US-Datenhändler verkauft Standortinformationen von Millionen deutschen Nutzern

Das Symbol für Kartenmarkierungen auf Würfeln
Tracking und Profilbildung zu Werbezwecken müsse verboten werden, fordern Verbraucherschützer. (Quelle: IMAGO / Zoonar)

Datenhändler verkaufen sensible Standortdaten von Nutzerinnen und Nutzern weltweit. Eine gemeinsame Recherche des Bayerischen Rundfunks (BR) und von netzpolitik.org zeigt nun: Auch die Daten von Menschen aus Deutschland werden auf diese Art und Weise weitergegeben. Politiker warnen vor einem “relevanten Sicherheitsproblem”.

Standortdaten werden häufig von Smartphone-Apps gesammelt: Beispielsweise von Wetter- oder auch Navigations-Apps. Häufig werden solche Daten auch kommerziell gehandelt – etwa um Nutzern zielgerichtete Werbung anzuzeigen.

Journalistinnen und Journalisten von BR und netzpolitik.org haben eine kostenlose Probe solcher Daten von dem US-Datenhändler Datastream Group erhalten – als Teil eines kommerziellen Angebots. Hergestellt wurde der Kontakt zu dem Unternehmen laut den am Dienstag veröffentlichten Recherchen über den in Deutschland ansässigen Online-Marktplatz Datarade.

Der Datensatz umfasste laut den Recherchen 3,6 Milliarden Standortdaten aus einem Zeitraum von zwei Monaten des vergangenen Jahres. Diese Daten sollen von mehreren Millionen Menschen aus Deutschland stammen, mit denen sich teils sehr genaue Bewegungsprofile rekonstruieren ließen. Um wie viele Betroffene es sich konkret handelt, sei auch aufgrund von einigen Fehlern in dem Datensatz unklar. Das Unternehmen Datastream wirbt damit, stündlich aktualisierte Standortinformationen zu liefern. Netzpolitik.org schreibt, es handle sich um eine “neue Dimension der Massenüberwachung”.

Zwar sind die Standortdaten nicht mit den Namen der Nutzer verknüpft. Dafür aber mit einer eindeutigen Werbekennung (“Mobile Advertising ID”), die dem jeweiligen Gerät zugeordnet ist.

Die Journalisten konnten eigenen Angaben zufolge anhand dieser Daten mehrere Personen über deren Wohnorte und Arbeitsplätze identifizieren und ganze Tagesabläufe nachvollziehen – darunter auch Besuche von Kliniken oder Bordellen.

Verifizierte Daten

Einige Personen, deren Bewegungsprofile sich rekonstruieren ließen, wurden von den Journalisten kontaktiert, um die Daten zu verifizieren. Die Betroffenen zeigten sich überrascht, dass ihre Standortdaten kommerziell verfügbar waren.

Zudem seien in dem Datensatz auch die Bewegungsprofile von mutmaßlich mehreren Zehntausend Personen vorhanden gewesen, die in sogenannten sicherheitsrelevanten Bereichen arbeiten. Dazu zählen Bundesministerien, Rüstungsunternehmen, Dienststellen des Verfassungsschutzes, Bundesnachrichtendienst und Bundeskriminalamt sowie Militäreinrichtungen in Deutschland.

Die Online-Plattform Datarade und der Anbieter der Daten antworteten nicht auf Anfragen von BR und netzpolitik.org.

Es geht um die “Privatsphäre aller”

Die Präsidentin des Verbraucherzentrale Bundesverbands, Ramona Pop, sagte gegenüber den Medien, Verbraucherinnen und Verbraucher seien der Werbeindustrie “offenbar ausgeliefert”. Sie forderte: “Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern. Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden.”

Konstantin von Notz (Grüne) sprach von einem “relevanten Sicherheitsproblem”. Der Vorsitzende des Parlamentarischen Kontrollgremiums, das die Nachrichtendienste kontrolliert, warnte, auch Staaten könnten solche Daten zu Spionagezwecken nutzen. “Wenn man weiß, wie Menschen sich verhalten und bewegen, dann sind sie ausspionierbar. Dann kann man Kontakte herstellen, Zufallssituationen generieren, um mit Menschen ins Gespräch zu kommen, um sie anzuwerben oder zu bestechen”, so von Notz. Er forderte auch, die Daten dürften “in der Form” nicht erhoben und nicht verkauft werden und konstatierte, es gehe um die “Privatsphäre aller Menschen, die in der Bundesrepublik leben”.

Louisa Specht-Riemenschneider, Professorin für Datenrecht und Datenschutz an der Universität Bonn und designierte Bundesdatenschutzbeauftragte, erklärte, Datenhändler außerhalb der Europäischen Union seien für europäische Behörden nur schwer greifbar. Auch gegen Datenmarktplätze wie Datarade könne ihrer Ansicht nach nur schwer vorgegangen werden. Sie sagte: “Der Datenmarktplatz ist ja im Prinzip ein Makler, der verarbeitet keine personenbezogenen Daten selbst. In gewissem Sinne ist das eine Regulierungslücke.” Der Gesetzgeber sei dringend angewiesen, eine Lösung zu finden.

Kritik an Standortdaten-Verkauf auch in den USA

Das Geschäft der Datenhändler steht schon seit längerem in der Kritik, insbesondere in den USA. Die New York Times hatte beispielsweise bereits im Jahr 2018 gezeigt, dass sich aus solchen Datensätzen Rückschlüsse auf betroffene Personen ziehen lassen.

Aus den USA ist auch bekannt, dass Behörden solche Daten erwerben. Kritiker bemängeln, durch die kommerziell verfügbaren Daten könnten Behörden an Informationen gelangen, für die sie andernfalls eine richterliche Anordnung benötigten – und warnen vor Gefahren für die Privatsphäre.

Auch die US-Handelsaufsicht FTC ist bereits gegen Datenhändler vorgegangen: Unter anderem dem Unternehmen X-Mode hat die Behörde untersagt, “sensible Standortdaten” weiterzugeben und zu verkaufen. Sie hatte gewarnt, solche Daten könnten beispielsweise Aufschluss darüber gegeben, welche medizinischen Behandlungen eine Person in Anspruch nimmt.

Das Online-Magazin netzpolitik.org hat in einem Artikel auch Tipps zusammengefasst, um die Standortüberwachung durch Smartphone-Apps abzuschalten oder zumindest einzuschränken. (js)