
Where did the data set come from?
The research team obtained the data set from US data broker Datastream Group, which now uses the name Datasys. The company did not respond to multiple requests for comment.
Contact with the data broker was established through Berlin-based data marketplace Datarade. The company states in response to inquiries that it does not host any data itself. According to a spokesperson „Data providers use Datarade to publish profiles and listings, enabling users to contact them directly“. Datarade „requires data providers to obtain valid consent in case they’re processing personal data and to aggregate or anonymize data in case they’re processing sensitive personal data“.
Where does the data originate?
According to our analysis, the data originates from Real Time Bidding (RTB), which is a process in the online advertising ecosystem. These are auctions in which advertising inventory of apps and websites is sold. In the process, apps and websites send data about their users to hundreds or thousands of companies. These data contains the information that we can see in our dataset. There have already been multiple warnings that advertising companies are collecting the data from RTB in order to sell it – often without the knowledge or explicit consent of the users or their apps.
What the apps say
None of the apps we confronted so far states they had business relations with Datastream Group / Datasys. The apps Hornet and Vinted for example wrote, that they cannot explain how their users‘ data ended up with data brokers. Queer dating app Hornet emphasizes that it does not share actual location data with third parties and announces an investigation. Other companies such as Kik, Wetter Online, Kleinanzeigen, Flightradar, Grindr and King, the company behind the game Candy Crush, did not respond to press inquiries.
Reactions
Experts from politics, government agencies and civil society expressed concern about the findings.
Michael Will, the Bavarian data protection commissioner, said there would be consequences. In an interview, he describes the findings of the investigation as disillusioning and alarming. The data protection official views the situation as a blatant breach of trust. “This is contrary to everything that the average users of apps would expect – to be able to track where they have been for months afterwards.” The data broker should not have had this data. ”This is beyond the agreed rules of the game.”
Will also expresses criticism on Real Time Bidding: anyone who uses it to display advertising must ask themselves whether their own contractual partners are really abiding by the contract. As a result of the investigation, the data protection authority wants to take action itself. “We have investigative powers. We will now make intensive use of them on the basis of the information you have provided,” says Will – and points out that his authority can also impose sanctions. “We have the option of imposing quite considerable fines.”
In view of the latest findings, the German Federal Ministry for Consumer Protection (BMUV) writes: The collection of the data alone must be prevented. “We need effective EU-wide protection against personalized advertising to prevent app providers from having incentives to collect more data than is necessary to offer an app.” The ministry continues to advocate a “consistent switch to alternative advertising models”.
In addition, the Ministry for Consumer Protection is calling for technical standards to prevent devices from collecting identifying data in the first place. “The manufacturers of operating systems and end devices also have a role to play here.” Finally, the supervisory authorities would need to take consistent action.
Michaela Schröder from the Federation of German Consumer Organizations (vzbv) comments: “The current findings show and confirm once again that the global online advertising market has escaped any control. Unscrupulous data traders collect and disseminate highly sensitive information about people, while websites and apps make these illegal practices possible in the first place and the supervisory authorities seem to be completely overwhelmed.”
Consumers are left defenceless against the massive risks posed by data trading, says Schröder. The vzbv is therefore calling for action at the European level. “It is long overdue for the European Commission to effectively protect consumers and present a proposal to ban personalized advertising – for example, through the announced Digital Fairness Act,” Schröder said.
Difference to Gravy Analytics leak
The results of our investigation confirm and expand on the insights that experts gained in early January from data obtained by hackers from US data broker Gravy Analytics. The Gravy Analytics leak also mentions thousands of apps; this data also apparently comes from Real Time Bidding. Among them are numerous apps that are also represented in our dataset from the Datastream Group: Candy Crush, Grindr, Kik, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen and many more.
However, the list of apps in our data set is much longer. For the first time, we can also differentiate between the apps for which only very rough location data is available and those for which users can be located exactly. It is this the precise location data that puts users at particular risk, as it allows to draw conclusions about their home address and movement patterns.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verkaufen die Handy-Standortdaten von Millionen Menschen in Deutschland. Viele haben erst durch unseren Databroker Checker erfahren, dass sie betroffen sind. Was macht das mit ihnen? Hier sprechen sie selbst.
Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk und ist Teil unserer Reihe zu den Databroker Files.
Millionen von Menschen in Deutschland funken ihre Standortdaten an Databroker, ohne davon zu wissen. Unsere fortlaufenden Recherchen mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern zeigen: Die Werbe-Industrie macht unsere Handys zu Peilsendern. Und wer will, kann sich diese Daten einfach besorgen.
Als Vorschau für ein Abonnement erhielten wir zunächst 3,6 Milliarden Standortdaten von Handys aus Deutschland. Sie offenbarten genaue Bewegungsprofile aus nahezu jedem Winkel des Landes. Später erhielten wir weitere Datensätze mit noch mehr Standortdaten.
Manche Betroffene konnten wir selbst identifizieren, weil uns die Daten zu ihren Privatadressen führten. Andere erfuhren durch unseren Databroker Checker, dass ihre Werbe-ID in unserem Datensatz auftaucht, und meldeten sich per E-Mail.
Was heißt es für die Betroffenen, wenn ihre Standortdaten auf dem Datenmarkt zirkulieren? Wenn praktisch jede*r wie aus Vogelperspektive verfolgen kann, wann sie wo gewesen sind? In diesen Protokollen kommen sie zu Wort.
Magnus aus Mecklenburg-Vorpommern: „Gefühl, überwacht zu werden“
„Dass meine ID im Datensatz auftaucht, ist für mich ein Ansporn, noch aufmerksamer zu sein. Komplett überrascht war ich nicht, weil ich davon ausgehe, dass man immer Spuren hinterlässt, auch wenn man vorsichtig ist.
Bei mir haben nur sieben Apps überhaupt die Erlaubnis, den Handy-Standort zu erfassen. Ich glaube zwar nicht, dass jemand direkt ein Auge auf mich hat. Aber ich glaube, es ist durchaus nachvollziehbar, wo ich gewesen sein könnte. Das gibt mir schon ein latentes Gefühl, überwacht zu werden.“
Hedi aus Bayern: „Es ist beklemmend“
„Ich komme mir total überwacht vor. Ich finde es einfach gruselig. Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.
Ich bin bei den Omas gegen Rechts. Wenn wir da unsere Mahnwachen machen, kommt zur Zeit immer einer von der AfD und fotografiert uns. Ich möchte nicht, dass einer von diesen Leuten weiß, wo ich wohne.“
Martin, IT-ler aus Niedersachsen: „Werde Google den Rücken zukehren“
„Von mir wurden Standorte auf dem Weg nach Oldenburg erfasst. Was mich daran besonders ärgert: Ich achte extrem viel auf Datenschutz und Privatsphäre. Ich hoste meinen eigenen E-Mail-Server und verwende für jeden Anlass separate E-Mail-Adressen, um genau zu prüfen, wer meine Daten verkauft. Meine Kontakte, Kalender und Daten habe ich nur in der eigenen verschlüsselten Infrastruktur. Also, ich weiß schon, was ich tue!
Jetzt fühle ich mich dabei ertappt, vollkommen inkonsequent zu sein, weil ich ein Handy mit Google-Diensten nutze und mit Apps, die meinen Hintern verkaufen. Dann kann ich mir den ganzen Aufriss gleich ganz sparen! Ich habe die Schnauze voll. Ich werde Google den Rücken zukehren und mir neues Handy kaufen mit einem freien Betriebssystem wie LineageOS oder GrapheneOS.
Es muss öffentlich werden, dass so etwas passiert! Leider interessiert das keinen. In der BILD-Zeitung wird davon nichts stehen. Und selbst wenn es mal Bußgelder gibt, das preisen die Konzerne doch einfach mit ein und machen weiter.“
Günther aus Sachsen: „Vertrauenswürdig sind die alle nicht“
„Mich hat das nicht gewundert, dass meine Werbe-ID in dem Datensatz ist. Diese ganzen kostenlosen Dienste wollen ja Geld mit unseren Daten verdienen. Die schreiben zwar nirgendwo deutlich, dass sie meine Standortdaten verkaufen, aber vertrauenswürdig sind die doch alle nicht.
Worüber ich mir am meisten Sorgen mache: Selbst man seine Werbe-ID löscht, ist man immer noch erkennbar durch all die anderen Spuren, die man hinterlässt, zum Beispiel Zahlungsdaten. Die alten und neuen Profile können zusammengeführt werden und ich glaube auch, dass das passiert.
Ich mache mir aber weniger Sorgen, dass mich jemand digital überwacht. Hier im Dorf sind etwa die Hälfte der Leute rechtsextrem, und die kennen mich persönlich. Ich bin ein Mann der Mitte und mache aus meiner Haltung auch kein Geheimnis. Wenn man hier SPD wählt, gilt man schon als linksextrem.“
Lukas aus Niedersachsen: „Datensammeln für Werbezwecke unnötig“
„Es gibt so viele gute Gründe, um Daten zu sammeln: zum Beispiel Verkehrswege optimieren oder Menschen mit Krankheiten helfen. Datensammeln für Werbezwecke finde ich einfach unnötig. Ich versuche zwar, weitestgehend vorsichtig mit meinen Daten zu sein. Aber ich war mir sicher, dass meine Daten trotzdem irgendwo liegen – und dass ich da nur nicht rankomme.
Deshalb hat mich das eher gefreut, als ich gesehen habe, dass meine Daten in eurem Datensatz stecken. Denn so hatte ich die Möglichkeit, endlich einmal selbst zu erfahren, was von mir erfasst wurde. Seltsamerweise geben die Apps, die ich benutze, nach eigenen Angaben keine Standortdaten an Dritte weiter. Entweder war das in meinem Fall also ein Versehen oder die Apps verheimlichen etwas. Das fände ich ein No-Go, so sollte man nicht mit Mitmenschen umgehen.
Für mich persönlich sehe ich keine große Gefahr darin, wenn meine Standortdaten verfügbar sind. Es gibt aber Menschen – auch in meinem Umfeld – die ins Visier von Rechtsextremen geraten. Ich kann mir schon vorstellen, dass zum Beispiel auch Journalist*innen oder Lehrer*innen mithilfe solcher Daten verfolgt werden. Es gibt genug Fälle, in denen Rechte solche Menschen einschüchtern wollen. Ich finde, gerade wenn man das Privileg hat, nicht selbst im Visier zu sein, sollte man sich erst Recht für seine Mitmenschen einsetzen.“
Corinna aus Berlin: „Sprachlos und schockiert“
„Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist. Auf jeden Fall fühle ich mich jetzt beobachtet. Mein Vertrauen in den Datenschutz von Handy-Apps ist weniger geworden.
Ein Stück weit bin ich auch sauer. Gerade in der Politik wurde so oft über Datenschutz geredet. Datenschutz hier und Datenschutz da. Aber trotzdem ist man dann so gläsern. Wie kann das sein???“
Sebastian aus Bayern: „Versuche grundsätzlich, auf ‚Ablehnen‘ zu klicken“
„Ich wusste vorher zwar, dass irgendwelche Werbefirmen mit meinen Daten handeln, aber das war sehr abstrakt. Jetzt sehe ich konkret, dass zumindest ein paar ungenaue Standortdaten aus meinem Wohnort in diesem Datensatz gelandet sind. Das hat mich erstmal überrascht.
Ich nutze mit GrapheneOS ein von Google losgelöstes Android, aber ich habe für manche Apps doch Google-Dienste aktiviert. Der möglichen Einschränkung oder Vermeidung der Werbe-ID habe ich bisher keine Beachtung geschenkt, was sich durch die Recherche auf jeden Fall geändert hat.
Wenn ich wüsste, welche App genau meine Standortdaten verkauft hat, wäre ich schon sauer. Ich versuche grundsätzlich auch bei allen Cookie-Fenstern auf ‚Ablehnen‘ zu klicken. Aber gerade wenn man auf bestimmte Apps oder Dienste nicht verzichten will, hat man keine Wahl und muss sehr umfangreiche Datenschutzbestimmungen akzeptieren.“
In unseren Protokollen spiegelt sich die typische Leser*innenschaft von netzpolitik.org wieder. Viele Menschen, die sich bei uns gemeldet haben, waren IT-affin und männlich. Die Massenüberwachung durch Daten der Werbe-Industrie betrifft aber uns alle. Wer wissen möchte, ob das eigene Gerät im Datensatz mit 3,6 Milliarden Standortdaten auftaucht, kann das jetzt hier prüfen.
Einige unserer Gesprächspartner*innen wehren sich mithilfe digitaler Selbstverteidigung gegen das Tracking durch die Werbeindustrie, zum Beispiel durch Google-freies Android. Damit lässt sich das Problem zwar eindämmen, aber nicht für alle lösen. Einerseits können auch trotz solcher Maßnahmen einige Daten gesammelt werden – andererseits haben viele Nutzer*innen nicht die Mittel, so etwas selbst umzusetzen.
Deshalb fordern nicht zuletzt etwa das Bundesministerium für Verbraucherschutz und der Verbraucherzentrale Bundesverband Änderungen auf politischer Ebene – das Verbot von Tracking und Profilbildung zu Werbezwecken.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen.
Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande), Dagens Nyheter (Schweden), Le Monde (Frankreich), NRK Beta (Norwegen), SRF/RTS (Schweiz), WIRED (USA). Sie ist zugleich Teil der „Databroker Files“.
Dienstag, 2. Juli 2024, ein ganz normaler Sommertag. In einem begrünten Wohngebiet mitten im niedersächsischen Dinklage checkt jemand die Wetter-Online-App mit seinem Samsung Galaxy S7 Edge. Aber Sommerträume werden heute nicht mehr wahr: In Dinklage ziehen sich Wolken zusammen, die Temperaturen werden nicht über 16 Grad Celsius steigen.
Gut 300 Kilometer südlich, in der hessischen Stadt Bensheim, lässt sich jemand auf seinem Huawei-Handy mit „Hornet“ orten, einer App für queere Sex-Dates. Er befindet sich dabei mitten auf dem Gelände einer Firma, die unter anderem elektronische Systeme für Kriegsschiffe und Kampfjets fertigt. Das Symbol der Dating-App ist eine Hornisse mit phallischem Stachel.
In Hannover wiederum spielt jemand auf dem Xiaomi-Handy ein Gratis-Game, in dem kleine blaue Soldaten die Häuser von kleinen roten Soldaten stürmen. Zugang zum Internet hat das Handy dabei übers Netz der dortigen gesetzlichen Unfallversicherung, die Menschen nach Arbeitsunfällen und bei Berufskrankheiten versorgen soll.
Was diese drei Personen gemeinsam haben: Sie alle wurden überwacht und lokalisiert. Datenhändler wissen, an welchen Orten sie welche Apps nutzen. Angeblich werden solche Informationen nur zu Werbezwecken erhoben. Aber Händler verkaufen sie in gigantischen Datensätzen. Ja, sie verschenken die Daten sogar an Interessierte, wenn man freundlich danach fragt.
Rund 40.000 Apps, 137 Länder
Ein solcher Datensatz ist über einen US-Händler zu netzpolitik.org gelangt. Als Gratis-Vorschau soll er Lust auf ein Monatsabo mit tagesaktuellen Daten machen. Obwohl es sich nur um eine Kostprobe handelt, zeichnet dieser Datensatz ein bislang einzigartiges Bild vom weltweiten Datenhandel. Datiert auf einen Tag im Juli 2024 beinhaltet er 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps, deren Nutzer*innen kaum ahnen dürften, was mit ihren Daten geschieht.
Zu den Standortdaten im Datensatz gehören außerdem sogenannte Mobile Advertising IDs. Diese Werbe-Kennungen funktionieren wie Nummernschilder und machen Nutzer*innen eindeutig erkennbar. Zu finden sind auch Infos über das verwendete Handy-Modell und Netzbetreiber, etwa Vodafone oder Telekom.
Die Karte zeigt die Handy-Ortungen von nur einer Stunde aus unserem Datensatz. - Alle Rechte vorbehalten Martin Gundersen/NRK
Gemeinsam mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern haben wir den Datensatz mehrere Monate lang analysiert, Betroffene identifiziert, mit App-Betreibern und AdTech-Unternehmen gesprochen. Wir veröffentlichen die ersten Ergebnisse gemeinsam mit Le Monde (Frankreich), SRF/RTS (Schweiz), NRK Beta (Norwegen), BNR Nieuwsradio (Niederlande) und Dagens Nyheter (Schweden).
Es ist eine Fortsetzung der Databroker Files, unseren Recherchen zu Online-Werbung und Datenhändlern. Im Mittelpunkt steht ein neuer Datensatz, den wir vom US-Datenhändler Datastream Group erhalten haben. Darin befinden sich neben Werbe-IDs und Standortdaten auch die Verbindungen zu Apps von Android und iOS. Inzwischen tritt die Datastream Group unter dem Namen Datasys auf. Auf unsere Presseanfragen hat das Unternehmen nicht reagiert.
Jüngst hat die Kritik am Datenhandel Fahrt aufgenommen, weil Hacker erbeutete Daten eines anderen Databrokers aus den USA veröffentlicht haben: Gravy Analytics. Das Leak offenbarte ebenfalls Tausende Apps, deren Daten bei Databrokern kursieren.
Die Liste der Apps im uns vorliegenden Datensatz ist jedoch länger. Auch können wir erstmals differenzieren, zu welchen Apps es nur sehr grobe Standortdaten gibt – und bei welchen Apps exakte Ortungen von Nutzer*innen vorliegen. Gerade die genauen Standortdaten gefährden Nutzer*innen besonders, da sie Rückschlüsse auf ihre Privatadresse und Bewegungsprofile zulassen.
Wetter Online, Kleinanzeigen, Focus Online und mehr
Die rund 40.000 Apps im neuen Datensatz decken eine breite Vielfalt an Kategorien ab: über Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung. Darunter sind einige der beliebtesten Apps der Welt, teils millionenfach heruntergeladen.
Zu einigen der Apps konnten wir auffällig exakte Standortdaten finden. Eine davon ist Deutschlands populärste Wetter-App, Wetter Online. An nur einem Tag in Deutschland wurden zehntausende Wetter-Online-Nutzer*innen wohl teils auf den Meter genau geortet. Genaue Standortdaten gibt es auch zu Nutzer*innen von anderen beliebten Apps wie Focus Online, Kleinanzeigen und FlightRadar24.
Weitet man den Blick auf alle Standortdaten im Datensatz, so entdeckt man weitere bekannte Apps – darunter Tinder, Grindr und Candy Crush Saga sowie Upday vom Axel-Springer-Konzern, web.de und gmx.de. Hier wurden Nutzer*innen jedoch offenbar nur per IP-Adresse geortet, also mit einer Unschärfe im Kilometer-Bereich.
Als Reaktion auf unsere Recherche fordert das Bundesministerium für Verbraucherschutz „konsequentes Handeln“ und einen „effektiven EU-weiten Schutz vor personalisierter Werbung“. Um die Erhebung der Daten zu verhindern, seien auch die Hersteller der Betriebssysteme und Handys gefragt. Der Verbraucherzentrale Bundesverband (vzbv) spricht von „skrupellosen“ Datenhändlern, denen Verbraucher*innen „schutzlos ausgeliefert“ sind.
Kontrolle über eigene Daten ist eine Täuschung
Was lässt sich lernen aus diesem einen ganz normalen Tag in der Welt der werbebasierten Massenüberwachung? Unsere Recherche zeigt: Nutzer*innen haben keine Kontrolle über ihre Daten. Auch wenn die Werbe-Industrie mit ihren Transparenz-Labels und Einwilligungs-Abfragen gerne einen anderen Eindruck erwecken möchte. Anhand unseres Datensatzes können wir verfolgen, wo Millionen Menschen auf der ganzen Welt welche Apps benutzen.
Die Daten gelangen aus dem Werbe-Ökosystem an Datenhändler, werden zusammengerührt und weiterverkauft, auch zu anderen Zwecken als Werbung. Das kann absichtlich passieren oder durch Nachlässigkeit. Die verantwortlichen AdTech-Unternehmen können dabei in der Masse untergehen. So wird aus dem Geschäft zu Werbezwecken ein Geschäft zur Massenüberwachung.
Nicht alle Apps im Datensatz sind in gleichem Ausmaß an der Überwachung ihrer Nutzer*innen beteiligt. Das Spektrum beginnt bei Apps, die schon im Google Play Store oder in Apples App Store offenlegen: Ja, wir orten unsere Nutzer*innen präzise, auch wenn es für die App nicht nötig wäre, und wir können diese Daten mit Dritten teilen.
Das Spektrum endet bei Apps, die nach eigenen Angaben keine Standortdaten erheben. Auf den ersten Blick mag das überraschen. Dass selbst augenscheinlich datensparsame Apps in diesem Datensatz landen konnten, zeugt von den verschlungenen Wegen, auf denen Databroker an ihre Ware gelangen. Dazu später mehr.
Potenziell Millionen Nutzer*innen von Wetter Online betroffen
Welche Apps laufen also auf den rund 795.000 Handys, die an einem Tag in Deutschland geortet wurden und in unserem Datensatz gelandet sind? Zu den spannendsten gehören zwei miteinander verwandte Wetter-Apps: „Wetter Online mit Regenradar“ und „RegenRadar mit Unwetterwarnung“, beide angeboten von der WetterOnline GmbH.
Im Ranking der meist genutzten Wetter-Apps in Deutschland steht „WetterOnline mit RegenRadar“ derzeit auf Platz 1, sowohl für iOS als auch für Android. Allein im Play Store verzeichnet die App mehr als 100 Millionen Downloads.
Auch in unserem Datensatz haben die Wetter-Online-Apps Spitzenpositionen: Sie sind unter den Apps mit den meisten in Deutschland georteten Handys. Allein „Wetter Online mit Regenradar“ für Android läuft auf rund 34.875 Handys, die laut Datensatz am 2. Juli 2024 in Deutschland geortet wurden.
Unter den Apps, die im Datensatz die meisten Standortdaten aus Deutschland aufweisen, sind die Wetter-Online-Apps ebenso weit vorne. Oft haben deren entsprechende Geo-Koordinaten sechs Nachkommastellen; das verspricht eine Genauigkeit von unter einem Meter.
Unser Datensatz deckt nur einen Tag ab; entsprechend schwierig ist es, darin die möglichen Bewegungsprofile von Personen zu erkennen. Es ist uns trotzdem gelungen, getrackte Wetter-Online-Nutzer*innen zu identifizieren. Dabei halfen uns Standortdaten aus anderen Datensätzen, die uns dank vergangener Recherchen vorliegen. Häufungen von Handy-Ortungen führten uns zu den Wohnadressen der Nutzer*innen. Zwei Personen bestätigen uns: Ja, sie erkennen sich in den Daten wieder, und ja, sie nutzen Wetter Online.
Über eine der Personen fanden wir sogar noch mehr heraus: Sie lebte laut unseren Daten in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik in einer bayerischen Großstadt. Zum Schutz ihrer Privatsphäre nennen wir ihren Namen nicht.
Wetter Online schweigt
Auf der eigenen Website nennt Wetter Online sogenannte Werbepartner, also Unternehmen, die Daten von Nutzer*innen erhalten können. Stand 10. Januar sind das insgesamt 833, darunter Branchenriesen wie Google und Microsoft-Tochter Xandr. Laut Eintrag im Google Play Store darf Wetter Online den genauen Standort zwecks Werbung und Marketing teilen.
Wie stellt Wetter Online sicher, dass die mit anderen Firmen geteilten Daten nicht weiter verbreitet werden? Wie erklärt sich Wetter Online, dass Standortdaten seiner Nutzer*innen bei Databrokern landen konnten? Auch nach mehrfachen Kontaktversuchen per E-Mail und Telefon erhielten wir keine Antworten.
Das Fazit ist ernüchternd: Die teils genauen Standortdaten von Zehntausenden Wetter-Online-Nutzer*innen aus Deutschland sind in unserem Datensatz. Viele Millionen weitere Nutzer*innen der populärsten Wetter-App Deutschlands könnten potenziell betroffen sein. Aber es gibt keine Erklärung, wie die Daten an Databroker geflossen sind.
Was sagt die Datenschutzbehörde dazu? Wetter Online hat seinen Sitz in Bonn, zuständig ist also die Landesdatenschutzbeauftragte Nordrhein-Westfalen. Zu konkreten Fällen äußern will sich die Behörde auf Anfrage nicht. Generell teilt ein Sprecher mit: Standortdaten seien besonders schützenswert, da sich damit Bewegungsprofile erstellen ließen – für Zwecke der Werbung und Überwachung.
Die von Nutzer*innen eingeholten Einwilligungen nach der DSGVO seien praktisch meist unwirksam, „weil nicht hinreichend transparent über den Umgang mit den Daten aufgeklärt wird“, so der Sprecher weiter. Verbraucher*innen sei „dringend davon abzuraten, in einen Handel mit den eigenen Standortdaten einzuwilligen, weil sie gar nicht ermessen können, wer diese Daten wann und für welche Zwecke nutzt und welche Konsequenzen das für sie haben kann“.
Apps können vulnerable Gruppen exponieren
Bereits im Sommer 2024 haben wir einen umfangreichen Datensatz untersucht, den wir von der Datastream Group erhielten. Vermittelt wurde der Kontakt zu dem Datenhändler über den Berliner Datenmarktplatz Datarade. Datarade betont auf Anfrage, dass es als Vermittler selbst keine Daten speichere. „Anbieter nutzen Datarade, um Profile und Angebote zu veröffentlichen, sodass Nutzer*innen sie direkt kontaktieren können“, schreibt uns die Plattform auf Englisch. Wer auf Datarade personenbezogene Daten anbiete, müsse laut Richtlinien entsprechende Einwilligungen vorhalten.
Damals hatten wir aufgedeckt, wie offen gehandelte Standortdaten aus Handy-Apps Menschen gefährden können. Stalker*innen können ihren Opfern nachstellen. Wer in sicherheitsrelevanten Bereichen wie Behörden, Militär und Geheimdiensten arbeitet, kann erpressbar werden. So offenbarten die Standortdaten von Databrokern etwa auch Besuche in Bordellen, Suchtkliniken oder Gefängnissen.
Nun haben wir einen neuen Datensatz, der zusätzlich verrät, welche Apps eine Person verwendet. Im Datensatz sind viele unverfängliche Apps, die praktisch jede*r haben könnte, etwa fürs Wetter. Zu finden sind allerdings auch Apps, die besonders sensible Einblicke liefern – etwas, wovor die Datenschutzgrundverordnung (DSGVO) Menschen in der EU eigentlich schützen sollte.
Dating-Apps können offenbaren, dass jemand gerade auf Partner*innen-Suche ist. In unserem Datensatz vertreten sind auch queere Dating-Apps wie Grindr oder Hornet, von denen sich auf die sexuelle Orientierung schließen lässt. Solche Informationen gelten laut Artikel 9 der DSGVO als besonders sensibel.
Gesundheits-Apps können etwas über Krankheiten und Lebensumstände verraten. So fanden sich in unserem Datensatz mehrere Apps für Patient*innen mit Blutdruck-Problemen. Auch dabei waren Apps zum Tracken der Periode. Gesundheitsdaten fallen ebenso unter Artikel 9 der DSGVO.
Gebets-Apps legen nahe, dass eine Person eine Religion praktiziert. Im Datensatz fanden wir mehrere Apps für Verse aus der Bibel oder dem Koran. Als besonders schützenswert beschreibt die DSGVO ausdrücklich Daten zu „religiösen oder weltanschaulichen Überzeugungen“.
Populäre Apps, genaue Standorte
Schon die Information, wer welche App verwendet, kann also für manche ein Risiko sein. Hinzu kommen Angaben zu genutzten Geräten und Betriebssystemen. So lassen sich Stück für Stück umfangreiche Profile von Menschen erstellen. Und dann sind da noch die Standortdaten, die mehr oder weniger genau verraten, wo sich eine Person aufhält.
Aus den rund 40.000 Apps im Datensatz haben wir zunächst mehrere Tausend als potenziell bedenklich herausgefiltert. Das Kriterium: Die ihnen zugeordneten Standortdaten sind möglicherweise genau genug für detaillierte Bewegungsmuster. Ihre Nutzer*innen wären dadurch besonders gefährdet. Da im Datensatz überwiegend Android-Apps mit aussagekräftigen Daten vertreten waren, haben wir uns auf sie konzentriert.
Doch auch diese Liste war zu lang, um alle dazu gehörigen Apps einzeln in Augenschein zu nehmen. Deshalb haben wir eine Auswahl erstellt und die dazu gehörigen Standortdaten unter die Lupe genommen. Für diese Auswahl haben wir besonders solche Apps berücksichtigt, die auch für Nutzer*innen in Deutschland relevant sind. Außerdem haben wir darauf geachtet, dass unsere Auswahl eine Bandbreite verschiedener Apps abbildet.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Konkret haben wir geprüft, welche Muster sich aus den Standortdaten ergeben und ob diese Muster für eine genaue Ortung sprechen – etwa durch Häufungen von Standorten in Gebäuden oder entlang von Straßen und Wegen. Auch wenn es üblich ist, dass Databroker mit solchen Standortdaten handeln: Es lässt sich nicht belegen, dass alle Einträge im Datensatz korrekt sind, also dass die Standortdaten zutreffen und von den App-Nutzer*innen stammen.
Vieles spricht jedoch dafür, dass zumindest ein großer Teil korrekt ist: So fanden wir mehrere Übereinstimmungen mit Bewegungsmustern und Werbe-IDs aus dem Datensatz unserer ersten Recherche. Das internationale Team konnte zudem Nutzer*innen einzelner Apps identifizieren. Die Anbieter der Apps hinter den von uns näher untersuchten Daten haben wir um Stellungnahme gebeten.
Das Wichtigste vorab: Kein Unternehmen, das uns geantwortet hat, will Beziehungen zur Datastream Group oder Gravy Analytics haben.
Focus Online ist eines der reichweitenstärksten Nachrichten-Portale in Deutschland. Zur Erfassung genauer Standortdaten von Nutzer*innen haben wir dem Anbieter, Burda Forward GmbH aus München, Fragen geschickt. Zumindest innerhalb der Frist konnte sich das Unternehmen zunächst nicht inhaltlich äußern. Update 5. Januar, 16:45 Uhr: Eine Antwort des Unternehmens erreichte uns nach der Veröffentlichung des Textes. Demnach habe Burda Forward keine Geschäftsbeziehungen zu dem Datenhändler; auch Geschäftspartner seien nicht autorisiert worden, Userdaten an ihn weiterzugeben. „Besorgt nehmen wir diesen weltweiten Datenmissbrauch zur Kenntnis und hoffen sehr, dass eine Aufklärung erfolgt, an welcher Stelle die rechtswidrige Weitergabe von Daten stattgefunden hat.“
Mit FlightRadar24 lassen sich weltweit und in Echtzeit Flüge verfolgen, die App wurde allein im Play Store mehr als 50 Millionen mal heruntergeladen. Der Anbieter mit Sitz in Schweden hat ebenso nicht auf unsere Anfrage reagiert.
Kleinanzeigen, früher bekannt als Ebay Kleinanzeigen, bezeichnet sich selbst als „Deutschlands meistbesuchtes Kleinanzeigen-Portal“. Antworten auf unsere Fragen erhielten wir nicht.
Kik ist ein kostenloser Messenger ohne Ende-zu-Ende-Verschlüsselung. Unsere norwegischen Kolleg*innen von NRK Beta fanden mithilfe des Datensatzes eine Person, die den Messenger nutzt. Sie sagt: „Ich finde das beängstigend und möchte nicht, dass irgendjemand ständig weiß, wo ich bin und was ich mache. Das ist auch ein Grund, warum ich nicht mehr im Telefonbuch stehe.“ Von der US-amerikanischen Firma hinter Kik, MediaLab, gab es keine Antwort auf unsere Anfragen.
Unter dem Namen WordBit gibt es dutzende Sprach-Lern-Apps, die auch in großer Zahl in unserem Datensatz auftauchen. Die Anzahl der Apps ist so hoch, weil WordBit je eigene Apps für verschiedene Kombinationen aus Mutter- und Fremdsprachen anbietet. Vonseiten der Anbieter, die ihren Firmensitz auf der eigenen Website nicht offenlegen, gab es keine Reaktion.
Hornet ist eine queere Dating-App mit nach eigenen Angaben mehr als 35 Millionen Nutzer*innen. Auf Anfrage schreibt Hornet-CEO Christof Wittig: „Wir können die Möglichkeit nicht vollständig ausschließen, dass Werbenetzwerke von Drittanbietern Daten ohne unsere Kenntnis oder Zustimmung weitergegeben haben könnten.“ Das betreffe aber wahrscheinlich von IP-Adressen abgeleitete Standorte. Als wir dem sichtlich erstaunten CEO beschreiben, dass uns durchaus genaue Standortdaten vorliegen, kündigt er eine Untersuchung an. „Unter keinen Umständen teilt Hornet absichtlich echte Geodaten“, betont Wittig.
Populäre Apps, ungefähre Standorte
Den meisten Apps in unserem Datensatz sind unserer Schätzung nach keine genauen Standortdaten zugeordnet. Geortet wurden die betroffenen Nutzer*innen dieser Apps demnach nicht etwa per GPS, sondern über ihre öffentliche IP-Adresse. Diese Adresse erhält man über den Anbieter seines Internet-Zugangs; sie wird bei der Nutzung von Apps und Websites automatisch übermittelt.
Die IP-Adresse hat zunächst keine direkte Verbindung zu einem Standort. Internetanbieter weisen jedoch ihren Netzknoten bestimmte Adressen zu. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer sind die Daten aktuell. Bei dieser IP-basierten Ortung können auch spektakuläre Fehler passieren. Teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.
Diese IP-basierte Ortung rückt Nutzer*innen weniger eng auf die Pelle. Anders als beim Zugriff auf den GPS-Standort müssen Apps für die IP-Adresse nicht gesondert um Erlaubnis bitten, weil sie technisch gesehen kein Standort ist. Somit können auch dem Anschein nach datensparsame Apps betroffen sein.
Auch in unserem Datensatz fanden wir datensparsame Apps, deren Entwickler sich im direkten Gespräch ratlos zeigten. Sie konnten nicht nachvollziehen, wie Werbe-IDs ihrer Nutzer*innen bei Databrokern landen konnten.
Dennoch kann IP-basierte Ortung je nach Lebenslage verräterisch sein, lassen sich damit doch Städtetrips oder Auslandsreisen ablesen. Ein heimliches Doppelleben? Konspirative Treffen im Ausland? Die IP-Adresse kann es verraten. Hinzu kommen die weiteren Eckdaten aus dem Datensatz wie Handy-Modell und Werbe-Kennung. All das kann dabei helfen, eine Person eindeutig zu identifizieren.
Auch unter den Apps mit offenbar IP-basierter Handy-Ortung gibt es viele deutsche Nutzer*innen. Wir haben einige der App-Betreiber*innen um Stellungnahme gebeten. Unsere Auswahl bildet wieder eine Bandbreite ab – darunter sind einige der weltweit populärsten Apps.
Candy Crush Saga gehört mit mehr als einer Milliarde Downloads allein im Google Play Store zu den populärsten Handy-Spielen der Welt. Vom internationalen Anbieter – King – erhielten wir keine Antworten auf unsere Anfragen.
Happy Color bezeichnet sich selbst als „das weltweit beliebteste Gratis-Ausmalspiel“, mehr als 100 Millionen Mal wurde es im Play Store heruntergeladen. Die Zielgruppe dürfte schon bei jüngeren Kindern beginnen. Immerhin wirbt Happy Color damit, dass man mit wenigen Fingertipps Simba aus dem Disney-Klassiker „König der Löwen“ ausmalen kann. Mehr als 38.000 verschiedene Werbe-Kennungen von Happy-Color-Nutzer*innen aus Deutschland finden sich im Datensatz. Der Anbieter X-Flow mit Sitz in Zypern hat auf unsere Anfrage nicht reagiert.
Auf Vinted können Nutzer*innen etwa Second-Hand-Kleidung und Kosmetik verkaufen, frühere Töchter der Plattform waren Kleiderkreisel und Mamikreisel. Der Anbieter aus Litauen schreibt, er untersuche, wie Nutzer*innen etwa durch Drittanbieter betroffen sein könnten.
Grindr bezeichnet sich selbst als „weltgrößte Netzwerk-App für schwule, bi, trans und queere Menschen“. Die US-amerikansiche Firma hat unsere Anfrage nicht beantwortet.
Lovoo und Jaumo sind beides Dating-Apps mit Sitz in Deutschland. Von Jaumo gab es keine Antwort auf unsere Fragen. Ein Lovoo-Sprecher lässt uns wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Daten über deren sexuelle Orientierung gebe man grundsätzlich nicht weiter. Mit externen Partnern bestünden zudem Datenschutzvereinbarungen.
upday ist ein Newsaggregator, den der Axel-Springer-Konzern mit Samsung entwickelt hat. Unsere Presseanfrage blieb unbeantwortet.
web.de und gmx sind in Deutschland ansässige Portale für kostenlose E-Mail-Postfächer und Nachrichten. Sie gehören zur selben Unternehmensgruppe. Auf Anfrage erklärt ein Pressesprecher, aus den Apps von web.de und gmx würden keine Standortdaten stammen.
Daten aus dem Real Time Bidding
Warum reagieren die meisten App-Betreiber*innen so schmallippig auf die Frage, wie genau die Daten ihrer Nutzer*innen geflossen sind? Möglicherweise kennen sie die Antwort selbst nicht genau. Denn die Wege der Daten sind selbst für Insider verschlungen.
Vieles spricht dafür, dass der uns vorliegende Datensatz größtenteils aus dem sogenannten Real Time Bidding (RTB) stammt. RTB entscheidet darüber, welches Unternehmen uns Online-Werbung vor die Nase setzt. Alles geschieht automatisiert innerhalb von Millisekunden („real time“) durch eine Auktion („bidding“).
Damit diese Auktion stattfinden kann, funkt eine App ein Info-Paket an eine oder mehrere Plattformen. Von dort fließt das Paket an hunderte oder tausende Firmen. Es enthält die sogenannten Bidstream-Daten, darunter die Werbe-ID und unsere IP-Adresse. Per IP-Adresse lässt sich auf die Region schließen, in der wir uns aufhalten. Als würde ein Marktschreier rufen: „Werbeplatz in Dating-App aus Leipzig zu vergeben!“
Mehr noch: Die unzähligen Empfänger der Bidstream-Daten können uns dank früherer Datensammlungen zusätzlich in Schubladen stecken, sogenannte Segmente. Diese Segmente sollen uns etwa als „fragile Senioren“ outen oder als „Shopping-versessene Mütter“.
Dann bieten die Unternehmen Mikro-Centbeträge, um unsere Aufmerksamkeit zu bekommen. Der Meistbietende darf seine Werbung ausspielen – aber unsere Daten haben alle bekommen.
Die Datensammler handeln im Verborgenen
In der Masse der Beteiligten reicht es, wenn nur ein Unternehmen diese Daten abzwackt, um daraus Pakete für Databroker zu schnüren. Weder die App-Anbieter*innen noch die Nutzer*innen bekommen das direkt mit.
Eine Anhäufung solcher Bidstream-Daten ist offenbar der uns vorliegende Datensatz. Ein großer Teil der Standortdaten aus unserem Datensatz geht auf IP-Adressen zurück, was für RTB typisch ist. Auch die Gestaltung der Tabelle entspricht den für RTB üblichen Standards, wie uns mehrere Branchenkenner bestätigten.
Es gibt außerdem Hinweise, dass Daten wie die uns vorliegenden durch mehrere Hände gingen – und nicht exklusiv bei nur einem Databroker kursierten. In einem Online-Forum schreibt ein Nutzer über einen identisch strukturierten Datensatz, jedoch mit Verweis auf eine völlige andere Quelle. Unsere Gratis-Probe mit 380 Millionen Einträgen ist für Insider*innen also gar nicht mal so ungewöhnlich.
Dafür spricht auch der bereits erwähnte Leak von Gravy Analytics: Darin finden sich zahlreiche Apps, die ebenso im uns vorliegenden Datensatz der Datastream Group vertreten sind: Candy Crush, Grindr, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen und viele mehr. Die Parallelen zwischen diesen beiden Quellen unterstreichen: Das Geschäft mit unseren Handy-Daten führt zu einem umfassenden Kontrollverlust. Allerdings enthält der Gravy-Analytics-Leak offenbar vor allem IP-basierte Standortdaten, während der uns vorliegende Datensatz für einige Apps eine metergenaue Ortung nahelegt.
Datenschutzbehörde: „Jenseits der Spielregeln, die vereinbart sind“
Wir haben den Bayerischen Landesdatenschutzbeauftragten Michael Will um eine Einschätzung gebeten. Die Erkenntnisse aus unserer Recherche beschreibt er im Interview als „ernüchternd“ und „erschreckend“. Der Datenschützer sieht darin einen krassen Vertrauensbruch. „Das ist konträr zu allem, was die durchschnittlichen Nutzerinnen und Nutzer von Apps erwarten würden – noch Monate danach nachvollziehen zu können, wo sie sich aufgehalten haben.“ Der Datenhändler hätte diese Daten nicht haben dürfen. „Das ist jenseits der Spielregeln, die vereinbart sind.“
Mit Spielregeln ist unter anderem die DSGVO gemeint. Das Gesetz sieht vor, dass Daten nur auf Basis einer gültigen Rechtsgrundlage verarbeitet werden. Datensammlungen zu Werbezwecken, da sind die Datenschutzbehörden deutlich, bedürfen zum Beispiel einer informierten Einwilligung der Betroffenen. Zudem dürfen Daten nur zu dem Zweck verarbeitet werden, dem die Nutzer*innen zugestimmt haben, in diesem Fall also Marketing und Werbung. Auch mehrere Apps aus unserem Datensatz bitten Nutzer*innen um Einwilligungen zu diesem Zweck. Nutzer*innen können in vielen Fällen jedoch kaum überblicken, an wen die Daten übermittelt werden. Beim Verkauf von Daten wird zudem der Zweck verändert.
Zum Real Time Bidding merkt Michael Will kritisch an: Wer mit dessen Hilfe Werbung ausspielt, müsse sich fragen, ob die eigenen Vertragspartner wirklich vertragstreu seien.
In Folge der Recherche will die Datenschutzbehörde selbst aktiv werden. „Wir haben Untersuchungsbefugnisse. Von denen werden wir jetzt auf Grundlage Ihrer Informationen auch intensiv Gebrauch machen“, sagt Will – und weist darauf hin, dass seine Behörde auch Sanktionen aussprechen kann. „Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen.“
Wie die Werbeindustrie zur Gefahr für alle wurde
Standortdaten sind ein wichtiger Rohstoff in der Industrie der Online-Werbung. Anzeigen können damit Zielpersonen erreichen, die sich an bestimmten Orten aufhalten, etwa an Flughäfen, in Casinos oder im Regierungsviertel. In den USA beispielsweise wird das auch im Wahlkampf eingesetzt. Wer bestimmte Wahlkampf-Events besucht hat, kann daraufhin gezielte Online-Werbung von Parteien ausgespielt bekommen.
2023 deckte netzpolitik.org gemeinsam mit dem Privacy-Forscher Wolfie Christl auf, wie uns die Werbeindustrie in 650.000 unterschiedliche Segmente steckt. Grundlage war die versehentlich veröffentlichte Angebotsliste des Datenmarktplatzes Xandr, einer Microsoft-Tochter. Viele der Segmente basierten auf Standorten: Menschen, die in die Kirche gehen oder in Sexshops; die in wohlhabenden Vierteln wohnen oder auf dem Land.
Adtech-Firmen leiten also aus besuchten Orten Eigenschaften von Menschen ab, die sie dann für zielgerichtete Werbung einsetzen. Erst Ende 2024 stufte die US-amerikanische Regulierungsbehörde FTC diese Praxis zum Teil als rechtswidrig ein und verbot zwei Adtech-Firmen etwa aus Besuchen bei Praxen und Kliniken Gesundheitsinformationen abzuleiten.
In dem Geschäft mischen jedoch nicht nur US-Firmen mit, wie unsere Xandr-Recherche zeigte, auch mehrere deutsche Unternehmen haben ortsbezogenes Targeting im Angebot.
Die umfassende Analyse unserer Bewegungen und Eigenschaften soll uns besonders anfällig für zielgerichtete Werbung machen. Wie die Xandr-Recherche zeigte, zielen viele der Segmente auf Schwächen von Menschen ab – etwa Personen, die nicht mit Geld umgehen können, die bestimmte Krankheiten haben oder in familiären Schwierigkeiten stecken.
Längst ist bekannt, dass nicht nur die Werbebranche diese Daten nutzt, sondern auch Geheimdienste. Der Fachbegriff dafür ist ADINT (Advertising-based Intelligence). Gegen ADINT sind Bundeswehr und NATO schlecht gerüstet, wie unsere früheren Recherchen zum Datenhandel zeigten.
Globale Überwachung durch Online-Werbung
Eine Stunde aus unserem Datensatz mit Handy-Ortungen rund um den Globus. - Alle Rechte vorbehalten Martin Gundersen/NRK
Deutschland ist nur eines von 137 Ländern in unserem Datensatz. Die Anzahl der anhand ihrer Werbe-ID georteten Handys unterscheidet sich drastisch von Land zu Land. Insgesamt erfasst wurden 47 Millionen Geräte. Ganz vorne liegen die USA mit rund 33 Millionen verschiedenen Werbe-IDs an nur einem Tag. Deutschland ist mit rund 795.000 Werbe-IDs auf Platz 7. Zu den in Deutschland georteten Handys liegen rund 13 Millionen Standortdaten vor.
Weniger aussagekräftig sind die Daten aus insgesamt 73 Ländern, in denen weniger als 1.000 Handys geortet wurden.
Das Ranking beschreibt jedoch nur die Proportionen unseres Datensatzes. Ein repräsentatives Bild der weltweiten Überwachung durch Handy-Werbung kann es nicht liefern. Immerhin ist die Grundlage nur der Vorschau-Datensatz eines einzelnen US-Databrokers, datiert auf einen einzigen Tag.
Außerdem sind Zweifel an der Verlässlichkeit von gehandelten Daten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Größe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Angebote aufgebläht. Das NATO-Forschungszentrum Stratcom hat dazu geforscht und schreibt im Jahr 2021: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“
Dennoch haben unsere Recherchen mehrfach gezeigt: Auch mit schlecht gepflegten Datensätzen lassen sich Menschen in großem Stil überwachen.
Die ersten Veröffentlichungen zu den Databroker Files schlugen im Sommer hohe Wellen; Politik und Zivilgesellschaft äußerten sich schockiert und forderten Konsequenzen.
Das ist auch dieses Mal so. Das Bundesministerium für Verbraucherschutz schreibt mit Blick auf die neusten Erkenntnisse: Schon die Erhebung der Daten, mit denen Databroker handeln, müsse verhindert werden, „Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind.“ Das Ministerium setze sich unverändert für einen „konsequenten Wechsel auf alternative Werbemodelle“ ein.
Zudem fordert das Verbraucherschutzministerium technische Standards, die verhindern, dass Geräte identifizierende Daten überhaupt erheben. „Hier sind auch die Hersteller der Betriebssysteme und Endgeräte gefragt.“ Zuletzt brauche es ein konsequentes Vorgehen der Aufsichtsbehörden.
Werbemarkt „jeglicher Kontrolle entzogen“
Von einem „enormen Kontrollverlust“ spricht angesichts der neuen Recherche Martin Baumann von der Datenschutzorganisation noyb. Den wenigsten sei bewusst, dass ihre Daten an zahlreiche Firmen auf der ganzen Welt übermittelt werden, von diesen gehandelt werden und umfangreiche Profilbildung ermöglichen. Für die Einzelnen sei es „quasi ausgeschlossen, nachzuvollziehen, wo ihre Daten landen“, so Baumann. „Den Nutzern wird die Kontrolle über ihre Daten faktisch entzogen.“
„Die aktuellen Erkenntnisse zeigen und bestätigen erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen hat“, kommentiert auch Michaela Schröder vom Verbraucherzentrale Bundesverband (vzbv) die Entwicklung. „Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen.“
Verbraucher*innen seien den massiven Risiken aus dem Datenhandel schutzlos ausgeliefert. Der vzbv fordert deshalb Konsequenzen auf europäischer Ebene. „Es ist längst überfällig, dass die Europäische Kommission die Verbraucher*innen wirksam schützt und einen Vorschlag vorlegt, personalisierte Werbung zu verbieten – etwa über den angekündigten Digital Fairness Act“, so Schröder.
Der Ball liegt bei der EU
Die EU hatte bereits eine Chance, die Gefahren durch die Datensammelei der Werbe-Industrie einzudämmen. Die ePrivacy-Verordnung hätte vor Tracking und Profilbildung zu Werbezwecken schützen können. Doch der Plan ist am Lobbying der Konzerne gescheitert. In diesem Jahr kann sich eine neue Chance auftun.
Der kommende „Digital Fairness Act“ soll Lücken für Verbraucher*innen stopfen. Einen Entwurf hat die EU-Kommission noch nicht vorgelegt, aber sie hat Themen gesammelt. Auch Tracking gehört dazu. Ein Verbot war bislang wohl nicht angedacht.
Genau das bräuchte es jedoch, fordert etwa der Chaos Computer Club in einem Positionspapier: „Um alternative Werbemodelle zu stärken, sollte die neue EU-Kommission digitale Fairness ernst nehmen und ein Verbot von personalisierter Werbung auf den Weg bringen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Einer der bekanntesten US-Databroker wurde offenbar Ziel eines Hackerangriffs: Gravy Analytics. Es geht um gigantische Mengen von Standortdaten, gesammelt durch populäre Handy-Apps. Erste Ausschnitte der erbeuteten Daten halten Fachleute für authentisch.
Standortdaten in freier Wildbahn. (Symbolbild) – Alle Rechte vorbehalten Flügel, Silhouette: Pixabay; Nebel: vecteezy, Montage: netzpolitik.org
Über viele Jahre lang war der US-Databroker Gravy Analytics dafür bekannt, massenhaft Daten von Handy-Nutzenden zu horten – ob die betroffenen Nutzer*innen das nun bewusst wollten oder nicht. Jetzt ist das eingetreten, wovor Fachleute immer gewarnt haben: Gravy Analytics hat offenbar die Kontrolle über seinen Datenschatz verloren.
Ein oder mehrere Hacker*innen behaupten, große Mengen sensibler Daten von Gravy Analytics erbeutet zu haben. Einen Ausschnitt davon haben sie bereits verbreitet. Es geht unter anderem um Standortdaten und Geräte-Kennungen (Mobile Advertising IDs) von Handy-Nutzenden weltweit. Sie drohen außerdem, die gesamten erbeuteten Daten zu veröffentlichen.
Für eine kurzfristige Presseanfrage war die Mutterfirma von Gravy Analytics, Unacast, nicht zu erreichen. Die Website von Gravy Analytics selbst ist am Donnerstagabend offline.
Was droht, wenn die Daten öffentlich werden? Wie ungewöhnlich ist der Vorfall? Und wer ist Gravy Analytics überhaupt? Die wichtigsten Fragen und Antworten.
Am 7. Januar berichtete das US-Medium 404 Media erstmals über den mutmaßlichen Hack von Gravy Analytics, verkündet in einem russischen Hackerforum. Die US-Firma Gravy Analytics hat sich aufs Sammeln und Auswerten von Standortdaten spezialisiert. Auch erste Ausschnitte aus den Daten erschienen im Netz.
Wenig später meldeten sich IT-Sicherheitsforscher zu Wort, die einen ersten Blick auf die Daten werfen konnten. Ihr Tenor ist eindeutig: Sie halten die Daten für authentisch. Gegenüber der Nachrichtenagentur Reuters sagte etwa Marley Smith von der IT-Sicherheitsfirma RedSense: „Es erscheint zu 100 Prozent stichhaltig“ (auf Englisch: „It passes the smell test 100 percent“).
Gegenüber 404 Media sagte der IT-Sicherheitsexperte Zach Edwards vom Unternehmen Silent Push: „Der Hack eines Standortdaten-Brokers wie Gravy Analytics ist das absolute Horrorszenario, das alle Datenschützer*innen befürchtet und vor dem sie gewarnt haben.“
Was für Daten sind das?
Zu den wichtigsten Funden in den Daten gehören einerseits Kombinationen aus Geo-Koordinaten und Geräte-Kennungen (mobile advertising IDs). Mit ihnen lassen sich potentiell detaillierte Bewegungsprofile von Handys erstellen – und damit von ihren Besitzer*innen. Häufungen von Standortdaten können verraten, wo eine Person wohnt und zur Arbeit geht. Auch Ausflüge, Reisen oder Besuche in Praxen, Kliniken, Kirchen, Bordellen und so weiter lassen sich ablesen.
In den bislang veröffentlichen Ausschnitten fanden IT-Sicherheitsforschende Standortdaten aus mehreren Ländern weltweit.
Brisant ist ebenso eine bereits öffentlich gewordene Liste mit mehr als 15.000 Apps. Demnach war Gravy Analytics im Besitz der Standortdaten von Nutzer*innen dieser Apps. Darunter sind weltweit populäre Apps aus allen typischen Kategorien wie Gaming, Dating, Wetter oder Nachrichten.
Warum ist das gefährlich?
Problematisch sind die umfangreichen Datensätze schon in den Händen der Firmen, für die sie gesammelt wurden: Werbeunternehmen, die anhand umfangreicher Überwachung nach den besten Wegen suchen, um Menschen Dinge zu verkaufen. Das können teurer Schmuck für spezifische Zielgruppen wie Viel-Shopper*innen, Online-Casino-Besuche für Spielsüchtige oder teure Therapien für verzweifelte Menschen mit schweren Krankheiten sein.
Allerdings lassen sich gerade mit Standortdaten noch schlimmere Dinge anstellen. Stalker*innen können damit ihren Opfern nachstellen. Täter*innen können ihre (Ex-)Partner*innen ausspionieren. Arbeitgeber*innen können ihre Angestellten überwachen. Behörden können auskundschaften, wer welche Demos besucht. Rechtsradikale könnten die Adressen politischer Gegner*innen finden.
Recherchen von netzpolitik.org und anderen Medien haben in der jüngeren Vergangenheit noch eine andere Gefahr deutlich gemacht: für die Sicherheit von Staaten. Denn auch Menschen, die in sicherheitsrelevanten Bereichen arbeiten, werden von Datenhändlern exponiert. So haben wir in Datensätzen von Databrokern Standorte von Personen gefunden, die auf Militärstützpunkten und kritischer Infrastruktur ein- und ausgehen, die in Bundesministerin, bei der Polizei oder bei Geheimdiensten arbeiten.
Ausländische Geheimdienste können solche Informationen für Spionage, Sabotage oder Erpressung nutzen. Zahlreiche Firmen der sogenannten ADINT-Branche haben sich darauf spezialisiert, die Werbeüberwachung auch für staatliche Akteure nutzbar zu machen.
Schon im alltäglichen Geschäft kontrollieren einige Datenhändler kaum, an wen sie Daten herausgeben, wie nicht nur unsere Recherchen belegen. Ein Leak würde die Daten noch leichter zugänglich machen, die Gefahren vervielfachen sich damit.
Was hat das mit den Databroker Files zu tun?
Der Fall Gravy Analytics untermauert die Gefahren, die netzpolitik.org und Bayerischer Rundfunk mit den Recherchen zu den Databroker Files aufdeckten. Auch in den Databroker Files ging es um Standortdaten von Handy-Nutzer*innen, aus denen genaue Bewegungsprofile hervorgehen, die Menschen identifizierbar machen.
Die bisherigen Veröffentlichungen zu den Databroker Files bezogen sich auf Daten eines weniger bekannten US-Databrokers als Gravy Analytics. Die zugrunde liegenden Probleme sind jedoch die gleichen.
Die Daten aus dem mutmaßlichen Hack von Gravy Analytics könnten zudem dabei helfen, die Rolle einzelner Handy-Apps im weltweiten Datenhandel konkreter zu beschreiben. Ohne eingehende Analyse der Daten lässt sich jedoch nicht sagen, welche Arten von Standortdaten mit einer bestimmten App verknüpft sind – und damit auch, in welchem Maß die erwähnten Apps an der Exponierung ihrer Nutzer*innen beteiligt sind.
Welche Zweifel sind angemessen?
Wie bei jedem noch unbestätigten Hack müssen die Erkenntnisse unter Vorbehalt betrachtet werden. Die bereits veröffentlichten Ausschnitte zeigen zwar offenkundig Standortdaten – es ist jedoch zunächst nicht belegt, dass sie tatsächlich von Gravy Analytics stammen. Nicht zuletzt die Recherchen zu den Databroker Files zeigen: Um an sensible Datensätze zu kommen, muss man Databroker nicht unbedingt hacken. Teils geben die Firmen solche Daten freiwillig als Kostprobe heraus.
Ebenso unklar ist, wie viele Daten der oder die Hacker*innen tatsächlich erbeutet haben und ob sie ihre Drohung einer umfangreichen Veröffentlichung überhaupt umsetzen könnten.
Weiterhin sind Zweifel an der Genauigkeit der Standortdaten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Detailtiefe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Datensätze künstlich aufgebläht. Nicht immer stecken hinter Geo-Koordinaten wertvolle, auf weniger Meter genaue GPS-Daten. Auch aus IP-Adressen werden Geo-Koordinaten generiert, selbst wenn sie die entsprechenden Geräte nicht eindeutig verorten können.
Solche Phänomene konnten netzpolitik.org und seine Kooperations-Partner in bisherigen Recherchen direkt beobachten. Potenziell gefährlich sind die von Gravy Analytics gesammelten Daten dennoch. Selbst auf diese Weise verwässerte Daten reichen, um einen Datenschutz-Skandal zu produzieren. Die wahre Dimension des Skandals lässt sich jedoch ohne nähere Analyse der Daten nur grob umreißen.
Wofür ist Gravy Analytics bekannt?
Gravy Analytics ist einer der bekanntesten Datenhändler der Welt und war regelmäßig Gegenstand kritischer Berichterstattung. 2020 deckte der norwegische Journalist Martin Gundersen auf, wie seine Standortdaten datenschutzwidrig über Wetter- und Navigationsapps bei Venntel landeten, einem Tochterunternehmen von Gravy Analytics.
Nach eigenen Angaben hat Venntel täglich rund 17 Milliarden Signale von einer Milliarde Mobilgeräten gesammelt und an Privat- und Regierungskund*innen verkauft. Dazu zählen auch US-Grenzschutz- und Einwanderungsbehörden, die damit Migrant*innen jagen.
Dass das Geschäft von Gravy Analytics und Venntel tatsächlich in Teilen illegal ist, entschied erst kürzlich die mächtige US-Handelsbehörde FTC. Im Dezember verkündete die scheidende Chef-Aufseherin Lina Khan, der Databroker habe durch den Verkauf von sensiblen Standort- und Werbedaten Millionen US-Amerikaner*innen in Gefahr gebracht. Demzufolge hat das Unternehmen Listen mit Personen erstellt und verkauft, die religiöse Orte oder bestimmte Veranstaltungen mit Bezug zu Krankheiten besucht haben.
Ein weiterer Vorwurf der FTC: Gravy Analytics und Venntel sollen gewusst haben, dass die Betroffenen nicht wirksam in die Nutzung der Daten eingewilligt hätten. Die Handelsbehörde untersagte dem Databroker deshalb Teile seines Geschäfts und ordnete die Löschung umfangreicher Datenbestände an. Ob die Hacker*innen auch die als illegal eingestuften Daten erbeuten konnten, ist unklar.
Woher hat Gravy Analytics all die Daten?
Nach Angaben der US-Handelsaufsicht FTC haben Venntel und Gravy Analytics ihre Daten überwiegend von anderen Datenhändlern bezogen. In der Branche ist es üblich, die eigenen Datenbestände durch Zukäufe bei Konkurrenten aufzustocken, daraus neue Pakete zu schnüren und sie gegebenenfalls durch eigene Analysen zu ergänzen. So sollen Venntel und Gravy Analytics aus gekauften Standortdaten beispielsweise persönliche Eigenschaften von Menschen abgeleitet und weiterverkauft haben.
Von Handys, Computern, Tablets und Smart-Home-Geräten führen viele Wege zu Datenhändlern. So unterhalten zum Beispiel viele Apps und Websites direkte Beziehungen zu Datenhändlern und leiten Daten über ihre Nutzer*innen direkt an sie weiter.
Ein anderer Weg führt über die Auktionen, mit denen im Internet Werbeplätze versteigert werden, dem sogenannten Real Time Bidding. App- und Websitebetreiber*innen verschicken Informationen über Nutzer*innen an ein undurchsichtiges Geflecht aus hunderten bis tausenden Firmen. Werbeunternehmen entscheiden auf dieser Grundlage, wo sie Werbung schalten. Die Daten können allerdings von allen beteiligten Firmen mitgeschnitten, gesammelt, sortiert und verkauft werden.
Was passiert als nächstes?
Weltweit dürften sich nun Fachleute an die Analyse der bereits veröffentlichten Daten machen. Erste Eindrücke zeigen, dass sie dabei sehr ähnlich vorgehen wie netzpolitik.org und seine Recherche-Partner bei den Databroker Files: Um die Gefahr der Daten zu verdeutlichen, richtet sich der Fokus zunächst auf sensible Orte wie etwa Einrichtungen von Militär und Regierungen oder Kliniken.
Stand 9. Januar ist zudem unklar, ob der oder die Hacker*innen ihre Drohung wahr machen und den gesamten erbeuteten Datensatz veröffentlichen. Auch eine Stellungnahme von Gravy Analytics selbst steht noch aus.
Update, 15. Januar: Wie zuerst NRK Beta am 10. Januar berichtete, hat Mutterfirma Unacast den Hack auf Gravy Analytics bestätigt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
