DatabrokerBelgischer Datenmarktplatz veröffentlicht Passdaten von Tausenden im Netz

Auf einem Datenmarktplatz standen wochenlang Passdaten von Tausenden Personen offen im Netz. Erst lange nach unseren Hinweisen nahm das belgische Unternehmen die Daten offline. Menschen aus mehreren Ländern waren einem hohen Risiko für Datenmissbrauch und Betrug ausgesetzt.

Einkaufswagen vor gelbem Hintergrund, darin blaue und rote Hefte
Shoppingtour auf dem Datenmarkt: Auf Databroker konnte man seinen Karren vollmachen, zum Beispiel mit Passdaten von Personen, die davon gar nichts wussten. – Public Domain Midjourney

Ein belgischer Datenmarktplatz hat die Passdaten von Tausenden Personen im Netz veröffentlicht. Monatelang konnten Listen mit Namen, Geburtsdaten und Passnummern der Betroffenen auf der Seite von Databroker heruntergeladen werden. Nicht etwa versteckt in einem Winkel des Darkweb, sondern auf einer Webseite, wo auch Suchmaschinen die Daten leicht finden konnten. (Die Seite ist inzwischen über die Domain nicht mehr zu erreichen.)

Rund 30 solcher Listen standen bis Anfang Juli kostenlos zum Download auf der Seite – auch Monate, nachdem netzpolitik.org das Unternehmen auf das Problem hingewiesen hatte.

Die Angaben von Bürger:innen aus Deutschland, Frankreich, Belgien, Niederlande, Ungarn, Estland oder Großbritannien sind darunter. Auch die von Kindern. Es ist unklar, woher die Daten stammen oder wer sie auf die Plattform hochgeladen hat. Databroker verkauft keine eigenen Daten, sondern agiert als Handelsplattform. Ein Marktplatz, auf dem andere Daten anbieten oder kaufen können.

Die Daten sind offenbar echt. netzpolitik.org hat mehrere Personen ausfinding gemacht, deren Namen in den Daten zu finden waren. Sie bestätigen, dass ihre Angaben stimmen.

Ein Smorgasbord für Betrüger

Die Listen mit den Passdaten sind Gratis-Proben: eine Art Vorschau auf noch größere Datensätze, mit der Anbieter zeigen wollen, was sie im Angebot haben.

Möglichen Kund:innen solche Probe-Datensätze anzubieten, ist in der Branche weit verbreitet. Aber üblicherweise werden sie mit einem Passwort geschützt oder nur auf Anfrage verschickt. Dass ein Verkäufer die Daten öffentlich ins Internet stellt, ist ungewöhnlich – und für die Betroffenen gefährlich.

Reisepässe gehören zu den am weitesten verbreiteten Ausweispapieren, das macht sie zu einem beliebten Ziel für Betrüger. Die Passnummer in Kombination mit Namen, Geburtsdatum und dem Ablaufdatum des Passes – wie in diesem Fall – eröffnet eine Reihe an Möglichkeiten für Betrug.

Wer dieses Smorgasbord an Daten serviert bekommt, kann etwa im Internet Verträge abschließen – oder gefälschte Pässe mit den echten Daten erstellen. Auch Phishing-Angriffe werden glaubwürdiger, wenn Betrüger:innen Namen und Geburtsdatum ihres Opfers bereits kennen – so können sie an weitere Daten gelangen.

„Für Betroffene können die Veröffentlichung weitreichende Folgen haben“, warnt Felix Mikolasch von der Datenschutzorganisation noyb. „Sie könnten etwa fälschlicherweise von Inkassoforderungen oder Strafverfahren betroffen sein, weil sich jemand für sie ausgegeben hat.“ Besonders im Internet ließen sich mit Ausweisdaten viele Verträge problemlos abschließen.

Blockchain-Firma betreibt Datenmarktplatz

Databroker gehört zum Blockchain-Unternehmen Settlemint, registriert in Belgien. Die beiden Gründer, CEO Matthew Van Niekerk und CTO Roderik van der Veer, sind auf LinkedIn sehr aktiv. Van Niekerk veröffentlicht auch einen eigenen Newsletter und einen „Blockchain-Podcast“ namens „Chief Digital Heroes“.

Gegründet haben sie Settlemint 2016 in Belgien. Laut eigenen Angaben verfügt das Unternehmen neben dem Hauptquartier in Leuven über Niederlassungen in Indien, Singapur, Japan und Dubai. Zum Kundenkreis sollen namhafte Unternehmen wie Fujitsu und die Supermarktkette Carrefour gehören. Settlemint schult sie und stellt eine Plattform zur Verfügung, mit der die Unternehmen eigene Blockchain-Anwendungen bauen können.

Im Rahmen des Förderprogramms Horizon 2020 bekam Settlemint dafür mehr als 1,8 Millionen Euro aus Töpfen der EU-Kommission: Innovationsförderung, um das Geschäft in weiteren Ländern auszubauen.

netzpolitik.org hat Databroker und Settlemint auf mehreren Wegen kontaktiert, um Fragen zu stellen – ohne Rückmeldung. Auch am Standort von Settlemint in Leuven, einem Vorort von Brüssel, haben wir versucht, das Unternehmen zu erreichen. Der Name steht an der Klingel eines Bürogebäudes, aber niemand öffnet die Tür.

netzpolitik.org hat bereits im April über das Datenleck berichtet. Damals haben wir den Namen des Marktplatzes und das Unternehmen nicht genannt, weil die Listen mit den Passdaten weiterhin im Netz standen – selbst nach unseren mehrfachen Hinweisen. Auch hatte netzpolitik.org zunächst nur eine Liste mit den Passdaten von überwiegend deutschen Staatsbürger:innen entdeckt. Das Problem war aber wesentlich größer.

„Behalten Sie die Kontrolle über ihre Daten“

Die Idee hinter dem Marktplatz Databroker bewirbt Settlemint in einem Blogeintrag: Andere Datenmarktplätze kauften die Daten selbst auf oder würden sich auf die Infrastruktur Dritter verlassen, schreibt das Unternehmen.

Databroker soll dagegen dezentral funktionieren – und damit besonders sicher und reibungslos. Verkäufer können Daten über die Plattform anbieten, interessierte Käufer fragen an. Übergabe und Bezahlung sollen dezentral und automatisiert über eine Blockchain-Infrastruktur abgewickelt werden. Eine Art weltweites Kleinanzeigen-Portal für Daten, peer-to-peer, ohne Zwischenhändler.

„Behalten Sie die Kontrolle über Ihre Daten“, wirbt Settlemint für seine Plattform: Anbieter könnten selbst entscheiden, ob sie ihre Daten „öffentlich oder privat weitergeben“. Nur was, wenn Anbieter gar nicht „ihre“ Daten veröffentlichen, sondern Daten anderer Personen – mutmaßlich ohne deren Zustimmung?

Sensible Passdaten von Deutschen offen im Netz

Passdaten von Tausenden

Insgesamt 30 Dateien mit Passdaten konnte netzpolitik.org auf der Seite des Datenmarktplatzes herunterladen. Sie lagen in einem Unterordner für Probe-Datensätze, der offen zugänglich war. Teils sind es Excel-Tabellen, teils PDFs oder Word-Dokumente.

Einige der Dateien sind mit einem Länderkürzel benannt: HUN für Listen mit Passdaten überwiegend aus Ungarn oder GBR für Großbritannien. Mal sind es 200, mal 500 Namen pro Liste. Insgesamt standen die Daten von Tausenden Personen auf diese Weise offen im Netz.

netzpolitik.org konnte mehrere Personen auf den Listen ausfindig machen. Sie leben in Bayern oder Niedersachsen, in Budapest oder in der ungarischen Provinz. Einige bestätigen, dass ihre Daten echt sind, als wir sie kontaktieren. In anderen Fällen stimmen Namen und Geburtsdaten, die wir auf Profilen im Netz fanden, mit den Angaben auf den Listen überein.

Alle Kontaktierten zeigten sich überrascht, dass ihre Daten auf dem Marktplatz zu finden waren. „Datenschutz, man hört schon öfter davon“, sagt eine der Betroffenen am Telefon. „Aber wenn man mal die eigenen Daten offen im Internet vor sich sieht, dann ist das ein anderes Gefühl.“

Spur führt zu Airlines

Es gibt Hinweise, dass die Ausweisdaten über Fluggesellschaften ihren Weg ins Netz gefunden haben könnten. Einige der Dateinamen verweisen auf die türkische Airline Corendon, einen Urlaubsflieger. Zwei der Betroffenen, mit denen netzpolitik.org sprach, geben an, mit Corendon geflogen zu sein.

Einige der Listen fanden wir nicht über die Suche im Browser, sondern über Angebotsseiten auf Databroker. Als Verkäufer trat dort ein Account mit dem Namen „Wizzair airlines“ auf. Im Angebot: vorgeblich Passagierdaten von Fluggästen aus Deutschland, Frankreich oder Belgien. Diese Seite wurde nach unseren ersten Anfragen gelöscht.

Wizz Air ist eine ungarischen Billigflug-Gesellschaft. Auf unsere Anfrage, ob die Daten von tatsächlichen Passagieren der Airline stammen, hat Wizz Air nicht reagiert. Es ist nicht unwahrscheinlich, dass sie aus anderer Quelle stammen.

Anbieter können auf Databroker ihren Accounts beliebige, auch irreführende Namen geben. Lediglich eine funktionierende E-Mail-Adresse braucht man, um sich anzumelden. Auch Dateien lassen sich beliebig benennen – etwa, wenn jemand den Eindruck erwecken wollte, er hätte Fluggastdaten aus legitimer Quelle.

Meta-Daten eines nachtaktiven Verkäufers

In der Reisebranche führt der Weg von Daten durch viele Stationen. Kund:innen buchen über einen Reiseanbieter oder verwenden Vergleichsportale, um günstige Angebote zu finden. Teils wird man dort schon aufgefordert, seine Passdaten einzugeben, bevor es zur Buchung weiter zu einer Airline geht. An all diesen Punkten könnten Daten abfließen oder unbefugt weitergegeben werden.

Einen Hinweis zum Verkäufer könnten die Metadaten der Dateien geben: Aus ihnen geht hervor, wann eine Datei erstellt wurde und womit: Die frühesten Listen sind von August 2023, die aktuellsten von Anfang Februar diesen Jahres. Erstellt wurden sie mit Microsoft Word oder Excel auf einem Computer von Dell, und überwiegend spät am Abend – zu einem Zeitpunkt also, zu dem die meisten Menschen in einem Büro längst nach Hause gegangen sind.

Ob der Anbieter der Daten über den belgischen Marktplatz tatsächlich Käufer für die Passdaten fand, darüber sagen die Daten nichts aus. Sollte jemand Daten auf der Plattform verkaufen, verdient auch Settlemint an der Transaktion mit. Laut eigenen Angaben behält die Plattform zehn Prozent des Verkaufspreises als Gebühr ein.

Unsere Fragen zum Umsatz von Databroker und dem Geschäftsmodell hat Settlemint nicht beantwortet. Auch die Fragen, ob und wie überprüft wird, ob Angebote legal sind und Anbieter das Recht haben, die angebotenen Daten zu verkaufen, blieben unbeantwortet.

Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

„Höchstwahrscheinlich illegal im Netz gelandet“

„Der Verkauf solcher Datensätze ist wahrscheinlich rechtswidrig“, schreibt uns die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz von der Kanzlei Spirit Legal.

Theoretisch sei zwar denkbar, dass der Anbieter Einwilligungen für den Verkauf der Passdaten eingeholt hätte. Allerdings seien die Hürden dafür sehr hoch: Solche Einwilligungen müssten informiert, freiwillig und unmissverständlich abgegeben werden. Das heißt, Menschen müssten verstehen, was mit ihren Daten geschehen soll, und sie müssen dem ausdrücklich zustimmen.

„Dazu reicht auf keinen Fall ein Hinweis im Kleingedruckten“, sagt die Juristin. Sie bezweifle, dass Betroffene in den Verkauf derart sensibler Daten einwilligen würden, wenn sie über die Details informiert würden.

„Es ist kaum vorstellbar, dass es hierfür eine rechtliche Grundlage gibt“, sagt auch Felix Mikolasch, Jurist bei der österreichischen Datenschutz-Organisation noyb. Auch er hält es für höchstwahrscheinlich, dass die Daten illegal im Netz gelandet sind.

Betroffene haben Anspruch auf Schadensersatz

Weil Ausweisdaten so leicht missbraucht werden können, müssen Unternehmen im Fall eines Datenlecks mit persönlichen Daten nicht nur die Datenschutzbehörden benachrichtigen, sondern auch die Betroffenen selbst. Das ist offenbar nicht passiert. Personen, die netzpolitik.org kontaktierte, geben an, sie hätten erst durch uns von der Veröffentlichung ihrer Daten erfahren.

Elisabeth Niekrenz weist darauf hin, dass Betroffene vermutlich Anspruch auf Schadenersatz haben und klagen können. Das gilt gegenüber dem bislang unbekannten Unternehmen, bei dem die Daten ursprünglich gespeichert waren. Aber auch gegenüber dem Datenmarktplatz, der die Listen auf seiner Seite veröffentlicht hat.

Daten aus Pässen gelten als personenbezogene Daten, weil man mit ihrer Hilfe Personen identifizieren kann. Für die EU legt die Datenschutzgrundverordnung (DSGVO) fest, unter welchen Voraussetzungen man solche Daten überhaupt speichern und weitergeben darf.

Was dem Datenmarktplatz droht

Ob und wie Datenmarktplätze wie Databroker dafür zur Verantwortung gezogen werden können, wenn auf ihren Plattformen illegale Daten gehandelt werden, ist nicht abschließend geklärt. Eine aktuelle Recherche von netzpolitik.org mit dem Bayerischen Rundfunk zum Handel mit Standortdaten von mutmaßlich Millionen Deutschen konnte zeigen, wie leicht man daraus Bewegungsprofile konstruieren kann – auch von Menschen aus sicherheitsrelevanten Bereichen. Vermittelt hat den Kontakt zum Datenhändler in diesem Fall ein Marktplatz mit Sitz in Berlin.

Wahrscheinlich kann der Betreiber des Marktplatzes nicht durch die DSGVO zur Verantwortung gezogen werden kann. Das Unternehmen war hier nur Vermittler. Und wer nicht selbst Daten verarbeitet, kann nicht verantwortlich im Sinne der DSGVO sein – zu diesem Ergebnis kam die Berliner Datenschutzbehörde.

Im Fall des belgischen Marktplatzes, der die Passdaten veröffentlichte, könnte die Sache allerdings anders aussehen. Denn Databroker ist offenbar mehr als ein Vermittler: Die Listen mit den Passdaten standen öffentlich im Netz – hochgeladen direkt auf der Seite von Databroker.

Die belgische Datenschutzaufsicht ist jetzt dafür zuständig zu prüfen, ob Databroker mit der Veröffentlichung gegen die DSGVO verstoßen hat. Im April wollte sich die Aufsicht zu dem konkreten Fall nicht äußern, sie dürfe „zu laufenden oder potenziellen Verfahren“ nicht öffentlich Stellung nehmen. Auf unsere erneute Anfrage erhielten wir gar keine Antwort. (Nach unserer Veröffentlichung hat sich die Aufsicht gemeldet, mit der gleichen Aussage wie damals.)

Die Missachtung von Anforderungen an die Einwilligung können laut DSGVO Strafen von bis zu vier Prozent des jährlichen Umsatzes oder 20 Millionen Euro nach sich ziehen.

2 Ergänzungen

  1. Wenn ich mal so überlege was für eine Katastrophe das sein wird wenn solche Sachen wie die eID oder die Krankenakten im Größen Stil gehackt werden. Von systembedingt massig konsequenzfreiem Missbrauch der Daten seitens Behörden gehe ich ohnehin aus. Da wird es sicherlich nicht die geringste Hemmschwelle geben!

  2. Danke Np.org für den Artikel

    Näheres zur Causa SettleMint

    https://rocketreach.co/matthew-van-niekerk-email_122835688

    https://tracxn.com/d/companies/settlemint/__9W8MPUnVR8YlwFqrvOxmo1_-eMjmt08jrNeLI5sse7I

    >> Anbieter können auf Databroker ihren Accounts beliebige, auch irreführende Namen geben. Lediglich eine funktionierende E-Mail-Adresse braucht man, um sich anzumelden. Auch Dateien lassen sich beliebig benennen – etwa, wenn jemand den Eindruck erwecken wollte, er hätte Fluggastdaten aus legitimer Quelle.
    >> Ob und wie Datenmarktplätze wie Databroker dafür zur Verantwortung gezogen werden können, wenn auf ihren Plattformen illegale Daten gehandelt werden…

    Der Verdacht der Datenhehlerei könnte hier vielleicht schneller zum Ziel führen.

    Wer Daten (§ 202a Absatz 2), die nicht allgemein zugänglich sind und die ein anderer durch eine rechtswidrige Tat erlangt hat, sich oder einem anderen verschafft, einem anderen überlässt, verbreitet oder >>sonst zugänglich macht<> Sollte jemand Daten auf der Plattform verkaufen, verdient auch Settlemint an der Transaktion mit.<<

    oder einen anderen zu schädigen, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

    Islamic Development Bank Institute and SettleMint collaborate to develop smart stabilization system Zawya•May 25, 2023•SettleMint, isdbinstitute.org
    QFC and Settlemint sign agreement to accelerate blockchain adoption in the financial sector
    Zawya•Apr 18, 2023•SettleMint, Qatar Financial Centre https://www.qfc.qa/

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.