Hinter dem Erfolg von Künstlicher Intelligenz und Sozialen Medien stecken ausgebeutete Arbeiter:innen. Bei einem Fachgespräch im Deutschen Bundestag wurde heute diskutiert, wie ihre Lage verbessert werden kann. Die Botschaft der Sachverständigen war klar: Deutschland muss mehr Verantwortung übernehmen.

Im Bundestag wurde heute erstmals über die Arbeitsbedingungen von Datenarbeiter:innen hinter Künstlicher Intelligenz und Sozialen Medien diskutiert. Die Ausschüsse für Digitales und Arbeit hatten zu einem Fachgespräch zum Thema Data Labeling geladen. Die klare Botschaft der drei Sachverständigen: Wenn Deutschland auf KI setzt, dann muss es mehr Verantwortung für die Menschen im Maschinenraum der Technologie übernehmen.

Als Data Labeling oder auch Daten-Annotation bezeichnet man eine Tätigkeit, bei der Menschen zum Beispiel Bildmaterial mit Metadaten versehen, also mit Labels, die den Inhalt beschreiben. Das ist unter anderem für Machine-Learning-Systeme erforderlich, die hinter fast allem stehen, auf dem heute das Label „KI“ klebt. Die Arbeiter:innen sind selten bei den Tech-Konzernen selbst beschäftigt, sondern werden häufig unter ausbeuterischen Bedingungen bei Outsourcing-Firmen oder -Plattformen angestellt.

Seit Jahren bringen Whistleblower:innen, Aktivist:inen, Forscher:innen und Journalist:innen die unsichtbar gemachten Arbeitskräfte in die Öffentlichkeit. Auch wir auf netzpolitik.org berichten kontinuierlich darüber. Die Arbeitsbedingungen in der Branche haben sich aber kaum verbessert, weshalb Erwartungen an die Politik groß sind. Das heutige Fachgespräch, an dem sich Abgeordnete von Union, SPD, Grünen und Linkspartei beteiligten, könnte ein Anfang sein. An konkreten Ideen, wie sich die Lage der Arbeiter:innen verbessern lässt, mangelt es jedenfalls nicht.

„Sie sehen die KI, aber uns sehen Sie nicht“

Die ehemalige Datenarbeiterin Joan Kinyua war virtuell aus der kenianischen Hauptstadt Nairobi zugeschaltet. Sie habe mehr als acht Jahre in der Branche gearbeitet hat, die „Künstlicher Intelligenz dabei hilft, die Welt zu verstehen“. Für unterschiedliche Anbieter habe sie unter anderem Bilder von Straßen mit Metadaten versehen, damit selbstfahrende Autos keine Unfälle bauen. Auch mit Straßenszenen aus Berlin habe sie arbeiten müssen (lest dazu mehr in unserem kürzlich veröffentlichten Interview mit Joan).

Später habe sie auch Bilder mit Gewaltdarstellungen klassifizieren müssen, sogar solche, die Gewalt an Kindern zeigten. Gleichzeitig habe sie selbst Daten für das KI-Training erzeugen sollen, indem sie Bilder ihrer Tochter zur Verfügung stellt.

Ausgeübt habe sie die Tätigkeit meist vom eigenen Computer zuhause, über sogenannte Microwork-Plattformen – „ohne Arbeitsvertrag, Sozialversicherung oder Gesundheitsversorgung“. Oft habe sie stundenlang auf neue Aufträge warten müssen, teilweise bis zu 20 Stunden am Tag auf Stand-By. Immer wieder hätten Auftraggeber:innen ihre Ergebnisse abgelehnt. Den Input hätten sie trotzdem behalten, sie selbst sei leer ausgegangen. So habe es Tage gegeben, an denen sie in fünf Stunden nur zwei Cent verdient habe. Im Schnitt würden Datenarbeiter:innen in Kenia 250 US-Dollar im Monat verdienen, was kaum zum Überleben reiche.

Von ihrer Arbeit habe sie außerdem Panik-Attacken und Angstzustände erhalten. Wie ihr gehe es vielen in der Branche, schildert Kinyua. Als Präsidentin der kenianischen Data Labelers Association vertrete sie inzwischen die Interessen von mehr als tausend Datenarbeiter:innen. Viele von ihnen litten unter posttraumatischen Belastungsstörungen.

„Sie sehen die KI, aber uns sehen Sie nicht“, so beschrieb Joan Kinyua den Abgeordneten ihre Lage. Es sei auch in der Verantwortung des Deutschen Bundestages, das zu ändern und für bessere Bedingungen zu sorgen. Unter anderem schlug die Kenianerin Mindeststandards für Datenarbeiter:innen in Deutschland und weltweit vor. Dazu zählt auch eine Obergrenze für die Arbeit an belastenden Inhalten. Zudem brauche es unabhängige Audits der Anbieter, sowie Register für KI-Arbeiter:innen und ganz grundsätzlich mehr Transparenz über Outsourcing und Lieferketten von Tech-Konzernen.

Milliarden-Profite dank Prekarisierung

Dr. Milagros Miceli von der TU Berlin berichtete von ihren Erkenntnissen aus fast einem Jahrzehnt Forschung zu Datenarbeit. Die von Joan Kinyua geschilderten Arbeitsbedingungen seien „kein Einzelfall, sondern ein konstantes Muster“. Oder genauer gesagt: das Geschäftsmodell einer milliardenschweren Branche.

Der von ihr geprägte Begriff der Datenarbeit umfasse mehr als das Labeling von Daten im engeren Sinne: Auch das Generieren und Sammeln von Daten zähle dazu, in zunehmendem Maße außerdem die Validierung des algorithmischen Outputs und das Korrigieren von Fehlern. Zudem müssten Arbeiter:innen immer wieder so tun, als seien sie eine KI.

Miceli ist eine der Initiator:innen des „Data Workers Inquiry“, in dem Datenarbeiter:innen von ihrer Wirklichkeit berichten. Kürzlich hat das Projekt die Geschichte einer Person veröffentlicht, die sich als AI Girlfriend ausgeben musste, also als Chatbot, der eine Liebesbeziehung mit seinen Nutzer:innen simuliert.

Die unterschiedlichen Formen der Datenarbeit seien essenzieller Bestandteil von KI-Produkten, einer Studie zufolge würde sie 80 Prozent der Entwicklungsarbeit von Künstlicher Intelligenz ausmachen. Miceli ist in ihrer Botschaft deshalb klar: „Ohne Datenarbeit und ohne Menschen wie Joan Kinyua gibt es keine KI“. Tech-Konzerne würden Milliarden damit verdienen „dass sie Arbeiter:innen durch Outsourcing und Plattformisierung prekarisieren und austauschbar machen“. Wenn Deutschland KI fördern wolle, müsse deshalb unbedingt für bessere Arbeitsbedingungen sorgen.

Viele der Arbeiter:inen seien hochqualifiziert, hätten Bachelor-Abschlüsse oder sogar promoviert, berichtet die Forscherin. Dabei sei wichtig, dass die Tätigkeit nicht auf Länder wie Kenia beschränkt ist, sondern auch in Deutschland und Europa viele Menschen in der Branche tätig seien. Wie viele genau, das könne man aufgrund der Intransparenz der Unternehmen nicht sagen.

Probleme bei Gesundheits- und Datenschutz

Bekannt ist, dass mehrere Tech-Konzerne und Outsourcing-Unternehmen in Deutschland große Zentren für die Moderation von Inhalten auf Social-Media-Plattformen unterhalten. Eine Tätigkeit, die die Sachverständigen ebenfalls zum Feld der Datenarbeit zählt und die bereits vor drei Jahren bei einem Fachgespräch im Bundestag Thema war. Julia Kloiber vom Superrr Lab war damals bereits dabei und wies heute erneut darauf hin, dass dabei oft Menschen in vulnerablen Lebenssituationen ausgenutzt würden.

Kloiber empfahl unter anderem besseren Schutz für Menschen, die mit schädlichen Inhalten arbeiten müssen. Bei der Polizei etwa, wo ebenfalls Menschen mit Darstellungen von Kindesmissbrauch arbeiten müssten, gebe es klare Expositionsbegrenzungen. Auch für Datenarbeiter:innen brauche es eine Obergrenze, die die Arbeit mit belastendem Material festlegt. Außerdem brauche es Trauma-Prävention und Zugang zu professioneller psychologischer Unterstützung.

Der fehlende Schutz habe nicht nur schwerwiegende Folgen für die Betroffenen, sondern auch für das Gesundheitssystem, schließlich könnten Menschen ein ganz Leben lang unter posttraumatischen Belastungsstörungen leiden. Manchmal könnten sie deshalb nicht mehr arbeiten. Die dadurch entstehenden Kosten würden von den Tech-Konzernen externalisiert und von der Allgemeinheit aufgefangen.

Kloiber wies zudem auf Datenschutzprobleme beim Outsourcing hin: Nicht nur würden die Datenarbeiter:innen selbst stark überwacht, bei ihnen landeten auch große Mengen personenbezogener Daten und sensibler Inhalte. Erst kürzlich hatten Datenarbeiter:innen als Whistleblower:innen darüber berichtet, dass sie Aufnahmen aus Meta-Brillen bearbeiten müssten und dabei auch Nacktaufnahmen und andere intime Szenen von Nutzer:innen zu Gesicht bekämen.

„Unsere digitale Zukunft darf nicht auf Ausbeutung fußen“

Deutlich wurde bei dem Fachgespräch, dass auch deutsche Firmen davon profitieren, dass sie prekäre Arbeit an Menschen wie Joan Kinyua auslagern. Auch die Auto-Industrie, die Pharma-Branche oder Tech-Unternehmen wie Siemens gehörten zu den Kunden von Outsourcing-Unternehmen im Datenbereich, berichtete etwa Milagros Miceli.

Für Julia Kloiber ist klar, dass Deutschland deshalb auch Verantwortung übernehmen müsse. Eine Untersuchung des Fairwork-Projekt der Universität Oxford und Wissenschaftszentrums Berlin habe die Löhne von vier Outsourcing-Unternehmen untersucht. Nur zwei von ihnen hätten Mindestlohn gezahlt, keines den sogenannten Existenzlohn („Living Wage“), der nicht nur das bloße physische Überleben, sondern auch soziale und kulturelle Teilhabe ermöglicht.

Einen wichtigen Ansatzpunkt sieht die Geschäftsführerin des Superrr Lab deshalb in der Regulierung von Lieferketten. Hier drohe der hohe Standard des erst kürzlich eingeführten und dann schon wieder halb gecancelten deutschen Lieferkettengesetzes abgesenkt zu werden. Die Schwarz-Rote Koalition hatte sich darauf geeinigt, nicht über die – ebenfalls gerade ausgehöhlte – EU-Lieferkettenrichtlinie hinauszugehen.

Bei der Umsetzung der Richtlinie müsse Deutschland sicherzustellen, dass der Geltungsbereich nicht eingeschränkt werde. Die EU-Regeln sollen nur Unternehmen ab 5000 Beschäftigten und einem Umsatz von 1,5 Milliarden Euro gelten. In Deutschland würden dann 95 Prozent der Unternehmen von den Sorgfaltspflichten für ihre Lieferketten entbunden, so Kloiber.

Die Expertin brachte zudem ein Direktanstellungsgebot ins Spiel, wie es erst kürzlich gefeuerte und streikende TikTok-Angestellte in Deutschland gefordert hatten. Ganz grundsätzlich fordert Kloiber eine realistischere Kosten-Nutzen-Rechnung, wenn in Deutschland KI ausgebaut und etwa in der Verwaltung eingesetzt wird. Soziale und auch ökologische Kosten dürften nicht länger ausgeblendet werden: „Unsere digitale Zukunft darf nicht auf Ausbeutung fußen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 15. Kalenderwoche geht zu Ende. Wir haben 17 neue Texte mit insgesamt 159.201 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

es war mal wieder eine „Databroker-Woche“ bei netzpolitik.org – und so langsam nervt mich dieser Satz, der regelmäßig in unserer Redaktion zu hören ist. Und das, obwohl ich selbst ständig über das Thema schreibe. Die ausufernde Tracking-Industrie, der unkontrollierte Handel mit unseren Daten, sie beschäftigen uns seit Jahren. Wir treiben die Debatte dazu voran wie wohl kein anderes deutschsprachiges Medium. Nur langsam frage ich mich: Soll das ewig so weitergehen?

Aber der Reihe nach. Eigentlich waren es ja drei begrüßenswerte Anlässe, aus denen wir diese Woche über das Thema berichtet haben.

Erstens haben unsere Kolleg:innen vom Bayerischen Rundfunk die sehr sehenswerte ARD- und Arte-Doku „Gefährliche Apps: Im Netz der Datenhändler“ veröffentlicht. Mein Kollege Sebastian und ich arbeiten seit mehr als zwei Jahren mit ihnen an den „Databroker Files“. Der Film erzählt von unseren Recherchen und den sehr konkreten Gefahren, die etwa von vermeintlich harmlosen Tracking-Daten ausgehen und unterschiedliche Menschen wie zum Beispiel eine Journalistin oder ukrainische Soldaten betreffen.

Zweitens schreiten Ermittlungen von Datenschutzbehörden gegen zwei deutsche Apps voran, die unsere Databroker-Files-Recherchen ausgelöst haben. Die Behörden sind sich inzwischen sicher, dass eine Wetter-App und eine Dating-App, beide mit Millionen Nutzer:innen, datenschutzwidrig genaue Standortdaten verarbeitet und an Dritte weitergegeben haben. Konsequenzen hat das bislang aber noch nicht, die Verfahren laufen noch.

Drittens haben das Citizen Lab, der Wiener Tracking-Forscher Wolfie Christl und der ungarische Journalist Szabols Panyi eine bemerkenswerte Recherche veröffentlicht. Sie können am Beispiel einer US-Überwachungsfirma detailliert aufzeigen, wie Daten aus dem Ökosystem der Online-Werbung für Geheimdienste und andere Behörden nutzbar gemacht werden. Und sie berichten, dass die Produkte dieser Firma nicht nur von Trumps paramilitärischer Abschiebetruppe ICE genutzt werden, sondern auch von der ungarischen Regierung angeschafft wurden. Dort finden am Sonntag Wahlen statt und Viktor Orbán kämpft mit allen Mitteln um den Machterhalt.

Ein komplettes Versagen von Datenschutz, Politik und Medien

Ich bin angesichts dieser Ereignisse diese Woche hin- und hergerissen. Einerseits freue ich mich über aufklärende Recherchen, Public-Value-Journalismus und konkrete Konsequenzen. Andererseits bin ich frustriert, dass es all das noch immer braucht. Wir haben doch eigentlich bei diesem Thema längst kein Erkenntnis-, sondern ein Umsetzungsdefizit.

Juristisch gibt es – soweit ich weiß – wenig Zweifel daran, dass das umfassende Tracking durch ein riesiges, undurchsichtiges Firmennetzwerk ebenso illegal ist wie der Handel mit den dabei erfassten Daten. Doch die Datenschutzbehörden kommen nicht hinterher.

Die Wissenschaftlichen Dienste des Bundestages haben zudem klargestellt, dass eine Nutzung solcher Daten durch staatliche Stellen im besten Fall auf wackeligen Füßen stünde, wahrscheinlich aber doch eher überwiegend ebenfalls illegal wäre. Doch die Bundesregierung schweigt einfach dazu, ob auch deutsche Sicherheitsbehörden kommerzielle Daten nutzen.

Wir erleben bei diesem Thema ein komplettes Versagen von Datenschutz, Politik und leider auch von vielen Medien.

Also was tun? Digitale Selbstverteidigung geht immer. Aber eigentlich müsste man das Problem ja politisch angehen. Doch Regulierung, womöglich sogar Verbote bestimmter Geschäftspraktiken, das ist momentan einfach nicht angesagt. Als wir im Sommer 2024 die ersten Storys der Databroker Files veröffentlichten, gab es große Bestürzung in allen demokratischen Parteien. Heute haben wir eine Bundesregierung, die sich in Brüssel dafür einsetzt, dass der Datenschutz möglichst mit dem Vorschlaghammer reformiert – also abgebaut – wird. Die Datenindustrie macht derweil munter weiter.

Deshalb machen auch wir weiter, decken auf und erzeugen Druck. Wir lesen uns also sicher bald wieder, wenn es mal erneut heißt: Databroker-Woche bei netzpolitik.org.

Danke für eure Unterstützung bei der journalistischen Sisyphusarbeit!
Euer Ingo

---

Trugbild: Den Teufel mit Beelzebub austreiben

Ein Verbot sozialer Medien löst nicht die fundamentalen Probleme von Jugendlichen. Die Debatte ist vielmehr Ausdruck einer sozio-ökonomischen Krise – und könnte den Befürwortern an der Wahlurne sogar schaden. Von Vincent Först –
Artikel lesen

Frauenhäuser: „Ausklinken darf nicht die Lösung sein“

Versteckte Tracker, geteilte Clouds und überwachte Schul-iPads: Digitale Gewalt ist Alltag in Frauenhäusern. Isa Schaller erklärt, wie Tools missbraucht werden – und was es für einen besseren Schutz der Betroffenen braucht.

 Von Sophie Tiedemann –
Artikel lesen

Große ARD-Doku: Achtung, Datenhandel! Lebensgefahr!

Erhoben zu Werbezwecken, verschleudert im Internet: Standortdaten aus der Werbe-Industrie können Menschen gefährden. Das zeigt die ARD-Doku „Gefährliche Apps“, die nun online ist. Sie beruht auf den Recherchen von netzpolitik.org und Bayerischem Rundfunk zu den Databroker Files. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Wegen Handy-Standortdaten: Wetter Online droht Bußgeld

Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Alterskontrollen: Social-Media-Verbot lässt Bundesregierung ahnungslos zurück

Die Bundesregierung weiß nicht, ob ein Social-Media-Verbot für Minderjährige wissenschaftlich ratsam wäre. Sie weiß auch nicht, ob der Eingriff in Grundrechte verhältnismäßig wäre – oder ob sie das Verbot überhaupt will. Das zeigt die Antwort auf eine Kleine Anfrage der Linken. Von Sebastian Meineck –
Artikel lesen

Freiwillige Chatkontrolle: Big Tech will ohne Rechtsgrundlage weiterscannen

Am Wochenende ist die Ausnahmeregelung für die freiwillige Chatkontrolle ausgelaufen. Doch große Tech-Unternehmen wie Google, Meta oder Microsoft wollen weiter massenhaft die private Kommunikation ihrer Nutzer:innen scannen. Von Markus Reuter –
Artikel lesen

Recht auf Breitband: Lauter Einzelfälle

Bevor das Recht auf einen zeitgemäßen Internetanschluss greift, springt wohl zunehmend der Satellitenanbieter Starlink ein. Doch wie oft das tatsächlich vorkommt, kann die Bundesregierung nicht beantworten. Von Tomas Rudl –
Artikel lesen

Gesetzentwurf: So will Gesundheitsministerin Warken ihre Digitalstrategie umsetzen

Das Bundesgesundheitsministerium will die Digitalisierung im Gesundheitswesen rasch voranbringen. Ein Gesetzentwurf definiert dafür die Rolle der elektronischen Patientenakte um, weitet die Nutzung von Gesundheitsdaten erheblich aus und gibt der Gematik neue weitreichende Befugnisse. Wir veröffentlichen den Gesetzentwurf. Von Daniel Leisegang –
Artikel lesen

Kafka und Künstliche Intelligenz: Die Sehnsucht nach totaler Souveränität

Mit Hilfe von KI-Agenten sollen Einzelpersonen schon bald Unternehmen mit Milliardenbewertung aufbauen. Das klingt verführerisch, weil es einer prometheischen Sehnsucht nach totaler Souveränität schmeichelt. Allerdings wusste schon Franz Kafka, dass Ein-Personen-Unicorns mythische Wesen sind. Von Gastbeitrag, Anselm Küsters –
Artikel lesen

KI-Risiken: Breites Bündnis warnt vor verwässerten KI-Regeln

Die geplante „Vereinfachung“ der europäischen KI-Verordnung könnte den Schutz von Verbraucher:innen vor der Technologie erheblich schwächen. Ein breites Bündnis von 32 Organisationen warnt insbesondere vor Lücken bei Medizingeräten und Spielzeug. Von Anna Ströbele Romero –
Artikel lesen

Grundrechte: Zwei Insider berichten vom Europäischen Datenschutzbeauftragten

Wir sprechen mit Thomas Zerdick und Robert Riemann, die beim Europäischen Datenschutzbeauftragten arbeiten. Sie berichten aus dem Inneren des Amtes, wie es in Gesetzgebungsverfahren einbezogen wird und warum die Kritik am Datenschutz eigentlich eine deutsche Kritik ist. Sie erklären auch, was sie sich für die Zukunft der Behörde wünschen. Von Constanze –
Artikel lesen

Digitale Überwachungsbefugnisse: Schwarz-rotes Sicherheitspaket „zum Großteil verfassungswidrig“

Die Kritik am Überwachungspaket der Bundesregierung reißt nicht ab. Die Gesellschaft für Freiheitsrechte warnt vor „Eingriffen in die Grundrechte aller Menschen“ und „mächtigen Überwachungsmaßnahmen“. Von Markus Reuter –
Artikel lesen

Widerstand gegen Big Tech: „KI wollen wir in unserer befreiten Welt nicht haben“

KI sei verfänglich für faschistische Ideologien und gehe mit autoritären Machtzentren einher. Große Plattformen wie ImmobilienScout24 und Doctolib machen Profit mit Grundbedürfnissen der Menschen. Zwei Aktivist*innen schlagen im Interview konkrete Schritte hin zu einer demokratischen digitalen Teilhabe vor. Von Timur Vorkul –
Artikel lesen

Nach unseren Recherchen: Datenschutzbehörde findet gravierende Verstöße bei bekannter Dating-App

Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Vor Schicksalswahl: Orbán-Regierung soll neuartige Überwachungsprogramme angeschafft haben

Die US-Firma Penlink verkauft Überwachungstechnik, die auf Werbe-Tracking basiert. Nach Trumps Abschiebemiliz ICE hat offenbar auch die ungarische Regierung Lizenzen gekauft. Kurz vor der Wahl könnte sie damit gegen Opposition und Medienschaffende vorgehen. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Hype um Prediction Markets : Wetten, dass Jesus vor 2027 zurückkehren wird

Prediction Markets sind in vielen Ländern illegal. Das Wetten auf zukünftige politische und gesellschaftliche Ereignisse wird aber immer populärer. Dabei sind die Wetten manipulationsanfällig und ethisch teilweise höchst fragwürdig. Von Denis Glismann –
Artikel lesen

Studie der Medienanstalten: Debattenkultur im Netz erodiert

Die Bereitschaft, sich an Debatten in Sozialen Medien und in Online-Kommentarbereichen zu beteiligen, sinkt. Ein zentraler Grund dafür ist die Diskursqualität, die zunehmend als negativ wahrgenommen wird, so das Ergebnis einer Studie der Medienanstalten. Von Denis Glismann –
Artikel lesen

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die US-Firma Penlink verkauft Überwachungstechnik, die auf Werbe-Tracking basiert. Nach Trumps Abschiebemiliz ICE hat offenbar auch die ungarische Regierung Lizenzen gekauft. Kurz vor der Wahl könnte sie damit gegen Opposition und Medienschaffende vorgehen.

Die ungarische Regierung soll kürzlich Lizenzen für ein Überwachungsprogramm erworben haben, das Menschen mithilfe von Daten aus der Online-Werbeindustrie überwachen und verfolgen kann. Das hat am Donnerstag das ungarische Investigativmedium VSquare berichtet. Das Programm Webloc der US-Firma Penlink soll auf Daten von bis zu 500 Millionen Handys beruhen.

VSquare beruft sich auf eingesehene Dokumente und mehrere Quellen mit Verbindung zu ungarischen Geheimdienstkreisen. Die Enthüllung ist Teil eines größeren Berichts zu Penlink und Webloc, den gestern das Citizen Lab der Universität Toronto veröffentlicht hat.

In dem Bericht heißt es auf Englisch:

Unsere Untersuchungen zeigen, dass mittlerweile in mehreren Ländern weltweit Militär-, Geheimdienst- und Strafverfolgungsbehörden – bis hinunter zu lokalen Polizeieinheiten – äußerst invasive und rechtlich fragwürdige, werbebasierte Überwachungstechnik ohne richterliche Anordnung oder angemessene Kontrolle einsetzen.

Zu den bekanntesten Kunden von Penlink gehört die paramilitärische US-Abschiebebehörde ICE, die im Auftrag der Trump-Regierung massenhaft Menschen festnehmen und deportieren soll. Sie soll das werbebasierte Überwachungswerkzeug laut Medienberichten unter anderem nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.

Laut VSquare und Citizen Lab steht Webloc Ungarn mindestens seit 2022 zur Verfügung; zuletzt habe 2026 eine ungarische Sicherheitsbehörde neue Webloc-Lizenzen erworben. Es wäre der erste bestätigte Kauf eines werbebasierten Überwachungstools durch eine europäische Regierung. Auf unsere Presseanfrage hat die ungarische Regierung bis zum Zeitpunkt der Veröffentlichung nicht reagiert.

Standorte und Interessen: Diese Daten soll Webloc nutzen

Das Werkzeug Webloc ist offenbar eine Erweiterung für ein größeres Überwachungsprodukt namens Tangles. Das berichten die Forschenden des Citizen Lab mit Verweis auf gesammelte Dokumente und Verträge. Webloc soll demnach Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem gehören:

• genaue GPS-Standorte,
• die einzigartigen Werbe-Kennungen eines Geräts (mobile advertising IDs, kurz: MAID),
• Eckdaten zum Gerät wie Betriebssystem und weitere installierte Apps,
• Eckdaten zur Person, die das Gerät nutzt, wie Alter, Geschlecht, Sprache sowie
• Interessen der Person, sogenannte Zielgruppen-Segmente aus der Werbe-Industrie, zum Beispiel Vorlieben für Basketball oder Luxusgüter.

Eine Presseanfrage von netzpolitik.org zur Datengrundlage von Webloc hat die US-Betreiberfirma Penlink (früher: Cobweb Technologies) nicht beantwortet. Wir können deshalb nicht mit Sicherheit sagen, ob die beschriebene Datengrundlage zutreffend oder aktuell ist.

Die Liste der verfügbaren Daten ist zumindest plausibel. Denn genau solche Daten lassen sich aus der Online-Werbe-Industrie gewinnen. Das zeigen unsere Recherchen zum Datenmarktplatz Xandr, die von Zielgruppen-Segmenten handeln, und zu den Databroker Files, die den Handel mit Standortdaten in den Fokus nehmen.

Solche Daten werden angeblich nur zu Werbezwecken erhoben, etwa beim Bieten auf digitale Werbeplätze, dem Real-Time-Bidding. Weitere Daten können über sogenannte SDKs abfließen; das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen. Nicht alle Akteur*innen der Werbe-Industrie behandeln die Daten vertraulich.

Auf oftmals verschlungenen Wegen landen sie letztlich als Handelsware bei Databrokern – und von dort potenziell bei Unternehmen, die daraus Überwachungswerkzeuge bauen. Diese Form der Überwachung wird auch ADINT genannt, kurz für advertising-based intelligence, werbebasierte Aufklärung.

Bewegungsprofile: Das soll Webloc mit den Daten machen

Webloc soll die Arbeit mit den Daten mithilfe einer grafischen Oberfläche einfach machen, wie aus dem Bericht der Forschenden hervorgeht. Demnach sollen Kund*innen etwa suchen können, welches Handy in einem bestimmten Gebiet – oder in mehreren Gebieten – unterwegs gewesen ist. Außerdem sollen sich Nutzer*innen das Bewegungsprofil einzelner Handys anzeigen lassen können.

Als Beispiel zeigen die Forschenden den Screenshot aus der Produktpräsentation eines Drittanbieters, der die Fähigkeiten von Webloc darlegen soll. Der Screenshot zeigt die angebliche Route eines Handy-Nutzers auf einer Karte, basierend auf 39 Ortungen: Die Reise soll demnach von Deutschland über Österreich nach Ungarn geführt haben.

Zu den Fähigkeiten der Software hat sich Penlink auf Anfrage nicht geäußert. Grundsätzlich lassen sich Handy-Nutzer*innen jedoch mithilfe von Standortdaten der Werbe-Industrie auf genau diese Weise ausspionieren. Das interne Recherche-Werkzeug, das netzpolitik.org und Bayerischer Rundfunk für die Databroker-Files-Recherchen genutzt hat, hatte im Kern die gleichen Fähigkeiten.

Mit einem Werkzeug wie diesem lassen sich gezielt Personen oder Gruppen ins Visier nehmen, etwa Besucher*innen einer politischen Demo; Menschen, die in bestimmten Grenzregionen unterwegs sind, die bestimmte Parteizentralen oder Redaktionen besuchen und vieles mehr. In einem autoritären Regime ist das eine besondere Gefahr unter anderem für Aktivist*innen, Oppositionelle, Journalist*innen oder Migrant*innen.

Achtung, Datenhandel! Lebensgefahr!

Orbán muss um seine Macht bangen

Den Recherchen von VSquare und dem Citizen Lab zufolge gehörten mindestens drei ungarische Sicherheitsbehörden seit den frühen 2020er-Jahren zu den Kunden von Cobwebs Technologies, das inzwischen unter dem Namen Penlink firmiert: der Inlandsgeheimdienst Constitution Protection Office (AH), das für das Sammeln und Zusammenführen von Geheimdienstdaten zuständige National Information Center (NIC) sowie die Überwachungsbehörde Special Service for National Security (NBSZ).

Zum Portfolio von Cobwebs Technologies / Penlink sollen mehrere Werkzeuge gehören. NBSZ soll zuletzt im März 2026 Lizenzen für das werbebasierte Überwachungswerkzeug Webloc und weitere Programme erworben haben.

Die Enthüllungen kommen zu einem besonderen Zeitpunkt: Am kommenden Sonntag wählt Ungarn ein neues Parlament, und es sieht erstmals seit Langem so aus, als könnten Premier Viktor Orbán und seine Fidesz-Partei die Mehrheit verlieren. Umfragen sehen die TISZA-Partei von Herausforderer Péter Magyar deutlich vorne; nach 16 Jahren droht Orbán der Machtverlust.

Er und seine Fidesz-Partei haben das Land in den vergangenen Jahren zunehmend autoritär regiert. Die Regierung macht unabhängigen Medien und Nichtregierungsorganisationen die Arbeit schwer, hat Veranstaltungen wie die queere Pride-Demonstration in Budapest verbieten lassen und lässt kaum eine Gelegenheit aus, um Hetze zu verbreiten: etwa gegen die EU, die Ukraine, queere Menschen oder den jüdischen Philanthropen George Soros. Im Rahmen der Pegasus-Affäre kam 2021 ans Licht, dass mehrere ungarische Oppositionelle und Medienschaffende mit dem gleichnamigen Staatstrojaner überwacht wurden.

Brisant ist, dass die ungarische Regierung auch gegen den Journalisten Szabols Panyi vorgeht, der für VSquare zusammen mit dem Citizen Lab zu Penlink / Cobwebs Technologies in Ungarn recherchiert. Auch auf seinem Telefon wurde 2021 die Pegasus-Überwachungssoftware entdeckt. Kürzlich berichtete Panyi auf VSquare über zunehmenden russischen Einfluss auf Viktor Orbán – unter anderem soll Moskau ein Team des Militärgeheimdienstes GRU nach Ungarn geschickt haben, um den Wahlkampf mit Desinformation zu beeinflussen. Die Regierung wirft dem Journalisten Spionage für einen ausländischen Staat vor; die Polizei ermittelt gegen ihn.

Ein großes Arsenal digitaler Waffen

Neben ungarischen Behörden soll nach Recherchen des Citizen Lab auch die Polizei in El Salvador Webloc erworben haben, wie der Bericht unter Berufung auf geleakte Dokumente und einen Medienbericht festhält. Das Land wird seit 2019 von Präsident Nayib Bukele regiert, ebenfalls zunehmend autoritär. Eine Presseanfrage von netzpolitik.org ließ die betroffene Polizeibehörde unbeantwortet.

Außerdem listet der Bericht zahlreiche US-Behörden auf, von der lokalen bis zur Bundesebene, die Tangles-Lizenzen erworben haben sollen.

Entwickelt haben soll das werbebasierte Überwachungssystem das israelische Unternehmen Cobwebs Technologies. Es wurde 2023 von der US-Investmentfirma Spire Capital erworben und mit der Überwachungsfirma Penlink fusioniert, unter deren Namen die Geschäfte seitdem weiter laufen.

Neben Webloc sollen Penlink und Cobweb offenbar weitere mächtige Werkzeuge zur digitalen Überwachung im Angebot haben. Das Hauptprodukt heißt dem Bericht des Citizen Lab zufolge Tangles. Es soll etwa Soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kunden können demnach etwa nach Namen, Telefonnummern oder E-Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Dazu zählen auch Posts, Interaktionen mit anderen, besuchte Veranstaltungen oder Beziehungen zu anderen Nutzer*innen. Auch Gesichtserkennung und die automatisierte Analyse von Bildhintergründen, um Orte zu erkennen, sollen zum Produktumfang gehören.

Unsere Presseanfrage zu Tangles und weiteren Produkten ließ Penlink unbeantwortet.

Cobweb soll zumindest bis zur Fusion mit Penlink ein weiteres Produkt namens Trapdoor angeboten haben, berichtet das Citizen Lab. Das Programm wird als „Social-Engeneering-Plattform“ beschrieben, die Kund*innen bei Phishing-Angriffen unterstützen soll. Dem Bericht zufolge könne man mit dem Tool etwa Fake-Websites aufsetzen und Phishing-Links verschicken, um an Informationen und Zugangsdaten von Zielpersonen zu gelangen. Die Forschenden schlussfolgern, mit dem Werkzeug lasse sich die Installation von Malware auf dem Gerät eines Opfers erleichtern.

Das Citizen Lab beschreibt zudem das Cobwebs-Produkt Lynx, mit dem sich digitale Undercover-Operationen und Fake-Accounts in Sozialen Medien managen lassen sollen. Es soll unter anderem genutzt werden können, um sogenannte virtuelle Agenten zu steuern, mit denen Geheimdienste Gruppen im Netz infiltrieren. Auch für Lynx ist ungeklärt, ob es von Penlink übernommen wurde.

Keine Auskunft von der Bundesregierung

Mithilfe von 94 Informationsfreiheitsanfragen wollten die Forscher*innen des Citizen Lab in Erfahrung bringen, welche anderen europäischen Behörden zu den Kunden von Penlink oder Cobwebs gehören. Dabei bissen sie weitgehend auf Granit: „Viele Anfragen wurden abgelehnt oder blieben unbeantwortet“, schreiben die Forschenden. „Europol bestätigte, über Informationen zu Webloc zu verfügen, weigerte sich jedoch, diese offenzulegen.“

In Deutschland hatte zuletzt die Bundestagsabgeordnete Donata Vogtschmidt (Die Linke) Ende 2025 im Rahmen einer Kleinen Anfrage von der Bundesregierung unter anderem wissen wollen, ob Bundesbehörden wie das BKA Produkte von Cobwebs oder Penlink nutzen. Die Bundesregierung verweigerte die Auskunft. Ähnlich äußerte sich das Innenministerium nun auf eine aktuelle Presseanfrage von netzpolitik.org:

Die Sicherheitsbehörden im Geschäftsbereich des Bundesministeriums des Innern (BMI) arbeiten zur Erfüllung ihrer gesetzlichen Aufträge auch mit kommerziellen Anbietern zusammen. Wir bitten um Verständnis, dass wir Ihnen zu Details der Beschaffung und des Einsatzes von entsprechender Software keine weiteren Auskünfte geben können.

Dass Deutschland für Penlink als Markt relevant sein könnte, darauf deutet ein weiterer Fund der Recherche des Citizen Lab: Seit 2020 unterhält Cobwebs in Deutschland ein Vertriebsbüro, das seit 2025 unter dem Namen Pen-Link GmBH firmiert.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Eine populäre deutsche Dating-App hat genaue Handy-Standortdaten an Werbefirmen geschickt, selbst wenn Nutzer*innen nicht eingewilligt haben. Genau solche Daten fanden netzpolitik.org und BR im Angebot von Databrokern – eine große Gefahr für Nutzer*innen.

Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.

So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.

Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.

Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.

Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.

Datenschutzbehörde macht „besonders schwerwiegende“ Funde

In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.

Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.

Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.

Kontrollverlust beim Online-Dating

Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.

Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.

Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.

Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“

Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.

Datenhandel gefährdet alle

Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.

Achtung, Datenhandel! Lebensgefahr!

Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.

Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.

---

Hier sind alle Veröffentlichungen von netzpolitik.org zu den Databroker Files und hier die auf Basis der Recherchen entstandene ARD-Doku „Gefährliche Apps – Im Netz der Datenhändler“.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen.

Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen hat ein Bußgeldverfahren gegen Wetter Online eingeleitet. Wann es zu einem Abschluss kommt, sei derzeit jedoch noch nicht absehbar, erklärt Pressesprecher Jan Keuchel auf Anfrage von netzpolitik.org.

Mehr als 100 Millionen Mal wurde die App allein aus dem Google Play Store heruntergeladen; nach eigenen Angaben hat das Angebot mehr als 22 Millionen Nutzer:innen. Was vielen dieser Menschen wohl nicht klar war: Wetter Online hatte offenbar genaue Standortdaten erfasst, obwohl das für eine Wettervorhersage nicht notwendig wäre, und diese Daten sind darüber hinaus offenbar bei Dritten gelandet.

Zu diesem Schluss ist die Landesbeauftragte für Datenschutz, Bettina Gayk, gekommen. Nach intensiven Ermittlungen wirft ihre Behörde dem Unternehmen vor, „über Jahre Standortdaten seiner Nutzer*innen ohne Rechtsgrundlage, konkret ohne deren wirksame Einwilligung erhoben und für Werbezwecke (weiter-)verarbeitet zu haben“, so der Behördensprecher. Laut Jahresbericht der Datenschutzbehörde hatte man die Praxis zügig stoppen können; Wetter Online hat demnach nachgebessert.

Anstoß für das Verfahren der Datenschutzbehörde gegen Wetter Online waren die Databroker-Files-Recherchen von netzpolitik.org und BR. Auf Grundlage dieser Recherchen beleuchtet nun auch eine neue Dokumentation der ARD den außer Kontrolle geratenen Handel mit personenbezogenen Daten und geht auch auf den Fall Wetter Online ein.

Der Film „Gefährliche Apps –  Im Netz der Datenhändler“ erzählt anschaulich, wie Standortdaten aus der Online-Werbeindustrie über Handy-Apps abfließen und letztlich zur Handelsware von Databrokern werden.

Achtung, Datenhandel! Lebensgefahr!

Überraschungsbesuch von der Datenschutzbehörde

Um sich selbst ein Bild von der Lage bei Wetter Online zu machen, hatten Mitarbeiter:innen der Datenschutzbehörde im vergangenen Jahr bei Wetter Online einen überraschenden Kontrollbesuch gemacht. Davon berichtet die Datenschutzbeauftragte Bettina Gayk in der Doku: „Man hat uns mitgeteilt, dass Standortdaten nur für eigene Zwecke, nämlich das Ausspielen dieses Wetterdienstes genutzt werden“. Tatsächlich aber habe man feststellen können, dass die Daten auch für andere Zwecke verarbeitet werden. Außerdem habe es Schnittstellen zum Teilen der Daten mit Dritten gegeben.

Das Unternehmen selbst hat auf eine aktuelle Presseanfrage von netzpolitik.org nicht reagiert. Im vergangenen Jahr erklärte Wetter Online jedoch, dass niemals GPS-Daten „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, so ein Sprecher des Unternehmens im Juni 2025.

Wie genau Handy-Standortdaten von Wetter-Online-Nutzer:innen letztlich in dem uns vorliegenden Datensatz gelandet sein könnten, erklärte der Sprecher damals nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“

Unklar bleibt deshalb auch, an welche Drittparteien Standortdaten abgeflossen sein könnten. Zeitweise listete Wetter Online in der Datenschutzerklärung mehr als 800 Werbepartner auf.

Zehntausende Handys an nur an einem Tag geortet

Hinter dem globalen Datenhandel stecken mindestens Zehntausende Apps. Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten von verschiedenen Datenhändlern vor, allesamt erhalten als kostenlose Vorschau-Pakete. Woher die Daten stammen, erfahren Käufer:innen oft nicht. Im Januar 2025 konnten wir jedoch gemeinsam mit internationalen Partnermedien erstmals über einen Datensatz berichten, in dem auch konkrete Apps genannt werden. Insgesamt enthält dieses Datenset 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Verweisen auf rund 40.000 Apps für Android und iOS.

In dem Datensatz fanden wir auch zahlreiche Apps aus Deutschland, dazu teils genaue Handy-Standortdaten. Unter den Apps mit den meisten in Deutschland georteten Handys war Wetter Online. An nur einem Tag wurden zehntausende Wetter-Online-Nutzer:innen in Deutschland wohl teils auf den Meter genau geortet.

Die Landesdatenschutzbeauftragte Bettina Gayk reagierte damals umgehend und forderte Wetter Online schon kurz nach unserer Berichterstattung auf, die Verarbeitung präziser Standortdaten „so schnell wie möglich“ zu beenden. Das Unternehmen hinter der App, die „WetterOnline – Meteorologische Dienstleistungen GmbH“ hat ihren Sitz in Nordrhein-Westfalen, weshalb der Fall in die Zuständigkeit von Gayks Behörde fällt.

So gefährlich ist der Datenhandel

Die TV-Doku macht nun anhand konkreter Fälle anschaulich, wie gefährlich solche vermeintlich harmlosen Werbedaten in den falschen Händen werden können: Sie können etwa für Stalking genutzt werden, für Spionage durch ausländische Geheimdienste oder sogar Frontstellungen in der Ukraine verraten.

Die Standortdaten von Handys landen oft auf verschlungenen Pfaden bei den Databrokern. In der Regel enthalten die dort gehandelten Datensätze zwar keine Namen oder Telefonnummern der betroffenen Menschen. Aufspüren lassen sie sich dank der Mobile Advertising ID oftmals trotzdem.

Eine solche pseudonyme Identifikationsnummer ordnen Apple und Google Smartphones mit iOS oder Android zu. Mit ihr sollen Werbetreibende einzelne Personen wiedererkennen. Zugleich bewirkt die Nummer, dass sich vereinzelte Standortdaten zu aussagekräftigen Bewegungsprofilen zusammensetzen lassen.

In zahlreichen Recherchen haben wir aufgezeigt, wie leicht man anhand dieser Daten Personen ins Visier nehmen, identifizieren und ausspionieren kann. Mühelos lässt sich oftmals ablesen, wo Menschen wohnen und arbeiten, wo sie einkaufen und spazieren gehen – oder welche Ärzte, Bordelle oder religiösen Gebäude sie aufsuchen. So entdeckten wir in den Datensätzen auch genaue Standortdaten von hochrangigen Beamt:innen der EU-Kommission oder von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdiensten in Deutschland.

Datenschutzbehörde: Wirksame Einwilligung fehlte

Dass Tracking-Daten alles andere als harmlos sind, betont auch die Datenschutzbehörde. „In Kombination mit anderen Daten können solche Standortdaten zur Erstellung von Bewegungsprofilen genutzt werden und potenziell tiefe Einblicke in das Leben der Betroffenen ermöglichen“, erklärt Sprecher Jan Keuchel. „Die Gefahr eines Missbrauchs ist deshalb groß.“

Es müsse sichergestellt werden, dass Standortdaten und ähnliche Daten nur auf Basis einer wirksamen Rechtsgrundlage verarbeitet werden. „Dies gilt umso mehr, sofern die Daten zu Werbezwecken an Dritte weitergeleitet werden.“ Dafür komme aus datenschutzrechtlicher Sicht nur die informierte und freiwillige Einwilligung der Betroffenen infrage, so Keuchel.

Damit diese Einwilligung auch wirksam ist, müssten Nutzer:innen verstehen können, wozu sie genau ihr Einverständnis geben, zu welchen Zwecken ihre Daten verarbeitet werden und welche Dritten sie für welchen Zweck erhalten. An solch einer wirksamen Einwilligung habe es im Fall von Wetter Online gefehlt, so Keuchel weiter.

Potenzielle Gefährdung „hoch“

Auf Wetter Online könnte nun eine Geldbuße zukommen: „Da die potenzielle Gefährdung der Rechte der betroffenen Nutzer*innen hoch war“, so Behördensprecher Keuchel, könne man es nicht bei einer „Anordnung zur datenschutzgerechten Anpassung des Verfahrens“ belassen.

Dass der Fall nach mehr als einem Jahr noch nicht abgeschlossen ist, erklärt Keuchel mit dessen Umfang und der Komplexität. Die Untersuchungen hätten „eine Anhörung, einen Vor-Ort-Termin sowie verschiedene schriftliche Auskunftsersuchen gegenüber dem Unternehmen“ umfasst. „Das Geldbußeverfahren verlangt noch einmal eigene Arbeitsschritte.“ Grundsätzlich spiele es bei derlei Verfahren auch eine Rolle, ob der Sachverhalt „von dem betroffenen Unternehmen eingeräumt oder bestritten wird und ob es zu einer rechtlichen Auseinandersetzung kommt“.

Datenschutz-Nachhilfe von der Aufsichtsbehörde brauchte Wetter Online unterdessen auch in einem weiteren Fall: Ein Datenauskunftsersuchen unserer Redaktion im Rahmen der Databroker-Recherchen versuchte das Unternehmen zunächst mit Hinweis auf zu hohen Aufwand abzuwimmeln. Erst als wir – unterstützt von der Datenschutzorganisation noyb – Beschwerde bei der Behörde einlegten, rückte Wetter Online zumindest ein paar Daten heraus.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Erhoben zu Werbezwecken, verschleudert im Internet: Standortdaten aus der Werbe-Industrie können Menschen gefährden. Das zeigt die ARD-Doku „Gefährliche Apps“, die nun online ist. Sie beruht auf den Recherchen von netzpolitik.org und Bayerischem Rundfunk zu den Databroker Files.

Es geht um Milliarden Standortdaten von ahnungslosen Handy-Nutzer*innen, oftmals metergenau. Angeblich nur zu Werbezwecken erhoben, fließen die Daten über populäre Handy-Apps auf teils verschlungenen Wegen in die Hände von Databrokern. Potenziell betroffen sind alle Menschen, die ein Smartphone nutzen.

Die Recherchen von netzpolitik.org und Bayerischem Rundfunk begannen im Februar 2024 mit einem Gratis-Datensatz, den ein Databroker als Vorschau für ein kostenpflichtiges Abo verschenkt hat. Anhand dieser Daten konnte das Team nicht nur einen flächendeckenden Angriff auf die Privatsphäre von Handy-Nutzer*innen enthüllen, sondern auch eine Gefahr für die nationale Sicherheit. Die EU-Kommission sagte: „Wir sind besorgt“.

Jetzt erzählt eine Fernsehdoku die wichtigsten Erkenntnisse aus den Databroker Files. Sie macht anschaulich, wie der Handel mit personenbezogenen Daten außer Kontrolle geraten ist – und vor welchem Hintergrund Fachleute aus Politik und Verbraucherschutz ein Verbot von Tracking und Profilbildung zu Werbezwecken fordern.

Erstmals berichtet die Doku darüber, wie Handy-Standortdaten der Werbe-Industrie auch ukrainische Soldaten an der Front gefährden können – oder Journalist*innen im Exil. Neu ist auch die Geschichte einer bayerischen Schülerin, die niemals erwartet hätte, dass Databroker ihr genaues Bewegungsprofil offen im Netz handeln.

„Gefährliche Apps – Im Netz der Datenhändler“, produziert vom Bayerischen Rundfunk für ARD, Arte und die Deutsche Welle, ist nun in der ARD Mediathek zu sehen – und in einer etwas längeren Fassung auch in der Arte-Mediathek. Was der Datenhandel konkret für Menschen bedeuten kann, fassen wir hier anhand von vier Köpfen aus der Doku zusammen.

1. Databroker verkaufen Handy-Standortdaten von der Front

Heute lebt Dmytro auf einem Hof in der Nähe von Odessa. Unter raschelnden Baumkronen grast eine Kuh, in den Ästen läutet ein Windspiel. Als das Kamerateam Dmytro besucht, führt er die Pferde aus, reitet über einen Feldweg. Zuvor hat er als Soldat für die Ukraine an der Front gekämpft. Für ihn und seine Kameraden hatten Smartphones eine besondere Bedeutung.

„Das Handy ist sehr wichtig, weil es moralisch unterstützt“, erklärt er im Interview. „Man kann seine Lieben zuhause spüren, seinen Ehepartner. Es ist eine Erinnerung daran, wofür man an der Front kämpft.“

Zugleich können Smartphones im Krieg eine Gefahr darstellen, und zwar durch die potenzielle Ortung von Soldat*innen und deren Stellungen. Inzwischen liegen dem Recherche-Team Datensätze von mehreren Databrokern vor; in einem davon finden sich auch Handy-Ortungen aus umkämpften Gebieten in der Ukraine. Die Daten geben auch Preis, dass Geräte per Starlink im Netz waren, jenes Satelliteninternet, das ukrainische Truppen verwenden.

Das Recherche-Team zeigt Dymtro auf Satellitenbildern eine Auswahl von Handy-Ortungen im Kampfgebiet. Er beugt sich über den Bildschrim und bestätigt: „Genau hier an diesem roten Punkt, da war unser Hauptquartier.“

Es ist möglich, dass die russische Armee nicht auf Standortdaten der Werbe-Industrie angewiesen ist, um potenzielle Ziele zu identifizieren – es lässt sich aber auch nicht ausschließen, dass russische Behörden genau das tun. Deutsche Rüstungsunternehmen befürchten zudem, dass auch ihre neuen Produktionsstätten in der Ukraine ins Visier geraten können, wie tagesschau.de berichtet. Deren Standorte sind weitestgehend geheim, um sie vor russischen Angriffen zu schützen.

---

2. Exil-Journalistin in Berlin berichtet von Verfolgung

In Ägypten hatte die Journalistin Basma Mostafa unter anderem kritisch über Polizeigewalt berichtet. Sie erzählt dem Fernsehteam von mehreren Festnahmen, sogar von Folter. Schließlich gelang ihr die Flucht; der Weg führte sie nach Berlin. Ihr Leben in Ägypten, sagt sie heute, habe sie zurückgelassen. Aber auch in Berlin werde sie von ägyptischen Agenten verfolgt und bedroht. Sie fotografiert die Männer, die ihr auffallen, und zeigt dem Recherche-Team die Fotos auf ihrem Smartphone. Die Polizei habe ihr empfohlen, den Wohnort zu wechseln.

„Ich frage mich wirklich: Woher wissen die immer genau, wo ich bin?“, sagt Mostafa im Interview. Gemeinsam mit dem Recherche-Team betrachtet auch sie einen Ausschnitt der Standortdaten, die Databroker von Millionen Handys auf der Welt verkaufen. Der Ausschnitt zeigt die Bewegungsmuster einer Person, die offenbar in Mostafas Wohnhaus lebt. Von diesem Haus führen Handy-Ortungen zu anderen Adressen, die Mostafa wiedererkennt: etwa den Spielplatz, wo sie mit ihren Kindern hingehe, oder ein Krankenhaus. Es fühle sich an, sagt sie, als wäre sie gehackt worden.

Ähnlich wie im Fall der ukrainischen Soldaten gilt: Es kann sein, dass ägyptische Behörden nicht auf Standortdaten aus der Werbe-Industrie angewiesen wären, falls sie Dissident*innen im Ausland ins Visier nehmen wollten. Sicherheitsexperte Franz-Stefan Gady legt zumindest nahe, dass ein solches Szenario denkbar ist. Anders als große Geheimdienste wie aus den USA, Russland oder China hätten „zweitrangige“ Dienste inzwischen immer mehr Zugang zu Daten, „die sie wahrscheinlich vor einigen Jahren noch nicht gehabt hätten“, erklärt Gady.

---

3. Die Spur der Daten führt zu 18-Jähriger aus Bayern

Wie aufdringlich Handy-Standordaten sein können, zeigt der Fall der 18-Jährigen Emma aus Bayern. Mühelos fand das Recherche-Team ihre Privatadresse in den Daten: Ein freistehendes Haus in einer bayerischen Gemeinde, wo sich auffällig viele Ortungen eines Geräts häuften. Ebenso häuften sich die Ortungen bei einer nahegelegenen Schule, während eine Perlenschnur aus Standortddaten die Strecke beschrieb, die Emma oft mit dem Schulbus genommen hat.

Das Beispiel zeigt: Bereits zwei Orte, Wohnort plus Arbeits- oder Ausbildungsplatz, können genügen, um eine Person in einem Bewegungsprofil eindeutig wiederzuerkennen.

„Das ist krass“, sagt Emma heute, als das Kamera-Team der 18-Jährigen ihre Standortdaten auf einem Tablet zeigt. Die Daten zeigen auch Emmas Abstecher in den Supermarkt und zu McDonald’s. Oder die genaue Route über einen Feldweg, den sie nimmt, wenn sie mit ihrem Hund spazieren geht.

„Wenn irgendein Mann diese Daten hätte“, sagt Emma, „so Stalking-mäßig“, dann wäre das „sehr unvorteilhaft“. Zur Erinnerung: Das Recherche-Team hat die Daten kostenlos von einem Databroker im Netz erhalten. Prinzipiell zugänglich sind solche Daten für alle, die Datenhändler danach fragen. Für einen vierstelligen Betrag im Monat können Interessierte ein Abonnement abschließen.

---

4. Standortdaten können Besuch in Abtreibungsklinik verraten

In Dallas, Texas, lebt Lauren Miller mit ihrem zweijährigen Sohn Henry. Abtreibungen sind ihrem US-Bundesstaat kriminalisiert. Doch vor gut zwei Jahren war eine Abtreibung genau das, was Miller und ihr damals ungeborener Sohn aus medizinischen Gründen benötigten. Denn Henry hatte einen nicht überlebensfähigen Zwillingsbruder. Nur eine Teilabtreibung hätte das gesunde Baby retten können, wie Miller berichtet.

Deshalb machten sich Miller und ihr Mann auf die Reise nach Colorado. Dieser Bundesstaat verletzt nicht die reproduktiven Rechte von Menschen; dort sind Abtreibungen weiterhin legal. „Ich weiß noch, wie ich mit gesenktem Kopf durch die Sicherheitskontrolle am Flughafen gegangen bin“, erzählt Miller. „Wir haben sogar überlegt, die Handys zu Hause zu lassen.“

Am Ende hatten Miller und ihr Sohn Henry Glück. Weder US-Sicherheitsbehörden noch radikale Abtreibungsgegner*innen hatten sie an der Reise in die Abtreibungsklinik gehindert. Eines ist jedoch wahrscheinlich: Handy-Standortdaten hätten die Familie verraten können.

In den Standortdaten, die Databroker verkaufen, lassen sich sensible Orte wie Abtreibungskliniken mühelos ins Visier nehmen. Systematisch lässt sich untersuchen, weche Geräte dort ein und ausgehen – und vor allem, welche Geräte aus einem US-Bundesstaat einreisen, der Abtreibungen verbietet.

Erste Warnungen vor verräterischen Datenspuren gab es bereits 2022, kurz nachdem der Oberste Gerichtshof in den USA den Weg zur Kriminalisierung von Abtreibungen in US-Bundesstaaten frei gemacht hatte. In der Folge hatte etwa Google angekündigt, Standortdaten zu löschen, von denen sich Klinikbesuche ableiten lassen. Dass US-Sicherheitsbehörden Handy-Standortdaten tatsächlich bei Databrokern einkaufen, ist spätestens seit 2020 bekannt; jüngst gab auch FBI-Direktor Kash Patel diese Praxis offen zu.

Im Interview sagt Miller: „Es ist schwer greifbar, wenn man sagt: ‚Die haben meine Daten.‘ Was heißt das? Ist doch egal. Aber wenn man versteht, wie bedrohlich solche Daten sein können, dann macht man sich schon Sorgen.“

---

Mehr als 30 Artikel veröffentlicht

Zu den Databroker Files hat netzpolitik.org inzwischen mehr als 30 Artikel verfasst. Hier sind Lesetipps für Interessierte, die tiefer eintauchen möchten:

• In Handy-Standortdaten aus Belgien haben netzpolitik.org und Recherche-Partner sogar Spitzenbeamt*innen in Brüssel gefunden. EU-Abgeordnete warnten vor Spionagegefahr und forderten Konsequenzen.
• In Folge der Recherchen sind Datenschutzbehörden in Deutschland aktiv geworden; es gab eine Durchsuchung bei Wetter Online, einer von Deutschlands populärsten Wetter-Apps.
• Mit ein paar einfachen Maßnahmen können Nutzer*innen ihre Standortdaten vor Databrokern schützen.
• Und nicht zuletzt zeigt diese Übersicht alle Veröffentlichungen von netzpolitik.org zu den Databroker Files.

Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Anna Biselli. Team Bayerischer Rundfunk: Katharina Brunner, Rebecca Ciesielski, Florian Heinhold, Maximilian Zierer.

---

Update, 14. April: Wir haben den Link zur Arte-Mediathek ergänzt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Es ist das erste Signal des Rates im Ringen um den sogenannten Datenomnibus: In einem ersten Positionierungsentwurf stellen sich die Mitgliedstaaten gegen mehrere Vorschläge der EU-Kommission, die von Datenschutz-Expert:innen kritisiert worden waren. Wir veröffentlichen den Zwischenstand.

Die Europäische Union verhandelt derzeit über den „Digitalen Omnibus“. So wird ein Gesetzespaket genannt, mit dem die EU-Kommission Teile der europäischen Digitalregulierung überarbeiten will – und das möglichst schnell. Während die Kommission selbst lediglich von „technischen Änderungen“ und „Vereinfachung“ spricht, sehen viele andere auch einen Rückbau von Regulierung.

Industrieverbänden geht dieser nicht weit genug, zivilgesellschaftlichen Organisationen und Datenschützer:innen zu weit.

Während sich bei angestrebten Anpassungen der KI-Verordnung mögliche Kompromisse andeuten, sind vor allem weitreichende Änderungen im Bereich des Datenschutzes umstritten. Nun gibt es einen ersten Positionierungsentwurf des Rates zu diesem sogenannten Datenomnibus, der zentrale Vorschläge der EU-Kommission ablehnt oder abschwächt. Wir veröffentlichen das Dokument, über das erste Medien am Freitag berichteten.

Keine Neudefinition personenbezogener Daten

Eine von der EU-Kommission geplante Änderung der Definition personenbezogener Daten soll laut dem Ratspapier gestrichen werden. Der ursprüngliche Kommissionsvorschlag hätte zur Konsequenz, dass pseudonymisierte Daten unter Umständen nicht mehr von der Datenschutzgrundverordnung (DSGVO) erfasst wären. Das kritisierten unter anderem der Europäische Datenschutzausschuss und der EU-Datenschutzbeauftragte scharf. Sie sehen darin eine Schwächung des Schutzniveaus der DSGVO sehen und fürchten Rechtsunsicherheiten.

Die Mitgliedstaaten kommen anscheinend zu einer ähnlichen Einschätzung. Laut dem Verhandlungsstand des Rates sollen statt einer geänderten Definition lieber Richtlinien des Europäischen Datenschutzausschusses klären, wann pseudonymisierte Daten möglicherweise nicht der DSGVO unterliegen. Wegfallen soll auch eine neue Regel, die der EU-Kommission ermöglicht hätte, per Durchführungsakt Standards zu setzen und so die Deutungshoheit über datenschutzrechtliche Auslegungsfragen zu erlangen.

Auch einen Kommissionsvorschlag, voll-automatisierte Entscheidungen unter bestimmten Umständen zu erlauben, will der Rat streichen. Diese sind nach der DSGVO bislang verboten und sollen es dem Papier zufolge bleiben. Das Papier der Mitgliedstaaten übernimmt jedoch weniger strittige Vorschläge der Kommission, etwa um Meldewege bei IT-Sicherheitsvorfällen zu vereinfachen.

Konkretisieren will der Rat eine sehr breit gefasste Regel, die es Datenverarbeitern ermöglichen würde, Auskunfts- oder Löschanfragen von Betroffenen sehr leicht abzulehnen. Dies soll dem Papier zufolge nur noch dann möglich sein, wenn Betroffene eine große Anzahl identischer oder weitgehend ähnlicher Anfragen einreichen und dies mit der alleinigen Absicht tun, dem Verantwortlichen Schaden zuzufügen.

Wo steht Deutschland?

Das Dokument ist ein erster Vorschlag der zypriotischen Ratspräsidentschaft und beruht auf Beratungen der Mitgliedstaaten in der Arbeitsgruppe Vereinfachung. Bevor der Rat seine Position beschließt, wird der Arbeitsstand in der Gruppe weiter diskutiert und in weiteren Gremien beraten werden, so etwa im ranghöheren Ausschuss der Ständigen Vertreter. Es handelt sich also nur um ein erstes Signal, aber dieses fällt deutlich aus.

Sollte der Digitale Omnibus, der ja eigentlich nur Vereinfachungen vornehmen soll, am Ende ohne größere Reform der DSGVO verabschiedet werden, bedeutet es nicht, dass diese vom Tisch sind. Tatsächlich hatte die Kommission bereits angedeutet, dass ein für später im Jahr geplanter Fitness-Check der Digitalregulierung der Rahmen für eine größere Datenschutzreform sein könnte.

Der Datenomnibus wird nun zunächst weiter im EU-Parlament und im Rat diskutiert. Die nächsten Beratungen der Ratsarbeitsgruppe Vereinfachung finden an diesem Freitag statt. Dort wird das Feedback der Mitgliedstaaten auf den Positionsentwurf besprochen.

Deutschland gehört zu den Ländern, die sich hier gegen den Vorschlag der Ratspräsidentschaft und hinter die Deregulierungspläne der Kommission stellen könnten. Das deutsche Digitalministerium hatte die EU-Kommission im letzten Jahr zu ihren weitreichenden Vorschlägen ermutigt, unter anderem mit einem Positionspapier, das wir veröffentlicht haben. Darin regte Deutschland unter anderem weitreichende Einschränkungen von Betroffenenrechte an.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Unter Hochdruck will die EU Teile ihrer Digitalregulierung überarbeiten. Während der AI Act auf den letzten Metern noch um ein Verbot sexualisierter Deepfakes ergänzt werden könnte, treten beim Datenomnibus zwei wichtige EU-Institutionen auf die Bremse. Die neuesten Entwicklungen im Überblick.

Am 19. November 2025 präsentierte die Europäische Kommission den sogenannten „Digitalen Omnibus“: Mit zwei Gesetzen will die EU ihre Digitalregulierung überarbeiten und auf einen Schlag zahlreiche bestehende Gesetze ändern. Die Kommission will mit dem Paket Regeln vereinfachen, Bürokratie abbauen und so die Wettbewerbsfähigkeit Europas steigern.

Das erste dieser Gesetze, das die Datenschutzgrundverordnung (DSGVO), mehrere Datennutzungsgesetze und die Meldung von Cyber-Vorfällen betrifft, wird „Datenomnibus“ genannt. Das zweite Gesetz, welches die KI-Verordnung ändert, heißt „KI-Omnibus“. Für beide Vorhaben hat die Kommission ein hohes Tempo vorgegeben, die Änderungen sollen so schnell wie möglich beschlossen werden. Während dies beim KI-Omnibus, der unter anderem Teile der europäischen KI-Verordnung aufschieben soll, realistisch erscheint, dürften sich die Verhandlungen um den Datenomnibus deutlich länger hinziehen.

Sollen sexualisierte Deepfakes verboten werden?

Für den KI-Omnibus sind im Parlament zwei Ausschüsse verantwortlich: der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE). Daher gibt es in diesem Fall auch zwei federführende Abgeordnete, die sogenannten Berichterstatter:innen: Michael McNamara ist Teil der Fraktion der Liberalen, Arba Kokalari gehört der konservativen EVP an, zu der auch CDU/CSU gehören.

Sie haben am 4. Februar gemeinsam ihren ersten Berichtsentwurf vorgelegt. Dieser beschreibt, wie sie die KI-Verordnung im Vergleich zum Vorschlag der EU-Kommission verändern wollen. Die verantwortlichen Abgeordneten anderer Fraktionen, die sogenannten Schattenberichterstatter:innen, haben bis zum 12. Februar ihre Änderungswünsche vorgelegt. Diese sind noch nicht öffentlich.

Bekannt ist jetzt schon, dass derzeit diskutiert wird, ob die Erstellung von sexualisierten Deepfakes im Rahmen des Omnibusses verboten werden soll – und unter welchen Umständen. Nach dem Skandal um Elon Musks Chatbot Grok, mit dem Nutzer:innen unfreiwillige Nacktbilder von Frauen und Minderjährigen erstellt haben, gibt es dafür gerade viel politischen Willen, sowohl im Parlament als auch unter den Mitgliedstaaten. Wie ein solches Verbot ausgestaltet werden könnte, ist jedoch umstritten.

Bei den Verhandlungen wird auch diskutiert, wer die Verantwortung für KI-Schulungen haben soll – die Anbieter der KI-Systeme oder die Regierungen. Außerdem soll entschieden werden, ob die verschobenen Fristen für Hochrisiko-Systeme fest oder flexibel sein werden. Dass sie überhaupt verschoben werden, scheint unter den Verhandelnden niemand mehr anzufechten. Ein weiteres Thema ist die Zentralisierung der Aufsicht im KI-Büro der EU-Kommission und das KI-Training mit sensiblen Daten, um Verzerrungen zu vermeiden. Ebenfalls besprochen werden mögliche Ausnahmen im Transparenzregister für KI-Systeme.

KI-Omnibus könnte bald schon am Ziel sein

Bereits nächste Woche startet im Parlament die Verhandlung, deren Ziel ein finaler Bericht ist. Es ist vorgesehen, dass die beiden Ausschüsse am 18. März darüber abstimmen. Damit würde dann die Parlamentsposition stehen und wäre bereit für den sogenannten Trilog mit der EU-Kommission und den Mitgliedstaaten.

Letztere erarbeiten im Moment ebenfalls ihre Position im Rat der Europäischen Union. Derzeit finden die Gespräche auf Ebene der Arbeitsgruppe „Vereinfachung“ statt. Es gibt bereits zwei Entwürfe. Wenn der Text final ist, wird er an die Diplomat:innen im „Ausschuss der Ständigen Vertreter“ gegeben. Auf der höchsten Ebene ist der Rat für Allgemeine Angelegenheiten für den KI-Omnibus verantwortlich.

Das Steuer hat dabei die derzeitige Ratspräsidentschaft Zypern in der Hand. Sie hat bereits angekündigt, den KI-Omnibus mit Priorität zu behandeln. Und das nicht ohne Grund: Schließlich sollen im Omnibus die Fristen für Hochrisiko-KI-Systeme angepasst werden, die eigentlich ab dem 2. August 2026 gelten würden. Der Omnibus muss daher spätestens bis zu diesem Datum in Kraft treten.

Insgesamt scheinen sich Rat und Parlament beim KI-Omnibus bisher relativ einig zu sein. Sie tendieren in vielen Punkten dazu, zum ursprünglichen Text der KI-Verordnung zurückzugehen. Unterschiede gibt es selbstverständlich in den Details.

Institutionen warnen vor Datenomnibus

Unübersichtlicher und umstrittener ist die Lage beim Datenomnibus. Während die Zusammenlegung von Datennutzungsgesetzen oder die Vereinfachung der Meldewege bei IT-Sicherheitsvorfällen für relativ wenig Aufregung gesorgt haben, ist um die Datenschutzaspekte des Vorhabens eine heftige Debatte entbrannt.

De EU-Kommission behauptet weiter steif und fest, lediglich technische Änderungen vorgeschlagen zu haben, die das Datenschutzniveau in der EU nicht verändern würden. Inzwischen mehren sich jedoch die Stimmen, die sagen: Vorschläge wie eine erleichterte Nutzbarkeit von Daten für KI, Einschränkungen von Betroffenenrechten oder eine Änderung der Definition personenbezogener Daten würde an Grundpfeilern des Datenschutzes rütteln.

In diesen Chor hat sich vergangene Woche auch der Europäische Datenschutzausschuss (EDSA) eingereiht, in dem die nationalen Datenschutzbehörden der EU zusammenarbeiten. „Einige vorgeschlagene Änderungen geben Anlass zu erheblichen Bedenken, da sie das Schutzniveau für Einzelpersonen beeinträchtigen, Rechtsunsicherheit schaffen und die Anwendung des Datenschutzrechts erschweren können“, heißt es in einer gemeinsamen Erklärung des EDSA mit dem Europäischen Datenschutzbeauftragten Wojciech Wiewiórowski.

Ehemalige Meta-Lobbyistin verhandelt über Datenschutz

Zwar begrüße man einige Vorschläge, die zu tatsächlichen Vereinfachungen führen. Darunter falle etwa eine Anhebung des Risikoschwellenwerts, ab dem eine Datenschutzverletzung der zuständigen Datenschutzbehörde gemeldet werden muss, oder die Verlängerung der Frist für die Meldung von Datenpannen. Auch Vorschläge zu Vereinfachungen bei Cookie-Bannern begrüßen die Datenschützer:innen.

Deutlich länger ist jedoch die Liste der gravierenden Mängel, die die Datenschützer:innen ausmachen. Allen voran kritisieren die Behörden die vorgeschlagene Neudefinition personenbezogener Daten, die pseudonymisierte Daten unter Umständen von der DSGVO ausnehmen würde. Dazu heißt es von der Vorsitzenden des Europäischen Datenschutzausschusses, Anu Talus: „Wir fordern die beiden gesetzgebenden Organe jedoch nachdrücklich auf, die vorgeschlagenen Änderungen der Definition personenbezogener Daten nicht anzunehmen, da sie den Schutz personenbezogener Daten erheblich schwächen könnten.“

Was die beiden angesprochenen Organe, das Europäische Parlament und der Rat der Mitgliedstaaten, mit dem Input der Datenschutz-Expert:innen anfangen werden, ist derzeit noch ziemlich offen. Der Datenomnibus wird zwar in den legislativen Prioritäten für 2026 genannt, auf welche sich die drei EU-Institutionen Ende des Jahres einigten. Das bedeutet: Das Vorhaben soll eigentlich noch in diesem Jahr abgeschlossen werden. Eine Positionierung des Rates ist nach Auskunft von Beobachter:innen in den nächsten Monaten allerdings nicht zu erwarten.

Im Parlament stellt man sich ebenfalls auf langwierige und zähe Verhandlungen ein. Hier teilen sich auch beim Datenomnibus zwei Ausschüsse die Federführung. Während im LIBE-Ausschuss für Bürgerliche Freiheiten die Sozialdemokratin Marina Kaljurand Berichterstatterin für das Thema ist, hat im Industrieausschuss (ITRE) Aura Salla das Ruder übernommen. Die finnische Politikerin von der konservativen Europäischen Volkspartei war von 2020 bis 2023 Chef-Lobbyistin des US-Tech-Konzerns Meta in Brüssel. Mit Blick auf den Datenomnibus sagte sie im Januar auf einer Veranstaltung: „Wir müssen deregulieren, nicht nur vereinfachen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die EU-Kommission will pseudonymisierte Daten teilweise von der Datenschutzgrundverordnung ausnehmen. Jetzt äußert sich erstmals eine deutsche Datenschutzbeauftragte. Meike Kamp übt deutliche Kritik an den Plänen und glaubt, die Kommission habe ein Urteil des Europäischen Gerichtshofes missverstanden.

Die Berliner Datenschutzbeauftragte Meike Kamp hat sich kritisch zu Plänen der EU-Kommission für eine Anpassung der Datenschutzgrundverordnung positioniert. „Die EU-Kommission rüttelt an den Grundpfeilern des Datenschutzes“, sagte sie gestern auf einer Veranstaltung ihrer Behörde zum Europäischen Datenschutztag in Berlin. Kamp kritisierte insbesondere den Vorschlag, pseudonymisierte Daten unter Umständen von der Datenschutzgrundverordnung (DSGVO) auszunehmen.

Mit dem sogenannten digitalen Omnibus will die EU-Kommission Teile ihrer Digitalgesetzgebung in den Bereichen Daten, KI und IT-Sicherheit überarbeiten. Die Kommission betont, es gehe ihr bei dem Sammelgesetz nur um Vereinfachungen und eine Zusammenlegung sich überlappender Rechtsakte. Kritiker:innen wenden ein, dass es sich dabei auch um einen Rückbau von Schutzstandards und den Auftakt einer umfassenden Deregulierung handelt.

Tatsächlich enthält der Gesetzesvorschlag beides. Er fasst mehrere Datennutzungsgesetze zusammen und vereinfacht Meldewege für IT-Sicherheitsvorfälle. Gleichzeitig schiebt er aber auch zentrale Regeln der noch jungen KI-Verordnung auf. Im Datenschutzbereich sollen außerdem Auskunftsrechte von Betroffenen eingeschränkt werden und sensible personenbezogene Daten sollen leichter für das Training von KI-Modellen genutzt werden können. Ebenfalls enthalten sind neue Regeln für Cookie-Banner.

Wann gelten pseudonymisierte Daten als personenbezogen?

In der datenschutzrechtlichen Fachdebatte kristallisiert sich inzwischen vor allem ein Vorschlag als Streitpunkt heraus: Die Kommission will verändern, was überhaupt als personenbezogene Daten gilt. Genauer gesagt will sie erreichen, dass pseudonymisierte Daten unter bestimmten Umständen gar nicht mehr als personenbezogen gelten und somit nicht mehr der DSGVO unterliegen.
Pseudonymisierung bedeutet, dass Daten sich nicht mehr einer Person zuordnen lassen, ohne weitere Informationen hinzuzuziehen. In der Praxis heißt das oft: Statt mit dem Namen Namen oder der Telefonnummer einer Person werden ihre Daten mit einer Nummer versehen, die als Identifikator fungiert. Durch komplexe Verfahren kann man die Re-Identifikation erschweren, doch bislang gelten auch pseudonymisierte Daten oft als personenbezogen. Jedenfalls so lange, bis eine Rückverknüpfung gänzlich ausgeschlossen ist, denn dann gelten sie als anonymisiert.

Die EU-Kommission will nun einen relativen Personenbezug einführen. Vereinfacht gesagt heißt das: Wenn jemand bei der Verarbeitung von pseudonymisierten Daten nicht ohne Weiteres in der Lage ist, die Person dahinter zu re-identifizieren, sollen die Daten nicht mehr als personenbezogen gelten. Bei der Weitergabe pseudonymisierter Daten sollen diese nicht allein deshalb als personenbezogen gelten, weil der Empfänger möglicherweise über Mittel der Re-Identifikation verfügt.

Die Neudefinition soll es erleichtern, Daten zu nutzen und weiterzugeben. Das soll Innovationen ermöglichen. Wie eine Analyse von Nichtregierungsorganisationen kürzlich gezeigt hat, hatten vor allem große US-Tech-Konzerne Schritte in diese Richtung vehement gefordert.

Ringen um EuGH-Urteil

Meike Kamp sieht darin eine gravierende Einschränkung der Datenschutzgrundverordnung, wie sie bei der Eröffnungsrede [PDF] der Veranstaltung ihrer Behörde zu den Themen Anonymisierung und Pseudonymisierung darlegte.

Verdeutlich hat sie ihre Befürchtung am Beispiel Online-Tracking. Denn bei der Versteigerung von Werbeplätzen für zielgerichtete Werbung im Internet werden pseudonymisierte Daten an zahlreiche Firmen verschickt. „Verfügen diese Stellen nun über die Mittel, die natürlichen Personen zu identifizieren, oder gilt das nur für die eine Stelle, die die Webseite betreibt?“, so Kamp. Mit dem digitalen Omnibus sei es jedenfalls schwer zu argumentieren, dass sie von der DSGVO umfasst werden.

Schon heute tun sich Datenschutzbehörden schwer damit, die komplexen Datenflüsse im undurchsichtigen Ökosystem der Online-Werbung zu kontrollieren und Datenschutzverstöße zu ahnden. Die Databroker-Files-Recherchen von netzpolitik.org und Bayerischem Rundfunk hatten erst kürzlich erneut gezeigt, dass unter anderem Standortdaten aus der Online-Werbung bei Datenhändlern angeboten werden und sich damit leicht Personen re-identifizeren lassen – auch hochrangige Beamte der EU-Kommission. Zahlreiche zivilgesellschaftliche Organisationen hatten in einem offenen Brief die Sorge geäußert, dass die Praktiken der außer Kontrolle geratetenen Tracking-Industrie legitimiert werden könnten.

Die EU-Kommission beruft sich bei ihrem Vorschlag auch auf jüngste Rechtsprechung des Europäischen Gerichtshofes (EuGH) zum Thema Pseudonymisierung. Kamp kritisierte, dass dies auf einer Fehlinterpretation oder selektiven Lesart eines Urteils beruhe. Tatsächlich habe das Gericht klargestellt, dass pseudonymisierte Daten nicht immer personenbezogen seien, so Kamp. Wohl aber führe laut EuGH bereits die potenzielle Re-Identifizierbarkeit bei einem künftigen Empfänger dazu, dass die Daten als personenbezogen gelten müssen.

Auch Alexander Roßnagel übt Kritik

Kamps Einlassung ist die erste klare Äußerung einer deutschen Datenschutzbeauftragten zu dem Streitthema. Dem Vernehmen nach teilen nicht alle ihre Kolleg:innen ihre kritische Auffassung zur Pseudonymisierungsfrage. Eine offizielle Positionierung der Datenschutzkonferenz, deren Vorsitz Meike Kamp bei der Veranstaltung gestern turnusgemäß an ihren baden-württembergischen Kollegen Tobias Keber abgegeben hat, wird deshalb mit Spannung erwartet. Auch der Europäische Datenschutzausschuss hat sich noch nicht zum digitalen Omnibus positioniert.

Auf einer anderen Veranstaltung am gestrigen Mittwoch äußerte jedoch bereits einer von Kamps Kollegen ebenfalls deutliche Kritik: Der hessische Datenschutzbeauftragte Alexander Roßnagel. Er bezeichnete den Pseudonymisierungsvorschlag der Kommission als zu undifferenziert, sodass die Gefahr bestehe, dass das Schutzniveau der DSGVO deutlich sinke. Roßnagel hatte vor seiner Amtsübernahme lange eine Professur für Datenschutzrecht inne und ist einer der anerkanntesten Datenschutzjuristen des Landes.

Während der Datenschutzaktivist Max Schrems auf der Veranstaltung der Europäischen Akademie für Datenschutz und Informationsfreiheit ebenfalls heftige Kritik äußerte, verteidigte Renate Nikolay die Vorschläge. Als stellvertretende Generaldirektorin der EU-Generaldirektion für Kommunikationsnetze, Inhalte und Technologien trägt sie maßgebliche Verantwortung für den digitalen Omnibus.

Nikolay beharrte darauf, dass die Kommission beim Thema Pseudonymisierung lediglich die Rechtsprechung des EuGH umsetze. Der Vorschlag senke das Schutzniveau der Datenschutzgrundverordnung nicht ab. Zudem sei nicht zu befürchten, dass Datenhändler sich auf den relativen Personenbezug berufen und sich somit der Aufsicht entziehen könnten.

Kamp: Lieber Pseudonymisierung voranbringen, als Begriffe aufzuweichen

Grundsätzlich zeigte sich die EU-Beamtin jedoch offen für Nachbesserungen am digitalen Omnibus. Die Kommission habe einen Aufschlag gemacht und es sei klar, dass dieser verbessert werden könne. Derzeit beraten das EU-Parlament und der Rat der Mitgliedstaaten über ihre Positionen zu dem Gesetzespaket. Es wird erwartet, dass die Beratungen aufgrund des hohen Drucks aus der Wirtschaft schnell vorangehen.

Die Botschaft der Berliner Datenschutzbeauftragten für die Verhandlungen ist jedenfalls klar: Der Vorschlag der EU-Kommission zur Pseudonymisierung ist „der falsche Weg“. Stattdessen sprach Kamp sich für eine Stärkung von Verfahren der Pseudonymisierung und Anonymisierung aus.

Wie das konkret aussehen, zeigte die Veranstaltung ihrer Behörde zu Anonymisierung und Pseudonymisierung. Dort stellten Forscher:innen und Datenschützer:innen Projekte aus der Praxis vor. So etwa einen Ansatz zur Anonymisierung von Daten beim vernetzen Fahren oder ein Projekt, das maschinelles Lernen mit anonymisierten Gesundheitsdaten ermöglicht. Kamps Fazit: „Statt Begrifflichkeiten aufzuweichen, sollten wir solide Pseudonymisierung wagen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet!

Wir waren live, das erste Mal seit fünf Jahren: Auf der Bühne des 39C3-Sendezentrums habe ich mit meinen Kolleg:innen Esther, Markus und Chris geplaudert. Wie war ihr Chaos Communication Congress bislang? Was hat in den letzten Wochen super geklappt und was weniger gut? Und vor allem: Wie liefen ihre Lieblingsrecherchen des Jahres ab?

Chris erzählt vom mSpy-Leak, für den wir 3,6 Millionen Nachrichten an den Support einer Überwachungs-App ausgewertet haben. Markus spricht über eine außergewöhnliche Crowd-Recherche zwischen Berlin und Belgrad. Und Esther berichtet von den Mühen der Berichterstattung über Verwaltungsdigitalisierung.

Außerdem beantworten wir Hörer:innenfragen: Welche Recherchen sind so richtig schief gelaufen? Wie viele Admins arbeiten bei netzpolitik.org? Und welche Drähte haben wir ins Parlament?

---

In dieser Folge: Chris Köver, Esther Menhard, Ingo Dachwitz und Markus Reuter.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

---

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

---

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

---

Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.

---

Links und Infos

Blattkritik

• Der Congress-Talk von Chris darüber, wie Ausländerbehörden Handys durchsuchen
• Esthers Artikel zum Datenatlas der Bundesregierung
• Der Beitrag von Markus: „netzpolitik.org wirkt“
• Ingos und Sebastians Artikel zu möglichen Datenkäufen durch deutsche Sicherheitsbehörden

Hausmitteilungen

• Jahresrückblick: Unser Jahr in Zahlen
• Ausgezeichnet: Daniel Leisegang und Anna Biselli als drittbeste „Chefredaktion des Jahres“
• Unsere Spendenkampagne zum Jahresende: Videos, Merch und mehr

Aus dem Maschinenraum/Thema des Monats

• Chris‘ und Martins Recherche zu einer Stalking-App: Der mSpy-Leak
• Markus‘ Recherche zu einer neuartigen Bedrohung für die Versammlungsfreiheit: Was wir über die mysteriöse Waffe wissen, die in Belgrad gegen friedliche Proteste eingesetzt wurde
• Esthers Recherche zur Planlosigkeit bei digitaler Souveränität: Keine Strategie für Umstieg auf Windows 11

Kapitel

00:00:00 Begrüßung
00:03:32 Blattkritik
00:07:44 Hausmitteilungen
00:09:18 Thema des Jahres
00:37:57 Postfach
00:44:52 Credits

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.

Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.

Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.

Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.

Koloniales Echo

Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.

Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.

Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.

In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.

Radikale Verweigerung

Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.

Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.

Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.

2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.

Der Kampf geht weiter

Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.

Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.

Diese Recherche entstand in Kooperation mit folgenden Medien: Le Monde (Frankreich), L’Echo (Belgien), Bayerischer Rundfunk. Sie ist Teil der „Databroker Files“.

---

Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.

Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.

So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.

Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.

Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.

Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen

Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.

Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.

Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.

Zuvor hat das Team etwa über Standortdaten aus Belgien und aus Deutschland berichtet. Andere Medien enthüllten auf eigene Faust ähnliche Missstände in den Niederlanden, Norwegen, Schweden, der Schweiz, Irland und Italien.

All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.

Besuche in der Deutschen Botschaft und beim Polo

Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.

Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.

Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.

Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.

Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.

Das Problem: Sensibilisierung reicht nicht. Um dem Standort-Tracking durch die Online-Werbeindustrie zu entgehen, müssen Nutzer*innen intensiv und lückenlos digitale Selbstverteidigung anwenden, bis hin zum Verzicht auf populäre Online-Dienste. Die vielfältigen Wege, über die Daten abfließen können, sind kaum zu überblicken. Nicht einmal auf Datenschutz-Labels in App-Marktplätzen kann man sich verlassen, wie unsere Recherchen gezeigt haben.

Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.

Eine Gefahr für Europa

Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.

Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.

Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht ​​​​​​​nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.

Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP.​​​​​​​ Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.

EU könnte Datenschutz noch weiter abschwächen

Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“

Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.

Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.

---

Hier liest du, wie du deinen Standort vor Databrokern schützen kannst. Und hier sind alle unsere Texte zu den Databroker Files.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.

Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.

Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.

Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.

„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“

netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?

Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.

In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.

netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?

Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.

Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.

netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?

Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.

Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.

„Es gibt im Omnibus auch Aspekte, die ich begrüße“

netzpolitik.org: Mit ihrem „Digitalen Omnibus“ fährt die EU-Kommission aktuell in die andere Richtung. Sie schlägt erstmals weitreichende Änderungen an der DSGVO vor. Verbraucher- und Datenschutzorganisationen sowie Teile des EU-Parlaments sprechen von einem Angriff auf die Grundlagen des europäischen Datenschutzes.

Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.

Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.

netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?

Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.

Was plant die EU-Kommission bei KI und Datenschutz?

„Datenschutz und KI gehen ganz schlecht zusammen“

netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.

Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.

netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?

Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.

Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.

Wo eine Reform ansetzen sollte

netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.

Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.

netzpolitik.org: Was fehlt Ihnen?

Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?

Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.

Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.

netzpolitik.org: Sondern?

Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.

Datenhändler verkaufen metergenaue Standortdaten von EU-Personal

Wie man das Problem der Databroker lösen könnte

netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?

Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.

Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.

Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.

netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.

Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.

Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.

„Eine Verpflichtung wäre eine großer Schritt“

netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?

Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.

Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.

Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.

„Hundertprozentige Sicherheit gibt es nicht“

netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?

Das gebrochene Versprechen

Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.

Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.

Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.

netzpolitik.org: Das war ja mal anders.

Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.

netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?

Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.

Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.

„Für eine patientenztentrierte ePA ist es noch nicht zu spät“

netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?

Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.

Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.

Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.

Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.

„Das würde meine Behörde und mich sehr schmerzen“

netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.

Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.

Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.

netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.

Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.

Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?

netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.

Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.

Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.

Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.

netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?

Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.

netzpolitik.org: Ihre Länderkolleg:innen rechnen mit deutlich höheren Zahlen.

Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Zehn Jahre nach den Ermittlungen wegen Landesverrats veranstaltet netzpolitik.org zusammen mit der Digitalen Gesellschaft einen Netzpolitischen Abend. Am 4. November werfen drei Vorträge einen kritischen Blick auf die globale Lage der Pressefreiheit. Dabeisein geht in Berlin oder im Stream.

Vor zehn Jahren wurde netzpolitik.org das Ziel eines Angriffs auf die Pressefreiheit. Wegen der Veröffentlichung geheimer Dokumente zettelte der damalige Chef des Verfassungsschutzes ein Ermittlungsverfahren wegen Landesverrats an. Der Generalbundesanwalt ermittelte und die Redaktion musste Überwachungsmaßnahmen fürchten. Nach einer großen Welle der Solidarität wurden die Ermittlungen eingestellt und netzpolitik.org ging gestärkt aus der „Affäre Landesverrat“ hervor.

Das denkwürdige Jubiläum nehmen wir zum Anlass für einen gemeinsamen Netzpolitischen Abend mit der Digitalen Gesellschaft zum Thema Pressefreiheit. Unter der Moderation von Anna Biselli, Co-Chefredakteurin bei netzpolitik.org, tragen fünf Journalist*innen und Menschenrechtsverteidiger*innen ihre Einschätzung zur weltweiten Lage der freien Presse vor. Der 151. Netzpolitische Abend der Digitalen Gesellschaft findet am 4. November in der c-base Berlin oder im Stream statt. Der Eintritt ist kostenlos und alle Interessierten sind herzlich eingeladen!

Das Programm

Alena Struzh und Katharina Viktoria Weiß, Reporter ohne Grenzen: Pressefreiheit weltweit

Von autoritären Regimen und Überwachung: Die Journalistinnen teilen eine Bestandsaufnahme der weltweiten Pressefreiheit und ihrer Herausforderungen.

Philipp Frisch und Lisa-Marie Maier, Human Rights Watch: Pressefreiheit in Afghanistan

Dokumentierte Gewalt und Zensur: Ein Vortrag über die zunehmenden Bedrohungen für afghanische Journalist*innen, darunter auch Abschiebungen.

Joschka Selinger, Gesellschaft für Freiheitsrechte: Pressefreiheit in Deutschland

Kein Wohlfühlklima: Joschka Selinger berichtet über den steigenden Druck auf die deutsche, freie Presse anhand von aktuellen Fällen.

Die c-base befindet sich in der Rungestraße 20, 10179 Berlin. Einlass ist ab 19:15 Uhr, los gehts um 20 Uhr. Für alle, die nicht vor Ort dabei sein können, gibt es einen Live-Stream ab 20:15 auf c-base.org. Der Eintritt ist frei.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In Berlin trafen sich vergangene Woche Arbeitskräfte zur Vernetzung, die für den Erfolg von KI-Anwendungen und Sozialen Medien unverzichtbar sind. Sie streiten für bessere Arbeitsbedingungen und fordern Politik und Gewerkschaften auf, sich endlich ihrer Sache anzuschließen.

Sie wollen nicht länger unsichtbar bleiben: In Berlin haben sich vergangene Woche Datenarbeiter:innen und Content-Moderator:innen aus den USA, Kenia, Nigeria, Deutschland, Venezuela und Spanien für eine zweitägige Versammlung getroffen. Die Arbeiter:innen sind Fachleute für Daten-Aufbereitung und Online-Sicherheit. Ihre Arbeit spielt für den Erfolg von Künstlicher Intelligenz und Sozialen Medien eine unverzichtbare Rolle, trotzdem weiß kaum jemand von ihnen.

Beschäftigt sind die Arbeiter:innen häufig über Outsourcing-Firmen. Sie erhalten oft mickrige Gehälter. Am Arbeitsplatz werden sie konstant überwacht und sind permanentem Erfolgsdruck ausgesetzt. Die Tech-Konzerne, deren Probleme sie lösen, profitieren von ihrer Ausbeutung und nehmen in Kauf, dass sie alleingelassen werden, auch wenn sie potenziell traumatisierende Tätigkeiten wie die Moderation gewalttätiger Inhalte übernehmen müssen.

Das wollen die Arbeiter:innen nicht länger hinnehmen. In Berlin tauschten sie Erfahrungen aus, vernetzten sich und schmiedeten Pläne.

Große Lohnunterschiede

Sprechen dürfen die Arbeiter:innen über ihre Tätigkeit eigentlich nicht. Sie mussten Knebelverträge unterschreiben, um die Jobs zu erhalten, die ihr Überleben sichern. Deshalb bleiben alle, deren Statements wir wiedergeben, in diesem Artikel anonym.

Etwa die Person, die von den jüngsten Maßnahmen des Social-Media-Konzerns Tiktok berichtet, der seine Arbeiter:innen in Europa feuere, um woanders günstigere Arbeitskräfte anstellen zu können. So etwa in Casablanca, wo ein neues Moderationszentrum geplant werde. In anderen Fällen würden die Moderator:innen durch KI-Systeme ersetzt, die sie selbst trainieren mussten.

Eine weitere Person berichtet von den unterschiedlichen Gehältern, die global für die gleiche Arbeit gezahlt werden. Das sei auch innerhalb Europas der Fall: „Der Unterschied zwischen Ländern wie Spanien und den nordischen Ländern ist enorm“, sagt die Person, die in Barcelona bei einem Outsourcing-Unternehmen arbeitet. Dort könnten sich Datenarbeiter:innen oft kaum noch die Miete leisten, während Arbeiter:innen in Skandinavien sich von ihrem Gehalt eine eigene Wohnung kaufen könnten.

Kritik an Gewerkschaften

Organisiert wurde das Treffen vom Forschungszentrum Weizenbaum-Institut und der Nichtregierungsorganisation superrr lab. „Die zwei Tage waren für uns etwas Besonderes, weil sie von transnationaler Solidarität geprägt waren“, schreiben Milagros Miceli und Julia Kloiber im Anschluss. „Die Arbeiter*innen schließen sich über Landesgrenzen hinweg zusammen, um den tückischen Taktiken von Big Tech entgegenzutreten, die darauf abzielen, Arbeiter:innen gegeneinander auszuspielen und sich ihrer rechtlichen Verantwortung zu entziehen.“

In den nächsten Jahren gehe es darum, etablierte Gewerkschaften und politische Vertreter:innen zu gewinnen, „damit sie diesen Kampf endlich unterstützen“, so die beiden Organisatorinnen. Dass das notwendig ist, zeigt auch Kritik der Arbeiter:innen vor Ort.

„Weil die Gewerkschaften sich nicht an unseren neuen Sektor angepasst haben, gibt es nichts, was sie für uns tun können, wofür wir nicht als Betriebsrat selbst kämpfen könnten“, sagte eine Person. Zu häufig würden Gewerkschaften Beschäftigte nur als Zahlen sehen. So sei es in der Vergangenheit vorgekommen, dass die deutsche Gewerkschaft ver.di Moderator:innen als Callcenter-Agenten dargestellt habe. „Das ist falsch und verschafft uns nicht die Anerkennung, die wir verdienen.“

Gemeinsamer Kampf für bessere Bedingungen

Anerkennung für ihre Leistungen ist schon lange ein großes Thema für die Arbeitskräfte, die oft lapidar als „Klickarbeiter:innen“ bezeichnet werden. Tatsächlich aber braucht es für viele ihrer Tätigkeiten intensives Training – ohne ihre Arbeit würden heute weder KI-Anwendungen noch Soziale Medien funktionieren. Zu ihrer Vision der kollektiven Emanzipation gehöre es, „unsere Arbeit als qualifizierte Arbeit anzuerkennen“, sagt deshalb eine:r der Arbeiter:innen. Außerdem müsse man Druck auf Arbeitgeber ausüben, damit sie betroffenen Arbeitnehmern angemessene psychologische Unterstützung bieten und diese auch bezahlen.

„Was wir brauchen, ist eine solide, transnationale und branchenübergreifende Vernetzung der Arbeitnehmer:innen in Form einer neuen repräsentativen Gewerkschaft“, sagte eine andere Person vor Ort. Daran wollen gemeinsam mit den Arbeiter:innen auch Kloiber und Miceli in den kommenden Jahren arbeiten. Außerdem wollen sie gemeinsam Anforderungen an ein maßgeschneidertes Mental-Health-Programm entwickeln und Wissenstransfer rund um Arbeitskämpfe verbessern.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Maximilian von Grafenstein ist Professor für „Digitale Selbstbestimmung“ und hat mit seinem Team den ersten Einwilligungs-Agenten Deutschlands entwickelt. Das Tool namens „Consenter“ soll Nutzer:innen die Entscheidungsmacht im Datenschutz zurückgeben. In der neuen Folge versucht er, uns von dem Dienst zu überzeugen.

In der neuen Folge „On The Record“ spreche ich mit Maximilian von Grafenstein. Er ist Jurist, Historiker, Professor für „Digitale Selbstbestimmung“ an der Universität der Künste in Berlin und Teil des Einstein Center for Digital Future. Zusammen mit einem Team hat er in jahrelanger Forschung ein Tool entwickelt, von dem er sagt, dass es die Cookie-Krise lösen kann.

Denn hinter den nervigen Bannern auf Online-Websites steht ein Grundproblem der Datenschutzgrundverordnung: Das Instrument der informierten Einwilligung soll Nutzer:innen eigentlich informationelle Selbstbestimmung ermöglichen, doch es ist zur Farce verkommen. Die Browser-Erweiterung „Consenter“ soll das ändern. Sie ist ein sogenannter Einwilligungsdienst, der Nutzer:innen zu ihrem Recht verhelfen soll. Einfach, übersichtlich und gut informiert sollen Menschen damit entscheiden können, wem sie im Netz für welche Zwecke ihre Einwilligung geben – und wem nicht.

Ich bin skeptisch, dass das funktionieren kann. Aber ich bin auch neugierig, dass da jemand die Datenschutzgrundverordnung ernst nimmt und dabei auch noch verspricht, dass davon nicht nur Nutzer:innen, sondern auch Unternehmen profitieren würden. Im Podcast stellt Maximilian von Grafenstein „Consenter“ vor, wir diskutieren aber auch über Grundfragen der Datenschutzpolitik.

Übrigens: Das „Consenter“-Team sucht Website-Betreiber:innen – idealerweise mit einer größeren Nutzerschaft – die sich an einem Beta-Test des Tools beteiligen. Interessierte können sich per E-Mail an Maximilian von Gafenstein wenden: max.grafenstein@law-innovation.tech

---

In dieser Folge: Ingo Dachwitz und Maximilian von Grafenstein
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

---

Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.

---

Bei unserem Podcast „Off/On“ wechseln sich zwei Formate ab: Bei „Off The Record“ führen wir euch in den Maschinenraum von netzpolitik.org und erzählen Hintergründe zu unserer Arbeit. Bei „On The Record“ interviewen wir Menschen, die unsere digitale Gesellschaft prägen.

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

---

Wie immer freuen wir uns über Kritik, Lob und Ideen, entweder hier in den Kommentaren oder per Mail an podcast@netzpolitik.org.

---

Links und Infos

• Projektwebsite des Einwilligungsdienstes „Consenter“
• Regeln der Datenschutzgrundverordnung zur Einwilligung
• Studie „How effectively do consent notices inform users about the risks to their fundamental rights?“ von Paul Grassl, Nina Gerber und Maximilian Grafenstein
• Die Databroker Files von netzpolitik.org und Bayerischem Rundfunk
• Recherchen zu Abzocke bei Einwilligungen im Handy-Shop und in der Sparkasse
• Recherche zu manipulativem Design bei Cookie-Bannern
• Die Geschichte der gescheiterten e-Privacy-Verordnung
• Die Geschichte des gescheiterten Do-Not-Track-Standards
• Das TDDDG: Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei digitalen Diensten
• Die Einwilligungsverwaltungsverordnung des Bundesministeriums für Verkehr und Digitales
• Infoseite der Bundesdatenschutzbeauftragten zur Akkreditierung von Diensten zur Einwilligungsverwaltung
• Guidelines für eine nutzerfreundliche Cookie-Banner-Gestaltung der Bundesregierung
• Vorgaben der französischen Datenschutzbehörde CNIL zur Gestaltung von Cookie-Bannern
• Die Cookie-Pledge-Initiative der EU
• Belgisches Verfahren zum TCF-Tracking
• Artikel über Druck auf den Datenschutz in Deutschland und der EU
• Augmented-Reality-App „Mauerschau“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Vor einem Jahr erhielten wir einen Datensatz mit Milliarden Handy-Standortdaten aus Deutschland, vermittelt über einen Berliner Datenmarktplatz. Politiker*innen warnten vor einer Gefahr für die nationale Sicherheit. Neue Recherchen zeigen, wie der Marktplatz dem Geschäft weiter eine Plattform bietet.

Exakte Standortdaten von Millionen Handys weltweit lassen sich einfach online kaufen. Datenhändler verschleudern sie sogar als Gratis-Kostprobe. Bereits diese kostenlosen Datensätze sind so umfangreich, dass sich damit Massenüberwachung betreiben lässt. Das haben unsere bisherigen Recherchen zu den Databroker Files mit dem Bayerischen Rundfunk gezeigt. Aus den Daten lassen sich teils detaillierte Bewegungsprofile ablesen, sogar von Soldat*innen oder Politiker*innen.

Wer Kontakt zu Händlern, also Databrokern sucht, wird auf dem Online-Marktplatz eines Berliner Unternehmens fündig: Datarade.ai. Der Marktplatz verkauft die Daten zwar nicht selbst, verkuppelt aber Anbieter und Interessierte. Das funktioniert ähnlich wie Amazon, nur eben für Datensätze. Für erfolgreiche Deals streicht der Marktplatz eine Provision ein.

Vermittelt über Datarade haben nicht nur wir sensible Handy-Standortdaten von Databrokern erhalten, sondern auch Journalist*innen aus den Niederlanden, der Schweiz und Belgien, und zwar unabhängig voneinander. Das hat im Jahr 2023 geklappt, im Jahr 2024 – und trotz der kritischen Berichterstattung in zahlreichen Medien war es auch noch 2025 möglich.

Das Problem: Der Handel mit derart detaillierten Handy-Standortdaten ist nach Einschätzung von Fachleuten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Zudem haben Bundestagsabgeordnete wie Konstantin von Notz (Grüne) oder Roderich Kiesewetter (CDU) bereits vergangenes Jahr vor einer Gefahr für die nationale Sicherheit gewarnt.

Datarade wollte „alle zumutbaren Anstrengungen“ unternehmen

Und was tut Datarade? Noch vor gut einem Jahr hatte uns der Berliner Marktplatz mitgeteilt, man nehme die von unseren Recherchen ausgelösten, öffentlichen Bedenken „sehr ernst“. Die Angebote auf der Plattform prüfe das Unternehmen zwar nicht einzeln. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten.“ Dennoch unternehme Datarade „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.

Ein Jahr später haben wir uns nochmal auf dem Marktplatz umgeschaut. Unsere neue Recherche weckt Zweifel daran, dass Datarade „alle zumutbaren Anstrengungen“ unternimmt. So preiste Datarade in einem eigenen, redaktionellen Beitrag selbst Handy-Standortdaten an, schrieb über die daraus ablesbaren, sehr genauen Bewegungsmuster – und empfahl passende Händler. Als wir per Presseanfrage mehr zu der Seite erfahren wollten, wurde sie offline genommen.

Bereits 2024 warnte die damals kurz vor ihrem Amtsantritt stehende Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, vor einer Regulierungslücke. Auch die zuständige Berliner Datenschutzbeauftragte sah ein Problem: Solange ein Marktplatz die Daten nicht selbst verarbeitet, sondern nur Kontakte zwischen Käufern und Verkäufern herstellt, habe sie keine Handhabe. Verantwortlich nach der DSGVO sei nur jemand, der selbst auch Daten verarbeitet.

Unter Datenschützer*innen gibt es in dieser Frage keine Einigkeit. Das Netzwerk Datenschutzexpertise etwa kam in einem Gutachten aus dem Frühjahr 2025 zu dem Schluss, dass die DSGVO hier sehr wohl anwendbar sei. Um verantwortlich zu sein, müsse ein Datenmarktplatz nicht notwendigerweise selbst in Besitz der Daten sein. Oft sei der Handel mit personenbezogenen Daten sogar strafbar, weshalb nicht nur Datenschutzbehörden, sondern auch Staatsanwaltschaften handeln müssten.

Passiert ist so etwas bisher nicht. Auf Datarade preisen Händler weiterhin ihre Handy-Standortdaten an. In Datarade selbst steckt sogar Geld vom deutschen Staat, und zwar mehr als bisher angenommen. Dazu später mehr.

Auf Anfrage entfernte Datarade Angebote für Handystandortdaten

Nach unseren Veröffentlichungen im Jahr 2024 hatte Datarade ein Angebot für Handystandortdaten des US-Datenhändler Datastream Group offline genommen. Hierzu schrieb das Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“

Davon unberührt waren jedoch ähnliche Angebote von anderen Datenhändlern. Auch nach Veröffentlichung der Recherchen präsentierte Datarade Angebote von ähnlichen Datensätzen. Suchte man etwa Anfang September dieses Jahres auf Datarade nach Angeboten mit Geo-Koordinaten und mobilen Werbe-IDs, erhielt man rund 50 Ergebnisse. Grenzte man die Suche weiter ein auf Daten aus Deutschland, waren es noch 15 Treffer.

Über ein Online-Formular können Nutzer*innen verdächtige Inhalte melden. Genau das haben wir ausprobiert. Für eine solche Meldung müssen Nutzer*innen Namen und E-Mail-Adresse angeben. Um das Ergebnis nicht zu verfälschen, hat ein Kollege ohne erkennbare Verbindung zu netzpolitik.org diese Meldungen vorgenommen. Es handelte sich um insgesamt fünf Angebote von Handystandortdaten aus Deutschland oder der EU. Das Ergebnis: Die Angebote waren weniger als zwei Wochen nach Eingang der Meldungen offline.

Auf Presseanfrage teilt Datarade mit: „Die Produkt-Listungen wurden vorsorglich offline genommen, um den Hinweisen nachzugehen.“ Man gebe den Anbietern nun die Möglichkeit, Stellung zu beziehen.

So preist Datarade selbst Handy-Standortdaten an

Hatte Datarade vor unseren Meldungen wirklich keine Kenntnis über diese Angebote? Zumindest einen Überblick dürfte Datarade gehabt haben. Es gab nämlich die bereits erwähnte von Datarade selbst bereitgestellte Infoseite mit dem Titel „Was sind Handy-Standortdaten“ (im Original: „What is Mobile Location Data?“), die nach unserer Presseanfrage offline genommen wurde.

Auf dieser Seite beschrieb ein Datarade-Mitarbeiter im Detail, wie solche Datensätze aufgebaut sind: mit GPS-Koordinaten und individueller Werbe-ID, der sogenannten MAID („mobile advertising ID“). Vorschaufenster auf der Seite präsentieren mehrere passende Angebote von Datenhändlern, etwa als „Ausgewählte Datensets“. Anhand kleiner Flaggen-Emojis in den Angeboten ließ sich ablesen, woher die Daten kommen, auch mehrere Deutschland-Flaggen waren zu sehen.

Übersetzt aus dem Englischen stand auf der Infoseite, viele Datensätze böten eine hohe GPS-Genauigkeit, „wodurch sichergestellt wird, dass die von Ihnen erhaltenen Daten den realen Standorten und Bewegungsmustern sehr genau entsprechen“. Einige Datensätze würden sogar eine Präzision von unter 19 Metern erreichen, „was besonders nützlich sein kann, wenn Sie sehr detaillierte Einblicke benötigen“.

An einer anderen Stelle der Infoseite hieß es: „Manche Menschen fühlen sich möglicherweise unwohl dabei, wenn ihre Standortdaten gesammelt und für kommerzielle Zwecke verwendet werden.“ Das ist korrekt, wie die Reaktionen auf unsere Recherchen zeigen. Eine Betroffene sagte zum Beispiel im Gespräch mit netzpolitik.org:

Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist.

Und der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte 2024 mit Blick auf den Handel mit Handy-Standortdaten: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden.“ Dass etwas passieren müsse, stehe für ihn völlig außer Frage. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“

Warum Handel mit Standortdaten fast immer DSGVO-widrig ist

Auf potenzielle Bedenken beim Handel von Handy-Standortdaten ging die Datarade-Infoseite selbst ein. Dort hieß es auf Englisch:

Es gibt mehrere verbreitete Missverständnisse über mobile Standortdaten, darunter die Annahme, dass sie immer genau seien und dass man damit Personen ohne deren Wissen oder Zustimmung verfolgen könne. In Wirklichkeit kann die Genauigkeit mobiler Standortdaten je nach Qualität der Datenquelle und der verwendeten Technologie variieren. Darüber hinaus ist das Sammeln und Nutzen von Standortdaten ohne Zustimmung sowohl illegal als auch unethisch.

Drei Aspekte an diesem Zitat verdienen besondere Aufmerksamkeit: Es ist erstens korrekt, dass Handy-Standortdaten nicht immer genau sind. Unsere Recherchen haben gezeigt, dass Händler auch ungenaue Standortdaten verbreiten.

Es ist zweitens allerdings kein „Missverständnis“, dass sich mit diesen Daten „Personen ohne deren Wissen oder Zustimmung verfolgen“ lassen. Gemeinsam mit unseren Recherche-Partnern konnten wir in mehreren Fällen sogar Angehörige von Geheimdiensten und Regierungen vom Arbeitsplatz bis hin zu ihren Privatwohnungen tracken. Die Kolleg*innen aus Norwegen konnten sogar einen verdutzten Grindr-Nutzer zuhause besuchen, der nicht geoutet werden wollte.

Mehrere Betroffene sagten uns im Gespräch, ihnen sei nicht bewusst, einer solchen Art von Tracking zugestimmt zu haben. Zum Beispiel Hedi aus Bayern, die sagte:

Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.

Drittens ist der Handel mit Standortdaten nach Ansicht von Datenschutzbehörden und anderen Fachleuten oftmals selbst mit Einwilligung nicht von der DSGVO gedeckt. So werden die Daten zum einen oft angeblich nur für Werbezwecke erhoben; der Handel stellt also eine verbotene Änderung des Verarbeitungszwecks dar. Zum anderen fehlt es an Transparenz, denn Menschen müssten bei der Einwilligung umfassend informiert werden, an wen Händler Daten weitergeben. Deshalb sind die Einwilligungen oft unwirksam.

Datarade – geschickte Geschäfte im Graubereich

Hinzu kommt, dass sich aus Standortdaten oft sensible Informationen ableiten lassen, zum Beispiel über Besuche in spezialisierten Kliniken, bei Parteien und Gewerkschaften oder in religiösen Gebäuden. Solche Informationen sind durch die DSGVO besonders geschützt.

Die Beobachtungen auf dem Marktplatz Datarade werfen Fragen auf. Wieso hat die Plattform auf einer selbst verfassten Infoseite Angebote mit GPS-Daten angepriesen, die realen „Bewegungsmustern sehr genau entsprechen“ – nahm solche Angebote allerdings nach der Meldung durch einen Nutzer wieder offline?

Wir haben Datarade per Presseanfrage auf die Infoseite angesprochen. Wenig später war sie offline. „Wir nehmen Ihren Hinweis zum Anlass, die Kategorie-Seite redaktionell zu überprüfen und vorsorglich offline zu nehmen“, teilt das Unternehmen mit.

Diese Anstrengungen unternimmt Datarade nach eigenen Angaben

Datarade legt Wert darauf, zu betonen, selbst kein Datenanbieter zu sein, „sondern ein Verzeichnis von Datenanbietern und deren Produktkatalogen“. Weiter schreibt die Pressestelle auf unsere Fragen: „Datarade verurteilt jedweden rechtswidrigen Handel mit Daten und setzt sich für einen rechtskonformen Austausch von Daten ein.“

Demnach dürften sich auf Datarade nur registrierte Unternehmen anmelden. Anbieter würden sich vertraglich dazu verpflichten, nur rechtskonforme „Inhalte auf Datarade zu veröffentlichen“. Sie würden „angehalten“, ihre Datenschutz-Richtlinien zu verlinken und die Konformität mit Datenschutzbestimmungen zu bestätigen. Auf jeder Produktseite gebe es einen Link zum Melden von Inhalten; den Meldungen gehe man dem Digitale-Dienste-Gesetz entsprechend nach.

Wir wollten wissen, in welchem Ausmaß Datarade am mutmaßlich illegalen Geschäft mit Handy-Standortdaten mitverdient. Genauer gesagt: Wie viel Provision Datarade in den letzten drei Jahren durch über den Marktplatz vermittelte Deals mit Handy-Standortdaten erhalten hat. Diese Frage hat uns das Unternehmen nicht beantwortet. Stattdessen verwies die Pressestelle auf den allgemein gehaltenen Jahresabschluss, nach dem wir nicht gefragt hatten.

Zum Zeitpunkt der Veröffentlichung dieser Recherche gibt es auf Datarade noch immer mehrere Angebote für Handy-Standortdaten, die mit individuellen Werbe-IDs verknüpft sind. Sie lassen sich kinderleicht über die Suchfunktion auf der Plattform finden. Damit Datarade sie offline nimmt, müsste sie wohl erst jemand von außerhalb aktiv melden – und den Marktplatz regelmäßig auf neue Angebote prüfen.

Wir erinnern uns: Datarade unternimmt nach eigener Aussage „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.

So will Datarade neue Händler auf den Marktplatz locken

Im Zuge unserer Recherchen hatten wir uns auch selbst als potenzieller Anbieter für Ortsdaten bei Datarade registriert. Dafür haben wir eine E-Mail-Adresse mit Pseudonym genutzt – und nichts weiter unternommen. Seitdem erhalten wir regelmäßig E-Mails von Datarade. Daraus lässt sich ableiten, welche Mühen die Plattform unternimmt, um aktiv neue Datenhändler für sich zu gewinnen.

Mehrfach versuchte Datarade etwa, ein persönliches Gespräch mit uns – dem vermeintlich neuen Händler – zu vereinbaren. „Lass mich wissen, wenn du Daten zum Verkauf hast, dann können wir darüber nachdenken, sie auf den größten Datenmarktplätzen zu monetarisieren“, hieß es auf Englisch.

Es folgten weitere E-Mails von Datarade. Darunter eine, die versuchte, uns mit der Aussicht auf Umsatz zu locken. Demnach sollten wir lernen, wie ein anderer Anbieter von Standortdaten „Kunden in neuen Märkten erreicht hat“. Das Marktvolumen, also der Umsatz aller Akteur*innen am Markt, liege demnach bei 93 Millionen Euro.

Auch Tutorials erreichten uns. Sie handelten davon, wie wir unser Angebot für Datarade optimieren können. Demnach sollten wir unseren Produktkatalog per ChatGPT ausformulieren lassen. Einen passenden Prompt lieferte die Plattform gleich mit. Auf unserem Anbieterprofil sollte der Hinweis auf DSGVO-Compliance nicht fehlen, riet ein anderes Tutorial.

In den Datenmarktplatz floss mehr Steuergeld als bisher angenommen

Bereits 2024 konnten wir berichten, dass in Datarade auch Steuergeld steckt. Inzwischen wissen wir: Es ist noch mehr Geld als bisher bekannt.

Zunächst hatte der Datenmarktplatz im Jahr 2019 ein Investment in Höhe von einer Million Euro aus dem „High-Tech Gründerfonds“ (HTGF) erhalten. Das ist ein zentrales Instrument der deutschen Start-up-Förderung. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds stammt vom Bundeswirtschaftsministerium, 170 Millionen Euro.

Darüber hinaus schoss der HTGF allerdings vier Jahre später weitere knapp 500.000 Euro in das Unternehmen. Der Anlass war eine Runde zur Anschlussfinanzierung. Das geht aus einer Antwort des Wirtschaftsministeriums auf eine parlamentarische Anfrage der damaligen Linken-Abgeordneten Martina Renner aus dem Jahr 2024 hervor.

Abgeordnete kritisieren Staatsgeld für Datenmarktplatz

Wir haben das Dokument mit einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) erhalten, jedoch zunächst in einer fast vollständig geschwärzten Variante. Das Wirtschaftsministerium hatte die Antwort des damaligen Staatssekretärs als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft. Erst nachdem wir Widerspruch gegen die Entscheidung eingelegt hatten, gab das Ministerium die Antwort für die Öffentlichkeit frei.

Das Ministerium betont darin erneut, dass es „auf die Investmententscheidungen des HTGF keinen Einfluss“ nehme. Jedoch seien „Investitionen in Unternehmen, die Aktivitäten in Verbindung mit Cybercrime verfolgen“, gemäß „der Ausschlussliste des HTGF ausgeschlossen.“ Als solche könne das Geschäftsmodell von Datarade nicht betrachtet werden, da die Plattform lediglich Kontakte zwischen Datenanbietern und Interessierten herstelle. „Das Zustandekommen eines Vertrags und der Austausch von Daten läuft grundsätzlich vollständig außerhalb der Plattform.“

SPD sieht „erheblichen Handlungsbedarf“, CDU bleibt unkonkret

Wie viel Verantwortung sollen Datenmarktplätze dafür tragen, wenn Datenhändler dort die Standortdaten von Millionen Menschen verschleudern? Einen Vorschlag hierzu hatte die heutige Bundesdatenschutzbeauftragte bereits im vergangen Jahr: Der deutsche Gesetzgeber könnte die Reform des Bundesdatenschutzgesetzes nutzen, um das Geschäft von Datenmarktplätzen zu regeln. Die Reform war zunächst für 2024 geplant gewesen, fiel aber dem vorzeitigen Aus der Ampel-Koalition zum Opfer.

Auch die neue Koalition aus Union und SPD will den Datenschutz reformieren. Im Fokus stand zwar bisher ein Rückbau von Regulierung – aber gerade bei Datenmarktplätzen sehen Politiker*innen mehrerer Parteien Probleme.

„Auch wenn im Koalitionsvertrag keine konkrete Aussage dazu vereinbart wurde, so sehen wir mit Blick auf die Databroker-Files-Recherchen nicht allein aus datenschutzrechtlicher Sicht, sondern auch aus sicherheitspolitischer Perspektive erheblichen Handlungsbedarf“, schreibt uns etwa Johannes Schätzl, der digitalpolitische Sprecher der SPD-Fraktion im Bundestag. Er werde „diese Thematik in den anstehenden Verhandlungen selbstverständlich auch ansprechen und konkrete Vorschläge einbringen“. Es sei allerdings noch offen, ob es in der Koalition eine Zustimmung für entsprechende Gesetzesänderungen gibt.

Der Koalitionspartner, die Union, hält sich auf Anfrage von netzpoiltik.org bedeckt. Ralph Brinkhaus, Sprecher für Digitalisierung und Staatsmodernisierung, lässt auf unsere sechs Fragen zur anstehenden Datenschutzreform lediglich verlauten: „Wir arbeiten an den von Ihnen genannten Punkten.“

Grüne und Linke machen Druck

Die Grünen-Digitalpolitiker Lukas Benner und Konstantin von Notz sehen im fehlenden Plan der Regierungskoalition beim Datenhandel ein Beispiel für deren Datenschutzpolitik. Während Union und SPD sich „verfassungsrechtlich hochumstrittene Vorhaben“ wie die Wiedereinführung der Vorratsdatenspeicherung vorgenommen hätten, fehle auf ihrer Agenda die Lösung der „anhaltenden und zunehmenden Problematik der Databroker“.

Die grüne Bundestagsfraktion halte „eine gesetzliche Einschränkung dieser Praktiken für dringend geboten – übrigens auch mit Blick auf den Schutz unserer Sicherheitsbehörden und ihrer Mitarbeiterinnen und Mitarbeiter“. Das Innenministerium müsse sich endlich der Thematik widmen.

Grundsätzlicher wird bei dem Thema Donata Vogtschmidt, digitalpolitische Sprecherin der Linkspartei. Sie wolle „Geschäftsmodellen, die auf personalisierter Onlinewerbung basieren, insgesamt den Kampf ansagen“. Vogtschmidts Vorschlag, um das Problem an der Wurzel zu lösen: Im Gesetz über digitale Dienste (DSA) der Europäischen Union ist bereits ein Verbot personalisierter Werbung für Minderjährige vorgesehen. Dieses Verbot sollte auf alle Nutzenden ausgeweitet werden, denn „so ließe sich kommerzieller Datenhandel wirklich eindämmen“.

Unterdessen könnte auch die EU aktiv werden. Sie will mit dem kommenden Digital Fairness Act Lücken für Verbraucher*innen im Netz schließen. Bis 24. Oktober können Interessierte Ideen einreichen, in welchen Bereichen sie Handlungsbedarf sehen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 25. Kalenderwoche geht zu Ende. Wir haben 18 neue Texte mit insgesamt 129.462 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser:innen,

netzpolitik.org wirkt! Diesen Satz schreiben wir häufig, wenn unsere Arbeit zu greifbaren Ergebnissen führt. Es ist ein Satz, den wir gerne schreiben. Wir wollen mit unserem Journalismus nicht nur aufklären, aufdecken und anprangern, sondern auch Verbesserungen bewirken. Gerade weil sich unsere Arbeit manchmal wie ein Kampf gegen übermächtige Gegner anfühlt, habe ich mich in dieser Woche über zwei Erfolgsmeldungen im Datenschutzbereich gefreut.

Nummer eins: Die Berliner Datenschutzbehörde stattete einer Werbe- und Datenbude einen Besuch ab, deren Geschäft wir 2023 mit unserer Xandr-Recherche in den Fokus rückten. Die Firma analysiert die Aufenthaltsorte von Menschen, um daraus vermarktbares Wissen für Werbekund:innen zu generieren. Und sie ermöglichte offenbar Werbebetreibenden das Targeting mit so charmanten Kategorien wie „Fragile Senioren“ oder „Familien in Schwierigkeiten“.

Wie die Datenschutzbehörde bei ihrer Vor-Ort-Kontrolle feststellte, fehlten dazu in vielen Fälle gültige Einwilligungen. Auf das Problem weisen wir bei netzpolitik.org immer wieder hin: Die Einwilligung, die Bürger:innen eigentlich informationelle Selbstbestimmung ermöglichen sollte, ist zum Datenschutz-Feigenblatt verkommen. Jetzt gibt es endlich Konsequenzen. Erstmal nur für eine Firma, irgendwann wird das Problem hoffentlich auch politisch angegangen.

Mit Beharrlichkeit machen wir Fortschritte

Nummer zwei: Wetter Online kann jetzt Auskunftsanfragen nach der Datenschutzgrundverordnung beantworten und dabei Datenkopien herausgeben. Im Rahmen unserer Databroker-Files-Recherchen hatte ich bei der mehr als 100 Millionen mal heruntergeladenen Wetter-App eine solche Anfrage gestellt. Eine Kopie der mich betreffenden Daten wollte mir das Unternehmen nicht aushändigen – weil das zu aufwendig sei.

Ich hatte deshalb gemeinsam mit der Datenschutzorganisation noyb Beschwerde über Wetter Online bei der Datenschutzbeauftragten Nordrhein-Westfalen eingelegt. Und siehe da: Inzwischen habe ich eine Datenkopie erhalten. In Zukunft versucht das Unternehmen hoffentlich nicht mehr, Bürger:innen, die ihre Rechte einfordern, mit dem Verweis auf den Aufwand abzuwimmeln.

Auch hier ist das Ende der Geschichte noch nicht erreicht, denn die Auskunft lässt einige Fragen offen. Auch die große Frage ist noch nicht abschließend geklärt: Wie kann es eigentlich sein, dass genaueste Standortdaten von Nutzer:innen der App bei einem US-Datenhändler landeten und dann über einen Berliner Datenmarktplatz auch bei uns? Aber immerhin: Wenn wir lange genug Druck machen, dann tut sich etwas. Wir bleiben weiter dran.

Jetzt erst Recht: WhatsApp löschen

Falls ihr selbst ganz konkret etwas für mehr Datenschutz tun wollt und keine Lust auf den Ärger mit einer Datenauskunft habt, dann hat Meta euch in dieser Woche übrigens eine gute Gelegenheit serviert. Denn der Konzern, der im vergangenen Jahr 62 Milliarden US-Dollar Gewinn gemacht hat, bringt personalisierte Werbung in den Messenger WhatsApp.

Werbung bei WhatsApp – dieser Schritt war schon mehrfach angekündigt. Immer wieder vertagte Mark Zuckerberg die Einführung, vermutlich aus Sorge, dass ihm dann noch mehr Nutzer:innen davonlaufen. Dass er den Schritt nun geht, zeigt einmal mehr, dass er denkt, er kann alles mit seinen Nutzer:innen machen.

Deshalb empfehle ich als gute Tat der Woche: Löscht WhatsApp. Oder, falls ihr das nicht schon gemacht habt, teilt den Artikel meines Kollegen Sebastian mit Menschen, die immer noch bei WhatsApp sind. Er hat ein paar gute Argumente für den Abschied aufgeschrieben und gibt Tipps, wie man andere vom gemeinsamen Wechsel zu besseren Alternativen überzeugen kann.

Also: Lasst uns nicht aufgeben. Wir haben’s im wahrsten Sinne des Wortes manchmal selbst in der Hand, für Veränderung zu sorgen.

Euer Ingo

---

Offener Brief: Dobrindt soll Verschlüsselung schützen

Der neue Innenminister Alexander Dobrindt hat bislang keine Position zur umstrittenen Chatkontrolle bezogen, die sichere und private Kommunikation unmöglich machen würde. Digital- und Bürgerrechtsorganisationen appellieren nun an ihn, bei Deutschlands bisheriger Blockade im EU-Rat zu bleiben. Von Markus Reuter –
Artikel lesen

Messenger-Update: Auf WhatsApp läuft künftig personalisierte Werbung

WhatsApp, die Messenger-App von Mark Zuckerbergs Meta, zeigt künftig personalisierte Werbung an. Die Anzeigen sollen auch auf Daten von Facebook und Instagram basieren. Die Datenschutzorganisation noyb kritisiert die Entscheidung. Von Martin Schwarzbeck –
Artikel lesen

Nach unserer Berichterstattung: Datenschutzbehörde findet Verstöße bei Berliner Werbefirma

Die Berliner Datenschutzbehörde hat bei einer Werbe- und Datenfirma erhebliche Rechtsverstöße festgestellt. Nach Informationen von netzpolitik.org handelt es sich bei dem Unternehmen um Adsquare, dessen mutmaßliche Datenschutzverletzungen 2023 durch unsere Recherchen aufgedeckt wurden. Von Ingo Dachwitz –
Artikel lesen

US-Verfassungsrechtler Anthony Kreis: Trump setzt auf „strategisches Chaos“

Der US-Präsident will immer mehr wie ein König regieren. Das wollen sich weite Teile des Landes nicht gefallen lassen. Sie reagieren mit Widerstand gegen seine autoritäre Politik. Wir haben den US-Verfassungsrechtler Anthony Kreis zum Zustand der Demokratie in den Vereinigten Staaten befragt. Von Markus Reuter, Tomas Rudl –
Artikel lesen

Constitutional law professor Anthony Kreis: Trump wants ‘strategic chaos’ to dismantle institutions

U.S. President Donald Trump is increasingly behaving like a monarch. But across the United States, resistance is growing. We spoke with constitutional law professor Anthony Michael Kreis about the state of American democracy and whether it can withstand the pressure. Von Markus Reuter, Tomas Rudl –
Artikel lesen

Bitte keine Werbung: Lass uns jetzt gemeinsam WhatsApp verlassen

WhatsApp bricht ein jahreslanges Versprechen. Der weltgrößte Messenger bekommt Werbung. Und das ist nur einer von vielen guten Gründen gegen WhatsApp. Schicke diesen Artikel an deine Kontakte, um gemeinsam zu einem besseren Messenger zu wechseln. Von Sebastian Meineck –
Artikel lesen

Polizei und Gesichtserkennung: Damit müssen Menschen auf der Pride in Budapest rechnen

In Budapest kämpfen die Veranstalter*innen für die alljährliche Pride-Parade. Sie wollen trotz Verbot durch die Innenstadt ziehen. Die Regierung droht Teilnehmer*innen mit Gesichtserkennung und Strafen. Wie funktioniert das System, mit dem Viktor Orbán queere Menschen einschüchtern will? Von Chris Köver –
Artikel lesen

Proteste in Serbien: Neue Untersuchung geht von Schall-Angriff auf Demonstration aus

Ein bislang unbekannter Effekt hatte im März eine Großdemonstration in Belgrad in der Mitte geteilt und weltweit für Aufsehen und Empörung gesorgt. Eine neue Untersuchung hält es für wahrscheinlich, dass eine gerichtete Schallwaffe vom Typ LRAD gegen Demonstrierende eingesetzt wurde. Von Markus Reuter –
Artikel lesen

Digitale Dekade: EU-Kommission kritisiert schleppende Digitalisierung

Am Ende des Jahrzehnts sollen EU-weit Glasfasern verlegt und viele Behördengänge digital möglich sein. In Deutschland geht es der EU-Kommission nicht schnell genug. Der diesjährige Zwischenbericht zur „Digitalen Dekade“ zeigt auf, wie wir hierzulande noch immer hinterherhinken. Von Christoph Bock –
Artikel lesen

CSAM: Ministerien verrühren „Löschen statt Sperren“ mit Vorratsdatenspeicherung

Pädokriminelle Inhalte werden weiterhin schnell von Servern gelöscht, wenn denn die Polizei diese bei den Providern meldet. Doch statt sich eingehender mit dieser Erfolgsstatistik zu befassen, fordern die zuständigen Ministerien, mehr anlasslose Massenüberwachung einzuführen. Von Markus Reuter –
Artikel lesen

Staatstrojaner und Registrierungspflicht: Was die Regierung in Österreich plant

Nach dem Amoklauf in Graz hat die österreichische Regierung sich auf einen Gesetzentwurf für Staatstrojaner geeinigt. Außerdem steht eine Registrierungspflicht für soziale Medien im Raum. Bürgerrechtsorganisationen fürchten, dass Grundrechte verletzt werden. Von Anna Biselli –
Artikel lesen

Berliner Datenschutzbehörde prüft: Immobilienplattform trainierte heimlich KI-Modell mit Kundenmails

Eine Berliner Immobilienplattform hat mit Nachrichten ihrer Kund*innen ein KI-Modell trainiert – ohne das offenzulegen. Die Berliner Datenschutzbehörde prüft den Fall. Der Marktführer ImmoScout24 setzt seit längerem auf KI und hat inzwischen seine Datenschutzerklärung angepasst. Von Chris Köver –
Artikel lesen

Open Internet Stack: Die vagen Open-Source-Pläne der EU-Kommission

Ein internes Papier gibt Hinweise auf die EU-Politik für Open Source in den kommenden Jahren. Ein schon etabliertes Förderprogramm soll unter einem neuen Namen weiterlaufen, mit Fokus auf Kommerzialisierung. Die Kommission soll sich auch für mehr Open Source in der Verwaltung einsetzen – und über eine eigene Rechtsform nachdenken. Viele Fragen bleiben offen. Von Maximilian Henning –
Artikel lesen

Open Internet Stack: The EU Commission’s vague plans for open source

An internal paper gives some clues about the EU Commission’s plans for open source policy in the future. An existing funding programme will continue under a new name and re-focus on commercial value. The document calls on the Commission to support open source in public administrations – and think about a new legal form. Many questions remain open. Von Maximilian Henning –
Artikel lesen

Klarnamenpflicht: Wir alle brauchen anonyme Orte im Netz

Die Forderung nach einer Klarnamenpflicht im Netz hat wieder Konjunktur. Dabei ist sie brandgefährlich für gleich mehrere Grundrechte. In einer Demokratie brauchen wir Orte, an denen wir wirklich frei kommunizieren können. Ein Kommentar. Von Markus Reuter –
Artikel lesen

Moderation gone wild: Instagram sperrt Accounts politischer Organisationen

Zahlreiche Kreisverbände der Grünen Jugend, der Linken sowie die Partei der Humanisten haben den Zugang zu ihren Instagram-Accounts verloren. Die Betroffenen können sich nicht erklären, warum. Der Versuch der Aufklärung ist eine kafkaeske Mission. Von Martin Schwarzbeck –
Artikel lesen

Databroker Files: Wetter Online lässt Daten tröpfeln

Wir haben Post von Wetter Online: endlich. Nach einer Beschwerde und vielen Monaten Verzögerung soll nun eine Tabelle Auskunft darüber geben, welche Standortdaten zu einem Redakteur aus dem Recherche-Team vorliegen. Doch das Dokument lässt Fragen offen. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Repaircafés: Das ist doch noch gut!

In Repaircafés reparieren Ehrenamtliche defekte Dinge. Sie basteln damit an einer Alternative zur Wegwerfgesellschaft. Aber Repaircafés sind auch soziale Treffpunkte. Ein Besuch zeigt, wie der Wunsch, Müll zu vermeiden, Menschen zusammenführen kann. Von Lilly Pursch, Martin Schwarzbeck –
Artikel lesen

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Databroker verkaufen die Handy-Standortdaten von Millionen Menschen weltweit. Zehntausende App sind betroffen, wie Veröffentlichungen von netzpolitik.org und Recherche-Partnern aus sechs Ländern zeigen. Das kannst du tun, um dich zu schützen.

Fachleute sprechen vom kompletten Kontrollverlust, Betroffene haben die Schnauze voll. Die Standortdaten von Millionen Handy-Nutzer*innen weltweit stehen zum Verkauf. Databroker sammeln sie in Multi-Milliarden-Paketen. Ja, sie verschenken sie sogar als Vorschau auf Bezahlabos. Das belegen unsere Recherchen zu den Databroker Files, die auf nationaler Ebene begannen und nun auch den weltweiten Handel beschreiben.

In unserem neuen Datensatz mit 380 Millionen Standortdaten aus 137 Ländern gibt es große Unterschiede in der Genauigkeit der Ortung: Viele der gehandelten Standortdaten haben eine Unschärfe von mehreren Kilometern. Andere sind auf den Meter genau. 2024 analysierten wird einen Datensatz mit 3,6 Milliarden hochgradig genauen Standortdaten allein aus Deutschland. Das kann offenbaren, wo eine Person wohnt und zur Arbeit geht, wo sie die Kinder zur Kita bringt, zur Psychotherapie geht oder ins Bordell.

Nicht nur Standortdaten kursieren. Viele weitere Daten können erfasst werden. Etwa, welches Handy man nutzt, welchen Netzbetreiber und welche Apps oder welche Websites man besucht hat. Auf dieser Grundlage wird man auch in Schubladen gesteckt, die einen beispielsweise als angebliche „fragile Senior*in“ outen sollen oder als „Shopping-versessene Mama“.

Wer das eigene Handy – wie die meisten Menschen – ohne besondere Sicherheitsmaßnahmen benutzt, ist mit hoher Wahrscheinlichkeit nach selbst betroffen. Denn über Apps und Website führen viele Wege in den Schlund der Databroker. Hier fassen wir einige simple Schritte zusammen, mit denen sich Handy-Nutzer*innen schützen können.

1. Mobile Advertising ID abschalten

Die „mobile advertising ID“ (MAID) ist eine Art Nummernschild. Die meisten Handys generieren diese Werbe-ID einfach im Hintergrund. Betroffen sind Geräte mit iOS, also Handys und Tablets von Apple, sowie die meisten handelsüblichen Handys mit Googles Betriebssystem Android.

Durch die Werbe-ID sind unsere Geräte – und damit auch wir – für die Werbeindustrie eindeutig wiedererkennbar. Oft steht die Werbe-ID dabei, wenn Apps unseren Standort an Datenhändler verraten oder personalisierte Werbung ausspielen.

Abschalten lässt sich diese Werbe-ID in den Systemeinstellungen. Der genaue Weg kann sich je nach Betriebssystem und dessen Version unterscheiden.

• Für Google-basiertes Android: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung.
• Für iOS: Einstellungen > Datenschutz > Tracking > Tracking für Apps verbieten.

2. Apps den Standort-Zugriff entziehen

Viele Apps möchten Zugriff auf den genauen Standort des Geräts haben. Wer sich vor dieser Form des Trackings schützen möchte, erlaubt das nicht. Oder nur in den wenigen Fällen, in denen man auf eine Ortung wirklich nicht verzichten möchte oder die App sie für ihre Kernfunktion benötigt. Etwa, wenn man sich von einer Navigations-Apps in Echtzeit den Weg zeigen lassen möchte.

Den meisten anderen Apps kann man den Zugriff auf Standortdaten getrost verwehren. Gelegentlich möchten etwa Wetter-Apps Zugriff auf den genauen Geräte-Standort haben. Notwendig ist das nicht. Oftmals kann man einfach eintippen, für welche Stadt man gerne das Wetter sehen möchte.

Den Standortzugriff prüfen und nachträglich ändern kann man in den Systemeinstellungen für jede einzelne App (Android / iOS).

3. Ortungs-Technologien abschalten

Der Standort eines Geräts kann über mehrere Quellen bestimmt werden, zum Beispiel GPS, Mobilfunk, Bluetooth oder WLAN. Wer das Tracking-Risiko senken möchte, schaltet davon nur ein, was wirklich gerade gebraucht wird.

4. Ortung via IP-Adresse eindämmen

Auch über die öffentliche IP-Adresse ist eine grobe Ortung möglich. Man bekommt sie über den Anbieter des Internet-Zugangs. Sie wird automatisch übermittelt, wenn man Apps und Websites nutzt und ist zur Kommunikation technisch notwendig. Auf den ersten Blick hat eine IP-Adresse keine direkte Verbindung zu einem Standort. Anders als beim Zugriff auf beispielsweise den GPS-Standort müssen Apps für die IP-Adresse auch nicht gesondert um Erlaubnis bitten.

Aber dennoch lassen sich aus IP-Adressen Standorte ableiten – und unsere Recherchen zeigen, dass genau das massenhaft geschieht. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer ist die Zuordnung korrekt, teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.

Um sich davor zu schützen, gibt es mehrere Möglichkeiten.

• Mithilfe von VPN-Diensten lässt sich die tatsächliche IP-Adresse gegenüber Apps und Websites verschleiern. Sie sehen dann nur die IP-Adresse des VPN-Anbieters. Anderseits müsste man in diesem Szenario auch dem VPN-Anbieter vertrauen – der wiederum kann die tatsächliche, öffentliche IP-Adresse sehen.
• Einen eher grundlegenden Ansatz verfolgen Tracking- und Werbeblocker, wie Datenschutzexperte Mike Kuketz auf seinem Blog erklärt. Mithilfe von Blocklisten verhindern sie, dass das eigene Gerät überhaupt erst eine Verbindung zu bekannten Trackingdiensten aufnimmt und dabei allerlei Daten übermittelt. Diese Blocklisten müssen jedoch regelmäßig aktualisiert werden und können lückenhaft sein. Teils sind händische Nachbesserungen notwendig, etwa gezielt für die Apps, die man nutzen möchte.
• Auch auf Ebene von Browsern gibt es Tracking- und Werbeblocker. Diese Blocker sind aber nur auf besuchte Websites im Browser beschränkt. Sie betreffen also nicht das Tracking per Apps.
• Durch spezielle DNS-Server lässt sich Tracking ebenso unterbinden. DNS ist einer der wichtigsten Dienste im Internet. Er übersetzt Domainnamen in IP-Adressen. Bei den Anti-Tracking-DNS-Servern gibt es zusätzlich Filterlisten. Auf den Listen stehen bekannte Adressen, die Nutzer*innen durch Tracking gefährden. Die Kommunikation mit diesen Adressen wird unterbunden. Hier gibt es ein Tutorial zur Einrichtung.

Schritt 5: Tracking ablehnen, wo es nur geht

Für Websites und Apps gilt, auch wenn es lästig ist: Cookie-Banner und ähnliche Tracking-Begehren konsequent ablehnen.

Oft sind die entsprechenden Abfragen aber bewusst unübersichtlich gestaltet – oder das Ablehnen von Tracking ist gar nicht möglich. Dann bleibt einem nur der Griff zu Alternativen.

6. Umsatteln auf Tracking-freie Alternativen

Viele Apps, Websites, Dienste und Plattformen des alltäglichen digitalen Lebens basieren auf Tracking und damit auf Überwachung von Nutzer*innen. Nicht für alles, aber für vieles gibt es jedoch datensparsame Alternativen. Braucht es wirklich eine Wetter-, Navi- oder Shopping-App mit Hunderten „Werbepartnern“?

Erschwerend kommt hinzu, dass Daten auch ohne Wissen und Zustimmung der App-Betreiber*innen abfließen können, zum Beispiel weil von Dritten eingebundene Software-Pakete nicht nur das tun, was sie sollen. Gerade bei überladener oder veralteter, bei nicht-quelloffener oder sonstwie fragwürdiger Software ist das Risiko erhöht.

Ein kompletter Umstieg auf datensparsame Alternativen von heute auf morgen kann schnell überfordern. Aber man kann Stück für Stück vorgehen. Empfehlungen für datensparsame Apps gibt es zum Beispiel auf mobilsicher.de oder oder dem Blog von Mike Kuketz. Oft freuen sich die Betreiber*innen nicht-kommerzieller Software über Spenden.

Auch auf Ebene von Betriebssystemen gibt es Optionen. Es muss nicht immer iOS oder Google-basiertes Android sein. Anbieter von Google-freien Android-Versionen haben es sich zur Aufgabe gemacht, Alternativen zum Tracking-basierten Mainstream zu geben. Das geht oft zulasten des Komforts. Es wird aber kontinuierlich daran gearbeitet, dass nicht nur Nerds damit klarkommen.

7. Sich für politische Lösungen starkmachen

Wer sich sorgfältig um die eigene digitale Selbstverteidigung kümmert, kann die Gefahr durch Tracking deutlich eindämmen. Im Kreis von Freund*innen, Kolleg*innen und Familie kann man Anregungen teilen und Hilfe anbieten. Den meisten Menschen aber lassen sich die vielen, notwendigen Kniffe der digitalen Selbstverteidigung kaum zumuten – sie haben einfach andere Sorgen. Und viele wollen an dem von Tracking durchwirkten digitalen Leben teilhaben, an das sich ganze Generationen längst gewöhnt haben.

Die Massenüberwachung durch Handy-Daten ist ein Problem, dessen Lösung sich nicht auf Verbraucher*innen abwälzen lässt. Deshalb fordern viele seit Jahren politische Lösungen, etwa ein Verbot von Tracking und Profilbildung zu Werbezwecken. Denn Daten, die gar nicht erst erhoben werden, können auch nicht an Databroker gelangen. Der Verbraucherzentrale Bundesverband fordert das ebenso wie das Bundesverbraucherschutzministerium. Der Ball ist bei der EU, deren Bemühungen jedoch zuletzt am Lobbying durch Konzerne scheiterten.

Der geplante Digital Fairness Act der EU könnte ein Gelegenheit für einen neuen Anlauf sein. Interessierte könnten sich an ihre Abgeordneten wenden oder sich bei NGOs organisieren, die sich als Teil der Zivilgesellschaft für netzpolitische Themen stark machen.

Wer darüber hinaus aktiv werden will, kann sich auf seine Rechte laut Datenschutzgrundverordnung berufen und Auskunftsanfragen an Datenhändler stellen. Die Unternehmen sind verpflichtet, zu antworten, welche Daten sie über einen gespeichert haben. Auch wenn bei solchen Anfragen lange nichts passiert und Unternehmen außerhalb der EU oft schwer zu greifen sind: Anfragen machen sichtbar, dass Nutzer*innen ein Problem haben.

Wer das Gefühl hast, da ist etwas faul, kann daraufhin die zuständige Datenschutzbehörde einschalten, damit sie ein Unternehmen genauer unter die Lupe nehmen. Hier erklären wir mehr über Datenauskünfte und Beschwerden.

Schon jetzt kommen die Datenschutzbehörden kaum hinterher beim Abarbeiten der Anfragen. Gerade wenn Anbieter im Ausland sitzen, ist die Handhabe oft schwer. Doch auch wenn das Ergebnis einer Beschwerde in einigen Fällen mau sein wird: Es kann verdeutlichen, dass die bisherigen Instrumente nicht ausreichen und damit eine politische Signalwirkung haben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.