Das Jahr Null der elektronischen Patientenakte war mit zahlreichen Problemen gepflastert. Gelöst sind diese noch lange nicht, warnt die Sicherheitsforscherin Bianca Kastl. Auch deshalb drohten nun ganz ähnliche Probleme auch bei einem weiteren staatlichen Digitalisierungsprojekt.
Kommt es nach der ePA bald zum nächsten Notfall? – Gemeinfrei-ähnlich freigegeben durch unsplash.com Isravel Raj
Rückblickend sei es ein Jahr zahlreicher falscher Risikoabwägungen bei der IT-Sicherheit im Gesundheitswesen gewesen, lautete das Fazit von Bianca Kastl auf dem 39. Chaos Communication Congress in Hamburg. Und auch auf das kommende Jahr blickt sie wenig optimistisch.
Kastl hatte gemeinsam mit dem Sicherheitsexperten Martin Tschirsich auf dem Chaos Communication Congress im vergangenen Jahr gravierende Sicherheitslücken bei der elektronischen Patientenakte aufgezeigt. Sie ist Vorsitzende des Innovationsverbunds Öffentliche Gesundheit e. V. und Kolumnistin bei netzpolitik.org.
Die Sicherheitslücken betrafen die Ausgabeprozesse von Versichertenkarten, die Beantragungsportale für Praxisausweise und den Umgang mit den Karten im Alltag. Angreifende hätten auf jede beliebige ePA zugreifen können, so das Fazit der beiden Sicherheitsexpert:innen im Dezember 2024.
„Warum ist das alles bei der ePA so schief gelaufen?“, lautet die Frage, die Kastl noch immer beschäftigt. Zu Beginn ihres heutigen Vortrags zog sie ein Resümee. „Ein Großteil der Probleme der Gesundheitsdigitalisierung der vergangenen Jahrzehnte sind Identifikations- und Authentifizierungsprobleme.“ Und diese Probleme bestünden nicht nur bei der ePA in Teilen fort, warnt Kastl, sondern gefährdeten auch das nächste große Digitalisierungsvorhaben der Bundesregierung: die staatliche EUDI-Wallet, mit der sich Bürger:innen online und offline ausweisen können sollen.
Eine Kaskade an Problemen
Um die Probleme bei der ePA zu veranschaulichen, verwies Kastl auf eine Schwachstelle, die sie und Tschirsich vor einem Jahr aufgezeigt hatten. Sie betrifft einen Dienst, der sowohl für die ePA als auch für das E-Rezept genutzt wird: das Versichertenstammdaten-Management (VSDM). Hier sind persönliche Daten der Versicherten und Angaben zu deren Versicherungsschutz hinterlegt. Die Schwachstelle ermöglichte es Angreifenden, falsche Nachweise vom VSDM-Server zu beziehen, die vermeintlich belegen, dass eine bestimmte elektronische Gesundheitskarte vor Ort vorliegt. Auf diese Weise ließen sich dann theoretisch unbefugt sensible Gesundheitsdaten aus elektronischen Patientenakten abrufen.
Nach den Enthüllungen versprach der damalige Bundesgesundheitsminister Karl Lauterbach (SPD) einen ePA-Start „ohne Restrisiko“. Doch unmittelbar nach dem Starttermin konnten Kastl und Tschirsich in Zusammenarbeit mit dem IT-Sicherheitsforscher Christoph Saatjohann erneut unbefugt Zugriff auf die ePA erlangen. Und auch dieses Mal benötigten sie dafür keine Gesundheitskarte, sondern nutzten Schwachstellen im Identifikations- und Authentifizierungsprozess aus.
„Mit viel Gaffa Tape“ sei die Gematik daraufhin einige Probleme angegangen, so Kastl. Wirklich behoben seien diese jedoch nicht. Für die anhaltenden Sicherheitsprobleme gibt es aus ihrer Sicht mehrere Gründe.
So hatte Lauterbach in den vergangenen Jahren zulasten der Sicherheit deutlich aufs Tempo gedrückt. Darüber hinaus verabschiedete der Bundestag Ende 2023 das Digital-Gesetz und schränkte damit die Aufsichtsbefugnisse und Vetorechte der Bundesdatenschutzbeauftragten (BfDI) und des Bundesamts für Sicherheit in der Informationstechnik (BSI) massiv ein. „Ich darf jetzt zwar etwas sagen, aber man muss mir theoretisch nicht mehr zuhören“, fasste die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider die Machtbeschneidung ihrer Aufsichtsbehörde zusammen.
EUDI-Wallet: Fehler, die sich wiederholen
Auch deshalb sind aus Kastls Sicht kaum Vorkehrungen getroffen worden, damit sich ähnliche Fehler in Zukunft nicht wiederholen. Neue Sicherheitsprobleme drohen aus Kastls Sicht schon im kommenden Jahr bei der geplanten staatlichen EUDI-Wallet. „Die Genese der deutschen staatlichen EUDI-Wallet befindet sich auf einem ähnlich unguten Weg wie die ePA“, warnte Kastl.
Die digitale Brieftasche auf dem Smartphone soll das alte Portemonnaie ablösen und damit auch zahlreiche Plastikkarten wie den Personalausweis, den Führerschein oder die Gesundheitskarte. Die deutsche Wallet soll am 2. Januar 2027 bundesweit an den Start gehen, wie Bundesdigitalminister Karsten Wildberger (CDU) vor wenigen Wochen verkündete.
Kastl sieht bei dem Projekt deutliche Parallelen zum ePA-Start. Bei beiden ginge es um ein komplexes „Ökosystem“, bei dem ein Scheitern weitreichende Folgen hat. Dennoch seien die Sicherheitsvorgaben unklar, außerdem gebe es keine Transparenz bei der Planung und der Kommunikation. Darüber hinaus gehe die Bundesregierung bei der Wallet erneut Kompromisse zulasten der Sicherheit, des Datenschutzes und damit der Nutzer:innen ein.
In ihrem Vortrag verweist Kastl auf eine Entscheidung der Ampel-Regierung im Oktober 2024. Der damalige Bundes-CIO Markus Richter (CDU) verkündete auf LinkedIn, dass sich das Bundesinnenministerium „in Abstimmung mit BSI und BfDI“ für eine Architektur-Variante bei der deutschen Wallet entschieden habe, die auf signierte Daten setzt. Richter ist heute Staatssekretär im Bundesdigitalministerium.
Der Entscheidung ging im September 2024 ein Gastbeitrag von Rafael Laguna de la Vera in der Frankfurter Allgemeinen Zeitung voraus, in dem dieser eine höhere Geschwindigkeit bei der Wallet-Entwicklung forderte: „Nötig ist eine digitale Wallet auf allen Smartphones für alle – und dies bitte schnell.“
Laguna de la Vera wurde 2019 zum Direktor der Bundesagentur für Sprunginnovationen (SPRIND) berufen, die derzeit einen Prototypen für die deutsche Wallet entwickelt. Seine Mission hatte der Unternehmer zu Beginn seiner Amtszeit so zusammengefasst: „Wir müssen Vollgas geben und innovieren, dass es nur so knallt.“ In seinem FAZ-Text plädiert er dafür, die „‚German Angst‘ vor hoheitlichen Signaturen“ zu überwinden. „Vermeintlich kleine Architekturentscheidungen haben oft große Auswirkungen“, schließt Laguna de la Vera seinen Text.
Sichere Kanäle versus signierte Daten
Tatsächlich hat die Entscheidung für signierte Daten weitreichende Folgen. Und sie betreffen auch dieses Mal die Identifikations- und Authentifizierungsprozesse.
Grundsätzlich sind bei der digitalen Brieftasche zwei unterschiedliche Wege möglich, um die Echtheit und die Integrität von übermittelten Identitätsdaten zu bestätigen: mit Hilfe sicherer Kanäle („Authenticated Channel“) oder durch das Signieren von Daten („Signed Credentials“).
Der sichere Kanal kommt beim elektronischen Personalausweis zum Einsatz. Hier wird die Echtheit der übermittelten Personenidentifizierungsdaten durch eine sichere und vertrauenswürdige Übermittlung gewährleistet. Die technischen Voraussetzungen dafür schafft der im Personalausweis verbaute Chip.
Bei den Signed Credentials hingegen werden die übermittelten Daten etwa mit einem Sicherheitsschlüssel versehen. Sie tragen damit auch lange nach der Übermittlung quasi ein Echtheitssiegel.
Bereits im Juni 2022 wies das BSI auf die Gefahr hin, „dass jede Person, die in den Besitz der Identitätsdaten mit Signatur gelangt, über nachweislich authentische Daten verfügt und dies auch beliebig an Dritte weitergeben kann, ohne dass der Inhaber der Identitätsdaten dies kontrollieren kann“.
An dieser Stelle schließt sich für Kastl der Kreis zwischen den Erfahrungen mit der elektronischen Patientenakte in diesem Jahr und der geplanten digitalen Brieftasche.
Um die Risiken bei der staatlichen Wallet zu minimieren, sind aus Kastls Sicht drei Voraussetzungen entscheidend, die sie und Martin Tschirsich schon auf dem Congress im vergangen Jahr genannt hatten.
Das sind erstens eine unabhängige und belastbare Bewertung von Sicherheitsrisiken, zweitens eine transparente Kommunikation von Risiken gegenüber Betroffenen und drittens ein offener Entwicklungsprozess über den gesamten Lebenszyklus eines Projekts. Vor einem Jahr fanden sie bei den Verantwortlichen damit kein Gehör.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Manipulatives Design im Netz ist seit langer Zeit ein Problem. Mit dem geplanten Digital Fairness Act will die EU-Kommission gegen solche Tricks vorgehen. Verbraucherschützer:innen, Forscher:innen und Regulierungsbehörden fordern einen grundlegenden Ansatz.
Manipulation im Internet ist weit verbreitet – und ein einträgliches Geschäft. – Alle Rechte vorbehalten IMAGO / Zoonar
Weite Teile des Internets, insbesondere wenn es um Geld geht, sind fein säuberlich gestaltet. Nicht nur von Techniker:innen oder Grafiker:innen, sondern vor allem von Psycholog:innen. Die Tech-Branche beschäftigt Heerschaaren speziell ausgebildeter Leute, die genau wissen, wie das menschliche Unterbewusstsein tickt – und wie es sich in Geld verwandeln lässt.
Oft setzen sie dabei auf manipulatives Design, auch bekannt als Dark Patterns. Sie sind seit langem Methode, durchziehen viele Online-Dienste und sollen Nutzer:innen beeinflussen: Der Zähler, der zum schnellen Kauf eines angeblich billigeren Flugtickets animieren soll; die verwirrend gestaltete Cookie-Abfrage, die im frustrierten Akzeptieren aller Partnerangebote endet; endloses Scrollen und automatisch abspielende Videos, um Nutzer:innen möglichst lange auf der Plattform zu halten.
Verantwortung nicht auf Nutzer:innen abwälzen
Solchen systemischen Problem will die EU im kommenden Jahr mit einem eigenen Gesetz begegnen, dem Digital Fairness Act. Es soll die Lücken schließen, die andere Gesetze offenlassen, etwa das Gesetz über digitale Dienste (DSA) oder sonstige Regeln zum Verbraucherschutz.
Über 4.000 Stellungnahmen sind dabei bei der EU-Kommission eingegangen. Einer der Ausgangspunkte war ein „Fitness Check“ der Kommission aus dem Vorjahr. In dem Bericht hat sie potenzielle Lücken bestehender Gesetze im Digitalbereich untersucht und dabei Nachholbedarf festgestellt. Sonst drohe, dass die digitale Wirtschaft das EU-Verbraucherschutzrecht aushöhlt. Bereits jetzt soll sich der Schaden auf mindestens acht Milliarden Euro pro Jahr belaufen, schätzt die Kommission.
„Grundlegende Neujustierung“ gefordert
Mit der Materie vertraute Organisationen teilen diese Sicht. So stelle die zunehmende Digitalisierung sowohl die Wirksamkeit des europäischen Verbraucherrechts als auch das Vertrauen, das für ein faires Miteinander auf Märkten notwendig sei, auf eine „harte Probe“. Das schreibt der Verbraucherzentrale Bundesverband (vzbv) in einem ausführlichen Positionspapier zum geplanten Digitalgesetz. Entsprechend sei es mit kleinen Anpassungen nicht getan. Nötig sei eine „grundlegende Neujustierung des europäischen Verbraucherrechts“, mahnt der vzbv.
Zum einen soll das mit dem Verbot oder der Einschränkung einzelner manipulativer Praktiken gelingen, etwa mit einem Verbot von „domain- und geräteübergreifendem Tracking“. Auch das „Zusammenführen gesammelter Daten in Profilen zu Werbezwecken“ solle verboten werden. Bei personalisierten Angeboten oder Preisen sei mindestens mehr Transparenz notwendig, so die Verbraucherschützer:innen.
Darüber hinaus brauche es aber eine „Generalklausel für digitale Fairness by Design und by Default auf allen verbraucherrelevanten Online-Schnittstellen wie Webseiten oder Apps“, argumentiert der Verband. Vor allem im digitalen Bereich seien Unternehmen gegenüber Nutzer:innen „ganz überwiegend im Vorteil“. Mit Hilfe von Tracking und Big Data könnten Algorithmen unser Verhalten analysieren, unsere Vorlieben berechnen und Kaufimpulse anreizen, die gegen die eigenen Interessen gehen können, heißt es im Positionspapier.
Betrugsversuche im Netz steigen an
Für einen „holistischen Ansatz“ wirbt auch BEREC, der Dachverband europäischer Regulierungsstellen für Telekommunikation. Die Behörde hat in den vergangenen Jahren diverse Aspekte der digitalen Ökonomie untersucht. Neben der zunehmenden Nachfrage nach breitbandigen und vor allem mobilen Internetverbindungen sei demnach ein „signifikanter Anstieg betrügerischen Datenverkehrs und Betrugsversuche“ zu beobachten, schreibt BEREC über die aus seiner Sicht wichtigsten Entwicklungen der jüngeren Vergangenheit.
Dieser Trend dürfte sich fortsetzen. Bei der Behebung von Schutzlücken müsse die EU jedoch sorgsam vorgehen, fordert der Dachverband. Neben horizontalen, für alle Anbieter geltenden Regeln zum Verbraucherschutz stünden sektorspezifische Vorschriften, die weiter ihre Berechtigung hätten. Neue Regeln müssten deshalb „komplementär“ ausgestaltet sein und eine Doppelung oder gar Konflikte mit bestehenden Gesetzen vermeiden.
Dies dürfte im Interesse der EU-Kommission sein. Die hat sich für die laufende Regierungsperiode einen drastischen Abbau von Bürokratie und generell Deregulierung vorgenommen, um die europäische Wirtschaft anzukurbeln. Eine florierende Ökonomie und Verbraucherschutz gehen aus Sicht von BEREC allerdings Hand in Hand. Demnach könnten auf Online-Dienste ausgerichtete, „klare, vorhersehbare und durchsetzbare Rechte“ Vertrauen fördern, und damit auch „Wettbewerb und Innovation“.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Wer Informationen zu guten Kliniken sucht, kann dafür auf den Bundes-Klinik-Atlas zugreifen. Aber der hat Schwächen – genau wie all die anderen Online-Verzeichnisse zur Krankenhaus-Qualität. Das ist ein Problem für Patient:innen. Ein Interview dazu, welche Übersicht es für eine bessere Gesundheitsversorgung bräuchte.
Die Qualität eines Krankenhauses lässt sich von außen nicht erkennen. – Gemeinfrei-ähnlich freigegeben durch unsplash.com Arseny Togulev
Wer Kniebeschwerden hat und operiert werden muss, steht vor vielen Fragen: In welches Krankenhaus kann ich gehen? Wie viel Routine haben die Ärzt:innen dort? Wo bekomme ich eine gute Versorgung? Neben Online-Bewertungen gibt es eine ganze Reihe Portale, die Informationen zur Klinikqualität aufbereiten. Sie werden von Krankenhausträgern oder den gesetzlichen Krankenkassen bereitgestellt. Seit vergangenem Jahr gibt es auch den Bundes-Klinik-Atlas, der in Verantwortung des Bundesgesundheitsministeriums entstanden ist.
Als Anfang September Gerüchte aufkamen, das viel kritisierte Portal soll eingestellt werden, meldeten sich Patient:innen-Verbände und andere Interessensgruppen zu Wort. Manche waren empört, andere forderten, das Angebot so schnell wie möglich einzustampfen. Doch was braucht es aus Sicht derjenigen, die sich über notwendige Behandlungen informieren wollen? Und wie können sie diese Informationen finden? Darüber haben wir mit Thomas Moormann gesprochen, der beim Verbraucherzentrale Bundesverband das Team zu den Themen Gesundheit und Pflege leitet.
Die Chance auf Orientierung
netzpolitik.org: Was ist eigentlich der Bundes-Klinik-Atlas und welches Problem sollte er lösen?
Moormann: Der Bundes-Klinik-Atlas soll die Frage beantworten, in welchem Krankenhaus Patientinnen und Patienten welche Versorgung in welcher Qualität erwarten können.
Im besten Fall funktioniert der Bundes-Klinik-Atlas wie eine bewertende Internet-Suchmaschine: Sie geben den geplanten Behandlungsanlass ein und erhalten dann das Ergebnis angezeigt. Das soll Ihnen eine verlässliche Grundlage geben zu entscheiden, wo sie sich behandeln lassen. Und das nicht alleine aufgrund von Hörensagen und einzelnen subjektiven Erfahrungen, die womöglich nicht zum eigenen Behandlungsbedarf passen.
Der Wunsch der Verbraucherinnen und Verbraucher zu erfahren, wo sie welche Versorgung in welcher Qualität erwarten können, ist hoch legitim. Der Bundes-Klinik-Atlas sollte dies auf umfassender Datengrundlage ermöglichen. Das war und muss unverändert das Ziel sein.
netzpolitik.org: Hat der Bundes-Klinik-Atlas dieses Ziel erreicht?
Moormann: Der Bundes-Klinik-Atlas ist im Mai letzten Jahres gestartet und das war offensichtlich verfrüht, weil noch nicht alle Daten aktuell waren. Das spielte den Gegnern des Bundes-Klinik-Atlas in die Hände und löste eine heftige Kritik aus.
In der Folge wurde der Atlas sehr stark angepasst und dabei leider deutlich verschlechtert. Unter anderem wurde die zentrale Suchfunktion herausgenommen und die Versorgungsanlässe wurden in Gruppen zusammengefasst auf nur noch eine Auswahl beschränkt. Zu vielen Eingriffen zeigt der Bundes-Klinik-Atlas seitdem gar nichts mehr an. Das Ziel wurde also leider noch nicht erreicht.
„Es braucht ein Verzeichnis, das gut und unabhängig ist“
netzpolitik.org: Neben dem Bundes-Klinik-Atlas gab und gibt es ja noch andere Portale, um sich über Krankenhäuser zu informieren. Können Patient:innen nicht einfach eine Alternative nutzen?
Moormann: Sehr gut gelungen, weil sehr nutzerorientiert, war die Weisse Liste, die jedoch nicht mehr existiert.
Egal, ob man das Verzeichnis der Krankenhäuser oder die Angebote der Krankenkassenverbände betrachtet, unter dem Strich kommen sie alle nicht an die Qualität der Weissen Liste und des Bundes-Klinik-Atlas in seiner ursprünglichen Form heran. Das war ja auch der Grund für dessen Entwicklung, in die übrigens viel Know-how der Weissen Liste eingeflossen ist.
Für die Patientinnen und Patienten ist das nun eine äußerst missliche Lage. Aktuell wird es ihnen sehr schwer gemacht, sich zu orientieren. Wer hat schon die Zeit und mag sich stundenlang durch mehrere Verzeichnisse klicken, um am Ende doch nicht das zu finden, was man sucht?
Wichtig wäre, dass die Patientinnen und Patienten schnell finden und erkennen können, welches Krankenhaus im Vergleich die besten Behandlungsergebnisse erzielt, zum Beispiel die geringste Komplikationsrate aufweist. Finde ich das aber nicht, weil die Angaben zu verschachtelt sind, weil irrelevante Informationen ausgegeben werden wie die Bettenzahl des gesamten Krankenhauses oder die Gesamtfallzahl über alle Eingriffe hinweg oder kann ich die Versorgungsqualität verschiedener Häuser gar nicht miteinander vergleichen, dann hilft das natürlich nicht. Das ist auch das Problem des Verzeichnisses der Deutschen Krankenhausgesellschaft. Es ist wenig nutzerfreundlich und es ist vor allem nicht unabhängig.
In Deutschland wird viel über unzureichende Gesundheitskompetenz gesprochen. Die können die Menschen jedoch nicht erlangen, wenn ihnen das so verdammt schwer gemacht wird.
Wir brauchen auch nicht viele verschiedene Verzeichnisse, sondern nur eines, das gut und unabhängig ist und einzig die entscheidungsrelevanten Informationen anzeigt. Und diesen Atlas muss man dann bewerben und seine Informationen dort verfügbar machen, wo das Krankenhaus ausgewählt wird. Also in der Arztpraxis und direkt in der elektronischen Patientenakte.
netzpolitik.org: Woher kommen denn die Daten in all den unterschiedlichen Verzeichnissen?
Moormann: Die Daten stammen aus mehreren Quellen, insbesondere aus den strukturierten Qualitätsberichten der Krankenhäuser, aus Qualitätssicherungsverfahren und aus Strukturdaten der Krankenhäuser. Das sind zum Beispiel die Fallzahlen und die Zahl der Pflegekräfte.
Dazu kommen Angaben zu Zertifikaten und idealerweise werden auch die Ergebnisse von Patientenbefragungen eingespeist. Denn die Menschen sollten nicht nur erfahren, wie viele Eingriffe eine Klinik macht, sondern auch, wie es anderen Patienten dort ergangen ist, während des Aufenthaltes und in der Zeit danach.
„Transparenz belohnt Krankenhäuser mit guter Qualität“
netzpolitik.org: Als die Meldung aufkam, der Bundes-Klinik-Atlas könnte eingestellt werden, haben sich viele Akteure zustimmend geäußert. Warum wollen sie das Verzeichnis abschaffen?
Moormann: So viele Akteure waren das gar nicht, aber ihr Einfluss ist groß. Krankenhäuser, Bundesländer und auch Politiker. Darunter sind Akteure, die ein Interesse daran haben, mittelmäßige oder schlechte Versorgungsqualität zu verbergen, besonders die im eigenen Wahlkreis oder Bundesland.
So wie Transparenz Krankenhäuser mit guter Qualität belohnt, kann sie sich nachteilig für andere Krankenhäuser auswirken. Gleichzeitig ist das aber der Ansporn, sich zu verbessern und weiterzuentwickeln. Es muss immer um die bestmögliche Versorgung der Patientinnen und Patienten gehen. Und deshalb braucht es eine unabhängige Stelle, die den Atlas betreibt.
netzpolitik.org: Aber ist das Gesundheitsministerium mit dem Bundes-Klinik-Atlas die richtige Adresse? Immerhin gibt es dort, gerade im Kontext der anstehenden Krankenhausreform, ebenfalls politische Interessen.
Moormann: Nein, das Bundesgesundheitsministerium zum Träger des Bundes-Klinik-Atlas zu machen, war keine gute Entscheidung. Es besteht dann immer die Gefahr, dass sachfremde politische Interessen verfolgt werden. Und genau das sehen wir derzeit. Statt den Bundes-Klinik-Atlas zügig weiterzuentwickeln und zu einem noch nützlicheren Instrument zu machen, wird über dessen Abwicklung nachgedacht. Das wäre folgenschwer und fatal.
Die Patientinnen und Patienten benötigen eine klare Orientierung und das klare Bekenntnis der Bundesregierung und des Gesetzgebers zu einem Bundes-Klinik-Atlas, der von Expertenwissen, Nutzerorientierung, Verständlichkeit und Unabhängigkeit geprägt ist. Er darf weder von politischen Interessen noch von denen der Krankenhausträger geleitet sein.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Noch in diesem Jahr will die EU-Kommission die Regeln für die europäischen Telekommunikationsmärkte weitflächig überarbeiten. Mit dem Digital Networks Act steht plötzlich auch die Netzneutralität zur Debatte – und niemand kann beantworten, warum genau. Eine Spurensuche.
Manche Netzbetreiber stellen Netzneutralität als Innovationsbremse dar und wollen sie aufweichen. (Symbolbild: Telekom-Chef Timotheus Höttges mit dem historischen Mobiltelefon Pocky.) – Alle Rechte vorbehalten IMAGO / Panama Pictures
Es ist ein kurzer, unscheinbarer Nebensatz in einer laufenden EU-Konsultation. Angeblich gebe es „mangelnde Rechtsklarheit der Vorschriften für das offene Internet in Bezug auf die regulatorische Behandlung innovativer Dienste“, schreibt die EU-Kommission etwas sperrig.
Einfacher ausgedrückt: Netzneutralität nervt und bremst Innovation aus – zumindest aus Perspektive ihrer Kritiker:innen. Gerade Netzbetreibern, die auf Kosten des offenen Internets Geschäfte machen wollen, ist sie ein Dorn im Auge. Wohl deshalb will die EU-Kommission das Prinzip auf den Prüfstand stellen.
Dabei gilt die gesetzlich verankerte Netzneutralität in der EU als großer Erfolg. Das betont nicht zuletzt die EU-Kommission immerwiederöffentlich. Europa sei „Vorreiter beim Schutz eines offenen Internets“, klopfte sich etwa die amtierende Kommissionspräsidentin Ursula von der Leyen (CDU) im Jahr 2020 selbst auf die Schulter. Die Regeln seien „wichtig für Innovation und Fairplay“ und schützten sowohl Nutzer:innen als auch Online-Dienste, sagte von der Leyen. „Kein Betreiber kann bestimmten Verkehr blockieren, verlangsamen oder priorisieren“.
Branche lässt sich nicht in Karten schauen
Warum die EU-Kommission nun an den bewährten Regeln rütteln möchte, wird auf den ersten Blick nicht klar. Noch weniger erschließt sich, worin genau die behauptete Rechtsunsicherheit bestehen soll und welche Innovationen damit verhindert würden.
Für wenig Aufklärung sorgt die Telekommunikationsbranche. Mehrfache Presseanfragen an große deutsche Netzbetreiber blieben unbeantwortet. Einer bat um „Verständnis, dass wir uns dazu nicht äußern“. Andere Branchenquellen mussten notgedrungen spekulieren – aber eine verbindliche Antwort hatte niemand parat.
Freilich zeigt die Geschichte, wie Unternehmen regelmäßig an verschiedenen Stellen der Netzneutralität zu sägen versuchen. Zuletzt sind sie, womöglich nur vorerst, mit dem Konzept einer Datenmaut abgeblitzt. Die sollte den teuren Infrastrukturausbau mitfinanzieren helfen, so das Versprechen einiger weniger Netzbetreiber. Nun soll die Netzneutralität als angeblicher Innovationskiller herhalten. Das könnte letztlich zu einer digitalen Zweiklassen-Gesellschaft führen, warnen Fachleute.
Detailliertes Regelwerk
Eigentlich ist der Bereich penibel geregelt. Neben dem Gesetzestext selbst umreißen von europäischen Regulierungsbehörden (GEREK) erstellte Leitlinien den Geltungsbereich der Regeln. Im Detail beschreiben sie, so technologieoffen wie möglich, in welchen Situationen etwa Datenverkehr gedrosselt oder umgekehrt priorisiert werden darf.
Zuletzt wurden die Leitlinien im Jahr 2022 überarbeitet, um neuere technische Entwicklungen sowie die Rechtssprechung des Europäischen Gerichtshofs (EuGH) zu reflektieren. Dieser hatte in einem Grundsatzurteil tatsächlich eine Rechtsunsicherheit beseitigt: Sogenannte Zero-Rating-Angebote, die den Zugriff auf bestimmte Partnerdienste vom monatlichen Transfervolumen ausnehmen, sind demnach nicht mit der EU-Verordnung vereinbar.
Außerdem werden die Vorschriften regelmäßig von der Kommission und Regulierungsbehörden überprüft. Bislang fielen die Urteile stets positiv aus. Demnach würde die Verordnung „den Endnutzer wirksam schützen und das Internet als Innovationsmotor fördern“, schrieb etwa die EU-Kommission in ihrer ersten Evaluation des Gesetzes. Selbst Netzbetreiber würden das Gesetz sehr schätzen, da es „rechtliche Sicherheit“ biete.
Verunsichernde Überholspuren
Dennoch gibt es einen Bereich, der für die angebliche Verunsicherung unter Netzbetreibern in Frage kommen könnte: sogenannte Spezialdienste. Damit lassen sich vor allem im Mobilfunk Produkte anbieten, die nicht in der „objektiv“ notwendigen Qualität über das offene Internet garantiert realisierbar sind, beispielsweise datenbasierte Telefonie über das Mobilfunknetz oder ruckelfreie Telemedizin.
Zur Netzneutralität stehen solche über 5G-Mobilfunk abgewickelten Überholspuren „in einem deutlichen Spannungsverhältnis“, wie es einmal Daniel Jacob von der Stiftung Wissenschaft und Politik ausdrückte. Doch unter Auflagen sind sie seit gut zehn Jahren erlaubt.
Solange Spezialdienste nicht zu Lasten anderer Nutzer:innen gehen und das offene Internet einschränken, sollte es genug Spielraum für innovative Produkte geben – darunter etwa das mobile Spielepaket, das die Telekom Deutschland im Herbst vorgestellt hat. Dieses nutzt die in den aktuellen 5G-Mobilfunkstandard eingebauten „Network Slices“, um eine möglichst optimale, vom restlichen Internet getrennte Datenverbindung mit dem Spieledienst aufzubauen.
Beim Produktlaunch war von Verunsicherung des Netzbetreibers allerdings nicht viel zu spüren. Auf Anfrage teilte eine Unternehmenssprecherin damals mit, dass sich die Telekom „selbstverständlich an die rechtlichen Vorgaben“ halte. Das Produkt sei so ausgestaltet, dass die Bandbreite aller anderen Nutzer:innen einer Mobilfunkzelle dadurch nicht beeinflusst werde, so die Sprecherin. „Keinem wird etwas weggenommen.“
Ob hinter der PR-Kulisse nicht doch ein Stückchen Unsicherheit lauert, lässt sich nicht mit Gewissheit sagen. Die Presseabteilung des Anbieters reagierte nicht auf aktuelle und wiederholte Anfragen zu dem Thema.
Wacklige Produkte
Ganz abwegig würde die Sorge, Geld in ein womöglich illegales Produkt investiert zu haben, indes nicht scheinen. Nicht zuletzt die Telekom hat da einschlägige Erfahrungen: So zählte ihr StreamOn-Produkt zu einem der Angebote, dem das EuGH-Grundsatzurteil zu Zero Rating den Stecker gezogen hatte – nachdem es bereits Jahre auf dem Markt war.
Zudem ist bis heute nicht restlos geklärt, ob das aktuelle 5G-Spielepaket der Telekom mit den EU-Regeln vereinbar ist. Unter anderem Verbraucherschützer:innen haben ihre Zweifel; sie fürchten ein Zwei-Klassen-Netz durch die Hintertür. Tatsächlich untersucht die Bundesnetzagentur seit Oktober, ob das Produkt mit den europäischen Netzneutralitätsregeln konform geht.
Eine Pflicht zur Vorab-Kontrolle gebe es hierbei nicht, betont ein Sprecher der Regulierungsbehörde gegenüber netzpolitik.org. Darauf seien die EU-Regeln nicht ausgelegt. Allein lasse man potenziell verunsicherte Netzbetreiber jedoch nicht: Vor der Veröffentlichung neuer Dienste oder Tarife biete man ihnen an, etwaige Unklarheiten gemeinsam zu besprechen. „Marktteilnehmern steht es frei, von diesem Angebot Gebrauch zu machen.“ Mehr will die Behörde über das laufende Verfahren nicht preisgeben.
Digitalministerium hält Regeln für „klar und sachgerecht“
Auch das deutsche Digitalministerium (BMDS) vermutet, dass bezahlte Überholspuren hinter dem Nebensatz aus der EU-Konsultation stecken dürften. Die Passage „ist nach unserem Verständnis vor dem Hintergrund der Hinweise einiger Netzbetreiber zu sehen, die Vorgaben der EU-Verordnung, insbesondere zu Spezialdiensten, würden Innovationen erschweren, vor allem Innovationen auf Basis des 5G-Network Slicings“, teilt ein Sprecher des Ministeriums mit.
Allerdings folgt gleich eine Einschränkung: Dem BMDS seien bisher keine Fälle bekannt, in denen aufgrund der EU-Vorgaben innovative Geschäftsmodelle im Zusammenhang mit Network Slicing untersagt wurden, so der Sprecher. „Wir halten die Vorgaben der EU-Verordnung und die diese erläuternden Leitlinien des GEREK auch grundsätzlich für klar und sachgerecht.“
Dennoch sollten die Sorgen der Netzbetreiber beachtet werden, sagt der BMDS-Sprecher. „Es sollte insbesondere geprüft werden, ob und wie die Rechtssicherheit jenseits gesetzlicher Vorgaben noch weiter verbessert werden kann, ohne die bestehenden Prinzipien der Netzneutralität anzurühren.“
Vorstoß in Richtung Konsolidierung
Ist das Grund zur Entwarnung? Vermutlich nicht, schließlich ist Deutschland nicht das einzige Land in der EU. Vor allem aber spielt sich die aktuelle EU-Konsultation vor dem Hintergrund des anstehenden Digital Networks Act (DNA) ab. Mit dem geplanten Gesetz will die EU-Kommission die Regeln im Telekommunikationsbereich weitflächig umbauen, ein Entwurf ist für Ende des Jahres angekündigt.
Gleich mehrere, teils umfassende EU-Gesetze könnten dann im DNA zusammengeführt werden, wie die Kommission in Aussicht stellt: Der sogenannte TK-Kodex, der erst vor wenigen Jahren vier EU-Richtlinien in eine einzige gegossen hatte und der die Grundlage für die Regulierung der EU-Telekommunikationsmärkte bildet; die GEREK-Verordnung, welche die Kompetenzen des EU-Gremiums absteckt; das Programm für die Funkfrequenzpolitik; sowie die Verordnung über den Zugang zum offenen Internet, die darüber hinaus auch noch Roaminggebühren regelt.
Ein ganz schönes Knäuel, das der DNA entwirren soll. In einem Begleitschreiben zur Konsultation fasst die EU-Kommission ihre Zukunftsvision so zusammen: „Von entscheidender Bedeutung sind ein moderner und einfacher Rechtsrahmen, der Anreize für den Übergang von herkömmlichen Netzen zu Glasfaser-, 5G- und Cloud-Infrastrukturen schafft, sowie ein Größenzuwachs durch die Bereitstellung von Diensten und einen grenzüberschreitenden Betrieb.“
Zeichen stehen auf Deregulierung
Den Boden für den geplanten Umbau haben mehrere Berichte aus den Vorjahren aufbereitet, mit einer gemeinsamen Stoßrichtung: Neben einem Weißbuch von Ex-Kommissar Thierry Breton drängen auch im Auftrag der EU erstellte Papiere von Ex-EZB-Chef Mario Draghi und des italienischen Ex-Premiers Enrico Letta auf Deregulierung, Liberalisierung und generell mehr Markt.
Damit soll nicht nur der Ausbau moderner Infrastruktur, vor allem von Glasfaser und 5G-Mobilfunk, schneller gelingen. Es soll auch die Wettbewerbsfähigkeit großer europäischer Unternehmen stärken, die sich dann besser auf dem Weltmarkt behaupten könnten, so die Hoffnung.
Dass dabei eine Reihe bisheriger Säulen europäischer Regulierungspolitik fallen könnte, hatte schon viele EU-Länder in Alarmbereitschaft versetzt. Zur Debatte stellt die Kommission unter anderem die Vorabregulierung marktdominanter Anbieter, insbesondere von Ex-Monopolisten wie Telekom Deutschland oder Orange, vormals France Télécom. Diese Unternehmen sollen zudem einfacher wachsen und grenzüberschreitend operieren können.
Netzneutralität als Verhandlungsmasse
Darüber steht die Sorge um die Wettbewerbsfähigkeit der EU, die der Kommission offenkundig ein Herzensanliegen ist. Mit entschlackten Berichtspflichten etwa, die ebenfalls auf ihrer Wunschliste stehen, wird es nicht getan sein. Dabei droht die Gefahr, dass die Netzneutralität zur Verhandlungsmasse gerät.
„Die Telko-Industrie versucht hier, mit dem Narrativ der Innovationsbremse die Open-Internet-Verordnung anzugreifen und die Kommission zu umfassender Deregulierung zu bewegen“, sagt Nikola Schiefke vom Bundesverband der Verbraucherzentralen (vzbv). Aus Verbrauchersicht sei zu befürchten, dass in diesem Zuge auch das Netzneutralitätsgebot zur Debatte steht.
Dabei müsse das Prinzip der Gleichbehandlung und Nichtdiskriminierung „unbedingt aufrechterhalten werden, um eine digitale Zweiklassen-Gesellschaft zu verhindern“, sagt Schiefke. „Offener Wettbewerb ist und bleibt der stärkste Motor für technologische Weiterentwicklung und Innovation“, so die Verbraucherschützerin.
Die von der Kommission behauptete Rechtsunsicherheit kann auch Schiefke mit Blick auf die verschiedenen Evaluierungsstudien nicht nachvollziehen. „Zudem genügt der aktuell verfolgte fallbasierte Ansatz, da bisher nur wenige Spezialdienste eingeführt wurden“, sagt Schiefke. Für eine ausreichende Klarheit der Vorgaben spreche auch die begrenzte Anzahl an streitigen Verfahren über ihre Auslegung. „Gäbe es tatsächlich erhebliche Unsicherheiten, käme es vermehrt zu gerichtlichen Auseinandersetzungen“, sagt Schiefke.
Endstation EU-Kommission
Was aber sagt nun die EU-Kommission darüber, die muss es ja schließlich wissen? Nicht viel, zumindest nicht öffentlich. Auf Anfrage verweist eine Kommissionssprecherin lediglich auf den letzten Evaluationsbericht aus dem Jahr 2023.
Tatsächlich finden sich darin abstrakte Verweise auf die Sorgen bestimmter Marktakteure: „Viele größere Anbieter von Internetzugangsdiensten“, schreibt die Kommission – und meint damit wohl die europäischen Ex-Monopolisten –, seien der Ansicht, „dass die derzeitigen Vorschriften und das derzeitige Konzept keine ausreichende Sicherheit böten, um sie in die Lage zu versetzen, Dienste auf der Grundlage von Network-Slicing einzuführen oder Spezialdienste zu definieren.“
Damals ließ die Kommission noch offen, ob es sich wirklich um ein Problem handelt oder nicht. Dagegen spricht etwa die im gleichen Bericht diskutierte Empfehlung von Regulierungsbehörden, es beim fallbezogenen Ansatz zu belassen. Offen blieb damals zudem, ob gegebenenfalls ein tieferer gesetzlicher Eingriff oder ein simples Update der GEREK-Leitlinien angemessen wäre.
Doch welche Innovationen die Netzneutralität angeblich verhindert, kann oder will die Kommission bis heute nicht beantworten. Selbst in besagtem Evaluationsbericht nicht: „Bislang haben weder das GEREK noch die Kommission Kenntnis von konkreten Beispielen, bei denen die Umsetzung der 5G-Technologie durch die Verordnung behindert wird.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen.
Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande), Dagens Nyheter (Schweden), Le Monde (Frankreich), NRK Beta (Norwegen), SRF/RTS (Schweiz), WIRED (USA). Sie ist zugleich Teil der „Databroker Files“.
Dienstag, 2. Juli 2024, ein ganz normaler Sommertag. In einem begrünten Wohngebiet mitten im niedersächsischen Dinklage checkt jemand die Wetter-Online-App mit seinem Samsung Galaxy S7 Edge. Aber Sommerträume werden heute nicht mehr wahr: In Dinklage ziehen sich Wolken zusammen, die Temperaturen werden nicht über 16 Grad Celsius steigen.
Gut 300 Kilometer südlich, in der hessischen Stadt Bensheim, lässt sich jemand auf seinem Huawei-Handy mit „Hornet“ orten, einer App für queere Sex-Dates. Er befindet sich dabei mitten auf dem Gelände einer Firma, die unter anderem elektronische Systeme für Kriegsschiffe und Kampfjets fertigt. Das Symbol der Dating-App ist eine Hornisse mit phallischem Stachel.
In Hannover wiederum spielt jemand auf dem Xiaomi-Handy ein Gratis-Game, in dem kleine blaue Soldaten die Häuser von kleinen roten Soldaten stürmen. Zugang zum Internet hat das Handy dabei übers Netz der dortigen gesetzlichen Unfallversicherung, die Menschen nach Arbeitsunfällen und bei Berufskrankheiten versorgen soll.
Was diese drei Personen gemeinsam haben: Sie alle wurden überwacht und lokalisiert. Datenhändler wissen, an welchen Orten sie welche Apps nutzen. Angeblich werden solche Informationen nur zu Werbezwecken erhoben. Aber Händler verkaufen sie in gigantischen Datensätzen. Ja, sie verschenken die Daten sogar an Interessierte, wenn man freundlich danach fragt.
Rund 40.000 Apps, 137 Länder
Ein solcher Datensatz ist über einen US-Händler zu netzpolitik.org gelangt. Als Gratis-Vorschau soll er Lust auf ein Monatsabo mit tagesaktuellen Daten machen. Obwohl es sich nur um eine Kostprobe handelt, zeichnet dieser Datensatz ein bislang einzigartiges Bild vom weltweiten Datenhandel. Datiert auf einen Tag im Juli 2024 beinhaltet er 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps, deren Nutzer*innen kaum ahnen dürften, was mit ihren Daten geschieht.
Zu den Standortdaten im Datensatz gehören außerdem sogenannte Mobile Advertising IDs. Diese Werbe-Kennungen funktionieren wie Nummernschilder und machen Nutzer*innen eindeutig erkennbar. Zu finden sind auch Infos über das verwendete Handy-Modell und Netzbetreiber, etwa Vodafone oder Telekom.
Die Karte zeigt die Handy-Ortungen von nur einer Stunde aus unserem Datensatz. - Alle Rechte vorbehalten Martin Gundersen/NRK
Gemeinsam mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern haben wir den Datensatz mehrere Monate lang analysiert, Betroffene identifiziert, mit App-Betreibern und AdTech-Unternehmen gesprochen. Wir veröffentlichen die ersten Ergebnisse gemeinsam mit Le Monde (Frankreich), SRF/RTS (Schweiz), NRK Beta (Norwegen), BNR Nieuwsradio (Niederlande) und Dagens Nyheter (Schweden).
Es ist eine Fortsetzung der Databroker Files, unseren Recherchen zu Online-Werbung und Datenhändlern. Im Mittelpunkt steht ein neuer Datensatz, den wir vom US-Datenhändler Datastream Group erhalten haben. Darin befinden sich neben Werbe-IDs und Standortdaten auch die Verbindungen zu Apps von Android und iOS. Inzwischen tritt die Datastream Group unter dem Namen Datasys auf. Auf unsere Presseanfragen hat das Unternehmen nicht reagiert.
Jüngst hat die Kritik am Datenhandel Fahrt aufgenommen, weil Hacker erbeutete Daten eines anderen Databrokers aus den USA veröffentlicht haben: Gravy Analytics. Das Leak offenbarte ebenfalls Tausende Apps, deren Daten bei Databrokern kursieren.
Die Liste der Apps im uns vorliegenden Datensatz ist jedoch länger. Auch können wir erstmals differenzieren, zu welchen Apps es nur sehr grobe Standortdaten gibt – und bei welchen Apps exakte Ortungen von Nutzer*innen vorliegen. Gerade die genauen Standortdaten gefährden Nutzer*innen besonders, da sie Rückschlüsse auf ihre Privatadresse und Bewegungsprofile zulassen.
Wetter Online, Kleinanzeigen, Focus Online und mehr
Die rund 40.000 Apps im neuen Datensatz decken eine breite Vielfalt an Kategorien ab: über Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung. Darunter sind einige der beliebtesten Apps der Welt, teils millionenfach heruntergeladen.
Zu einigen der Apps konnten wir auffällig exakte Standortdaten finden. Eine davon ist Deutschlands populärste Wetter-App, Wetter Online. An nur einem Tag in Deutschland wurden zehntausende Wetter-Online-Nutzer*innen wohl teils auf den Meter genau geortet. Genaue Standortdaten gibt es auch zu Nutzer*innen von anderen beliebten Apps wie Focus Online, Kleinanzeigen und FlightRadar24.
Weitet man den Blick auf alle Standortdaten im Datensatz, so entdeckt man weitere bekannte Apps – darunter Tinder, Grindr und Candy Crush Saga sowie Upday vom Axel-Springer-Konzern, web.de und gmx.de. Hier wurden Nutzer*innen jedoch offenbar nur per IP-Adresse geortet, also mit einer Unschärfe im Kilometer-Bereich.
Als Reaktion auf unsere Recherche fordert das Bundesministerium für Verbraucherschutz „konsequentes Handeln“ und einen „effektiven EU-weiten Schutz vor personalisierter Werbung“. Um die Erhebung der Daten zu verhindern, seien auch die Hersteller der Betriebssysteme und Handys gefragt. Der Verbraucherzentrale Bundesverband (vzbv) spricht von „skrupellosen“ Datenhändlern, denen Verbraucher*innen „schutzlos ausgeliefert“ sind.
Kontrolle über eigene Daten ist eine Täuschung
Was lässt sich lernen aus diesem einen ganz normalen Tag in der Welt der werbebasierten Massenüberwachung? Unsere Recherche zeigt: Nutzer*innen haben keine Kontrolle über ihre Daten. Auch wenn die Werbe-Industrie mit ihren Transparenz-Labels und Einwilligungs-Abfragen gerne einen anderen Eindruck erwecken möchte. Anhand unseres Datensatzes können wir verfolgen, wo Millionen Menschen auf der ganzen Welt welche Apps benutzen.
Die Daten gelangen aus dem Werbe-Ökosystem an Datenhändler, werden zusammengerührt und weiterverkauft, auch zu anderen Zwecken als Werbung. Das kann absichtlich passieren oder durch Nachlässigkeit. Die verantwortlichen AdTech-Unternehmen können dabei in der Masse untergehen. So wird aus dem Geschäft zu Werbezwecken ein Geschäft zur Massenüberwachung.
Nicht alle Apps im Datensatz sind in gleichem Ausmaß an der Überwachung ihrer Nutzer*innen beteiligt. Das Spektrum beginnt bei Apps, die schon im Google Play Store oder in Apples App Store offenlegen: Ja, wir orten unsere Nutzer*innen präzise, auch wenn es für die App nicht nötig wäre, und wir können diese Daten mit Dritten teilen.
Das Spektrum endet bei Apps, die nach eigenen Angaben keine Standortdaten erheben. Auf den ersten Blick mag das überraschen. Dass selbst augenscheinlich datensparsame Apps in diesem Datensatz landen konnten, zeugt von den verschlungenen Wegen, auf denen Databroker an ihre Ware gelangen. Dazu später mehr.
Potenziell Millionen Nutzer*innen von Wetter Online betroffen
Welche Apps laufen also auf den rund 795.000 Handys, die an einem Tag in Deutschland geortet wurden und in unserem Datensatz gelandet sind? Zu den spannendsten gehören zwei miteinander verwandte Wetter-Apps: „Wetter Online mit Regenradar“ und „RegenRadar mit Unwetterwarnung“, beide angeboten von der WetterOnline GmbH.
Im Ranking der meist genutzten Wetter-Apps in Deutschland steht „WetterOnline mit RegenRadar“ derzeit auf Platz 1, sowohl für iOS als auch für Android. Allein im Play Store verzeichnet die App mehr als 100 Millionen Downloads.
Auch in unserem Datensatz haben die Wetter-Online-Apps Spitzenpositionen: Sie sind unter den Apps mit den meisten in Deutschland georteten Handys. Allein „Wetter Online mit Regenradar“ für Android läuft auf rund 34.875 Handys, die laut Datensatz am 2. Juli 2024 in Deutschland geortet wurden.
Unter den Apps, die im Datensatz die meisten Standortdaten aus Deutschland aufweisen, sind die Wetter-Online-Apps ebenso weit vorne. Oft haben deren entsprechende Geo-Koordinaten sechs Nachkommastellen; das verspricht eine Genauigkeit von unter einem Meter.
Unser Datensatz deckt nur einen Tag ab; entsprechend schwierig ist es, darin die möglichen Bewegungsprofile von Personen zu erkennen. Es ist uns trotzdem gelungen, getrackte Wetter-Online-Nutzer*innen zu identifizieren. Dabei halfen uns Standortdaten aus anderen Datensätzen, die uns dank vergangener Recherchen vorliegen. Häufungen von Handy-Ortungen führten uns zu den Wohnadressen der Nutzer*innen. Zwei Personen bestätigen uns: Ja, sie erkennen sich in den Daten wieder, und ja, sie nutzen Wetter Online.
Über eine der Personen fanden wir sogar noch mehr heraus: Sie lebte laut unseren Daten in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik in einer bayerischen Großstadt. Zum Schutz ihrer Privatsphäre nennen wir ihren Namen nicht.
Wetter Online schweigt
Auf der eigenen Website nennt Wetter Online sogenannte Werbepartner, also Unternehmen, die Daten von Nutzer*innen erhalten können. Stand 10. Januar sind das insgesamt 833, darunter Branchenriesen wie Google und Microsoft-Tochter Xandr. Laut Eintrag im Google Play Store darf Wetter Online den genauen Standort zwecks Werbung und Marketing teilen.
Wie stellt Wetter Online sicher, dass die mit anderen Firmen geteilten Daten nicht weiter verbreitet werden? Wie erklärt sich Wetter Online, dass Standortdaten seiner Nutzer*innen bei Databrokern landen konnten? Auch nach mehrfachen Kontaktversuchen per E-Mail und Telefon erhielten wir keine Antworten.
Das Fazit ist ernüchternd: Die teils genauen Standortdaten von Zehntausenden Wetter-Online-Nutzer*innen aus Deutschland sind in unserem Datensatz. Viele Millionen weitere Nutzer*innen der populärsten Wetter-App Deutschlands könnten potenziell betroffen sein. Aber es gibt keine Erklärung, wie die Daten an Databroker geflossen sind.
Was sagt die Datenschutzbehörde dazu? Wetter Online hat seinen Sitz in Bonn, zuständig ist also die Landesdatenschutzbeauftragte Nordrhein-Westfalen. Zu konkreten Fällen äußern will sich die Behörde auf Anfrage nicht. Generell teilt ein Sprecher mit: Standortdaten seien besonders schützenswert, da sich damit Bewegungsprofile erstellen ließen – für Zwecke der Werbung und Überwachung.
Die von Nutzer*innen eingeholten Einwilligungen nach der DSGVO seien praktisch meist unwirksam, „weil nicht hinreichend transparent über den Umgang mit den Daten aufgeklärt wird“, so der Sprecher weiter. Verbraucher*innen sei „dringend davon abzuraten, in einen Handel mit den eigenen Standortdaten einzuwilligen, weil sie gar nicht ermessen können, wer diese Daten wann und für welche Zwecke nutzt und welche Konsequenzen das für sie haben kann“.
Apps können vulnerable Gruppen exponieren
Bereits im Sommer 2024 haben wir einen umfangreichen Datensatz untersucht, den wir von der Datastream Group erhielten. Vermittelt wurde der Kontakt zu dem Datenhändler über den Berliner Datenmarktplatz Datarade. Datarade betont auf Anfrage, dass es als Vermittler selbst keine Daten speichere. „Anbieter nutzen Datarade, um Profile und Angebote zu veröffentlichen, sodass Nutzer*innen sie direkt kontaktieren können“, schreibt uns die Plattform auf Englisch. Wer auf Datarade personenbezogene Daten anbiete, müsse laut Richtlinien entsprechende Einwilligungen vorhalten.
Damals hatten wir aufgedeckt, wie offen gehandelte Standortdaten aus Handy-Apps Menschen gefährden können. Stalker*innen können ihren Opfern nachstellen. Wer in sicherheitsrelevanten Bereichen wie Behörden, Militär und Geheimdiensten arbeitet, kann erpressbar werden. So offenbarten die Standortdaten von Databrokern etwa auch Besuche in Bordellen, Suchtkliniken oder Gefängnissen.
Nun haben wir einen neuen Datensatz, der zusätzlich verrät, welche Apps eine Person verwendet. Im Datensatz sind viele unverfängliche Apps, die praktisch jede*r haben könnte, etwa fürs Wetter. Zu finden sind allerdings auch Apps, die besonders sensible Einblicke liefern – etwas, wovor die Datenschutzgrundverordnung (DSGVO) Menschen in der EU eigentlich schützen sollte.
Dating-Apps können offenbaren, dass jemand gerade auf Partner*innen-Suche ist. In unserem Datensatz vertreten sind auch queere Dating-Apps wie Grindr oder Hornet, von denen sich auf die sexuelle Orientierung schließen lässt. Solche Informationen gelten laut Artikel 9 der DSGVO als besonders sensibel.
Gesundheits-Apps können etwas über Krankheiten und Lebensumstände verraten. So fanden sich in unserem Datensatz mehrere Apps für Patient*innen mit Blutdruck-Problemen. Auch dabei waren Apps zum Tracken der Periode. Gesundheitsdaten fallen ebenso unter Artikel 9 der DSGVO.
Gebets-Apps legen nahe, dass eine Person eine Religion praktiziert. Im Datensatz fanden wir mehrere Apps für Verse aus der Bibel oder dem Koran. Als besonders schützenswert beschreibt die DSGVO ausdrücklich Daten zu „religiösen oder weltanschaulichen Überzeugungen“.
Populäre Apps, genaue Standorte
Schon die Information, wer welche App verwendet, kann also für manche ein Risiko sein. Hinzu kommen Angaben zu genutzten Geräten und Betriebssystemen. So lassen sich Stück für Stück umfangreiche Profile von Menschen erstellen. Und dann sind da noch die Standortdaten, die mehr oder weniger genau verraten, wo sich eine Person aufhält.
Aus den rund 40.000 Apps im Datensatz haben wir zunächst mehrere Tausend als potenziell bedenklich herausgefiltert. Das Kriterium: Die ihnen zugeordneten Standortdaten sind möglicherweise genau genug für detaillierte Bewegungsmuster. Ihre Nutzer*innen wären dadurch besonders gefährdet. Da im Datensatz überwiegend Android-Apps mit aussagekräftigen Daten vertreten waren, haben wir uns auf sie konzentriert.
Doch auch diese Liste war zu lang, um alle dazu gehörigen Apps einzeln in Augenschein zu nehmen. Deshalb haben wir eine Auswahl erstellt und die dazu gehörigen Standortdaten unter die Lupe genommen. Für diese Auswahl haben wir besonders solche Apps berücksichtigt, die auch für Nutzer*innen in Deutschland relevant sind. Außerdem haben wir darauf geachtet, dass unsere Auswahl eine Bandbreite verschiedener Apps abbildet.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Konkret haben wir geprüft, welche Muster sich aus den Standortdaten ergeben und ob diese Muster für eine genaue Ortung sprechen – etwa durch Häufungen von Standorten in Gebäuden oder entlang von Straßen und Wegen. Auch wenn es üblich ist, dass Databroker mit solchen Standortdaten handeln: Es lässt sich nicht belegen, dass alle Einträge im Datensatz korrekt sind, also dass die Standortdaten zutreffen und von den App-Nutzer*innen stammen.
Vieles spricht jedoch dafür, dass zumindest ein großer Teil korrekt ist: So fanden wir mehrere Übereinstimmungen mit Bewegungsmustern und Werbe-IDs aus dem Datensatz unserer ersten Recherche. Das internationale Team konnte zudem Nutzer*innen einzelner Apps identifizieren. Die Anbieter der Apps hinter den von uns näher untersuchten Daten haben wir um Stellungnahme gebeten.
Das Wichtigste vorab: Kein Unternehmen, das uns geantwortet hat, will Beziehungen zur Datastream Group oder Gravy Analytics haben.
Focus Online ist eines der reichweitenstärksten Nachrichten-Portale in Deutschland. Zur Erfassung genauer Standortdaten von Nutzer*innen haben wir dem Anbieter, Burda Forward GmbH aus München, Fragen geschickt. Zumindest innerhalb der Frist konnte sich das Unternehmen zunächst nicht inhaltlich äußern. Update 5. Januar, 16:45 Uhr: Eine Antwort des Unternehmens erreichte uns nach der Veröffentlichung des Textes. Demnach habe Burda Forward keine Geschäftsbeziehungen zu dem Datenhändler; auch Geschäftspartner seien nicht autorisiert worden, Userdaten an ihn weiterzugeben. „Besorgt nehmen wir diesen weltweiten Datenmissbrauch zur Kenntnis und hoffen sehr, dass eine Aufklärung erfolgt, an welcher Stelle die rechtswidrige Weitergabe von Daten stattgefunden hat.“
Mit FlightRadar24 lassen sich weltweit und in Echtzeit Flüge verfolgen, die App wurde allein im Play Store mehr als 50 Millionen mal heruntergeladen. Der Anbieter mit Sitz in Schweden hat ebenso nicht auf unsere Anfrage reagiert.
Kleinanzeigen, früher bekannt als Ebay Kleinanzeigen, bezeichnet sich selbst als „Deutschlands meistbesuchtes Kleinanzeigen-Portal“. Antworten auf unsere Fragen erhielten wir nicht.
Kik ist ein kostenloser Messenger ohne Ende-zu-Ende-Verschlüsselung. Unsere norwegischen Kolleg*innen von NRK Beta fanden mithilfe des Datensatzes eine Person, die den Messenger nutzt. Sie sagt: „Ich finde das beängstigend und möchte nicht, dass irgendjemand ständig weiß, wo ich bin und was ich mache. Das ist auch ein Grund, warum ich nicht mehr im Telefonbuch stehe.“ Von der US-amerikanischen Firma hinter Kik, MediaLab, gab es keine Antwort auf unsere Anfragen.
Unter dem Namen WordBit gibt es dutzende Sprach-Lern-Apps, die auch in großer Zahl in unserem Datensatz auftauchen. Die Anzahl der Apps ist so hoch, weil WordBit je eigene Apps für verschiedene Kombinationen aus Mutter- und Fremdsprachen anbietet. Vonseiten der Anbieter, die ihren Firmensitz auf der eigenen Website nicht offenlegen, gab es keine Reaktion.
Hornet ist eine queere Dating-App mit nach eigenen Angaben mehr als 35 Millionen Nutzer*innen. Auf Anfrage schreibt Hornet-CEO Christof Wittig: „Wir können die Möglichkeit nicht vollständig ausschließen, dass Werbenetzwerke von Drittanbietern Daten ohne unsere Kenntnis oder Zustimmung weitergegeben haben könnten.“ Das betreffe aber wahrscheinlich von IP-Adressen abgeleitete Standorte. Als wir dem sichtlich erstaunten CEO beschreiben, dass uns durchaus genaue Standortdaten vorliegen, kündigt er eine Untersuchung an. „Unter keinen Umständen teilt Hornet absichtlich echte Geodaten“, betont Wittig.
Populäre Apps, ungefähre Standorte
Den meisten Apps in unserem Datensatz sind unserer Schätzung nach keine genauen Standortdaten zugeordnet. Geortet wurden die betroffenen Nutzer*innen dieser Apps demnach nicht etwa per GPS, sondern über ihre öffentliche IP-Adresse. Diese Adresse erhält man über den Anbieter seines Internet-Zugangs; sie wird bei der Nutzung von Apps und Websites automatisch übermittelt.
Die IP-Adresse hat zunächst keine direkte Verbindung zu einem Standort. Internetanbieter weisen jedoch ihren Netzknoten bestimmte Adressen zu. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer sind die Daten aktuell. Bei dieser IP-basierten Ortung können auch spektakuläre Fehler passieren. Teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.
Diese IP-basierte Ortung rückt Nutzer*innen weniger eng auf die Pelle. Anders als beim Zugriff auf den GPS-Standort müssen Apps für die IP-Adresse nicht gesondert um Erlaubnis bitten, weil sie technisch gesehen kein Standort ist. Somit können auch dem Anschein nach datensparsame Apps betroffen sein.
Auch in unserem Datensatz fanden wir datensparsame Apps, deren Entwickler sich im direkten Gespräch ratlos zeigten. Sie konnten nicht nachvollziehen, wie Werbe-IDs ihrer Nutzer*innen bei Databrokern landen konnten.
Dennoch kann IP-basierte Ortung je nach Lebenslage verräterisch sein, lassen sich damit doch Städtetrips oder Auslandsreisen ablesen. Ein heimliches Doppelleben? Konspirative Treffen im Ausland? Die IP-Adresse kann es verraten. Hinzu kommen die weiteren Eckdaten aus dem Datensatz wie Handy-Modell und Werbe-Kennung. All das kann dabei helfen, eine Person eindeutig zu identifizieren.
Auch unter den Apps mit offenbar IP-basierter Handy-Ortung gibt es viele deutsche Nutzer*innen. Wir haben einige der App-Betreiber*innen um Stellungnahme gebeten. Unsere Auswahl bildet wieder eine Bandbreite ab – darunter sind einige der weltweit populärsten Apps.
Candy Crush Saga gehört mit mehr als einer Milliarde Downloads allein im Google Play Store zu den populärsten Handy-Spielen der Welt. Vom internationalen Anbieter – King – erhielten wir keine Antworten auf unsere Anfragen.
Happy Color bezeichnet sich selbst als „das weltweit beliebteste Gratis-Ausmalspiel“, mehr als 100 Millionen Mal wurde es im Play Store heruntergeladen. Die Zielgruppe dürfte schon bei jüngeren Kindern beginnen. Immerhin wirbt Happy Color damit, dass man mit wenigen Fingertipps Simba aus dem Disney-Klassiker „König der Löwen“ ausmalen kann. Mehr als 38.000 verschiedene Werbe-Kennungen von Happy-Color-Nutzer*innen aus Deutschland finden sich im Datensatz. Der Anbieter X-Flow mit Sitz in Zypern hat auf unsere Anfrage nicht reagiert.
Auf Vinted können Nutzer*innen etwa Second-Hand-Kleidung und Kosmetik verkaufen, frühere Töchter der Plattform waren Kleiderkreisel und Mamikreisel. Der Anbieter aus Litauen schreibt, er untersuche, wie Nutzer*innen etwa durch Drittanbieter betroffen sein könnten.
Grindr bezeichnet sich selbst als „weltgrößte Netzwerk-App für schwule, bi, trans und queere Menschen“. Die US-amerikansiche Firma hat unsere Anfrage nicht beantwortet.
Lovoo und Jaumo sind beides Dating-Apps mit Sitz in Deutschland. Von Jaumo gab es keine Antwort auf unsere Fragen. Ein Lovoo-Sprecher lässt uns wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Daten über deren sexuelle Orientierung gebe man grundsätzlich nicht weiter. Mit externen Partnern bestünden zudem Datenschutzvereinbarungen.
upday ist ein Newsaggregator, den der Axel-Springer-Konzern mit Samsung entwickelt hat. Unsere Presseanfrage blieb unbeantwortet.
web.de und gmx sind in Deutschland ansässige Portale für kostenlose E-Mail-Postfächer und Nachrichten. Sie gehören zur selben Unternehmensgruppe. Auf Anfrage erklärt ein Pressesprecher, aus den Apps von web.de und gmx würden keine Standortdaten stammen.
Daten aus dem Real Time Bidding
Warum reagieren die meisten App-Betreiber*innen so schmallippig auf die Frage, wie genau die Daten ihrer Nutzer*innen geflossen sind? Möglicherweise kennen sie die Antwort selbst nicht genau. Denn die Wege der Daten sind selbst für Insider verschlungen.
Vieles spricht dafür, dass der uns vorliegende Datensatz größtenteils aus dem sogenannten Real Time Bidding (RTB) stammt. RTB entscheidet darüber, welches Unternehmen uns Online-Werbung vor die Nase setzt. Alles geschieht automatisiert innerhalb von Millisekunden („real time“) durch eine Auktion („bidding“).
Damit diese Auktion stattfinden kann, funkt eine App ein Info-Paket an eine oder mehrere Plattformen. Von dort fließt das Paket an hunderte oder tausende Firmen. Es enthält die sogenannten Bidstream-Daten, darunter die Werbe-ID und unsere IP-Adresse. Per IP-Adresse lässt sich auf die Region schließen, in der wir uns aufhalten. Als würde ein Marktschreier rufen: „Werbeplatz in Dating-App aus Leipzig zu vergeben!“
Mehr noch: Die unzähligen Empfänger der Bidstream-Daten können uns dank früherer Datensammlungen zusätzlich in Schubladen stecken, sogenannte Segmente. Diese Segmente sollen uns etwa als „fragile Senioren“ outen oder als „Shopping-versessene Mütter“.
Dann bieten die Unternehmen Mikro-Centbeträge, um unsere Aufmerksamkeit zu bekommen. Der Meistbietende darf seine Werbung ausspielen – aber unsere Daten haben alle bekommen.
Die Datensammler handeln im Verborgenen
In der Masse der Beteiligten reicht es, wenn nur ein Unternehmen diese Daten abzwackt, um daraus Pakete für Databroker zu schnüren. Weder die App-Anbieter*innen noch die Nutzer*innen bekommen das direkt mit.
Eine Anhäufung solcher Bidstream-Daten ist offenbar der uns vorliegende Datensatz. Ein großer Teil der Standortdaten aus unserem Datensatz geht auf IP-Adressen zurück, was für RTB typisch ist. Auch die Gestaltung der Tabelle entspricht den für RTB üblichen Standards, wie uns mehrere Branchenkenner bestätigten.
Es gibt außerdem Hinweise, dass Daten wie die uns vorliegenden durch mehrere Hände gingen – und nicht exklusiv bei nur einem Databroker kursierten. In einem Online-Forum schreibt ein Nutzer über einen identisch strukturierten Datensatz, jedoch mit Verweis auf eine völlige andere Quelle. Unsere Gratis-Probe mit 380 Millionen Einträgen ist für Insider*innen also gar nicht mal so ungewöhnlich.
Dafür spricht auch der bereits erwähnte Leak von Gravy Analytics: Darin finden sich zahlreiche Apps, die ebenso im uns vorliegenden Datensatz der Datastream Group vertreten sind: Candy Crush, Grindr, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen und viele mehr. Die Parallelen zwischen diesen beiden Quellen unterstreichen: Das Geschäft mit unseren Handy-Daten führt zu einem umfassenden Kontrollverlust. Allerdings enthält der Gravy-Analytics-Leak offenbar vor allem IP-basierte Standortdaten, während der uns vorliegende Datensatz für einige Apps eine metergenaue Ortung nahelegt.
Datenschutzbehörde: „Jenseits der Spielregeln, die vereinbart sind“
Wir haben den Bayerischen Landesdatenschutzbeauftragten Michael Will um eine Einschätzung gebeten. Die Erkenntnisse aus unserer Recherche beschreibt er im Interview als „ernüchternd“ und „erschreckend“. Der Datenschützer sieht darin einen krassen Vertrauensbruch. „Das ist konträr zu allem, was die durchschnittlichen Nutzerinnen und Nutzer von Apps erwarten würden – noch Monate danach nachvollziehen zu können, wo sie sich aufgehalten haben.“ Der Datenhändler hätte diese Daten nicht haben dürfen. „Das ist jenseits der Spielregeln, die vereinbart sind.“
Mit Spielregeln ist unter anderem die DSGVO gemeint. Das Gesetz sieht vor, dass Daten nur auf Basis einer gültigen Rechtsgrundlage verarbeitet werden. Datensammlungen zu Werbezwecken, da sind die Datenschutzbehörden deutlich, bedürfen zum Beispiel einer informierten Einwilligung der Betroffenen. Zudem dürfen Daten nur zu dem Zweck verarbeitet werden, dem die Nutzer*innen zugestimmt haben, in diesem Fall also Marketing und Werbung. Auch mehrere Apps aus unserem Datensatz bitten Nutzer*innen um Einwilligungen zu diesem Zweck. Nutzer*innen können in vielen Fällen jedoch kaum überblicken, an wen die Daten übermittelt werden. Beim Verkauf von Daten wird zudem der Zweck verändert.
Zum Real Time Bidding merkt Michael Will kritisch an: Wer mit dessen Hilfe Werbung ausspielt, müsse sich fragen, ob die eigenen Vertragspartner wirklich vertragstreu seien.
In Folge der Recherche will die Datenschutzbehörde selbst aktiv werden. „Wir haben Untersuchungsbefugnisse. Von denen werden wir jetzt auf Grundlage Ihrer Informationen auch intensiv Gebrauch machen“, sagt Will – und weist darauf hin, dass seine Behörde auch Sanktionen aussprechen kann. „Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen.“
Wie die Werbeindustrie zur Gefahr für alle wurde
Standortdaten sind ein wichtiger Rohstoff in der Industrie der Online-Werbung. Anzeigen können damit Zielpersonen erreichen, die sich an bestimmten Orten aufhalten, etwa an Flughäfen, in Casinos oder im Regierungsviertel. In den USA beispielsweise wird das auch im Wahlkampf eingesetzt. Wer bestimmte Wahlkampf-Events besucht hat, kann daraufhin gezielte Online-Werbung von Parteien ausgespielt bekommen.
2023 deckte netzpolitik.org gemeinsam mit dem Privacy-Forscher Wolfie Christl auf, wie uns die Werbeindustrie in 650.000 unterschiedliche Segmente steckt. Grundlage war die versehentlich veröffentlichte Angebotsliste des Datenmarktplatzes Xandr, einer Microsoft-Tochter. Viele der Segmente basierten auf Standorten: Menschen, die in die Kirche gehen oder in Sexshops; die in wohlhabenden Vierteln wohnen oder auf dem Land.
Adtech-Firmen leiten also aus besuchten Orten Eigenschaften von Menschen ab, die sie dann für zielgerichtete Werbung einsetzen. Erst Ende 2024 stufte die US-amerikanische Regulierungsbehörde FTC diese Praxis zum Teil als rechtswidrig ein und verbot zwei Adtech-Firmen etwa aus Besuchen bei Praxen und Kliniken Gesundheitsinformationen abzuleiten.
In dem Geschäft mischen jedoch nicht nur US-Firmen mit, wie unsere Xandr-Recherche zeigte, auch mehrere deutsche Unternehmen haben ortsbezogenes Targeting im Angebot.
Die umfassende Analyse unserer Bewegungen und Eigenschaften soll uns besonders anfällig für zielgerichtete Werbung machen. Wie die Xandr-Recherche zeigte, zielen viele der Segmente auf Schwächen von Menschen ab – etwa Personen, die nicht mit Geld umgehen können, die bestimmte Krankheiten haben oder in familiären Schwierigkeiten stecken.
Längst ist bekannt, dass nicht nur die Werbebranche diese Daten nutzt, sondern auch Geheimdienste. Der Fachbegriff dafür ist ADINT (Advertising-based Intelligence). Gegen ADINT sind Bundeswehr und NATO schlecht gerüstet, wie unsere früheren Recherchen zum Datenhandel zeigten.
Globale Überwachung durch Online-Werbung
Eine Stunde aus unserem Datensatz mit Handy-Ortungen rund um den Globus. - Alle Rechte vorbehalten Martin Gundersen/NRK
Deutschland ist nur eines von 137 Ländern in unserem Datensatz. Die Anzahl der anhand ihrer Werbe-ID georteten Handys unterscheidet sich drastisch von Land zu Land. Insgesamt erfasst wurden 47 Millionen Geräte. Ganz vorne liegen die USA mit rund 33 Millionen verschiedenen Werbe-IDs an nur einem Tag. Deutschland ist mit rund 795.000 Werbe-IDs auf Platz 7. Zu den in Deutschland georteten Handys liegen rund 13 Millionen Standortdaten vor.
Weniger aussagekräftig sind die Daten aus insgesamt 73 Ländern, in denen weniger als 1.000 Handys geortet wurden.
Das Ranking beschreibt jedoch nur die Proportionen unseres Datensatzes. Ein repräsentatives Bild der weltweiten Überwachung durch Handy-Werbung kann es nicht liefern. Immerhin ist die Grundlage nur der Vorschau-Datensatz eines einzelnen US-Databrokers, datiert auf einen einzigen Tag.
Außerdem sind Zweifel an der Verlässlichkeit von gehandelten Daten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Größe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Angebote aufgebläht. Das NATO-Forschungszentrum Stratcom hat dazu geforscht und schreibt im Jahr 2021: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“
Dennoch haben unsere Recherchen mehrfach gezeigt: Auch mit schlecht gepflegten Datensätzen lassen sich Menschen in großem Stil überwachen.
Die ersten Veröffentlichungen zu den Databroker Files schlugen im Sommer hohe Wellen; Politik und Zivilgesellschaft äußerten sich schockiert und forderten Konsequenzen.
Das ist auch dieses Mal so. Das Bundesministerium für Verbraucherschutz schreibt mit Blick auf die neusten Erkenntnisse: Schon die Erhebung der Daten, mit denen Databroker handeln, müsse verhindert werden, „Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind.“ Das Ministerium setze sich unverändert für einen „konsequenten Wechsel auf alternative Werbemodelle“ ein.
Zudem fordert das Verbraucherschutzministerium technische Standards, die verhindern, dass Geräte identifizierende Daten überhaupt erheben. „Hier sind auch die Hersteller der Betriebssysteme und Endgeräte gefragt.“ Zuletzt brauche es ein konsequentes Vorgehen der Aufsichtsbehörden.
Werbemarkt „jeglicher Kontrolle entzogen“
Von einem „enormen Kontrollverlust“ spricht angesichts der neuen Recherche Martin Baumann von der Datenschutzorganisation noyb. Den wenigsten sei bewusst, dass ihre Daten an zahlreiche Firmen auf der ganzen Welt übermittelt werden, von diesen gehandelt werden und umfangreiche Profilbildung ermöglichen. Für die Einzelnen sei es „quasi ausgeschlossen, nachzuvollziehen, wo ihre Daten landen“, so Baumann. „Den Nutzern wird die Kontrolle über ihre Daten faktisch entzogen.“
„Die aktuellen Erkenntnisse zeigen und bestätigen erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen hat“, kommentiert auch Michaela Schröder vom Verbraucherzentrale Bundesverband (vzbv) die Entwicklung. „Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen.“
Verbraucher*innen seien den massiven Risiken aus dem Datenhandel schutzlos ausgeliefert. Der vzbv fordert deshalb Konsequenzen auf europäischer Ebene. „Es ist längst überfällig, dass die Europäische Kommission die Verbraucher*innen wirksam schützt und einen Vorschlag vorlegt, personalisierte Werbung zu verbieten – etwa über den angekündigten Digital Fairness Act“, so Schröder.
Der Ball liegt bei der EU
Die EU hatte bereits eine Chance, die Gefahren durch die Datensammelei der Werbe-Industrie einzudämmen. Die ePrivacy-Verordnung hätte vor Tracking und Profilbildung zu Werbezwecken schützen können. Doch der Plan ist am Lobbying der Konzerne gescheitert. In diesem Jahr kann sich eine neue Chance auftun.
Der kommende „Digital Fairness Act“ soll Lücken für Verbraucher*innen stopfen. Einen Entwurf hat die EU-Kommission noch nicht vorgelegt, aber sie hat Themen gesammelt. Auch Tracking gehört dazu. Ein Verbot war bislang wohl nicht angedacht.
Genau das bräuchte es jedoch, fordert etwa der Chaos Computer Club in einem Positionspapier: „Um alternative Werbemodelle zu stärken, sollte die neue EU-Kommission digitale Fairness ernst nehmen und ein Verbot von personalisierter Werbung auf den Weg bringen.“
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
Vor allem in ländlichen Bereichen könnte ein starkes Recht auf schnelles Internet die Lage verbessern. – Alle Rechte vorbehalten IMAGO / Westend61
Bescheidene 10 MBit/s im Download und 1,3 MBit/s im Upload, bei einer maximalen Latenz von 150 Millisekunden: Das hatte die Bundesnetzagentur als Mindestvorgabe für eine Internet-Grundversorgung Ende Dezember zur Diskussion gestellt. Das entspricht etwa Geschwindigkeiten von ADSL-Anschlüssen, die vor 20 Jahren im Massenmarkt angekommen waren.
Der Aufschlag sei „wenig ambitioniert“, sagt die Bundestagsabgeordnete Tabea Rößner. Schon lange setzt sich die Grüne für eine flächendeckende Internetversorgung und einen starken Universaldienst ein. Als Teil der Regierungskoalition und frisch bestellte Vorsitzende des Digitalauschusses im Bundestag hat ihr Wort nun neues Gewicht: Ohne den Segen des Ausschusses kann die Regelung nicht in Kraft treten.
Lang umkämpfte Regelung
Das Recht auf „schnelles“ Internet hatte die Vorgängerregierung im Rahmen der Novellierung des Telekommunikationsgesetzes (TKG) auf den Weg gebracht, gelten soll es ab dem Sommer. Für Nutzer:innen entsteht der Anspruch, nachdem die BNetzA die Unterversorgung eines bestimmten Gebiets festgestellt und ein Unternehmen zum Ausbau verpflichtet hat.
Im Gesetz sind nur grobe Leitplanken festgelegt, was als Unterversorgung gilt, Details soll die BNetzA festlegen. Schon das sorgte für heftiges Gerangel zwischen Ministerien, Wirtschaft und Verbraucherschützer:innen. Letztlich hat es die von „mindestens 80 Prozent der Verbraucher im Bundesgebiet genutzte Mindestbandbreite, Uploadrate und Latenz“ als Mindestanforderung ins Gesetz geschafft, einige Schlupflöcher lassen eine weitere Absenkung zu. Die Opposition, darunter auch Rößner, sprach von einer „Mogelpackung“ und von einem „Recht auf lahmes Internet“.
Doch damit die erfahrungsgemäß oft wirtschaftsfreundliche BNetzA nicht das letzte Wort hat, verhandelte der Bundestag noch weitere Klauseln in das fertige Gesetz: Zum einen bedarf die Rechtsverordnung der Zustimmung des Digitalausschusses, Mitspracherecht haben auch der Bundesrat sowie das Bundesministerium für Digitales und Verkehr (BMDV). Zum anderen verweist die Gesetzesbegründung ausdrücklich auf ein „30-Mbit-Produkt“, mit dem essenzielle Dienste wie Videoanrufe oder VPN-Verbindungen aus dem Home Office möglich sein sollten. Im Regierungsentwurf war noch die Rede von nur 10 MBit/s als Orientierungshilfe.
Die vom Bundestag vorgegebene Richtschnur wischt der Vorschlag der BNetzA nun mit einer abenteuerlichen Begründung vom Tisch: Die Formulierung „30-Mbit-Produkt“ sei nicht mit der konkreten Geschwindigkeit von Internetanschlüssen gleichzusetzen, vielmehr handle es sich um „Bis-zu“-Angaben aus den Werbebroschüren der Anbieter. Regelmäßig durchgeführte Untersuchungen zeigen jedoch, dass viele Kund:innen nicht die Internetgeschwindigkeit erreichen, die ihnen die Zugangsanbieter verkaufen.
Angaben der Industrie
„Fairerweise muss man eingestehen, dass der Universaldienst sich ja nach der von der Mehrheit, beziehungsweise 80 Prozent genutzten Bandbreite errechnet“, sagt Tabea Rößner. Allerdings sei hier schon fraglich, welche Daten für den Konsultationsbericht herangezogen wurden.
So habe die BNetzA für ihre Berechnungen die Diensteanbieter befragt, „obwohl wir seit vielen Jahren wissen, dass hier große Diskrepanzen zwischen Angaben der Unternehmen und tatsächlich zur Verfügung gestellten Bandbreiten bestehen“, sagt Rößner. Dabei müsste die Behörde doch längst auf Grundlage eigener Messverfahren einen Überblick über die verfügbaren und genutzten Bandbreiten haben.
Ende Januar endete die erste Phase der Konsultation. In seiner Stellungnahme zum BNetzA-Vorschlag machte schon der Bundesverband der Verbraucherzentralen (Vzbv) auf das fragwürdige Datenmaterial aufmerksam. „Anbieter können die minimalen Bandbreiten selbst festlegen. Es wundert daher nicht, dass die genutzte Mindestbandbreite entsprechend gering ausfällt“, sagt Susanne Blohm, Referentin im Team Digitales und Medien.
Zudem hätte die BNetzA nicht einkalkuliert, dass üblicherweise mehrere Personen in einem Haushalt leben und häufig gleichzeitig das Internet nutzen. Die Verbraucherschützer:innen fordern, die Mindestbandbreite im Download zunächst auf 30 Mbit/s festzulegen. Detail am Rande: Der langjährige Vzbv-Chef Klaus Müller soll Nachfolger des scheidenden BNetzA-Präsidenten Jochen Homann werden.
Schneller Ausbau erwünscht
Auf Unmut stößt der Diskussionsvorschlag der BNetzA auch bei den anderen Koalitionspartnern. Zunächst müsse man die im Anhörungsverfahren vorgelegten Stellungnahmen auswerten, sagt Jens Zimmermann, digitalpolitischer Sprecher der SPD-Bundestagsfraktion. „Ich hoffe sehr und gehe auch davon aus, dass die Mindestversorgung am Ende flächendeckend höher ausfallen wird und ausfallen muss“, sagt der SPD-Politiker.
Wichtig sei zudem, so Zimmermann, dass mit jedem weiteren Ausbauschritt die Universaldienstverpflichtung mitwachsen werde – das Gesetz sieht eine regelmäßige Überprüfung und etwaige Anpassung vor. Der eigenwirtschaftliche und öffentlich geförderte Gigabitausbau müsse daher „massiv beschleunigt und intensiviert“ werden, um flächendeckend ein wirkliches Recht auf ein schnelles Netz erreichen zu können. „Dies kann der Universaldienst, der lediglich eine Mindestversorgung gesetzlich garantiert, nicht leisten“, sagt Zimmermann.
Auch Maximilian Funke-Kaiser, digitalpolitischer Sprecher der FDP-Bundestagsfraktion, betont den Vorrang des eigenwirtschaftlichen Ausbaus. Der Universaldienst zur Gewährleistung von Mindestanforderungen müsse die „absolute Ausnahme bleiben“ und soll nur eine Grundversorgung mit Telekommunikationsdiensten sicherstellen.
Dennoch sei es nicht nur im Sinne des Ausschusses, sondern auch der Bundesregierung, so schnell wie möglich flächendeckendes Internet zu verwirklichen. Sämtliche weißen Flecken gehören erschlossen, „notfalls mit weiterführenden Technologien wie beispielsweise dem Satelliteninternet“. In jedem Fall werde die Konkretisierung der endgültigen Vorgaben „auf Grundlage des Konsultationsdokuments in enger Abstimmung mit den Koalitionspartnern erfolgen“, sagt Funke-Kaiser.
Öffentliche Debatte steht bevor
Die nun in der Opposition sitzende CDU gibt sich eher zurückhaltend. In der letzten Legislaturperiode habe sich die Union „immer für eine stabile und in der Praxis funktionierende, aber nicht überzogene Ausgestaltung des Rechtsanspruchs eingesetzt“, sagt der digitalpolitische Sprecher der CDU/CSU-Fraktion, Reinhard Brandl. Eines der Kernanliegen der Unionsfraktion während der TKG-Novelle sei es aber gewesen, dass es vor der Fachentscheidung der Behörde eine intensive Diskussion im Fachausschuss des Deutschen Bundestages dazu gibt.
Auf die öffentliche Diskussion und somit „größere Wahrnehmung des Themas“ freut sich auch die Grüne Rößner. Als Ziel stehe aber fest: „So selbstverständlich, wie der Strom oder die Post in jedes Haus geliefert werden, egal wo jemand wohnt, so selbstverständlich muss auch ein leistungsfähiger Breitbandanschluss sein“, sagt Rößner. „Und dieser Anspruch muss auch durchgesetzt werden können.“
