Politisch Einfluss nehmen, ohne auszubrennen. Privatsphäre verteidigen, obwohl die Zeichen auf Überwachung stehen. Demokratische Räume stärken – in braunen Nestern. Vier Vorträge vom 39C3 geben interessierten Menschen Motivation und praktische Tipps an die Hand.

2025 war kein erbauliches Jahr für Grund- und Menschenrechte. Während die rechtsradikale Trump-Regierung die USA zu einer Autokratie umkrempelte, brachten Regierungen in der EU und Deutschland teils uralte Überwachungs-Vorhaben wieder voran, und ausgerechnet die deutsche Kanzlerpartei nahm wiederholt die demokratische Zivilgesellschaft ins Visier.

Wenig spricht dafür, dass sich der Tenor im Jahr 2026 ändern wird. Was tun, um nicht in Resignation und Verzweiflung zu verfallen?

Antworten hierzu liefern viele Vorträge vom jüngsten Chaos Communication Congress in Hamburg. Vier mit besonders praktischen Impulsen fassen wir hier kurz zusammen – sie kommen von Jurist*innen, Aktivist*innen und Insider*innen aus dem Bundestag.

1. Politisch Einfluss nehmen: Tipps von Bundestag-Insider*innen

📋 Worum geht es? Wer Politik und Gesetzgebung selbst positiv beeinflussen möchte, bekommt im Vortrag „Power Cycles statt Burnout – Wie Einflussnahme nicht verpufft“ eindringliche und konkrete Tipps – mit besonderer Rücksicht darauf, dass man als engagierter Mensch nur begrenzt Zeit und Energie hat.

🗣️ Wer spricht da? Anna Kassautzki war von 2021 bis 2025 Bundestagsabgeordnete der SPD und stellvertretende Vorsitzende des Digitalausschusses. Rahel Becker hat sie als wissenschaftliche Mitarbeiterin unterstützt, unter anderem beim Einsatz gegen das als Chatkontrolle bekannte Überwachungsvorhaben der EU.

💡 Was kann man lernen? Stück für Stück erklären Kassautzki und Becker, wie man zunächst die für das eigene Anliegen relevanten Köpfe identifizieren kann: etwa Abgeordnete (und deren Mitarbeitende) im zuständigen Ausschuss oder Abgeordnete aus dem eigenen Wahlkreis. Außerdem raten sie dazu, das eigene Anliegen prägnant zu verpacken: Auf einem One Pager mit konkreten Beispielen, die auch „Oma“ versteht. Schließlich geben sie Tipps, wie man Bündnisse schmiedet und sich im Netzwerk die Arbeit aufteilt, um sich Gehör zu verschaffen – zu strategisch klug gewählten Anlässen.

🥽 Für wen lohnt sich der ganze Vortrag? Für Menschen, die bereits politische Arbeit machen und sich einen Effizienz-Boost geben wollen – und für alle, die überlegen, damit anzufangen. „Wir glauben, dass es fundamental wichtig ist, dass nicht nur große Konzerne in den Büros von Abgeordneten sitzen“, sagt Rahel Becker, „sondern dass da auch sehr viel Zivilgesellschaft sitzt.“

2. Narrative ändern: Tipps von Digital-Aktivist*innen

📋 Worum geht es? Der englischsprachige Vortrag „The Last of Us – Fighting the EU Surveillance Law Apocalypse“ unternimmt zunächst eine Zeitreise: von den frühen Angriffen auf Verschlüsselung in den Neunzigerjahren bis hin zu den frischen Plänen der EU-Kommission für ein Revival der Vorratsdatenspeicherung. Zuletzt gibt es einen Ausblick, wie sich Überwachungsvorhaben in Zukunft bekämpfen lassen.

🗣️ Wer spricht da? Svea Windwehr ist Co-Vorsitzende von D64, einem Verein für progressive Digitalpolitik, und Policy Advisor bei Mozilla. Chloé Berthélémy ist Policy Advisor bei European Digital Rights (EDRi), dem Dachverband von Organisationen für digitale Freiheitsrechte.

💡 Was kann man lernen? Die Aktivist*innen warnen vor einer Wende im Kampf gegen digitale Überwachung: Ob höchste Gerichte weiterhin gefährliche Vorhaben stoppen, sei inzwischen nicht mehr sicher. „Die digitale Zivilgesellschaft muss umdenken“, warnt Windwehr auf Englisch. „Es ist ein Kampf um Narrative, nicht um Gerichtsverfahren.“ Man müsse neue Wege finden, zu erzählen, warum Datenschutz und Privatsphäre wichtig sind. „Wenn wir das tun, glaube ich, dass Widerstand definitiv möglich ist und dass es noch Hoffnung gibt.“ Notwendig seien zudem breite Allianzen mit bisher ungewohnten Partnern – wie etwa Kinderschutz-Organisationen im Kampf gegen die Chatkontrolle.

🥽 Für wen lohnt sich der ganze Vortrag? Der stufenweise Ausbau staatlicher Überwachung zieht sich wie ein roter Faden durch die letzten drei Jahrzehnte: von den bereits in den 90ern gestarteten Crypto Wars über Fluggastdatenspeicherung und Vorratsdatenspeicherung bis hin zu Chatkontrolle. Der Vortrag zeichnet diesen Faden nach und gibt am Ende Impulse für Interessierte, die sich einbringen wollen.

3. Widerstand als Pflicht: Tipps von Jurist*innen

📋 Worum geht es? Rechte bis Rechtsextreme von Union bis AfD nutzen die Forderung nach „Neutralität“ als Waffe gegen die demokratische Zivilgesellschaft. Der Vortrag „Wer hat Angst vor dem Neutralitätsgebot?“ buchstabiert aus, in welchen begrenzten Fällen Menschen und Organisationen tatsächlich auf sogenannte Neutralität achten sollten – und wann sie ganz im Gegenteil beherzt Zivilcourage zeigen müssen. Hier haben wir ausführlicher darüber berichtet.

🗣️ Wer spricht da? Hannah Vos und Vivian Kube arbeiten beide als Rechtsanwält*innen in der Berliner Kanzlei KM8 und gehören zum Legal Team von FragDenStaat.

💡 Was kann man lernen? Egal, ob man Bundeskanzlerin oder Abgeordneter ist, Verwaltungsbeamt*in, Lehrer*in, Aktivist*in oder einfach nur angestellt in einem Unternehmen – Kritik und Widerstand gegen Menschenfeindlichkeit sind legal, möglich und in manchen Kontexten sogar Pflicht. „Es gibt keine Neutralität vor den Werten des Grundgesetzes“, bringt Hannah Vos es auf den Punkt.

🥽 Für wen lohnt sich der ganze Vortrag? Der Vortrag entzaubert das sogenannte Neutralitätsgebot als Schreckgespenst, das in vielen Kontexten nicht oder nur unter bestimmten Voraussetzungen gilt. Wer bis zum Ende schaut (oder dorthin springt) erfährt zudem die Geschichte des Druckers Dieter Schlichting, der ein legendäres Grundsatzurteil erstritt: zur Arbeitsverweigerung aus Gewissensgründen, weil er keine Nazi-Prospekte drucken wollte.

4. Räume vor Ort stärken: Tipps von Antifaschist*innen

📋 Worum geht es? Bei zwei Landtagswahlen in Ostdeutschland könnte die AfD laut Umfragen im Jahr 2026 stärkste Kraft werden: Sachsen-Anhalt und Mecklenburg-Vorpommern. Vor diesem Hintergrund berichten zwei Aktivist*innen vom Netzwerk Polylux, wie sie antifaschistische Projekte in Ostdeutschland fördern. Titel: „Aber hier Leben? Nein danke! …oder doch? Wie wir der autoritären Zuspitzung begegnen können“.

🗣️ Wer spricht da? Die Vortragenden Jaša Hiergeblieben und Lisa Zugezogen vertreten das seit 2019 aktive Netzwerk Polylux. Über Fördermitgliedschaften und Spenden verteilt der Verein Geld an Projekte im ländlichen ostdeutschen Raum.

💡 Was kann man lernen? Gerade im Gespräch mit Menschen aus dem Publikum gibt es motivierende Impulse. So kritisiert Jaša, dass die Brandmauer-Proteste (2024-2025) zwar für begrenzte Zeit Massen auf die Straße gebracht hatten, aber danach wieder verhallt sind. Polylux dagegen interessiert sich für nachhaltige Strukturen: zum Beispiel Gemeinschaften und Treffpunkte, die Menschen zusammenbringen, vor allem in rechtsextrem geprägten Regionen. Selbst wenn man sich am eigenen Wohnort nur mit wenigen coolen Menschen zusammenschließt, ist es „super wichtig zu wissen: Ich bin nicht alleine“, so Jaša. Und falls jemand für Westdeutschland ein ähnliches Netzwerk wie Polylux gründen möchte, „dann macht das, macht damit einfach los!“

🥽 Für wen lohnt sich der ganze Vortrag? Wer die strukturellen Probleme hinter rechtsextremer Radikalisierung besser verstehen will, findet in den Schilderungen der Aktivist*innen Erklärungen. Um die vorwiegend düsteren Aussichten aufzuhellen, berichten die beiden aber auch von erfolgreichen Projekten im Osten – wie dem ersten CSD in Grevesmühlen, Mecklenburg-Vorpommern.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Katsching und Klimper-klimper: Mit raffinierten Mechanismen fesseln Anbieter von Glücksspielen Menschen an die Geräte und verdienen Milliarden. In ihrem Vortrag auf dem 39C3 nimmt Forscherin Elke Smith die Tricks auseinander – und zeigt, wo Regulierung ansetzen könnte.

Die Slotmaschine rattert, blinkt und klingelt, während ihre Walzen rotieren. Die Lootbox schüttelt sich und pulsiert, als würde sie gleich explodieren, begleitet von anschwellenden Glockenklängen. Für viele Gamer*innen bedeutet das Spaß und Nervenkitzel, ob beim klassischen (Online-)Glücksspiel für Erwachsene oder in Glücksspiel-ähnlichen Games, die teils sogar für Kinder freigegeben sind.

Für die Psychologin und Neurowissenschaftlerin Elke Smith bedeutet Glücksspiel dagegen Arbeit. Denn sie erforscht an der Universität zu Köln menschliche Entscheidungs- und Lernprozesse – darunter jene Mechanismen, die beim Zocken im Hintergrund ablaufen. In ihrem Vortrag auf dem 39. Chaos Communication Congress erklärt Smith die zentralen Tricks von Glücksspiel, die sich inzwischen auch in klassischen Online-Games ausbreiten.

Geschätzt 2,4 Prozent der deutschen Bevölkerung zwischen 18 und 70 Jahren sind laut Gesundheitsministerium süchtig nach Glücksspielen, haben also eine als Krankheit anerkannte Verhaltensstörung. Derweil liegen die Umsätze für legales Glücksspiel in Deutschland bei knapp 63,5 Milliarden Euro. Dennoch kommt der Vortrag der Glücksspiel-Forscherin Smith ohne Verteufelung aus. Vielmehr umreißt sie den Graubereich zwischen Spaß und Suchtgefahr.

Deshalb macht Glücksspiel so viel Spaß

Ein besonders auffälliger Glücksspiel-Mechanismus, den Smith hervorhebt, sind audiovisuelle Effekte, die bei hohen Gewinnen noch stärker werden. Darunter fallen zum Beispiel die zu Beginn erwähnten klingelnden und glitzernden Slotmaschinen und Lootboxen. Gerade bei einem Gewinn können virtuelle Funken sprühen, Goldmünzen hageln und Fanfaren blasen. Solche Elemente sind kein bloßes Beiwerk, sondern tragen dazu bei, Menschen durch Reize zu belohnen und damit zum Weiterspielen zu motivieren.

Sogenannte Near Misses sind Fälle, in denen Spieler*innen den Eindruck bekommen, nur ganz knapp verloren zu haben, etwa wenn bei der Slotmaschine das Gewinnsymbol fast getroffen wurde. Zwar macht es finanziell keinen Unterschied, ob man knapp oder deutlich verliert – es fühlt sich aber anders an.

Ein weiterer Mechanismus, den Smith hervorhebt, sind als Verluste getarnte Gewinne, auf Englisch: losses disguised as wins. In diesem Fall bekommen Spielende einen Bruchteil ihres Einsatzes als scheinbaren Gewinn zurück, begleitet mit audiovisuellen Belohnungsreizen.

Bei der Jagd nach Verlusten („chasing losses“) versuchen Spieler*innen wiederum, das verlorene Geld aus vorigen Runden durch immer weitere Einsätze wieder zurückzuholen.

Nicht zuletzt kann sich Glücksspiel auch der sogenannten Kontroll-Illusion („illusion of control“) bedienen. Das ist eine kognitive Verzerrung: Üblicherweise können Menschen durch ihre Entscheidungen tatsächlich ihre Umwelt beeinflussen, dazu lernen und ihre Fähigkeiten verbessern. Beim Glücksspiel dagegen haben Entscheidungen oftmals keinen Einfluss auf das Ergebnis – es fühlt sich nur so an. Als Beispiel nennt Smith die Entscheidung, wann genau man bei einer Slotmaschine den Knopf drückt, um die rollenden Walzen zu stoppen.

Mechanismen breiten sich in Spiele-Apps aus

Diese und weitere Mechanismen sind nicht auf (Online-)Casinos begrenzt, sondern verbreiten sich auch in klassischen Spiele-Apps, wie Smith ausführt. Die Integration von Glücksspiel-Elementen wie Zufall, Risiko und Belohnung nennt sie „Gamblification“ – und deren Effekte hat sie selbst untersucht.

Gemeinsam mit Forschungskolleg*innen hat Smith gemessen, wie Zuschauer*innen auf YouTube-Videos reagieren, in denen Gamer*innen sich beim Öffnen von Lootboxen filmen. Solche Videos erreichen auf YouTube ein Millionenpublikum und zeigen: Glücksspiel-Mechanismen wirken möglicherweise sogar dann, wenn man anderen nur beim Spielen zuschaut.

Konkret haben die Forschenden Views, Likes und Kommentare von 22.000 Gaming-Videos mit und ohne Lootboxen miteinander verglichen. Das Ergebnis: Der Lootbox-Content hat das Publikum messbar stärker eingenommen als anderer Gaming-Content: mehr Views, mehr Likes, mehr Kommentare. „Dieses erhöhte Engagement könnte mit den Glücksspiel-ähnlichen Eigenschaften der durch Lootboxen vermittelten Belohnungsstruktur zusammenhängen“, heißt es auf Englisch in dem Paper, das im Mai 2025 beim Journal Scientific Reports erschienen ist.

Um ihre Online-Spiele zu optimieren, können Anbieter auf A/B-Testing mit großen empirischen Datenmengen zurückgreifen, erklärt Smith in ihrem Vortrag. Das heißt: Sie können Features einfach ausprobieren und messen, was am besten funktioniert. Schließlich bekommen sie täglich kostenlos neue Daten von Millionen Gamer*innen. Auf diese Weise entstehen Produkte, die von Anfang an so gestaltet sind, dass sie die Belohnungsmechanismen der Spieler*innen am besten ausnutzen. Smith nennt das „Neuroexploitation by design“.

Das sind die Ansätze für Regulierung

Gegen Ende ihres Vortags geht Smith auf Ansätze ein, um die Gefahren von Glücksspiel-Mechanismen einzudämmen. In Deutschland gibt es etwa den Glücksspielstaatsvertrag. Manche Normen zielen direkt auf Glücksspiel-Mechanismen ab: So muss bei einem virtuellen Automatenspiel etwa ein einzelnes Spiel mindestens fünf Sekunden dauern, der Einsatz darf einen Euro pro Spiel nicht übersteigen. Das soll das Feuerwerk aus Risiko und Belohnung eindämmen.

Ob Lootboxen in die Kategorie Glücksspiel fallen, beschäftigt internationale Gerichte und Gesetzgeber bereits seit Jahren. In Deutschland hatte jüngst der Bundesrat strengere Regeln gefordert. Am 21. November hielten die Länder fest, dass Lootboxen und andere Glücksspiel-ähnliche Mechanismen in Videospielen besser reguliert werden sollen, um Suchtgefahr zu reduzieren. In Belgien und den Niederlanden gibt es bereits strengere Regeln.

Auf EU-Ebene gibt es derzeit kein spezifisches Recht zur Regulierung von Lootboxen, wie die Wissenschaftlichen Dienste des Bundestags den Sachstand im Herbst 2024 zusammenfassen. Allerdings kommen je nach Kontext verschiedene EU-Gesetze in Frage, etwa das Gesetz über digitale Dienste (DSA), das manche Anbieter dazu verpflichtet, Risiken für ihre Nutzer*innen zu erkennen und zu minimieren. Derzeit plant die EU-Kommission zudem den Digital Fairness Act, der Lücken im Verbraucherschutz schließen soll.

„Ich denke, es wäre wichtig, vor allem junge Menschen vor diesen Mechanismen zu schützen“, warnt Smith mit Blick auf Glücksspiel-Mechaniken in Spielen. Damit verweist die Forscherin auf eine Leerstelle in den aktuellen Debatten um Jugendschutz im Netz, die vor allem um Alterskontrollen für soziale Medien kreisen.

Ein fertiges Regulierungs-Konzept für Glücksspiel-Mechanismen hat die Forscherin zwar nicht. In welchem Spannungsfeld man sich bei dem Thema bewegt, bringt sie jedoch in Reaktion auf eine Frage aus dem Publikum auf den Punkt: „Gibt es einen Bereich vom Spieldesign, der Spaß macht, Nervenkitzel birgt, profitabel ist für die Anbieter und im Bereich des sicheren Spielens liegt?“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 50. Kalenderwoche geht zu Ende. Wir haben 13 neue Texte mit insgesamt 118.351 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

die meiste Zeit bin ich froh, dass ich kein Teenager mehr bin. Aber gerade in dieser Woche wäre es spannend – nur für kurze Zeit – wieder 15 Jahre alt zu sein, und zwar in Australien. Um aus nächster Nähe den Trubel zu erleben, der ausbricht, wenn der Staat mir und meinen Mitschüler*innen die Accounts auf sozialen Medien verbieten will.

Seit dem 10. Dezember sind in Australien Menschen unter 16 Jahren auf vielen populären Diensten nicht mehr erwünscht. Unter anderem Instagram, TikTok, Twitch, Reddit und YouTube haben die Aufgabe, ihre Accounts zu sperren. Was nicht hinter einer Login-Schranke steckt, lässt sich zwar weiter abrufen, etwa jugendfreie YouTube-Videos. Aber Teilhabe wie Abos und Likes, Interaktion in der Community oder gar eigene Uploads fallen weg.

Wenn ich wieder 15 wäre, hätte ich wohl versucht, mich vorzubereiten. Ich hätte einen möglichst Taschengeld-freundlichen VPN-Dienst gesucht, den ich einsetzen kann, sobald mich meine Lieblingsplattform rauskickt. Oder ich hätte irgendwie versucht, mein Gesicht älter aussehen zu lassen, um eine sogenannte Künstliche Intelligenz zu überlisten, die mein Alter schätzen soll.

Allein wäre ich damit nicht gewesen, wie die australische ABC News berichtet. Die von der Redaktion gesammelten Fälle zeigen, wie Australien den Social-Media-Banns verstolpert. „Mein 13-jähriger Sohn hat die Altersüberprüfung per Gesichtsscan bestanden, indem er seine Zähne versteckt und sein Gesicht verzogen hat“, berichtet demnach ein Elternteil. „Das System schätzte sein Alter auf über 30 Jahre.“ Andere Jugendliche wiederum waren laut ABC News überrascht, dass sie sich zunächst weiterhin problemlos einloggen konnten.

Jugendlichen wird auch ein politischer Raum genommen

Kurzfristig ist das unterhaltsam, aber auf Dauer dürfte der australische Social-Media-Bann keine Lachnummer sein. Wenn sich die Fälle häufen, in denen Teenager*innen durch die Maschen des Verbots schlüpfen, dann dürfte die australische Regierung den Druck auf die Plattformen erhöhen. Und die Plattformen dürften wiederum den Druck auf Nutzer*innen erhöhen – etwa durch noch mehr und noch strengere Alterskontrollen.

Auch die Inhalte auf den Plattformen dürften sich mit der Zeit ändern. Wenn Jugendliche kein zuverlässiges Publikum mehr sind, dann werden sich australische Creator*innen wohl anderen Zielgruppen zuwenden. Das bedeutet nicht nur: weniger Quatsch-Content für Jugendliche – dem würde ich weniger nachtrauern. Es bedeutet auch: weniger hochwertige Inhalte für junge Menschen, weniger Vorbilder, weniger politische Bildung. Der Ausschluss aus politischen Diskursen ist auch einer der Gründe, warum die Plattform Reddit jetzt die australische Regierung verklagt.

Ist der Social-Media-Bann aktiv, können viele Plattformen ihre bisherigen Mühen aufgeben, sicherere Räume für Jugendliche zu schaffen, schließlich dürfen sie offiziell nicht mehr dort sein. Kann sein, dass manche Erwachsene nun sagen: Hurra, jetzt legen die Kinder endlich ihre Handys weg und spielen wieder mit Hula-Hoop-Reifen auf der Straße!

Als ob.

Die meisten werden sich einfach andere Orte im Netz suchen. Gesunde Communitys müssten sich dort aber erst noch aufbauen. Gerade für Kinder und Jugendliche ohne engen Freundeskreis an ihrem Wohnort ist das schwierig. Nicht alle haben gute Freund*innen im direkten Umfeld. Aus allerlei Gründen können Kinder und Jugendliche dort, wo sie leben, Ablehnung erfahren. Zum Beispiel weil sie queer sind oder neurodivergent, Sprachbarrieren haben oder eine chronische Krankheit.

An dieser Stelle erinnere ich mich an mein Interview mit der US-amerikanischen TikTok-Creatorin Amelia Som. Sie erzählte mir vor drei Jahren:

In meinem Fall war das eine Community von queeren People of Color, die sich für Tabletop-Spiele wie ‚Dungeons and Dragons‘ interessieren. Ich habe in meinem Leben noch nicht so viele queere, Schwarze Nerds getroffen wie auf TikTok. Wenn man in Oklahoma lebt, ist es schwer, solche Kontakte zu knüpfen.

Mir hätte es als junger Teenager auch sehr geholfen, wenn ich zumindest in sozialen Medien Gleichgesinnte gefunden hätte – oder gar eine lebendige Community mit Menschen wie mir. Soziale Medien waren aber damals noch nicht so weit wie heute. In meinem Fall hat es letztlich auch ohne soziale Medien noch gut geklappt mit der Suche nach Gemeinschaft. Australischen Jugendliche wiederum wird ab dieser Woche etwas weggenommen, das bisher zu ihrem Leben gehört hat.

Haltet zusammen
Sebastian

---

Trugbild: Raue Storys für glatte Zeiten

Die Sehnsucht nach dem Heroischen ist groß, gerade auch im Silicon Valley. Tech-Unternehmer hängen in ihren Fantasien allzu gerne ruhmreichen Königen und mächtigen Imperien nach. Dabei wird der Ruf nach Stärke immer dort laut, wo die Komplexe am größten sind. Von Vincent Först –
Artikel lesen

Schweiz: Palantir-Software hat verheerende Risiken

Nach Risikoprüfung des Einsatzes von Palantir-Software in der Schweiz bekam der US-Konzern eine Absage, trotz jahrelanger Hofierung von Behörden und Armee. Den Eidgenossen sind die Risiken zu groß. Da drängt sich die Frage auf, warum die Palantir-Software für deutsche Polizeien gut genug sein soll. Innenminister Dobrindt wird sie beantworten müssen. Von Constanze –
Artikel lesen

Social-Media-Bann in Australien startet: Ein dunkler Tag für den Jugendschutz im Netz

Kein TikTok, kein YouTube und kein Instagram für Menschen unter 16 Jahren: Mit dem Social-Media-Bann betritt Australien netzpolitisches Neuland mit weltweiter Signalwirkung. Jugendlichen ist damit kein Stück geholfen. Ein Kommentar. Von Sebastian Meineck –
Artikel lesen

Neuer Schufa-Score: Auskunftei verspricht mehr Transparenz

Die Schufa möchte transparenter werden. Nach jahrelanger Kritik wie dem Vorwurf von manipulativen Geschäftspraktiken soll ein neuer, nachvollziehbarer Score die gewünschte Durchsicht für Nutzer*innen bringen.
Von Paula Clamor –
Artikel lesen

Internes Dokument: EU-Staaten fordern ein Jahr Vorratsdatenspeicherung für Internet-Dienste wie Messenger

Die EU-Staaten fordern ein neues Gesetz zur Vorratsdatenspeicherung, das weit über die alten Gesetze hinausgeht. Das geht aus einem EU-Dokument hervor, das wir veröffentlichen. Praktisch alle Internet-Dienste sollen Daten ihrer Nutzer anlasslos speichern, auch Messenger wie WhatsApp und Signal. Von Andre Meister –
Artikel lesen

Databroker Files: Handy-Daten exponieren Begleiter von Emmanuel Macron

Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Frühere Behörden-Domains: Ein gefährliches Glücksspiel

Wenn Behörden nicht mehr benötigte Domains aufgeben, kann das zu Problemen führen: Die vormals staatlich genutzten Adressen sind attraktiv und lassen sich für Desinformation nutzen. Einheitliche Regeln für den Umgang mit den Domains hat der Bund nicht. Auch ein Überblick fehlt. Von Anna Biselli –
Artikel lesen

Beleidigter Bundeskanzler: Wie viel „Arschloch“ darfs denn sein?

Friedrich Merz hat laut Medienrecherchen in hunderten Fällen mutmaßliche Beleidigungen strafrechtlich verfolgen lassen. Geht es dabei um die Bekämpfung von Hass im Netz oder schränken die Verfahren die freie Meinungsäußerung ein? Von Markus Reuter –
Artikel lesen

Digitale Skelette: „Wir brauchen Transparenz, wo in Gerichtsverfahren KI eingesetzt wird“

Digitale Modelle von Skeletten werden neuerdings in Strafverfahren genutzt. Warum ist das etwas anderes als ein Fingerabdruck? Und warum ist es nicht ratsam, derartige Beweismethoden für eine Anklage zu nutzen? Darüber sprechen wir im Interview mit zwei Fachleuten. Von Anna Biselli –
Artikel lesen

DNS-Massenüberwachung: „Das war dringend notwendig, diese neue Idee einer Schleppnetzfahndung im Internet abzuwenden“

Die anlasslose Massenüberwachung der DNS-Anfragen aller Kunden von Vodafone ist vorerst abgewendet. Der Netzbetreiber wehrte sich dagegen erfolgreich mit einer Verfassungsbeschwerde. Klaus Landefeld von Branchenverband eco bewertet die Methode als „völlig ungeeignet“. Er hofft, dass sie dauerhaft verboten wird. Von Constanze –
Artikel lesen

Digital Fights: Digital Lights: Wir kämpfen gegen Handydurchsuchungen bei Geflüchteten

Ausländerbehörden durchsuchen die Handys von Menschen, die abgeschoben werden sollen und dürfen dabei tief in deren Privatsphäre blicken. Dabei verwenden sie Werkzeuge, die sonst bei der Polizei zum Einsatz kommen. Wir recherchieren seit Jahren zu diesen Befugnissen und sorgen dafür, dass sie öffentlich diskutiert werden. Die Frage dahinter: Wie viele Grundrechte darf der Staat aushebeln? Von netzpolitik.org –
Artikel lesen

FinTech und Datenschutz: PayPal sammelt die sexuellen Vorlieben von Kunden

PayPal ist im Frühjahr ins Werbegeschäft eingestiegen. Der Finanzdienstleister hortet umfangreiche persönliche Informationen über Menschen, die ihn nutzen, und stellt solche Daten Werbetreibenden zur Verfügung. Ein juristisches Gutachten zeigt nun, dass das illegal ist. Von Martin Schwarzbeck –
Artikel lesen

#303 Off the Record: Über digitale Kämpfe und digitale Gipfel

Kurz vor Jahresende schauen wir immer wieder auf den Spendenbalken, der anzeigt, wie viel Geld wir noch für unsere Arbeit brauchen. Fio erzählt, was hinter der diesjährigen Jahresend-Kampagne steckt, und Daniel berichtet von seinem Ausflug in die Digitalgipfel-Welt. Von Anna Biselli –
Artikel lesen

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.

Diese Recherche entstand in Kooperation mit folgenden Medien: Le Monde (Frankreich), L’Echo (Belgien), Bayerischer Rundfunk. Sie ist Teil der „Databroker Files“.

---

Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.

Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.

So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.

Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.

Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.

Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen

Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.

Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.

Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.

Zuvor hat das Team etwa über Standortdaten aus Belgien und aus Deutschland berichtet. Andere Medien enthüllten auf eigene Faust ähnliche Missstände in den Niederlanden, Norwegen, Schweden, der Schweiz, Irland und Italien.

All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.

Besuche in der Deutschen Botschaft und beim Polo

Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.

Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.

Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.

Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.

Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.

Das Problem: Sensibilisierung reicht nicht. Um dem Standort-Tracking durch die Online-Werbeindustrie zu entgehen, müssen Nutzer*innen intensiv und lückenlos digitale Selbstverteidigung anwenden, bis hin zum Verzicht auf populäre Online-Dienste. Die vielfältigen Wege, über die Daten abfließen können, sind kaum zu überblicken. Nicht einmal auf Datenschutz-Labels in App-Marktplätzen kann man sich verlassen, wie unsere Recherchen gezeigt haben.

Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.

Eine Gefahr für Europa

Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.

Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.

Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht ​​​​​​​nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.

Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP.​​​​​​​ Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.

EU könnte Datenschutz noch weiter abschwächen

Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“

Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.

Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.

---

Hier liest du, wie du deinen Standort vor Databrokern schützen kannst. Und hier sind alle unsere Texte zu den Databroker Files.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Kein TikTok, kein YouTube und kein Instagram für Menschen unter 16 Jahren: Mit dem Social-Media-Bann betritt Australien netzpolitisches Neuland mit weltweiter Signalwirkung. Jugendlichen ist damit kein Stück geholfen. Ein Kommentar.

Am 10. Dezember beginnt das Social-Media-Verbot in Australien. Menschen unter 16 Jahren dürfen Plattformen wie TikTok, Instagram und YouTube nicht mehr nutzen, Hunderttausende Jugendliche verlieren Schätzungen zufolge ihre Accounts. Die australische Regierung hofft damit, junge Menschen vor den Gefahren des Internet zu bewahren.

Der australische Social-Media-Bann ist vor allem Symbolpolitik, und nur aus dieser Perspektive ist er ein Erfolg. Denn weltweit schauen jetzt Konzerne, Politik und Medien nach Australien. Vermutlich klopfen sich die Verantwortlichen allein deshalb schon auf die Schultern. Regierungen anderer Länder könnten sich das australische Modell sogar zum Vorbild nehmen. Hoffentlich tun sie das nicht.

Denn die australische Regierung erweckt nur den Eindruck von Handlungsfähigkeit. Es scheint nur so, als könnte sie harte Kante gegen Tech-Konzerne zeigen, die andere Regulierungsversuche oftmals geschickt umschiffen. In Wahrheit ist den betroffenen Jugendlichen mit dem Social-Media-Bann nicht geholfen. Ihre Bedürfnisse und Probleme spielen keine Rolle; die Regulierung verfehlt ihr Ziel.

Schon wer Social Media mit Alkohol oder Tabak vergleicht, hat das Problem nicht verstanden. Es geht nicht um nachweislich schädliche Substanzen, sondern um vielfältige, digitale Räume. In solchen digitalen Räumen suchen Jugendliche Spaß und soziale Kontakte, Aufklärung und Vorbilder. Das australische Social-Media-Verbot versperrt Jugendlichen lediglich den offiziellen Zugang zu einer Auswahl dieser Räume. (Update, 17:50 Uhr: Auf YouTube sollen sie zumindest ohne Account noch Videos sehen können.)

Was junge Menschen statt plumper Sperren brauchen, sind sichere, digitale Räume. Sie brauchen Kompetenzen, um sich zunehmend eigenständig in diesen digitalen Räumen zu bewegen. Und sie brauchen Vertrauenspersonen, die Zeit haben, sie einfühlsam zu begleiten.

Was Kinder im Netz erleben, und was Politik daraus lernen kann

Die Konsequenz des australischen Verbots: Junge Menschen werden ihren Bedürfnissen nach Spaß und Gemeinschaft, ihrer Neugier und ihrem Durst nach neuen Erfahrungen anderswo im Netz weiter nachgehen. Viele werden auf weniger bekannte Websites ausweichen. Und auf Dienste, die nicht vom Verbot betroffen sind, etwa Spiele und Messenger wie WhatsApp. Gerade WhatsApp ist für viele Kinder und Jugendliche selbst ein soziales Netzwerk und Schauplatz für Mobbing. Andere Jugendliche wiederum dürften die Altersschranken mithilfe von VPN-Software oder anderen Tricks digitaler Selbstverteidigung einfach überwinden.

Mutige Netzpolitik sieht anders aus

Das Social-Media-Verbot in Australien führt sogar zu noch mehr Kontrollverlust. Zuvor hatten Regulierungsbehörden klare Ansprechpersonen bei den großen Konzernen. Wenn auch widerspenstig haben sie zunehmend Maßnahmen für mehr Jugendschutz umgesetzt. Künftig müssen sich Plattformen wie TikTok und Instagram nicht einmal mehr darum bemühen, sichere Räume für australische Jugendliche unter 16 Jahren zu schaffen. Weil unter 16-Jährige dort offiziell nicht mehr sein dürfen.

Der Social-Media-Bann in Australien ist nicht mutig oder radikal, er ist eine Scheinlösung. Mutige Netzpolitik würde widerspenstige Tech-Konzerne unter Androhung hoher Geldbußen in die Verantwortung nehmen und sich nicht davor scheuen, das vor Gericht auszufechten. Weg mit manipulativen Designs; weg mit auf Sogwirkung optimierten Feeds, die jüngere und ältere Menschen stundenlang an den Bildschirm fesseln. Her mit sicheren Voreinstellungen, die verhindern, dass Fremde mit krimineller Energie Kontakt zu Minderjährigen anbahnen können. Her mit fair bezahlten und gut ausgestatteten Moderationsteams, die Meldungen von Nutzer*innen sorgfältig bearbeiten.

Das und mehr liefert Australien nicht. Stattdessen lässt der Staat die Jugendlichen mit ihren Problemen und Bedürfnissen allein. Das macht den 10. Dezember zu einem dunklen Tag für Jugendliche in Australien – und auch für Erwachsene.

Denn Millionen Menschen müssen in Australien künftig für ihre digitale Teilhabe den Ausweis zücken, um die Altersschranken zu überwinden. Massenhaft werden dabei sensible Daten bei teils zweifelhaften Drittanbietern landen. Nach diesem Schatz dürften sich sowohl Polizeibehörden als auch Online-Kriminelle schon jetzt die Finger lecken.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Zwar hat ein deutsches Verwaltungsgericht die verhängten Netzsperren gegen Pornhub gekippt. Dennoch will die Plattform anscheinend Alterskontrollen in der EU einführen, wie der Konzern auf Anfrage von netzpolitik.org mitteilt. Hinter dem möglichen Kurswechsel steckt eine Strategie.

Lange hat sich Pornhub in Deutschland dagegen gewehrt, das Alter seiner Nutzer*innen zu kontrollieren. Pornhub ist eine der weltgrößten Pornoseiten und zugleich eine der meistbesuchten Websites. Im Namen des Jugendschutzes soll Pornhub etwa die Ausweise aller Besucher*innen prüfen, um Minderjährige fernzuhalten. In Deutschland setzt sich die Medienaufsicht dafür ein. Während sich die Pornoseite seit Jahren vor deutschen Gerichten gegen die Regulierungsbehörde stemmt, kündigt Mutterkonzern Aylo nun einen Kurswechsel an.

„Aylo ist einer der ersten Teilnehmer am Pilotprogramm der Europäischen Kommission zur Einführung der Altersverifikation über die europäische Altersverifikations-App“, schreibt ein Sprecher auf Anfrage von netzpolitik.org.

Die EU ist ein weiterer Player bei der Durchsetzung von Jugendschutz im Netz – und ein größerer als die deutsche Medienaufsicht. Aktuell arbeitet die EU-Kommission an einer App zur Alterskontrolle. Diese App können altersbeschränkte Dienste wie etwa Pornoseiten vorschieben, um ihre Besucher*innen zu filtern. Schon jetzt testen das fünf Mitgliedstaten. Künftig sollen die Funktionen der App in der digitalen Brieftasche (European Identity Wallet, EUDI) aufgehen, die laut Plan im Jahr 2026 kommen soll.

Widersprüchliche Signale von Pornhub-Mutter Aylo

Warum bekennt sich Pornhub plötzlich zum Einsatz dieser Alterskontroll-App – sogar als einer der ersten? Auf Anfrage teilt der Konzern mit, sich schon seit Jahren für effektive und durchsetzbare Alterskontrollen eingesetzt zu haben. „Wir alle wollen die Sicherheit von Minderjährigen im Internet gewährleisten, und wir alle tragen gemeinsam die Verantwortung dafür“, so ein Sprecher auf Englisch.

Noch vor einem Jahr führte die Argumentation von Pornhub allerdings in eine andere Richtung. In ihrem ersten Interview mit einem deutschsprachigen Medium sagte Alex Kekesi, Leiterin für Community- und Markenmanagement bei Pornhub, damals gegenüber netzpolitik.org: Wenn Websites des Alter von Nutzer*innen kontrollieren, berge das „reale Gefahren“. Konkret sagte sie:

Wie viele Websites für Erwachsene gibt es weltweit? Vermutlich Hunderttausende, wenn nicht Millionen. Wie soll eine Regierung all diese Seiten überwachen können? Es ist schlicht unmöglich, überall das Alter zu kontrollieren. Bei Kontrollen auf Website-Ebene werden gerade große Plattformen zur Zielscheibe, weil sie dann gesperrt werden oder schwerer zugänglich sind. Das treibt das Publikum zu kleineren Websites, die oft nicht einmal ihre Inhalte prüfen und sich an keine Altersvorgaben halten.

Stattdessen plädierte die Pornhub-Managerin für Kontrollen auf Ebene von Betriebssystemen. Demnach sollte das Alter direkt bei der Einrichtung eines Geräts geprüft werden. Nun scheint es, dass Pornhub doch klein beigibt und sich den Anforderungen der EU-Kommission beugen will.

Mit Sicherheit sagen lässt sich das derzeit aber nicht. Denn auf konkrete Rückfragen zu den geplanten Alterskontrollen reagierten sowohl die EU-Kommission als auch Aylo nebulös.

„Es gab Aufrufe, Pornos zu verbieten“

Die Pressestelle der EU-Kommission konnte auf Anfrage von netzpolitik.org zunächst nichts Näheres dazu sagen, ob Pornhub überhaupt Teil eines „Pilotprogramms“ ist. Wenn wir eine weitere Antwort erhalten, werden wir den Artikel ergänzen.

Alyo wiederum möchte auf Nachfrage nicht näher benennen, wann genau Pornhub die Alterskontroll-App für EU-Nutzer*innen einführen will. Einerseits schreibt der Sprecher: „Wir sind entschlossen, in allen Ländern, in denen wir geschäftlich tätig sind, stets die gesetzlichen Vorgaben einzuhalten.“ Das deutet auf eine zeitnahe Einführung der Alterskontrollen hin.

Andererseits schreibt der Sprecher: „Wir glauben, dass eine solche Lösung wirksam sein kann, wenn sie branchenweit eingesetzt wird.“ Zudem müsse die Abwanderung von Nutzer*innen zu anderen Websites verhindert werden. Das deutet darauf hin, dass Pornhub den Einsatz der App an Bedingungen knüpft – die auf absehbare Zeit nicht eintreten. Denn technisch lässt sich nicht zuverlässig verhindern, dass Menschen genervt eine Seite ohne Alterskontrollen ansteuern.

Strategie: Testballon

Die Widersprüche ergeben mehr Sinn, wenn man die zugrundeliegende Strategie der Plattform betrachtet. Während Regierungen weltweit den Druck auf Pornoseiten erhöhen, erprobt Pornhub je nach Land verschiedene Reaktionen – wohl um herauszufinden, was dem Konzern am meisten nutzt. Pornhubs Reaktionen lassen sich mit Testballons vergleichen.

• In einigen Bundesstaaten der USA hat Pornhub selbst den Zugriff auf die Seite blockiert. Statt sich den dortigen Gesetzen für Alterskontrollen zu beugen, hat Pornhub den Einbruch von Klicks in Kauf genommen.
• Im Juni 2025 hat Pornhub dasselbe in Frankreich getan und den Zugang für dortige Nutzer*innen blockiert. „Website-basierte Altersüberprüfung funktioniert nicht. Es schützt keine Kinder und setzt die Daten von Millionen Franzosen Datenschutzverletzungen und Hacking aus“, warnte der Konzern auf Englisch und plädierte einmal mehr für Alterskontrollen auf Ebene von Betriebssystemen. „Ihre Regierung wird Ihnen diesbezüglich nicht die Wahrheit sagen, aber wir werden es tun.“
• In Großbritannien wiederum hat Pornhub im Sommer 2025 Alterskontrollen eingeführt, wie es der dortige Online Safety Act verlangt.

Warum also zeigt sich Pornhub neuerdings offen für Alterskontrollen in der EU? Ein Faktor könnte sein, dass Brüssel ein weiteres Druckmittel in der Hand hat. Dort hat die EU-Kommission Pornhub nämlich als „sehr große Plattform“ (VLOP) nach dem Gesetz über digitale Dienste (DSA) eingestuft. Diesen Status haben nur die größten Online-Dienste in der EU. Er geht mit erweiterten Pflichten einher. Betroffene Dienste müssen besonders transparent sein und verstärkt Risiken eindämmen, auch für Minderjährige. Andernfalls drohen Geldbußen. Pornhub wehrt sich gegen die Einstufung als VLOP und beruft sich auf angeblich gesunkene Nutzungszahlen.

Ein weiterer Faktor dürfte sein, dass die geplante Alterskontroll-App der EU zumindest ein Stück weit den Anforderungen von Pornhub entgegenkommt. Zwar bringt die App keine Alterskontrolle auf Ebene des Betriebssystems, wie es der Konzern oftmals gefordert hat. Aber die App verspricht – je nach konkreter Ausgestaltung – Datensparsamkeit. Das könnte verhindern, dass zahlreiche externe Anbieter sensible Ausweisdaten horten, wie es Gutachter*innen jüngst in Australien beobachtet haben.

EU-Kommission gibt klares Jein zu Alterskontrollen

Verwaltungsgericht Düsseldorf kippt Netzsperren

Im Ringen zwischen Pornhub und EU-Kommission ist das letzte Wort also noch lange nicht gesprochen. Zumindest in Deutschland hat die Plattform jüngst einen Etappensieg erzielt. Am 19. November hat das Verwaltungsgericht Düsseldorf die gegen Pornhub und die Schwesterseite YouPorn verhängten Netzsperren wieder gekippt.

Angeordnet wurden die Netzsperren von der Landesanstalt für Medien Nordrhein-Westfalen, nachdem Pornhub in Deutschland keine Alterskontrollen einführen wollte. Sowohl Pornhub als auch betroffene Provider sind deshalb vor Gericht gezogen. Auch wenn sich Netzsperren kinderleicht umgehen lassen, gelten sie als besonders gravierende Maßnahme, das vor allem autoritäre Staaten gerne einsetzen.

Der Rechtsstreit auf Deutschland-Ebene macht anschaulich, wie unterschiedlich Pornhub gemäß seiner Testballon-Strategie handelt. In den USA und Frankreich hatte Pornhub den Zugang zur Website freiwillig blockiert. In Deutschland wiederum ging die Plattform vor Gericht, um nicht blockiert zu werden.

Der Grund für Pornhubs jüngsten Etappensieg in Düsseldorf liegt im Wandel der Zuständigkeiten auf nationaler und EU-Ebene. Die Plattform konnte mit Blick auf die verhängten Netzsperren erfolgreich argumentieren, dass nicht etwa die Anordnungen der deutschen Medienaufsicht Vorrang haben, sondern EU-Recht. Deshalb durften die betroffenen Internet-Provider die Netzsperren wieder aufheben.

Medienaufsicht kämpft um Zuständigkeit

All das ist aber nicht endgültig. Die deutsche Medienaufsicht will die Einschränkung ihrer Kompetenzen nicht hinnehmen und hat bereits Beschwerde gegen die Beschlüsse aus Düsseldorf eingelegt. Das bestätigt die Behörde auf Anfrage von netzpolitik.org. Darüber entscheiden wird das Oberverwaltungsgericht in Münster. Auch das Hauptsacheverfahren läuft weiter. In diesem Verfahren geht es ebenso darum, ob für Pornhub der europäische oder der nationale Rechtsrahmen Vorrang hat.

Vor den deutschen Verwaltungsgerichten werden also noch zwei Konflikte ausgetragen. Für Pornhub geht es darum, mit welcher Regulierungsbehörde sich die Plattform künftig herumschlagen muss. Für die deutsche Medienaufsicht geht es darum, ob sie nach jahrelangem Kampf gegen frei verfügbare Pornografie in Deutschland ihre Zuständigkeit gegenüber Brüssel einbüßt.

„Den betroffenen Kindern ist es vermutlich ziemlich egal, wer sie schützt, nur passieren müsste es“, kommentiert Tobias Schmid, Direktor der Landesanstalt für Medien NRW. Ganz so entspannt, wie das Zitat es nahelegt, dürfte die Haltung seiner Behörde jedoch nicht sein. Denn mit ihrem Vorgehen gegen Pornoseiten konnte die Landesanstalt für Medien über viele Jahre lang öffentliche Aufmerksamkeit für ihre Arbeit gewinnen und sogar ihre Instrumente erweitern.

Jüngst hat die Novelle des Staatsvertrags für Jugendmedienschutz (JMStV) der Medienaufsicht zwei neue mächtige Werkzeuge beschert. Diese Machterweiterung geht direkt auf das Engagement der Behörde gegen Pornoseiten zurück. So soll die Medienaufsicht künftig einfacher Netzsperren anordnen können und widerspenstigen Diensten über Zahlungsdienstleister den Geldhahn abdrehen dürfen. Selbst wenn die Medienaufsicht bald einen Teil ihrer Zuständigkeit für Pornoseiten verlieren sollte – diese Instrumente bleiben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In seinem Buch „Allein mit dem Handy“ beschreibt Digitaltrainer Daniel Wolff lebhaft, was Kinder ihm beigebracht haben – über ihre Erlebnisse im Netz und ihre Angst vor den Eltern. Das Buch hebt die Debatte um Jugendmedienschutz auf ein neues Level. Eine netzpolitische Rezension.

Kinder waren wir alle mal, auch wenn nicht alle eine digitale Kindheit hatten. Daran erinnert Autor Daniel Wolff die Leser*innen seines Buchs immer wieder, und er appelliert direkt an ihr Einfühlungsvermögen. „Stellen Sie sich bitte für einen Moment kurz vor, Sie wären heute noch mal jung“, schreibt er. „Würden Sie nicht auch versucht sein, unendlich viel Spaß und Anerkennung auf Social-Media-Plattformen zu suchen (und zu finden), die drei Viertel Ihrer Freunde täglich und nächtlich permanent nutzen?“

Das Zitat ist ein gutes Beispiel für die besondere Perspektive des Buchs. Als Digitaltrainer ist Wolff durch Hunderte Schulen gereist, darunter Grundschulen und weiterführende Schulen. Er hat mit Kindern, Jugendlichen, Eltern und Lehrer*innen gesprochen. Anschaulich gibt er wieder, wie Kinder etwa über Grusel-Videos oder aufdringliche Pädokriminelle erzählen. Über verlockende Smartphone-Spiele, die einem förmlich das Geld aus der Tasche ziehen; und über Tricks, um heimlich mit dem Handy im Bett die Nacht durchzumachen.

Die Wirren der Digitalgesetzgebung kümmern ihn ebenso wenig wie akademische Forschungsdesigns. „Ich bin kein Wissenschaftler, sondern Pragmatiker“, schreibt Wolff, und das merkt man seinem Buch an. Er teilt seine Erfahrungen aus dem direkten Austausch mit vielen Kindern und Eltern, und füllt damit eine wichtige Lücke in der Debatte um Jugendmedienschutz.

Sein Buch zeigt, wie die Mühen von Gesetzgebern und Aufsichtsbehörden oftmals weit entfernt von dem sind, was Kinder und Eltern in ihrem Alltag beschäftigt. Während Politiker*innen weltweit vor allem auf technische Lösungen hoffen, macht Wolff mit Nachdruck klar: Ohne intensive Anstrengungen von Eltern wird das nichts.

Einerseits kommt diese Rezension spät, denn das Buch ist bereits 2024 erschienen. Zugleich könnte sie kaum aktueller sein, denn Anfang September hat das Familienministerium eine neue Expert*innen-Kommission einberufen. Ein Jahr lang soll sie Empfehlungen entwickeln, um Kinder und Jugendliche im Netz besser zu schützen. Dabei sollen Fachleute aus mehreren Disziplinen zusammenkommen.

Auch diese Rezension will Verknüpfungen herstellen. Sie rückt acht im Buch besprochene Probleme in den Mittelpunkt und stellt die Frage: Was lässt sich daraus netzpolitisch lernen?

• 1. Smartphones fressen Schlafenszeit
• 2. Messenger-Gruppen mit Kindern explodieren
• 3. Kinder testen mit Gewalt und Horror ihre Grenzen
• 4. Wo „für Kinder“ draufsteht, ist nicht „für Kinder“ drin
• 5. Die Sogwirkung optimierter Feeds ist unwiderstehlich
• 6. Handy-Spiele nutzen alle Tricks, um an Taschengeld zu kommen
• 7. Kinder haben Angst vor der Reaktion ihrer Eltern
• 8. Digitale Medienerziehung ist harte Arbeit
• Und jetzt? Ein Ausblick

1. Smartphones fressen Schlafenszeit

🚧 Das Problem: Auf seiner Tour durch deutsche Schulen ist Digitaltrainer Wolff vielen auffällig müden Kindern begegnet. Er beschreibt ihre Augenringe, teils schon in dritten Klassen. Lehrkräfte und Eltern würden von „zunehmend unausgeschlafenen, fahrigen und/oder aggressiven Kindern“ berichten. Der mutmaßliche Grund: Mehr als die Hälfte der deutschen Kinder von 6 bis 13 Jahren würden ein Smartphone mit ins Bett nehmen.

„Vielen Eltern scheint nicht einmal im Ansatz klar zu sein, dass Kinder ein Gerät mit einem extrem hohen Aufforderungscharakter wie ein modernes Smartphone, das sich in ihrem Schlafzimmer befindet, tatsächlich nachts auch nutzen!“, schreibt Wolff. Kinder und Jugendlichen ein Smartphone mit ins Bett zu geben sei die mit Abstand „schädlichste Idee“ der Elterngeneration. In fast jeder Grundschule hätten bereits einzelne Kinder die Nacht vor einem neuen Schultag im Internet durchgemacht.

Wolffs Fazit:

Mit einer einzigen konzertierten Maßnahme könnten wir mit einem Schlag in kürzester Zeit den Bildungsstandard und alle schulischen Leistungen in ganz Deutschland positiver beeinflussen als mit allen milliardenschweren Schulreformen zusammen: KEIN SMARTPHONE INS KINDERBETT! Ausgeschlafene Kinder sind fröhlicher, konzentrierter, friedfertiger, freundlicher – und leistungsfähiger!

Damit das funktioniert, empfiehlt der Digitaltrainer, dass die ganze Familie mitmacht. „Keiner in der Familie nutzt abends nach dem Zähneputzen noch digitale Geräte – und morgens vor dem Zähneputzen auch nicht!“ Die Handys könnten in dieser Zeit etwa in ein Familienladegerät kommen, das an einem zentralen Punkt in der Wohnung steht.

🧭​ Die netzpolitische Perspektive: Aktuell kreist die Debatte in Politik und Nachrichtenmedien vor allem um Handys in der Schule und um soziale Medien. Es geht um Gesetze und Kontrollen. Wie eine Familie nachts mit ihren Handys umgeht, hat damit zunächst wenig zu tun. Das Beispiel zeigt aber: Jugendmedienschutz wird mit Gesetzen und Schulverboten allein nicht funktionieren. Man muss alles in den Blick nehmen, was Kinder mit ihren Handys machen. Wenn es um Schlafmangel geht, ist auch die Debatte um einen späteren Schulbeginn relevant, der einem gesunden Schlafrhythmus näher käme.

2. Messenger-Gruppen mit Kindern explodieren

🚧 Das Problem: Schon wenn die Schüler*innen einer Klasse nur miteinander einen Messenger nutzen, ist Jugendmedienschutz gefragt. Wolff berichtet von sprudelnden Nachrichten im Klassenchat, oftmals Sticker und Emojis. Hunderte Nachrichten pro Tag in fünften und sechsten Klassen, Tausende in siebten und achten Klassen, auch in der Nacht. „Selbst wenn wir Erwachsenen eine solche Nachrichtenflut innerhalb weniger Stunden nicht kennen – tut es so gut wie jeder Siebtklässler!“, schreibt Wolff.

Der meistgenutzte Messenger sei WhatsApp. „Ich habe noch keine Schule kennengelernt, bei der die Klassenchats am Ende nicht doch im Wesentlichen über WhatsApp gelaufen sind“, schreibt Wolff. Durch Klassenchats entstehe ein „nie endender 24-Stunden-Schultag“. Ab dem ersten Klassenchat werde WhatsApp „gefühlt sozial so unverzichtbar, dass nahezu alle Kinder unbedingt ein Smartphone haben wollen. Aus ihrer Sicht: müssen.“

Die Beschreibungen des Digitaltrainers zeigen: Klassenchats sind wie ein belebter Schulhof, aber die Große Pause auf diesem virtuellen Hof dauert den ganzen Tag. Und es sind meist keine Erwachsenen in Sicht. „Meiner ganz persönlichen, sehr groben Einschätzung nach findet etwa 70 Prozent des Cybermobbings an deutschen Schulen auf WhatsaApp statt“, warnt Wolff. Die letzten, die davon etwas mitbekämen, seien oft die Eltern.

Er rät deshalb zum engen Kontakt zwischen Eltern und Kindern, und zwar von Anfang an. „Erlauben Sie Ihrem Kind WhatsApp nur, wenn Sie bei Bedarf mitlesen dürfen“, schreibt er. Zum Beispiel könne man sagen:

Ich werde das nicht tun, um dich zu kontrollieren, sondern um dich zu schützen, weil ich als dein Elternteil auch im Internet verantwortlich für dich bin, solange du noch ein Kind bist. Ich werde dir aber immer vorher Bescheid sagen, immer mit dir gemeinsam reinsehen – und niemals alleine.

Das hätte sogar einen Effekt auf den ganzen Klassenchat. „Wenn in einer Klasse bekannt ist, dass es Eltern gibt, die ab und zu mal in den Klassenchat reinsehen, tauchen wundersamerweise von vornherein weder brutale Sachen dort auf – noch gruselige, eklige, nackige oder politisch zweifelhafte!“, schreibt Wolff.

🧭​ Die netzpolitische Perspektive: Die politische und mediale Debatte um Jugendmedienschutz beschreibt oftmals Gefahren von Außen, etwa durch schädliche Inhalte oder Kontaktaufnahme durch Fremde. Die damit verbundene Hoffnung ist, dass sich die meisten Gefahren durch Abschottung der Kinder mit technischen Mitteln abwenden lässt.

Dabei geriet zuletzt in den Hintergrund, was Kinder und Jugendliche erleben, wenn sie schlicht untereinander online kommunizieren. Wie der genutzte Messenger heißt oder welche Altersfreigabe er hat, ist dafür zweitrangig. Für dieses konkrete Szenario sind vor allem Eltern oder Aufsichtspersonen gefragt.

3. Kinder testen mit Gewalt und Horror ihre Grenzen

🚧 Das Problem: Ob aus Neugier oder Gruppendruck, als Mutprobe oder durch den Reiz des Verbotenen – Kinder suchen und finden mit dem Smartphone Inhalte für Erwachsene, etwa Horror und Grusel. „Gewaltdarstellungen sind auf Kinder-Smartphones unvermeidbar“, hält Digitaltrainer Wolff fest. Er schreibt:

In den 3. und 4. Klassen heben bei der Frage: ‚Habt ihr schon einmal etwas so Grausames, Blutiges oder Brutales gesehen, dass ihr nicht mehr schlafen konntet?‘, fast immer alle Kinder, die bereits ein eigenes Smartphone besitzen, die Hand.

Wer danach sucht, finde solche Videos auch auf YouTube und TikTok. Hinzu kommen Websites mit Sitz im Ausland, die gezielt verstörende Inhalte verbreiten. „Kinder, die WhatsApp auch in größeren Gruppen wie Klassenchats nutzen, können jederzeit Links für extrem brutale, grausame oder gruselige Videos geschickt bekommen“, warnt Wolff.

Der Digitaltrainer empfiehlt etwa YouTube nur in Hörweite der Eltern zu schauen. Allerdings rät Wolff auch: „Bereiten Sie Ihr Kind auf das Unvermeidliche vor“. Eltern sollten vorher über die vielen „schlimmen“ Sachen sprechen, die es gebe. „Dann ist Ihr Kind vorbereitet und weiß, dass Sie im Falle eines Falles ein kompetenter Ansprechpartner sind!“

🧭​ Die netzpolitische Perspektive: In Politik und Nachrichtenmedien werden vor allem Maßnahmen wie Filter und Alterskontrollen diskutiert. Sie sollen es Kindern schwerer machen, potenziell schädliche Inhalte zu finden. Dabei wird unterschätzt, wie gezielt Kinder solche Inhalte suchen, weil die Anreize dafür so stark sind, etwa Neugier und Gruppendruck. Deshalb muss Teil der Lösung sein, möglichst viele Kinder für das – wie Wolff es nennt – „Unvermeidbare“ zu rüsten.

4. Wo „für Kinder“ draufsteht, ist nicht „für Kinder“ drin

🚧 Das Problem: Online-Angebote mit Labels wie „ab 0 Jahren“ oder „ab 6 Jahren“ sind trügerisch. So würden zunächst kinderfreundliche Spielen oftmals nicht kinderfreundliche Werbeclips anzeigen, schreibt Wolff, darunter rassistische Werbung. „Hunderttausende Spiele-Apps spülen täglich millionenfach minderwertigen Mist auf die Bildschirme unserer Kinder“, kritisiert er.

Ein Knackpunkt ist die schiere Masse an Inhalten, wie aus dem Buch hervorgeht – und der mangelnde Wille, das angemessen zu prüfen. Zum Beispiel würden sogar auf einer dezidiert für Kinder vermarkteten Plattform wie YouTube Kids Inhalte landen, die nicht für Kinder geeignet sind. Das konnte netzpolitik.org mühelos bestätigen: Das oben abgebildete Zombie-Grusel-Video erschien über Empfehlungen auf YouTube Kids, selbst bei der niedrigsten Altersstufe bis 4 Jahre.

Möglich ist so etwas, weil große Plattformen die Massen an neuen Inhalten oftmals nur flüchtig prüfen, etwa anhand von Stichworten, auch wenn Uploads als kindgerecht gekennzeichnet wurden. Das ist kein Vergleich zur sorgfältigen, händischen Kuratierung von Sendungen, die etwa im klassischen Kinderfernsehen zu sehen sind.

🧭​ Die netzpolitische Perspektive: Schon jetzt gibt es Rechtsgrundlagen, die Plattformen zur Risikominderung für Minderjährige verpflichten, etwa das Gesetz über digitale Dienste (DSA). Das könnte etwa über Empfehlungssysteme oder Inhaltsmoderation passieren. Das Gesetz ist allerdings recht neu; die dazu gehörigen Aufsichtsbehörden nehmen erst langsam ihre Arbeit auf. Weil sorgfältiger Umgang mit hochgeladenen Inhalten teuer ist, dürften sich Online-Konzerne gegen alles wehren, das Geld kostet.

5. Die Sogwirkung optimierter Feeds ist unwiderstehlich

🚧 Das Problem: Werbefinanzierte Plattformen wie TikTok, Instagram oder YouTube haben ein Interesse daran, die Aufmerksamkeit ihrer Nutzer*innen zu binden. Mehr Nutzungszeit bedeutet mehr Werbung und mehr Geld. Inhalte, Features, Oberflächen und Algorithmen werden dahingehend optimiert. Digitaltrainer Wolff vergleicht etwa TikTok mit einem „Trommelfeuer der Sensationen“.

Mit Blick auf YouTube schreibt der Autor:

Stellen Sie sich aus Kindersicht einen Bildschirm mit einer Million Programmen vor, auf dem ganz einfach immer was Spannendes und Lustiges läuft! Und das Beste: Man kann diesen Bildschirm auch noch in die Hose stecken und dann heimlich auf dem Klo oder im Bett weitergucken!

Umso stärker sind die Anreize für Kinder und Jugendliche, das Gerät möglichst intensiv zu nutzen. Eltern rät Wolff: „Schaffen Sie Alternativen für Ihr Kind!“, also Aktivitäten, bei denen digitale Geräte stören.

🧭​ Die netzpolitische Perspektive: Die enorme Sogwirkung algorithmisch sortierter Feeds hat die EU-Kommission bereits auf dem Schirm, etwa in den Leitlinien zum Schutz von Minderjährigen auf Basis des Gesetzes über digitale Dienste (DSA). Demnach müssen Dienste Maßnahmen ergreifen, um Risiken zu mindern, zum Beispiel: kein unendliches Scrollen in einem Feed; keine Push-Benachrichtigungen, entschärfte Empfehlungssysteme. Auch in diesem Fall sind also Werkzeuge für Aufsichtsbehörden vorhanden, aber die Durchsetzung rollt erst an. Tech-Konzerne werden ihre finanziellen Interessen schützen wollen und sich dagegen wehren.

Die EU-Kommission sieht den Widerstand kommen. „Wenn es um die Sicherheit unserer Kinder im Internet geht, glaubt Europa an Eltern, nicht an Gewinne“, behauptete jüngst Kommissionspräsidentin Ursula von der Leyen (CDU) in ihrer Rede zur Lage der Union, in der sie vor allem Alterskontrollen befürwortete. In anderen Bereichen wie Datenschutz oder KI-Regulierung gibt es immer wieder Beispiele dafür, dass sich Lobby-Interessen am Ende doch durchsetzen.

6. Handy-Spiele nutzen alle Tricks, um an Taschengeld zu kommen

🚧 Das Problem: Begeisterte Kinder und Jugendliche lassen bei Anbietern von Smartphone-Spielen die Kassen klingeln. Per In-App-Kauf können Nutzer*innen zum Beispiel häufiger gewinnen oder seltene, virtuelle Gegenstände erwerben. Das ist für Kinder und Jugendliche nicht nur verlockend, weil es Spaß macht, sondern auch, weil es soziale Anerkennung bringt. „Vor allem für die Jungs wird es sehr schnell sehr kompetitiv, weil alle anderen immer sehen können, wie viel und wie gut man in letzter Zeit so gespielt hat“, schreibt Digitaltrainer Wolff.

Wenn sie dürfen oder können, machen manche Kinder ihr Lieblingsspiel „zum absoluten Lebensmittelpunkt“, schreibt Wolff. „Es gibt dann nichts anderes mehr auf der Welt als Brawl Stars (sehr beliebt in den Klassen 3 bis 7) oder Fortnite (meist ab den 5. Klassen aufwärts).“ Bereits Grundschulkinder würden Hunderte Euro für Smartphone-Games ausgeben.

Dabei würden Anbieter an allerlei Tricks nutzen, damit Kinder das Handy nicht mehr weglegen wollen und möglichst viel Geld ausgeben. Zum Beispiel Glücksspiel-ähnliche Lootboxen, also virtuelle Geschenkkartons, die man für echtes Geld kaufen muss. Meist ist nichts Interessantes drin, selten aber schon. Hinzu kommen manipulative Aufforderungen wie „Schnell dieses Special-Angebot kaufen: NUR HEUTE gibt es noch 45 Extra-Diamanten zum Preis von 10“, schreibt Wolff.

Die Gaming-Branche ist inzwischen das größte Segment der Unterhaltungsindustrie, noch vor Musik oder Filmen. Ein Teil der Einnahmen dürfte von Eltern kommen, die damit ihre Kinder glücklich machen wollen – oder einfach nur ruhigstellen. Wolff schlussfolgert:

Wir haben zugelassen, dass eine völlig unregulierte milliardenschwere Industrie mit allen Psycho-Tricks der Welt den Wunsch unserer Kinder nach Anerkennung industriell monetarisiert und täglich millionenfach aberntet – und haben noch nicht einmal begriffen, dass und wie das passiert.

🧭​ Die netzpolitische Perspektive: Abzocke und Manipulation durch Handy-Spiele ist in der öffentlichen Debatte um Jugendmedienschutz selten Thema. Dabei schadet das auch erwachsenen Gamer*innen. Mühen beispielsweise zur Regulierung von Lootboxen gibt es seit Jahren, allerdings mit wenig Erfolg. Zumindest im Gesetz über digitale Dienste (DSA) gibt es Ansätze, manipulative Designs bei Diensten einzudämmen.

Wie groß ist wohl der politische Wille, am Finanzierungsmodell einer Milliardenindustrie wie der Gaming-Branche zu rütteln? Eine Gelegenheit hätte die EU-Kommission: Mit dem geplanten Digital Fairness Act will sie Lücken im Online-Verbraucherschutz schließen.

7. Kinder haben Angst vor der Reaktion ihrer Eltern

🚧 Das Problem: „Millionen Kinder der Welt verschweigen eisern, was ihnen online tags und nachts so begegnet“, schreibt Digitaltrainer Wolff. „Die Eltern wiederum leben fröhlich vor sich hin und glauben, dass es bei der Internetnutzung ihrer Kinder keine wesentlichen Probleme gäbe“.

Der Grund für das Schweigen ist Wolff zufolge simpel: Kinder wollen ihr Smartphone behalten. Sie befürchten, dass Eltern ihnen das Gerät wegnehmen, wenn sie erfahren, welche schlimmen Dinge damit passiert sind. Wegnehmen aber ist aus Sicht der Kinder und Jugendlichen „die gefühlt härteste Strafe im digitalen Zeitalter“.

Wolff rückt hier etwas in den Mittelpunkt, das in Debatte um Jugendmedienschutz selten zur Sprache kommt: Vertrauen. „Denn nur wenn Ihr Kind Ihnen vertrauen kann, wird es sich eines Tages an Sie wenden – wenn es dagegen Angst vor Strafen oder Handy-Verbot hat, so gut wie nie“, schreibt Wolff. Deshalb appelliert er eindringlich an Eltern: „Teilen Sie Ihrem Kind möglichst frühzeitig (am besten schon bei der Handy-Übergabe) mit, dass Sie ihm das Smartphone wegen Inhalten aus dem Internet nicht wegnehmen werden.“

🧭​ Die netzpolitische Perspektive: Maßnahmen zum Jugendmedienschutz werden oftmals mit Blick auf die verschiedenen Grundrechte von Kindern und Jugendlichen diskutiert, etwa den Schutz vor entwicklungsbeeinträchtigenden Inhalten, Teilhabe, Privatsphäre und Datenschutz. Kaum diskutiert wird aber, wie sich das Vertrauensverhältnis zwischen Kindern und ihren Aufsichtspersonen bewahren und stärken lässt.

Relevant ist das gerade mit Blick auf das derzeit vieldiskutierte Social-Media-Verbot für Minderjährige. Ein solches Verbot könnte bewirken, dass Kinder die verbotenen Dienste heimlich weiternutzen – und entsprechend noch höhere Hürden sehen, sich bei Problemen vertrauensvoll an Erwachsene zu wenden. Immerhin müssten sie dann zugeben, dass sie etwas Verbotenes gemacht haben. Maßnahmen zum Jugendmedienschutz müssten sich daran messen lassen, was sie für das Vertrauen zwischen Kindern und Eltern bedeuten.

8. Digitale Medienerziehung ist harte Arbeit

🚧 Das Problem: Es gibt keine einfache technische Lösung für Jugendmedienschutz. „Stellen Sie sich darauf ein, dass die Einhaltung von Medienzeiten eine Ihrer zentralen Erziehungsaufgaben in den nächsten Jahren sein wird“, schreibt Digitaltrainer Wolff. „Es wird anstrengend, nervig und jeden Tag erneut ermüdend sein. Sie werden schreien, Ihr Kind wird weinen und/oder Sie hassen. Und es wird sich lohnen – alleine schon, weil es keine Alternative gibt!“

Zum Beispiel sollten sich Eltern ausführlich die Zeit für einen Mediennutzungsvertrag nehmen, bevor sie ihrem Kind ein Handy geben, rät Wolff. Vorlagen für dieses oftmals mehrseitige Dokument gibt es online. „Ja, einen Mediennutzungsvertrag auszuarbeiten ist aufwendig, mühsam und anstrengend“, schreibt er. „Aber: Wenn Sie keine klaren Regeln haben, wird es in den nächsten Jahren garantiert noch aufwendiger, mühsamer und anstrengender!“

🧭​ Die netzpolitische Perspektive: Weinende Kinder, die ihre schreienden Eltern hassen – solche Bilder zeichnen Politiker*innen nicht, wenn sie etwa Alterskontrollen fordern. Wer will sich schon gern sagen lassen, dass etwas „aufwendig, mühsam und anstrengend“ wird? Stattdessen stehen technische Maßnahmen im netzpolitischen Fokus, und zwar solche, die Sorgenfreiheit versprechen. Gegen sexualisierte Gewalt soll die Chatkontrolle helfen, also die Massenüberwachung vertraulicher Kommunikation. Gegen schädliche Inhalte sollen Alterskontrollen helfen, also das massenhafte Abfragen von Ausweisdaten und biometrischen Daten.

Aus dem Blick gerät dabei die zentrale Rolle von Eltern und Aufsichtspersonen. Hier fällt häufig das Argument, man könne den ohnehin überlasteten Eltern nicht noch mehr zumuten. Doch auch hier gibt es politische Ansätze. Wie viel möchte der Staat tun, um Eltern mehr Zeit und Energie für ihre Kinder zu gewähren – etwa durch mehr Kindergeld oder Regelungen für flexiblere Arbeitszeiten? Im Vergleich dazu sind Gesetze für mehr Überwachung und Kontrolle im Netz billig zu haben – und leider oft wertlos.

Und jetzt? Ein Ausblick

Auch Digitaltrainer Wolff nennt in seinem Buch konkrete, politische Ideen. „Was aus meiner Sicht alle Schulen baldmöglichst einführen sollten, ist ein ‚echtes‘ Smartphone-Verbot“, schreibt er. Genau das wird gerade kontrovers diskutiert – unter anderem das Kinderhilfswerk und der Bundeselternrat sind gegen pauschale Verbote. Stattdessen sollten Schüler*innen, Lehrer*innen und Eltern gemeinsame Regeln entwickeln.

Weiter plädiert Wolff in seinem Buch für eine verpflichtende Altersverifikation bei Social-Media-Plattformen. Fachleute aus den Bereichen Kinderschutz und digitale Grundrechte sehen das allerdings kritisch. Die Kritik reicht von der Warnung, dass Alterskontrollen allenfalls ein Baustein sein können bis hin zur generellen Ablehnung. Ein Problem: Solche Kontrollsysteme stellen nur eine trügerische Sicherheit her; zugleich schaffen sie neue Gefahren für Minderjährige und für Erwachsene, die sich massenhaft online verifizieren müssten.

Schließlich spricht sich Wolff für ein Schulfach „Digitalität“ aus. Zu viele Eltern würden sich dem Thema Medienkompetenz verweigern; die Erziehungsaufgabe bliebe an den Schulen hängen. Einen Blick auf Schulen hat auch die Wissenschaftsakademie Leopoldina in einem aktuellen Diskussionspapier geworfen. Demnach fehle es nicht an Materialien, sondern an Fachpersonal, Zeit und Fortbildungsmöglichkeiten.

Die Suche nach netzpolitischen Lösungen ist ein Thema für sich. „Allein mit dem Handy“ geht hier nicht in die Tiefe. Stattdessen überzeugt das Buch durch eine umfassende Problembeschreibung. Das gelingt, weil der Autor immer wieder die Perspektive einbringt, die er von den Kindern und Jugendlichen gelernt hat. Zum Beispiel, dass man auf das Thema Spaß nie verzichten sollte:

Wenn Sie mit Kindern und/ oder Jugendlichen über Smartphones und das Internet sprechen und dabei nicht auch über Spaß reden, hören sie Ihnen schon nach kürzester Zeit überhaupt nicht mehr zu!

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Vor einem Jahr erhielten wir einen Datensatz mit Milliarden Handy-Standortdaten aus Deutschland, vermittelt über einen Berliner Datenmarktplatz. Politiker*innen warnten vor einer Gefahr für die nationale Sicherheit. Neue Recherchen zeigen, wie der Marktplatz dem Geschäft weiter eine Plattform bietet.

Exakte Standortdaten von Millionen Handys weltweit lassen sich einfach online kaufen. Datenhändler verschleudern sie sogar als Gratis-Kostprobe. Bereits diese kostenlosen Datensätze sind so umfangreich, dass sich damit Massenüberwachung betreiben lässt. Das haben unsere bisherigen Recherchen zu den Databroker Files mit dem Bayerischen Rundfunk gezeigt. Aus den Daten lassen sich teils detaillierte Bewegungsprofile ablesen, sogar von Soldat*innen oder Politiker*innen.

Wer Kontakt zu Händlern, also Databrokern sucht, wird auf dem Online-Marktplatz eines Berliner Unternehmens fündig: Datarade.ai. Der Marktplatz verkauft die Daten zwar nicht selbst, verkuppelt aber Anbieter und Interessierte. Das funktioniert ähnlich wie Amazon, nur eben für Datensätze. Für erfolgreiche Deals streicht der Marktplatz eine Provision ein.

Vermittelt über Datarade haben nicht nur wir sensible Handy-Standortdaten von Databrokern erhalten, sondern auch Journalist*innen aus den Niederlanden, der Schweiz und Belgien, und zwar unabhängig voneinander. Das hat im Jahr 2023 geklappt, im Jahr 2024 – und trotz der kritischen Berichterstattung in zahlreichen Medien war es auch noch 2025 möglich.

Das Problem: Der Handel mit derart detaillierten Handy-Standortdaten ist nach Einschätzung von Fachleuten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Zudem haben Bundestagsabgeordnete wie Konstantin von Notz (Grüne) oder Roderich Kiesewetter (CDU) bereits vergangenes Jahr vor einer Gefahr für die nationale Sicherheit gewarnt.

Datarade wollte „alle zumutbaren Anstrengungen“ unternehmen

Und was tut Datarade? Noch vor gut einem Jahr hatte uns der Berliner Marktplatz mitgeteilt, man nehme die von unseren Recherchen ausgelösten, öffentlichen Bedenken „sehr ernst“. Die Angebote auf der Plattform prüfe das Unternehmen zwar nicht einzeln. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten.“ Dennoch unternehme Datarade „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.

Ein Jahr später haben wir uns nochmal auf dem Marktplatz umgeschaut. Unsere neue Recherche weckt Zweifel daran, dass Datarade „alle zumutbaren Anstrengungen“ unternimmt. So preiste Datarade in einem eigenen, redaktionellen Beitrag selbst Handy-Standortdaten an, schrieb über die daraus ablesbaren, sehr genauen Bewegungsmuster – und empfahl passende Händler. Als wir per Presseanfrage mehr zu der Seite erfahren wollten, wurde sie offline genommen.

Bereits 2024 warnte die damals kurz vor ihrem Amtsantritt stehende Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, vor einer Regulierungslücke. Auch die zuständige Berliner Datenschutzbeauftragte sah ein Problem: Solange ein Marktplatz die Daten nicht selbst verarbeitet, sondern nur Kontakte zwischen Käufern und Verkäufern herstellt, habe sie keine Handhabe. Verantwortlich nach der DSGVO sei nur jemand, der selbst auch Daten verarbeitet.

Unter Datenschützer*innen gibt es in dieser Frage keine Einigkeit. Das Netzwerk Datenschutzexpertise etwa kam in einem Gutachten aus dem Frühjahr 2025 zu dem Schluss, dass die DSGVO hier sehr wohl anwendbar sei. Um verantwortlich zu sein, müsse ein Datenmarktplatz nicht notwendigerweise selbst in Besitz der Daten sein. Oft sei der Handel mit personenbezogenen Daten sogar strafbar, weshalb nicht nur Datenschutzbehörden, sondern auch Staatsanwaltschaften handeln müssten.

Passiert ist so etwas bisher nicht. Auf Datarade preisen Händler weiterhin ihre Handy-Standortdaten an. In Datarade selbst steckt sogar Geld vom deutschen Staat, und zwar mehr als bisher angenommen. Dazu später mehr.

Auf Anfrage entfernte Datarade Angebote für Handystandortdaten

Nach unseren Veröffentlichungen im Jahr 2024 hatte Datarade ein Angebot für Handystandortdaten des US-Datenhändler Datastream Group offline genommen. Hierzu schrieb das Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“

Davon unberührt waren jedoch ähnliche Angebote von anderen Datenhändlern. Auch nach Veröffentlichung der Recherchen präsentierte Datarade Angebote von ähnlichen Datensätzen. Suchte man etwa Anfang September dieses Jahres auf Datarade nach Angeboten mit Geo-Koordinaten und mobilen Werbe-IDs, erhielt man rund 50 Ergebnisse. Grenzte man die Suche weiter ein auf Daten aus Deutschland, waren es noch 15 Treffer.

Über ein Online-Formular können Nutzer*innen verdächtige Inhalte melden. Genau das haben wir ausprobiert. Für eine solche Meldung müssen Nutzer*innen Namen und E-Mail-Adresse angeben. Um das Ergebnis nicht zu verfälschen, hat ein Kollege ohne erkennbare Verbindung zu netzpolitik.org diese Meldungen vorgenommen. Es handelte sich um insgesamt fünf Angebote von Handystandortdaten aus Deutschland oder der EU. Das Ergebnis: Die Angebote waren weniger als zwei Wochen nach Eingang der Meldungen offline.

Auf Presseanfrage teilt Datarade mit: „Die Produkt-Listungen wurden vorsorglich offline genommen, um den Hinweisen nachzugehen.“ Man gebe den Anbietern nun die Möglichkeit, Stellung zu beziehen.

So preist Datarade selbst Handy-Standortdaten an

Hatte Datarade vor unseren Meldungen wirklich keine Kenntnis über diese Angebote? Zumindest einen Überblick dürfte Datarade gehabt haben. Es gab nämlich die bereits erwähnte von Datarade selbst bereitgestellte Infoseite mit dem Titel „Was sind Handy-Standortdaten“ (im Original: „What is Mobile Location Data?“), die nach unserer Presseanfrage offline genommen wurde.

Auf dieser Seite beschrieb ein Datarade-Mitarbeiter im Detail, wie solche Datensätze aufgebaut sind: mit GPS-Koordinaten und individueller Werbe-ID, der sogenannten MAID („mobile advertising ID“). Vorschaufenster auf der Seite präsentieren mehrere passende Angebote von Datenhändlern, etwa als „Ausgewählte Datensets“. Anhand kleiner Flaggen-Emojis in den Angeboten ließ sich ablesen, woher die Daten kommen, auch mehrere Deutschland-Flaggen waren zu sehen.

Übersetzt aus dem Englischen stand auf der Infoseite, viele Datensätze böten eine hohe GPS-Genauigkeit, „wodurch sichergestellt wird, dass die von Ihnen erhaltenen Daten den realen Standorten und Bewegungsmustern sehr genau entsprechen“. Einige Datensätze würden sogar eine Präzision von unter 19 Metern erreichen, „was besonders nützlich sein kann, wenn Sie sehr detaillierte Einblicke benötigen“.

An einer anderen Stelle der Infoseite hieß es: „Manche Menschen fühlen sich möglicherweise unwohl dabei, wenn ihre Standortdaten gesammelt und für kommerzielle Zwecke verwendet werden.“ Das ist korrekt, wie die Reaktionen auf unsere Recherchen zeigen. Eine Betroffene sagte zum Beispiel im Gespräch mit netzpolitik.org:

Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist.

Und der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte 2024 mit Blick auf den Handel mit Handy-Standortdaten: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden.“ Dass etwas passieren müsse, stehe für ihn völlig außer Frage. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“

Warum Handel mit Standortdaten fast immer DSGVO-widrig ist

Auf potenzielle Bedenken beim Handel von Handy-Standortdaten ging die Datarade-Infoseite selbst ein. Dort hieß es auf Englisch:

Es gibt mehrere verbreitete Missverständnisse über mobile Standortdaten, darunter die Annahme, dass sie immer genau seien und dass man damit Personen ohne deren Wissen oder Zustimmung verfolgen könne. In Wirklichkeit kann die Genauigkeit mobiler Standortdaten je nach Qualität der Datenquelle und der verwendeten Technologie variieren. Darüber hinaus ist das Sammeln und Nutzen von Standortdaten ohne Zustimmung sowohl illegal als auch unethisch.

Drei Aspekte an diesem Zitat verdienen besondere Aufmerksamkeit: Es ist erstens korrekt, dass Handy-Standortdaten nicht immer genau sind. Unsere Recherchen haben gezeigt, dass Händler auch ungenaue Standortdaten verbreiten.

Es ist zweitens allerdings kein „Missverständnis“, dass sich mit diesen Daten „Personen ohne deren Wissen oder Zustimmung verfolgen“ lassen. Gemeinsam mit unseren Recherche-Partnern konnten wir in mehreren Fällen sogar Angehörige von Geheimdiensten und Regierungen vom Arbeitsplatz bis hin zu ihren Privatwohnungen tracken. Die Kolleg*innen aus Norwegen konnten sogar einen verdutzten Grindr-Nutzer zuhause besuchen, der nicht geoutet werden wollte.

Mehrere Betroffene sagten uns im Gespräch, ihnen sei nicht bewusst, einer solchen Art von Tracking zugestimmt zu haben. Zum Beispiel Hedi aus Bayern, die sagte:

Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.

Drittens ist der Handel mit Standortdaten nach Ansicht von Datenschutzbehörden und anderen Fachleuten oftmals selbst mit Einwilligung nicht von der DSGVO gedeckt. So werden die Daten zum einen oft angeblich nur für Werbezwecke erhoben; der Handel stellt also eine verbotene Änderung des Verarbeitungszwecks dar. Zum anderen fehlt es an Transparenz, denn Menschen müssten bei der Einwilligung umfassend informiert werden, an wen Händler Daten weitergeben. Deshalb sind die Einwilligungen oft unwirksam.

Datarade – geschickte Geschäfte im Graubereich

Hinzu kommt, dass sich aus Standortdaten oft sensible Informationen ableiten lassen, zum Beispiel über Besuche in spezialisierten Kliniken, bei Parteien und Gewerkschaften oder in religiösen Gebäuden. Solche Informationen sind durch die DSGVO besonders geschützt.

Die Beobachtungen auf dem Marktplatz Datarade werfen Fragen auf. Wieso hat die Plattform auf einer selbst verfassten Infoseite Angebote mit GPS-Daten angepriesen, die realen „Bewegungsmustern sehr genau entsprechen“ – nahm solche Angebote allerdings nach der Meldung durch einen Nutzer wieder offline?

Wir haben Datarade per Presseanfrage auf die Infoseite angesprochen. Wenig später war sie offline. „Wir nehmen Ihren Hinweis zum Anlass, die Kategorie-Seite redaktionell zu überprüfen und vorsorglich offline zu nehmen“, teilt das Unternehmen mit.

Diese Anstrengungen unternimmt Datarade nach eigenen Angaben

Datarade legt Wert darauf, zu betonen, selbst kein Datenanbieter zu sein, „sondern ein Verzeichnis von Datenanbietern und deren Produktkatalogen“. Weiter schreibt die Pressestelle auf unsere Fragen: „Datarade verurteilt jedweden rechtswidrigen Handel mit Daten und setzt sich für einen rechtskonformen Austausch von Daten ein.“

Demnach dürften sich auf Datarade nur registrierte Unternehmen anmelden. Anbieter würden sich vertraglich dazu verpflichten, nur rechtskonforme „Inhalte auf Datarade zu veröffentlichen“. Sie würden „angehalten“, ihre Datenschutz-Richtlinien zu verlinken und die Konformität mit Datenschutzbestimmungen zu bestätigen. Auf jeder Produktseite gebe es einen Link zum Melden von Inhalten; den Meldungen gehe man dem Digitale-Dienste-Gesetz entsprechend nach.

Wir wollten wissen, in welchem Ausmaß Datarade am mutmaßlich illegalen Geschäft mit Handy-Standortdaten mitverdient. Genauer gesagt: Wie viel Provision Datarade in den letzten drei Jahren durch über den Marktplatz vermittelte Deals mit Handy-Standortdaten erhalten hat. Diese Frage hat uns das Unternehmen nicht beantwortet. Stattdessen verwies die Pressestelle auf den allgemein gehaltenen Jahresabschluss, nach dem wir nicht gefragt hatten.

Zum Zeitpunkt der Veröffentlichung dieser Recherche gibt es auf Datarade noch immer mehrere Angebote für Handy-Standortdaten, die mit individuellen Werbe-IDs verknüpft sind. Sie lassen sich kinderleicht über die Suchfunktion auf der Plattform finden. Damit Datarade sie offline nimmt, müsste sie wohl erst jemand von außerhalb aktiv melden – und den Marktplatz regelmäßig auf neue Angebote prüfen.

Wir erinnern uns: Datarade unternimmt nach eigener Aussage „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.

So will Datarade neue Händler auf den Marktplatz locken

Im Zuge unserer Recherchen hatten wir uns auch selbst als potenzieller Anbieter für Ortsdaten bei Datarade registriert. Dafür haben wir eine E-Mail-Adresse mit Pseudonym genutzt – und nichts weiter unternommen. Seitdem erhalten wir regelmäßig E-Mails von Datarade. Daraus lässt sich ableiten, welche Mühen die Plattform unternimmt, um aktiv neue Datenhändler für sich zu gewinnen.

Mehrfach versuchte Datarade etwa, ein persönliches Gespräch mit uns – dem vermeintlich neuen Händler – zu vereinbaren. „Lass mich wissen, wenn du Daten zum Verkauf hast, dann können wir darüber nachdenken, sie auf den größten Datenmarktplätzen zu monetarisieren“, hieß es auf Englisch.

Es folgten weitere E-Mails von Datarade. Darunter eine, die versuchte, uns mit der Aussicht auf Umsatz zu locken. Demnach sollten wir lernen, wie ein anderer Anbieter von Standortdaten „Kunden in neuen Märkten erreicht hat“. Das Marktvolumen, also der Umsatz aller Akteur*innen am Markt, liege demnach bei 93 Millionen Euro.

Auch Tutorials erreichten uns. Sie handelten davon, wie wir unser Angebot für Datarade optimieren können. Demnach sollten wir unseren Produktkatalog per ChatGPT ausformulieren lassen. Einen passenden Prompt lieferte die Plattform gleich mit. Auf unserem Anbieterprofil sollte der Hinweis auf DSGVO-Compliance nicht fehlen, riet ein anderes Tutorial.

In den Datenmarktplatz floss mehr Steuergeld als bisher angenommen

Bereits 2024 konnten wir berichten, dass in Datarade auch Steuergeld steckt. Inzwischen wissen wir: Es ist noch mehr Geld als bisher bekannt.

Zunächst hatte der Datenmarktplatz im Jahr 2019 ein Investment in Höhe von einer Million Euro aus dem „High-Tech Gründerfonds“ (HTGF) erhalten. Das ist ein zentrales Instrument der deutschen Start-up-Förderung. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds stammt vom Bundeswirtschaftsministerium, 170 Millionen Euro.

Darüber hinaus schoss der HTGF allerdings vier Jahre später weitere knapp 500.000 Euro in das Unternehmen. Der Anlass war eine Runde zur Anschlussfinanzierung. Das geht aus einer Antwort des Wirtschaftsministeriums auf eine parlamentarische Anfrage der damaligen Linken-Abgeordneten Martina Renner aus dem Jahr 2024 hervor.

Abgeordnete kritisieren Staatsgeld für Datenmarktplatz

Wir haben das Dokument mit einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) erhalten, jedoch zunächst in einer fast vollständig geschwärzten Variante. Das Wirtschaftsministerium hatte die Antwort des damaligen Staatssekretärs als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft. Erst nachdem wir Widerspruch gegen die Entscheidung eingelegt hatten, gab das Ministerium die Antwort für die Öffentlichkeit frei.

Das Ministerium betont darin erneut, dass es „auf die Investmententscheidungen des HTGF keinen Einfluss“ nehme. Jedoch seien „Investitionen in Unternehmen, die Aktivitäten in Verbindung mit Cybercrime verfolgen“, gemäß „der Ausschlussliste des HTGF ausgeschlossen.“ Als solche könne das Geschäftsmodell von Datarade nicht betrachtet werden, da die Plattform lediglich Kontakte zwischen Datenanbietern und Interessierten herstelle. „Das Zustandekommen eines Vertrags und der Austausch von Daten läuft grundsätzlich vollständig außerhalb der Plattform.“

SPD sieht „erheblichen Handlungsbedarf“, CDU bleibt unkonkret

Wie viel Verantwortung sollen Datenmarktplätze dafür tragen, wenn Datenhändler dort die Standortdaten von Millionen Menschen verschleudern? Einen Vorschlag hierzu hatte die heutige Bundesdatenschutzbeauftragte bereits im vergangen Jahr: Der deutsche Gesetzgeber könnte die Reform des Bundesdatenschutzgesetzes nutzen, um das Geschäft von Datenmarktplätzen zu regeln. Die Reform war zunächst für 2024 geplant gewesen, fiel aber dem vorzeitigen Aus der Ampel-Koalition zum Opfer.

Auch die neue Koalition aus Union und SPD will den Datenschutz reformieren. Im Fokus stand zwar bisher ein Rückbau von Regulierung – aber gerade bei Datenmarktplätzen sehen Politiker*innen mehrerer Parteien Probleme.

„Auch wenn im Koalitionsvertrag keine konkrete Aussage dazu vereinbart wurde, so sehen wir mit Blick auf die Databroker-Files-Recherchen nicht allein aus datenschutzrechtlicher Sicht, sondern auch aus sicherheitspolitischer Perspektive erheblichen Handlungsbedarf“, schreibt uns etwa Johannes Schätzl, der digitalpolitische Sprecher der SPD-Fraktion im Bundestag. Er werde „diese Thematik in den anstehenden Verhandlungen selbstverständlich auch ansprechen und konkrete Vorschläge einbringen“. Es sei allerdings noch offen, ob es in der Koalition eine Zustimmung für entsprechende Gesetzesänderungen gibt.

Der Koalitionspartner, die Union, hält sich auf Anfrage von netzpoiltik.org bedeckt. Ralph Brinkhaus, Sprecher für Digitalisierung und Staatsmodernisierung, lässt auf unsere sechs Fragen zur anstehenden Datenschutzreform lediglich verlauten: „Wir arbeiten an den von Ihnen genannten Punkten.“

Grüne und Linke machen Druck

Die Grünen-Digitalpolitiker Lukas Benner und Konstantin von Notz sehen im fehlenden Plan der Regierungskoalition beim Datenhandel ein Beispiel für deren Datenschutzpolitik. Während Union und SPD sich „verfassungsrechtlich hochumstrittene Vorhaben“ wie die Wiedereinführung der Vorratsdatenspeicherung vorgenommen hätten, fehle auf ihrer Agenda die Lösung der „anhaltenden und zunehmenden Problematik der Databroker“.

Die grüne Bundestagsfraktion halte „eine gesetzliche Einschränkung dieser Praktiken für dringend geboten – übrigens auch mit Blick auf den Schutz unserer Sicherheitsbehörden und ihrer Mitarbeiterinnen und Mitarbeiter“. Das Innenministerium müsse sich endlich der Thematik widmen.

Grundsätzlicher wird bei dem Thema Donata Vogtschmidt, digitalpolitische Sprecherin der Linkspartei. Sie wolle „Geschäftsmodellen, die auf personalisierter Onlinewerbung basieren, insgesamt den Kampf ansagen“. Vogtschmidts Vorschlag, um das Problem an der Wurzel zu lösen: Im Gesetz über digitale Dienste (DSA) der Europäischen Union ist bereits ein Verbot personalisierter Werbung für Minderjährige vorgesehen. Dieses Verbot sollte auf alle Nutzenden ausgeweitet werden, denn „so ließe sich kommerzieller Datenhandel wirklich eindämmen“.

Unterdessen könnte auch die EU aktiv werden. Sie will mit dem kommenden Digital Fairness Act Lücken für Verbraucher*innen im Netz schließen. Bis 24. Oktober können Interessierte Ideen einreichen, in welchen Bereichen sie Handlungsbedarf sehen.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In einem Handbuch geben Wissenschaftler*innen aus den USA und Europa Ratschläge, wie sich Menschen im akademischen Betrieb gegen aufkeimenden Autoritarismus stemmen können – abgestuft nach Risiko-Level. Das ist nicht nur für Forschende lesenswert.

„Du bist nicht alleine.“ Das ist einer der zentralen Sätze im Anti-Autokratie-Handbuch, das 19 Forscher*innen aus den USA und Europa nun gemeinsam veröffentlicht haben. Vor dem Hintergrund bedrohter Demokratien, insbesondere in den USA, haben sie 26 praktische Ratschläge gesammelt, wie Interessierte ihre Ohnmacht überwinden und sich geschickt verhalten können.

Das Handbuch richtet sich primär an Menschen aus Forschung und Wissenschaft. Einige Tipps sind allerdings so allgemein, dass sie auch auf viele andere zutreffen, unabhängig von ihrem Beruf. Lesenswert ist ebenfalls die pointierte Analyse, wie sich anti-demokratische Kräfte derzeit ausbreiten.

Messerscharfe Diagnose bedrohter Demokratie

Auf wenigen Seiten zeichnet das Handbuch ein messerscharfes Bild vom aktuellen Zustand der Demokratie. Die Autor*innen zählen 91 Demokratien und 88 Autokratien auf der Welt. Seit 2003 sei der Anteil der Weltbevölkerung, die in Autokratien leben muss, von 50 Prozent auf 72 Prozent gestiegen.

Die typische Vorgehensweise von Autokratien brechen die Autor*innen auf drei Elemente herunter:

1. Populismus, der vorgibt, das vermeintliche Volk gegen vermeintliche Eliten zu verteidigen
2. Polarisierung, die versucht, die Bevölkerung zu spalten
3. Post-Wahrheit, die Verwirrung über grundlegende Fakten sät

Wissenschaft und Forschung geraten dabei zunehmend unter Druck, wie das Handbuch darlegt. Das Spektrum reiche vom Entzug von Forschungsgeldern über Zensur einzelner Forschungsvorhaben bis hin zum Verbot ganzer Disziplinen.

Mit welcher Effizienz derzeit die Trump-Regierung die Demokratie aushebelt, zeigt ein detailliertes Diagramm. Es benennt mehrere Dutzend konkrete Angriffe auf Sphären der demokratischen Gesellschaft, allein in den ersten drei Monaten von Donald Trumps zweiter Amtszeit. Die Angriffe betreffen etwa die Institutionen des Rechtsstaats, Informationskontrolle oder die globale Friedensordnung.

Wie reagieren Menschen darauf, wenn ihre Demokratie angegriffen wird? Auch hier spart sich das Handbuch differenzierte Ausführungen und legt stattdessen pointierte Antworten vor – in Form von insgesamt 14 typischen Verhaltensstrategien. Das Spektrum reicht von Menschen, die die Autokratie als Karriere-Chance ausnutzen, über stille Mitläufer*innen bis hin zu offenem Widerstand.

„Autokratien halten nicht ewig“

Nach den eher düsteren Diagnosen richten die Autor*innen in der zweiten Hälfte des Handbuchs den Blick nach vorne und machen Mut. „Autokratien halten nicht ewig“, betonen sie.

Zum Beleg verweisen sie auf eine Analyse von 323 regierungskritischen Massenbewegungen zwischen 1900 und 2006. Demnach seien die meisten Bewegungen erfolgreich gewesen, wenn sie mindestens 3,5 Prozent der Bevölkerung mobilisieren konnten. Zudem hätten die meisten erfolgreichen Bewegungen zur Gewaltfreiheit geneigt.

Ein kleiner Prozentteil der Bevölkerung und keine Gewalt: Ohne Zweifel soll diese Perspektive vor allem motivieren. Es wäre allzu holzschnittartig, daraus eine allgemeine Regel für Demokratie-Bewegungen der Zukunft abzuleiten. Darauf weisen die auch Autor*innen selbst hin: „Obwohl es Ausnahmen von dieser ‚3,5-Prozent-Regel‘ gibt, stellt sie einen ermutigenden Richtwert dar.“

Was also tun, damit eine kritische Masse zusammenkommt? Eine entscheidende Mindestmenge an Menschen, die eine autoritäre Wende wieder umkehren kann? Das führen die Autor*innen in 26 Ratschlägen aus, aufgefächert nach persönlichem Risiko.

15 Ratschläge mit geringem Risiko

Die ersten 10 Ratschläge sind sehr grundlegend. Die Autor*innen legen sie allen Interessierten ans Herz, unabhängig von ihrem persönlichen Risiko-Level. Es beginnt mit der Empfehlung, sich um das eigene Wohlergehen zu sorgen und um das der Menschen im eigenen Umfeld. Ausruhen gegen den Faschismus – damit man langfristig die Kraft für mehr hat. Denn Angst und Stress, schreiben die Autor*innen, seien nicht nur persönliche Reaktionen auf eine Krise; vielmehr würden Autokratien so etwas systematisch befeuern.

Zwei weitere grundlegende Ratschläge kreisen um Technologie: Es geht etwa um Ende-zu-Verschlüsselung, datenschutzfreundliche Software und geschützte Datenträger. Kurzum, die Autor*innen raten dazu, sich gegen staatliche Überwachung und gewaltsamen Zugriff auf private Daten zu wappnen. Ausführliche Tipps hierzu liefert unsere Reihe zu digitaler Selbstverteidigung.

Außerdem warnen die Autor*innen vor autokratischen Ablenkungsmanövern durch die Umdeutung von Sprache. „Wenn eine prominente Person einen Hitlergruß macht, ist das… ein Hitlergruß und keine ‚eigenartige Handgeste'“, betonen die Autor*innen mit Blick auf den Hitlergruß durch den Multi-Milliardär und ehemaligen Trump-Jünger Elon Musk.

Es folgen fünf Ratschläge, die die Autor*innen zumindest in Demokratien als risikoarm einstufen. Wer sich engagieren will, kann sich demnach in Form von Gastbeiträgen in den öffentlichen Diskurs einmischen und Briefe an Abgeordnete schreiben. Im direkten Kontakt mit Jugendlichen können Menschen einen Kontrapunkt setzen zu den typischen Versuchen autoritärer Kräfte, gerade junge Generationen zu radikalisieren.

11 riskantere Ratschläge – von „mittel“ bis „extrem“

Nach den risikoarmen Ratschlägen wird es brisanter. Wer bereits in einer Autokratie lebt, kann dem Handbuch bis zu elf weitere Ratschläge entnehmen, je nach persönlichem Risiko-Level. Menschen, die ihr Risiko als „mittel“ einschätzen, können beispielsweise Belege für Grundrechtsverletzungen sammeln, die Autokratien lieber unter den Teppich kehren wollen. Die Autor*innen schreiben:

Wenn Akten verschwinden, dokumentiere das. Wenn Beamt*innen anscheinend Gesetze verletzen, dokumentiere das. Teile Informationen mit verlässlichen Journalist*innen, Jurist*innen oder unabhängigen Beobachter*innen.

Selbst staatlich zensierte Forschung lässt sich im Verborgenen fortsetzen, wie die Autor*innen darlegen, etwa indem man vordergründig unverfängliche Arbeiten veröffentlicht, pikante Themen jedoch unter Pseudonym weiterverfolgt.

Wer das eigene Risiko als hoch oder gar extrem hoch einschätzt, ist zum eigenen Schutz auf Diskretion angewiesen. Dennoch können Betroffene Dinge tun, ohne sich still zurückziehen zu müssen, wie die Autor*innen schreiben. Zum Beispiel: ineffizient arbeiten.

Wenn von einem etwas verlangt wird, das sich falsch anfühlt, könne man etwa Rückfragen stellen und auf Widersprüche im Auftrag hinweisen, so die Autor*innen. Danach könne man die Umsetzung zumindest verzögern. Bereits solche Anzeichen von Widerstand könnten andere anstecken und einen „Domino-Effekt des Ungehorsams“ anstoßen. „Gerade wenn Angst und Anpassung weit verbreitet sind, zählen diese kleinen Schritte sehr viel“, schreiben die Autor*innen.

Wiki mit weiteren Ratschlägen eröffnet

Diese Strategie der Verzögerung hat Tradition und erst im Frühjahr ein Revival erlebt: Passend zur rechtsradikalen Machtübernahme in den USA stiegen die Downloadzahlen eines Leitfadens aus dem Jahr 1944. Im „Simple Sabotage Field Manual“ erklärte ein US-Geheimdienst Menschen im Nationalsozialismus Methoden des passiven Widerstands, unter anderem: „Tun Sie so, als wären Anweisungen schwer zu verstehen, und bitten Sie darum, dass man sie Ihnen mehrfach wiederholt.“ Nun findet der Leitfaden von 1944 ausgerechnet in seinem Ursprungsland neue Fans.

Die Autor*innen des neuen Anti-Autokratie-Handbuchs sehen ihre Arbeit als Anfang für mehr. Im begleitenden Wiki SaveScience.eu sollen Freiwillige künftig Stück für Stück weitere Ressourcen und Anregungen ergänzen. Schon jetzt online ist ein Tutorial, wie bedrohte Wissenschaftler*innen notfalls anonym ihre Erlebnisse mit der Öffentlichkeit teilen können sowie Tipps zum Umgang mit Stress und psychischem Druck.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Die 3. Kalenderwoche geht zu Ende. Wir haben 15 neue Texte mit insgesamt 127.903 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.

Liebe Leser*innen,

genau vor einem Jahr habe ich einen Account bei Datarade angelegt. Das ist ein in Berlin ansässiger Marktplatz für Databroker, der so ähnlich funktioniert wie ein Kleinanzeigen-Portal. Datenhändler posten dort, was sie so im Angebot haben. Und potenzielle Kund*innen posten, was sie gerne hätten. Auch ich war auf dem Marktplatz unterwegs, weil ich etwas haben wollte: Präzise Standortdaten von Handys aus Deutschland. Heiße Ware, die es so eigentlich nicht geben dürfte.

Dass ich mich mal auf Datarade umschauen sollte, dazu hatte mir ein Kollege von BNR Nieuwsradio aus den Niederlanden geraten. Eric van den Berg. Kurz zuvor war es ihm nämlich gelungen, solche präzisen Standortdaten aus den Niederlanden zu ergattern. Sie kamen von einem US-Händler, vermittelt über Datarade. Erics Bericht über die gefährlich genauen Bewegungsprofile nichts ahnender Nutzer*innen hatte uns bei netzpolitik.org ziemlich beeindruckt. Also dachte ich mir: Ach komm, einfach mal ausprobieren.

So ist das übrigens häufiger. Ich probiere Sachen aus, die zu Recherchen führen könnten. Viele davon klappen nicht. IFG-Anfragen zu vermeintlichen Behörden-Geheimnissen bringen nichts zu Tage. Vermeintliche Traum-Protagonist*innen für bewegende Porträts aus den Schattenwelten des Internets tauchen ab, bevor es ernst wird. Wir haben auch mal die Meta-Daten der Bibliothek einer der weltgrößten Pornoseiten analysiert – ohne nennenswerte Erkenntnisse.

Entsprechend gering waren meine Erwartungen, dass meine Anmeldung beim Datenmarktplatz zu etwas führen würde. Wahrscheinlich, so dachte ich mir, hatten die vorangegangenen Recherchen aus den Niederlanden die Datenhändler längst misstrauisch gemacht. Lassen die sich wirklich nochmal dazu hinreißen, einem Journalisten derart brisante Daten zu schicken? Dann wären die schon ziemlich verpeilt.

Sie ließen sich dazu hinreißen.

Zwölf Monate später stecken mein Kollege Ingo und ich immer noch knietief in der Recherche. Es gibt einfach so viel auszuwerten. Wir erhielten Datensätze mit teils Millionen, teils Milliarden Einträgen. Gratis, als Vorschau für kostenpflichtige Abos.

Im Sommer hatten wir gemeinsam mit dem Bayerischen Rundfunk aufgedeckt, wie Milliarden von Standortdaten aus Deutschland unsere Privatsphäre aushebeln und sogar die nationale Sicherheit gefährden. Im Herbst folgte ein Bericht mit BR und WIRED über die Gefahren für NATO und US-Militär.

Diese Woche haben wir mit dem BR und Partnermedien aus sechs weiteren Ländern erstmals berichtet, wie Standortdaten aus 40.000 Apps Menschen weltweit auf die Pelle rücken. Mit an Bord waren etwa Le Monde aus Frankreich, SRF aus der Schweiz, Schwedens größte Tageszeitung – und auch Eric, ohne den der Stein gar nicht erst ins Rollen gekommen wäre. Berichtet hatte diese Woche auch die Tagesschau um 20 Uhr.

Die zunehmende Zahl der Berichte ist zugleich ein schlechtes Zeichen. Denn sie zeigt, das die Missstände weiterhin bestehen. Es ist paradox. Einerseits ist in Fachkreisen bekannt, was wir berichten. Andererseits ist die Dimension des Problems noch längst nicht durchgesickert. Weder in der breiten Öffentlichkeit noch in der Politik oder in Aufsichtsbehörden.

Klar freuen wir uns, wenn große Medien berichten. Aber noch größer wäre meine Freude, wenn Gesetze dieser Misere ein Ende bereiten würden. Nach einem Jahr Recherche zeichnet sich immer mehr ab: Der Ball liegt bei der EU. Wenn jemand Tracking und Profilbildung zu Werbezwecken wirksam verbieten könnte, dann sie. Eine Chance wäre der geplante Digital Fairness Act.

Ihr glaubt, daraus wird eh nichts, weil vom Tracking profitierende Konzerne mit aller Lobbykraft dagegenhalten? Ehrlich gesagt, das befürchte ich auch.

Andererseits: Ach komm, einfach mal ausprobieren.

Euch ein schönes Wochenende
Sebastian

---

Degitalisierung: Alles gleichzeitig

Digitalisierungslösungen im Gesundheitsbereich sind entscheidende Technologien für eine moderne Gesundheitsversorgung. Sie unterstützen Forschende, Krankheiten besser und schneller zu verstehen und zu behandeln. Gleichzeitig werden im Gesundheitsbereich die sensibelsten personenbezogenen Daten verarbeitet. Von Bianca Kastl –
Artikel lesen

Britische Regierung: „KI in die Venen der Nation“

Die britische Labour-Regierung plant einen drastischen Umbau des öffentlichen Sektors. Ein Aktionsplan soll sogenannte Künstliche Intelligenz priorisieren und die Insel zum KI-Weltmarktführer machen – mit tatkräftiger Einbindung der Industrie. Von Tomas Rudl –
Artikel lesen

Pressefreiheit: Prominente georgische Journalistin festgenommen und angeklagt

Der georgische Staat nimmt nun oppositionelle Medien ins Visier. Am Samstag wurde die bekannte Journalistin Mzia Amaglobeli festgenommen. Ihr drohen bis zu sechs Jahre Haft. Von Markus Reuter –
Artikel lesen

Studie: Big Tech schreibt sich die KI-Standards selbst

Ursprünglich war der AI Act dazu gedacht, die Grundrechte aller EU-Bürger:innen zu schützen. Nun wird er von Unternehmen ausgehöhlt, sagt die Forschungsgruppe Corporate Europe Observatory. Denn die Unternehmen bestimmen die Normen für KI-Systeme in Gremien massiv mit. Von Jan Grapenthin –
Artikel lesen

Offener Brief: Fünf Maßnahmen für mehr Vertrauen in die elektronische Patientenakte

Unmittelbar vor der Pilotphase der elektronischen Patientenakte richten sich knapp 30 zivilgesellschaftliche Organisationen in einem offenen Brief an den Gesundheitsminister. Sie fordern, alle berechtigten Sicherheitsbedenken „glaubhaft und nachprüfbar“ auszuräumen und machen Lauterbach ein Gesprächsangebot. Von Daniel Leisegang –
Artikel lesen

Free Our Feeds: Initiative will soziale Netzwerke vor Milliardären schützen

Ein neues spendenfinanziertes Projekt will bis zu 30 Millionen Dollar in die Entwicklung rund um das Bluesky-Protokoll AT Proto investieren, um dieses breiter aufzustellen. Kritiker fürchten, dass das Fediverse-Protokoll ActivityPub nur wenig von der Initiative profitieren könnte. Von Markus Reuter –
Artikel lesen

Videoüberwachung: Hamburger Polizei soll KI mit personenbezogenen Daten trainieren

Ein kurzfristiger Änderungsantrag zum Hamburger Polizeigesetz sieht vor, personenbezogene Daten und auch Klarnamen in automatisierte Systeme einzuspeisen. Zum KI-Training dürfen die Daten auch an Dritte weitergegeben werden. Morgen wird über den Entwurf von Rot-Grün abgestimmt. Von Martin Schwarzbeck –
Artikel lesen

Medienberichte: EU-Kommission soll bei der Durchsetzung von Plattformregeln zögern

Laut Medienberichten gibt es auf hoher Ebene der EU-Kommission Diskussionen um den Digital Markets Act. Das Gesetz soll eigentlich die Macht großer Online-Plattformen einschränken. Nun will die EU-Kommission angeblich alle schon eingeleiteten Verfahren überprüfen. Für die Zivilgesellschaft wäre das ein großer Fehler. Von Maximilian Henning –
Artikel lesen

Databroker Files: Neuer Datensatz enthüllt 40.000 Apps hinter Standort-Tracking

380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: „Schnauze voll!“ – das sagen Betroffene

Databroker verkaufen die Handy-Standortdaten von Millionen Menschen in Deutschland. Viele haben erst durch unseren Databroker Checker erfahren, dass sie betroffen sind. Was macht das mit ihnen? Hier sprechen sie selbst. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Databroker Files: New data set reveals 40,000 apps behind location tracking

380 million location data from 137 countries: a previously unknown data set from a US data broker shows the dangers of global data trading. 40,000 apps are affected, including queer dating apps. For some apps, the shared location data is very precise. Von Ingo Dachwitz, Sebastian Meineck –
Artikel lesen

Databroker Files: Sieben Wege, um deinen Standort vor Databrokern zu schützen

Databroker verkaufen die Handy-Standortdaten von Millionen Menschen weltweit. Zehntausende App sind betroffen, wie Veröffentlichungen von netzpolitik.org und Recherche-Partnern aus sechs Ländern zeigen. Das kannst du tun, um dich zu schützen. Von Sebastian Meineck, Ingo Dachwitz –
Artikel lesen

Mit fragwürdigen Methoden: Konservative US-Denkfabrik nimmt Wikipedia ins Visier

Eine Donald Trump nahestehende konservative US-Denkfabrik will die Identitäten unliebsamer Wikipedia-Autor:innen enthüllen. Das soll angeblich antisemitische Inhalte aus der freien Online-Enzyklopädie fegen. Wikimedia Deutschland sieht sich dagegen gewappnet. Von Tomas Rudl –
Artikel lesen

Offener Brief an EU-Kommission: Kritik an geplantem Europol-Abkommen mit Ägypten

Anstatt Ägyptens repressive Politik zu unterstützen, soll die EU-Kommission Verhandlungen mit der Militärdiktatur stoppen und Reformen fordern. Das schreiben mehr als 40 Nichtregierungsorganisationen in einem offenen Brief an den Innenkommissar. Von Matthias Monroy –
Artikel lesen

Zuck goes Trump: Instagram-Alternative Pixelfed wächst kräftig

Immer mehr Menschen kehren Instagram den Rücken, weil ihnen die Politik des Meta-Konzerns nicht mehr passt. Die offene Alternative Pixelfed profitiert gerade davon. Sie ist werbefrei und bietet einen besseren Schutz der Privatsphäre. Von Markus Reuter –
Artikel lesen

Europäische Regeln für KI: Wo die Zivilgesellschaft nachjustieren möchte

Sollen Polizeibehörden Gesichtserkennung einsetzen können, wenn sie mit einem Schild davor gewarnt haben? Macht es für Empfänger:innen von Sozialhilfe einen Unterschied, ob sie mit einem KI-System Probleme kriegen oder mit klassischer Software? Die Zivilgesellschaft hätte dazu gerne mehr Klarheit von der EU-Kommission. Von Maximilian Henning –
Artikel lesen

NGOs fordern: Apple soll echte Interoperabilität umsetzen

Der Digital Markets Act der EU zwingt große Anbieter wie Apple, ihre Systeme für den Wettbewerb zu öffnen. Doch wie dies im Detail aussehen soll, ist hart umkämpft. Zivilgesellschaftliche Gruppen fordern nun von der EU-Kommission, Apple zu einem besseren Zusammenspiel mit der Konkurrenz zu zwingen. Von Tomas Rudl –
Artikel lesen

Parlament und Rat uneins: Nachfolge für EU-Datenschutzbeauftragten bleibt offen

Eigentlich sollte heute feststehen, wer bald das Amt des Europäischen Datenschutzbeauftragten übernimmt. Erstmals aber haben EU-Parlament und Mitgliedstaaten für unterschiedliche Kandidaten gestimmt. Nun müssen die beiden miteinander verhandeln. Von Maximilian Henning –
Artikel lesen

Auf den letzten Metern: Biden und Trump wollen TikTok-Sperrung verhindern

Am Sonntag soll TikTok in den USA abgeschaltet werden. Aber die App bleibt eventuell doch. Und gerüchteweise soll Elon Musk sie kaufen. Nutzer:innen suchen derweil nach Alternativen – und wechseln zu einer App, die noch enger mit dem chinesischen Staat verbandelt ist. Von Jan Grapenthin –
Artikel lesen

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Databroker verkaufen die Handy-Standortdaten von Millionen Menschen weltweit. Zehntausende App sind betroffen, wie Veröffentlichungen von netzpolitik.org und Recherche-Partnern aus sechs Ländern zeigen. Das kannst du tun, um dich zu schützen.

Fachleute sprechen vom kompletten Kontrollverlust, Betroffene haben die Schnauze voll. Die Standortdaten von Millionen Handy-Nutzer*innen weltweit stehen zum Verkauf. Databroker sammeln sie in Multi-Milliarden-Paketen. Ja, sie verschenken sie sogar als Vorschau auf Bezahlabos. Das belegen unsere Recherchen zu den Databroker Files, die auf nationaler Ebene begannen und nun auch den weltweiten Handel beschreiben.

In unserem neuen Datensatz mit 380 Millionen Standortdaten aus 137 Ländern gibt es große Unterschiede in der Genauigkeit der Ortung: Viele der gehandelten Standortdaten haben eine Unschärfe von mehreren Kilometern. Andere sind auf den Meter genau. 2024 analysierten wird einen Datensatz mit 3,6 Milliarden hochgradig genauen Standortdaten allein aus Deutschland. Das kann offenbaren, wo eine Person wohnt und zur Arbeit geht, wo sie die Kinder zur Kita bringt, zur Psychotherapie geht oder ins Bordell.

Nicht nur Standortdaten kursieren. Viele weitere Daten können erfasst werden. Etwa, welches Handy man nutzt, welchen Netzbetreiber und welche Apps oder welche Websites man besucht hat. Auf dieser Grundlage wird man auch in Schubladen gesteckt, die einen beispielsweise als angebliche „fragile Senior*in“ outen sollen oder als „Shopping-versessene Mama“.

Wer das eigene Handy – wie die meisten Menschen – ohne besondere Sicherheitsmaßnahmen benutzt, ist mit hoher Wahrscheinlichkeit nach selbst betroffen. Denn über Apps und Website führen viele Wege in den Schlund der Databroker. Hier fassen wir einige simple Schritte zusammen, mit denen sich Handy-Nutzer*innen schützen können.

1. Mobile Advertising ID abschalten

Die „mobile advertising ID“ (MAID) ist eine Art Nummernschild. Die meisten Handys generieren diese Werbe-ID einfach im Hintergrund. Betroffen sind Geräte mit iOS, also Handys und Tablets von Apple, sowie die meisten handelsüblichen Handys mit Googles Betriebssystem Android.

Durch die Werbe-ID sind unsere Geräte – und damit auch wir – für die Werbeindustrie eindeutig wiedererkennbar. Oft steht die Werbe-ID dabei, wenn Apps unseren Standort an Datenhändler verraten oder personalisierte Werbung ausspielen.

Abschalten lässt sich diese Werbe-ID in den Systemeinstellungen. Der genaue Weg kann sich je nach Betriebssystem und dessen Version unterscheiden.

• Für Google-basiertes Android: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung.
• Für iOS: Einstellungen > Datenschutz > Tracking > Tracking für Apps verbieten.

2. Apps den Standort-Zugriff entziehen

Viele Apps möchten Zugriff auf den genauen Standort des Geräts haben. Wer sich vor dieser Form des Trackings schützen möchte, erlaubt das nicht. Oder nur in den wenigen Fällen, in denen man auf eine Ortung wirklich nicht verzichten möchte oder die App sie für ihre Kernfunktion benötigt. Etwa, wenn man sich von einer Navigations-Apps in Echtzeit den Weg zeigen lassen möchte.

Den meisten anderen Apps kann man den Zugriff auf Standortdaten getrost verwehren. Gelegentlich möchten etwa Wetter-Apps Zugriff auf den genauen Geräte-Standort haben. Notwendig ist das nicht. Oftmals kann man einfach eintippen, für welche Stadt man gerne das Wetter sehen möchte.

Den Standortzugriff prüfen und nachträglich ändern kann man in den Systemeinstellungen für jede einzelne App (Android / iOS).

3. Ortungs-Technologien abschalten

Der Standort eines Geräts kann über mehrere Quellen bestimmt werden, zum Beispiel GPS, Mobilfunk, Bluetooth oder WLAN. Wer das Tracking-Risiko senken möchte, schaltet davon nur ein, was wirklich gerade gebraucht wird.

4. Ortung via IP-Adresse eindämmen

Auch über die öffentliche IP-Adresse ist eine grobe Ortung möglich. Man bekommt sie über den Anbieter des Internet-Zugangs. Sie wird automatisch übermittelt, wenn man Apps und Websites nutzt und ist zur Kommunikation technisch notwendig. Auf den ersten Blick hat eine IP-Adresse keine direkte Verbindung zu einem Standort. Anders als beim Zugriff auf beispielsweise den GPS-Standort müssen Apps für die IP-Adresse auch nicht gesondert um Erlaubnis bitten.

Aber dennoch lassen sich aus IP-Adressen Standorte ableiten – und unsere Recherchen zeigen, dass genau das massenhaft geschieht. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer ist die Zuordnung korrekt, teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.

Um sich davor zu schützen, gibt es mehrere Möglichkeiten.

• Mithilfe von VPN-Diensten lässt sich die tatsächliche IP-Adresse gegenüber Apps und Websites verschleiern. Sie sehen dann nur die IP-Adresse des VPN-Anbieters. Anderseits müsste man in diesem Szenario auch dem VPN-Anbieter vertrauen – der wiederum kann die tatsächliche, öffentliche IP-Adresse sehen.
• Einen eher grundlegenden Ansatz verfolgen Tracking- und Werbeblocker, wie Datenschutzexperte Mike Kuketz auf seinem Blog erklärt. Mithilfe von Blocklisten verhindern sie, dass das eigene Gerät überhaupt erst eine Verbindung zu bekannten Trackingdiensten aufnimmt und dabei allerlei Daten übermittelt. Diese Blocklisten müssen jedoch regelmäßig aktualisiert werden und können lückenhaft sein. Teils sind händische Nachbesserungen notwendig, etwa gezielt für die Apps, die man nutzen möchte.
• Auch auf Ebene von Browsern gibt es Tracking- und Werbeblocker. Diese Blocker sind aber nur auf besuchte Websites im Browser beschränkt. Sie betreffen also nicht das Tracking per Apps.
• Durch spezielle DNS-Server lässt sich Tracking ebenso unterbinden. DNS ist einer der wichtigsten Dienste im Internet. Er übersetzt Domainnamen in IP-Adressen. Bei den Anti-Tracking-DNS-Servern gibt es zusätzlich Filterlisten. Auf den Listen stehen bekannte Adressen, die Nutzer*innen durch Tracking gefährden. Die Kommunikation mit diesen Adressen wird unterbunden. Hier gibt es ein Tutorial zur Einrichtung.

Schritt 5: Tracking ablehnen, wo es nur geht

Für Websites und Apps gilt, auch wenn es lästig ist: Cookie-Banner und ähnliche Tracking-Begehren konsequent ablehnen.

Oft sind die entsprechenden Abfragen aber bewusst unübersichtlich gestaltet – oder das Ablehnen von Tracking ist gar nicht möglich. Dann bleibt einem nur der Griff zu Alternativen.

6. Umsatteln auf Tracking-freie Alternativen

Viele Apps, Websites, Dienste und Plattformen des alltäglichen digitalen Lebens basieren auf Tracking und damit auf Überwachung von Nutzer*innen. Nicht für alles, aber für vieles gibt es jedoch datensparsame Alternativen. Braucht es wirklich eine Wetter-, Navi- oder Shopping-App mit Hunderten „Werbepartnern“?

Erschwerend kommt hinzu, dass Daten auch ohne Wissen und Zustimmung der App-Betreiber*innen abfließen können, zum Beispiel weil von Dritten eingebundene Software-Pakete nicht nur das tun, was sie sollen. Gerade bei überladener oder veralteter, bei nicht-quelloffener oder sonstwie fragwürdiger Software ist das Risiko erhöht.

Ein kompletter Umstieg auf datensparsame Alternativen von heute auf morgen kann schnell überfordern. Aber man kann Stück für Stück vorgehen. Empfehlungen für datensparsame Apps gibt es zum Beispiel auf mobilsicher.de oder oder dem Blog von Mike Kuketz. Oft freuen sich die Betreiber*innen nicht-kommerzieller Software über Spenden.

Auch auf Ebene von Betriebssystemen gibt es Optionen. Es muss nicht immer iOS oder Google-basiertes Android sein. Anbieter von Google-freien Android-Versionen haben es sich zur Aufgabe gemacht, Alternativen zum Tracking-basierten Mainstream zu geben. Das geht oft zulasten des Komforts. Es wird aber kontinuierlich daran gearbeitet, dass nicht nur Nerds damit klarkommen.

7. Sich für politische Lösungen starkmachen

Wer sich sorgfältig um die eigene digitale Selbstverteidigung kümmert, kann die Gefahr durch Tracking deutlich eindämmen. Im Kreis von Freund*innen, Kolleg*innen und Familie kann man Anregungen teilen und Hilfe anbieten. Den meisten Menschen aber lassen sich die vielen, notwendigen Kniffe der digitalen Selbstverteidigung kaum zumuten – sie haben einfach andere Sorgen. Und viele wollen an dem von Tracking durchwirkten digitalen Leben teilhaben, an das sich ganze Generationen längst gewöhnt haben.

Die Massenüberwachung durch Handy-Daten ist ein Problem, dessen Lösung sich nicht auf Verbraucher*innen abwälzen lässt. Deshalb fordern viele seit Jahren politische Lösungen, etwa ein Verbot von Tracking und Profilbildung zu Werbezwecken. Denn Daten, die gar nicht erst erhoben werden, können auch nicht an Databroker gelangen. Der Verbraucherzentrale Bundesverband fordert das ebenso wie das Bundesverbraucherschutzministerium. Der Ball ist bei der EU, deren Bemühungen jedoch zuletzt am Lobbying durch Konzerne scheiterten.

Der geplante Digital Fairness Act der EU könnte ein Gelegenheit für einen neuen Anlauf sein. Interessierte könnten sich an ihre Abgeordneten wenden oder sich bei NGOs organisieren, die sich als Teil der Zivilgesellschaft für netzpolitische Themen stark machen.

Wer darüber hinaus aktiv werden will, kann sich auf seine Rechte laut Datenschutzgrundverordnung berufen und Auskunftsanfragen an Datenhändler stellen. Die Unternehmen sind verpflichtet, zu antworten, welche Daten sie über einen gespeichert haben. Auch wenn bei solchen Anfragen lange nichts passiert und Unternehmen außerhalb der EU oft schwer zu greifen sind: Anfragen machen sichtbar, dass Nutzer*innen ein Problem haben.

Wer das Gefühl hast, da ist etwas faul, kann daraufhin die zuständige Datenschutzbehörde einschalten, damit sie ein Unternehmen genauer unter die Lupe nehmen. Hier erklären wir mehr über Datenauskünfte und Beschwerden.

Schon jetzt kommen die Datenschutzbehörden kaum hinterher beim Abarbeiten der Anfragen. Gerade wenn Anbieter im Ausland sitzen, ist die Handhabe oft schwer. Doch auch wenn das Ergebnis einer Beschwerde in einigen Fällen mau sein wird: Es kann verdeutlichen, dass die bisherigen Instrumente nicht ausreichen und damit eine politische Signalwirkung haben.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

380 million location data from 137 countries: a previously unknown data set from a US data broker shows the dangers of global data trading. 40,000 apps are affected, including queer dating apps. For some apps, the shared location data is very precise.

This is the English summary of a longer German-language article. The publication is part of the „Databroker Files“ series.

A new data set obtained from a US data broker reveals for the first time about 40,000 apps from which users‘ data is being traded. The data set was obtained by a journalist from netzpolitik.org as a free preview sample for a paid subscription. It is dated to a single day in the summer of 2024.

Among other things, the data set contains 47 million “Mobile Advertising IDs”, to which 380 million location data from 137 countries are assigned. In addition, the data set contains information on devices, operating systems and telecommunication providers.

Ths investigation is part of an international cooperation by the following media: Bayerischer Rundfunk/ARD (Germany), BNR Nieuwsradio (Netherlands), Dagens Nyheter (Sweden), Le Monde (France), netzpolitik.org (Germany), NRK (Norway), SRF/RTS (Switzerland) and WIRED (USA).

Overview of our findings

• The approximately 40,000 apps in the new dataset cover a wide range of categories, from gaming, dating and shopping to news and education. They include some of the most popular apps worldwide, with millions of downloads in some cases.
• For a smaller number of apps, the data set contains alarmingly precise location data. This data can help to identify a person’s place of residence. These apps include the queer dating app Hornet with more than 35 million users; the messaging app Kik with more than 100 million downloads in the Google Play Store alone; Germany’s most popular weather app Wetter Online, which also has more than 100 million downloads in the Google Play Store; and the flight tracking app Flightradar24 with more than 50 million downloads in the Googles Play Store; the app of German news site Focus Online and classifieds apps for German users (Kleinanzeigen) and French users (leboncoin).
• For a bigger number of apps, less precise locations which appear to have been derived from IP addresses can be found in the data set. This list includes popular apps such as Candy Crush, Grindr, Vinted, Happy Color, dating apps Lovoo and Jaumo, news aggregator Upday, German email apps gmx.de and web.de as well as the popular dutch weather app Buienalarm.
• Since the sample only covers one day, it is difficult to identify people based on their locations from this data set alone. However, in combination with other data sets from the advertising industry, which the research team obtained from data brokers, it’s possible to identify and track people on a large scale. The location data might for example provide clues to their home and work addresses.
• Thus, the team was able to identify users of Wetter Online in Germany and Kik in Norway. The individuals confirmed that the data must belong to their devices and their use of the respective apps.
• Location data aside, the mere information about who uses which apps can already be dangerous. For example the data set includes numerous Muslim and Christian prayer apps, health apps (blood pressure, menstruation trackers) and queer dating apps, which hint at special categories of personal data under GDPR.

Where did the data set come from?

The research team obtained the data set from US data broker Datastream Group, which now uses the name Datasys. The company did not respond to multiple requests for comment.

Contact with the data broker was established through Berlin-based data marketplace Datarade. The company states in response to inquiries that it does not host any data itself. According to a spokesperson „Data providers use Datarade to publish profiles and listings, enabling users to contact them directly“. Datarade „requires data providers to obtain valid consent in case they’re processing personal data and to aggregate or anonymize data in case they’re processing sensitive personal data“.

Where does the data originate?

According to our analysis, the data originates from Real Time Bidding (RTB), which is a process in the online advertising ecosystem. These are auctions in which advertising inventory of apps and websites is sold. In the process, apps and websites send data about their users to hundreds or thousands of companies. These data contains the information that we can see in our dataset. There have already been multiple warnings that advertising companies are collecting the data from RTB in order to sell it – often without the knowledge or explicit consent of the users or their apps.

What the apps say

None of the apps we confronted so far states they had business relations with Datastream Group / Datasys. The apps Hornet and Vinted for example wrote, that they cannot explain how their users‘ data ended up with data brokers. Queer dating app Hornet emphasizes that it does not share actual location data with third parties and announces an investigation. Other companies such as Kik, Wetter Online, Kleinanzeigen, Flightradar, Grindr and King, the company behind the game Candy Crush, did not respond to press inquiries.

Reactions

Experts from politics, government agencies and civil society expressed concern about the findings.

Michael Will, the Bavarian data protection commissioner, said there would be consequences. In an interview, he describes the findings of the investigation as disillusioning and alarming. The data protection official views the situation as a blatant breach of trust. “This is contrary to everything that the average users of apps would expect – to be able to track where they have been for months afterwards.” The data broker should not have had this data. ”This is beyond the agreed rules of the game.”

Will also expresses criticism on Real Time Bidding: anyone who uses it to display advertising must ask themselves whether their own contractual partners are really abiding by the contract. As a result of the investigation, the data protection authority wants to take action itself. “We have investigative powers. We will now make intensive use of them on the basis of the information you have provided,” says Will – and points out that his authority can also impose sanctions. “We have the option of imposing quite considerable fines.”

In view of the latest findings, the German Federal Ministry for Consumer Protection (BMUV) writes: The collection of the data alone must be prevented. “We need effective EU-wide protection against personalized advertising to prevent app providers from having incentives to collect more data than is necessary to offer an app.” The ministry continues to advocate a “consistent switch to alternative advertising models”.

In addition, the Ministry for Consumer Protection is calling for technical standards to prevent devices from collecting identifying data in the first place. “The manufacturers of operating systems and end devices also have a role to play here.” Finally, the supervisory authorities would need to take consistent action.

Michaela Schröder from the Federation of German Consumer Organizations (vzbv) comments: “The current findings show and confirm once again that the global online advertising market has escaped any control. Unscrupulous data traders collect and disseminate highly sensitive information about people, while websites and apps make these illegal practices possible in the first place and the supervisory authorities seem to be completely overwhelmed.”

Consumers are left defenceless against the massive risks posed by data trading, says Schröder. The vzbv is therefore calling for action at the European level. “It is long overdue for the European Commission to effectively protect consumers and present a proposal to ban personalized advertising – for example, through the announced Digital Fairness Act,” Schröder said.

Difference to Gravy Analytics leak

The results of our investigation confirm and expand on the insights that experts gained in early January from data obtained by hackers from US data broker Gravy Analytics. The Gravy Analytics leak also mentions thousands of apps; this data also apparently comes from Real Time Bidding. Among them are numerous apps that are also represented in our dataset from the Datastream Group: Candy Crush, Grindr, Kik, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen and many more.

However, the list of apps in our data set is much longer. For the first time, we can also differentiate between the apps for which only very rough location data is available and those for which users can be located exactly. It is this the precise location data that puts users at particular risk, as it allows to draw conclusions about their home address and movement patterns.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Databroker verkaufen die Handy-Standortdaten von Millionen Menschen in Deutschland. Viele haben erst durch unseren Databroker Checker erfahren, dass sie betroffen sind. Was macht das mit ihnen? Hier sprechen sie selbst.

Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk und ist Teil unserer Reihe zu den Databroker Files.

Millionen von Menschen in Deutschland funken ihre Standortdaten an Databroker, ohne davon zu wissen. Unsere fortlaufenden Recherchen mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern zeigen: Die Werbe-Industrie macht unsere Handys zu Peilsendern. Und wer will, kann sich diese Daten einfach besorgen.

Als Vorschau für ein Abonnement erhielten wir zunächst 3,6 Milliarden Standortdaten von Handys aus Deutschland. Sie offenbarten genaue Bewegungsprofile aus nahezu jedem Winkel des Landes. Später erhielten wir weitere Datensätze mit noch mehr Standortdaten.

Manche Betroffene konnten wir selbst identifizieren, weil uns die Daten zu ihren Privatadressen führten. Andere erfuhren durch unseren Databroker Checker, dass ihre Werbe-ID in unserem Datensatz auftaucht, und meldeten sich per E-Mail.

Was heißt es für die Betroffenen, wenn ihre Standortdaten auf dem Datenmarkt zirkulieren? Wenn praktisch jede*r wie aus Vogelperspektive verfolgen kann, wann sie wo gewesen sind? In diesen Protokollen kommen sie zu Wort.

Magnus aus Mecklenburg-Vorpommern: „Gefühl, überwacht zu werden“

„Dass meine ID im Datensatz auftaucht, ist für mich ein Ansporn, noch aufmerksamer zu sein. Komplett überrascht war ich nicht, weil ich davon ausgehe, dass man immer Spuren hinterlässt, auch wenn man vorsichtig ist.

Bei mir haben nur sieben Apps überhaupt die Erlaubnis, den Handy-Standort zu erfassen. Ich glaube zwar nicht, dass jemand direkt ein Auge auf mich hat. Aber ich glaube, es ist durchaus nachvollziehbar, wo ich gewesen sein könnte. Das gibt mir schon ein latentes Gefühl, überwacht zu werden.“

Hedi aus Bayern: „Es ist beklemmend“

„Ich komme mir total überwacht vor. Ich finde es einfach gruselig. Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.

Ich bin bei den Omas gegen Rechts. Wenn wir da unsere Mahnwachen machen, kommt zur Zeit immer einer von der AfD und fotografiert uns. Ich möchte nicht, dass einer von diesen Leuten weiß, wo ich wohne.“

Martin, IT-ler aus Niedersachsen: „Werde Google den Rücken zukehren“

„Von mir wurden Standorte auf dem Weg nach Oldenburg erfasst. Was mich daran besonders ärgert: Ich achte extrem viel auf Datenschutz und Privatsphäre. Ich hoste meinen eigenen E-Mail-Server und verwende für jeden Anlass separate E-Mail-Adressen, um genau zu prüfen, wer meine Daten verkauft. Meine Kontakte, Kalender und Daten habe ich nur in der eigenen verschlüsselten Infrastruktur. Also, ich weiß schon, was ich tue!

Jetzt fühle ich mich dabei ertappt, vollkommen inkonsequent zu sein, weil ich ein Handy mit Google-Diensten nutze und mit Apps, die meinen Hintern verkaufen. Dann kann ich mir den ganzen Aufriss gleich ganz sparen! Ich habe die Schnauze voll. Ich werde Google den Rücken zukehren und mir neues Handy kaufen mit einem freien Betriebssystem wie LineageOS oder GrapheneOS.

Es muss öffentlich werden, dass so etwas passiert! Leider interessiert das keinen. In der BILD-Zeitung wird davon nichts stehen. Und selbst wenn es mal Bußgelder gibt, das preisen die Konzerne doch einfach mit ein und machen weiter.“

Günther aus Sachsen: „Vertrauenswürdig sind die alle nicht“

„Mich hat das nicht gewundert, dass meine Werbe-ID in dem Datensatz ist. Diese ganzen kostenlosen Dienste wollen ja Geld mit unseren Daten verdienen. Die schreiben zwar nirgendwo deutlich, dass sie meine Standortdaten verkaufen, aber vertrauenswürdig sind die doch alle nicht.

Worüber ich mir am meisten Sorgen mache: Selbst man seine Werbe-ID löscht, ist man immer noch erkennbar durch all die anderen Spuren, die man hinterlässt, zum Beispiel Zahlungsdaten. Die alten und neuen Profile können zusammengeführt werden und ich glaube auch, dass das passiert.

Ich mache mir aber weniger Sorgen, dass mich jemand digital überwacht. Hier im Dorf sind etwa die Hälfte der Leute rechtsextrem, und die kennen mich persönlich. Ich bin ein Mann der Mitte und mache aus meiner Haltung auch kein Geheimnis. Wenn man hier SPD wählt, gilt man schon als linksextrem.“

Lukas aus Niedersachsen: „Datensammeln für Werbezwecke unnötig“

„Es gibt so viele gute Gründe, um Daten zu sammeln: zum Beispiel Verkehrswege optimieren oder Menschen mit Krankheiten helfen. Datensammeln für Werbezwecke finde ich einfach unnötig. Ich versuche zwar, weitestgehend vorsichtig mit meinen Daten zu sein. Aber ich war mir sicher, dass meine Daten trotzdem irgendwo liegen – und dass ich da nur nicht rankomme.

Deshalb hat mich das eher gefreut, als ich gesehen habe, dass meine Daten in eurem Datensatz stecken. Denn so hatte ich die Möglichkeit, endlich einmal selbst zu erfahren, was von mir erfasst wurde. Seltsamerweise geben die Apps, die ich benutze, nach eigenen Angaben keine Standortdaten an Dritte weiter. Entweder war das in meinem Fall also ein Versehen oder die Apps verheimlichen etwas. Das fände ich ein No-Go, so sollte man nicht mit Mitmenschen umgehen.

Für mich persönlich sehe ich keine große Gefahr darin, wenn meine Standortdaten verfügbar sind. Es gibt aber Menschen – auch in meinem Umfeld – die ins Visier von Rechtsextremen geraten. Ich kann mir schon vorstellen, dass zum Beispiel auch Journalist*innen oder Lehrer*innen mithilfe solcher Daten verfolgt werden. Es gibt genug Fälle, in denen Rechte solche Menschen einschüchtern wollen. Ich finde, gerade wenn man das Privileg hat, nicht selbst im Visier zu sein, sollte man sich erst Recht für seine Mitmenschen einsetzen.“

Corinna aus Berlin: „Sprachlos und schockiert“

„Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist. Auf jeden Fall fühle ich mich jetzt beobachtet. Mein Vertrauen in den Datenschutz von Handy-Apps ist weniger geworden.

Ein Stück weit bin ich auch sauer. Gerade in der Politik wurde so oft über Datenschutz geredet. Datenschutz hier und Datenschutz da. Aber trotzdem ist man dann so gläsern. Wie kann das sein???“

Sebastian aus Bayern: „Versuche grundsätzlich, auf ‚Ablehnen‘ zu klicken“

„Ich wusste vorher zwar, dass irgendwelche Werbefirmen mit meinen Daten handeln, aber das war sehr abstrakt. Jetzt sehe ich konkret, dass zumindest ein paar ungenaue Standortdaten aus meinem Wohnort in diesem Datensatz gelandet sind. Das hat mich erstmal überrascht.

Ich nutze mit GrapheneOS ein von Google losgelöstes Android, aber ich habe für manche Apps doch Google-Dienste aktiviert. Der möglichen Einschränkung oder Vermeidung der Werbe-ID habe ich bisher keine Beachtung geschenkt, was sich durch die Recherche auf jeden Fall geändert hat.

Wenn ich wüsste, welche App genau meine Standortdaten verkauft hat, wäre ich schon sauer. Ich versuche grundsätzlich auch bei allen Cookie-Fenstern auf ‚Ablehnen‘ zu klicken. Aber gerade wenn man auf bestimmte Apps oder Dienste nicht verzichten will, hat man keine Wahl und muss sehr umfangreiche Datenschutzbestimmungen akzeptieren.“

---

Jetzt testen: Wurde mein Handy-Standort verkauft?

In unseren Protokollen spiegelt sich die typische Leser*innenschaft von netzpolitik.org wieder. Viele Menschen, die sich bei uns gemeldet haben, waren IT-affin und männlich. Die Massenüberwachung durch Daten der Werbe-Industrie betrifft aber uns alle. Wer wissen möchte, ob das eigene Gerät im Datensatz mit 3,6 Milliarden Standortdaten auftaucht, kann das jetzt hier prüfen.

Einige unserer Gesprächspartner*innen wehren sich mithilfe digitaler Selbstverteidigung gegen das Tracking durch die Werbeindustrie, zum Beispiel durch Google-freies Android. Damit lässt sich das Problem zwar eindämmen, aber nicht für alle lösen. Einerseits können auch trotz solcher Maßnahmen einige Daten gesammelt werden – andererseits haben viele Nutzer*innen nicht die Mittel, so etwas selbst umzusetzen.

Deshalb fordern nicht zuletzt etwa das Bundesministerium für Verbraucherschutz und der Verbraucherzentrale Bundesverband Änderungen auf politischer Ebene – das Verbot von Tracking und Profilbildung zu Werbezwecken.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen.

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande), Dagens Nyheter (Schweden), Le Monde (Frankreich), NRK Beta (Norwegen), SRF/RTS (Schweiz), WIRED (USA). Sie ist zugleich Teil der „Databroker Files“.

Dienstag, 2. Juli 2024, ein ganz normaler Sommertag. In einem begrünten Wohngebiet mitten im niedersächsischen Dinklage checkt jemand die Wetter-Online-App mit seinem Samsung Galaxy S7 Edge. Aber Sommerträume werden heute nicht mehr wahr: In Dinklage ziehen sich Wolken zusammen, die Temperaturen werden nicht über 16 Grad Celsius steigen.

Gut 300 Kilometer südlich, in der hessischen Stadt Bensheim, lässt sich jemand auf seinem Huawei-Handy mit „Hornet“ orten, einer App für queere Sex-Dates. Er befindet sich dabei mitten auf dem Gelände einer Firma, die unter anderem elektronische Systeme für Kriegsschiffe und Kampfjets fertigt. Das Symbol der Dating-App ist eine Hornisse mit phallischem Stachel.

In Hannover wiederum spielt jemand auf dem Xiaomi-Handy ein Gratis-Game, in dem kleine blaue Soldaten die Häuser von kleinen roten Soldaten stürmen. Zugang zum Internet hat das Handy dabei übers Netz der dortigen gesetzlichen Unfallversicherung, die Menschen nach Arbeitsunfällen und bei Berufskrankheiten versorgen soll.

Was diese drei Personen gemeinsam haben: Sie alle wurden überwacht und lokalisiert. Datenhändler wissen, an welchen Orten sie welche Apps nutzen. Angeblich werden solche Informationen nur zu Werbezwecken erhoben. Aber Händler verkaufen sie in gigantischen Datensätzen. Ja, sie verschenken die Daten sogar an Interessierte, wenn man freundlich danach fragt.

Rund 40.000 Apps, 137 Länder

Ein solcher Datensatz ist über einen US-Händler zu netzpolitik.org gelangt. Als Gratis-Vorschau soll er Lust auf ein Monatsabo mit tagesaktuellen Daten machen. Obwohl es sich nur um eine Kostprobe handelt, zeichnet dieser Datensatz ein bislang einzigartiges Bild vom weltweiten Datenhandel. Datiert auf einen Tag im Juli 2024 beinhaltet er 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps, deren Nutzer*innen kaum ahnen dürften, was mit ihren Daten geschieht.

Zu den Standortdaten im Datensatz gehören außerdem sogenannte Mobile Advertising IDs. Diese Werbe-Kennungen funktionieren wie Nummernschilder und machen Nutzer*innen eindeutig erkennbar. Zu finden sind auch Infos über das verwendete Handy-Modell und Netzbetreiber, etwa Vodafone oder Telekom.

Gemeinsam mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern haben wir den Datensatz mehrere Monate lang analysiert, Betroffene identifiziert, mit App-Betreibern und AdTech-Unternehmen gesprochen. Wir veröffentlichen die ersten Ergebnisse gemeinsam mit Le Monde (Frankreich), SRF/RTS (Schweiz), NRK Beta (Norwegen), BNR Nieuwsradio (Niederlande) und Dagens Nyheter (Schweden).

Es ist eine Fortsetzung der Databroker Files, unseren Recherchen zu Online-Werbung und Datenhändlern. Im Mittelpunkt steht ein neuer Datensatz, den wir vom US-Datenhändler Datastream Group erhalten haben. Darin befinden sich neben Werbe-IDs und Standortdaten auch die Verbindungen zu Apps von Android und iOS. Inzwischen tritt die Datastream Group unter dem Namen Datasys auf. Auf unsere Presseanfragen hat das Unternehmen nicht reagiert.

Jüngst hat die Kritik am Datenhandel Fahrt aufgenommen, weil Hacker erbeutete Daten eines anderen Databrokers aus den USA veröffentlicht haben: Gravy Analytics. Das Leak offenbarte ebenfalls Tausende Apps, deren Daten bei Databrokern kursieren.

Die Liste der Apps im uns vorliegenden Datensatz ist jedoch länger. Auch können wir erstmals differenzieren, zu welchen Apps es nur sehr grobe Standortdaten gibt – und bei welchen Apps exakte Ortungen von Nutzer*innen vorliegen. Gerade die genauen Standortdaten gefährden Nutzer*innen besonders, da sie Rückschlüsse auf ihre Privatadresse und Bewegungsprofile zulassen.

Wetter Online, Kleinanzeigen, Focus Online und mehr

Die rund 40.000 Apps im neuen Datensatz decken eine breite Vielfalt an Kategorien ab: über Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung. Darunter sind einige der beliebtesten Apps der Welt, teils millionenfach heruntergeladen.

Zu einigen der Apps konnten wir auffällig exakte Standortdaten finden. Eine davon ist Deutschlands populärste Wetter-App, Wetter Online. An nur einem Tag in Deutschland wurden zehntausende Wetter-Online-Nutzer*innen wohl teils auf den Meter genau geortet. Genaue Standortdaten gibt es auch zu Nutzer*innen von anderen beliebten Apps wie Focus Online, Kleinanzeigen und FlightRadar24.

Weitet man den Blick auf alle Standortdaten im Datensatz, so entdeckt man weitere bekannte Apps – darunter Tinder, Grindr und Candy Crush Saga sowie Upday vom Axel-Springer-Konzern, web.de und gmx.de. Hier wurden Nutzer*innen jedoch offenbar nur per IP-Adresse geortet, also mit einer Unschärfe im Kilometer-Bereich.

Als Reaktion auf unsere Recherche fordert das Bundesministerium für Verbraucherschutz „konsequentes Handeln“ und einen „effektiven EU-weiten Schutz vor personalisierter Werbung“. Um die Erhebung der Daten zu verhindern, seien auch die Hersteller der Betriebssysteme und Handys gefragt. Der Verbraucherzentrale Bundesverband (vzbv) spricht von „skrupellosen“ Datenhändlern, denen Verbraucher*innen „schutzlos ausgeliefert“ sind.

Kontrolle über eigene Daten ist eine Täuschung

Was lässt sich lernen aus diesem einen ganz normalen Tag in der Welt der werbebasierten Massenüberwachung? Unsere Recherche zeigt: Nutzer*innen haben keine Kontrolle über ihre Daten. Auch wenn die Werbe-Industrie mit ihren Transparenz-Labels und Einwilligungs-Abfragen gerne einen anderen Eindruck erwecken möchte. Anhand unseres Datensatzes können wir verfolgen, wo Millionen Menschen auf der ganzen Welt welche Apps benutzen.

Die Daten gelangen aus dem Werbe-Ökosystem an Datenhändler, werden zusammengerührt und weiterverkauft, auch zu anderen Zwecken als Werbung. Das kann absichtlich passieren oder durch Nachlässigkeit. Die verantwortlichen AdTech-Unternehmen können dabei in der Masse untergehen. So wird aus dem Geschäft zu Werbezwecken ein Geschäft zur Massenüberwachung.

Nicht alle Apps im Datensatz sind in gleichem Ausmaß an der Überwachung ihrer Nutzer*innen beteiligt. Das Spektrum beginnt bei Apps, die schon im Google Play Store oder in Apples App Store offenlegen: Ja, wir orten unsere Nutzer*innen präzise, auch wenn es für die App nicht nötig wäre, und wir können diese Daten mit Dritten teilen.

Das Spektrum endet bei Apps, die nach eigenen Angaben keine Standortdaten erheben. Auf den ersten Blick mag das überraschen. Dass selbst augenscheinlich datensparsame Apps in diesem Datensatz landen konnten, zeugt von den verschlungenen Wegen, auf denen Databroker an ihre Ware gelangen. Dazu später mehr.

Potenziell Millionen Nutzer*innen von Wetter Online betroffen

Welche Apps laufen also auf den rund 795.000 Handys, die an einem Tag in Deutschland geortet wurden und in unserem Datensatz gelandet sind? Zu den spannendsten gehören zwei miteinander verwandte Wetter-Apps: „Wetter Online mit Regenradar“ und „RegenRadar mit Unwetterwarnung“, beide angeboten von der WetterOnline GmbH.

Im Ranking der meist genutzten Wetter-Apps in Deutschland steht „WetterOnline mit RegenRadar“ derzeit auf Platz 1, sowohl für iOS als auch für Android. Allein im Play Store verzeichnet die App mehr als 100 Millionen Downloads.

Auch in unserem Datensatz haben die Wetter-Online-Apps Spitzenpositionen: Sie sind unter den Apps mit den meisten in Deutschland georteten Handys. Allein „Wetter Online mit Regenradar“ für Android läuft auf rund 34.875 Handys, die laut Datensatz am 2. Juli 2024 in Deutschland geortet wurden.

Unter den Apps, die im Datensatz die meisten Standortdaten aus Deutschland aufweisen, sind die Wetter-Online-Apps ebenso weit vorne. Oft haben deren entsprechende Geo-Koordinaten sechs Nachkommastellen; das verspricht eine Genauigkeit von unter einem Meter.

Unser Datensatz deckt nur einen Tag ab; entsprechend schwierig ist es, darin die möglichen Bewegungsprofile von Personen zu erkennen. Es ist uns trotzdem gelungen, getrackte Wetter-Online-Nutzer*innen zu identifizieren. Dabei halfen uns Standortdaten aus anderen Datensätzen, die uns dank vergangener Recherchen vorliegen. Häufungen von Handy-Ortungen führten uns zu den Wohnadressen der Nutzer*innen. Zwei Personen bestätigen uns: Ja, sie erkennen sich in den Daten wieder, und ja, sie nutzen Wetter Online.

Über eine der Personen fanden wir sogar noch mehr heraus: Sie lebte laut unseren Daten in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik in einer bayerischen Großstadt. Zum Schutz ihrer Privatsphäre nennen wir ihren Namen nicht.

Wetter Online schweigt

Auf der eigenen Website nennt Wetter Online sogenannte Werbepartner, also Unternehmen, die Daten von Nutzer*innen erhalten können. Stand 10. Januar sind das insgesamt 833, darunter Branchenriesen wie Google und Microsoft-Tochter Xandr. Laut Eintrag im Google Play Store darf Wetter Online den genauen Standort zwecks Werbung und Marketing teilen.

Wie stellt Wetter Online sicher, dass die mit anderen Firmen geteilten Daten nicht weiter verbreitet werden? Wie erklärt sich Wetter Online, dass Standortdaten seiner Nutzer*innen bei Databrokern landen konnten? Auch nach mehrfachen Kontaktversuchen per E-Mail und Telefon erhielten wir keine Antworten.

Das Fazit ist ernüchternd: Die teils genauen Standortdaten von Zehntausenden Wetter-Online-Nutzer*innen aus Deutschland sind in unserem Datensatz. Viele Millionen weitere Nutzer*innen der populärsten Wetter-App Deutschlands könnten potenziell betroffen sein. Aber es gibt keine Erklärung, wie die Daten an Databroker geflossen sind.

Was sagt die Datenschutzbehörde dazu? Wetter Online hat seinen Sitz in Bonn, zuständig ist also die Landesdatenschutzbeauftragte Nordrhein-Westfalen. Zu konkreten Fällen äußern will sich die Behörde auf Anfrage nicht. Generell teilt ein Sprecher mit: Standortdaten seien besonders schützenswert, da sich damit Bewegungsprofile erstellen ließen – für Zwecke der Werbung und Überwachung.

Die von Nutzer*innen eingeholten Einwilligungen nach der DSGVO seien praktisch meist unwirksam, „weil nicht hinreichend transparent über den Umgang mit den Daten aufgeklärt wird“, so der Sprecher weiter. Verbraucher*innen sei „dringend davon abzuraten, in einen Handel mit den eigenen Standortdaten einzuwilligen, weil sie gar nicht ermessen können, wer diese Daten wann und für welche Zwecke nutzt und welche Konsequenzen das für sie haben kann“.

Apps können vulnerable Gruppen exponieren

Bereits im Sommer 2024 haben wir einen umfangreichen Datensatz untersucht, den wir von der Datastream Group erhielten. Vermittelt wurde der Kontakt zu dem Datenhändler über den Berliner Datenmarktplatz Datarade. Datarade betont auf Anfrage, dass es als Vermittler selbst keine Daten speichere. „Anbieter nutzen Datarade, um Profile und Angebote zu veröffentlichen, sodass Nutzer*innen sie direkt kontaktieren können“, schreibt uns die Plattform auf Englisch. Wer auf Datarade personenbezogene Daten anbiete, müsse laut Richtlinien entsprechende Einwilligungen vorhalten.

Damals hatten wir aufgedeckt, wie offen gehandelte Standortdaten aus Handy-Apps Menschen gefährden können. Stalker*innen können ihren Opfern nachstellen. Wer in sicherheitsrelevanten Bereichen wie Behörden, Militär und Geheimdiensten arbeitet, kann erpressbar werden. So offenbarten die Standortdaten von Databrokern etwa auch Besuche in Bordellen, Suchtkliniken oder Gefängnissen.

Nun haben wir einen neuen Datensatz, der zusätzlich verrät, welche Apps eine Person verwendet. Im Datensatz sind viele unverfängliche Apps, die praktisch jede*r haben könnte, etwa fürs Wetter. Zu finden sind allerdings auch Apps, die besonders sensible Einblicke liefern – etwas, wovor die Datenschutzgrundverordnung (DSGVO) Menschen in der EU eigentlich schützen sollte.

• Dating-Apps können offenbaren, dass jemand gerade auf Partner*innen-Suche ist. In unserem Datensatz vertreten sind auch queere Dating-Apps wie Grindr oder Hornet, von denen sich auf die sexuelle Orientierung schließen lässt. Solche Informationen gelten laut Artikel 9 der DSGVO als besonders sensibel.
• Gesundheits-Apps können etwas über Krankheiten und Lebensumstände verraten. So fanden sich in unserem Datensatz mehrere Apps für Patient*innen mit Blutdruck-Problemen. Auch dabei waren Apps zum Tracken der Periode. Gesundheitsdaten fallen ebenso unter Artikel 9 der DSGVO.
• Gebets-Apps legen nahe, dass eine Person eine Religion praktiziert. Im Datensatz fanden wir mehrere Apps für Verse aus der Bibel oder dem Koran. Als besonders schützenswert beschreibt die DSGVO ausdrücklich Daten zu „religiösen oder weltanschaulichen Überzeugungen“.

Populäre Apps, genaue Standorte

Schon die Information, wer welche App verwendet, kann also für manche ein Risiko sein. Hinzu kommen Angaben zu genutzten Geräten und Betriebssystemen. So lassen sich Stück für Stück umfangreiche Profile von Menschen erstellen. Und dann sind da noch die Standortdaten, die mehr oder weniger genau verraten, wo sich eine Person aufhält.

Aus den rund 40.000 Apps im Datensatz haben wir zunächst mehrere Tausend als potenziell bedenklich herausgefiltert. Das Kriterium: Die ihnen zugeordneten Standortdaten sind möglicherweise genau genug für detaillierte Bewegungsmuster. Ihre Nutzer*innen wären dadurch besonders gefährdet. Da im Datensatz überwiegend Android-Apps mit aussagekräftigen Daten vertreten waren, haben wir uns auf sie konzentriert.

Doch auch diese Liste war zu lang, um alle dazu gehörigen Apps einzeln in Augenschein zu nehmen. Deshalb haben wir eine Auswahl erstellt und die dazu gehörigen Standortdaten unter die Lupe genommen. Für diese Auswahl haben wir besonders solche Apps berücksichtigt, die auch für Nutzer*innen in Deutschland relevant sind. Außerdem haben wir darauf geachtet, dass unsere Auswahl eine Bandbreite verschiedener Apps abbildet.

Konkret haben wir geprüft, welche Muster sich aus den Standortdaten ergeben und ob diese Muster für eine genaue Ortung sprechen – etwa durch Häufungen von Standorten in Gebäuden oder entlang von Straßen und Wegen. Auch wenn es üblich ist, dass Databroker mit solchen Standortdaten handeln: Es lässt sich nicht belegen, dass alle Einträge im Datensatz korrekt sind, also dass die Standortdaten zutreffen und von den App-Nutzer*innen stammen.

Vieles spricht jedoch dafür, dass zumindest ein großer Teil korrekt ist: So fanden wir mehrere Übereinstimmungen mit Bewegungsmustern und Werbe-IDs aus dem Datensatz unserer ersten Recherche. Das internationale Team konnte zudem Nutzer*innen einzelner Apps identifizieren. Die Anbieter der Apps hinter den von uns näher untersuchten Daten haben wir um Stellungnahme gebeten.

Das Wichtigste vorab: Kein Unternehmen, das uns geantwortet hat, will Beziehungen zur Datastream Group oder Gravy Analytics haben.

• Focus Online ist eines der reichweitenstärksten Nachrichten-Portale in Deutschland. Zur Erfassung genauer Standortdaten von Nutzer*innen haben wir dem Anbieter, Burda Forward GmbH aus München, Fragen geschickt. Zumindest innerhalb der Frist konnte sich das Unternehmen zunächst nicht inhaltlich äußern. Update 5. Januar, 16:45 Uhr: Eine Antwort des Unternehmens erreichte uns nach der Veröffentlichung des Textes. Demnach habe Burda Forward keine Geschäftsbeziehungen zu dem Datenhändler; auch Geschäftspartner seien nicht autorisiert worden, Userdaten an ihn weiterzugeben. „Besorgt nehmen wir diesen weltweiten Datenmissbrauch zur Kenntnis und hoffen sehr, dass eine Aufklärung erfolgt, an welcher Stelle die rechtswidrige Weitergabe von Daten stattgefunden hat.“
• Mit FlightRadar24 lassen sich weltweit und in Echtzeit Flüge verfolgen, die App wurde allein im Play Store mehr als 50 Millionen mal heruntergeladen. Der Anbieter mit Sitz in Schweden hat ebenso nicht auf unsere Anfrage reagiert.
• Kleinanzeigen, früher bekannt als Ebay Kleinanzeigen, bezeichnet sich selbst als „Deutschlands meistbesuchtes Kleinanzeigen-Portal“. Antworten auf unsere Fragen erhielten wir nicht.
• Kik ist ein kostenloser Messenger ohne Ende-zu-Ende-Verschlüsselung. Unsere norwegischen Kolleg*innen von NRK Beta fanden mithilfe des Datensatzes eine Person, die den Messenger nutzt. Sie sagt: „Ich finde das beängstigend und möchte nicht, dass irgendjemand ständig weiß, wo ich bin und was ich mache. Das ist auch ein Grund, warum ich nicht mehr im Telefonbuch stehe.“ Von der US-amerikanischen Firma hinter Kik, MediaLab, gab es keine Antwort auf unsere Anfragen.
• Unter dem Namen WordBit gibt es dutzende Sprach-Lern-Apps, die auch in großer Zahl in unserem Datensatz auftauchen. Die Anzahl der Apps ist so hoch, weil WordBit je eigene Apps für verschiedene Kombinationen aus Mutter- und Fremdsprachen anbietet. Vonseiten der Anbieter, die ihren Firmensitz auf der eigenen Website nicht offenlegen, gab es keine Reaktion.
• Hornet ist eine queere Dating-App mit nach eigenen Angaben mehr als 35 Millionen Nutzer*innen. Auf Anfrage schreibt Hornet-CEO Christof Wittig: „Wir können die Möglichkeit nicht vollständig ausschließen, dass Werbenetzwerke von Drittanbietern Daten ohne unsere Kenntnis oder Zustimmung weitergegeben haben könnten.“ Das betreffe aber wahrscheinlich von IP-Adressen abgeleitete Standorte. Als wir dem sichtlich erstaunten CEO beschreiben, dass uns durchaus genaue Standortdaten vorliegen, kündigt er eine Untersuchung an. „Unter keinen Umständen teilt Hornet absichtlich echte Geodaten“, betont Wittig.

Populäre Apps, ungefähre Standorte

Den meisten Apps in unserem Datensatz sind unserer Schätzung nach keine genauen Standortdaten zugeordnet. Geortet wurden die betroffenen Nutzer*innen dieser Apps demnach nicht etwa per GPS, sondern über ihre öffentliche IP-Adresse. Diese Adresse erhält man über den Anbieter seines Internet-Zugangs; sie wird bei der Nutzung von Apps und Websites automatisch übermittelt.

Die IP-Adresse hat zunächst keine direkte Verbindung zu einem Standort. Internetanbieter weisen jedoch ihren Netzknoten bestimmte Adressen zu. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer sind die Daten aktuell. Bei dieser IP-basierten Ortung können auch spektakuläre Fehler passieren. Teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.

Diese IP-basierte Ortung rückt Nutzer*innen weniger eng auf die Pelle. Anders als beim Zugriff auf den GPS-Standort müssen Apps für die IP-Adresse nicht gesondert um Erlaubnis bitten, weil sie technisch gesehen kein Standort ist. Somit können auch dem Anschein nach datensparsame Apps betroffen sein.

Auch in unserem Datensatz fanden wir datensparsame Apps, deren Entwickler sich im direkten Gespräch ratlos zeigten. Sie konnten nicht nachvollziehen, wie Werbe-IDs ihrer Nutzer*innen bei Databrokern landen konnten.

Dennoch kann IP-basierte Ortung je nach Lebenslage verräterisch sein, lassen sich damit doch Städtetrips oder Auslandsreisen ablesen. Ein heimliches Doppelleben? Konspirative Treffen im Ausland? Die IP-Adresse kann es verraten. Hinzu kommen die weiteren Eckdaten aus dem Datensatz wie Handy-Modell und Werbe-Kennung. All das kann dabei helfen, eine Person eindeutig zu identifizieren.

Auch unter den Apps mit offenbar IP-basierter Handy-Ortung gibt es viele deutsche Nutzer*innen. Wir haben einige der App-Betreiber*innen um Stellungnahme gebeten. Unsere Auswahl bildet wieder eine Bandbreite ab – darunter sind einige der weltweit populärsten Apps.

• Candy Crush Saga gehört mit mehr als einer Milliarde Downloads allein im Google Play Store zu den populärsten Handy-Spielen der Welt. Vom internationalen Anbieter – King – erhielten wir keine Antworten auf unsere Anfragen.
• Happy Color bezeichnet sich selbst als „das weltweit beliebteste Gratis-Ausmalspiel“, mehr als 100 Millionen Mal wurde es im Play Store heruntergeladen. Die Zielgruppe dürfte schon bei jüngeren Kindern beginnen. Immerhin wirbt Happy Color damit, dass man mit wenigen Fingertipps Simba aus dem Disney-Klassiker „König der Löwen“ ausmalen kann. Mehr als 38.000 verschiedene Werbe-Kennungen von Happy-Color-Nutzer*innen aus Deutschland finden sich im Datensatz. Der Anbieter X-Flow mit Sitz in Zypern hat auf unsere Anfrage nicht reagiert.
• Auf Vinted können Nutzer*innen etwa Second-Hand-Kleidung und Kosmetik verkaufen, frühere Töchter der Plattform waren Kleiderkreisel und Mamikreisel. Der Anbieter aus Litauen schreibt, er untersuche, wie Nutzer*innen etwa durch Drittanbieter betroffen sein könnten.
• Grindr bezeichnet sich selbst als „weltgrößte Netzwerk-App für schwule, bi, trans und queere Menschen“. Die US-amerikansiche Firma hat unsere Anfrage nicht beantwortet.
• Lovoo und Jaumo sind beides Dating-Apps mit Sitz in Deutschland. Von Jaumo gab es keine Antwort auf unsere Fragen. Ein Lovoo-Sprecher lässt uns wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Daten über deren sexuelle Orientierung gebe man grundsätzlich nicht weiter. Mit externen Partnern bestünden zudem Datenschutzvereinbarungen.
• upday ist ein Newsaggregator, den der Axel-Springer-Konzern mit Samsung entwickelt hat. Unsere Presseanfrage blieb unbeantwortet.
• web.de und gmx sind in Deutschland ansässige Portale für kostenlose E-Mail-Postfächer und Nachrichten. Sie gehören zur selben Unternehmensgruppe. Auf Anfrage erklärt ein Pressesprecher, aus den Apps von web.de und gmx würden keine Standortdaten stammen.

Daten aus dem Real Time Bidding

Warum reagieren die meisten App-Betreiber*innen so schmallippig auf die Frage, wie genau die Daten ihrer Nutzer*innen geflossen sind? Möglicherweise kennen sie die Antwort selbst nicht genau. Denn die Wege der Daten sind selbst für Insider verschlungen.

Vieles spricht dafür, dass der uns vorliegende Datensatz größtenteils aus dem sogenannten Real Time Bidding (RTB) stammt. RTB entscheidet darüber, welches Unternehmen uns Online-Werbung vor die Nase setzt. Alles geschieht automatisiert innerhalb von Millisekunden („real time“) durch eine Auktion („bidding“).

Damit diese Auktion stattfinden kann, funkt eine App ein Info-Paket an eine oder mehrere Plattformen. Von dort fließt das Paket an hunderte oder tausende Firmen. Es enthält die sogenannten Bidstream-Daten, darunter die Werbe-ID und unsere IP-Adresse. Per IP-Adresse lässt sich auf die Region schließen, in der wir uns aufhalten. Als würde ein Marktschreier rufen: „Werbeplatz in Dating-App aus Leipzig zu vergeben!“

Mehr noch: Die unzähligen Empfänger der Bidstream-Daten können uns dank früherer Datensammlungen zusätzlich in Schubladen stecken, sogenannte Segmente. Diese Segmente sollen uns etwa als „fragile Senioren“ outen oder als „Shopping-versessene Mütter“.

Dann bieten die Unternehmen Mikro-Centbeträge, um unsere Aufmerksamkeit zu bekommen. Der Meistbietende darf seine Werbung ausspielen – aber unsere Daten haben alle bekommen.

Die Datensammler handeln im Verborgenen

In der Masse der Beteiligten reicht es, wenn nur ein Unternehmen diese Daten abzwackt, um daraus Pakete für Databroker zu schnüren. Weder die App-Anbieter*innen noch die Nutzer*innen bekommen das direkt mit.

Eine Anhäufung solcher Bidstream-Daten ist offenbar der uns vorliegende Datensatz. Ein großer Teil der Standortdaten aus unserem Datensatz geht auf IP-Adressen zurück, was für RTB typisch ist. Auch die Gestaltung der Tabelle entspricht den für RTB üblichen Standards, wie uns mehrere Branchenkenner bestätigten.

Es gibt außerdem Hinweise, dass Daten wie die uns vorliegenden durch mehrere Hände gingen – und nicht exklusiv bei nur einem Databroker kursierten. In einem Online-Forum schreibt ein Nutzer über einen identisch strukturierten Datensatz, jedoch mit Verweis auf eine völlige andere Quelle. Unsere Gratis-Probe mit 380 Millionen Einträgen ist für Insider*innen also gar nicht mal so ungewöhnlich.

Dafür spricht auch der bereits erwähnte Leak von Gravy Analytics: Darin finden sich zahlreiche Apps, die ebenso im uns vorliegenden Datensatz der Datastream Group vertreten sind: Candy Crush, Grindr, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen und viele mehr. Die Parallelen zwischen diesen beiden Quellen unterstreichen: Das Geschäft mit unseren Handy-Daten führt zu einem umfassenden Kontrollverlust. Allerdings enthält der Gravy-Analytics-Leak offenbar vor allem IP-basierte Standortdaten, während der uns vorliegende Datensatz für einige Apps eine metergenaue Ortung nahelegt.

Datenschutzbehörde: „Jenseits der Spielregeln, die vereinbart sind“

Wir haben den Bayerischen Landesdatenschutzbeauftragten Michael Will um eine Einschätzung gebeten. Die Erkenntnisse aus unserer Recherche beschreibt er im Interview als „ernüchternd“ und „erschreckend“. Der Datenschützer sieht darin einen krassen Vertrauensbruch. „Das ist konträr zu allem, was die durchschnittlichen Nutzerinnen und Nutzer von Apps erwarten würden – noch Monate danach nachvollziehen zu können, wo sie sich aufgehalten haben.“ Der Datenhändler hätte diese Daten nicht haben dürfen. „Das ist jenseits der Spielregeln, die vereinbart sind.“

„Schnauze voll!“ – das sagen Betroffene

Mit Spielregeln ist unter anderem die DSGVO gemeint. Das Gesetz sieht vor, dass Daten nur auf Basis einer gültigen Rechtsgrundlage verarbeitet werden. Datensammlungen zu Werbezwecken, da sind die Datenschutzbehörden deutlich, bedürfen zum Beispiel einer informierten Einwilligung der Betroffenen. Zudem dürfen Daten nur zu dem Zweck verarbeitet werden, dem die Nutzer*innen zugestimmt haben, in diesem Fall also Marketing und Werbung. Auch mehrere Apps aus unserem Datensatz bitten Nutzer*innen um Einwilligungen zu diesem Zweck. Nutzer*innen können in vielen Fällen jedoch kaum überblicken, an wen die Daten übermittelt werden. Beim Verkauf von Daten wird zudem der Zweck verändert.

Zum Real Time Bidding merkt Michael Will kritisch an: Wer mit dessen Hilfe Werbung ausspielt, müsse sich fragen, ob die eigenen Vertragspartner wirklich vertragstreu seien.

In Folge der Recherche will die Datenschutzbehörde selbst aktiv werden. „Wir haben Untersuchungsbefugnisse. Von denen werden wir jetzt auf Grundlage Ihrer Informationen auch intensiv Gebrauch machen“, sagt Will – und weist darauf hin, dass seine Behörde auch Sanktionen aussprechen kann. „Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen.“

Wie die Werbeindustrie zur Gefahr für alle wurde

Standortdaten sind ein wichtiger Rohstoff in der Industrie der Online-Werbung. Anzeigen können damit Zielpersonen erreichen, die sich an bestimmten Orten aufhalten, etwa an Flughäfen, in Casinos oder im Regierungsviertel. In den USA beispielsweise wird das auch im Wahlkampf eingesetzt. Wer bestimmte Wahlkampf-Events besucht hat, kann daraufhin gezielte Online-Werbung von Parteien ausgespielt bekommen.

2023 deckte netzpolitik.org gemeinsam mit dem Privacy-Forscher Wolfie Christl auf, wie uns die Werbeindustrie in 650.000 unterschiedliche Segmente steckt. Grundlage war die versehentlich veröffentlichte Angebotsliste des Datenmarktplatzes Xandr, einer Microsoft-Tochter. Viele der Segmente basierten auf Standorten: Menschen, die in die Kirche gehen oder in Sexshops; die in wohlhabenden Vierteln wohnen oder auf dem Land.

Adtech-Firmen leiten also aus besuchten Orten Eigenschaften von Menschen ab, die sie dann für zielgerichtete Werbung einsetzen. Erst Ende 2024 stufte die US-amerikanische Regulierungsbehörde FTC diese Praxis zum Teil als rechtswidrig ein und verbot zwei Adtech-Firmen etwa aus Besuchen bei Praxen und Kliniken Gesundheitsinformationen abzuleiten.

In dem Geschäft mischen jedoch nicht nur US-Firmen mit, wie unsere Xandr-Recherche zeigte, auch mehrere deutsche Unternehmen haben ortsbezogenes Targeting im Angebot.

Die umfassende Analyse unserer Bewegungen und Eigenschaften soll uns besonders anfällig für zielgerichtete Werbung machen. Wie die Xandr-Recherche zeigte, zielen viele der Segmente auf Schwächen von Menschen ab – etwa Personen, die nicht mit Geld umgehen können, die bestimmte Krankheiten haben oder in familiären Schwierigkeiten stecken.

Längst ist bekannt, dass nicht nur die Werbebranche diese Daten nutzt, sondern auch Geheimdienste. Der Fachbegriff dafür ist ADINT (Advertising-based Intelligence). Gegen ADINT sind Bundeswehr und NATO schlecht gerüstet, wie unsere früheren Recherchen zum Datenhandel zeigten.

Globale Überwachung durch Online-Werbung

Deutschland ist nur eines von 137 Ländern in unserem Datensatz. Die Anzahl der anhand ihrer Werbe-ID georteten Handys unterscheidet sich drastisch von Land zu Land. Insgesamt erfasst wurden 47 Millionen Geräte. Ganz vorne liegen die USA mit rund 33 Millionen verschiedenen Werbe-IDs an nur einem Tag. Deutschland ist mit rund 795.000 Werbe-IDs auf Platz 7. Zu den in Deutschland georteten Handys liegen rund 13 Millionen Standortdaten vor.

Weniger aussagekräftig sind die Daten aus insgesamt 73 Ländern, in denen weniger als 1.000 Handys geortet wurden.

Das Ranking beschreibt jedoch nur die Proportionen unseres Datensatzes. Ein repräsentatives Bild der weltweiten Überwachung durch Handy-Werbung kann es nicht liefern. Immerhin ist die Grundlage nur der Vorschau-Datensatz eines einzelnen US-Databrokers, datiert auf einen einzigen Tag.

Außerdem sind Zweifel an der Verlässlichkeit von gehandelten Daten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Größe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Angebote aufgebläht. Das NATO-Forschungszentrum Stratcom hat dazu geforscht und schreibt im Jahr 2021: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“

Dennoch haben unsere Recherchen mehrfach gezeigt: Auch mit schlecht gepflegten Datensätzen lassen sich Menschen in großem Stil überwachen.

Verbraucherschutzministerium fordert „effektiven EU-weiten Schutz“

Die ersten Veröffentlichungen zu den Databroker Files schlugen im Sommer hohe Wellen; Politik und Zivilgesellschaft äußerten sich schockiert und forderten Konsequenzen.

Das ist auch dieses Mal so. Das Bundesministerium für Verbraucherschutz schreibt mit Blick auf die neusten Erkenntnisse: Schon die Erhebung der Daten, mit denen Databroker handeln, müsse verhindert werden, „Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind.“ Das Ministerium setze sich unverändert für einen „konsequenten Wechsel auf alternative Werbemodelle“ ein.

Zudem fordert das Verbraucherschutzministerium technische Standards, die verhindern, dass Geräte identifizierende Daten überhaupt erheben. „Hier sind auch die Hersteller der Betriebssysteme und Endgeräte gefragt.“ Zuletzt brauche es ein konsequentes Vorgehen der Aufsichtsbehörden.

Werbemarkt „jeglicher Kontrolle entzogen“

Von einem „enormen Kontrollverlust“ spricht angesichts der neuen Recherche Martin Baumann von der Datenschutzorganisation noyb. Den wenigsten sei bewusst, dass ihre Daten an zahlreiche Firmen auf der ganzen Welt übermittelt werden, von diesen gehandelt werden und umfangreiche Profilbildung ermöglichen. Für die Einzelnen sei es „quasi ausgeschlossen, nachzuvollziehen, wo ihre Daten landen“, so Baumann. „Den Nutzern wird die Kontrolle über ihre Daten faktisch entzogen.“

Sieben Wege, um deinen Standort vor Databrokern zu schützen

„Die aktuellen Erkenntnisse zeigen und bestätigen erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen hat“, kommentiert auch Michaela Schröder vom Verbraucherzentrale Bundesverband (vzbv) die Entwicklung. „Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen.“

Verbraucher*innen seien den massiven Risiken aus dem Datenhandel schutzlos ausgeliefert. Der vzbv fordert deshalb Konsequenzen auf europäischer Ebene. „Es ist längst überfällig, dass die Europäische Kommission die Verbraucher*innen wirksam schützt und einen Vorschlag vorlegt, personalisierte Werbung zu verbieten – etwa über den angekündigten Digital Fairness Act“, so Schröder.

Der Ball liegt bei der EU

Die EU hatte bereits eine Chance, die Gefahren durch die Datensammelei der Werbe-Industrie einzudämmen. Die ePrivacy-Verordnung hätte vor Tracking und Profilbildung zu Werbezwecken schützen können. Doch der Plan ist am Lobbying der Konzerne gescheitert. In diesem Jahr kann sich eine neue Chance auftun.

Der kommende „Digital Fairness Act“ soll Lücken für Verbraucher*innen stopfen. Einen Entwurf hat die EU-Kommission noch nicht vorgelegt, aber sie hat Themen gesammelt. Auch Tracking gehört dazu. Ein Verbot war bislang wohl nicht angedacht.

Genau das bräuchte es jedoch, fordert etwa der Chaos Computer Club in einem Positionspapier: „Um alternative Werbemodelle zu stärken, sollte die neue EU-Kommission digitale Fairness ernst nehmen und ein Verbot von personalisierter Werbung auf den Weg bringen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Einer der bekanntesten US-Databroker wurde offenbar Ziel eines Hackerangriffs: Gravy Analytics. Es geht um gigantische Mengen von Standortdaten, gesammelt durch populäre Handy-Apps. Erste Ausschnitte der erbeuteten Daten halten Fachleute für authentisch.

Über viele Jahre lang war der US-Databroker Gravy Analytics dafür bekannt, massenhaft Daten von Handy-Nutzenden zu horten – ob die betroffenen Nutzer*innen das nun bewusst wollten oder nicht. Jetzt ist das eingetreten, wovor Fachleute immer gewarnt haben: Gravy Analytics hat offenbar die Kontrolle über seinen Datenschatz verloren.

Ein oder mehrere Hacker*innen behaupten, große Mengen sensibler Daten von Gravy Analytics erbeutet zu haben. Einen Ausschnitt davon haben sie bereits verbreitet. Es geht unter anderem um Standortdaten und Geräte-Kennungen (Mobile Advertising IDs) von Handy-Nutzenden weltweit. Sie drohen außerdem, die gesamten erbeuteten Daten zu veröffentlichen.

Für eine kurzfristige Presseanfrage war die Mutterfirma von Gravy Analytics, Unacast, nicht zu erreichen. Die Website von Gravy Analytics selbst ist am Donnerstagabend offline.

Was droht, wenn die Daten öffentlich werden? Wie ungewöhnlich ist der Vorfall? Und wer ist Gravy Analytics überhaupt? Die wichtigsten Fragen und Antworten.

• Was ist passiert?
• Was für Daten sind das?
• Warum ist das gefährlich?
• Was hat das mit den Databroker Files zu tun?
• Welche Zweifel sind angemessen?
• Wofür ist Gravy Analytics bekannt?
• Woher hat Gravy Analytics all die Daten?
• Was passiert als nächstes?

Was ist passiert?

Am 7. Januar berichtete das US-Medium 404 Media erstmals über den mutmaßlichen Hack von Gravy Analytics, verkündet in einem russischen Hackerforum. Die US-Firma Gravy Analytics hat sich aufs Sammeln und Auswerten von Standortdaten spezialisiert. Auch erste Ausschnitte aus den Daten erschienen im Netz.

Wenig später meldeten sich IT-Sicherheitsforscher zu Wort, die einen ersten Blick auf die Daten werfen konnten. Ihr Tenor ist eindeutig: Sie halten die Daten für authentisch. Gegenüber der Nachrichtenagentur Reuters sagte etwa Marley Smith von der IT-Sicherheitsfirma RedSense: „Es erscheint zu 100 Prozent stichhaltig“ (auf Englisch: „It passes the smell test 100 percent“).

Gegenüber 404 Media sagte der IT-Sicherheitsexperte Zach Edwards vom Unternehmen Silent Push: „Der Hack eines Standortdaten-Brokers wie Gravy Analytics ist das absolute Horrorszenario, das alle Datenschützer*innen befürchtet und vor dem sie gewarnt haben.“

Was für Daten sind das?

Zu den wichtigsten Funden in den Daten gehören einerseits Kombinationen aus Geo-Koordinaten und Geräte-Kennungen (mobile advertising IDs). Mit ihnen lassen sich potentiell detaillierte Bewegungsprofile von Handys erstellen – und damit von ihren Besitzer*innen. Häufungen von Standortdaten können verraten, wo eine Person wohnt und zur Arbeit geht. Auch Ausflüge, Reisen oder Besuche in Praxen, Kliniken, Kirchen, Bordellen und so weiter lassen sich ablesen.

In den bislang veröffentlichen Ausschnitten fanden IT-Sicherheitsforschende Standortdaten aus mehreren Ländern weltweit.

Brisant ist ebenso eine bereits öffentlich gewordene Liste mit mehr als 15.000 Apps. Demnach war Gravy Analytics im Besitz der Standortdaten von Nutzer*innen dieser Apps. Darunter sind weltweit populäre Apps aus allen typischen Kategorien wie Gaming, Dating, Wetter oder Nachrichten.

Warum ist das gefährlich?

Problematisch sind die umfangreichen Datensätze schon in den Händen der Firmen, für die sie gesammelt wurden: Werbeunternehmen, die anhand umfangreicher Überwachung nach den besten Wegen suchen, um Menschen Dinge zu verkaufen. Das können teurer Schmuck für spezifische Zielgruppen wie Viel-Shopper*innen, Online-Casino-Besuche für Spielsüchtige oder teure Therapien für verzweifelte Menschen mit schweren Krankheiten sein.

Allerdings lassen sich gerade mit Standortdaten noch schlimmere Dinge anstellen. Stalker*innen können damit ihren Opfern nachstellen. Täter*innen können ihre (Ex-)Partner*innen ausspionieren. Arbeitgeber*innen können ihre Angestellten überwachen. Behörden können auskundschaften, wer welche Demos besucht. Rechtsradikale könnten die Adressen politischer Gegner*innen finden.

Recherchen von netzpolitik.org und anderen Medien haben in der jüngeren Vergangenheit noch eine andere Gefahr deutlich gemacht: für die Sicherheit von Staaten. Denn auch Menschen, die in sicherheitsrelevanten Bereichen arbeiten, werden von Datenhändlern exponiert. So haben wir in Datensätzen von Databrokern Standorte von Personen gefunden, die auf Militärstützpunkten und kritischer Infrastruktur ein- und ausgehen, die in Bundesministerin, bei der Polizei oder bei Geheimdiensten arbeiten.

Ausländische Geheimdienste können solche Informationen für Spionage, Sabotage oder Erpressung nutzen. Zahlreiche Firmen der sogenannten ADINT-Branche haben sich darauf spezialisiert, die Werbeüberwachung auch für staatliche Akteure nutzbar zu machen.

Schon im alltäglichen Geschäft kontrollieren einige Datenhändler kaum, an wen sie Daten herausgeben, wie nicht nur unsere Recherchen belegen. Ein Leak würde die Daten noch leichter zugänglich machen, die Gefahren vervielfachen sich damit.

Was hat das mit den Databroker Files zu tun?

Der Fall Gravy Analytics untermauert die Gefahren, die netzpolitik.org und Bayerischer Rundfunk mit den Recherchen zu den Databroker Files aufdeckten. Auch in den Databroker Files ging es um Standortdaten von Handy-Nutzer*innen, aus denen genaue Bewegungsprofile hervorgehen, die Menschen identifizierbar machen.

Die bisherigen Veröffentlichungen zu den Databroker Files bezogen sich auf Daten eines weniger bekannten US-Databrokers als Gravy Analytics. Die zugrunde liegenden Probleme sind jedoch die gleichen.

Die Daten aus dem mutmaßlichen Hack von Gravy Analytics könnten zudem dabei helfen, die Rolle einzelner Handy-Apps im weltweiten Datenhandel konkreter zu beschreiben. Ohne eingehende Analyse der Daten lässt sich jedoch nicht sagen, welche Arten von Standortdaten mit einer bestimmten App verknüpft sind – und damit auch, in welchem Maß die erwähnten Apps an der Exponierung ihrer Nutzer*innen beteiligt sind.

Welche Zweifel sind angemessen?

Wie bei jedem noch unbestätigten Hack müssen die Erkenntnisse unter Vorbehalt betrachtet werden. Die bereits veröffentlichten Ausschnitte zeigen zwar offenkundig Standortdaten – es ist jedoch zunächst nicht belegt, dass sie tatsächlich von Gravy Analytics stammen. Nicht zuletzt die Recherchen zu den Databroker Files zeigen: Um an sensible Datensätze zu kommen, muss man Databroker nicht unbedingt hacken. Teils geben die Firmen solche Daten freiwillig als Kostprobe heraus.

Ebenso unklar ist, wie viele Daten der oder die Hacker*innen tatsächlich erbeutet haben und ob sie ihre Drohung einer umfangreichen Veröffentlichung überhaupt umsetzen könnten.

Weiterhin sind Zweifel an der Genauigkeit der Standortdaten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Detailtiefe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Datensätze künstlich aufgebläht. Nicht immer stecken hinter Geo-Koordinaten wertvolle, auf weniger Meter genaue GPS-Daten. Auch aus IP-Adressen werden Geo-Koordinaten generiert, selbst wenn sie die entsprechenden Geräte nicht eindeutig verorten können.

Solche Phänomene konnten netzpolitik.org und seine Kooperations-Partner in bisherigen Recherchen direkt beobachten. Potenziell gefährlich sind die von Gravy Analytics gesammelten Daten dennoch. Selbst auf diese Weise verwässerte Daten reichen, um einen Datenschutz-Skandal zu produzieren. Die wahre Dimension des Skandals lässt sich jedoch ohne nähere Analyse der Daten nur grob umreißen.

Wofür ist Gravy Analytics bekannt?

Gravy Analytics ist einer der bekanntesten Datenhändler der Welt und war regelmäßig Gegenstand kritischer Berichterstattung. 2020 deckte der norwegische Journalist Martin Gundersen auf, wie seine Standortdaten datenschutzwidrig über Wetter- und Navigationsapps bei Venntel landeten, einem Tochterunternehmen von Gravy Analytics.

Nach eigenen Angaben hat Venntel täglich rund 17 Milliarden Signale von einer Milliarde Mobilgeräten gesammelt und an Privat- und Regierungskund*innen verkauft. Dazu zählen auch US-Grenzschutz- und Einwanderungsbehörden, die damit Migrant*innen jagen.

Dass das Geschäft von Gravy Analytics und Venntel tatsächlich in Teilen illegal ist, entschied erst kürzlich die mächtige US-Handelsbehörde FTC. Im Dezember verkündete die scheidende Chef-Aufseherin Lina Khan, der Databroker habe durch den Verkauf von sensiblen Standort- und Werbedaten Millionen US-Amerikaner*innen in Gefahr gebracht. Demzufolge hat das Unternehmen Listen mit Personen erstellt und verkauft, die religiöse Orte oder bestimmte Veranstaltungen mit Bezug zu Krankheiten besucht haben.

Ein weiterer Vorwurf der FTC: Gravy Analytics und Venntel sollen gewusst haben, dass die Betroffenen nicht wirksam in die Nutzung der Daten eingewilligt hätten. Die Handelsbehörde untersagte dem Databroker deshalb Teile seines Geschäfts und ordnete die Löschung umfangreicher Datenbestände an. Ob die Hacker*innen auch die als illegal eingestuften Daten erbeuten konnten, ist unklar.

Woher hat Gravy Analytics all die Daten?

Nach Angaben der US-Handelsaufsicht FTC haben Venntel und Gravy Analytics ihre Daten überwiegend von anderen Datenhändlern bezogen. In der Branche ist es üblich, die eigenen Datenbestände durch Zukäufe bei Konkurrenten aufzustocken, daraus neue Pakete zu schnüren und sie gegebenenfalls durch eigene Analysen zu ergänzen. So sollen Venntel und Gravy Analytics aus gekauften Standortdaten beispielsweise persönliche Eigenschaften von Menschen abgeleitet und weiterverkauft haben.

Von Handys, Computern, Tablets und Smart-Home-Geräten führen viele Wege zu Datenhändlern. So unterhalten zum Beispiel viele Apps und Websites direkte Beziehungen zu Datenhändlern und leiten Daten über ihre Nutzer*innen direkt an sie weiter.

Ein anderer Weg führt über die Auktionen, mit denen im Internet Werbeplätze versteigert werden, dem sogenannten Real Time Bidding. App- und Websitebetreiber*innen verschicken Informationen über Nutzer*innen an ein undurchsichtiges Geflecht aus hunderten bis tausenden Firmen. Werbeunternehmen entscheiden auf dieser Grundlage, wo sie Werbung schalten. Die Daten können allerdings von allen beteiligten Firmen mitgeschnitten, gesammelt, sortiert und verkauft werden.

Was passiert als nächstes?

Weltweit dürften sich nun Fachleute an die Analyse der bereits veröffentlichten Daten machen. Erste Eindrücke zeigen, dass sie dabei sehr ähnlich vorgehen wie netzpolitik.org und seine Recherche-Partner bei den Databroker Files: Um die Gefahr der Daten zu verdeutlichen, richtet sich der Fokus zunächst auf sensible Orte wie etwa Einrichtungen von Militär und Regierungen oder Kliniken.

Stand 9. Januar ist zudem unklar, ob der oder die Hacker*innen ihre Drohung wahr machen und den gesamten erbeuteten Datensatz veröffentlichen. Auch eine Stellungnahme von Gravy Analytics selbst steht noch aus.

Update, 15. Januar: Wie zuerst NRK Beta am 10. Januar berichtete, hat Mutterfirma Unacast den Hack auf Gravy Analytics bestätigt.

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Fremdmedien verlinken – prominent auf der Startseite?! Für viele Redaktionen käme das nicht in Frage. Aber mit unserem neuen Ticker tun wir genau das. Wofür ist dieser Ticker gut und was sind die Prozesse dahinter? Im Podcast führen Anna und Sebastian hinter die Kulissen.

Seit rund acht Monaten sprudelt mit dem Ticker eine neue Informationsquelle auf netzpolitik.org. Im Vergleich zu unseren Artikeln und Podcasts sind die Ticker mit Abstand das Kürzeste, das wir auf der Seite veröffentlichen: Zwei, drei Sätze Einordnung und ein Link. Der Link führt meist zu anderen Nachrichtenmedien, gelegentlich aber auch zu Gerichtsurteilen oder Pressemitteilungen von etwa Bundestag oder EU-Kommission.

Durch den Ticker gibt es ständig etwas Neues zu sehen, netzpolitik.org kann viel näher am Puls der Zeit berichten. Je nach Vorliebe kann man den Ticker auf der Startseite lesen, per RSS-Feed abonnieren oder sich drei Mal die Woche per E-Mail schicken lassen.

Welche Ereignisse schaffen es eigentlich in den Ticker und wie bekommen wir all diese Neuigkeiten überhaupt mit? Welche Vorgeschichte hatte der Ticker hinter den Kulissen? Und warum haben wir keine Angst, dass uns die Leser*innen davonlaufen, wenn wir ständig die Arbeit von anderen promoten? Das und mehr hört ihr in der neuesten Folge Off/On.

In dieser Folge: Anna Biselli und Sebastian Meineck.
Produktion: Serafin Dinges.
Titelmusik: Trummerschlunk.

---

Hier ist das MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format.

---

Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.

---

Wie immer freuen wir uns über Kritik, Lob und Ideen, entweder hier in den Kommentaren oder per Mail an podcast@netzpolitik.org.

---

Links und Infos

• Alle Tickermeldungen
• Auf den Punkt: Ticker per E-Mail abonnieren

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Sollte es öffentlich sichtbar sein, wie viele Menschen einen Online-Beitrag schlecht finden? YouTube findet: Nein. Ende 2021 hat die Plattform entschieden, die Anzahl der Dislikes auszublenden. Dazu gibt es viel Gesprächsbedarf. Ein Meinungsstück des Autors zu dem Thema gehörte vergangenes Jahr zu den meist kommentierten netzpolitik.org-Artikeln.

Likes und Dislikes sind eine spezifische Art von Feedback. Mit solchen Funktionen können große Plattformen die öffentliche Kommunikation und Meinungsbildung von Milliarden Menschen in Bahnen lenken. Welche Art von Meinung wird überhaupt abgefragt, welche ist für alle sichtbar?

Zumindest YouTube hat sich dafür entschieden, negatives Feedback nicht mehr öffentlich zu zählen. Was das bei Nutzer:innen auslöst, hat nun eine aktuelle Umfrage untersucht. Auch davor gab es Forschung zu Online-Bewertungssystemen wie den erhobenen und gesenkten Daumen.

Umfrage offenbart ahnungslose Mehrheit

Anfang Januar hat das Meinungsforschungsinstitut YouGov Direct mit mehr als 1.000 Menschen in den USA über Dislikes auf YouTube gesprochen. Der Auftrag dafür kam vom US-Magazin Variety. Fast alle Befragten nutzten demnach YouTube. Das zeigt einmal mehr, wie verbreitet die größte Videoplattform der Welt ist.

Überraschung: Nur rund ein Drittel (34 Prozent) der befragten YouTube-Nutzer:innen hat laut Variety überhaupt mitbekommen, dass die Anzahl der Dislikes nicht mehr öffentlich sichtbar ist. Offenbar gibt es eine ahnungslose Mehrheit, die sich zumindest bisher nicht um das Thema gekümmert hat.

Die rund 270 Menschen, die etwas von den entfernten Dislike-Zahlen wussten, sollten weitere Fragen beantworten. Etwa, ob sie durch die entfernten Dislike-Zahlen geneigt sind, weniger Videos zu schauen. Für rund die Hälfte dieser Befragten (49 Prozent) macht das laut Umfrage keinen Unterschied. Immerhin rund vier von zehn (41 Prozent) sagen, sie seien durch die entfernten Dislike-Zahlen weniger geneigt, Videos zu schauen. 45 Prozent sagen zudem, sie sind weniger geneigt, Likes, Dislikes oder Kommentare zu hinterlassen.

Bei der Umfrage wurde anscheinend nicht ermittelt, ob die Befragten die Änderung bei YouTube nun gut oder schlecht finden. Trotzdem lässt sich etwas aus der Umfrage ziehen: Neben einer ahnungslosen Mehrheit gibt es eine Gruppe von Nutzer:innen, für die entfernte Dislike-Zahlen durchaus einen Unterschied machen.

Daumen hoch für fünf Sterne

Öffentlich sichtbare Dislikes sind nur eines von vielen Feedbacksystemen auf Online-Plattformen. Viele Anbieter verzichten auf eigene Knöpfe und Zähler für negatives Feedback. Auf Twitter, TikTok und Instagram gibt es beispielsweise Herzen. Facebook bietet neben dem Daumen nach oben fünf Emoji-Reaktionen – aber keinen Daumen nach unten.

Eine Skala von eins bis fünf Sternen gibt es für Orte auf Google Maps, für Apps im App Store und Google Play Store und für Produkte auf Amazon. Für Filme in der Internet Movie Database (IMDb) sind es sogar bis zu zehn Sterne. Bei Reddit gibt es Up- und Downvotes. Die meistbesuchten Pornoseiten Deutschlands, xHamster und Pornhub, haben Zähler für „Daumen hoch“ und „Daumen runter“. Für Beiträge auf Telegram-Kanälen gibt es keinen fest eingerichteten Button.

Eine Besonderheit gibt es bei Spotify: Bevor Hörer:innen eine Podcast-Bewertung von eins bis fünf Sternen abgeben können, müssen sie den Podcast in der App gehört haben. Ist das nicht der Fall, kommt ein Popup-Fenster mit dem Hinweis: „Hör dir ein paar Folgen an und gib dann dein Feedback ab“.

Für eine Fachkonferenz haben US-Forschende im Jahr 2010 untersucht, was rund 350 Proband:innen von verschiedenen Feedbacksystemen halten. Untersucht wurden fünf Ansätze: Ein eindimensionales „Mag ich“, ein binäres „Daumen hoch / Daumen runter“, fünf Sterne – und eine Skala von bis zu 100 Punkten. Das Ergebnis: Feedback mit bis zu fünf Sternen fanden die meisten Proband:innen (83 Prozent) zufriedenstellend. Kurioserweise hatte YouTube vor der Einführung von Likes und Dislikes im Jahr 2009 genau dieses Feedbacksystem.

Eher gespalten waren die Proband:innen bei „Daumen hoch / Daumen runter“ (54 Prozent Zustimmung). Am wenigsten beliebt war das Feedbacksystem mit bis zu 100 Punkten, das mochten 57 Prozent der Proband:innen nicht. Mit dem eindimensionalen „Mag ich“ waren 47 Prozent unzufrieden.

Was ein Dislike-Button bei Nutzer:innen auslöst

Fans der öffentlichen Dislike-Zahl auf YouTube vermissen wohl vor allem eines: Anhand der Dislike-Zahl lasse sich auf einen Blick abschätzen, ob ein Video gut oder nutzlos ist, beispielsweise bei Tutorials. Diese Ansicht wird in zahlreichen Reaktionen von Nutzer:innen und YouTuber:innen geäußert.

Im Jahr 2012 haben Forschende der HU Berlin und der Uni Potsdam ein Paper veröffentlicht, das sich mit der Wirkung von Dislikes befasst. 653 Proband:innen haben mitgemacht. Gezeigt wurden ihnen Fotos von einem Burgerrestaurant, einem Gebrauchtwagenhändler und einem Wasserenthärter. Dann sollten sie deren Qualität einschätzen. Als zusätzliches Kriterium fügten die Forschenden den Fotos mal mehr, mal weniger Likes hinzu sowie eine Mischung aus Likes und Dislikes.

Kaum überraschend schätzten die Proband:innen die Qualität der Produkte als höher ein, wenn sie viele Likes hatten – und weniger hoch bei wenigen Likes. Komplexer wurde es, als Proband:innen sowohl Likes als auch Dislikes gezeigt bekamen. Aus der Studie ging hervor: Dislikes können ein Zeichen von Qualität sein. Die Proband:innen fanden etwa ein Produkt mit wenigen Likes besonders positiv, wenn es auch ein paar Dislikes hatte.

„Dies mag kontraintuitiv erscheinen“, heißt es in dem Papier, lasse sich aber gut erklären. Die negativen Signale durch die Dislikes würden Glaubwürdigkeit schaffen und damit die positive Wirkung der Likes verstärken. Dieser Effekt ließ sich aber nicht immer beobachten. Wenn die Anzahl der Likes bereits sehr hoch war, hatte das Hinzufügen einiger Dislikes der Studie zufolge keine auffällige Wirkung mehr.

Eher schwer einzuordnen waren die Reaktionen der Proband:innen auf Fotos mit sehr vielen Dislikes. Hier gab es überraschenderweise „keinen negativen Effekt auf die Wahrnehmung der Produktqualität“, heißt es in der Studie. Dabei hätten die Forschenden erwartet, dass viele Dislikes zu einer negativen Einschätzung führen. In ihrem Fazit schreiben sie, insbesondere für die Wirkung höherer Mengen Dislikes brauche es weitere Untersuchungen.

Einzelne Studien wie diese können Hinweise geben, aber auch nicht mehr. Für sichere Aussagen braucht es mehr Forschung. Die Studie von damals lässt sich auch nicht ohne Weiteres auf YouTube heute übertragen: Andere Plattform, anderes Jahrzehnt. Zumindest zeigt sie, dass Dislikes wohl einen Unterschied machen können, wie Nutzer:innen etwas bewerten.

Ausgeblendete Likes, ausgeblendete Eigeninteressen

Über solche Studien mit ein paar Hundert Proband:innen können die großen Online-Plattformen nur müde lächeln. Die Anzahl der Teilnehmenden ist ein Witz im Vergleich zu den Abermillionen Nutzer:innen, deren Verhalten Plattformen wie YouTube, Instagram und TikTok täglich auswerten können. Nur teilen sie ihre internen Beobachtungen ungern mit der Außenwelt. Und wenn sie es tun, dann kann man sich auf die Informationen nicht unbedingt verlassen.

Im Jahr 2019 hat etwa Instagram probeweise bei vielen Nutzer:innen die Anzahl von Likes ausgeblendet, angeblich um das Wohlbefinden zu erhöhen. Das passte zur öffentlichen Debatte darüber, dass sich vor allem junge Menschen auf Instagram anhand von Likes vergleichen und großen, sozialen Druck empfinden. Die Studienlage dazu ist nicht eindeutig, weist aber in eine Richtung. Zumindest gibt es eine Reihe von Meta-Studien, die einen Zusammenhang zwischen Nutzung sozialer Medien und Symptomen von Depression zeigen. In Meta-Studien sichten und vergleichen Forscher:innen viele einzelne Studienergebnisse miteinander.

Ende 2021 wurden interne Informationen über das Experiment mit den ausgeblendeten Instagram-Likes bekannt. Sie stammten aus den sogenannten Facebook Files, einem umfassenden Leak von Dokumenten aus dem Konzern. Demnach hätten Untersuchungen von Facebook schon sehr früh gezeigt, dass das Ausblenden der Likes allein keine positive Wirkung auf Teenager hätte. Eine interne Notiz habe aber andere Vorteile der Aktion hervorgehoben, wie das Wall Street Journal berichtete: und zwar ein positiver Eindruck bei Eltern und Nachrichtenmedien.

Generell wird ein gewinnorientiertes Unternehmen kaum solche Entscheidungen treffen, ohne die öffentliche Wahrnehmung zu berücksichtigen – und natürlich den eigenen Profit. Einige Facebook-Nutzer:innen träumen seit 2009 von einem Dislike-Button und bekommen keinen. Dahinter steckt wohl auch das Interesse von Facebook, die eigenen Werbekund:innen vor Empörungswellen zu schützen.

Antworten gibt es bestimmt, aber unter Verschluss

Auch YouTube muss sich nach der Ausblendung der Dislike-Zahlen den Vorwurf gefallen lassen, nicht alle Gründe auf den Tisch gelegt zu haben. Offiziell sollen dadurch organisierte Hasswellen für Nutzer:innen verhindert werden. Eine Begründung, die YouTube-Chefin Susan Wojcicki jüngst in einem Blogpost bekräftigt hat. Kritiker:innen sahen in der Abschaffung der Dislike-Zahl auch eine Reaktion auf die Dislike-Welle für ein Video, das YouTube selbst veröffentlicht hat. Der Jahresrückblick „YouTube Rewind 2018“ wurde mit mehr als 19 Millionen Dislikes das meistkritisierte Video der Plattform. Das sei aber kein Grund für das Ausblenden der Dislike-Zahlen gewesen, wie YouTube etwa der BBC mitgeteilt hat.

Die fundiertesten Antworten über die Wirkung von Dislikes und anderen Funktionen auf Nutzer:innen haben wohl die Plattformen selbst. Sie könnten öffentlich diskutiert werden, wenn unabhängige Forschung einen Zugang zu den internen Daten bekäme. Daran haben die Plattformen wohl wenig Interesse. Sie wehren sich teilweise sogar gegen das Auswerten öffentlich einsehbarer Daten. Wie unter anderem der britische Guardian, die New York Times und Heise Online berichteten, hat etwa Facebook in mehreren Fällen Datensammlungen von Wissenschaftler:innen vereitelt. Als zentralen Grund nennt der Konzern den Schutz der Privatsphäre.

Eine Änderung könnte das geplante Digitale-Dienste-Gesetz der EU bringen. Es sieht vor, dass große Plattformen Forscher:innen Zugang zu ihren Daten geben, zumindest so lange Geschäftsinteressen und vertrauliche Informationen geschützt bleiben. Welche Erkenntnisse das Gesetz in Zukunft möglich macht, ist Spekulation. Zumindest hätten Konzerne einigen Spielraum, um potenziell unangenehme Forschungen zu bremsen.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.

Candie Frazier kann nicht schlafen. In Gedanken sieht sie die verstörenden Videos vor sich, die sie als Löscharbeiterin für TikTok überprüfen musste. Nach einer Schießerei an einer Schule hat sie die Leichen von Kindern gesehen. Wenn Frazier endlich einschläft, bekommt sie Albträume. Das und mehr steht zumindest in der Klageschrift (PDF), in der Frazier schwere Vorwürfe gegen TikTok und dessen Mutterkonzern Bytedance erhebt.

In den USA fordert Frazier jetzt Entschädigung und gesundheitliche Hilfe – für sich und für andere Content-Moderator:innen, auch bekannt als Löscharbeiter:innen. TikTok habe sie nicht ausreichend vor potentiell traumatisierenden Videos geschützt.

Im Jahr 2020 gab es eine vergleichbare Sammelklage von Löscharbeiter:innen gegen Facebook. Der TikTok-Konkurrent hatte sich damals auf eine Entschädigung geeinigt: Umgerechnet rund 46 Millionen Euro war Facebook bereit zu zahlen. Entsprechend gespannt darf man auf den Ausgang der aktuellen Sammelklage gegen TikTok sein. Hinter beiden Klagen steckt die kalifornische Anwaltskanzlei Joseph Saveri Law Firm.

Weltweit sortieren abertausende Menschen verstörende Inhalte für Online-Plattformen. Allein für TikTok waren es Ende 2020 offenbar rund 10.000, wie ein TikTok-Manager damals der britischen Regierung mitteilte. Immer wieder gibt es Berichte über belastende Arbeitsbedingungen in der Branche. Die aktuelle Sammelklage gegen TikTok beschreibt im Detail, was hinter den Kulissen der Kurzvideo-Plattform angeblich alles schiefläuft.

Löscharbeit in 12-Stunden-Schichten

Ob die Vorwürfe stimmen, lässt sich nicht ohne Weiteres überprüfen. Eine TikTok-Sprecherin schreibt netzpolitik.org: „Bitte haben Sie Verständnis, dass wir uns zu dem laufenden rechtlichen Verfahren in den Vereinigten Staaten nicht äußern können.“ Es ist sei TikTok „ein Anliegen“, dass sich Mitarbeiter:innen und Auftragnehmer:innen in ihrem Arbeitsumfeld wohlfühlen. „Wir bauen deswegen kontinuierlich unsere bestehenden Angebote zum emotionalen und mentalen Wohlbefinden von Moderator*innen weiter aus.“

Frazier ist der Klageschrift zufolge nicht direkt bei TikTok angestellt, sondern bei einem US-Unternehmen namens Telus. Es ist nicht ungewöhnlich, dass Online-Plattformen andere Unternehmen für ihre Löscharbeit beauftragen. Aktuell ist Frazier aber offenbar nicht mehr als Löscharbeiter:in aktiv. TikTok lasse sie nach dem Einreichen der Klageschrift nicht mehr arbeiten, zitiert das Magazin Business Insider Fraziers Anwalt.

Wir haben die Pressestelle von Telus gefragt, ob das stimmt. Diese Frage wurde uns nicht beantwortet. Ein Sprecher schrieb netzpolitik.org, das Unternehmen habe ein robustes Programm für die psychische Gesundheit. Mitarbeiter:innen könnten Fragen und Bedenken über interne Kanäle vorbringen. Frazier habe „diese Bedenken über ihr Arbeitsumfeld noch nie geäußert, und ihre Behauptungen stehen in völligem Widerspruch zu unseren Richtlinien und Praktiken.“

Als Löscharbeiterin habe Frazier in 12-Stunden-Schichten gearbeitet, heißt es in der Klageschrift. Für ein einzelnes Video habe sie demnach maximal 25 Sekunden Zeit gehabt. Die Flut an neuen Videos sei so enorm, dass Löscharbeiter:innen drei bis zehn Videos gleichzeitig sichten würden.

Fragwürdige Videos würden jeweils von zwei Löscharbeiter:innen überprüft. Dabei müssen sie ein Video einer von 100 Kategorien zuordnen. Fehler dürften dabei möglichst nicht passieren. Frazier und ihre Kolleg:innen sollten mindestens acht von zehn Videos richtig einordnen.

Traumatisierende Bilder

Die Pausen sind laut Klageschrift streng begrenzt. In den ersten vier Stunden beim Sichten potentiell verstörender Inhalte („graphic content“) gebe es 15 Minuten Pause. Danach gebe es alle zwei Stunden weitere 15 Minuten Pause. Die Mittagspause sei eine Stunde lang.

Durchgeführt und überwacht werde die Löscharbeit mit einer Software namens TCS. Laut Klageschrift müssen Löscharbeiter:innen um ihre Bezahlung fürchten, wenn sie sich außerhalb der vorgeschriebenen Pausenzeiten mal eine Verschnaufpause gönnen.

Triggerwarnung: Die Klageschrift nennt auch einige Beispiele von verstörenden TikTok-Videos, die Frazier als Löscharbeiterin anschauen musste. Sie können belastend und retraumatisierend sein. Wer das nicht lesen möchte, springt bitte direkt zum Abschnitt: Was TikTok besser machen könnte.

TikTok zensiert LGBTQ-Themen und politische Hashtags

Ein Video, das auf Fraziers Bildschirm gelandet ist, zeigte der Klageschrift zufolge Menschen, die aus einem zerschmetterten Schädel essen. Andere Videos sollen gezeigt haben, wie ein Fuchs lebendig gehäutet wird und wie ein Mann einer lebenden Ratte den Kopf abbeißt. Im Jahr 2019 hat eine VICE-Recherche gezeigt, wie verbreitet Tierquälerei auf TikTok ist.

Auch sexualisierte Gewalt gegen Kinder habe Frazier mitansehen müssen, außerdem die Hinrichtung einer Frau durch Abschlagen des Kopfes. Andere Videos hätten Abtreibungen in Hinterhöfen gezeigt.

In der Folge ihrer Arbeit habe Frazier schwere psychologische Traumata entwickelt, unter anderem Depression und Symptome von posttraumatischen Belastungsstörungen.

Was TikTok besser machen könnte

Heute habe Frazier „schwere und lähmende“ Panikattacken, heißt es in der Klageschrift. Sie habe Angst, wenn sie unter Leuten sei, und habe viele Freunde verloren. TikTok und Mutterkonzern ByteDance seien sich der negativen seelischen Auswirkungen laut Klageschrift bewusst. Branchenübliche Maßnahmen zum Schutz der Löscharbeiter:innen habe TikTok aber nicht umgesetzt. Nähere Rückfragen zu einzelnen Vorwürfen hat TikTok auf Anfrage von netzpolitik.org nicht beantwortet.

Um Löscharbeiter:innen zu schützen, könnten potentiell verstörende Videos zum Beispiel verkleinert, verschwommen oder stumm abgespielt werden. Das ist der Klageschrift zufolge nicht passiert. Weiter heißt es, neue Löscharbeiter:innen würden nicht ausreichend über die potentiell schädlichen Auswirkungen der Arbeit auf ihre Psyche vorbereitet.

Wie viele Löscharbeiter:innen außer Frazier Anspruch auf Entschädigung haben könnten, ist laut Klageschrift nicht genau bekannt. Es könnten demnach Tausende sein. Falls die Sammelklage Erfolg hat, wäre es besonders interessant, wie viel TikTok den Betroffenen zahlen würde. Nach der ähnlichen Sammelklage gegen Facebook konnten einzelne Löscharbeiter:innen laut Medienberichten mit mindestens 1.000 US-Dollar rechnen. Das sind umgerechnet rund 880 Euro.

Ein Recht auf eine höhere Entschädigung von bis zu 50.000 Dollar (rund 44.000 Euro) hatten demnach Facebook-Löscharbeiter:innen, die Diagnosen für entsprechende Erkrankungen nachweisen konnten. Anwalt Steve Williams äußerte sich im britischen Guardian „begeistert“ über das Facebook-Urteil.

Update, 29.12.: Wir haben den Artikel um die Antwort von Telus ergänzt.

---

Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.