Berliner UnternehmenDatenhändler verticken Handy-Standorte von EU-Bürger*innen

Eine Enthüllung in den Niederlanden zeigt die Risiken durch den weltweiten Datenhandel – auch für die nationale Sicherheit. Demnach standen detaillierte Standortdaten von potentiell Millionen Niederländer*innen zum Verkauf, darunter Angehörige des Militärs.

- , - in Datenschutz - 8 Ergänzungen
Illustration im Bauhaus-Stil, zu sehen ist eine sehr große Pinnadel, das Symbol für Ortsdaten. Sie steckt in einem Wohnblock mit Häusern und Menschen.
Der Mythos von pseudonymen Daten (Symbolbild) – Public Domain DALL-E-3 („location data of people, bauhaus style reduced minimalist geometric shape“), Bearbeitung: netzpolitik.org

Es geht um mehr als 80 Gigabyte Daten über die Standorte von Menschen in den Niederlanden, angeboten über die Plattform eines Berliner Datenbrokers. Darunter sollen auch Daten von Menschen aus sicherheitsrelevanten Gruppen sein. Das private Radio BNR hat letzte Woche eine Recherche veröffentlicht, sie zeigt eine neue Dimension der Abgründe, die sich durch den weltweiten Handel mit Daten auftun.

BNR konnte dem Bericht zufolge in dem Datensatz unter anderem einen hochrangigen Armee-Offizier ausmachen. Seine Bewegungen seien zwischen seinem Haus und mehreren Militärstandorten nachvollziehbar gewesen. Im Gespräch mit BNR bestätigte der Soldat, dass es sich um sein Bewegungsprofil handeln müsse.

Bis zu 1.200 Telefone im Datensatz besuchten laut BNR einen Bürokomplex, in dem die Nationale Polizei, die Nationale Staatsanwaltschaft und Europol ihren Sitz haben. Auf dem Luftwaffenstützpunkt Volkel, einem Lager für Atomwaffen, wurden bis zu 370 Telefone gezählt, deren Bewegungen nachvollziehbar waren.

Mit dem Datensatz ließ sich BNR zufolge auch die Wohnadresse einer Person finden, die häufig das Gefängnis in Vught besucht, wo Terrorist*innen und Schwerverbrecher*innen inhaftiert sind. Die örtliche Justizbehörde untersuchte den Fall und bestätigte, dass es sich um eine Person handelte, die ein Mobiltelefon mitbringen durfte.

Konkrete Personen in den Daten identifiziert

IT-Sicherheitsexperte Paul Pols sagte, auch die niederländischen Geheimdienste MIVD und AIVD würden solche Daten kaufen und nutzen. Darüber, wie sich Geheimdienste an Daten der Werbeindustrie bedienen können, um Menschen zu überwachen und zu lokalisieren, wurde bisher vor allem mit Blick auf die USA berichtet. Offenbar ist es erstaunlich einfach, solche Daten zu erwerben.

Jüngst zeigte eine Studie der Duke University, wie Datenhändler für nur wenige Cent die Datensätze von US-Militärangehörigen verkauften – den Autor*innen zufolge eine erhebliche Gefahr für die nationale Sicherheit. Dass diese Bedrohung auch für die EU gilt, darauf wies in einem Bericht jüngst bereits die irische Bürgerrechtsorganisation ICCL hin. Die BNR-Recherche belegt nun, wie konkret die Gefahr ist.

BNR hat den Datensatz auf der Plattform Datarade.ai erworben. Dahinter steckt ein Unternehmen mit Sitz in Berlin. Auf der Plattform bieten Hunderte Unternehmen gesammelte Daten zum Verkauf an. Neben Standortdaten sind auch medizinische Informationen und Angaben zur Kreditwürdigkeit im Angebot. Für ihre Recherche hat der BNR Daten der Firmen Datastream Group aus den USA und Factori.ai aus Singapur untersucht.

Hierfür habe BNR einen kostenlosen Probedatensatz erhalten. Der Inhalt: historische Daten von vier Millionen niederländischen Telefonen aus einem Monat. Zahlende Kund*innen könnten ab 2.000 US-Dollar im Monat täglich frische Daten erhalten, berichtet BNR. Telefonnummern ließen sich zwar nicht in den Daten finden, stattdessen aber andere Merkmale wie etwa die mobile Werbe-ID. Das ist eine einzigartige Kennziffer, die einem mobilen Gerät vom Hersteller des Betriebssystems zugewiesen wird. Durch sie können Werbedienste Angebote personalisieren.

Nur auf den ersten Blick könnte man das für eher harmlos halten, immerhin gibt es kein öffentliches Telefonbuch, das eine mobile Werbe-ID dem Klarnamen einer Person zuordnet. Aber weit gefehlt: BNR berichtet, mit welch simplen Schritten es gelang, konkrete Personen hinter den Daten auszumachen. Hierfür mussten bloß öffentlich verfügbare Informationen miteinander kombiniert werden: an welchen Orten Menschen schlafen und an welchen Orten Menschen arbeiten. Ersteres lasse sich durch öffentliche Register wie das Grundbuchamt herausfinden, letzteres über LinkedIn.

Nutzer*innen sollen Einwilligung selbst gegeben haben

Die genaue Herkunft der Daten konnte BNR nicht herausfinden. Den Datenhändlern zufolge stammen sie aus Apps, denen Nutzer*innen eine Erlaubnis zur Verwendung von Standortdaten erteilt haben. Dazu können etwa Fitness- oder Navigations-Apps gehören. Vergangenes Jahr haben wir in unserer Xandr-Recherche gezeigt, dass Wetter-Apps eine enorm wichtige Quelle für Standortdaten sind.

Die von BNR untersuchten Daten enthielten offenbar Ungenauigkeiten. So wurde beispielsweise festgestellt, dass einige der betroffenen Personen zwar Orte aus dem Datensatz aufgesucht haben, allerdings zu anderen Zeiten als angegeben.

Die in der Recherche erwähnten und von BNR konfrontierten Firmen betonen, dass sie sich an die europäischen Datenschutzvorgaben hielten. Der Berliner Datenmarktplatz Datarade.ai teilte BNR in einer E-Mail mit, dass die Händler für die von ihnen angebotenen Daten selbst „voll haften“. Rechtswidrige Praktiken können über ein Online-Formular gemeldet werden.

Jurist*innen kommen gegenüber BNR zu der Einschätzung, dass diese Art des Datenhandels illegal ist. Unter anderem würden die Anforderungen der Datenschutz-Grundverordnung nicht erfüllt. Das Gesetz verlangt eine informierte Einwilligung durch Nutzer*innen. Menschen müssen verstehen, was mit ihren Daten passiert.

Laut DSGVO haben Menschen außerdem das Recht auf Datenauskunft. So können sie herauszufinden, was Unternehmen über sie gespeichert haben und auf Wunsch der Verarbeitung auch widersprechen. So eine Auskunft kann die Grundlage für eine Beschwerde bei Datenschutzbehörden liefern. Hier haben wir eine Übersicht über einige für Deutschland relevante Datenhändler und ihre Kontaktadressen veröffentlicht.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Ingo ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Ingos Themen sind der Überwachungskapitalismus, die digitale Zivilgesellschaft und der Strukturwandel der Öffentlichkeit. Er schreibt häufig über Datenmissbrauch und Datenschutz, Targeted Advertising, Plattformregulierung, Transparenz, Lobbyismus, Wahlkämpfe und die Polizei. Ingo ist Ko-Autor der Studie "Medienmäzen Google" und Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. 2024 wurde er mit dem Alternativen Medienpreis ausgezeichnet.

Kontakt: E-Mail (OpenPGP), Mastodon, Twitter, FragDenStaat

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Jugendmedienschutz und Künstliche Intelligenz. Er interessiert sich besonders für Methoden der Online-Recherche; darüber schreibt er einen Newsletter und gibt Workshops an Universitäten. Zu seinen vorigen Stationen gehören VICE (Senior Editor), Motherboard (Editor-in-chief), der SPIEGEL (Autor) und die Deutsche Journalistenschule München. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt.

Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon

Veröffentlicht 17.01.2024 um 16:01
Kategorie
Schlagworte
Weitere Artikel
Eine computergenerierte Grafik mit einer Frau mit Smartphone in der Mitte, um sie herum ein Kreis aus unterschiedlichen Felder und technischen Geräten
Datenschutz

Microsofts Datenmarktplatz XandrDas sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert

Ein Dokument gibt einen einmaligen Einblick in den globalen Datenhandel für die digitale Werbung. Erstmalig können wir im Detail nachvollziehen, wie invasiv und kleinteilig die Werbefirmen und Datenhändler uns kategorisieren. Das Bild ist erschreckend, auch zahlreiche deutsche Firmen sind beteiligt.

Lesen Sie diesen Artikel: Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert

8 Ergänzungen

  1. „Apps, denen Nutzer*innen eine Erlaubnis zur Verwendung von Standortdaten erteilt haben“

    Ha-ha. Da zeigt sich wie die Strategie mit „Freigabe von Standortdaten“ ist, bzw. auf einer Seite.
    Tatsächlich muss der Zweck und die Verwendung (in der App und Datensammlung) transparent gemacht werden – wenn dem mal so ist, bei all dem Zeug, dass sich die Leute so reinladen.

    Antworten

  3. Schreibt da die DSGVO nicht die Zweckgebundenheit der Erfassung der Daten vor und die Vernichtung der Daten nach Ende des zweckgebundenen Nutzung?
    Kann tatsächlich ein Zweck der Handel mit diesen Daten durch Dritte sein? Welche „App“-Routine fragt dies ausdrücklich und offen und einfach verständlich ab? Keine? Ist dies bei der Größe und der massenhaften Verletzung der Rechte Vieler dann strafbar und ein Offizialdelikt? Ja? Warum sind diese Unternehmen die die Daten erfassen und die Datenbroker, die diese Daten sich dann wohl offensichtlich illegal beschafft und diese veräußert haben oder zu veräußern versuchen nicht bsplw. unter Bezug auf die Hehler und Hacking Paragrafen angeklagt? Warum keine Beschlagnahme und Vernichtung der Daten? Können die Broker die Rechtmäßigkeit des Erwerbs der Daten im Einzelfall nachweisen? Nein? Reichten wenige Einzelfälle aus um präventiv das Vermögen und die Unternehmensgüter zu beschlagnahmen? Ich denke schon.

    Antworten

    2. Ist es mir ohne Werbe-ID und ohne Accounts bei den typischen Datenkraken ernsthaft möglich eine erfolgreiche DSGVO-Anfrage bei den Datenhändlern zu stellen?

      Solange ich meine Datensätze nicht depseudinymisieren kann, kann ich mein Recht nicht ausüben. Unabhängig davon, ob jemand anderes es kann.

      Antworten

      1. Das ist ja das Blöde. Mit Einschicken von Personalausweis und Social Media Historie… na super.
        Es gibt nur einen logischen Schluss bzgl. Tracking und personalisierter Werbung: abschaffen.

        Lauter hohe Risiken, von IT-Sicherheit, über Manipulation bis hin zu Mord (milde extrapoliert, Krankheiten, Gewohnheiten, Aufenthaltsorte, kombiniere: tödlich!).

        Antworten

  4. Was ist eigentlich aus dieser DSGVO geworden, die doch eigentlich angetreten war, uns die Kontrolle über unsere Daten zurück zu geben.

    Uns die Möglichkeit zu geben, jede Datenerfassung und -weitergabe, die nicht absolut notwendig ist für das Funktionieren einer App oder einer Plattform, zu untersagen.

    Gibt es überhaupt Webseiten oder Apps, die solche Einwilligen anbieten? Wieso ist es Datenschutz- und DSGVO-Konform, wenn Daten, die für einen bestimmten Zweck (lokale Wettervorhersage) erhoben werden, für einen anderen Zweck (Veräußerung zum Geldverdienen) missbraucht werden, ohne technische Notwendigkeit, und ohne, dass die Kunden konkret informiert werden.

    Antworten

    1. Tja lauter Apps, bei denen man einzeln absagen soll, und jede nicht erteilte Absage nimmt dieser Overlord-Verwerter sicherlich als Zustimmung zur Eroberung des ganzen Planeten!

      Legal, egal, gestern schon egal!

      Antworten

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.