Es geht um mehr als 80 Gigabyte Daten über die Standorte von Menschen in den Niederlanden, angeboten über die Plattform eines Berliner Datenbrokers. Darunter sollen auch Daten von Menschen aus sicherheitsrelevanten Gruppen sein. Das private Radio BNR hat letzte Woche eine Recherche veröffentlicht, sie zeigt eine neue Dimension der Abgründe, die sich durch den weltweiten Handel mit Daten auftun.
BNR konnte dem Bericht zufolge in dem Datensatz unter anderem einen hochrangigen Armee-Offizier ausmachen. Seine Bewegungen seien zwischen seinem Haus und mehreren Militärstandorten nachvollziehbar gewesen. Im Gespräch mit BNR bestätigte der Soldat, dass es sich um sein Bewegungsprofil handeln müsse.
Bis zu 1.200 Telefone im Datensatz besuchten laut BNR einen Bürokomplex, in dem die Nationale Polizei, die Nationale Staatsanwaltschaft und Europol ihren Sitz haben. Auf dem Luftwaffenstützpunkt Volkel, einem Lager für Atomwaffen, wurden bis zu 370 Telefone gezählt, deren Bewegungen nachvollziehbar waren.
Mit dem Datensatz ließ sich BNR zufolge auch die Wohnadresse einer Person finden, die häufig das Gefängnis in Vught besucht, wo Terrorist*innen und Schwerverbrecher*innen inhaftiert sind. Die örtliche Justizbehörde untersuchte den Fall und bestätigte, dass es sich um eine Person handelte, die ein Mobiltelefon mitbringen durfte.
Konkrete Personen in den Daten identifiziert
IT-Sicherheitsexperte Paul Pols sagte, auch die niederländischen Geheimdienste MIVD und AIVD würden solche Daten kaufen und nutzen. Darüber, wie sich Geheimdienste an Daten der Werbeindustrie bedienen können, um Menschen zu überwachen und zu lokalisieren, wurde bisher vor allem mit Blick auf die USA berichtet. Offenbar ist es erstaunlich einfach, solche Daten zu erwerben.
Jüngst zeigte eine Studie der Duke University, wie Datenhändler für nur wenige Cent die Datensätze von US-Militärangehörigen verkauften – den Autor*innen zufolge eine erhebliche Gefahr für die nationale Sicherheit. Dass diese Bedrohung auch für die EU gilt, darauf wies in einem Bericht jüngst bereits die irische Bürgerrechtsorganisation ICCL hin. Die BNR-Recherche belegt nun, wie konkret die Gefahr ist.
BNR hat den Datensatz auf der Plattform Datarade.ai erworben. Dahinter steckt ein Unternehmen mit Sitz in Berlin. Auf der Plattform bieten Hunderte Unternehmen gesammelte Daten zum Verkauf an. Neben Standortdaten sind auch medizinische Informationen und Angaben zur Kreditwürdigkeit im Angebot. Für ihre Recherche hat der BNR Daten der Firmen Datastream Group aus den USA und Factori.ai aus Singapur untersucht.
Hierfür habe BNR einen kostenlosen Probedatensatz erhalten. Der Inhalt: historische Daten von vier Millionen niederländischen Telefonen aus einem Monat. Zahlende Kund*innen könnten ab 2.000 US-Dollar im Monat täglich frische Daten erhalten, berichtet BNR. Telefonnummern ließen sich zwar nicht in den Daten finden, stattdessen aber andere Merkmale wie etwa die mobile Werbe-ID. Das ist eine einzigartige Kennziffer, die einem mobilen Gerät vom Hersteller des Betriebssystems zugewiesen wird. Durch sie können Werbedienste Angebote personalisieren.
Nur auf den ersten Blick könnte man das für eher harmlos halten, immerhin gibt es kein öffentliches Telefonbuch, das eine mobile Werbe-ID dem Klarnamen einer Person zuordnet. Aber weit gefehlt: BNR berichtet, mit welch simplen Schritten es gelang, konkrete Personen hinter den Daten auszumachen. Hierfür mussten bloß öffentlich verfügbare Informationen miteinander kombiniert werden: an welchen Orten Menschen schlafen und an welchen Orten Menschen arbeiten. Ersteres lasse sich durch öffentliche Register wie das Grundbuchamt herausfinden, letzteres über LinkedIn.
Nutzer*innen sollen Einwilligung selbst gegeben haben
Die genaue Herkunft der Daten konnte BNR nicht herausfinden. Den Datenhändlern zufolge stammen sie aus Apps, denen Nutzer*innen eine Erlaubnis zur Verwendung von Standortdaten erteilt haben. Dazu können etwa Fitness- oder Navigations-Apps gehören. Vergangenes Jahr haben wir in unserer Xandr-Recherche gezeigt, dass Wetter-Apps eine enorm wichtige Quelle für Standortdaten sind.
Die von BNR untersuchten Daten enthielten offenbar Ungenauigkeiten. So wurde beispielsweise festgestellt, dass einige der betroffenen Personen zwar Orte aus dem Datensatz aufgesucht haben, allerdings zu anderen Zeiten als angegeben.
Die in der Recherche erwähnten und von BNR konfrontierten Firmen betonen, dass sie sich an die europäischen Datenschutzvorgaben hielten. Der Berliner Datenmarktplatz Datarade.ai teilte BNR in einer E-Mail mit, dass die Händler für die von ihnen angebotenen Daten selbst „voll haften“. Rechtswidrige Praktiken können über ein Online-Formular gemeldet werden.
Jurist*innen kommen gegenüber BNR zu der Einschätzung, dass diese Art des Datenhandels illegal ist. Unter anderem würden die Anforderungen der Datenschutz-Grundverordnung nicht erfüllt. Das Gesetz verlangt eine informierte Einwilligung durch Nutzer*innen. Menschen müssen verstehen, was mit ihren Daten passiert.
Laut DSGVO haben Menschen außerdem das Recht auf Datenauskunft. So können sie herauszufinden, was Unternehmen über sie gespeichert haben und auf Wunsch der Verarbeitung auch widersprechen. So eine Auskunft kann die Grundlage für eine Beschwerde bei Datenschutzbehörden liefern. Hier haben wir eine Übersicht über einige für Deutschland relevante Datenhändler und ihre Kontaktadressen veröffentlicht.
„Apps, denen Nutzer*innen eine Erlaubnis zur Verwendung von Standortdaten erteilt haben“
Ha-ha. Da zeigt sich wie die Strategie mit „Freigabe von Standortdaten“ ist, bzw. auf einer Seite.
Tatsächlich muss der Zweck und die Verwendung (in der App und Datensammlung) transparent gemacht werden – wenn dem mal so ist, bei all dem Zeug, dass sich die Leute so reinladen.
Da gibt es eine ältere Studie:
https://www.scss.tcd.ie/doug.leith/pubs/apple_google2.pdf
und:
https://github.com/doug-leith/cydia
Schreibt da die DSGVO nicht die Zweckgebundenheit der Erfassung der Daten vor und die Vernichtung der Daten nach Ende des zweckgebundenen Nutzung?
Kann tatsächlich ein Zweck der Handel mit diesen Daten durch Dritte sein? Welche „App“-Routine fragt dies ausdrücklich und offen und einfach verständlich ab? Keine? Ist dies bei der Größe und der massenhaften Verletzung der Rechte Vieler dann strafbar und ein Offizialdelikt? Ja? Warum sind diese Unternehmen die die Daten erfassen und die Datenbroker, die diese Daten sich dann wohl offensichtlich illegal beschafft und diese veräußert haben oder zu veräußern versuchen nicht bsplw. unter Bezug auf die Hehler und Hacking Paragrafen angeklagt? Warum keine Beschlagnahme und Vernichtung der Daten? Können die Broker die Rechtmäßigkeit des Erwerbs der Daten im Einzelfall nachweisen? Nein? Reichten wenige Einzelfälle aus um präventiv das Vermögen und die Unternehmensgüter zu beschlagnahmen? Ich denke schon.
Ich vermute mal, dass das hier EINE der Grauzonen ist. Oder sollte ich „DER Grauzonen“ schreiben?
Ist es mir ohne Werbe-ID und ohne Accounts bei den typischen Datenkraken ernsthaft möglich eine erfolgreiche DSGVO-Anfrage bei den Datenhändlern zu stellen?
Solange ich meine Datensätze nicht depseudinymisieren kann, kann ich mein Recht nicht ausüben. Unabhängig davon, ob jemand anderes es kann.
Das ist ja das Blöde. Mit Einschicken von Personalausweis und Social Media Historie… na super.
Es gibt nur einen logischen Schluss bzgl. Tracking und personalisierter Werbung: abschaffen.
Lauter hohe Risiken, von IT-Sicherheit, über Manipulation bis hin zu Mord (milde extrapoliert, Krankheiten, Gewohnheiten, Aufenthaltsorte, kombiniere: tödlich!).
Was ist eigentlich aus dieser DSGVO geworden, die doch eigentlich angetreten war, uns die Kontrolle über unsere Daten zurück zu geben.
Uns die Möglichkeit zu geben, jede Datenerfassung und -weitergabe, die nicht absolut notwendig ist für das Funktionieren einer App oder einer Plattform, zu untersagen.
Gibt es überhaupt Webseiten oder Apps, die solche Einwilligen anbieten? Wieso ist es Datenschutz- und DSGVO-Konform, wenn Daten, die für einen bestimmten Zweck (lokale Wettervorhersage) erhoben werden, für einen anderen Zweck (Veräußerung zum Geldverdienen) missbraucht werden, ohne technische Notwendigkeit, und ohne, dass die Kunden konkret informiert werden.
Tja lauter Apps, bei denen man einzeln absagen soll, und jede nicht erteilte Absage nimmt dieser Overlord-Verwerter sicherlich als Zustimmung zur Eroberung des ganzen Planeten!
Legal, egal, gestern schon egal!