Nach Datenhändler-Enthüllungen fordern Behörden und Verbraucherschützer Konsequenzen
Eine gemeinsame Recherche des Bayerischen Rundfunks (BR) und der Nachrichtenseite netzpolitik.org hatte vergangene Woche gezeigt, wie einfach es ist, an Standortinformationen von Millionen von Personen zu gelangen. Die Redaktionen hatten eine kostenlose Probe von 3,6 Milliarden Datensätzen von dem US-Datenhändler Datastream Group erhalten. Die Daten sollen von mehreren Millionen Menschen aus Deutschland stammen, mit denen sich teils sehr genaue Bewegungsprofile rekonstruieren ließen. Vermittler war der in Berlin ansässige Online-Marktplatz Datarade. Verbraucherschützer und das zuständige Bundesministerium (BMUV) fordern vom Gesetzgeber nun, entschiedener gegen den Handel mit Standortdaten vorzugehen.
In dem Datensatz waren auch die Bewegungsprofile von mutmaßlich mehreren Zehntausend Personen enthalten, die in sogenannten sicherheitsrelevanten Bereichen arbeiten. Dazu zählen Bundesministerien, Rüstungsunternehmen, Dienststellen des Verfassungsschutzes, Bundesnachrichtendienst und Bundeskriminalamt sowie US-amerikanischen Militäreinrichtungen in Deutschland.
Aus Sicht des Bundesministeriums für Umwelt- und Verbraucherschutz (BMUV) sind die Geschäfte der Datenmarktplätze, die Daten zu nicht weiter spezifizierten Zwecken verkaufen, bereits nach aktuellem Recht nicht zulässig und nicht mit dem Datenschutzrecht vereinbar. “Solch ein Datenhandel ist kein rechtmäßiges Geschäftsmodell”, erklärte die Behörde auf Anfrage von Posteo. “Derartige sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für kommerzielle Zwecke Dritter verfügbar sein.” Sie böten Unternehmen Einblicke in privateste Gewohnheiten und Ansichten und könnten dies für Fremdbestimmung, Verhaltenssteuerung, Diskriminierung und Manipulation der Verbraucher ausnutzen.
“Bei Datenmarktplätzen in Deutschland ist deshalb, wenn diese datenschutzrechtlich verantwortlich sind, eine konsequente Sanktionierung erforderlich”, so das Ministerium weiter. Für die Durchführung und Kontrolle des Datenschutzrechts bei Datenmarktplätzen in Deutschland seien die Datenschutzaufsichtsbehörden der Bundesländer zuständig. Gegenüber Unternehmen im Ausland gestalte sich die Rechtsdurchsetzung hingegen herausfordernder.
Zwar untersage der für alle Online-Vermittler und -Plattformen in der EU gültige Digital Service Act (DSA) die Nutzung sensibler Daten für personalisierte Werbung, aber das sei nicht der erforderliche zentrale Ansatz, so das BMUV. “Am besten ist es überhaupt, die Erhebung von personenbezogenen Daten zu Zwecken der personalisierten Werbung im Ausgangspunkt zu vermeiden.” Es brauche eine klare Regulierung, die umfassend vor der Datennutzung für personalisierte Werbung schützt und einen konsequenten Wechsel auf alternative Werbemodelle fördert – etwa kontextbasierte Werbung.
Bezüglich der datenschutzrechtlichen Verantwortung der Datenmarktplätze hatte die designierte Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider anlässlich der Veröffentlichung der Recherchen Mitte Juli erklärt, gegen Datenmarktplätze wie Datarade könne ihrer Ansicht nach nur schwer vorgegangen werden, weil sie nur als Makler fungierten und selbst keine personenbezogenen Daten verarbeiten. “In gewissem Sinne ist das eine Regulierungslücke”, sagte sie. Datenhändler außerhalb der Europäischen Union seien für europäische Behörden zudem nur schwer greifbar.
Auch ein Sprecher der Berliner Datenschutzbeauftragten erklärte gegenüber heise online: “In dem Moment, in dem wir keine personenbezogene Datenverarbeitung vorfinden, ist es für uns als Aufsicht nicht möglich, datenschutzrechtlich tätig zu werden”. Der Gesetzgeber müsse diese Regelungslücke schließen, forderte er. “Es sollte schlicht unzulässig sein, höchst detaillierte Datenprofile in verzweigten Netzwerken zu Werbezwecken zusammenzustellen und zu nutzen.”
Er gehe davon aus, dass die Datenerhebung gegen die Datenschutzgrundverordnung verstößt. Explizit zweifelte er an, dass die Betroffenen eine informierte Einwilligung für die Datensammlung gegeben hätten. “Die Einwilligung setzt voraus, dass die betroffenen Personen tatsächlich überschauen können, was mit ihren Daten zu welchen Zwecken geschieht”, sagte er. “Das ist offensichtlich nicht der Fall, wenn Hunderte von Datenpunkten an hunderte Empfänger oder mehr im Hintergrund weitergeben werden.” Betroffene Personen könnten die Konsequenzen der Datenfreigabe nicht erfassen und die Risiken nicht einschätzen.
Verbraucherzentrale will generelles Verbot von Werbetracking
In einer Stellungnahme gegenüber Posteo forderte Ramona Pop, Vorständin des Verbraucherzentrale Bundesverbands (vzbv) den Gesetzgeber ebenfalls auf, den Praktiken der Werbeindustrie mit neuen Regelungen entgegenzutreten. Die Datenschutzgrundverordnung (DSGVO) und weitere rechtliche Bestimmungen reichten hier offenbar nicht aus, schrieb Pop. “Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern”.
Aktuell werde die Verantwortung auf die Verbraucherinnen und Verbraucher abgeschoben, obwohl diese gar nicht in der Lage seien, diese wahrzunehmen. Auch seien die Risiken für Verbraucher unüberschaubar, wenn Bewegungsprofile angefertigt werden.
Es müsse für die Verbraucher möglich sein, sich on- und offline bewegen zu können, ohne unter ständiger Beobachtung zu stehen. “Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden”, so Pop weiter. Dafür soll sich die Bundesregierung auf europäischer Ebene einsetzen. Nur gegen einzelne Apps oder Unternehmen vorzugehen, gleiche hingegen einem “Kampf gegen Windmühlen”.
US-Senator fürchtet um die Sicherheit von Militärangehörigen
Mittlerweile haben die Recherchen auch international Reaktionen hervorgerufen. Der US-Senator Ron Wyden (Demokraten) sorgt sich wegen des Verkaufs von Standortdaten auch um die Sicherheit von US-Personal. Gegenüber netzpolitik.org sagte er: “Es ist empörend, dass US-amerikanische Datenhändler Standortdaten weitergeben, die von Tausenden von Handys gesammelt wurden, die US-Militärstützpunkte in Deutschland besucht haben.” Bei den Recherchen waren die beteiligten Redaktionen auch auf 200.000 Standortdaten von Personen gestoßen, die sich auf einem NATO-Truppenübungsplatz in der Oberpfalz aufgehalten hatten.
Wyden bezeichnet die “unkontrollierte Branche der Datenhändler” als eine “klare Bedrohung für die nationale Sicherheit”. “Ich habe beim Pentagon bereits ein Briefing angefordert und setze mich weiterhin für ein Gesetz ein, das die Ausfuhr personenbezogener Daten streng regelt.” Der demokratische Senator setzt sich seit vielen Jahren für den Schutz der Grundrechte und eine bessere Kontrolle der Sicherheitsbehörden ein. Unter anderem hatte er im Jahr 2023 einen überparteilichen Gesetzentwurf eingebracht, der es Social-Media-Plattformen im Ausland wie TikTok verbieten sollte, persönliche Informationen von Amerikanern nach China zu senden; gleichzeitig sollten Unternehmen in Ländern mit starkem Datenschutz einen besseren Zugang zu US-Daten erhalten.
Das Geschäft der Datenhändler steht in den USA schon seit längerem in der Kritik. Die New York Times hatte beispielsweise bereits im Jahr 2018 gezeigt, dass sich aus solchen Datensätzen Rückschlüsse auf betroffene Personen ziehen lassen. Aus den USA ist auch bekannt, dass Behörden solche Daten erwerben. Kritiker bemängeln, durch die kommerziell verfügbaren Daten könnten Behörden an Informationen gelangen, für die sie andernfalls eine richterliche Anordnung benötigten – und warnen vor Gefahren für die Privatsphäre. Die US-Handelsaufsicht FTC ist bereits gegen Datenhändler wie X-Mode vorgegangen.
Netzpolitik.org hat in einem Artikel Tipps zusammengefasst, um die Standortüberwachung durch Smartphone-Apps abzuschalten oder zumindest einzuschränken. (hcz)