Der Podcast zum Jahreswechsel: Auf dem 39. Chaos Communication Congress haben wir Blicke hinter die Kulissen einiger unserer Lieblingsrecherchen des Jahres 2025 geworfen und kleine Ausblicke auf 2026 gewagt. Außerdem haben wir so viele Hörer:innenfragen wie noch nie beantwortet!
Ingo, Chris, Markus und Esther beim podcasten auf dem Congress
Wir waren live, das erste Mal seit fünf Jahren: Auf der Bühne des 39C3-Sendezentrums habe ich mit meinen Kolleg:innen Esther, Markus und Chris geplaudert. Wie war ihr Chaos Communication Congress bislang? Was hat in den letzten Wochen super geklappt und was weniger gut? Und vor allem: Wie liefen ihre Lieblingsrecherchen des Jahres ab?
Chris erzählt vom mSpy-Leak, für den wir 3,6 Millionen Nachrichten an den Support einer Überwachungs-App ausgewertet haben. Markus spricht über eine außergewöhnliche Crowd-Recherche zwischen Berlin und Belgrad. Und Esther berichtet von den Mühen der Berichterstattung über Verwaltungsdigitalisierung.
Außerdem beantworten wir Hörer:innenfragen: Welche Recherchen sind so richtig schief gelaufen? Wie viele Admins arbeiten bei netzpolitik.org? Und welche Drähte haben wir ins Parlament?
Hier ist die MP3 zum Download. Wie gewohnt gibt es den Podcast auch im offenen ogg-Format. Ein maschinell erstelltes Transkript gibt es im txt-Format.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wir freuen uns auch über Kritik, Lob, Ideen und Fragen entweder hier in den Kommentaren oder per E-Mail an podcast@netzpolitik.org.
00:00:00 Begrüßung
00:03:32 Blattkritik
00:07:44 Hausmitteilungen
00:09:18 Thema des Jahres
00:37:57 Postfach
00:44:52 Credits
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Mit radikaler Verweigerung brachte die kenianische Zivilgesellschaft eine geplante Mega-Datenbank ihrer Regierung zu Fall. Wie das gelang und warum der Kampf noch nicht gewonnen ist, berichtete Inklusionsaktivist Mustafa Mahmoud Yousif auf dem 39. Chaos Communication Congress in Hamburg.
Biometrische Erfassung für die staatliche Datenbank „Huduma Namba“ in Kipcherere, Bariongo (Kenia). – Alle Rechte vorbehalten IMAGO / ZUMA Press Wire
Hoffnung in verzweifelten Zeiten zu stiften ist keine leichte Aufgabe, das macht Mustafa Mahmoud Yousif gleich zu Beginn seines Vortrags klar. Und doch hat sich der Menschenrechtsaktivist genau das vorgenommen. Er ist nach Hamburg auf den 39. Chaos Communication Congress gekommen, um von der Kraft der Zivilgesellschaft zu berichten und Mut zu machen. Er spricht über den erfolgreichen Protest einer Bürger:innenbewegung gegen ein digitales Identifikationssystem in Kenia.
Das Problem mit dem „Huduma Namba“ genannten System ist schnell umrissen: In einer riesigen zentralen Datenbank wollte die kenianische Regierung 2019 die Bevölkerung erfassen. Diese sollte zahlreiche Angaben über sie beinhalten, von Größe, Alter, Landbesitz und Stammeszugehörigkeit über Einkommens- und Bildungslevel bis zu Angaben über Familienangehörige. Auch biometrische Daten und DNA sollten erfasst werden.
Nur wer registriert ist, sollte Zugang zu staatlichen Leistungen bekommen, etwa sein Kind auf eine Schule schicken können. Die Regierung wollte sich zudem das Recht einräumen, Daten mit autorisierten Stellen zu teilen – auch mit Unternehmen, fürchtete die kenianische Zivilgesellschaft. Mit den umfangreichen Daten könnten zudem Profile von Personen erstellt werden, so die Sorge. In einem Land, in dem staatlichen Stellen nicht zu trauen sei, eine echte Gefahr, so der Ko-Vorstandsvorsitzende des Instituts für Staatenlosigkeit und Inklusion.
Koloniales Echo
Huduma Namba sollte zur „einzigen Quelle der Wahrheit“ über die Menschen in Kenia werden, erklärt Yousif. Und das in einem Land, das unter britischer Kolonialherrschaft alles andere als gute Erfahrungen mit Identitätssystemen gemacht hat. Denn für die Kolonialherren war die Identitätskontrolle ein Herrschaftsinstrument, mit dem sie die unterdrückte Bevölkerung spalten und in ihrer Bewegungsfreiheit einschränken konnte.
Die Briten hätten das Land in 42 Regionen für 42 Stämme geteilt, mit der Hauptstadt Nairobi als 43. Bezirk. Schwarze Menschen, so Yousif, mussten jederzeit Ausweisdokumente, die sogenannten Kipande, bei sich tragen und der Polizei vorlegen. Die Dokumente enthielten Angaben über die Identität der Personen, wo sie lebten und in welchen Gebieten sie sich aufhalten durften. „Sie haben die Menschen in Ethnien und Bezirke unterteilt, damit sie nicht gemeinsam aufbegehren können“, so Yousif.
Im digitalen Zeitalter seien Daten zum neuen Rohstoff geworden, der nicht mehr in klassischen Minen, sondern beim Data Mining gewonnen wird. Statt auf Datenminimierung zu setzen, wie es aus Perspektive des Datenschutzes geboten wäre, habe die kenianische Regierung bei „Huduma Namba“ deshalb auf Datenmaximierung gesetzt.
In einer übereilten Roll-out-Phase von nur sechs Monaten habe die kenianische Regierung versucht, die Bevölkerung zur Registrierung zu drängen. Gerade ohnehin marginalisierte Gruppen, etwa Menschen ohne gültige Dokumente, seien jedoch gefährdet gewesen, zurückgelassen zu werden, kritisiert Yousif. Kinder, deren Eltern teils kenianische Staatsangehörige und geflüchtete Personen seien, wären auf Dauer als Geflüchtete registriert und dem Risiko der Staatenlosigkeit ausgesetzt worden.
Radikale Verweigerung
Weil es an einer politischen Opposition zu dem Projekt fehlt, habe es an der Zivilgesellschaft gelegen, Widerstand zu organisieren. Zahlreiche Nichtregierungsorganisationen hätten sich zusammengeschlossen, um in Sozialen Medien gegen den ID-Zwang mobil zu machen.
Insbesondere die junge Generation sei auf die Kampagne angesprungen. „Sie hatten das Gefühl, dass sie in ein System gezwungen werden, bei dem nicht Menschen, sondern Unterdrückung im Mittelpunkt stehen.“ Die Antwort darauf war radikale Verweigerung: Als die Regierung damit gedroht habe, nicht-registrierte Menschen des Landes zu verweisen, trendete der Hashtag #deportme, also „schiebt mich ab“. Zum Schlachtruf der Bewegung wurde der Slang-Begriff „Hatupangwingwi“, das in etwa „Wir lassen uns nichts vorschreiben“ bedeutet.
Auch traditionelle Medien hätten das Thema und dem Protest zu mehr Wucht verholfen. NGOs klagten zudem auf Basis des neuen kenianischen Datenschutzgesetzes. Mit Erfolg: Das Verfassungsgericht erklärte die Datenbank für ungültig, unter anderem, weil eine Datenschutz-Folgenabschätzung fehlte. Erhobene DNA-Daten dürfen zudem nur dann genutzt werden, wenn entsprechende Schutzvorkehrungen getroffen werden.
2022 wählten die Menschen in Kenia eine neue Regierung, die einen Neuanfang versprach und erstmalig Vertreter:innen der Zivilgesellschaft mit an den Tisch holte.
Der Kampf geht weiter
Doch damit endete der Kampf für Mustafa Mahmoud Yousif und seine Mitstreier:innen nicht. Auch die neu aufgesetzte Datenbank „Maisha Namba“ soll umfangreiche Daten über die Menschen Kenias enthalten. Auch hier fehlen der Zivilgesellschaft ausreichende Schutzmechanismen, um Bürger:innen vor Profilbildung und Diskriminierung zu schützen.
Doch Yousif gibt die Hoffnung nicht auf. Immerhin: Statt einer überhasteten Registrierungsphase werden Menschen Stück für Stück und ab Geburt registriert. Und die Verantwortlichkeiten für das Projekt sind jetzt klarer geregelt, sagt der Aktivist. „Wir wissen jetzt, wen wir verklagen müssen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verhökern die Standortdaten von Millionen Menschen in Frankreich. Neue Recherchen zeigen: Mit den angeblich nur zu Werbezwecken erhobenen Daten lässt sich dort sogar Personal von Geheimdiensten und Militär ausspionieren – inklusive Entourage des französischen Präsidenten.
Ein Name der Person steht nicht im Datensatz. Stattdessen steht dort ein Pseudonym. Eine Kette aus Ziffern und Buchstaben, fast als wäre man einmal mit dem Kopf über die Tastatur gerollt. Und mit diesem Pseudonym versehen sind Hunderte exakte Geo-Koordinaten in Frankreich. Legt man die Geo-Koordinaten auf eine Karte, wird sichtbar, wo die Person überall unterwegs war.
Das Bewegungsprofil verrät mehr, als es ein bloßer Name getan hätte.
So lässt sich etwa ablesen, dass die Person Zugang zum Élysée-Palast hat, dem Amtssitz des französischen Präsidenten. Sie war demnach auch in La Lanterne, einem Jagdschloss in Versailles, wo der derzeitige Amtsinhaber Emmanuel Macron gerne das Wochenende verbringt. Weitere Besuche der Person waren auf dem Militärflugplatz Villacoublay, wo Dienstreisen des Präsidenten mit dem Flugzeug beginnen und enden. Besucht hat die Person auch einen Stützpunkt der Republikanischen Garde, also jenem Polizeiverband, der unter anderem den Präsidenten bewacht.
Sogar eine private Wohnadresse lässt sich in den Daten erkennen. Hier häufen sich die Handy-Ortungen. Ab jetzt ist es leicht, die Person zu identifizieren. Es genügt ein Besuch vor Ort. Und voilà: Auf dem Briefkasten steht der Name eines Menschen, der einer simplen Online-Recherche zufolge für die französische Gendarmerie arbeitet. Ein weiteres online verfügbares Dokument bekräftigt die Verbindung zu Macron.
Um die Identität der Person zu schützen, gehen wir nicht näher auf das Dokument ein. Doch gemeinsam mit unseren Recherchepartnern haben wir zahlreiche weitere brisante Fälle in dem Datensatz gefunden. Sie zeigen erstmalig am Beispiel Frankreichs, dass der unkontrollierte Handel mit Werbe-Daten nicht nur die Privatsphäre von Millionen Menschen gefährdet, sondern auch die Sicherheit Europas.
Ortungen bei Geheimdiensten, Militär und Rüstungskonzernen
Standortdaten wie diese sind wertvolles Material für Spionage, gefundenes Fressen für fremde Geheimdienste. Die Daten stammen nicht aus einem Hack oder einem Leak, sondern von einem Databroker. Um solche Daten zu erhalten, muss man nur freundlich nachfragen – und keinen Cent bezahlen.
Databroker verkaufen solche Handy-Standortdaten von Millionen Menschen als Abonnement; Vorschau-Daten gibt es gratis. Für jeden Standort im Datensatz gibt es eine einzigartige Kennung, die sogenannte Werbe-ID. Handy-Nutzer*innen bekommen sie automatisch von Google und Apple zugewiesen. Sie ist wie ein Nummernschild fürs Handy und sorgt dafür, dass über Apps ausgeleitete Handy-Standortdaten miteinander verknüpft werden können, bis sie letztlich nicht mehr anonym sind. Allein im Gratis-Datensatz, der dem Recherche-Team vorliegt, stecken rund eine Milliarde Standortdaten von bis zu 16,4 Millionen Geräten in Frankreich.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Seit mehreren Monaten recherchiert Le Monde gemeinsam mit netzpolitik.org, Bayerischem Rundfunk und weiteren internationalen Partnern. Es geht um die Massenüberwachung mithilfe von Handy-Standortdaten, die angeblich nur zu Werbezwecken erhoben werden. Die Recherchen aus Frankreich sind der neuste Teil der Databroker Files, die seit Februar 2024 erscheinen.
All diese Recherchen zeigen: Kein Ort und kein Mensch sind sicher vor dem Standort-Tracking der Werbeindustrie. Um die Gefahr des Trackings anschaulich zu machen, hat sich Le Monde nun auf Handy-Ortungen fokussiert, die für die nationale Sicherheit von Frankreich relevant sind. So konnte das Team in mehreren Dutzend Fällen mit Sicherheit oder hoher Wahrscheinlichkeit Identität, Wohnort und Gewohnheiten von Angestellten sensibler Einrichtungen nachvollziehen. Dazu gehören Angestellte von Geheimdienst und Militär in Frankreich, der Spezialeinheit GIGN, die für Terrorismusbekämpfung zuständig ist, sowie Personal von Rüstungsunternehmen und Kernkraftwerken.
Besuche in der Deutschen Botschaft und beim Polo
Mehrere Bewegungsprofile aus dem französischen Datensatz haben sogar einen Bezug zu Deutschland. So zeigt ein Profil die Bewegungen einer Person, die möglicherweise als Diplomat*in arbeitet. Sie hat Zugang zur Rechts- und Konsularabteilung der deutschen Botschaft und zur Residenz des deutschen Botschafters in Paris. Die Handy-Ortungen zeigen eine Reise nach Verdun, inklusive Besuch von Museum und Gedenkstätten. Auch ein Abstecher zu einem Polofeld in Paris ist zu finden.
Aus dem Auswärtigen Amt heißt es, die Risiken durch Databroker seien bekannt. Die Mitarbeitenden würden regelmäßig zu den Risiken sensibilisiert – müssten aber gleichzeitig umfassend erreichbar sein.
Weitere Bewegungsprofile aus dem Datensatz konnte das Recherche-Team Angestellten von Rüstungsunternehmen zuordnen. Gerade wegen der militärischen Bedrohung durch Russland ist die europäische Rüstungsindustrie besonders dem Risiko von Spionage und Sabotage ausgesetzt. Im Datensatz finden sich etwa die Handy-Ortungen einer Person, die offenbar in hoher Position für den deutsch-französischen Rüstungskonzern KNDS tätig war. Zu den Produkten von KNDS gehören Panzer, Bewaffnungssysteme, Munition und Ausrüstung; das Unternehmen, das durch eine Fusion von Krauss-Maffei Wegmann und Nexter entstand, ist ein wichtiger Lieferant für die Ukraine.
Auf Anfrage teilt der Konzern mit, man sei sich der Notwendigkeit bewusst, Mitarbeitende für diese Themen zu sensibilisieren. Über ergriffene Maßnahmen wolle man jedoch nicht öffentlich sprechen.
Von „Sensibilisierung“ sprechen viele Organisationen, wenn man sie danach fragt, wie sie sich vor der Überwachung schützen wollen. So schreiben etwa die Pressestellen des französischen Verteidigungsministeriums und Inlandsgeheimdiensts DGSI auf Anfrage von Le Monde von der Sensibilisierung ihrer Angestellten. Mit Sensibilisierung – und zwar in Form einer Rundmail – hatten im November auch die Organe der Europäischen Union auf unsere Recherchen reagiert, die zeigten, wie sich mithilfe der Standortdaten Spitzenpersonal der EU in Brüssel ausspionieren lässt.
Und so ist es schier unvermeidbar, dass aller Sensibilisierung zum Trotz immer wieder Daten abfließen und in die Hände von Databrokern gelangen – selbst Standortdaten aus der Entourage des französischen Präsidenten.
Eine Gefahr für Europa
Auf Anfrage von Le Monde hat der Élysée-Palast selbst nicht reagiert. Zumindest für Präsident Macron dürfte das Thema jedoch nicht ganz neu sein. Denn im Jahr 2024 hatte Le Monde schon einmal Standortdaten von Menschen aus seinem Umfeld aufgespürt, und zwar über die Fitness-App Strava. Damit können Nutzer*innen etwa ihre Jogging-Routen tracken und online mit der Öffentlichkeit teilen, was Macrons Sicherheitspersonal unvorsichtigerweise getan hatte.
Der Unterschied: Damals ging es um den Umgang mit einer einzelnen Fitness-App. Die Databroker Files zeigen jedoch, wie sensible Handy-Standortdaten über einen großen Teil kommerzieller App abfließen können. Inzwischen liegen dem Recherche-Team mehrere Datensätze von mehreren Databrokern vor. Sie umfassen rund 13 Milliarden Standortdaten aus den meisten Mitgliedstaaten der EU, aus den USA und vielen weiteren Ländern.
Die Databroker Files zeigen auch, dass die DSGVO (Datenschutzgrundverordnung) gescheitert ist – mindestens in ihrer Durchsetzung. Der unkontrollierte Datenhandel bedroht nicht nur auf beispiellose Weise die Privatsphäre und informationelle Selbstbestimmung von Nutzer*innen, sondern in Zeiten erhöhter Spionagegefahr auch die Sicherheit Europas.
Im Zuge unserer Recherchen haben Fachleute aus Politik, Wissenschaft und Zivilgesellschaft wiederholt Konsequenzen gefordert. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, sagte im November etwa Axel Voss (CDU) von der konservativen Fraktion im EU-Parlament, EVP. Die EU müsse entschieden handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke.“ Weiter brauche es „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“.
EU könnte Datenschutz noch weiter abschwächen
Seine Parlamentskollegin Alexandra Geese von der Fraktion der Grünen/EFA sagte: „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie forderte: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“
Statt die Gefahr einzudämmen, hat die EU-Kommission jedoch jüngst mit dem Digitalen Omnibus einen Plan vorgelegt, um den Datenschutz in Europa noch weiter zu schleifen. Konkret sollen demnach manche pseudonymisierten Daten nicht mehr als „personenbezogen“ gelten und deshalb den Schutz durch die DSGVO verlieren. Dabei zeigen die Databroker Files eindrücklich, wie intim und gefährlich die Einblicke durch angeblich pseudonyme Daten sein können.
Der EU stehen kontroverse Verhandlungen bevor. Teilweise oder weitgehende Ablehnung zu den Vorschlägen gab es bereits von den Fraktionen der Sozialdemokraten, Liberalen und Grünen im EU-Parlament. Zudem warnten mehr als 120 zivilgesellschaftliche Organisationen in einem offenen Brief vor dem „größten Rückschritt für digitale Grundrechte in der Geschichte der EU“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Louisa Specht-Riemenschneider erklärt, warum KI und Datenschutz so schlecht zusammengehen und die Datenpolitik ein gesellschaftspolitisches Ziel braucht. Außerdem nennt sie eine überraschend niedrige Zahl neuer Mitarbeitender, falls ihre Behörde die zentrale Wirtschaftsaufsicht erhält.
Die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider. – Alle Rechte vorbehalten Johanna Wittig
Seit gut einem Jahr ist Louisa Specht-Riemenschneider Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Nicht nur die schwarz-rote Bundesregierung hat sich mittlerweile weitreichende Reformen beim Datenschutz vorgenommen, sondern auch die EU-Kommission will die Datenschutzgrundverordnung erstmalig schleifen.
Wir haben Specht-Riemenschneider in ihrem Berliner Büro getroffen und sie gefragt, wo sie in der hitzig geführten Reformdebatte steht. Sie kritisiert Teile der Pläne der EU-Kommission, spricht sich aber auch selbst entschieden für eine Reform aus. Der datenschutzrechtliche Rahmen erfülle seine Funktion nicht, allerdings laufe die aktuelle Debatte in die falsche Richtung. Vor Veränderungen in der Datenpolitik müsse eine gesellschaftspolitische Zielsetzung stehen, so die Forderung der Datenschutzbeauftragten.
Auch zu den umstrittenen Themen Gesundheitsdigitalisierung und Reform der Datenschutzaufsicht in Deutschland haben wir die Juristin befragt.
„An jeder Ecke fehlen Daten für gemeinwohlorientierte Zwecke“
netzpolitik.org: Sie haben als Rechtswissenschaftlerin immer die Bedeutung von Daten für Innovation betont und einen Ausgleich zwischen Datennutzung und Datenschutz gesucht. Für viele bedeutet das momentan vor allem, den Datenschutz zurückzubauen. Auf dem Digitale-Souveränitäts-Gipfel in Berlin lautete die neue Leitlinie „Product First, Regulation Second“. Ihre Behörde soll den Zusatz „Beauftragte für Datennutzung“ erhalten. Geht die Entwicklung also in die richtige Richtung?
Louisa Specht-Riemenschneider: Für mich stand nie zur Debatte, ob Datenschutz und Datennutzung zusammengehen. Die DSGVO soll genau das erreichen. Sie will ja nicht Datennutzung um jeden Preis verhindern, sondern gewährleisten, dass dabei Grundrechte gewahrt bleiben. Gleichzeitig gibt es andere Grundrechte wie den Schutz der Gesundheit, die es notwendig machen, dass Daten verarbeitet werden. Beides muss man in Einklang bringen.
In der öffentlichen Debatte wird derzeit allerdings versucht, diese zwei Positionen gegeneinander auszuspielen. Wir sind an einem Punkt, wo wir eine entscheidende Weichenstellung machen können. Und ich würde mir eine viel stärker gesellschaftspolitische Diskussion darüber wünschen, wo wir eigentlich hin wollen.
netzpolitik.org: Also für welche Zwecke Daten genutzt werden sollen und für welche nicht?
Louisa Specht-Riemenschneider: Ja, wollen wir als Gesellschaft etwa Daten für verbesserte Krebstherapien nutzen? Oder wollen wir verbesserte Datennutzbarkeit für rein kommerzielle Interessen? Das beantwortet mir momentan politisch niemand.
Wir haben zwar 1.000 Strategien, aber es fehlt ein Leitbild, an dem wir die Datenpolitik und auch die Regulierung ausrichten. Gerade jetzt wäre die Gelegenheit, in der wir in Europa – anders als die USA oder China – eine Datennutzungsagenda entwickeln könnten, die Grundrechte, Demokratie und Freiheit mitdenkt.
netzpolitik.org: Bei der Gesundheitsdigitalisierung heißt es, der Datenschutz gefährde Leben. In der Wirtschaft gefährde er Europas Wettbewerbsfähigkeit. Spüren Sie diesen Gegenwind?
Louisa Specht-Riemenschneider: Ja, und ich finde es unheimlich schade, dass die Diskussion in die falsche Richtung geht. Der Rechtsrahmen für Datenschutz und Datennutzung funktioniert offensichtlich nicht so, wie er eigentlich funktionieren sollte. Einerseits haben wir eine unglaubliche Masse an Daten, die rechtswidrig genutzt werden, wie etwa die „Databroker Files“ gezeigt haben. Andererseits fehlen an jeder Ecke Daten für gemeinwohlorientierte Zwecke.
Diese Gemengelage führt dazu, dass der Datenschutz zum Buhmann für alles gemacht wird. Vergangenes Jahr habe ich gelesen, dass in einem Seniorenheim keine Weckmänner verteilt werden konnten, wegen des Datenschutzes. Das ist natürlich großer Quatsch, aber diese Missverständnisse werden unter anderem dadurch hervorgerufen, dass der Rechtsrahmen sehr komplex ist.
„Es gibt im Omnibus auch Aspekte, die ich begrüße“
Louisa Specht-Riemenschneider: Ich halte nichts davon, die Welt in Schwarz und Weiß einzuteilen. Die Kommission schlägt Regelungen vor, von denen einige datenschutzrechtlich ganz klar kritisch zu werten sind. Wenn ich zum Beispiel meine Betroffenenrechte nur noch für datenschutzrechtliche Zwecke ausüben darf, dann schränkt mich das in meinen Rechten elementar ein. Gegen einen Missbrauchseinwand spricht nichts, aber er muss richtig formuliert sein.
Es gibt im Omnibus jedoch auch Aspekte, die ich begrüße. Die Vereinheitlichung von Digitalrechtsakten zum Beispiel, also die Zusammenfassung von Datennutzungsgesetzen im Data Act. Auch die Vorschläge zu Cookie-Bannern sind in ihrer Grundrichtung zu begrüßen.
netzpolitik.org: Für Kritik sorgt auch der Plan, die Definition personenbezogener Daten deutlich enger zu fassen und pseudonymisierte Daten unter bestimmten Umständen von der DSGVO auszunehmen. Man folge da nur der Rechtsprechung des Europäischen Gerichtshofs, heißt es von der Kommission. Der Jurist und Datenschutzexperte Max Schrems und andere sagen, das geht weit darüber hinaus. Wer hat Recht?
Louisa Specht-Riemenschneider: Man kann das Urteil so oder so lesen. Ich frage mich, ob die geplanten Änderungen – wenn man genau hinschaut – tatsächlich eine Abweichung vom derzeitigen Standard darstellen. Dazu berate ich mich gerade noch mit meinen Kolleg:innen in der Datenschutzkonferenz und möchte dem ungern vorgreifen.
netzpolitik.org: Ein weiterer Streitpunkt sind KI-Systeme. Die Kommission will klarstellen, dass diese auch ohne Einwilligung, auf Basis des legitimen Interesses, mit personenbezogenen Daten trainiert und betrieben werden dürfen.
Louisa Specht-Riemenschneider: Die Kommission folgt hier einer Empfehlung des Europäischen Datenschutzausschusses, bei der jedoch leider nicht genau ausformuliert wurde, unter welchen Bedingungen KI auf das berechtigte Interesse gestützt werden kann. Der Omnibus unterscheidet hier leider auch nicht zwischen KI-Training zu kommerziellen oder zu gemeinwohlorientierten Zwecken oder zur Ausübung anderer Grundrechte.
netzpolitik.org: Sie ist offenbar getrieben von der Sorge, Europa könne im sogenannten KI-Wettrennen verlieren. Gehen Datenschutz und KI einfach nicht zusammen?
Louisa Specht-Riemenschneider: Ja, der geltende Datenschutz-Rechtsrahmen und KI gehen ganz schlecht zusammen. Das Hauptproblem ist, dass unklar ist, wie man Betroffenenrechte geltend machen soll, wenn KI-Systeme sich einzelne Daten merken. Wie sollen Löschansprüche ausgeübt werden? Wie soll der Berichtigungsanspruch praktisch umgesetzt werden? Diese Fragen beantwortet auch der Digitale Omnibus nicht. Es wäre klug, wenn sich der europäische Gesetzgeber die Zeit nehmen würde, über diese Frage etwas intensiver nachzudenken.
Da sind wir auch wieder bei der Gretchenfrage: Für welche Zwecke wollen wir als Gesellschaft KI und für welche nicht? Das scheint mir wirklich eine Grundsatzdiskussion zu sein, die wir dringend führen und dann gesetzgeberisch entsprechend handeln müssen. Entwicklung und Einsatz von KI für gemeinwohlorientierte Zwecke oder zur Ausübung von Grundrechten würde ich gern gesetzlich privilegiert sehen, für andere Zwecke ist das meines Erachtens weniger erforderlich. Große Player, die kommerzielle KI-Modelle anbieten, können mit der Rechtsunsicherheit gut umgehen.
Wo eine Reform ansetzen sollte
netzpolitik.org: Viele Datenschützer:innen warnen davor, im aktuellen politischen Klima solche Grundsatzfragen zu stellen und das große Fass DSGVO überhaupt aufzumachen.
Louisa Specht-Riemenschneider: Ich möchte eine Grundsatzdebatte sogar vehement einfordern. Der bestehende Rechtsrahmen funktioniert nicht so, wie er funktionieren soll. Natürlich will ich die DSGVO nicht insgesamt nochmal zur Abstimmung stellen. Aber wir sollten über Nachbesserungen im geltenden Rechtsrahmen sprechen. Das Interessante am Omnibus ist ja nicht nur das, was drinsteht, sondern vor allem das, was nicht drin steht.
netzpolitik.org: Was fehlt Ihnen?
Louisa Specht-Riemenschneider: Wie bekomme ich zum Beispiel eine Databroker-Regelung in die DSGVO? Wie schaffen wir es, dass Selbstbestimmung nicht nur auf dem Papier existiert?
Das Grundproblem ist die Einwilligung. Wir hatten in den 1960er- und 1970er-Jahren eine ähnliche Diskussion zu Selbstbestimmung im Verbraucherschutzrecht. Schon damals war klar, dass Verbraucher:innen Entscheidungen treffen, die manchmal nicht selbstbestimmt sind, weil es Machtasymmetrien gibt. Also müssen wir dafür sorgen, dass wir die Vertragsparteien auf Augenhöhe bekommen, damit Verbraucher:innen gleichberechtigt entscheiden können.
Warum führen wir diese Diskussion nicht auch bei der DSGVO? Dafür müssen wir deren Grundsätze nicht anfassen, sondern an die Frage der Einwilligung ran. Und wir müssen dafür sorgen, dass die DSGVO besser in der Praxis umgesetzt wird. Das ist nur vordergründig eine Frage des Bürokratieabbaus.
netzpolitik.org: Sondern?
Louisa Specht-Riemenschneider: Ich höre oft von Unternehmer:innen, dass sie Datenschutz beachten wollen, aber nicht wissen, wie sie dabei am besten vorgehen. Wenn wir also am Ende mehr Rechtsklarheit in die Verordnung hineinbekommen, dann ist das auch ein Weg, um Betroffene besser zu schützen, weil die Regeln besser umgesetzt können. Auch der risikobasierte Ansatz der DSGVO sollte weiter ausdifferenziert werden. Also dass nicht alle die gleichen Pflichten haben, sondern ähnlich wie bei der KI-Verordnung die Verantwortung größer ist, wenn das Risiko der Datenverarbeitung zunimmt.
netzpolitik.org: Erst kürzlich konnten wir mit den gerade schon angesprochenen Databroker-Recherchen zeigen, wie sich selbst hochrangiges EU-Personal ausspionieren lässt – mit Daten aus dem Ökosystem der Online-Werbung, die wir kostenfrei von Databrokern bekommen haben. Wie löst man dieses Problem?
Louisa Specht-Riemenschneider: Das ist nicht trivial, weil Werbe-Tracking mit Einwilligung zulässig sein kann, in vielen Fällen wohl aber Zweifel an der Rechtsgültigkeit der Einwilligungen bestehen. Deshalb müssen wir uns zunächst anschauen, wie die Datenströme verlaufen: Ich habe ein Endgerät mit der Werbe-ID, von dem Daten an einen Databroker gehen, der häufig in einem Drittstaat sitzt, beispielsweise in den USA. Und dann habe ich einen Datenankäufer, der etwa in einem anderen europäischen Staat sitzt.
Den Databroker in den USA kriegt man aufsichtsrechtlich sehr schwer zu fassen, da bräuchte man Amtshilfe von US-Behörden. Beim Datenankäufer ist es einfacher, wenn er in einem EU-Mitgliedstaat sitzt. Er ist aber das letzte Glied in der Kette. Selbst wenn wir nachweisen können, dass er sich datenschutzwidrig verhält, beendet das noch nicht den Datenhandel.
Daher wäre es am sinnvollsten, die Apps ins Visier zu nehmen, die die Werbe-ID weitergeben. Wir sollten darüber nachdenken, ob die Ausleitung der Werbe-ID grundsätzlich beschränkt werden sollte – auch wenn Nutzer:innen „einwilligen“. Das könnte man übrigens auch in einem Omnibus regeln.
netzpolitik.org: Um die Komplexität noch zu erhöhen, gibt es auch noch das Teilproblem der Datenmarktplätze. Das sind die Plattformen, auf denen Interessierte und Anbieter von Daten zusammenkommen. Der größte Marktplatz hat seinen Sitz in Berlin, die Berliner Datenschutzaufsicht kam zu dem Schluss, dass die DSGVO nicht anwendbar ist, weil er nur Kontakte vermittelt und selbst die Datensätze nicht verarbeitet.
Louisa Specht-Riemenschneider: Wir hatten eine ähnliche Situation schon mal beim geistigen Eigentum. Filesharing-Clients hatten einst auch argumentiert, dass sie nur den Kontakt zwischen Person A und Person B herstellen, die dann Musikstücke austauschen. Damals haben die Gerichte die Vermittlungsplattform mit dem Täter quasi gleichgestellt. Eine solche Störerhaftung könnte man auch im Datenschutzrecht vorsehen.
Ich weiß, dass es die Rechtsauffassung gibt, dass die Tätigkeiten von Datenmarktplätzen heute schon eine Verarbeitungstätigkeit sind. Aber selbst dann wäre es hilfreich, dies explizit ins Gesetz zu schreiben, um Rechtsklarheit zu schaffen. Das könnte man gegebenenfalls sogar auf nationaler Ebene lösen, ohne den Weg über die EU.
„Eine Verpflichtung wäre eine großer Schritt“
netzpolitik.org: Überraschenderweise hat die EU-Kommission auch einen neuen Rechtsrahmen für Consent-Manager für Cookies in den Omnibus aufgenommen, obwohl dieser ja eigentlich nur eine technische Anpassung sein sollte. In Deutschland gibt es die Möglichkeit schon länger, Ihre Behörde hat neulich den ersten Cookie-Manager für Deutschland anerkannt. Würde das das Databroker-Problem lösen?
Louisa Specht-Riemenschneider: Nein, aber es löst ein anderes Problem.
Wenn ich das Ziel verfolge, Cookie-Banner zu reduzieren, dann habe ich dafür verschiedene Möglichkeiten. Eine besteht darin, den Verbraucher:innen die Möglichkeit zu geben, vorab generell zu erklären, für welche Zwecke Cookies bei ihnen gesetzt werden dürfen und für welche nicht. Und die Website-Betreiber zugleich dazu zu verpflichten, diese Entscheidung auch zu akzeptieren.
Das ist auch der Punkt, den ich beim Omnibus einigermaßen positiv sehe. Da steht drin, dass Website-Betreiber die Cookie-Einstellung akzeptieren sollten. Wenn die Vorgabe so zu lesen ist, dass sie dazu verpflichtet sind, dann wäre das ein großer Schritt. Denn diese Pflicht sieht die deutsche Rechtslage derzeit nicht vor. Das ist ja der große Kritikpunkt an den Einwilligungsmanagementsystemen, wie sie in Deutschland gegenwärtig vorgesehen sind.
„Hundertprozentige Sicherheit gibt es nicht“
netzpolitik.org: Sie sprachen eingangs das Grundrecht auf Schutz der Gesundheit an. Die elektronische Patientenakte hat ein ereignisreiches Jahr hinter sich. Auf Sicherheitslücken in der ePA angesprochen, haben Sie mal den Vergleich gezogen, dass in ein Haus auch eingebrochen werden kann – „ganz gleich, wie gut die Alarmanlage ist“. Ist das nicht eine schräge Analogie?
Louisa Specht-Riemenschneider: Was ich damit sagen wollte, ist, dass wir nie eine hundertprozentige Sicherheit im technischen System haben können. Eine solche Sicherheit gibt es nicht.
Wir müssen allerdings alles tun, um Sicherheitslücken so früh wie möglich zu erkennen, zu schließen und deren Zahl so gering wie möglich zu halten. Das sind die drei Dinge, die wahnsinnig wichtig sind.
Allerdings ist bei der Sicherheit der ePA das Bundesamt für Sicherheit in der Informationstechnik (BSI) der primäre Ansprechpartner. Wir als Datenschutzaufsicht schauen uns vor allem die Datenverarbeitung an, die in der ePA stattfindet. Das BSI ist dafür zuständig, im Dialog mit dem Bundesgesundheitsministerium und der Gematik, die Sicherheitslücken zu schließen. Wir werden dann darüber informiert und dürfen uns dazu äußern.
netzpolitik.org: Das war ja mal anders.
Louisa Specht-Riemenschneider: Früher mussten Spezifikation der Gematik von uns „freigeben“ werden, sie musste also Einvernehmen mit uns herstellen. Jetzt muss sie uns nur noch ins Benehmen setzen. Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören.
netzpolitik.org: In ihren Vorversionen verfügte die ePA noch über zahlreiche Möglichkeiten, mit denen Versicherte genauer einstellen konnten, welche Dokumente Behandelnde sehen dürfen und welche nicht. Davon ist heute nicht mehr viel übrig. Ist das Versprechen einer patientenzenterierten ePA überhaupt noch zu halten?
Louisa Specht-Riemenschneider: Es kommt darauf an, was man als patientenzentriert definiert. Die Einstellungen in der ePA 2.0 waren dokumentengenauer. Das wurde ein Stück weit zurückgeschraubt. Wir werden allerdings mit dem Europäischen Gesundheitsdatenraum (EHDS) bald eine Rechtslage bekommen, die möglicherweise wieder feinere Einstellungen vorsieht. Die Details dazu werden derzeit noch ausgearbeitet.
Ein großes Problem in der ePA war, dass Leistungserbringer immer auch die Abrechnungsdaten zu sehen bekamen, die die Krankenkasse in die Patientenakte einstellt. Selbst wenn ich eingestellt hatte, dass bestimmte Leistungserbringer Dokumente nicht sehen sollen. Ärzte hätten dann trotzdem sehen können, dass man schon bei einem anderen Arzt war und wie die Diagnose lautete. Das ist zumindest abgestellt worden und das ist ein Fortschritt.
„Für eine patientenztentrierte ePA ist es noch nicht zu spät“
netzpolitik.org: Dennoch bleibt die Frage, ob die Chance vertan wurde, ein großes Digitalisierungsprojekt datenschutzorientiert auf die Beine zu stellen?
Louisa Specht-Riemenschneider: Ich muss selbst entscheiden können, welche Daten in meine ePA hineinkommen. Das kann ich aber nur tun, wenn ich vernünftig informiert werde. Bislang wird äußerst wenig dafür getan, dass Informationen auch bei den Menschen ankommen.
Und das vor allem deswegen, weil das Gesetz überall Informationserteilungspflichten vorsieht, aber nicht fordert, dass die Information von den Patient:innen auch wahrgenommen wird. Erst jetzt startet eine breit angelegte Werbekampagne des BMG. Insgesamt wurde aus meiner Sicht viel zu spät und mit viel zu geringer Priorität informiert. Wir haben dazu gerade eine große Umfrage durchgeführt und veröffentlichen die Ergebnisse bald in unserem Datenschutzbarometer.
Wir haben unzählige Beratungsschreiben an die Krankenkassen geschrieben, damit die Informationen möglichst gut verstanden werden. Damit Menschen sich wirklich befähigt fühlen, informierte Entscheidungen zu treffen, muss ich anders informieren als in einem fünfseitigen Brief, den Versicherte bekommen und dann achtlos in den Müll schmeißen, weil sie denken, das es eine weitere Beitragsanpassung ist. Ich sehe die Verantwortung aber hier wie gesagt auch beim Gesetzgeber.
Ist die Chance vertan, dass die ePA dem Anspruch an Information und Selbstbestimmung gerecht wird? Ich glaube nicht. Aber es ist verdammt spät.
„Das würde meine Behörde und mich sehr schmerzen“
netzpolitik.org: Lassen Sie uns zum Schluss über eine weitere Datenschutz-Baustelle sprechen: die Verteilung der Aufsichtskompetenz in Deutschland. Ihre Behörde könnte die Aufsicht über die Geheimdienste verlieren.
Louisa Specht-Riemenschneider: Das ist für mich eine ganz schwierige Situation. Der Verlust der Aufsicht über die Nachrichtendienste würde meine Behörde und mich sehr schmerzen. Nicht weil wir dann zwanzig Mitarbeiter weniger hätten. Sondern weil wir die einzige Stelle sind, die eine komplette Übersicht über die Sicherheitsbehörden insgesamt hat und darüber, wie sie Daten von Bürgerinnen und Bürgern nutzen.
Die aktuelle politische Diskussion geht klar in die Richtung, dass Nachrichtendienste mehr Befugnisse erhalten sollen. Ein solcher Machtzuwachs lässt sich aber nur dann rechtfertigen, wenn gleichzeitig ein vernünftiges Aufsichtsregime gewährleistet wird.
netzpolitik.org: Die Pläne kämen einer Entmachtung Ihrer Behörde gleich.
Louisa Specht-Riemenschneider: Teile der Aufsicht, die wir bisher ausgeübt haben, sollen in einen unabhängigen Kontrollrat verlagert werden. Das wäre eine Zerfaserung der Aufsicht, die Gesamtübersicht über die Sicherheitsbehörden wäre nicht mehr gegeben. Das finde ich bedenklich. Wir sind nämlich auch die einzige Stelle, die die Gesamtheit des Überwachungsdrucks im Blick behalten kann.
Wir haben derzeit eine Haushaltssituation, wo alle sparen sollen. Ich frage mich, wieso da eine neue Stelle geschaffen werden soll, die Aufgaben übernimmt, für die eine andere Behörde jahrelang Kompetenz aufgebaut hat. Haben wir vielleicht zu genau hingeschaut in den vergangenen Jahren?
netzpolitik.org: An anderer Stelle könnte Ihre Behörde an Bedeutung gewinnen. Der Koalitionsvertrag sieht eine Bündelung der Zuständigkeiten und Kompetenzen bei der Aufsicht über Wirtschaft und Vereine bei Ihnen vor. Dafür kursieren unterschiedliche Modelle.
Louisa Specht-Riemenschneider: Auch diese Situation ist für mich persönlich nicht ganz leicht, weil ich meine Kolleg:innen aus der Datenschutzkonferenz (DSK) sehr schätze. Die Landesdatenschutzaufsichtsbehörden machen hervorragende Arbeit.
Gleichwohl glaube ich, dass 18 Aufsichtsbehörden zwangsläufig auch mal unterschiedliche Rechtsauffassungen vertreten. Wir können nicht alles auf DSK-Ebene diskutieren und gemeinsam entscheiden. Es gibt daher gute Argumente für eine Bündelung. Ich glaube auch, dass man Aufsicht und Beratung dann besser skalieren könnte.
Unabhängig davon, welches Modell es am Ende wird, muss die Datenschutzkonferenz für die Aufsicht über öffentliche Stellen eine eigene Geschäftsstelle bekommen, weil durch den wechselnden Vorsitz zu viele Kapazitäten in Organisationsfragen gebunden werden.
netzpolitik.org: Zum Abschluss die Preisfrage: Wie viele neue Stellen bräuchten Sie, wenn es zu einer Zentralisierung kommen sollte, also einer vollständigen Verlagerung der Wirtschaftsaufsicht von den Länderbehörden zu Ihnen?
Louisa Specht-Riemenschneider: Wir gehen je nach Ausgestaltung von einer hohen zweistelligen bis niedrigen dreistelligen Zahl aus.
Louisa Specht-Riemenschneider: Wir haben das intern durchgerechnet und gehen von Skalierungseffekten aus. Insofern kommen wir mit deutlich weniger Stellen aus, als derzeit in der öffentlichen Diskussion angenommen wird.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Zehn Jahre nach den Ermittlungen wegen Landesverrats veranstaltet netzpolitik.org zusammen mit der Digitalen Gesellschaft einen Netzpolitischen Abend. Am 4. November werfen drei Vorträge einen kritischen Blick auf die globale Lage der Pressefreiheit. Dabeisein geht in Berlin oder im Stream.
Reporter Ohne Grenzen sieht die Pressefreiheit in Gefahr. – CC-BY-SA 4.0Sebaso
Vor zehn Jahren wurde netzpolitik.org das Ziel eines Angriffs auf die Pressefreiheit. Wegen der Veröffentlichung geheimer Dokumente zettelte der damalige Chef des Verfassungsschutzes ein Ermittlungsverfahren wegen Landesverrats an. Der Generalbundesanwalt ermittelte und die Redaktion musste Überwachungsmaßnahmen fürchten. Nach einer großen Welle der Solidarität wurden die Ermittlungen eingestellt und netzpolitik.org ging gestärkt aus der „Affäre Landesverrat“ hervor.
Das denkwürdige Jubiläum nehmen wir zum Anlass für einen gemeinsamen Netzpolitischen Abend mit der Digitalen Gesellschaft zum Thema Pressefreiheit. Unter der Moderation von Anna Biselli, Co-Chefredakteurin bei netzpolitik.org, tragen fünf Journalist*innen und Menschenrechtsverteidiger*innen ihre Einschätzung zur weltweiten Lage der freien Presse vor. Der 151. Netzpolitische Abend der Digitalen Gesellschaft findet am 4. November in der c-base Berlin oder im Stream statt. Der Eintritt ist kostenlos und alle Interessierten sind herzlich eingeladen!
Das Programm
Alena Struzh und Katharina Viktoria Weiß, Reporter ohne Grenzen: Pressefreiheit weltweit
Von autoritären Regimen und Überwachung: Die Journalistinnen teilen eine Bestandsaufnahme der weltweiten Pressefreiheit und ihrer Herausforderungen.
Philipp Frisch und Lisa-Marie Maier, Human Rights Watch: Pressefreiheit in Afghanistan
Dokumentierte Gewalt und Zensur: Ein Vortrag über die zunehmenden Bedrohungen für afghanische Journalist*innen, darunter auch Abschiebungen.
Kein Wohlfühlklima: Joschka Selinger berichtet über den steigenden Druck auf die deutsche, freie Presse anhand von aktuellen Fällen.
Die c-base befindet sich in der Rungestraße 20, 10179 Berlin. Einlass ist ab 19:15 Uhr, los gehts um 20 Uhr. Für alle, die nicht vor Ort dabei sein können, gibt es einen Live-Stream ab 20:15 auf c-base.org. Der Eintritt ist frei.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
In Berlin trafen sich vergangene Woche Arbeitskräfte zur Vernetzung, die für den Erfolg von KI-Anwendungen und Sozialen Medien unverzichtbar sind. Sie streiten für bessere Arbeitsbedingungen und fordern Politik und Gewerkschaften auf, sich endlich ihrer Sache anzuschließen.
Datenarbeiter:innen machen vieles in unserer digitalen Welt erst möglich.
Sie wollen nicht länger unsichtbar bleiben: In Berlin haben sich vergangene Woche Datenarbeiter:innen und Content-Moderator:innen aus den USA, Kenia, Nigeria, Deutschland, Venezuela und Spanien für eine zweitägige Versammlung getroffen. Die Arbeiter:innen sind Fachleute für Daten-Aufbereitung und Online-Sicherheit. Ihre Arbeit spielt für den Erfolg von Künstlicher Intelligenz und Sozialen Medien eine unverzichtbare Rolle, trotzdem weiß kaum jemand von ihnen.
Beschäftigt sind die Arbeiter:innen häufig über Outsourcing-Firmen. Sie erhalten oft mickrige Gehälter. Am Arbeitsplatz werden sie konstant überwacht und sind permanentem Erfolgsdruck ausgesetzt. Die Tech-Konzerne, deren Probleme sie lösen, profitieren von ihrer Ausbeutung und nehmen in Kauf, dass sie alleingelassen werden, auch wenn sie potenziell traumatisierende Tätigkeiten wie die Moderation gewalttätiger Inhalte übernehmen müssen.
Das wollen die Arbeiter:innen nicht länger hinnehmen. In Berlin tauschten sie Erfahrungen aus, vernetzten sich und schmiedeten Pläne.
Große Lohnunterschiede
Sprechen dürfen die Arbeiter:innen über ihre Tätigkeit eigentlich nicht. Sie mussten Knebelverträge unterschreiben, um die Jobs zu erhalten, die ihr Überleben sichern. Deshalb bleiben alle, deren Statements wir wiedergeben, in diesem Artikel anonym.
Etwa die Person, die von den jüngsten Maßnahmen des Social-Media-Konzerns Tiktok berichtet, der seine Arbeiter:innen in Europa feuere, um woanders günstigere Arbeitskräfte anstellen zu können. So etwa in Casablanca, wo ein neues Moderationszentrum geplant werde. In anderen Fällen würden die Moderator:innen durch KI-Systeme ersetzt, die sie selbst trainieren mussten.
Eine weitere Person berichtet von den unterschiedlichen Gehältern, die global für die gleiche Arbeit gezahlt werden. Das sei auch innerhalb Europas der Fall: „Der Unterschied zwischen Ländern wie Spanien und den nordischen Ländern ist enorm“, sagt die Person, die in Barcelona bei einem Outsourcing-Unternehmen arbeitet. Dort könnten sich Datenarbeiter:innen oft kaum noch die Miete leisten, während Arbeiter:innen in Skandinavien sich von ihrem Gehalt eine eigene Wohnung kaufen könnten.
Kritik an Gewerkschaften
Organisiert wurde das Treffen vom Forschungszentrum Weizenbaum-Institut und der Nichtregierungsorganisation superrr lab. „Die zwei Tage waren für uns etwas Besonderes, weil sie von transnationaler Solidarität geprägt waren“, schreiben Milagros Miceli und Julia Kloiber im Anschluss. „Die Arbeiter*innen schließen sich über Landesgrenzen hinweg zusammen, um den tückischen Taktiken von Big Tech entgegenzutreten, die darauf abzielen, Arbeiter:innen gegeneinander auszuspielen und sich ihrer rechtlichen Verantwortung zu entziehen.“
In den nächsten Jahren gehe es darum, etablierte Gewerkschaften und politische Vertreter:innen zu gewinnen, „damit sie diesen Kampf endlich unterstützen“, so die beiden Organisatorinnen. Dass das notwendig ist, zeigt auch Kritik der Arbeiter:innen vor Ort.
„Weil die Gewerkschaften sich nicht an unseren neuen Sektor angepasst haben, gibt es nichts, was sie für uns tun können, wofür wir nicht als Betriebsrat selbst kämpfen könnten“, sagte eine Person. Zu häufig würden Gewerkschaften Beschäftigte nur als Zahlen sehen. So sei es in der Vergangenheit vorgekommen, dass die deutsche Gewerkschaft ver.di Moderator:innen als Callcenter-Agenten dargestellt habe. „Das ist falsch und verschafft uns nicht die Anerkennung, die wir verdienen.“
Gemeinsamer Kampf für bessere Bedingungen
Anerkennung für ihre Leistungen ist schon lange ein großes Thema für die Arbeitskräfte, die oft lapidar als „Klickarbeiter:innen“ bezeichnet werden. Tatsächlich aber braucht es für viele ihrer Tätigkeiten intensives Training – ohne ihre Arbeit würden heute weder KI-Anwendungen noch Soziale Medien funktionieren. Zu ihrer Vision der kollektiven Emanzipation gehöre es, „unsere Arbeit als qualifizierte Arbeit anzuerkennen“, sagt deshalb eine:r der Arbeiter:innen. Außerdem müsse man Druck auf Arbeitgeber ausüben, damit sie betroffenen Arbeitnehmern angemessene psychologische Unterstützung bieten und diese auch bezahlen.
„Was wir brauchen, ist eine solide, transnationale und branchenübergreifende Vernetzung der Arbeitnehmer:innen in Form einer neuen repräsentativen Gewerkschaft“, sagte eine andere Person vor Ort. Daran wollen gemeinsam mit den Arbeiter:innen auch Kloiber und Miceli in den kommenden Jahren arbeiten. Außerdem wollen sie gemeinsam Anforderungen an ein maßgeschneidertes Mental-Health-Programm entwickeln und Wissenstransfer rund um Arbeitskämpfe verbessern.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Maximilian von Grafenstein ist Professor für „Digitale Selbstbestimmung“ und hat mit seinem Team den ersten Einwilligungs-Agenten Deutschlands entwickelt. Das Tool namens „Consenter“ soll Nutzer:innen die Entscheidungsmacht im Datenschutz zurückgeben. In der neuen Folge versucht er, uns von dem Dienst zu überzeugen.
Gesprächspartner bei On The Record: Maximilian von Grafenstein
In der neuen Folge „On The Record“ spreche ich mit Maximilian von Grafenstein. Er ist Jurist, Historiker, Professor für „Digitale Selbstbestimmung“ an der Universität der Künste in Berlin und Teil des Einstein Center for Digital Future. Zusammen mit einem Team hat er in jahrelanger Forschung ein Tool entwickelt, von dem er sagt, dass es die Cookie-Krise lösen kann.
Denn hinter den nervigen Bannern auf Online-Websites steht ein Grundproblem der Datenschutzgrundverordnung: Das Instrument der informierten Einwilligung soll Nutzer:innen eigentlich informationelle Selbstbestimmung ermöglichen, doch es ist zur Farce verkommen. Die Browser-Erweiterung „Consenter“ soll das ändern. Sie ist ein sogenannter Einwilligungsdienst, der Nutzer:innen zu ihrem Recht verhelfen soll. Einfach, übersichtlich und gut informiert sollen Menschen damit entscheiden können, wem sie im Netz für welche Zwecke ihre Einwilligung geben – und wem nicht.
Ich bin skeptisch, dass das funktionieren kann. Aber ich bin auch neugierig, dass da jemand die Datenschutzgrundverordnung ernst nimmt und dabei auch noch verspricht, dass davon nicht nur Nutzer:innen, sondern auch Unternehmen profitieren würden. Im Podcast stellt Maximilian von Grafenstein „Consenter“ vor, wir diskutieren aber auch über Grundfragen der Datenschutzpolitik.
Übrigens: Das „Consenter“-Team sucht Website-Betreiber:innen – idealerweise mit einer größeren Nutzerschaft – die sich an einem Beta-Test des Tools beteiligen. Interessierte können sich per E-Mail an Maximilian von Gafenstein wenden: max.grafenstein@law-innovation.tech
So sieht Consenter aus - Alle Rechte vorbehalten UDK Berlin
Bei unserem Podcast „Off/On“ wechseln sich zwei Formate ab: Bei „Off The Record“ führen wir euch in den Maschinenraum von netzpolitik.org und erzählen Hintergründe zu unserer Arbeit. Bei „On The Record“ interviewen wir Menschen, die unsere digitale Gesellschaft prägen.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: in dem Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso bei Apple Podcasts, Spotify und Deezer oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast.
Wie immer freuen wir uns über Kritik, Lob und Ideen, entweder hier in den Kommentaren oder per Mail an podcast@netzpolitik.org.
Links und Infos
Projektwebsite des Einwilligungsdienstes „Consenter“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Vor einem Jahr erhielten wir einen Datensatz mit Milliarden Handy-Standortdaten aus Deutschland, vermittelt über einen Berliner Datenmarktplatz. Politiker*innen warnten vor einer Gefahr für die nationale Sicherheit. Neue Recherchen zeigen, wie der Marktplatz dem Geschäft weiter eine Plattform bietet.
Exakte Standortdaten von Millionen Handys weltweit lassen sich einfach online kaufen. Datenhändler verschleudern sie sogar als Gratis-Kostprobe. Bereits diese kostenlosen Datensätze sind so umfangreich, dass sich damit Massenüberwachung betreiben lässt. Das haben unsere bisherigen Recherchen zu den Databroker Files mit dem Bayerischen Rundfunk gezeigt. Aus den Daten lassen sich teils detaillierte Bewegungsprofile ablesen, sogar von Soldat*innen oder Politiker*innen.
Wer Kontakt zu Händlern, also Databrokern sucht, wird auf dem Online-Marktplatz eines Berliner Unternehmens fündig: Datarade.ai. Der Marktplatz verkauft die Daten zwar nicht selbst, verkuppelt aber Anbieter und Interessierte. Das funktioniert ähnlich wie Amazon, nur eben für Datensätze. Für erfolgreiche Deals streicht der Marktplatz eine Provision ein.
Vermittelt über Datarade haben nicht nur wir sensible Handy-Standortdaten von Databrokern erhalten, sondern auch Journalist*innen aus den Niederlanden, der Schweiz und Belgien, und zwar unabhängig voneinander. Das hat im Jahr 2023 geklappt, im Jahr 2024 – und trotz der kritischen Berichterstattung in zahlreichen Medien war es auch noch 2025 möglich.
Das Problem: Der Handel mit derart detaillierten Handy-Standortdaten ist nach Einschätzung von Fachleuten nicht mit der Datenschutzgrundverordnung (DSGVO) vereinbar. Zudem haben Bundestagsabgeordnete wie Konstantin von Notz (Grüne) oder Roderich Kiesewetter (CDU) bereits vergangenes Jahr vor einer Gefahr für die nationale Sicherheit gewarnt.
Datarade wollte „alle zumutbaren Anstrengungen“ unternehmen
Und was tut Datarade? Noch vor gut einem Jahr hatte uns der Berliner Marktplatz mitgeteilt, man nehme die von unseren Recherchen ausgelösten, öffentlichen Bedenken „sehr ernst“. Die Angebote auf der Plattform prüfe das Unternehmen zwar nicht einzeln. „Eine Verpflichtung zur proaktiven Sichtung sämtlicher Inhalte auf mögliche Rechtsverletzungen ist weder praktisch möglich noch gesetzlich geboten.“ Dennoch unternehme Datarade „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
Ein Jahr später haben wir uns nochmal auf dem Marktplatz umgeschaut. Unsere neue Recherche weckt Zweifel daran, dass Datarade „alle zumutbaren Anstrengungen“ unternimmt. So preiste Datarade in einem eigenen, redaktionellen Beitrag selbst Handy-Standortdaten an, schrieb über die daraus ablesbaren, sehr genauen Bewegungsmuster – und empfahl passende Händler. Als wir per Presseanfrage mehr zu der Seite erfahren wollten, wurde sie offline genommen.
Bereits 2024 warnte die damals kurz vor ihrem Amtsantritt stehende Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider, vor einer Regulierungslücke. Auch die zuständige Berliner Datenschutzbeauftragte sah ein Problem: Solange ein Marktplatz die Daten nicht selbst verarbeitet, sondern nur Kontakte zwischen Käufern und Verkäufern herstellt, habe sie keine Handhabe. Verantwortlich nach der DSGVO sei nur jemand, der selbst auch Daten verarbeitet.
Unter Datenschützer*innen gibt es in dieser Frage keine Einigkeit. Das Netzwerk Datenschutzexpertise etwa kam in einem Gutachten aus dem Frühjahr 2025 zu dem Schluss, dass die DSGVO hier sehr wohl anwendbar sei. Um verantwortlich zu sein, müsse ein Datenmarktplatz nicht notwendigerweise selbst in Besitz der Daten sein. Oft sei der Handel mit personenbezogenen Daten sogar strafbar, weshalb nicht nur Datenschutzbehörden, sondern auch Staatsanwaltschaften handeln müssten.
Passiert ist so etwas bisher nicht. Auf Datarade preisen Händler weiterhin ihre Handy-Standortdaten an. In Datarade selbst steckt sogar Geld vom deutschen Staat, und zwar mehr als bisher angenommen. Dazu später mehr.
Auf Anfrage entfernte Datarade Angebote für Handystandortdaten
Nach unseren Veröffentlichungen im Jahr 2024 hatte Datarade ein Angebot für Handystandortdaten des US-Datenhändler Datastream Group offline genommen. Hierzu schrieb das Unternehmen: „Vorsorglich haben wir die betreffenden Inhalte des Datenanbieters in Bezug auf Standortdaten von unserer Plattform entfernt, bis weitere Erkenntnisse in der Angelegenheit vorliegen.“
Davon unberührt waren jedoch ähnliche Angebote von anderen Datenhändlern. Auch nach Veröffentlichung der Recherchen präsentierte Datarade Angebote von ähnlichen Datensätzen. Suchte man etwa Anfang September dieses Jahres auf Datarade nach Angeboten mit Geo-Koordinaten und mobilen Werbe-IDs, erhielt man rund 50 Ergebnisse. Grenzte man die Suche weiter ein auf Daten aus Deutschland, waren es noch 15 Treffer.
Über ein Online-Formular können Nutzer*innen verdächtige Inhalte melden. Genau das haben wir ausprobiert. Für eine solche Meldung müssen Nutzer*innen Namen und E-Mail-Adresse angeben. Um das Ergebnis nicht zu verfälschen, hat ein Kollege ohne erkennbare Verbindung zu netzpolitik.org diese Meldungen vorgenommen. Es handelte sich um insgesamt fünf Angebote von Handystandortdaten aus Deutschland oder der EU. Das Ergebnis: Die Angebote waren weniger als zwei Wochen nach Eingang der Meldungen offline.
Auf Presseanfrage teilt Datarade mit: „Die Produkt-Listungen wurden vorsorglich offline genommen, um den Hinweisen nachzugehen.“ Man gebe den Anbietern nun die Möglichkeit, Stellung zu beziehen.
So preist Datarade selbst Handy-Standortdaten an
Hatte Datarade vor unseren Meldungen wirklich keine Kenntnis über diese Angebote? Zumindest einen Überblick dürfte Datarade gehabt haben. Es gab nämlich die bereits erwähnte von Datarade selbst bereitgestellte Infoseite mit dem Titel „Was sind Handy-Standortdaten“ (im Original: „What is Mobile Location Data?“), die nach unserer Presseanfrage offline genommen wurde.
Auf dieser Seite beschrieb ein Datarade-Mitarbeiter im Detail, wie solche Datensätze aufgebaut sind: mit GPS-Koordinaten und individueller Werbe-ID, der sogenannten MAID („mobile advertising ID“). Vorschaufenster auf der Seite präsentieren mehrere passende Angebote von Datenhändlern, etwa als „Ausgewählte Datensets“. Anhand kleiner Flaggen-Emojis in den Angeboten ließ sich ablesen, woher die Daten kommen, auch mehrere Deutschland-Flaggen waren zu sehen.
Übersetzt aus dem Englischen stand auf der Infoseite, viele Datensätze böten eine hohe GPS-Genauigkeit, „wodurch sichergestellt wird, dass die von Ihnen erhaltenen Daten den realen Standorten und Bewegungsmustern sehr genau entsprechen“. Einige Datensätze würden sogar eine Präzision von unter 19 Metern erreichen, „was besonders nützlich sein kann, wenn Sie sehr detaillierte Einblicke benötigen“.
An einer anderen Stelle der Infoseite hieß es: „Manche Menschen fühlen sich möglicherweise unwohl dabei, wenn ihre Standortdaten gesammelt und für kommerzielle Zwecke verwendet werden.“ Das ist korrekt, wie die Reaktionen auf unsere Recherchen zeigen. Eine Betroffene sagte zum Beispiel im Gespräch mit netzpolitik.org:
Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist.
Und der Bundestagsabgeordnete Konstantin von Notz (Grüne) sagte 2024 mit Blick auf den Handel mit Handy-Standortdaten: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden.“ Dass etwas passieren müsse, stehe für ihn völlig außer Frage. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“
Warum Handel mit Standortdaten fast immer DSGVO-widrig ist
Auf potenzielle Bedenken beim Handel von Handy-Standortdaten ging die Datarade-Infoseite selbst ein. Dort hieß es auf Englisch:
Es gibt mehrere verbreitete Missverständnisse über mobile Standortdaten, darunter die Annahme, dass sie immer genau seien und dass man damit Personen ohne deren Wissen oder Zustimmung verfolgen könne. In Wirklichkeit kann die Genauigkeit mobiler Standortdaten je nach Qualität der Datenquelle und der verwendeten Technologie variieren. Darüber hinaus ist das Sammeln und Nutzen von Standortdaten ohne Zustimmung sowohl illegal als auch unethisch.
Drei Aspekte an diesem Zitat verdienen besondere Aufmerksamkeit: Es ist erstens korrekt, dass Handy-Standortdaten nicht immer genau sind. Unsere Recherchen haben gezeigt, dass Händler auch ungenaue Standortdaten verbreiten.
Es ist zweitens allerdings kein „Missverständnis“, dass sich mit diesen Daten „Personen ohne deren Wissen oder Zustimmung verfolgen“ lassen. Gemeinsam mit unseren Recherche-Partnern konnten wir in mehreren Fällen sogar Angehörige von Geheimdiensten und Regierungen vom Arbeitsplatz bis hin zu ihren Privatwohnungen tracken. Die Kolleg*innen aus Norwegen konnten sogar einen verdutzten Grindr-Nutzer zuhause besuchen, der nicht geoutet werden wollte.
Mehrere Betroffene sagten uns im Gespräch, ihnen sei nicht bewusst, einer solchen Art von Tracking zugestimmt zu haben. Zum Beispiel Hedi aus Bayern, die sagte:
Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.
Drittens ist der Handel mit Standortdaten nach Ansicht von Datenschutzbehörden und anderen Fachleuten oftmals selbst mit Einwilligung nicht von der DSGVO gedeckt. So werden die Daten zum einen oft angeblich nur für Werbezwecke erhoben; der Handel stellt also eine verbotene Änderung des Verarbeitungszwecks dar. Zum anderen fehlt es an Transparenz, denn Menschen müssten bei der Einwilligung umfassend informiert werden, an wen Händler Daten weitergeben. Deshalb sind die Einwilligungen oft unwirksam.
Hinzu kommt, dass sich aus Standortdaten oft sensible Informationen ableiten lassen, zum Beispiel über Besuche in spezialisierten Kliniken, bei Parteien und Gewerkschaften oder in religiösen Gebäuden. Solche Informationen sind durch die DSGVO besonders geschützt.
Die Beobachtungen auf dem Marktplatz Datarade werfen Fragen auf. Wieso hat die Plattform auf einer selbst verfassten Infoseite Angebote mit GPS-Daten angepriesen, die realen „Bewegungsmustern sehr genau entsprechen“ – nahm solche Angebote allerdings nach der Meldung durch einen Nutzer wieder offline?
Wir haben Datarade per Presseanfrage auf die Infoseite angesprochen. Wenig später war sie offline. „Wir nehmen Ihren Hinweis zum Anlass, die Kategorie-Seite redaktionell zu überprüfen und vorsorglich offline zu nehmen“, teilt das Unternehmen mit.
Diese Anstrengungen unternimmt Datarade nach eigenen Angaben
Datarade legt Wert darauf, zu betonen, selbst kein Datenanbieter zu sein, „sondern ein Verzeichnis von Datenanbietern und deren Produktkatalogen“. Weiter schreibt die Pressestelle auf unsere Fragen: „Datarade verurteilt jedweden rechtswidrigen Handel mit Daten und setzt sich für einen rechtskonformen Austausch von Daten ein.“
Demnach dürften sich auf Datarade nur registrierte Unternehmen anmelden. Anbieter würden sich vertraglich dazu verpflichten, nur rechtskonforme „Inhalte auf Datarade zu veröffentlichen“. Sie würden „angehalten“, ihre Datenschutz-Richtlinien zu verlinken und die Konformität mit Datenschutzbestimmungen zu bestätigen. Auf jeder Produktseite gebe es einen Link zum Melden von Inhalten; den Meldungen gehe man dem Digitale-Dienste-Gesetz entsprechend nach.
Wir wollten wissen, in welchem Ausmaß Datarade am mutmaßlich illegalen Geschäft mit Handy-Standortdaten mitverdient. Genauer gesagt: Wie viel Provision Datarade in den letzten drei Jahren durch über den Marktplatz vermittelte Deals mit Handy-Standortdaten erhalten hat. Diese Frage hat uns das Unternehmen nicht beantwortet. Stattdessen verwies die Pressestelle auf den allgemein gehaltenen Jahresabschluss, nach dem wir nicht gefragt hatten.
Zum Zeitpunkt der Veröffentlichung dieser Recherche gibt es auf Datarade noch immer mehrereAngebote für Handy-Standortdaten, die mit individuellen Werbe-IDs verknüpft sind. Sie lassen sich kinderleicht über die Suchfunktion auf der Plattform finden. Damit Datarade sie offline nimmt, müsste sie wohl erst jemand von außerhalb aktiv melden – und den Marktplatz regelmäßig auf neue Angebote prüfen.
Wir erinnern uns: Datarade unternimmt nach eigener Aussage „alle zumutbaren Anstrengungen, um rechtswidrige Inhalte auf der Plattform von Vornherein zu verhindern“.
So will Datarade neue Händler auf den Marktplatz locken
Im Zuge unserer Recherchen hatten wir uns auch selbst als potenzieller Anbieter für Ortsdaten bei Datarade registriert. Dafür haben wir eine E-Mail-Adresse mit Pseudonym genutzt – und nichts weiter unternommen. Seitdem erhalten wir regelmäßig E-Mails von Datarade. Daraus lässt sich ableiten, welche Mühen die Plattform unternimmt, um aktiv neue Datenhändler für sich zu gewinnen.
Mehrfach versuchte Datarade etwa, ein persönliches Gespräch mit uns – dem vermeintlich neuen Händler – zu vereinbaren. „Lass mich wissen, wenn du Daten zum Verkauf hast, dann können wir darüber nachdenken, sie auf den größten Datenmarktplätzen zu monetarisieren“, hieß es auf Englisch.
Es folgten weitere E-Mails von Datarade. Darunter eine, die versuchte, uns mit der Aussicht auf Umsatz zu locken. Demnach sollten wir lernen, wie ein anderer Anbieter von Standortdaten „Kunden in neuen Märkten erreicht hat“. Das Marktvolumen, also der Umsatz aller Akteur*innen am Markt, liege demnach bei 93 Millionen Euro.
Auch Tutorials erreichten uns. Sie handelten davon, wie wir unser Angebot für Datarade optimieren können. Demnach sollten wir unseren Produktkatalog per ChatGPT ausformulieren lassen. Einen passenden Prompt lieferte die Plattform gleich mit. Auf unserem Anbieterprofil sollte der Hinweis auf DSGVO-Compliance nicht fehlen, riet ein anderes Tutorial.
In den Datenmarktplatz floss mehr Steuergeld als bisher angenommen
Bereits 2024 konnten wir berichten, dass in Datarade auch Steuergeld steckt. Inzwischen wissen wir: Es ist noch mehr Geld als bisher bekannt.
Zunächst hatte der Datenmarktplatz im Jahr 2019 ein Investment in Höhe von einer Million Euro aus dem „High-Tech Gründerfonds“ (HTGF) erhalten. Das ist ein zentrales Instrument der deutschen Start-up-Förderung. Mehr als die Hälfte des 320 Millionen Euro schweren Fonds stammt vom Bundeswirtschaftsministerium, 170 Millionen Euro.
Darüber hinaus schoss der HTGF allerdings vier Jahre später weitere knapp 500.000 Euro in das Unternehmen. Der Anlass war eine Runde zur Anschlussfinanzierung. Das geht aus einer Antwort des Wirtschaftsministeriums auf eine parlamentarische Anfrage der damaligen Linken-Abgeordneten Martina Renner aus dem Jahr 2024 hervor.
Wir haben das Dokument mit einer Anfrage nach dem Informationsfreiheitsgesetz (IFG) erhalten, jedoch zunächst in einer fast vollständig geschwärzten Variante. Das Wirtschaftsministerium hatte die Antwort des damaligen Staatssekretärs als „Verschlusssache – Nur für den Dienstgebrauch“ eingestuft. Erst nachdem wir Widerspruch gegen die Entscheidung eingelegt hatten, gab das Ministerium die Antwort für die Öffentlichkeit frei.
Das Ministerium betont darin erneut, dass es „auf die Investmententscheidungen des HTGF keinen Einfluss“ nehme. Jedoch seien „Investitionen in Unternehmen, die Aktivitäten in Verbindung mit Cybercrime verfolgen“, gemäß „der Ausschlussliste des HTGF ausgeschlossen.“ Als solche könne das Geschäftsmodell von Datarade nicht betrachtet werden, da die Plattform lediglich Kontakte zwischen Datenanbietern und Interessierten herstelle. „Das Zustandekommen eines Vertrags und der Austausch von Daten läuft grundsätzlich vollständig außerhalb der Plattform.“
SPD sieht „erheblichen Handlungsbedarf“, CDU bleibt unkonkret
Wie viel Verantwortung sollen Datenmarktplätze dafür tragen, wenn Datenhändler dort die Standortdaten von Millionen Menschen verschleudern? Einen Vorschlag hierzu hatte die heutige Bundesdatenschutzbeauftragte bereits im vergangen Jahr: Der deutsche Gesetzgeber könnte die Reform des Bundesdatenschutzgesetzes nutzen, um das Geschäft von Datenmarktplätzen zu regeln. Die Reform war zunächst für 2024 geplant gewesen, fiel aber dem vorzeitigen Aus der Ampel-Koalition zum Opfer.
Auch die neue Koalition aus Union und SPD will den Datenschutz reformieren. Im Fokus stand zwar bisher ein Rückbau von Regulierung – aber gerade bei Datenmarktplätzen sehen Politiker*innen mehrerer Parteien Probleme.
„Auch wenn im Koalitionsvertrag keine konkrete Aussage dazu vereinbart wurde, so sehen wir mit Blick auf die Databroker-Files-Recherchen nicht allein aus datenschutzrechtlicher Sicht, sondern auch aus sicherheitspolitischer Perspektive erheblichen Handlungsbedarf“, schreibt uns etwa Johannes Schätzl, der digitalpolitische Sprecher der SPD-Fraktion im Bundestag. Er werde „diese Thematik in den anstehenden Verhandlungen selbstverständlich auch ansprechen und konkrete Vorschläge einbringen“. Es sei allerdings noch offen, ob es in der Koalition eine Zustimmung für entsprechende Gesetzesänderungen gibt.
Der Koalitionspartner, die Union, hält sich auf Anfrage von netzpoiltik.org bedeckt. Ralph Brinkhaus, Sprecher für Digitalisierung und Staatsmodernisierung, lässt auf unsere sechs Fragen zur anstehenden Datenschutzreform lediglich verlauten: „Wir arbeiten an den von Ihnen genannten Punkten.“
Grüne und Linke machen Druck
Die Grünen-Digitalpolitiker Lukas Benner und Konstantin von Notz sehen im fehlenden Plan der Regierungskoalition beim Datenhandel ein Beispiel für deren Datenschutzpolitik. Während Union und SPD sich „verfassungsrechtlich hochumstrittene Vorhaben“ wie die Wiedereinführung der Vorratsdatenspeicherung vorgenommen hätten, fehle auf ihrer Agenda die Lösung der „anhaltenden und zunehmenden Problematik der Databroker“.
Die grüne Bundestagsfraktion halte „eine gesetzliche Einschränkung dieser Praktiken für dringend geboten – übrigens auch mit Blick auf den Schutz unserer Sicherheitsbehörden und ihrer Mitarbeiterinnen und Mitarbeiter“. Das Innenministerium müsse sich endlich der Thematik widmen.
Grundsätzlicher wird bei dem Thema Donata Vogtschmidt, digitalpolitische Sprecherin der Linkspartei. Sie wolle „Geschäftsmodellen, die auf personalisierter Onlinewerbung basieren, insgesamt den Kampf ansagen“. Vogtschmidts Vorschlag, um das Problem an der Wurzel zu lösen: Im Gesetz über digitale Dienste (DSA) der Europäischen Union ist bereits ein Verbot personalisierter Werbung für Minderjährige vorgesehen. Dieses Verbot sollte auf alle Nutzenden ausgeweitet werden, denn „so ließe sich kommerzieller Datenhandel wirklich eindämmen“.
Unterdessen könnte auch die EU aktiv werden. Sie will mit dem kommenden Digital Fairness Act Lücken für Verbraucher*innen im Netz schließen. Bis 24. Oktober können Interessierte Ideen einreichen, in welchen Bereichen sie Handlungsbedarf sehen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Die 25. Kalenderwoche geht zu Ende. Wir haben 18 neue Texte mit insgesamt 129.462 Zeichen veröffentlicht. Willkommen zum netzpolitischen Wochenrückblick.
– Fraktal, generiert mit MandelBrowser von Tomasz Śmigielski
Liebe Leser:innen,
netzpolitik.org wirkt! Diesen Satz schreiben wir häufig, wenn unsere Arbeit zu greifbaren Ergebnissen führt. Es ist ein Satz, den wir gerne schreiben. Wir wollen mit unserem Journalismus nicht nur aufklären, aufdecken und anprangern, sondern auch Verbesserungen bewirken. Gerade weil sich unsere Arbeit manchmal wie ein Kampf gegen übermächtige Gegner anfühlt, habe ich mich in dieser Woche über zwei Erfolgsmeldungen im Datenschutzbereich gefreut.
Nummer eins: Die Berliner Datenschutzbehörde stattete einer Werbe- und Datenbude einen Besuch ab, deren Geschäft wir 2023 mit unserer Xandr-Recherche in den Fokus rückten. Die Firma analysiert die Aufenthaltsorte von Menschen, um daraus vermarktbares Wissen für Werbekund:innen zu generieren. Und sie ermöglichte offenbar Werbebetreibenden das Targeting mit so charmanten Kategorien wie „Fragile Senioren“ oder „Familien in Schwierigkeiten“.
Wie die Datenschutzbehörde bei ihrer Vor-Ort-Kontrolle feststellte, fehlten dazu in vielen Fälle gültige Einwilligungen. Auf das Problem weisen wir bei netzpolitik.org immer wieder hin: Die Einwilligung, die Bürger:innen eigentlich informationelle Selbstbestimmung ermöglichen sollte, ist zum Datenschutz-Feigenblatt verkommen. Jetzt gibt es endlich Konsequenzen. Erstmal nur für eine Firma, irgendwann wird das Problem hoffentlich auch politisch angegangen.
Mit Beharrlichkeit machen wir Fortschritte
Nummer zwei: Wetter Online kann jetzt Auskunftsanfragen nach der Datenschutzgrundverordnung beantworten und dabei Datenkopien herausgeben. Im Rahmen unserer Databroker-Files-Recherchen hatte ich bei der mehr als 100 Millionen mal heruntergeladenen Wetter-App eine solche Anfrage gestellt. Eine Kopie der mich betreffenden Daten wollte mir das Unternehmen nicht aushändigen – weil das zu aufwendig sei.
Ich hatte deshalb gemeinsam mit der Datenschutzorganisation noyb Beschwerde über Wetter Online bei der Datenschutzbeauftragten Nordrhein-Westfalen eingelegt. Und siehe da: Inzwischen habe ich eine Datenkopie erhalten. In Zukunft versucht das Unternehmen hoffentlich nicht mehr, Bürger:innen, die ihre Rechte einfordern, mit dem Verweis auf den Aufwand abzuwimmeln.
Auch hier ist das Ende der Geschichte noch nicht erreicht, denn die Auskunft lässt einige Fragen offen. Auch die große Frage ist noch nicht abschließend geklärt: Wie kann es eigentlich sein, dass genaueste Standortdaten von Nutzer:innen der App bei einem US-Datenhändler landeten und dann über einen Berliner Datenmarktplatz auch bei uns? Aber immerhin: Wenn wir lange genug Druck machen, dann tut sich etwas. Wir bleiben weiter dran.
Jetzt erst Recht: WhatsApp löschen
Falls ihr selbst ganz konkret etwas für mehr Datenschutz tun wollt und keine Lust auf den Ärger mit einer Datenauskunft habt, dann hat Meta euch in dieser Woche übrigens eine gute Gelegenheit serviert. Denn der Konzern, der im vergangenen Jahr 62 Milliarden US-Dollar Gewinn gemacht hat, bringt personalisierte Werbung in den Messenger WhatsApp.
Werbung bei WhatsApp – dieser Schritt war schon mehrfach angekündigt. Immer wieder vertagte Mark Zuckerberg die Einführung, vermutlich aus Sorge, dass ihm dann noch mehr Nutzer:innen davonlaufen. Dass er den Schritt nun geht, zeigt einmal mehr, dass er denkt, er kann alles mit seinen Nutzer:innen machen.
Deshalb empfehle ich als gute Tat der Woche: Löscht WhatsApp. Oder, falls ihr das nicht schon gemacht habt, teilt den Artikel meines Kollegen Sebastian mit Menschen, die immer noch bei WhatsApp sind. Er hat ein paar gute Argumente für den Abschied aufgeschrieben und gibt Tipps, wie man andere vom gemeinsamen Wechsel zu besseren Alternativen überzeugen kann.
Also: Lasst uns nicht aufgeben. Wir haben’s im wahrsten Sinne des Wortes manchmal selbst in der Hand, für Veränderung zu sorgen.
Euer Ingo
Offener Brief: Dobrindt soll Verschlüsselung schützen
Der neue Innenminister Alexander Dobrindt hat bislang keine Position zur umstrittenen Chatkontrolle bezogen, die sichere und private Kommunikation unmöglich machen würde. Digital- und Bürgerrechtsorganisationen appellieren nun an ihn, bei Deutschlands bisheriger Blockade im EU-Rat zu bleiben. Von Markus Reuter – Artikel lesen
Messenger-Update: Auf WhatsApp läuft künftig personalisierte Werbung
WhatsApp, die Messenger-App von Mark Zuckerbergs Meta, zeigt künftig personalisierte Werbung an. Die Anzeigen sollen auch auf Daten von Facebook und Instagram basieren. Die Datenschutzorganisation noyb kritisiert die Entscheidung. Von Martin Schwarzbeck – Artikel lesen
Nach unserer Berichterstattung: Datenschutzbehörde findet Verstöße bei Berliner Werbefirma
Die Berliner Datenschutzbehörde hat bei einer Werbe- und Datenfirma erhebliche Rechtsverstöße festgestellt. Nach Informationen von netzpolitik.org handelt es sich bei dem Unternehmen um Adsquare, dessen mutmaßliche Datenschutzverletzungen 2023 durch unsere Recherchen aufgedeckt wurden. Von Ingo Dachwitz – Artikel lesen
US-Verfassungsrechtler Anthony Kreis: Trump setzt auf „strategisches Chaos“
Der US-Präsident will immer mehr wie ein König regieren. Das wollen sich weite Teile des Landes nicht gefallen lassen. Sie reagieren mit Widerstand gegen seine autoritäre Politik. Wir haben den US-Verfassungsrechtler Anthony Kreis zum Zustand der Demokratie in den Vereinigten Staaten befragt. Von Markus Reuter, Tomas Rudl – Artikel lesen
Constitutional law professor Anthony Kreis: Trump wants ‘strategic chaos’ to dismantle institutions
U.S. President Donald Trump is increasingly behaving like a monarch. But across the United States, resistance is growing. We spoke with constitutional law professor Anthony Michael Kreis about the state of American democracy and whether it can withstand the pressure. Von Markus Reuter, Tomas Rudl – Artikel lesen
Bitte keine Werbung: Lass uns jetzt gemeinsam WhatsApp verlassen
WhatsApp bricht ein jahreslanges Versprechen. Der weltgrößte Messenger bekommt Werbung. Und das ist nur einer von vielen guten Gründen gegen WhatsApp. Schicke diesen Artikel an deine Kontakte, um gemeinsam zu einem besseren Messenger zu wechseln. Von Sebastian Meineck – Artikel lesen
Polizei und Gesichtserkennung: Damit müssen Menschen auf der Pride in Budapest rechnen
In Budapest kämpfen die Veranstalter*innen für die alljährliche Pride-Parade. Sie wollen trotz Verbot durch die Innenstadt ziehen. Die Regierung droht Teilnehmer*innen mit Gesichtserkennung und Strafen. Wie funktioniert das System, mit dem Viktor Orbán queere Menschen einschüchtern will? Von Chris Köver – Artikel lesen
Proteste in Serbien: Neue Untersuchung geht von Schall-Angriff auf Demonstration aus
Ein bislang unbekannter Effekt hatte im März eine Großdemonstration in Belgrad in der Mitte geteilt und weltweit für Aufsehen und Empörung gesorgt. Eine neue Untersuchung hält es für wahrscheinlich, dass eine gerichtete Schallwaffe vom Typ LRAD gegen Demonstrierende eingesetzt wurde. Von Markus Reuter – Artikel lesen
Am Ende des Jahrzehnts sollen EU-weit Glasfasern verlegt und viele Behördengänge digital möglich sein. In Deutschland geht es der EU-Kommission nicht schnell genug. Der diesjährige Zwischenbericht zur „Digitalen Dekade“ zeigt auf, wie wir hierzulande noch immer hinterherhinken. Von Christoph Bock – Artikel lesen
CSAM: Ministerien verrühren „Löschen statt Sperren“ mit Vorratsdatenspeicherung
Pädokriminelle Inhalte werden weiterhin schnell von Servern gelöscht, wenn denn die Polizei diese bei den Providern meldet. Doch statt sich eingehender mit dieser Erfolgsstatistik zu befassen, fordern die zuständigen Ministerien, mehr anlasslose Massenüberwachung einzuführen. Von Markus Reuter – Artikel lesen
Staatstrojaner und Registrierungspflicht: Was die Regierung in Österreich plant
Nach dem Amoklauf in Graz hat die österreichische Regierung sich auf einen Gesetzentwurf für Staatstrojaner geeinigt. Außerdem steht eine Registrierungspflicht für soziale Medien im Raum. Bürgerrechtsorganisationen fürchten, dass Grundrechte verletzt werden. Von Anna Biselli – Artikel lesen
Berliner Datenschutzbehörde prüft: Immobilienplattform trainierte heimlich KI-Modell mit Kundenmails
Eine Berliner Immobilienplattform hat mit Nachrichten ihrer Kund*innen ein KI-Modell trainiert – ohne das offenzulegen. Die Berliner Datenschutzbehörde prüft den Fall. Der Marktführer ImmoScout24 setzt seit längerem auf KI und hat inzwischen seine Datenschutzerklärung angepasst. Von Chris Köver – Artikel lesen
Open Internet Stack: Die vagen Open-Source-Pläne der EU-Kommission
Ein internes Papier gibt Hinweise auf die EU-Politik für Open Source in den kommenden Jahren. Ein schon etabliertes Förderprogramm soll unter einem neuen Namen weiterlaufen, mit Fokus auf Kommerzialisierung. Die Kommission soll sich auch für mehr Open Source in der Verwaltung einsetzen – und über eine eigene Rechtsform nachdenken. Viele Fragen bleiben offen. Von Maximilian Henning – Artikel lesen
Open Internet Stack: The EU Commission’s vague plans for open source
An internal paper gives some clues about the EU Commission’s plans for open source policy in the future. An existing funding programme will continue under a new name and re-focus on commercial value. The document calls on the Commission to support open source in public administrations – and think about a new legal form. Many questions remain open. Von Maximilian Henning – Artikel lesen
Klarnamenpflicht: Wir alle brauchen anonyme Orte im Netz
Die Forderung nach einer Klarnamenpflicht im Netz hat wieder Konjunktur. Dabei ist sie brandgefährlich für gleich mehrere Grundrechte. In einer Demokratie brauchen wir Orte, an denen wir wirklich frei kommunizieren können. Ein Kommentar. Von Markus Reuter – Artikel lesen
Zahlreiche Kreisverbände der Grünen Jugend, der Linken sowie die Partei der Humanisten haben den Zugang zu ihren Instagram-Accounts verloren. Die Betroffenen können sich nicht erklären, warum. Der Versuch der Aufklärung ist eine kafkaeske Mission. Von Martin Schwarzbeck – Artikel lesen
Databroker Files: Wetter Online lässt Daten tröpfeln
Wir haben Post von Wetter Online: endlich. Nach einer Beschwerde und vielen Monaten Verzögerung soll nun eine Tabelle Auskunft darüber geben, welche Standortdaten zu einem Redakteur aus dem Recherche-Team vorliegen. Doch das Dokument lässt Fragen offen. Von Ingo Dachwitz, Sebastian Meineck – Artikel lesen
Repaircafés: Das ist doch noch gut!
In Repaircafés reparieren Ehrenamtliche defekte Dinge. Sie basteln damit an einer Alternative zur Wegwerfgesellschaft. Aber Repaircafés sind auch soziale Treffpunkte. Ein Besuch zeigt, wie der Wunsch, Müll zu vermeiden, Menschen zusammenführen kann. Von Lilly Pursch, Martin Schwarzbeck – Artikel lesen
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verkaufen die Handy-Standortdaten von Millionen Menschen weltweit. Zehntausende App sind betroffen, wie Veröffentlichungen von netzpolitik.org und Recherche-Partnern aus sechs Ländern zeigen. Das kannst du tun, um dich zu schützen.
Fachleute sprechen vom kompletten Kontrollverlust, Betroffene haben die Schnauze voll. Die Standortdaten von Millionen Handy-Nutzer*innen weltweit stehen zum Verkauf. Databroker sammeln sie in Multi-Milliarden-Paketen. Ja, sie verschenken sie sogar als Vorschau auf Bezahlabos. Das belegen unsere Recherchen zu den Databroker Files, die auf nationaler Ebene begannen und nun auch den weltweiten Handel beschreiben.
In unserem neuen Datensatz mit 380 Millionen Standortdaten aus 137 Ländern gibt es große Unterschiede in der Genauigkeit der Ortung: Viele der gehandelten Standortdaten haben eine Unschärfe von mehreren Kilometern. Andere sind auf den Meter genau. 2024 analysierten wird einen Datensatz mit 3,6 Milliarden hochgradig genauen Standortdaten allein aus Deutschland. Das kann offenbaren, wo eine Person wohnt und zur Arbeit geht, wo sie die Kinder zur Kita bringt, zur Psychotherapie geht oder ins Bordell.
Nicht nur Standortdaten kursieren. Viele weitere Daten können erfasst werden. Etwa, welches Handy man nutzt, welchen Netzbetreiber und welche Apps oder welche Websites man besucht hat. Auf dieser Grundlage wird man auch in Schubladen gesteckt, die einen beispielsweise als angebliche „fragile Senior*in“ outen sollen oder als „Shopping-versessene Mama“.
Wer das eigene Handy – wie die meisten Menschen – ohne besondere Sicherheitsmaßnahmen benutzt, ist mit hoher Wahrscheinlichkeit nach selbst betroffen. Denn über Apps und Website führen viele Wege in den Schlund der Databroker. Hier fassen wir einige simple Schritte zusammen, mit denen sich Handy-Nutzer*innen schützen können.
1. Mobile Advertising ID abschalten
Die „mobile advertising ID“ (MAID) ist eine Art Nummernschild. Die meisten Handys generieren diese Werbe-ID einfach im Hintergrund. Betroffen sind Geräte mit iOS, also Handys und Tablets von Apple, sowie die meisten handelsüblichen Handys mit Googles Betriebssystem Android.
Durch die Werbe-ID sind unsere Geräte – und damit auch wir – für die Werbeindustrie eindeutig wiedererkennbar. Oft steht die Werbe-ID dabei, wenn Apps unseren Standort an Datenhändler verraten oder personalisierte Werbung ausspielen.
Abschalten lässt sich diese Werbe-ID in den Systemeinstellungen. Der genaue Weg kann sich je nach Betriebssystem und dessen Version unterscheiden.
Für Google-basiertes Android: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung.
Für iOS: Einstellungen > Datenschutz > Tracking > Tracking für Apps verbieten.
2. Apps den Standort-Zugriff entziehen
Viele Apps möchten Zugriff auf den genauen Standort des Geräts haben. Wer sich vor dieser Form des Trackings schützen möchte, erlaubt das nicht. Oder nur in den wenigen Fällen, in denen man auf eine Ortung wirklich nicht verzichten möchte oder die App sie für ihre Kernfunktion benötigt. Etwa, wenn man sich von einer Navigations-Apps in Echtzeit den Weg zeigen lassen möchte.
Den meisten anderen Apps kann man den Zugriff auf Standortdaten getrost verwehren. Gelegentlich möchten etwa Wetter-Apps Zugriff auf den genauen Geräte-Standort haben. Notwendig ist das nicht. Oftmals kann man einfach eintippen, für welche Stadt man gerne das Wetter sehen möchte.
Den Standortzugriff prüfen und nachträglich ändern kann man in den Systemeinstellungen für jede einzelne App (Android / iOS).
3. Ortungs-Technologien abschalten
Der Standort eines Geräts kann über mehrere Quellen bestimmt werden, zum Beispiel GPS, Mobilfunk, Bluetooth oder WLAN. Wer das Tracking-Risiko senken möchte, schaltet davon nur ein, was wirklich gerade gebraucht wird.
4. Ortung via IP-Adresse eindämmen
Auch über die öffentliche IP-Adresse ist eine grobe Ortung möglich. Man bekommt sie über den Anbieter des Internet-Zugangs. Sie wird automatisch übermittelt, wenn man Apps und Websites nutzt und ist zur Kommunikation technisch notwendig. Auf den ersten Blick hat eine IP-Adresse keine direkte Verbindung zu einem Standort. Anders als beim Zugriff auf beispielsweise den GPS-Standort müssen Apps für die IP-Adresse auch nicht gesondert um Erlaubnis bitten.
Aber dennoch lassen sich aus IP-Adressen Standorte ableiten – und unsere Recherchen zeigen, dass genau das massenhaft geschieht. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer ist die Zuordnung korrekt, teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.
Um sich davor zu schützen, gibt es mehrere Möglichkeiten.
Mithilfe von VPN-Diensten lässt sich die tatsächliche IP-Adresse gegenüber Apps und Websites verschleiern. Sie sehen dann nur die IP-Adresse des VPN-Anbieters. Anderseits müsste man in diesem Szenario auch dem VPN-Anbieter vertrauen – der wiederum kann die tatsächliche, öffentliche IP-Adresse sehen.
Einen eher grundlegenden Ansatz verfolgen Tracking- und Werbeblocker, wie Datenschutzexperte Mike Kuketz auf seinem Blog erklärt. Mithilfe von Blocklisten verhindern sie, dass das eigene Gerät überhaupt erst eine Verbindung zu bekannten Trackingdiensten aufnimmt und dabei allerlei Daten übermittelt. Diese Blocklisten müssen jedoch regelmäßig aktualisiert werden und können lückenhaft sein. Teils sind händische Nachbesserungen notwendig, etwa gezielt für die Apps, die man nutzen möchte.
Auch auf Ebene von Browsern gibt es Tracking- und Werbeblocker. Diese Blocker sind aber nur auf besuchte Websites im Browser beschränkt. Sie betreffen also nicht das Tracking per Apps.
Durch spezielle DNS-Server lässt sich Tracking ebenso unterbinden. DNS ist einer der wichtigsten Dienste im Internet. Er übersetzt Domainnamen in IP-Adressen. Bei den Anti-Tracking-DNS-Servern gibt es zusätzlich Filterlisten. Auf den Listen stehen bekannte Adressen, die Nutzer*innen durch Tracking gefährden. Die Kommunikation mit diesen Adressen wird unterbunden. Hier gibt es ein Tutorial zur Einrichtung.
Schritt 5: Tracking ablehnen, wo es nur geht
Für Websites und Apps gilt, auch wenn es lästig ist: Cookie-Banner und ähnliche Tracking-Begehren konsequent ablehnen.
Oft sind die entsprechenden Abfragen aber bewusst unübersichtlich gestaltet – oder das Ablehnen von Tracking ist gar nicht möglich. Dann bleibt einem nur der Griff zu Alternativen.
6. Umsatteln auf Tracking-freie Alternativen
Viele Apps, Websites, Dienste und Plattformen des alltäglichen digitalen Lebens basieren auf Tracking und damit auf Überwachung von Nutzer*innen. Nicht für alles, aber für vieles gibt es jedoch datensparsame Alternativen. Braucht es wirklich eine Wetter-, Navi- oder Shopping-App mit Hunderten „Werbepartnern“?
Erschwerend kommt hinzu, dass Daten auch ohne Wissen und Zustimmung der App-Betreiber*innen abfließen können, zum Beispiel weil von Dritten eingebundene Software-Pakete nicht nur das tun, was sie sollen. Gerade bei überladener oder veralteter, bei nicht-quelloffener oder sonstwie fragwürdiger Software ist das Risiko erhöht.
Ein kompletter Umstieg auf datensparsame Alternativen von heute auf morgen kann schnell überfordern. Aber man kann Stück für Stück vorgehen. Empfehlungen für datensparsame Apps gibt es zum Beispiel auf mobilsicher.de oder oder dem Blog von Mike Kuketz. Oft freuen sich die Betreiber*innen nicht-kommerzieller Software über Spenden.
Auch auf Ebene von Betriebssystemen gibt es Optionen. Es muss nicht immer iOS oder Google-basiertes Android sein. Anbieter von Google-freien Android-Versionen haben es sich zur Aufgabe gemacht, Alternativen zum Tracking-basierten Mainstream zu geben. Das geht oft zulasten des Komforts. Es wird aber kontinuierlich daran gearbeitet, dass nicht nur Nerds damit klarkommen.
7. Sich für politische Lösungen starkmachen
Wer sich sorgfältig um die eigene digitale Selbstverteidigung kümmert, kann die Gefahr durch Tracking deutlich eindämmen. Im Kreis von Freund*innen, Kolleg*innen und Familie kann man Anregungen teilen und Hilfe anbieten. Den meisten Menschen aber lassen sich die vielen, notwendigen Kniffe der digitalen Selbstverteidigung kaum zumuten – sie haben einfach andere Sorgen. Und viele wollen an dem von Tracking durchwirkten digitalen Leben teilhaben, an das sich ganze Generationen längst gewöhnt haben.
Die Massenüberwachung durch Handy-Daten ist ein Problem, dessen Lösung sich nicht auf Verbraucher*innen abwälzen lässt. Deshalb fordern viele seit Jahren politische Lösungen, etwa ein Verbot von Tracking und Profilbildung zu Werbezwecken. Denn Daten, die gar nicht erst erhoben werden, können auch nicht an Databroker gelangen. Der Verbraucherzentrale Bundesverband fordert das ebenso wie das Bundesverbraucherschutzministerium. Der Ball ist bei der EU, deren Bemühungen jedoch zuletzt am Lobbying durch Konzerne scheiterten.
Der geplante Digital Fairness Act der EU könnte ein Gelegenheit für einen neuen Anlauf sein. Interessierte könnten sich an ihre Abgeordneten wenden oder sich bei NGOs organisieren, die sich als Teil der Zivilgesellschaft für netzpolitische Themen stark machen.
Wer darüber hinaus aktiv werden will, kann sich auf seine Rechte laut Datenschutzgrundverordnung berufen und Auskunftsanfragen an Datenhändler stellen. Die Unternehmen sind verpflichtet, zu antworten, welche Daten sie über einen gespeichert haben. Auch wenn bei solchen Anfragen lange nichts passiert und Unternehmen außerhalb der EU oft schwer zu greifen sind: Anfragen machen sichtbar, dass Nutzer*innen ein Problem haben.
Wer das Gefühl hast, da ist etwas faul, kann daraufhin die zuständige Datenschutzbehörde einschalten, damit sie ein Unternehmen genauer unter die Lupe nehmen. Hier erklären wir mehr über Datenauskünfte und Beschwerden.
Schon jetzt kommen die Datenschutzbehörden kaum hinterher beim Abarbeiten der Anfragen. Gerade wenn Anbieter im Ausland sitzen, ist die Handhabe oft schwer. Doch auch wenn das Ergebnis einer Beschwerde in einigen Fällen mau sein wird: Es kann verdeutlichen, dass die bisherigen Instrumente nicht ausreichen und damit eine politische Signalwirkung haben.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
380 million location data from 137 countries: a previously unknown data set from a US data broker shows the dangers of global data trading. 40,000 apps are affected, including queer dating apps. For some apps, the shared location data is very precise.
Data about users of popular apps end up at data brokers – Handy: Pixabay; App-Icons: Freepik; Auge: Auge: maxpixel.net/CCO; Nebel: Vecteezy; Montage: netzpolitik.org
A new data set obtained from a US data broker reveals for the first time about 40,000 apps from which users‘ data is being traded. The data set was obtained by a journalist from netzpolitik.org as a free preview sample for a paid subscription. It is dated to a single day in the summer of 2024.
Among other things, the data set contains 47 million “Mobile Advertising IDs”, to which 380 million location data from 137 countries are assigned. In addition, the data set contains information on devices, operating systems and telecommunication providers.
The approximately 40,000 apps in the new dataset cover a wide range of categories, from gaming, dating and shopping to news and education. They include some of the most popular apps worldwide, with millions of downloads in some cases.
For a smaller number of apps, the data set contains alarmingly precise location data. This data can help to identify a person’s place of residence. These apps include the queer dating app Hornet with more than 35 million users; the messaging app Kik with more than 100 million downloads in the Google Play Store alone; Germany’s most popular weather app Wetter Online, which also has more than 100 million downloads in the Google Play Store; and the flight tracking app Flightradar24 with more than 50 million downloads in the Googles Play Store; the app of German news site Focus Online and classifieds apps for German users (Kleinanzeigen) and French users (leboncoin).
For a bigger number of apps, less precise locations which appear to have been derived from IP addresses can be found in the data set. This list includes popular apps such as Candy Crush, Grindr, Vinted, Happy Color, dating apps Lovoo and Jaumo, news aggregator Upday, German email apps gmx.de and web.de as well as the popular dutch weather app Buienalarm.
Since the sample only covers one day, it is difficult to identify people based on their locations from this data set alone. However, in combination with other data sets from the advertising industry, which the research team obtained from data brokers, it’s possible to identify and track people on a large scale. The location data might for example provide clues to their home and work addresses.
Thus, the team was able to identify users of Wetter Online in Germany and Kik in Norway. The individuals confirmed that the data must belong to their devices and their use of the respective apps.
Location data aside, the mere information about who uses which apps can already be dangerous. For example the data set includes numerous Muslim and Christian prayer apps, health apps (blood pressure, menstruation trackers) and queer dating apps, which hint at special categories of personal data under GDPR.
Where did the data set come from?
The research team obtained the data set from US data broker Datastream Group, which now uses the name Datasys. The company did not respond to multiple requests for comment.
Contact with the data broker was established through Berlin-based data marketplace Datarade. The company states in response to inquiries that it does not host any data itself. According to a spokesperson „Data providers use Datarade to publish profiles and listings, enabling users to contact them directly“. Datarade „requires data providers to obtain valid consent in case they’re processing personal data and to aggregate or anonymize data in case they’re processing sensitive personal data“.
Where does the data originate?
According to our analysis, the data originates from Real Time Bidding (RTB), which is a process in the online advertising ecosystem. These are auctions in which advertising inventory of apps and websites is sold. In the process, apps and websites send data about their users to hundreds or thousands of companies. These data contains the information that we can see in our dataset. There have already been multiple warnings that advertising companies are collecting the data from RTB in order to sell it – often without the knowledge or explicit consent of the users or their apps.
What the apps say
None of the apps we confronted so far states they had business relations with Datastream Group / Datasys. The apps Hornet and Vinted for example wrote, that they cannot explain how their users‘ data ended up with data brokers. Queer dating app Hornet emphasizes that it does not share actual location data with third parties and announces an investigation. Other companies such as Kik, Wetter Online, Kleinanzeigen, Flightradar, Grindr and King, the company behind the game Candy Crush, did not respond to press inquiries.
Reactions
Experts from politics, government agencies and civil society expressed concern about the findings.
Michael Will, the Bavarian data protection commissioner, said there would be consequences. In an interview, he describes the findings of the investigation as disillusioning and alarming. The data protection official views the situation as a blatant breach of trust. “This is contrary to everything that the average users of apps would expect – to be able to track where they have been for months afterwards.” The data broker should not have had this data. ”This is beyond the agreed rules of the game.”
Will also expresses criticism on Real Time Bidding: anyone who uses it to display advertising must ask themselves whether their own contractual partners are really abiding by the contract. As a result of the investigation, the data protection authority wants to take action itself. “We have investigative powers. We will now make intensive use of them on the basis of the information you have provided,” says Will – and points out that his authority can also impose sanctions. “We have the option of imposing quite considerable fines.”
In view of the latest findings, the German Federal Ministry for Consumer Protection (BMUV) writes: The collection of the data alone must be prevented. “We need effective EU-wide protection against personalized advertising to prevent app providers from having incentives to collect more data than is necessary to offer an app.” The ministry continues to advocate a “consistent switch to alternative advertising models”.
In addition, the Ministry for Consumer Protection is calling for technical standards to prevent devices from collecting identifying data in the first place. “The manufacturers of operating systems and end devices also have a role to play here.” Finally, the supervisory authorities would need to take consistent action.
Michaela Schröder from the Federation of German Consumer Organizations (vzbv) comments: “The current findings show and confirm once again that the global online advertising market has escaped any control. Unscrupulous data traders collect and disseminate highly sensitive information about people, while websites and apps make these illegal practices possible in the first place and the supervisory authorities seem to be completely overwhelmed.”
Consumers are left defenceless against the massive risks posed by data trading, says Schröder. The vzbv is therefore calling for action at the European level. “It is long overdue for the European Commission to effectively protect consumers and present a proposal to ban personalized advertising – for example, through the announced Digital Fairness Act,” Schröder said.
Difference to Gravy Analytics leak
The results of our investigation confirm and expand on the insights that experts gained in early January from data obtained by hackers from US data broker Gravy Analytics. The Gravy Analytics leak also mentions thousands of apps; this data also apparently comes from Real Time Bidding. Among them are numerous apps that are also represented in our dataset from the Datastream Group: Candy Crush, Grindr, Kik, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen and many more.
However, the list of apps in our data set is much longer. For the first time, we can also differentiate between the apps for which only very rough location data is available and those for which users can be located exactly. It is this the precise location data that puts users at particular risk, as it allows to draw conclusions about their home address and movement patterns.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Databroker verkaufen die Handy-Standortdaten von Millionen Menschen in Deutschland. Viele haben erst durch unseren Databroker Checker erfahren, dass sie betroffen sind. Was macht das mit ihnen? Hier sprechen sie selbst.
Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk und ist Teil unserer Reihe zu den Databroker Files.
Millionen von Menschen in Deutschland funken ihre Standortdaten an Databroker, ohne davon zu wissen. Unsere fortlaufenden Recherchen mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern zeigen: Die Werbe-Industrie macht unsere Handys zu Peilsendern. Und wer will, kann sich diese Daten einfach besorgen.
Als Vorschau für ein Abonnement erhielten wir zunächst 3,6 Milliarden Standortdaten von Handys aus Deutschland. Sie offenbarten genaue Bewegungsprofile aus nahezu jedem Winkel des Landes. Später erhielten wir weitere Datensätze mit noch mehr Standortdaten.
Manche Betroffene konnten wir selbst identifizieren, weil uns die Daten zu ihren Privatadressen führten. Andere erfuhren durch unseren Databroker Checker, dass ihre Werbe-ID in unserem Datensatz auftaucht, und meldeten sich per E-Mail.
Was heißt es für die Betroffenen, wenn ihre Standortdaten auf dem Datenmarkt zirkulieren? Wenn praktisch jede*r wie aus Vogelperspektive verfolgen kann, wann sie wo gewesen sind? In diesen Protokollen kommen sie zu Wort.
Magnus aus Mecklenburg-Vorpommern: „Gefühl, überwacht zu werden“
„Dass meine ID im Datensatz auftaucht, ist für mich ein Ansporn, noch aufmerksamer zu sein. Komplett überrascht war ich nicht, weil ich davon ausgehe, dass man immer Spuren hinterlässt, auch wenn man vorsichtig ist.
Bei mir haben nur sieben Apps überhaupt die Erlaubnis, den Handy-Standort zu erfassen. Ich glaube zwar nicht, dass jemand direkt ein Auge auf mich hat. Aber ich glaube, es ist durchaus nachvollziehbar, wo ich gewesen sein könnte. Das gibt mir schon ein latentes Gefühl, überwacht zu werden.“
Hedi aus Bayern: „Es ist beklemmend“
„Ich komme mir total überwacht vor. Ich finde es einfach gruselig. Es ist beklemmend, wenn ich mir das so anschaue; die Punkte, wo ich war. Das geht niemandem was an. Und ich habe das ja nicht freigegeben.
Ich bin bei den Omas gegen Rechts. Wenn wir da unsere Mahnwachen machen, kommt zur Zeit immer einer von der AfD und fotografiert uns. Ich möchte nicht, dass einer von diesen Leuten weiß, wo ich wohne.“
Martin, IT-ler aus Niedersachsen: „Werde Google den Rücken zukehren“
„Von mir wurden Standorte auf dem Weg nach Oldenburg erfasst. Was mich daran besonders ärgert: Ich achte extrem viel auf Datenschutz und Privatsphäre. Ich hoste meinen eigenen E-Mail-Server und verwende für jeden Anlass separate E-Mail-Adressen, um genau zu prüfen, wer meine Daten verkauft. Meine Kontakte, Kalender und Daten habe ich nur in der eigenen verschlüsselten Infrastruktur. Also, ich weiß schon, was ich tue!
Jetzt fühle ich mich dabei ertappt, vollkommen inkonsequent zu sein, weil ich ein Handy mit Google-Diensten nutze und mit Apps, die meinen Hintern verkaufen. Dann kann ich mir den ganzen Aufriss gleich ganz sparen! Ich habe die Schnauze voll. Ich werde Google den Rücken zukehren und mir neues Handy kaufen mit einem freien Betriebssystem wie LineageOS oder GrapheneOS.
Es muss öffentlich werden, dass so etwas passiert! Leider interessiert das keinen. In der BILD-Zeitung wird davon nichts stehen. Und selbst wenn es mal Bußgelder gibt, das preisen die Konzerne doch einfach mit ein und machen weiter.“
Günther aus Sachsen: „Vertrauenswürdig sind die alle nicht“
„Mich hat das nicht gewundert, dass meine Werbe-ID in dem Datensatz ist. Diese ganzen kostenlosen Dienste wollen ja Geld mit unseren Daten verdienen. Die schreiben zwar nirgendwo deutlich, dass sie meine Standortdaten verkaufen, aber vertrauenswürdig sind die doch alle nicht.
Worüber ich mir am meisten Sorgen mache: Selbst man seine Werbe-ID löscht, ist man immer noch erkennbar durch all die anderen Spuren, die man hinterlässt, zum Beispiel Zahlungsdaten. Die alten und neuen Profile können zusammengeführt werden und ich glaube auch, dass das passiert.
Ich mache mir aber weniger Sorgen, dass mich jemand digital überwacht. Hier im Dorf sind etwa die Hälfte der Leute rechtsextrem, und die kennen mich persönlich. Ich bin ein Mann der Mitte und mache aus meiner Haltung auch kein Geheimnis. Wenn man hier SPD wählt, gilt man schon als linksextrem.“
Lukas aus Niedersachsen: „Datensammeln für Werbezwecke unnötig“
„Es gibt so viele gute Gründe, um Daten zu sammeln: zum Beispiel Verkehrswege optimieren oder Menschen mit Krankheiten helfen. Datensammeln für Werbezwecke finde ich einfach unnötig. Ich versuche zwar, weitestgehend vorsichtig mit meinen Daten zu sein. Aber ich war mir sicher, dass meine Daten trotzdem irgendwo liegen – und dass ich da nur nicht rankomme.
Deshalb hat mich das eher gefreut, als ich gesehen habe, dass meine Daten in eurem Datensatz stecken. Denn so hatte ich die Möglichkeit, endlich einmal selbst zu erfahren, was von mir erfasst wurde. Seltsamerweise geben die Apps, die ich benutze, nach eigenen Angaben keine Standortdaten an Dritte weiter. Entweder war das in meinem Fall also ein Versehen oder die Apps verheimlichen etwas. Das fände ich ein No-Go, so sollte man nicht mit Mitmenschen umgehen.
Für mich persönlich sehe ich keine große Gefahr darin, wenn meine Standortdaten verfügbar sind. Es gibt aber Menschen – auch in meinem Umfeld – die ins Visier von Rechtsextremen geraten. Ich kann mir schon vorstellen, dass zum Beispiel auch Journalist*innen oder Lehrer*innen mithilfe solcher Daten verfolgt werden. Es gibt genug Fälle, in denen Rechte solche Menschen einschüchtern wollen. Ich finde, gerade wenn man das Privileg hat, nicht selbst im Visier zu sein, sollte man sich erst Recht für seine Mitmenschen einsetzen.“
Corinna aus Berlin: „Sprachlos und schockiert“
„Von mir wurden mehrere Standortdaten in meinem Kiez erfasst. Das ganze macht mich etwas sprachlos und schockiert mich. Ich hätte mir nicht vorstellen können, dass das in diesem Ausmaß möglich ist. Auf jeden Fall fühle ich mich jetzt beobachtet. Mein Vertrauen in den Datenschutz von Handy-Apps ist weniger geworden.
Ein Stück weit bin ich auch sauer. Gerade in der Politik wurde so oft über Datenschutz geredet. Datenschutz hier und Datenschutz da. Aber trotzdem ist man dann so gläsern. Wie kann das sein???“
Sebastian aus Bayern: „Versuche grundsätzlich, auf ‚Ablehnen‘ zu klicken“
„Ich wusste vorher zwar, dass irgendwelche Werbefirmen mit meinen Daten handeln, aber das war sehr abstrakt. Jetzt sehe ich konkret, dass zumindest ein paar ungenaue Standortdaten aus meinem Wohnort in diesem Datensatz gelandet sind. Das hat mich erstmal überrascht.
Ich nutze mit GrapheneOS ein von Google losgelöstes Android, aber ich habe für manche Apps doch Google-Dienste aktiviert. Der möglichen Einschränkung oder Vermeidung der Werbe-ID habe ich bisher keine Beachtung geschenkt, was sich durch die Recherche auf jeden Fall geändert hat.
Wenn ich wüsste, welche App genau meine Standortdaten verkauft hat, wäre ich schon sauer. Ich versuche grundsätzlich auch bei allen Cookie-Fenstern auf ‚Ablehnen‘ zu klicken. Aber gerade wenn man auf bestimmte Apps oder Dienste nicht verzichten will, hat man keine Wahl und muss sehr umfangreiche Datenschutzbestimmungen akzeptieren.“
In unseren Protokollen spiegelt sich die typische Leser*innenschaft von netzpolitik.org wieder. Viele Menschen, die sich bei uns gemeldet haben, waren IT-affin und männlich. Die Massenüberwachung durch Daten der Werbe-Industrie betrifft aber uns alle. Wer wissen möchte, ob das eigene Gerät im Datensatz mit 3,6 Milliarden Standortdaten auftaucht, kann das jetzt hier prüfen.
Einige unserer Gesprächspartner*innen wehren sich mithilfe digitaler Selbstverteidigung gegen das Tracking durch die Werbeindustrie, zum Beispiel durch Google-freies Android. Damit lässt sich das Problem zwar eindämmen, aber nicht für alle lösen. Einerseits können auch trotz solcher Maßnahmen einige Daten gesammelt werden – andererseits haben viele Nutzer*innen nicht die Mittel, so etwas selbst umzusetzen.
Deshalb fordern nicht zuletzt etwa das Bundesministerium für Verbraucherschutz und der Verbraucherzentrale Bundesverband Änderungen auf politischer Ebene – das Verbot von Tracking und Profilbildung zu Werbezwecken.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen.
Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande), Dagens Nyheter (Schweden), Le Monde (Frankreich), NRK Beta (Norwegen), SRF/RTS (Schweiz), WIRED (USA). Sie ist zugleich Teil der „Databroker Files“.
Dienstag, 2. Juli 2024, ein ganz normaler Sommertag. In einem begrünten Wohngebiet mitten im niedersächsischen Dinklage checkt jemand die Wetter-Online-App mit seinem Samsung Galaxy S7 Edge. Aber Sommerträume werden heute nicht mehr wahr: In Dinklage ziehen sich Wolken zusammen, die Temperaturen werden nicht über 16 Grad Celsius steigen.
Gut 300 Kilometer südlich, in der hessischen Stadt Bensheim, lässt sich jemand auf seinem Huawei-Handy mit „Hornet“ orten, einer App für queere Sex-Dates. Er befindet sich dabei mitten auf dem Gelände einer Firma, die unter anderem elektronische Systeme für Kriegsschiffe und Kampfjets fertigt. Das Symbol der Dating-App ist eine Hornisse mit phallischem Stachel.
In Hannover wiederum spielt jemand auf dem Xiaomi-Handy ein Gratis-Game, in dem kleine blaue Soldaten die Häuser von kleinen roten Soldaten stürmen. Zugang zum Internet hat das Handy dabei übers Netz der dortigen gesetzlichen Unfallversicherung, die Menschen nach Arbeitsunfällen und bei Berufskrankheiten versorgen soll.
Was diese drei Personen gemeinsam haben: Sie alle wurden überwacht und lokalisiert. Datenhändler wissen, an welchen Orten sie welche Apps nutzen. Angeblich werden solche Informationen nur zu Werbezwecken erhoben. Aber Händler verkaufen sie in gigantischen Datensätzen. Ja, sie verschenken die Daten sogar an Interessierte, wenn man freundlich danach fragt.
Rund 40.000 Apps, 137 Länder
Ein solcher Datensatz ist über einen US-Händler zu netzpolitik.org gelangt. Als Gratis-Vorschau soll er Lust auf ein Monatsabo mit tagesaktuellen Daten machen. Obwohl es sich nur um eine Kostprobe handelt, zeichnet dieser Datensatz ein bislang einzigartiges Bild vom weltweiten Datenhandel. Datiert auf einen Tag im Juli 2024 beinhaltet er 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps, deren Nutzer*innen kaum ahnen dürften, was mit ihren Daten geschieht.
Zu den Standortdaten im Datensatz gehören außerdem sogenannte Mobile Advertising IDs. Diese Werbe-Kennungen funktionieren wie Nummernschilder und machen Nutzer*innen eindeutig erkennbar. Zu finden sind auch Infos über das verwendete Handy-Modell und Netzbetreiber, etwa Vodafone oder Telekom.
Die Karte zeigt die Handy-Ortungen von nur einer Stunde aus unserem Datensatz. - Alle Rechte vorbehalten Martin Gundersen/NRK
Gemeinsam mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern haben wir den Datensatz mehrere Monate lang analysiert, Betroffene identifiziert, mit App-Betreibern und AdTech-Unternehmen gesprochen. Wir veröffentlichen die ersten Ergebnisse gemeinsam mit Le Monde (Frankreich), SRF/RTS (Schweiz), NRK Beta (Norwegen), BNR Nieuwsradio (Niederlande) und Dagens Nyheter (Schweden).
Es ist eine Fortsetzung der Databroker Files, unseren Recherchen zu Online-Werbung und Datenhändlern. Im Mittelpunkt steht ein neuer Datensatz, den wir vom US-Datenhändler Datastream Group erhalten haben. Darin befinden sich neben Werbe-IDs und Standortdaten auch die Verbindungen zu Apps von Android und iOS. Inzwischen tritt die Datastream Group unter dem Namen Datasys auf. Auf unsere Presseanfragen hat das Unternehmen nicht reagiert.
Jüngst hat die Kritik am Datenhandel Fahrt aufgenommen, weil Hacker erbeutete Daten eines anderen Databrokers aus den USA veröffentlicht haben: Gravy Analytics. Das Leak offenbarte ebenfalls Tausende Apps, deren Daten bei Databrokern kursieren.
Die Liste der Apps im uns vorliegenden Datensatz ist jedoch länger. Auch können wir erstmals differenzieren, zu welchen Apps es nur sehr grobe Standortdaten gibt – und bei welchen Apps exakte Ortungen von Nutzer*innen vorliegen. Gerade die genauen Standortdaten gefährden Nutzer*innen besonders, da sie Rückschlüsse auf ihre Privatadresse und Bewegungsprofile zulassen.
Wetter Online, Kleinanzeigen, Focus Online und mehr
Die rund 40.000 Apps im neuen Datensatz decken eine breite Vielfalt an Kategorien ab: über Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung. Darunter sind einige der beliebtesten Apps der Welt, teils millionenfach heruntergeladen.
Zu einigen der Apps konnten wir auffällig exakte Standortdaten finden. Eine davon ist Deutschlands populärste Wetter-App, Wetter Online. An nur einem Tag in Deutschland wurden zehntausende Wetter-Online-Nutzer*innen wohl teils auf den Meter genau geortet. Genaue Standortdaten gibt es auch zu Nutzer*innen von anderen beliebten Apps wie Focus Online, Kleinanzeigen und FlightRadar24.
Weitet man den Blick auf alle Standortdaten im Datensatz, so entdeckt man weitere bekannte Apps – darunter Tinder, Grindr und Candy Crush Saga sowie Upday vom Axel-Springer-Konzern, web.de und gmx.de. Hier wurden Nutzer*innen jedoch offenbar nur per IP-Adresse geortet, also mit einer Unschärfe im Kilometer-Bereich.
Als Reaktion auf unsere Recherche fordert das Bundesministerium für Verbraucherschutz „konsequentes Handeln“ und einen „effektiven EU-weiten Schutz vor personalisierter Werbung“. Um die Erhebung der Daten zu verhindern, seien auch die Hersteller der Betriebssysteme und Handys gefragt. Der Verbraucherzentrale Bundesverband (vzbv) spricht von „skrupellosen“ Datenhändlern, denen Verbraucher*innen „schutzlos ausgeliefert“ sind.
Kontrolle über eigene Daten ist eine Täuschung
Was lässt sich lernen aus diesem einen ganz normalen Tag in der Welt der werbebasierten Massenüberwachung? Unsere Recherche zeigt: Nutzer*innen haben keine Kontrolle über ihre Daten. Auch wenn die Werbe-Industrie mit ihren Transparenz-Labels und Einwilligungs-Abfragen gerne einen anderen Eindruck erwecken möchte. Anhand unseres Datensatzes können wir verfolgen, wo Millionen Menschen auf der ganzen Welt welche Apps benutzen.
Die Daten gelangen aus dem Werbe-Ökosystem an Datenhändler, werden zusammengerührt und weiterverkauft, auch zu anderen Zwecken als Werbung. Das kann absichtlich passieren oder durch Nachlässigkeit. Die verantwortlichen AdTech-Unternehmen können dabei in der Masse untergehen. So wird aus dem Geschäft zu Werbezwecken ein Geschäft zur Massenüberwachung.
Nicht alle Apps im Datensatz sind in gleichem Ausmaß an der Überwachung ihrer Nutzer*innen beteiligt. Das Spektrum beginnt bei Apps, die schon im Google Play Store oder in Apples App Store offenlegen: Ja, wir orten unsere Nutzer*innen präzise, auch wenn es für die App nicht nötig wäre, und wir können diese Daten mit Dritten teilen.
Das Spektrum endet bei Apps, die nach eigenen Angaben keine Standortdaten erheben. Auf den ersten Blick mag das überraschen. Dass selbst augenscheinlich datensparsame Apps in diesem Datensatz landen konnten, zeugt von den verschlungenen Wegen, auf denen Databroker an ihre Ware gelangen. Dazu später mehr.
Potenziell Millionen Nutzer*innen von Wetter Online betroffen
Welche Apps laufen also auf den rund 795.000 Handys, die an einem Tag in Deutschland geortet wurden und in unserem Datensatz gelandet sind? Zu den spannendsten gehören zwei miteinander verwandte Wetter-Apps: „Wetter Online mit Regenradar“ und „RegenRadar mit Unwetterwarnung“, beide angeboten von der WetterOnline GmbH.
Im Ranking der meist genutzten Wetter-Apps in Deutschland steht „WetterOnline mit RegenRadar“ derzeit auf Platz 1, sowohl für iOS als auch für Android. Allein im Play Store verzeichnet die App mehr als 100 Millionen Downloads.
Auch in unserem Datensatz haben die Wetter-Online-Apps Spitzenpositionen: Sie sind unter den Apps mit den meisten in Deutschland georteten Handys. Allein „Wetter Online mit Regenradar“ für Android läuft auf rund 34.875 Handys, die laut Datensatz am 2. Juli 2024 in Deutschland geortet wurden.
Unter den Apps, die im Datensatz die meisten Standortdaten aus Deutschland aufweisen, sind die Wetter-Online-Apps ebenso weit vorne. Oft haben deren entsprechende Geo-Koordinaten sechs Nachkommastellen; das verspricht eine Genauigkeit von unter einem Meter.
Unser Datensatz deckt nur einen Tag ab; entsprechend schwierig ist es, darin die möglichen Bewegungsprofile von Personen zu erkennen. Es ist uns trotzdem gelungen, getrackte Wetter-Online-Nutzer*innen zu identifizieren. Dabei halfen uns Standortdaten aus anderen Datensätzen, die uns dank vergangener Recherchen vorliegen. Häufungen von Handy-Ortungen führten uns zu den Wohnadressen der Nutzer*innen. Zwei Personen bestätigen uns: Ja, sie erkennen sich in den Daten wieder, und ja, sie nutzen Wetter Online.
Über eine der Personen fanden wir sogar noch mehr heraus: Sie lebte laut unseren Daten in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik in einer bayerischen Großstadt. Zum Schutz ihrer Privatsphäre nennen wir ihren Namen nicht.
Wetter Online schweigt
Auf der eigenen Website nennt Wetter Online sogenannte Werbepartner, also Unternehmen, die Daten von Nutzer*innen erhalten können. Stand 10. Januar sind das insgesamt 833, darunter Branchenriesen wie Google und Microsoft-Tochter Xandr. Laut Eintrag im Google Play Store darf Wetter Online den genauen Standort zwecks Werbung und Marketing teilen.
Wie stellt Wetter Online sicher, dass die mit anderen Firmen geteilten Daten nicht weiter verbreitet werden? Wie erklärt sich Wetter Online, dass Standortdaten seiner Nutzer*innen bei Databrokern landen konnten? Auch nach mehrfachen Kontaktversuchen per E-Mail und Telefon erhielten wir keine Antworten.
Das Fazit ist ernüchternd: Die teils genauen Standortdaten von Zehntausenden Wetter-Online-Nutzer*innen aus Deutschland sind in unserem Datensatz. Viele Millionen weitere Nutzer*innen der populärsten Wetter-App Deutschlands könnten potenziell betroffen sein. Aber es gibt keine Erklärung, wie die Daten an Databroker geflossen sind.
Was sagt die Datenschutzbehörde dazu? Wetter Online hat seinen Sitz in Bonn, zuständig ist also die Landesdatenschutzbeauftragte Nordrhein-Westfalen. Zu konkreten Fällen äußern will sich die Behörde auf Anfrage nicht. Generell teilt ein Sprecher mit: Standortdaten seien besonders schützenswert, da sich damit Bewegungsprofile erstellen ließen – für Zwecke der Werbung und Überwachung.
Die von Nutzer*innen eingeholten Einwilligungen nach der DSGVO seien praktisch meist unwirksam, „weil nicht hinreichend transparent über den Umgang mit den Daten aufgeklärt wird“, so der Sprecher weiter. Verbraucher*innen sei „dringend davon abzuraten, in einen Handel mit den eigenen Standortdaten einzuwilligen, weil sie gar nicht ermessen können, wer diese Daten wann und für welche Zwecke nutzt und welche Konsequenzen das für sie haben kann“.
Apps können vulnerable Gruppen exponieren
Bereits im Sommer 2024 haben wir einen umfangreichen Datensatz untersucht, den wir von der Datastream Group erhielten. Vermittelt wurde der Kontakt zu dem Datenhändler über den Berliner Datenmarktplatz Datarade. Datarade betont auf Anfrage, dass es als Vermittler selbst keine Daten speichere. „Anbieter nutzen Datarade, um Profile und Angebote zu veröffentlichen, sodass Nutzer*innen sie direkt kontaktieren können“, schreibt uns die Plattform auf Englisch. Wer auf Datarade personenbezogene Daten anbiete, müsse laut Richtlinien entsprechende Einwilligungen vorhalten.
Damals hatten wir aufgedeckt, wie offen gehandelte Standortdaten aus Handy-Apps Menschen gefährden können. Stalker*innen können ihren Opfern nachstellen. Wer in sicherheitsrelevanten Bereichen wie Behörden, Militär und Geheimdiensten arbeitet, kann erpressbar werden. So offenbarten die Standortdaten von Databrokern etwa auch Besuche in Bordellen, Suchtkliniken oder Gefängnissen.
Nun haben wir einen neuen Datensatz, der zusätzlich verrät, welche Apps eine Person verwendet. Im Datensatz sind viele unverfängliche Apps, die praktisch jede*r haben könnte, etwa fürs Wetter. Zu finden sind allerdings auch Apps, die besonders sensible Einblicke liefern – etwas, wovor die Datenschutzgrundverordnung (DSGVO) Menschen in der EU eigentlich schützen sollte.
Dating-Apps können offenbaren, dass jemand gerade auf Partner*innen-Suche ist. In unserem Datensatz vertreten sind auch queere Dating-Apps wie Grindr oder Hornet, von denen sich auf die sexuelle Orientierung schließen lässt. Solche Informationen gelten laut Artikel 9 der DSGVO als besonders sensibel.
Gesundheits-Apps können etwas über Krankheiten und Lebensumstände verraten. So fanden sich in unserem Datensatz mehrere Apps für Patient*innen mit Blutdruck-Problemen. Auch dabei waren Apps zum Tracken der Periode. Gesundheitsdaten fallen ebenso unter Artikel 9 der DSGVO.
Gebets-Apps legen nahe, dass eine Person eine Religion praktiziert. Im Datensatz fanden wir mehrere Apps für Verse aus der Bibel oder dem Koran. Als besonders schützenswert beschreibt die DSGVO ausdrücklich Daten zu „religiösen oder weltanschaulichen Überzeugungen“.
Populäre Apps, genaue Standorte
Schon die Information, wer welche App verwendet, kann also für manche ein Risiko sein. Hinzu kommen Angaben zu genutzten Geräten und Betriebssystemen. So lassen sich Stück für Stück umfangreiche Profile von Menschen erstellen. Und dann sind da noch die Standortdaten, die mehr oder weniger genau verraten, wo sich eine Person aufhält.
Aus den rund 40.000 Apps im Datensatz haben wir zunächst mehrere Tausend als potenziell bedenklich herausgefiltert. Das Kriterium: Die ihnen zugeordneten Standortdaten sind möglicherweise genau genug für detaillierte Bewegungsmuster. Ihre Nutzer*innen wären dadurch besonders gefährdet. Da im Datensatz überwiegend Android-Apps mit aussagekräftigen Daten vertreten waren, haben wir uns auf sie konzentriert.
Doch auch diese Liste war zu lang, um alle dazu gehörigen Apps einzeln in Augenschein zu nehmen. Deshalb haben wir eine Auswahl erstellt und die dazu gehörigen Standortdaten unter die Lupe genommen. Für diese Auswahl haben wir besonders solche Apps berücksichtigt, die auch für Nutzer*innen in Deutschland relevant sind. Außerdem haben wir darauf geachtet, dass unsere Auswahl eine Bandbreite verschiedener Apps abbildet.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Konkret haben wir geprüft, welche Muster sich aus den Standortdaten ergeben und ob diese Muster für eine genaue Ortung sprechen – etwa durch Häufungen von Standorten in Gebäuden oder entlang von Straßen und Wegen. Auch wenn es üblich ist, dass Databroker mit solchen Standortdaten handeln: Es lässt sich nicht belegen, dass alle Einträge im Datensatz korrekt sind, also dass die Standortdaten zutreffen und von den App-Nutzer*innen stammen.
Vieles spricht jedoch dafür, dass zumindest ein großer Teil korrekt ist: So fanden wir mehrere Übereinstimmungen mit Bewegungsmustern und Werbe-IDs aus dem Datensatz unserer ersten Recherche. Das internationale Team konnte zudem Nutzer*innen einzelner Apps identifizieren. Die Anbieter der Apps hinter den von uns näher untersuchten Daten haben wir um Stellungnahme gebeten.
Das Wichtigste vorab: Kein Unternehmen, das uns geantwortet hat, will Beziehungen zur Datastream Group oder Gravy Analytics haben.
Focus Online ist eines der reichweitenstärksten Nachrichten-Portale in Deutschland. Zur Erfassung genauer Standortdaten von Nutzer*innen haben wir dem Anbieter, Burda Forward GmbH aus München, Fragen geschickt. Zumindest innerhalb der Frist konnte sich das Unternehmen zunächst nicht inhaltlich äußern. Update 5. Januar, 16:45 Uhr: Eine Antwort des Unternehmens erreichte uns nach der Veröffentlichung des Textes. Demnach habe Burda Forward keine Geschäftsbeziehungen zu dem Datenhändler; auch Geschäftspartner seien nicht autorisiert worden, Userdaten an ihn weiterzugeben. „Besorgt nehmen wir diesen weltweiten Datenmissbrauch zur Kenntnis und hoffen sehr, dass eine Aufklärung erfolgt, an welcher Stelle die rechtswidrige Weitergabe von Daten stattgefunden hat.“
Mit FlightRadar24 lassen sich weltweit und in Echtzeit Flüge verfolgen, die App wurde allein im Play Store mehr als 50 Millionen mal heruntergeladen. Der Anbieter mit Sitz in Schweden hat ebenso nicht auf unsere Anfrage reagiert.
Kleinanzeigen, früher bekannt als Ebay Kleinanzeigen, bezeichnet sich selbst als „Deutschlands meistbesuchtes Kleinanzeigen-Portal“. Antworten auf unsere Fragen erhielten wir nicht.
Kik ist ein kostenloser Messenger ohne Ende-zu-Ende-Verschlüsselung. Unsere norwegischen Kolleg*innen von NRK Beta fanden mithilfe des Datensatzes eine Person, die den Messenger nutzt. Sie sagt: „Ich finde das beängstigend und möchte nicht, dass irgendjemand ständig weiß, wo ich bin und was ich mache. Das ist auch ein Grund, warum ich nicht mehr im Telefonbuch stehe.“ Von der US-amerikanischen Firma hinter Kik, MediaLab, gab es keine Antwort auf unsere Anfragen.
Unter dem Namen WordBit gibt es dutzende Sprach-Lern-Apps, die auch in großer Zahl in unserem Datensatz auftauchen. Die Anzahl der Apps ist so hoch, weil WordBit je eigene Apps für verschiedene Kombinationen aus Mutter- und Fremdsprachen anbietet. Vonseiten der Anbieter, die ihren Firmensitz auf der eigenen Website nicht offenlegen, gab es keine Reaktion.
Hornet ist eine queere Dating-App mit nach eigenen Angaben mehr als 35 Millionen Nutzer*innen. Auf Anfrage schreibt Hornet-CEO Christof Wittig: „Wir können die Möglichkeit nicht vollständig ausschließen, dass Werbenetzwerke von Drittanbietern Daten ohne unsere Kenntnis oder Zustimmung weitergegeben haben könnten.“ Das betreffe aber wahrscheinlich von IP-Adressen abgeleitete Standorte. Als wir dem sichtlich erstaunten CEO beschreiben, dass uns durchaus genaue Standortdaten vorliegen, kündigt er eine Untersuchung an. „Unter keinen Umständen teilt Hornet absichtlich echte Geodaten“, betont Wittig.
Populäre Apps, ungefähre Standorte
Den meisten Apps in unserem Datensatz sind unserer Schätzung nach keine genauen Standortdaten zugeordnet. Geortet wurden die betroffenen Nutzer*innen dieser Apps demnach nicht etwa per GPS, sondern über ihre öffentliche IP-Adresse. Diese Adresse erhält man über den Anbieter seines Internet-Zugangs; sie wird bei der Nutzung von Apps und Websites automatisch übermittelt.
Die IP-Adresse hat zunächst keine direkte Verbindung zu einem Standort. Internetanbieter weisen jedoch ihren Netzknoten bestimmte Adressen zu. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer sind die Daten aktuell. Bei dieser IP-basierten Ortung können auch spektakuläre Fehler passieren. Teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.
Diese IP-basierte Ortung rückt Nutzer*innen weniger eng auf die Pelle. Anders als beim Zugriff auf den GPS-Standort müssen Apps für die IP-Adresse nicht gesondert um Erlaubnis bitten, weil sie technisch gesehen kein Standort ist. Somit können auch dem Anschein nach datensparsame Apps betroffen sein.
Auch in unserem Datensatz fanden wir datensparsame Apps, deren Entwickler sich im direkten Gespräch ratlos zeigten. Sie konnten nicht nachvollziehen, wie Werbe-IDs ihrer Nutzer*innen bei Databrokern landen konnten.
Dennoch kann IP-basierte Ortung je nach Lebenslage verräterisch sein, lassen sich damit doch Städtetrips oder Auslandsreisen ablesen. Ein heimliches Doppelleben? Konspirative Treffen im Ausland? Die IP-Adresse kann es verraten. Hinzu kommen die weiteren Eckdaten aus dem Datensatz wie Handy-Modell und Werbe-Kennung. All das kann dabei helfen, eine Person eindeutig zu identifizieren.
Auch unter den Apps mit offenbar IP-basierter Handy-Ortung gibt es viele deutsche Nutzer*innen. Wir haben einige der App-Betreiber*innen um Stellungnahme gebeten. Unsere Auswahl bildet wieder eine Bandbreite ab – darunter sind einige der weltweit populärsten Apps.
Candy Crush Saga gehört mit mehr als einer Milliarde Downloads allein im Google Play Store zu den populärsten Handy-Spielen der Welt. Vom internationalen Anbieter – King – erhielten wir keine Antworten auf unsere Anfragen.
Happy Color bezeichnet sich selbst als „das weltweit beliebteste Gratis-Ausmalspiel“, mehr als 100 Millionen Mal wurde es im Play Store heruntergeladen. Die Zielgruppe dürfte schon bei jüngeren Kindern beginnen. Immerhin wirbt Happy Color damit, dass man mit wenigen Fingertipps Simba aus dem Disney-Klassiker „König der Löwen“ ausmalen kann. Mehr als 38.000 verschiedene Werbe-Kennungen von Happy-Color-Nutzer*innen aus Deutschland finden sich im Datensatz. Der Anbieter X-Flow mit Sitz in Zypern hat auf unsere Anfrage nicht reagiert.
Auf Vinted können Nutzer*innen etwa Second-Hand-Kleidung und Kosmetik verkaufen, frühere Töchter der Plattform waren Kleiderkreisel und Mamikreisel. Der Anbieter aus Litauen schreibt, er untersuche, wie Nutzer*innen etwa durch Drittanbieter betroffen sein könnten.
Grindr bezeichnet sich selbst als „weltgrößte Netzwerk-App für schwule, bi, trans und queere Menschen“. Die US-amerikansiche Firma hat unsere Anfrage nicht beantwortet.
Lovoo und Jaumo sind beides Dating-Apps mit Sitz in Deutschland. Von Jaumo gab es keine Antwort auf unsere Fragen. Ein Lovoo-Sprecher lässt uns wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Daten über deren sexuelle Orientierung gebe man grundsätzlich nicht weiter. Mit externen Partnern bestünden zudem Datenschutzvereinbarungen.
upday ist ein Newsaggregator, den der Axel-Springer-Konzern mit Samsung entwickelt hat. Unsere Presseanfrage blieb unbeantwortet.
web.de und gmx sind in Deutschland ansässige Portale für kostenlose E-Mail-Postfächer und Nachrichten. Sie gehören zur selben Unternehmensgruppe. Auf Anfrage erklärt ein Pressesprecher, aus den Apps von web.de und gmx würden keine Standortdaten stammen.
Daten aus dem Real Time Bidding
Warum reagieren die meisten App-Betreiber*innen so schmallippig auf die Frage, wie genau die Daten ihrer Nutzer*innen geflossen sind? Möglicherweise kennen sie die Antwort selbst nicht genau. Denn die Wege der Daten sind selbst für Insider verschlungen.
Vieles spricht dafür, dass der uns vorliegende Datensatz größtenteils aus dem sogenannten Real Time Bidding (RTB) stammt. RTB entscheidet darüber, welches Unternehmen uns Online-Werbung vor die Nase setzt. Alles geschieht automatisiert innerhalb von Millisekunden („real time“) durch eine Auktion („bidding“).
Damit diese Auktion stattfinden kann, funkt eine App ein Info-Paket an eine oder mehrere Plattformen. Von dort fließt das Paket an hunderte oder tausende Firmen. Es enthält die sogenannten Bidstream-Daten, darunter die Werbe-ID und unsere IP-Adresse. Per IP-Adresse lässt sich auf die Region schließen, in der wir uns aufhalten. Als würde ein Marktschreier rufen: „Werbeplatz in Dating-App aus Leipzig zu vergeben!“
Mehr noch: Die unzähligen Empfänger der Bidstream-Daten können uns dank früherer Datensammlungen zusätzlich in Schubladen stecken, sogenannte Segmente. Diese Segmente sollen uns etwa als „fragile Senioren“ outen oder als „Shopping-versessene Mütter“.
Dann bieten die Unternehmen Mikro-Centbeträge, um unsere Aufmerksamkeit zu bekommen. Der Meistbietende darf seine Werbung ausspielen – aber unsere Daten haben alle bekommen.
Die Datensammler handeln im Verborgenen
In der Masse der Beteiligten reicht es, wenn nur ein Unternehmen diese Daten abzwackt, um daraus Pakete für Databroker zu schnüren. Weder die App-Anbieter*innen noch die Nutzer*innen bekommen das direkt mit.
Eine Anhäufung solcher Bidstream-Daten ist offenbar der uns vorliegende Datensatz. Ein großer Teil der Standortdaten aus unserem Datensatz geht auf IP-Adressen zurück, was für RTB typisch ist. Auch die Gestaltung der Tabelle entspricht den für RTB üblichen Standards, wie uns mehrere Branchenkenner bestätigten.
Es gibt außerdem Hinweise, dass Daten wie die uns vorliegenden durch mehrere Hände gingen – und nicht exklusiv bei nur einem Databroker kursierten. In einem Online-Forum schreibt ein Nutzer über einen identisch strukturierten Datensatz, jedoch mit Verweis auf eine völlige andere Quelle. Unsere Gratis-Probe mit 380 Millionen Einträgen ist für Insider*innen also gar nicht mal so ungewöhnlich.
Dafür spricht auch der bereits erwähnte Leak von Gravy Analytics: Darin finden sich zahlreiche Apps, die ebenso im uns vorliegenden Datensatz der Datastream Group vertreten sind: Candy Crush, Grindr, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen und viele mehr. Die Parallelen zwischen diesen beiden Quellen unterstreichen: Das Geschäft mit unseren Handy-Daten führt zu einem umfassenden Kontrollverlust. Allerdings enthält der Gravy-Analytics-Leak offenbar vor allem IP-basierte Standortdaten, während der uns vorliegende Datensatz für einige Apps eine metergenaue Ortung nahelegt.
Datenschutzbehörde: „Jenseits der Spielregeln, die vereinbart sind“
Wir haben den Bayerischen Landesdatenschutzbeauftragten Michael Will um eine Einschätzung gebeten. Die Erkenntnisse aus unserer Recherche beschreibt er im Interview als „ernüchternd“ und „erschreckend“. Der Datenschützer sieht darin einen krassen Vertrauensbruch. „Das ist konträr zu allem, was die durchschnittlichen Nutzerinnen und Nutzer von Apps erwarten würden – noch Monate danach nachvollziehen zu können, wo sie sich aufgehalten haben.“ Der Datenhändler hätte diese Daten nicht haben dürfen. „Das ist jenseits der Spielregeln, die vereinbart sind.“
Mit Spielregeln ist unter anderem die DSGVO gemeint. Das Gesetz sieht vor, dass Daten nur auf Basis einer gültigen Rechtsgrundlage verarbeitet werden. Datensammlungen zu Werbezwecken, da sind die Datenschutzbehörden deutlich, bedürfen zum Beispiel einer informierten Einwilligung der Betroffenen. Zudem dürfen Daten nur zu dem Zweck verarbeitet werden, dem die Nutzer*innen zugestimmt haben, in diesem Fall also Marketing und Werbung. Auch mehrere Apps aus unserem Datensatz bitten Nutzer*innen um Einwilligungen zu diesem Zweck. Nutzer*innen können in vielen Fällen jedoch kaum überblicken, an wen die Daten übermittelt werden. Beim Verkauf von Daten wird zudem der Zweck verändert.
Zum Real Time Bidding merkt Michael Will kritisch an: Wer mit dessen Hilfe Werbung ausspielt, müsse sich fragen, ob die eigenen Vertragspartner wirklich vertragstreu seien.
In Folge der Recherche will die Datenschutzbehörde selbst aktiv werden. „Wir haben Untersuchungsbefugnisse. Von denen werden wir jetzt auf Grundlage Ihrer Informationen auch intensiv Gebrauch machen“, sagt Will – und weist darauf hin, dass seine Behörde auch Sanktionen aussprechen kann. „Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen.“
Wie die Werbeindustrie zur Gefahr für alle wurde
Standortdaten sind ein wichtiger Rohstoff in der Industrie der Online-Werbung. Anzeigen können damit Zielpersonen erreichen, die sich an bestimmten Orten aufhalten, etwa an Flughäfen, in Casinos oder im Regierungsviertel. In den USA beispielsweise wird das auch im Wahlkampf eingesetzt. Wer bestimmte Wahlkampf-Events besucht hat, kann daraufhin gezielte Online-Werbung von Parteien ausgespielt bekommen.
2023 deckte netzpolitik.org gemeinsam mit dem Privacy-Forscher Wolfie Christl auf, wie uns die Werbeindustrie in 650.000 unterschiedliche Segmente steckt. Grundlage war die versehentlich veröffentlichte Angebotsliste des Datenmarktplatzes Xandr, einer Microsoft-Tochter. Viele der Segmente basierten auf Standorten: Menschen, die in die Kirche gehen oder in Sexshops; die in wohlhabenden Vierteln wohnen oder auf dem Land.
Adtech-Firmen leiten also aus besuchten Orten Eigenschaften von Menschen ab, die sie dann für zielgerichtete Werbung einsetzen. Erst Ende 2024 stufte die US-amerikanische Regulierungsbehörde FTC diese Praxis zum Teil als rechtswidrig ein und verbot zwei Adtech-Firmen etwa aus Besuchen bei Praxen und Kliniken Gesundheitsinformationen abzuleiten.
In dem Geschäft mischen jedoch nicht nur US-Firmen mit, wie unsere Xandr-Recherche zeigte, auch mehrere deutsche Unternehmen haben ortsbezogenes Targeting im Angebot.
Die umfassende Analyse unserer Bewegungen und Eigenschaften soll uns besonders anfällig für zielgerichtete Werbung machen. Wie die Xandr-Recherche zeigte, zielen viele der Segmente auf Schwächen von Menschen ab – etwa Personen, die nicht mit Geld umgehen können, die bestimmte Krankheiten haben oder in familiären Schwierigkeiten stecken.
Längst ist bekannt, dass nicht nur die Werbebranche diese Daten nutzt, sondern auch Geheimdienste. Der Fachbegriff dafür ist ADINT (Advertising-based Intelligence). Gegen ADINT sind Bundeswehr und NATO schlecht gerüstet, wie unsere früheren Recherchen zum Datenhandel zeigten.
Globale Überwachung durch Online-Werbung
Eine Stunde aus unserem Datensatz mit Handy-Ortungen rund um den Globus. - Alle Rechte vorbehalten Martin Gundersen/NRK
Deutschland ist nur eines von 137 Ländern in unserem Datensatz. Die Anzahl der anhand ihrer Werbe-ID georteten Handys unterscheidet sich drastisch von Land zu Land. Insgesamt erfasst wurden 47 Millionen Geräte. Ganz vorne liegen die USA mit rund 33 Millionen verschiedenen Werbe-IDs an nur einem Tag. Deutschland ist mit rund 795.000 Werbe-IDs auf Platz 7. Zu den in Deutschland georteten Handys liegen rund 13 Millionen Standortdaten vor.
Weniger aussagekräftig sind die Daten aus insgesamt 73 Ländern, in denen weniger als 1.000 Handys geortet wurden.
Das Ranking beschreibt jedoch nur die Proportionen unseres Datensatzes. Ein repräsentatives Bild der weltweiten Überwachung durch Handy-Werbung kann es nicht liefern. Immerhin ist die Grundlage nur der Vorschau-Datensatz eines einzelnen US-Databrokers, datiert auf einen einzigen Tag.
Außerdem sind Zweifel an der Verlässlichkeit von gehandelten Daten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Größe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Angebote aufgebläht. Das NATO-Forschungszentrum Stratcom hat dazu geforscht und schreibt im Jahr 2021: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“
Dennoch haben unsere Recherchen mehrfach gezeigt: Auch mit schlecht gepflegten Datensätzen lassen sich Menschen in großem Stil überwachen.
Die ersten Veröffentlichungen zu den Databroker Files schlugen im Sommer hohe Wellen; Politik und Zivilgesellschaft äußerten sich schockiert und forderten Konsequenzen.
Das ist auch dieses Mal so. Das Bundesministerium für Verbraucherschutz schreibt mit Blick auf die neusten Erkenntnisse: Schon die Erhebung der Daten, mit denen Databroker handeln, müsse verhindert werden, „Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind.“ Das Ministerium setze sich unverändert für einen „konsequenten Wechsel auf alternative Werbemodelle“ ein.
Zudem fordert das Verbraucherschutzministerium technische Standards, die verhindern, dass Geräte identifizierende Daten überhaupt erheben. „Hier sind auch die Hersteller der Betriebssysteme und Endgeräte gefragt.“ Zuletzt brauche es ein konsequentes Vorgehen der Aufsichtsbehörden.
Werbemarkt „jeglicher Kontrolle entzogen“
Von einem „enormen Kontrollverlust“ spricht angesichts der neuen Recherche Martin Baumann von der Datenschutzorganisation noyb. Den wenigsten sei bewusst, dass ihre Daten an zahlreiche Firmen auf der ganzen Welt übermittelt werden, von diesen gehandelt werden und umfangreiche Profilbildung ermöglichen. Für die Einzelnen sei es „quasi ausgeschlossen, nachzuvollziehen, wo ihre Daten landen“, so Baumann. „Den Nutzern wird die Kontrolle über ihre Daten faktisch entzogen.“
„Die aktuellen Erkenntnisse zeigen und bestätigen erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen hat“, kommentiert auch Michaela Schröder vom Verbraucherzentrale Bundesverband (vzbv) die Entwicklung. „Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen.“
Verbraucher*innen seien den massiven Risiken aus dem Datenhandel schutzlos ausgeliefert. Der vzbv fordert deshalb Konsequenzen auf europäischer Ebene. „Es ist längst überfällig, dass die Europäische Kommission die Verbraucher*innen wirksam schützt und einen Vorschlag vorlegt, personalisierte Werbung zu verbieten – etwa über den angekündigten Digital Fairness Act“, so Schröder.
Der Ball liegt bei der EU
Die EU hatte bereits eine Chance, die Gefahren durch die Datensammelei der Werbe-Industrie einzudämmen. Die ePrivacy-Verordnung hätte vor Tracking und Profilbildung zu Werbezwecken schützen können. Doch der Plan ist am Lobbying der Konzerne gescheitert. In diesem Jahr kann sich eine neue Chance auftun.
Der kommende „Digital Fairness Act“ soll Lücken für Verbraucher*innen stopfen. Einen Entwurf hat die EU-Kommission noch nicht vorgelegt, aber sie hat Themen gesammelt. Auch Tracking gehört dazu. Ein Verbot war bislang wohl nicht angedacht.
Genau das bräuchte es jedoch, fordert etwa der Chaos Computer Club in einem Positionspapier: „Um alternative Werbemodelle zu stärken, sollte die neue EU-Kommission digitale Fairness ernst nehmen und ein Verbot von personalisierter Werbung auf den Weg bringen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Einer der bekanntesten US-Databroker wurde offenbar Ziel eines Hackerangriffs: Gravy Analytics. Es geht um gigantische Mengen von Standortdaten, gesammelt durch populäre Handy-Apps. Erste Ausschnitte der erbeuteten Daten halten Fachleute für authentisch.
Standortdaten in freier Wildbahn. (Symbolbild) – Alle Rechte vorbehalten Flügel, Silhouette: Pixabay; Nebel: vecteezy, Montage: netzpolitik.org
Über viele Jahre lang war der US-Databroker Gravy Analytics dafür bekannt, massenhaft Daten von Handy-Nutzenden zu horten – ob die betroffenen Nutzer*innen das nun bewusst wollten oder nicht. Jetzt ist das eingetreten, wovor Fachleute immer gewarnt haben: Gravy Analytics hat offenbar die Kontrolle über seinen Datenschatz verloren.
Ein oder mehrere Hacker*innen behaupten, große Mengen sensibler Daten von Gravy Analytics erbeutet zu haben. Einen Ausschnitt davon haben sie bereits verbreitet. Es geht unter anderem um Standortdaten und Geräte-Kennungen (Mobile Advertising IDs) von Handy-Nutzenden weltweit. Sie drohen außerdem, die gesamten erbeuteten Daten zu veröffentlichen.
Für eine kurzfristige Presseanfrage war die Mutterfirma von Gravy Analytics, Unacast, nicht zu erreichen. Die Website von Gravy Analytics selbst ist am Donnerstagabend offline.
Was droht, wenn die Daten öffentlich werden? Wie ungewöhnlich ist der Vorfall? Und wer ist Gravy Analytics überhaupt? Die wichtigsten Fragen und Antworten.
Am 7. Januar berichtete das US-Medium 404 Media erstmals über den mutmaßlichen Hack von Gravy Analytics, verkündet in einem russischen Hackerforum. Die US-Firma Gravy Analytics hat sich aufs Sammeln und Auswerten von Standortdaten spezialisiert. Auch erste Ausschnitte aus den Daten erschienen im Netz.
Wenig später meldeten sich IT-Sicherheitsforscher zu Wort, die einen ersten Blick auf die Daten werfen konnten. Ihr Tenor ist eindeutig: Sie halten die Daten für authentisch. Gegenüber der Nachrichtenagentur Reuters sagte etwa Marley Smith von der IT-Sicherheitsfirma RedSense: „Es erscheint zu 100 Prozent stichhaltig“ (auf Englisch: „It passes the smell test 100 percent“).
Gegenüber 404 Media sagte der IT-Sicherheitsexperte Zach Edwards vom Unternehmen Silent Push: „Der Hack eines Standortdaten-Brokers wie Gravy Analytics ist das absolute Horrorszenario, das alle Datenschützer*innen befürchtet und vor dem sie gewarnt haben.“
Was für Daten sind das?
Zu den wichtigsten Funden in den Daten gehören einerseits Kombinationen aus Geo-Koordinaten und Geräte-Kennungen (mobile advertising IDs). Mit ihnen lassen sich potentiell detaillierte Bewegungsprofile von Handys erstellen – und damit von ihren Besitzer*innen. Häufungen von Standortdaten können verraten, wo eine Person wohnt und zur Arbeit geht. Auch Ausflüge, Reisen oder Besuche in Praxen, Kliniken, Kirchen, Bordellen und so weiter lassen sich ablesen.
In den bislang veröffentlichen Ausschnitten fanden IT-Sicherheitsforschende Standortdaten aus mehreren Ländern weltweit.
Brisant ist ebenso eine bereits öffentlich gewordene Liste mit mehr als 15.000 Apps. Demnach war Gravy Analytics im Besitz der Standortdaten von Nutzer*innen dieser Apps. Darunter sind weltweit populäre Apps aus allen typischen Kategorien wie Gaming, Dating, Wetter oder Nachrichten.
Warum ist das gefährlich?
Problematisch sind die umfangreichen Datensätze schon in den Händen der Firmen, für die sie gesammelt wurden: Werbeunternehmen, die anhand umfangreicher Überwachung nach den besten Wegen suchen, um Menschen Dinge zu verkaufen. Das können teurer Schmuck für spezifische Zielgruppen wie Viel-Shopper*innen, Online-Casino-Besuche für Spielsüchtige oder teure Therapien für verzweifelte Menschen mit schweren Krankheiten sein.
Allerdings lassen sich gerade mit Standortdaten noch schlimmere Dinge anstellen. Stalker*innen können damit ihren Opfern nachstellen. Täter*innen können ihre (Ex-)Partner*innen ausspionieren. Arbeitgeber*innen können ihre Angestellten überwachen. Behörden können auskundschaften, wer welche Demos besucht. Rechtsradikale könnten die Adressen politischer Gegner*innen finden.
Recherchen von netzpolitik.org und anderen Medien haben in der jüngeren Vergangenheit noch eine andere Gefahr deutlich gemacht: für die Sicherheit von Staaten. Denn auch Menschen, die in sicherheitsrelevanten Bereichen arbeiten, werden von Datenhändlern exponiert. So haben wir in Datensätzen von Databrokern Standorte von Personen gefunden, die auf Militärstützpunkten und kritischer Infrastruktur ein- und ausgehen, die in Bundesministerin, bei der Polizei oder bei Geheimdiensten arbeiten.
Ausländische Geheimdienste können solche Informationen für Spionage, Sabotage oder Erpressung nutzen. Zahlreiche Firmen der sogenannten ADINT-Branche haben sich darauf spezialisiert, die Werbeüberwachung auch für staatliche Akteure nutzbar zu machen.
Schon im alltäglichen Geschäft kontrollieren einige Datenhändler kaum, an wen sie Daten herausgeben, wie nicht nur unsere Recherchen belegen. Ein Leak würde die Daten noch leichter zugänglich machen, die Gefahren vervielfachen sich damit.
Was hat das mit den Databroker Files zu tun?
Der Fall Gravy Analytics untermauert die Gefahren, die netzpolitik.org und Bayerischer Rundfunk mit den Recherchen zu den Databroker Files aufdeckten. Auch in den Databroker Files ging es um Standortdaten von Handy-Nutzer*innen, aus denen genaue Bewegungsprofile hervorgehen, die Menschen identifizierbar machen.
Die bisherigen Veröffentlichungen zu den Databroker Files bezogen sich auf Daten eines weniger bekannten US-Databrokers als Gravy Analytics. Die zugrunde liegenden Probleme sind jedoch die gleichen.
Die Daten aus dem mutmaßlichen Hack von Gravy Analytics könnten zudem dabei helfen, die Rolle einzelner Handy-Apps im weltweiten Datenhandel konkreter zu beschreiben. Ohne eingehende Analyse der Daten lässt sich jedoch nicht sagen, welche Arten von Standortdaten mit einer bestimmten App verknüpft sind – und damit auch, in welchem Maß die erwähnten Apps an der Exponierung ihrer Nutzer*innen beteiligt sind.
Welche Zweifel sind angemessen?
Wie bei jedem noch unbestätigten Hack müssen die Erkenntnisse unter Vorbehalt betrachtet werden. Die bereits veröffentlichten Ausschnitte zeigen zwar offenkundig Standortdaten – es ist jedoch zunächst nicht belegt, dass sie tatsächlich von Gravy Analytics stammen. Nicht zuletzt die Recherchen zu den Databroker Files zeigen: Um an sensible Datensätze zu kommen, muss man Databroker nicht unbedingt hacken. Teils geben die Firmen solche Daten freiwillig als Kostprobe heraus.
Ebenso unklar ist, wie viele Daten der oder die Hacker*innen tatsächlich erbeutet haben und ob sie ihre Drohung einer umfangreichen Veröffentlichung überhaupt umsetzen könnten.
Weiterhin sind Zweifel an der Genauigkeit der Standortdaten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Detailtiefe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Datensätze künstlich aufgebläht. Nicht immer stecken hinter Geo-Koordinaten wertvolle, auf weniger Meter genaue GPS-Daten. Auch aus IP-Adressen werden Geo-Koordinaten generiert, selbst wenn sie die entsprechenden Geräte nicht eindeutig verorten können.
Solche Phänomene konnten netzpolitik.org und seine Kooperations-Partner in bisherigen Recherchen direkt beobachten. Potenziell gefährlich sind die von Gravy Analytics gesammelten Daten dennoch. Selbst auf diese Weise verwässerte Daten reichen, um einen Datenschutz-Skandal zu produzieren. Die wahre Dimension des Skandals lässt sich jedoch ohne nähere Analyse der Daten nur grob umreißen.
Wofür ist Gravy Analytics bekannt?
Gravy Analytics ist einer der bekanntesten Datenhändler der Welt und war regelmäßig Gegenstand kritischer Berichterstattung. 2020 deckte der norwegische Journalist Martin Gundersen auf, wie seine Standortdaten datenschutzwidrig über Wetter- und Navigationsapps bei Venntel landeten, einem Tochterunternehmen von Gravy Analytics.
Nach eigenen Angaben hat Venntel täglich rund 17 Milliarden Signale von einer Milliarde Mobilgeräten gesammelt und an Privat- und Regierungskund*innen verkauft. Dazu zählen auch US-Grenzschutz- und Einwanderungsbehörden, die damit Migrant*innen jagen.
Dass das Geschäft von Gravy Analytics und Venntel tatsächlich in Teilen illegal ist, entschied erst kürzlich die mächtige US-Handelsbehörde FTC. Im Dezember verkündete die scheidende Chef-Aufseherin Lina Khan, der Databroker habe durch den Verkauf von sensiblen Standort- und Werbedaten Millionen US-Amerikaner*innen in Gefahr gebracht. Demzufolge hat das Unternehmen Listen mit Personen erstellt und verkauft, die religiöse Orte oder bestimmte Veranstaltungen mit Bezug zu Krankheiten besucht haben.
Ein weiterer Vorwurf der FTC: Gravy Analytics und Venntel sollen gewusst haben, dass die Betroffenen nicht wirksam in die Nutzung der Daten eingewilligt hätten. Die Handelsbehörde untersagte dem Databroker deshalb Teile seines Geschäfts und ordnete die Löschung umfangreicher Datenbestände an. Ob die Hacker*innen auch die als illegal eingestuften Daten erbeuten konnten, ist unklar.
Woher hat Gravy Analytics all die Daten?
Nach Angaben der US-Handelsaufsicht FTC haben Venntel und Gravy Analytics ihre Daten überwiegend von anderen Datenhändlern bezogen. In der Branche ist es üblich, die eigenen Datenbestände durch Zukäufe bei Konkurrenten aufzustocken, daraus neue Pakete zu schnüren und sie gegebenenfalls durch eigene Analysen zu ergänzen. So sollen Venntel und Gravy Analytics aus gekauften Standortdaten beispielsweise persönliche Eigenschaften von Menschen abgeleitet und weiterverkauft haben.
Von Handys, Computern, Tablets und Smart-Home-Geräten führen viele Wege zu Datenhändlern. So unterhalten zum Beispiel viele Apps und Websites direkte Beziehungen zu Datenhändlern und leiten Daten über ihre Nutzer*innen direkt an sie weiter.
Ein anderer Weg führt über die Auktionen, mit denen im Internet Werbeplätze versteigert werden, dem sogenannten Real Time Bidding. App- und Websitebetreiber*innen verschicken Informationen über Nutzer*innen an ein undurchsichtiges Geflecht aus hunderten bis tausenden Firmen. Werbeunternehmen entscheiden auf dieser Grundlage, wo sie Werbung schalten. Die Daten können allerdings von allen beteiligten Firmen mitgeschnitten, gesammelt, sortiert und verkauft werden.
Was passiert als nächstes?
Weltweit dürften sich nun Fachleute an die Analyse der bereits veröffentlichten Daten machen. Erste Eindrücke zeigen, dass sie dabei sehr ähnlich vorgehen wie netzpolitik.org und seine Recherche-Partner bei den Databroker Files: Um die Gefahr der Daten zu verdeutlichen, richtet sich der Fokus zunächst auf sensible Orte wie etwa Einrichtungen von Militär und Regierungen oder Kliniken.
Stand 9. Januar ist zudem unklar, ob der oder die Hacker*innen ihre Drohung wahr machen und den gesamten erbeuteten Datensatz veröffentlichen. Auch eine Stellungnahme von Gravy Analytics selbst steht noch aus.
Update, 15. Januar: Wie zuerst NRK Beta am 10. Januar berichtete, hat Mutterfirma Unacast den Hack auf Gravy Analytics bestätigt.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Einer der wichtigsten Standards des Ökosystems für Online-Werbung verstößt in einer Vielzahl von Punkten gegen die Datenschutzgrundverordnung. Zu diesem Schluss kommt die belgische Datenschutzbehörde APD in einer lange erwarteten Entscheidung zum sogenannten Transparency and Consent Framework (TCF). Das System, mit dem Werbetreibende im Internet Einwilligungen für Targeted Advertising einsammeln, entspreche nicht den Grundsätzen von Rechtmäßigkeit und Fairness, teile die Aufsichtsbehörde mit.
Die Entscheidung ist mit den anderen europäischen Datenschutzbehörden abgestimmt und hat Konsequenzen für Cookie-Banner und verhaltensbasierte Online-Werbung in der gesamten EU. Der Werbeverband IAB Europe, der den TCF-Mechanismus entwickelt und betreibt, muss nun die so gesammelten personenbezogenen Daten löschen und eine Strafe von 250.000 Euro zahlen. Weitaus bedeutender sind jedoch die Auflagen, die die APD der Werbebranche macht, damit sie das Transparency and Consent Framework überhaupt weiter nutzen darf.
Tausende Websitebetreiber:innen, fast alle Online-Medien und auch große Werbefirmen wie Google oder Amazon nutzen den Mechanismus, um das vermeintliche Einverständnis von Nutzer:innen in die Verarbeitung ihrer persönlichen Daten zu Werbezwecken weiterzugeben. „Menschen werden eingeladen, ihre Zustimmung zu geben, doch die meisten von ihnen wissen nicht, dass ihre Profile vielfach am Tag verkauft werden, damit sie personalisierter Werbung ausgesetzt werden“, fasst Hielke Hijmans von der APD die Kritik ihrer Behörde zusammen.
Auch wenn die Entscheidung nicht direkt das gesamte Werbesystem im Netz betreffe, werde sie großen Einfluss auf den Schutz der persönlichen Daten von Internetnutzer:innen haben, so Hijmans.
Zentraler Baustein für Targeting und Cookie-Banner illegal
Vereinfach gesagt funktioniert das System von zielgerichteter Werbung im Netz heute so: Jeder Besuch bei einer teilnehmenden Website löst eine Auktion unter den Anbietern von Werbeanzeigen aus. Unter anderem anhand der gewünschten Preise und des Datenprofils der Nutzerin entscheidet sich in Millisekundenschnelle, welche Werbung sie zu sehen bekommt. Damit dieses Real-Time-Bidding (RTB), also das Bieten in Echtzeit, funktioniert, müssen die Werbefirmen wissen, mit wem sie es zu tun haben: Alter, Geschlecht, Interessen, besuchte Websites, Wohnort, Kaufkraft und so weiter sind wichtige Kriterien, nach denen die Zielgruppen für Anzeigen zusammengestellt werden.
Hier kommt das Transparency and Consent Framework von IAB Europe ins Spiel. Wenn Nutzer:innen auf „Cookies akzeptieren“ klicken oder nicht widersprechen, dass die Nutzung ihrer Daten im legitimen Interesse des Anbieters ist, erzeugt das TCF einen sogenannten TC-String. Dieser Identifier bildet die Grundlage für die Erstellung von individuellen Profilen und für die Auktionen, in denen Werbeplätze und mit ihnen die Aufmerksamkeit der gewünschten Zielgruppe versteigert werden, und wird an aberhunderte Partner in dem OpenRTB-System weitergeleitet.
Den belgischen Datenschützer:innen zufolge sind es vor allem zwei Probleme, die das Consent Framework in seiner heutigen Form praktisch unbenutzbar machen. Zum einen hält die Behörde fest, dass bereits die TC-Strings personenbezogene Daten darstellen. Gemeinsam mit der IP-Adresse und den vom TCF gesetzen Cookies ermöglichen sie es nämlich, Nutzer:innen genau zu identifizieren. Zum anderen ist der Werbeverband IAB Europe nach Ansicht der Datenschutzaufsicht für jede Datenverarbeitung über das Framework rechtlich mitverantwortlich.
Bislang hatte der Verband sich als neutraler Anbieter eines technischen Standards inszeniert und eine Rolle als Datenverarbeiter stets von sich gewiesen – und damit auch die Verantwortung dafür, dass die Prozesse auch wirklich DSGVO-konform sind. Dass Werbetreibende sich in ihren Cookie-Bannern auf ein „legitimes Interesse“ an der Datensammlung berufen, statt um Einwilligung zu bitten, müsste das Framework zum Beispiel grundsätzlich untersagen, um rechtskonform zu sein.
Auch darüber hinaus verstoße der TCF-Mechanismus gegen diverse Vorgaben der DSGVO, zum Beispiel gegen die Grundsätze von Privacy by Design und by Default. Die Aufsichtsbehörde gibt IAB Europe zwei Monate Zeit, um einen Aktionsplan vorzulegen, wie es die Mängel beheben will.
IAB Europe prüft rechtliche Schritte
Der Werbeverband widerspricht unterdessen der Darstellung der Datenschutzbehörde in wesentlichen Punkten und kündigt an, die Entscheidung gerichtlich überprüfen lassen zu wollen. Er betont zudem, dass die Behörde das TCF nicht grundsätzlich verboten habe und dass man die Mängel innerhalb von sechs Monaten beheben könne.
Für die Online-Werbeindustrie und auch für viele Medienhäuser ist die Entscheidung ein herber Rückschlag. Das von ihnen genutzte Ökosystem des Targeted Advertising ist an einer entscheidenden Stelle illegal: der Einwilligungen der Nutzer:innen und damit der Rechtmäßigkeit der Datenverarbeitung.
Datenschützer:innen bezweifeln seit langem, dass es überhaupt möglich ist, dass System des Targeted Advertising und des Real-Time-Biddings datenschutzkonform zu betreiben. Die Datenflüsse zwischen den hunderten Playern des Systems sind für Nutzer:innen weder nachvollziehbar, noch können sie sinnvoll intervenieren und Einwilligungen zurückziehen – von den unlauteren Design-Tricks, um sich die Einwilligung zu erschleichen, mal ganz abgesehen.
„Harter Schlag gegen die Datenindustrie“
Entsprechend euphorisch wird die Entscheidung der belgischen Behörde von vielen begrüßt. „Das war ein langer Kampf“, resümiert etwa Johnny Ryan vom Irish Council for Civil Liberties, der das Verfahren zusammen mit anderen NGOs wie der Digitalen Gesellschaft oder Panoptykon aus Polen in Gang gebracht hatte. Die heutige Entscheidung befreit hunderte Millionen Europäer:innen vom Einwilligungs-Spam und der weitreichenden Gefahr, dass Informationen über ihre intimsten Online-Aktivitäten zwischen Tausenden Firmen hin- und hergereicht werden.
Estelle Masse von der Nichtregierungsorganisation Access Now sieht durch die Klarstellung, dass das Framework keine gültige Rechtsgrundlage habe, „seine gesamte Existenz infrage gestellt“. Für Online-Medien, die auf das TCF setzen, hat sie eine dringende Empfehlung: „Verlage sollten so schnell wie möglich damit aufhören, denn sie tragen eine datenschutzrechtliche Mitverantwortung für die Verarbeitung. Dieses Mal trifft die Strafe IAB Europe, doch das dürfte noch nicht das Ende der Geschichte sein.“
„Die Entscheidung der belgischen Datenschutzaufsicht gegen das TCF ist ein harter Schlag gegen die Datenindustrie, die ihrem invasiven digitalen Tracking gerne einen DSGVO-konformen Anstrich verleihen wollten, indem sie uns allen die permanente Auseinandersetzung mit nutzlosen ‚Einwilligungs“-Bannern aufzwingen“, twittert der österreichische Überwachungsforscher Wolfie Christl.
Ebenfalls auf Twitter begrüßte auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber die „wichtige Entscheidung zu Einwilligungsbannern durch die belgischen Kollegen und den europäischen Datenschutzausschuss.“
Wegen massiver Verstöße gegen die Datenschutzgrundverordnung muss die niederländische Regierung ein Bußgeld von 2,75 Millionen Euro zahlen. Im Rahmen der sogenannten Toeslagenaffaire (deutsch: Kindergeldaffäre) hat die Steuerbehörde jahrelang in diskriminierender und unrechtmäßiger Weise Informationen über die Nationalität von Menschen genutzt, teilte die nationale Datenschutzbehörde im Dezember mit. Die Regierung räumte die Fehler inzwischen ein.
Die Aufsichtsbehörde reagiert mit dem Bußgeld auf einen Skandal, der die Niederlande bis heute tief erschüttert. In den 2010er Jahren forderte die nationale Steuerbehörde Belastingdienst von zehntausenden Eltern fälschlicherweise Rückzahlungen des Kindergeldes. Bereits kleine Formfehler beim Ausfüllen von Formularen führten zu horrenden Forderungen, eine vermeintlich falsche Nationalität konnte jahrelang zu stigmatisierenden Betrugsermittlungen führen. Viele von staatlicher Unterstützung abhängige Familien wurden dadurch zu Unrecht in den Ruin getrieben.
Das Vorgehen der Behörde hatte dabei erwiesenermaßen eine rassistische Prägung. Wie die Datenschutzaufsicht in ihrer Pressemitteilung aufzählt, habe der Belastingdienst Daten über die Nationalität von Kindergeldbewerber:innen als Indikator für verschiedene Zwecke genutzt. So sei etwa die Information, ob jemand eine doppelte Staatsbürgerschaft hat, in die Entscheidung über die Vergabe der Unterstützungsleistung eingeflossen, obwohl die Steuerbehörde diese Daten über mehr als 1,4 Millionen Menschen längst hätte löschen müssen.
Bei der Erkennung und Bekämpfung von Betrugsfällen seien Informationen über die Staatsangehörigkeit der Betroffenen ebenfalls als Verdachtsmarker genutzt worden. Auch in einem automatisierten System zur Risikoprüfung von Antragsteller:innen sei eine nicht-niederländische Nationalität als Risikofaktor gewertet worden. Wer eine nicht ausschließlich niederländische Staatsbürgerschaft hatte, war der Steuerbehörde per se verdächtig.
Opfer mussten für Aufklärung kämpfen
„Die Bevölkerung hat keine Wahl, als ihrer Regierung die Verarbeitung ihrer persönlichen Daten zu erlauben“, erklärte der niederländische Datenschutzbeauftragte Aleid Wolfsen in einem Statement. Deshalb sei es unabdingbar, dass alle absolutes Vertrauen haben können, dass diese Verarbeitung vernünftig abläuft. „Dass die Regierung keine Daten über Individuen behält und nutzt, die eigentlich nicht notwendig sind. Und dass es niemals eine Form von Diskriminierung gibt, wenn Menschen in Kontakt mit Behörden treten“, ergänzte Wolfsen.
Eine Sprecherin des Finanzministeriums bestätigte netzpolitik.org, dass ihr Haus das Bußgeld akzeptiere und Maßnahmen eingeleitet habe, um die diskriminierende Datenverarbeitung zu unterbinden. Unter anderem habe der Belastingdienst die Datenbank mit Informationen über die doppelte Staatsbürgerschaft gelöscht.
Die niederländische Regierung hatte ihr Fehlverhalten erst nach zahlreichen Vertuschungsversuchen eingestanden. Opfer des Skandals mussten jahrlang für Aufklärung und Anerkennung kämpfen. Ihnen wurde inzwischen die Rückzahlung der Mittel sowie eine Entschädigung in Höhe von je 30.000 Euro zugesagt.
Nachdem ein parlamentarischer Untersuchungsausschuss Ende 2020 die systematische Diskriminierung und massives Unrecht festgestellt hatte, trat Anfang 2021 das gesamte Kabinett unter Premierminister Mark Rutte zurück. Nachhaltig geschadet hat der Skandal dem Langzeit-Premier aber offenbar nicht: Bei den Wahlen im März wurde Ruttes rechtsliberale Partei VVD erneut stärkste Kraft, erst im Dezember einigte sie sich mit den drei anderen Regierungsparteien auf eine Fortführung ihrer Koalition unter Ruttes Führung.
Datendiskriminierung: „Wenn es schiefgeht, dann richtig“
Weltweit sorgen immer wieder Fälle für Aufsehen, bei denen Verwaltungen sensible Daten für die automatisierte Bewertung von Bürger:innen nutzen und dabei massive Fehler machen. In Australien etwa versendete eine Algorithmus fälschlicherweise Nachzahlungsforderungen an Empfänger:innen staatlicher Mittel und stürzte damit hunderttausende Menschen in die Krise. Österreich streitet seit Jahren über ein System, das die Chancen von Arbeitssuchenden auf dem Jobmarkt vorhersagen soll und dabei systematisch Frauen und alte Menschen benachteiligt.
Das Bußgeld in den Niederlanden ist der wohl erste Fall, bei dem eine Regierung eine Strafe für die datenbasierte Diskriminierung von Bürger:innen zahlen muss. Der Datenschutzbeauftragte Aleid Wolfsen hebt deshalb die grundsätzliche Bedeutung des Falles hervor. „In einer Welt, in der die Digitalisierung rasant voranschreitet, wird es immer wichtiger, die persönlichen Daten von Individuen zu schützen, um andere Grundrechte wie die auf Sicherheit, Eigentum und Gesundheit zu wahren.“
Der Fall zeige exemplarisch, warum dies so wichtig ist. „Die unrechtmäßige Datenverarbeitung durch einen Algorithmus führte zu einer Verletzung des Rechts auf Gleichbehandlung und Nicht-Diskriminierung“, so Wolfsen weiter. Digitale Anträge seien inzwischen unersetzlich und würden es ermöglichen, große Informationsmengen auf praktische Weise zu verarbeiten und zu kombinieren. „Aber wenn das schiefgeht, dann geht es richtig schief.“
Constanze Kurz und Ingo Dachwitz blicken auf das Jahr 2021
Wie immer zum Ende des Jahres blicken wir im Podcast zurück. Was waren 2021 die zentralen netzpolitischen Themen? Welche Debatten und Ereignisse prägten das netzpolitische Jahr? Wo gab es Fortschritte, wo Rückschritte und wo Stillstand?
Während Corona weiter das öffentliche Leben und die Debatten bestimmt, dankt Angela Merkel nach sechzehn Jahren im Amt ab. Es gibt jetzt einen neuen Bundeskanzler und erstmals im Bund eine Ampel-Koalition, die vieles anders machen will als die Vorgängerin, auch beim Thema Digitalisierung. Die EU macht unterdessen ernst und nähert sich mit großen Schritten der Verabschiedung eines Gesetzespakets zur Regulierung von mächtigen Online-Plattformen. Und in den Vereinigten Staaten ist ein neuer Präsident im Amt, während der alte nicht mehr in den Sozialen Medien herumkrakeelen kann, weil eben diese mächtigen Online-Plattformen ihn zu Beginn des Jahres rausgeschmissen haben.
Während es also durchaus ein veränderungsreiches Jahr war, bleibt bei einem Thema alles gleich: Der Ausbau der staatlichen Überwachung schreitet voran. Trotz Pegasus-Skandal und absurd schlechter IT-Sicherheitslage hat die Große Koalition die Befugnisse zum staatlichen Hacken erheblich ausgeweitet. Die Ampel verspricht einen Richtungswechsel, auch darüber sprechen wir im Podcast.
Dabei scheitern wir zwar am selbstgesteckten Zeitlimit, doch dafür ist der Rückblick in diesem Jahr so umfassend wie noch nie. Zum geneigten Nachlesen liefern wir dieses Mal eine ausführliche Linkliste mit.
Viel Spaß beim Anhören, kommt gut in das neue Jahr!
Gesprochen von Constanze Kurz und Ingo Dachwitz. Produziert von Serafin Dinges.
Unseren Podcast könnt ihr auf vielen Wegen hören. Der einfachste: In dem eingebundenen Player hier auf der Seite auf Play drücken. Ihr findet uns aber ebenso aufiTunes, Spotify oder mit dem Podcatcher eures Vertrauens, die URL lautet dann netzpolitik.org/podcast/. Wie immer freuen wir uns über Anregungen, Kritik, Lob und Ideen, entweder hier in den Kommentaren oder per Mail an ingo.dachwitz@netzpolitik.org.
