Genaue Standortdaten von Wetter-Online-Nutzer:innen – verkauft von Databrokern. Mehr als ein Jahr nach den ersten Berichten von netzpolitik.org und BR dauert das Verfahren gegen die populäre App noch an. Nun will die zuständige Datenschutzbehörde ein Bußgeld verhängen.

Die Landesbeauftragte für Datenschutz Nordrhein-Westfalen hat ein Bußgeldverfahren gegen Wetter Online eingeleitet. Wann es zu einem Abschluss kommt, sei derzeit jedoch noch nicht absehbar, erklärt Pressesprecher Jan Keuchel auf Anfrage von netzpolitik.org.

Mehr als 100 Millionen Mal wurde die App allein aus dem Google Play Store heruntergeladen; nach eigenen Angaben hat das Angebot mehr als 22 Millionen Nutzer:innen. Was vielen dieser Menschen wohl nicht klar war: Wetter Online hatte offenbar genaue Standortdaten erfasst, obwohl das für eine Wettervorhersage nicht notwendig wäre, und diese Daten sind darüber hinaus offenbar bei Dritten gelandet.

Zu diesem Schluss ist die Landesbeauftragte für Datenschutz, Bettina Gayk, gekommen. Nach intensiven Ermittlungen wirft ihre Behörde dem Unternehmen vor, „über Jahre Standortdaten seiner Nutzer*innen ohne Rechtsgrundlage, konkret ohne deren wirksame Einwilligung erhoben und für Werbezwecke (weiter-)verarbeitet zu haben“, so der Behördensprecher. Laut Jahresbericht der Datenschutzbehörde hatte man die Praxis zügig stoppen können; Wetter Online hat demnach nachgebessert.

Anstoß für das Verfahren der Datenschutzbehörde gegen Wetter Online waren die Databroker-Files-Recherchen von netzpolitik.org und BR. Auf Grundlage dieser Recherchen beleuchtet nun auch eine neue Dokumentation der ARD den außer Kontrolle geratenen Handel mit personenbezogenen Daten und geht auch auf den Fall Wetter Online ein.

Der Film „Gefährliche Apps –  Im Netz der Datenhändler“ erzählt anschaulich, wie Standortdaten aus der Online-Werbeindustrie über Handy-Apps abfließen und letztlich zur Handelsware von Databrokern werden.

Achtung, Datenhandel! Lebensgefahr!

Überraschungsbesuch von der Datenschutzbehörde

Um sich selbst ein Bild von der Lage bei Wetter Online zu machen, hatten Mitarbeiter:innen der Datenschutzbehörde im vergangenen Jahr bei Wetter Online einen überraschenden Kontrollbesuch gemacht. Davon berichtet die Datenschutzbeauftragte Bettina Gayk in der Doku: „Man hat uns mitgeteilt, dass Standortdaten nur für eigene Zwecke, nämlich das Ausspielen dieses Wetterdienstes genutzt werden“. Tatsächlich aber habe man feststellen können, dass die Daten auch für andere Zwecke verarbeitet werden. Außerdem habe es Schnittstellen zum Teilen der Daten mit Dritten gegeben.

Das Unternehmen selbst hat auf eine aktuelle Presseanfrage von netzpolitik.org nicht reagiert. Im vergangenen Jahr erklärte Wetter Online jedoch, dass niemals GPS-Daten „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, so ein Sprecher des Unternehmens im Juni 2025.

Wie genau Handy-Standortdaten von Wetter-Online-Nutzer:innen letztlich in dem uns vorliegenden Datensatz gelandet sein könnten, erklärte der Sprecher damals nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“

Unklar bleibt deshalb auch, an welche Drittparteien Standortdaten abgeflossen sein könnten. Zeitweise listete Wetter Online in der Datenschutzerklärung mehr als 800 Werbepartner auf.

Zehntausende Handys an nur an einem Tag geortet

Hinter dem globalen Datenhandel stecken mindestens Zehntausende Apps. Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten von verschiedenen Datenhändlern vor, allesamt erhalten als kostenlose Vorschau-Pakete. Woher die Daten stammen, erfahren Käufer:innen oft nicht. Im Januar 2025 konnten wir jedoch gemeinsam mit internationalen Partnermedien erstmals über einen Datensatz berichten, in dem auch konkrete Apps genannt werden. Insgesamt enthält dieses Datenset 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Verweisen auf rund 40.000 Apps für Android und iOS.

In dem Datensatz fanden wir auch zahlreiche Apps aus Deutschland, dazu teils genaue Handy-Standortdaten. Unter den Apps mit den meisten in Deutschland georteten Handys war Wetter Online. An nur einem Tag wurden zehntausende Wetter-Online-Nutzer:innen in Deutschland wohl teils auf den Meter genau geortet.

Die Landesdatenschutzbeauftragte Bettina Gayk reagierte damals umgehend und forderte Wetter Online schon kurz nach unserer Berichterstattung auf, die Verarbeitung präziser Standortdaten „so schnell wie möglich“ zu beenden. Das Unternehmen hinter der App, die „WetterOnline – Meteorologische Dienstleistungen GmbH“ hat ihren Sitz in Nordrhein-Westfalen, weshalb der Fall in die Zuständigkeit von Gayks Behörde fällt.

So gefährlich ist der Datenhandel

Die TV-Doku macht nun anhand konkreter Fälle anschaulich, wie gefährlich solche vermeintlich harmlosen Werbedaten in den falschen Händen werden können: Sie können etwa für Stalking genutzt werden, für Spionage durch ausländische Geheimdienste oder sogar Frontstellungen in der Ukraine verraten.

Die Standortdaten von Handys landen oft auf verschlungenen Pfaden bei den Databrokern. In der Regel enthalten die dort gehandelten Datensätze zwar keine Namen oder Telefonnummern der betroffenen Menschen. Aufspüren lassen sie sich dank der Mobile Advertising ID oftmals trotzdem.

Eine solche pseudonyme Identifikationsnummer ordnen Apple und Google Smartphones mit iOS oder Android zu. Mit ihr sollen Werbetreibende einzelne Personen wiedererkennen. Zugleich bewirkt die Nummer, dass sich vereinzelte Standortdaten zu aussagekräftigen Bewegungsprofilen zusammensetzen lassen.

In zahlreichen Recherchen haben wir aufgezeigt, wie leicht man anhand dieser Daten Personen ins Visier nehmen, identifizieren und ausspionieren kann. Mühelos lässt sich oftmals ablesen, wo Menschen wohnen und arbeiten, wo sie einkaufen und spazieren gehen – oder welche Ärzte, Bordelle oder religiösen Gebäude sie aufsuchen. So entdeckten wir in den Datensätzen auch genaue Standortdaten von hochrangigen Beamt:innen der EU-Kommission oder von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdiensten in Deutschland.

Datenschutzbehörde: Wirksame Einwilligung fehlte

Dass Tracking-Daten alles andere als harmlos sind, betont auch die Datenschutzbehörde. „In Kombination mit anderen Daten können solche Standortdaten zur Erstellung von Bewegungsprofilen genutzt werden und potenziell tiefe Einblicke in das Leben der Betroffenen ermöglichen“, erklärt Sprecher Jan Keuchel. „Die Gefahr eines Missbrauchs ist deshalb groß.“

Es müsse sichergestellt werden, dass Standortdaten und ähnliche Daten nur auf Basis einer wirksamen Rechtsgrundlage verarbeitet werden. „Dies gilt umso mehr, sofern die Daten zu Werbezwecken an Dritte weitergeleitet werden.“ Dafür komme aus datenschutzrechtlicher Sicht nur die informierte und freiwillige Einwilligung der Betroffenen infrage, so Keuchel.

Damit diese Einwilligung auch wirksam ist, müssten Nutzer:innen verstehen können, wozu sie genau ihr Einverständnis geben, zu welchen Zwecken ihre Daten verarbeitet werden und welche Dritten sie für welchen Zweck erhalten. An solch einer wirksamen Einwilligung habe es im Fall von Wetter Online gefehlt, so Keuchel weiter.

Potenzielle Gefährdung „hoch“

Auf Wetter Online könnte nun eine Geldbuße zukommen: „Da die potenzielle Gefährdung der Rechte der betroffenen Nutzer*innen hoch war“, so Behördensprecher Keuchel, könne man es nicht bei einer „Anordnung zur datenschutzgerechten Anpassung des Verfahrens“ belassen.

Dass der Fall nach mehr als einem Jahr noch nicht abgeschlossen ist, erklärt Keuchel mit dessen Umfang und der Komplexität. Die Untersuchungen hätten „eine Anhörung, einen Vor-Ort-Termin sowie verschiedene schriftliche Auskunftsersuchen gegenüber dem Unternehmen“ umfasst. „Das Geldbußeverfahren verlangt noch einmal eigene Arbeitsschritte.“ Grundsätzlich spiele es bei derlei Verfahren auch eine Rolle, ob der Sachverhalt „von dem betroffenen Unternehmen eingeräumt oder bestritten wird und ob es zu einer rechtlichen Auseinandersetzung kommt“.

Datenschutz-Nachhilfe von der Aufsichtsbehörde brauchte Wetter Online unterdessen auch in einem weiteren Fall: Ein Datenauskunftsersuchen unserer Redaktion im Rahmen der Databroker-Recherchen versuchte das Unternehmen zunächst mit Hinweis auf zu hohen Aufwand abzuwimmeln. Erst als wir – unterstützt von der Datenschutzorganisation noyb – Beschwerde bei der Behörde einlegten, rückte Wetter Online zumindest ein paar Daten heraus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

PayPal ist im Frühjahr ins Werbegeschäft eingestiegen. Der Finanzdienstleister hortet umfangreiche persönliche Informationen über Menschen, die ihn nutzen, und stellt solche Daten Werbetreibenden zur Verfügung. Ein juristisches Gutachten zeigt nun, dass das illegal ist.

Mit Paypal kann man jetzt auch in Geschäften zahlen – und sogar auf dem Flohmarkt, wie Schauspieler Will Ferrell in einer Werbekampagne zeigt. In der deutschen Version sagt er zu einem kleinen Jungen, der ihn beim Kauf einer Actionfigur über den Tisch zieht: „Wenigstens meine Daten sind sicher vor euch Abzockern.“ Doch die Aussage ist nicht wahr.

Die Finanztransaktionsplattform PayPal positioniert sich in einer Werbekampagne als Alternative zum Bargeld. Dabei gibt es einen drastischen Unterschied zwischen beiden Zahlungsmitteln. Bargeld wird zwar auch getrackt, aber die Daten, die Paypal erhebt – und an Werbetreibende verkauft – sind viel umfassender als nur die Info, welche Summe von wo nach wo wandert.

Das Netzwerk Datenschutzexpertise hat die Datenschutzpraxis von Paypal im Rahmen eines juristischen Gutachtens untersucht und kommt zu einem vernichtenden Ergebnis. Das Unternehmen erfasst, was du zu welchem Preis kaufst, von welchem Unternehmen du es erwirbst, und wohin du es liefern lässt. Es speichert Standortdaten, die Liste der Apps auf deinem Telefon, welches Gerät und welchen Browser du benutzt und welche Websites du besuchst.

PayPal speichert teils sogar die sexuelle Orientierung

Das Unternehmen erlaubt sich laut Datenschutzerklärung auch, deinen Fingerabdruck zu erfassen, dein Einkommen, deine Telefon- und Steuernummer, deinen Beruf, dein Alter, dein Geschlecht, deine Kreditwürdigkeit und deine finanzielle Situation. In dem Datensatz, den der Konzern über dich anlegt, sind – so die Datenschutzerklärung – womöglich auch religiöse Überzeugungen, politische oder philosophische Ansichten, Behinderungen und die sexuelle Orientierung vermerkt, sowie „Daten aus den von Ihnen verknüpften Drittkonten“.

PayPal kann laut dem Gutachten extrem sensible Informationen sammeln, weil auch Zahlungen an Gesundheitseinrichtungen oder Anwält*innen, sowie Spenden an politische Parteien und religiöse Institutionen über die Plattform abgewickelt werden. PayPal speichert die Daten, so lange das Konto existiert und zehn Jahre darüber hinaus.

Seit dem Frühjahr ist PayPal auch im Werbe-Business

Paypal ist im Internet das populärste Zahlungsmittel. Im Frühjahr 2025 – kurz vor dem Start der Webekampagne mit Will Ferrell – ist der Konzern auch ins Werbegeschäft eingestiegen. Er nutzt dabei Zahlungsdaten, um Werbung zu personalisieren.

Das Netzwerk Datenschutzexpertise schreibt in seinem Gutachten: „Die hohe Aussagekraft der Finanztransaktionsdaten begründet ein hohes Nutzungs- und auch ein hohes Missbrauchspotenzial“. So sei damit beispielsweise manipulative Werbung möglich und auch eine diskriminierende Preisgestaltung.

Dabei muss Zahlungsverkehr in Deutschland und Europa eigentlich anonym ablaufen. Ausnahmen von der Regel sind nur erlaubt, wenn sie eindeutig nötig und gut begründet sind.

PayPal speichert sensible Daten ohne explizite Einwilligung

Laut des Gutachtens informiert PayPal seine Kund*innen nicht hinreichend darüber, wofür, an wen und auf welcher Rechtsgrundlage Daten weitergegeben werden und speichert die Daten unerlaubt lange. Zudem geht das Unternehmen davon aus, dass Menschen mit der Nutzung des Dienstes in die Datenverarbeitung einwilligen. Dabei muss diese Einwilligung – spätestens, wenn es um sensitive Daten, Marketing- und Werbezwecke oder die Weitergabe von Daten geht – tatsächlich bewusst, informiert, genau definiert und unabhängig von der Verfügbarkeit des Dienstes gegeben werden, um rechtmäßig zu sein. Die Kund*innen müssen wissen, wozu sie da eigentlich zustimmen.

Der Konzern bietet Unternehmen die personenbezogenen Informationen laut dem Gutachten in aggregierter Form an. Die Firmen können dann über PayPal auf Webseiten, Apps und Smart-TVs Werbung platzieren, die angeblich die Zielgruppe sehr genau erreicht. Auch der direkte Verkauf der Daten an Werbefirmen war zumindest mal geplant. Über die aktuelle Umsetzung dieses Projekts in Europa ist dem Netzwerk Datenschutzexpertise nichts bekannt.

Einen Teil der Informationen sammelt PayPal angeblich, um betrügerische Kontozugriffe zu verhindern. Im August 2025 waren die Anmeldedaten zu 15 Millionen PayPal-Konten im Darknet aufgetaucht, woraufhin die Zahl der Betrugsversuche massiv in die Höhe ging.

Die Liste der Datenempfänger umfasst 600 Unternehmen

PayPal behält sich vor, die erfassten Daten weiterzugeben, beispielsweise an Behörden, andere Finanzinstitute, Inkassobüros, Auftragsverarbeiter und Partnerunternehmen. Eine Liste mit möglichen Datenempfängern umfasst 600 Firmen aus vielen Staaten der Welt.

Die Datenschutzerklärung, die 7.000 Wörter umfasst, lässt „nicht erkennen, mit welchen Daten auf welcher Rechtsgrundlage welche Zwecke verfolgt werden“, so das Netzwerk Datenschutzanalyse. Problematisch sei, dass sowohl die Kategorien der Daten als auch die Arten der Verarbeitung nur beispielhaft und nicht abschließend aufgeführt werden.

Auch die AGB seien ausgesprochen nutzerunfreundlich. Sie umfassen 17 Dokumente, wobei für Kund*innen nicht ersichtlich sei, welche für sie relevant sind. Hinzu kommen 20.000 Wörter Nutzungsbedingungen ohne Inhaltsverzeichnis. Mit der Eröffnung eines Kontos erklären sich Nutzer*innen mit all diesen Bedingungen einverstanden.

So widerspricht man der Datennutzung zu Werbezwecken

Die Nutzung der Daten zu Werbezwecken ist in PayPal-Konten voreingestellt. Wer das abschalten möchte, muss auf der Website erst auf „Daten und Datenschutz“ und dann auf „personalisierte Angebote und Werbung“ klicken. Dort lässt sich ein Regler zwischen einem grauen und einem schwarzen Feld hin- und herbewegen. Welche die datenschutzfreundliche Option ist, wird nicht erklärt. Mit Entwicklertools lässt sich im Browser allerdings die Antwort von PayPal auf verschiedene Einstellungen auslesen. Regler links, Feld grau hinterlegt, gibt als Response: DENY_CONSENT. Diese Einstellung verweigert also wohl die Zustimmung zur Werbenutzung. Der mögliche Opt-Out steht im Widerspruch zur Datenschutzgrundverordnung, wonach die Voreinstellung eine möglichst geringe Datenverarbeitung („Privacy by Default“) vorsehen muss.

Als besonders problematisch sieht das Netzwerk Datenschutzexpertise, dass die personenbezogenen Daten auch nach außerhalb der EU übermittelt werden. Der Hauptsitz von PayPal ist in den USA, dort sind die Daten deutlich schlechter geschützt als in Europa. Zudem ist das Unternehmen gezwungen, Daten an US-Behörden herauszugeben, wenn diese sie anfordern.

Die Datenschutzexpert*innen sehen ihre Analyse der Datenschutzpraxis von PayPal nur als exemplarischen Fall. „Es ist zu vermuten, dass die bei PayPal festgestellten Mängel in ähnlicher Form bei anderen Unternehmen in diesem Bereich bestehen“, schreiben sie. BigTech-Unternehmen würden zunehmend versuchen, auf Finanztransaktionsdaten zuzugreifen, um diese mit Daten aus anderen Anwendungen zu kombinieren und kommerziell zu nutzen. Deshalb fordern die Datenschutz-Expert*innen, die Nutzung von Finanzdaten für Werbezwecke generell zu verbieten.

Laut Heise Online prüft Paypal das Gutachten derzeit. Es lässt sich wie folgt zitieren: „Die Einhaltung der EU-Datenschutzanforderungen ist für uns sowohl für die Entwicklung als auch den Betrieb unserer Produkte von zentraler Bedeutung, um ein qualitativ hochwertiges Erlebnis und Sicherheit im Zahlungsverkehr für unsere Kund:innen sicherzustellen.“

Update, 13.12.2025, 14.08 Uhr: Erklärung hinzugefügt, welche Reglerstellung die Nutzung von Daten für Werbung untersagt.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.