Smartphone-TrackingWie Daten von kommerziellen Apps an den Staat gelangen

Der norwegische Journalist Martin Gundersen zeichnet in einer großen Recherche nach, wie seine Daten von genutzten Apps über Umwege in die Hände eines Datenbrokers kamen, der mit US-Polizeibehörden zusammenarbeitet. Datenschützer halten diese Form der Überwachung für neu und beispiellos.

Mit den angefragten Daten von Venntel konnte der Journalist Gundersen nachvollziehen, wo er im Sommer wanderte und auf welcher Holzbank er wie lange eine Pause machte. – Alle Rechte vorbehalten (mit freundlicher Genehmigung) NRK

Martin Gundersen hat sich im Februar dieses Jahres 160 Apps auf ein zusätzliches Smartphone installiert und dieses Gerät seitdem immer bei sich gehabt. Es ist der Anfang einer großen Recherche, deren Ergebnisse jetzt bei NRKbeta vom öffentlichen Rundfunk Norwegens und bei Motherboard veröffentlicht wurden.

Kommerzielle Überwachung begründet ihre vermeintliche Harmlosigkeit immer damit, dass die Daten doch nur für Werbung, ein besseres Nutzer:innenerlebnis oder ein bisschen Analyse verwendet würden. Doch durch vergangene Recherchen kam heraus, dass US-Behörden und das Militär gezielt kommerzielle Nutzerdaten aufkaufen und benutzen. Die US-Grenzbehörden haben aufgrund solcher gekauften Daten auch schon mal einen Drogenschmuggler geschnappt. Beteiligt an diesem Datenverkauf war auch das Unternehmen Venntel.

75.000 Ortsdaten

Bei diesem Unternehmen hat Gundersen nun Ende August auf Grundlage der Datenschutzgrundverordnung (DSGVO) seine Daten angefragt. Das Unternehmen ist nach der DSGVO verpflichtet, Auskunft darüber zu geben und jede:r Europäer:in hat das Recht diese Daten anzufragen. Gundersen gab Venntel seine „Advertizing ID“, ein Identifier, der sich übrigens bei iPhones einfach abschalten und bei Android-Handys zurücksetzen lässt.

Gundersen berichtet weiter:

Fast einen Monat später erhielt ich einen interessanten E-Mail-Anhang von Venntel. Er enthielt Informationen darüber, wo ich seit dem 15. Februar 75.406 Mal gewesen war. Plötzlich konnte ich jeden meiner Schritte zurückverfolgen – auf einer Wanderung, auf einen Drink und bei einem Besuch bei meiner Großmutter in Südnorwegen.

Obwohl kein Name und keine Telefonnummer in den Daten war, sei es einfach herauszufinden, wem die Daten gehören, ist sich Gundersen sicher. Deutlich und klar sind durch die Daten seine Wohn- und Arbeitsadresse zu erkennen.

Venntel informierte Gundersen darüber, dass seine Daten an Kunden des Unternehmens weitergegeben worden seien. An welche Kunden, das verriet Venntel jedoch nicht.

Doch wie kamen die Daten überhaupt an Venntel? In keiner der 160 Apps stand der Name Venntel, nicht einmal im Kleingedruckten, berichtet Gundersen. Heraus bekam er aber, dass Venntel, die Informationen von seiner Mutterfirma, dem Datenbroker Gravy Analytics erhalten hatte. 

Dehnbare DSGVO-Auslegung

Gravy Analytics wollte oder konnte die Herkunft eines Großteils der Daten gegenüber Gundersen auch nicht erklären, aber es tauchten die Namen der Firmen Predicio aus Frankreich und Complementics aus den USA auf. In weiteren Anfragen kam heraus, dass ein großer Teil der ortsbezogenen Daten von einem slowakischen Unternehmen namens Sygic stammte, welches ein Portfolio von 70 Apps anbietet.

In diesem Fenster soll ein Twitter-Post wiedergeben werden. Hierbei fließen personenbezogene Daten von Dir an Twitter. Aus technischen Gründen muss zum Beispiel Deine IP-Adresse übermittelt werden. Twitter nutzt die Möglichkeit jedoch auch, um Dein Nutzungsverhalten mithilfe von Cookies oder anderen Tracking-Technologien zu Marktforschungs- und Marketingzwecken zu analysieren.

Wir verhindern mit dem WordPress-Plugin „Embed Privacy“ einen Abfluss deiner Daten an Twitter so lange, bis Du aktiv auf diesen Hinweis klickst. Technisch gesehen wird der Inhalt erst nach dem Klick eingebunden. Twitter betrachtet Deinen Klick als Einwilligung in die Nutzung deiner Daten. Weitere Informationen stellt Twitter hoffentlich in der Datenschutzerklärung bereit.

Zur Datenschutzerklärung von Twitter

Zur Datenschutzerklärung von netzpolitik.org

Gundersen hatte im Februar zwei Navigations-Apps von Sygic installiert, die beim Installationsprozess eine Einwilligung zur Personalisierung der Werbung erfordert hätten.

Am Ende landeten die Daten aber bei Gravy Analytics, welches in ihren Geschäftsbedingungen schreibt, dass sie Daten für die Strafverfolgung und Nationale Sicherheit weitergeben. Gundersen fragte drei auf Datenschutz spezialisierte Anwält:innen, alle drei hielten die Verwendung der Daten für einen Bruch der DSGVO.

Doch nicht nur die Apps von Sygic lieferten die Daten bis zu Venntel, sondern auch eine App mit dem Namen Funny Weather. Bei deren Installation stimmte Gundersen „Analytics“ und „Monetisation“ zu. Auch hier fanden die befragten Anwälte eine Verletzung der DSGVO, da „Monetarisierung“ ein viel zu weit gefasster Verwendungszweck sei.

Datenbroker und unfähige europäische Datenschutzbehörden

Hinter Funny Weather steht keine große Firma. Gundersen konfrontierte den Entwickler Lawiusz Fras mit den Daten bei Venntel. Fras kannte zwar Venntel nicht, aber betonte, dass bei der App klar sei, dass manche Daten genutzt würden, um Geld zu verdienen. Gundersen geht davon aus, dass die Daten über das französische Unternehmen Predicio zu Venntel gelangten.

Der Daten- und Überwachungsforscher Wolfie Christl hält diese Form der Überwachung für neu:

Ich habe das Gefühl, dass viele nicht verstehen, dass dies völlig beispiellos ist und anders als das ist, was Edward Snowden im Jahr 2013 aufdeckte. Statt kompliziertem Schnüffeln im Traffic wurde die US-Regierung nun einfach ein weiterer Marktteilnehmer in einer bestehenden kommerziellen Trackingwirtschaft.

Gegenüber NRK kritisiert Christl auch die Europäischen Datenschutzbehörden: Entweder seien diese nicht fähig oder nicht willens, die zahlreichen Verstöße gegen die DSGVO zu verfolgen. Um etwas zu verändern müsse es hohe Strafen geben und Verbote, solche Daten zu verarbeiten.

Kommerzielle und staatliche Überwachung Hand in Hand

In seiner Recherche kann Gundersen mit den Daten von Venntel heute nachvollziehen, wo er im Sommer wanderte und auf welcher Holzbank er wie lange eine Pause machte. Genauso können das alle, die diese Daten kaufen und weiterverarbeiten. Sie können sehen, wer in welche Arztpraxis geht, wer bei welchem Konzert ist und wo sich ein unvorsichtiger Journalist mit einem Informanten getroffen hat.

Dass staatliche Player diese Informationen nun einfach kaufen macht klar: Kommerzielle Überwachung und staatliche Überwachung sind keine zwei getrennt zu denkenden Formen, sondern in Kombination noch viel verletzender für die Privatsphäre der Nutzer:innen als die einzelnen Formen für sich. Für die staatlichen Player eröffnen sich völlig neue Möglichkeiten, an Daten heranzukommen. Sie kaufen sie einfach auf dem unüberschaubaren Markt der Datenbroker anstatt mühsam mit klassischen Überwachungsinstrumenten selbst an sie zu gelangen.

ACLU klagt auf Herausgabe der Dokumente

Venntel sagte gegenüber Gundersen, dass sie seine Daten nicht an ICE oder CBP weitergegeben hätten. Das FBI, die US-Grenzschutzbehörde CBP und die US-Immigrationspolizei ICE haben Verträge mit Venntel. Sie antworteten Gundersen nicht auf seine Frage, welche Möglichkeiten es für sie böte, Europäer:innen in und außerhalb Europas zu tracken. 

Am vergangenen Mittwoch hat die American Civil Liberties Union (ACLU) eine Klage beim Department of Homeland Security, der CBP und dem ICE eingereicht, um Dokumente im Zusammenhang mit der Verwendung von Standortdaten durch die Behörde zu erhalten.

15 Ergänzungen

  1. Danke für den spannenden Artikel.

    Habe neulich „Vinted“ installieren wollen, nachdem Kleiderkreisel darin eingewoben wird und es abgebrochen, als ich auf eine Seite kam bei der man hunderte von Werbenetzwerken sah, welche die Daten erhalten die man so mit seinem Handy frei gibt.
    Als ich sie deaktivieren wollte, stellte ich fest dass es erstens alles manuell geschehen muss und zweitens wieder aktiviert wird, wenn man weiter scrollt um die weiteren Netzwerke zu deaktivieren.

    Solche Apps kann ich nur noch auf speziellen Smartphones nutzen, die u.a. durch Pi-Hole geschützt sind und sonst keine Daten von mir enthalten. Überwachungs-Kapitalismus hoch-zehn!

  2. Nicht-US-Buerger im Ausland haben nach regelmaessiger US-Rechtsauffassung keine Rechte gegenueber staatlichen US-Stellen. Natuerlich antworten die nicht, warum sollten sie?

  3. Wenn ihr diesen dämliche Doppelpunkt weglassen würdet, wie z.B. bei Nutzer:innen…,
    würde ich auch etwas spenden.
    Entweder die eine oder die andere Form, oder eben dann Nutzer- und Nutzerinnen. Soviel Zeit muss sein. Den Doppelpunkt mitten im Wort gibt es nicht!

    1. Es gibt hundert Dinge, über die man sich an dieser Meldung aufregen kann und du entscheidest dich für die geschlechterneutrale Schreibweise? Interessante Prioritätensetzung!

      Ansonsten haben wir hier aufgeschrieben, warum viele von uns auf geschlechterneutrale Sprache setzen: https://netzpolitik.org/2020/warum-wir-geschlechtergerechte-sprache-verwenden/

      Der Doppelpunkt ist für viele von uns die Schreibweise, die am wenigsten den Lesefluss stört und gleichzeitig am kompatibelsten mit Screenreadern ist.

      Gruß
      Ingo

      1. Feedback ist ein Geschenk, Ingo. Natürlich steht es Dir frei, Dich nun über Wilfrieds Prioritätensetzung aufzuregen. (Und in der Tat bin ich eigentlich geneigt, Dir zuzustimmen.)
        Aber vielleicht wollte er Dich wissen lassen, dass Eure geschlechterneutrale Schreibweise seiner Meinung nach eben doch den Lesefluss stört, weil man ständig über diese zwar politisch korrekten Begriffe, die aber eben doch nur zerhackte Worte sind, stolpert. Und wenn er das so gemeint hätte, müsste ich ihm ebenfalls zustimmen.
        Sprache dient der Verständigung. Und manchmal (wenn auch nicht dieses Mal) sind Texte vor lauter political correctness so holprig, dass es wirklich zu Lasten der Verständlichkeit, also zu Lasten der Verständigung, geht. Und das nervt – und kann auch vom Inhalt ablenken. Derartiges Feedback muss also gar nicht immer etwas mit Prioritätensetzung zu tun haben.

        1. Es ist ja nicht so, dass wir nicht wüssten, dass es Menschen gibt, die sich an dieser Schreibweise stören. Der von mir verlinkte Text erklärt, warum viele von uns sie trotzdem verwenden.

  4. Ich liebe die Inhalte eurer Recherchen und Beiträge. Ich wünsche mir Beiträge zu Möglichkeiten in die Handlungen zu kommen. Das würde meiner Meinung nach netzpolitik noch weiter interessanter machen, LG und weiter so. (ein treuer Abonnement)

  5. In ganz Europa sind die Datenschutzbehörden unterbesetzt, unterfinanziert und unterkompetent. Genau dort muss angesetzt werden, wenn sich beim Thema Datenschutz irgendwann mal etwas ändern soll.

    1. Und vor allem müßte es eine Datenschutzbehörde auf EU-Ebene geben, damit nicht einzelne Länder mit absichtlich schlecht durchgesetztem Datenschutz Investoren anlocken können. Helen Dixon…

  6. Mittlerweile kann ich bei meinem iPhone die „Advertizing ID“ (= „Apple-ID“) nicht mehr ändern. Ich kann lediglich „personalisierte Werbung“ ausschalten. Laut Apple Support Website wird die Apple-ID dadurch deaktiviert. Apps und Werbetreibende, die die Apple-ID nutzen, dürfen dann keine personalisierte Werbung mehr senden. Für Apps und Werbetreibende, die die „Apple-Werbeplattform“ nutzen (was immer das auch ist), gilt das anscheinend nicht.

    1. Die „Apple-Werbeplattform“ wird ja von Apple kontrolliert, d.h. im Kontext dass Apple entscheidet, welches Gerät mit welcher ID was zu sehen bekommt. Dadurch können Dritte von Außen nicht mehr personalisiert Werbung anzeigen, wenn Apple es nicht will, und Apple kann sich freundlich an die Gesetze halten, und auch keine personalisierte Werbung anzeigen. Die „Apple-Werbeplattform“ ist dann ja zwischen Werbetreibenden und Endgerät.

  7. Andersherum geht es auch…
    Ich bin heute auf die Platform Scoperty gestoßen. Dort werden Immobilien „bewertet“. Ungefragt, man muss nur seine Adresse eingeben. Was ich so interessant finde: Die Genauigkeit mit der meine Daten vorhanden sind. Ich habe eine Vermutung woher die Daten stammen könnten: Grundbuch oder Versicherung. Das genaue Baujahr erfährt man nicht durch Luftbildaufnahmen oder ähnliches. Auch mit der Wohnfläche ist es schwierig. Warum ich das hier schreibe, hat nicht unbedingt mit dem Artikel zu tun. Ich dachte, dass wäre die einfachste Möglichkeit einmal darauf aufmerksam zu machen. Weil mich dieses Geschäftsmodell schon ziemlich geschockt hat.

  8. Eines verstehe ich nicht: Es scheint hier vor allem um Bewegungsverfolgung zu gehen, also wann sich jemand wo befindet. Dazu braucht man aber kein Smartphone und keine App. Es reicht, wenn man irgendein Handy permanent mit sich führt, ein ganz alter Knochen reicht. Und schon kann der Mobilfunkprovider einen detailliert tracken. Was ist der spezifische Zusammenhang zwischen Tracking und Apps?

    1. Dein Provider muss wissen, im Bereich welches Mobilfunkmasten du dich befindest, sonst kann er keinen Anruf an dich durchstellen. Es ist ihm dabei egal, ob und wie lange du auf einer Bank sitzt oder ob du auf einem Sportplatz Runden drehst.
      Das Tracking in/durch/mit Apps läuft dagegen über GPS oder benachbarte WLANs und das ist schon recht punktgenau. Warum das aber für Werbezwecke nötig sein sollte, kann niemand schlüssig erklären.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.