Databroker FilesDie große Datenhändler-Recherche im Überblick

Der unkontrollierte Datenhandel der Online-Werbeindustrie ist eine Gefahr für den Datenschutz von Abermillionen Menschen und für die nationale Sicherheit Deutschlands. Das zeigen Recherchen von netzpolitik.org und dem Bayerischen Rundfunk. Die Databroker Files im Überblick.

- , - in Datenschutz - keine Ergänzungen
Eine einsame Straße in der Dunkelheit. Nebel. Im Hintergrund Zahlenkolonnen am Himmel - Koordinaten.
Geortet. (Die Daten auf dieser Grafik sind zufällig generiert und illustrativ.) – Straße: Pixabay/elg_darling; Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger.

Unsere Recherchen mit BR zeigen erstmals, wie Datenhändler die genauen Standortdaten von Abermillionen Menschen in Deutschland verkaufen. Hier beantworten wir die zentralen Fragen und geben eine Übersicht der wichtigsten Veröffentlichungen.

Was steckt in den Databroker Files?

  • netzpolitik.org und dem Bayerischen Rundfunk liegt ein Datensatz mit 3,6 Milliarden Standortdaten aus Deutschland vor. Die Daten beinhalten rund 11 Millionen verschiedene Geräte-Kennungen und sind datiert auf einen Zeitraum, der rund zwei Monaten Ende 2023 umfasst.
  • Die Daten offenbaren die Bewegungsprofile von Millionen Menschen. Sie lassen etwa Rückschlüsse zu, wo sie arbeiten, wohnen, einkaufen oder spazieren gehen, ob sie ins Krankenhaus, in die Kita oder ins Bordell fahren.
  • Durch simple Online-Recherchen konnten wir mehrere Personen anhand der Daten eindeutig identifizieren, weil etwa ihre Wohnadresse im Telefonbuch steht und ihr Arbeitsplatz in sozialen Medien.
  • Unsere Stichproben zeigten jedoch auch, dass zumindest manche Geräte-Kennungen und Zeitstempel im Datensatz nicht korrekt sind. Die Zahl der getrackten Geräte im Datensatz dürfte niedriger sein als 11 Millionen.

Wie kam netzpolitik.org an die Daten?

  • Der uns vorliegende Datensatz stammt vom Datenhändler Datastream Group mit Sitz in Florida, USA. Er ist jedoch nur ein Beispiel für den globalen Handel mit personenbezogenen Daten. Dahinter steht ein schier undurchschaubares Geflecht aus tausenden Firmen.
  • Die Daten erhielten wir als gratis Kostprobe, die als Vorschau für ein Abonnement dienen sollte: Für rund 14.000 US-Dollar bietet der Händler einen kontinuierlichen Strom frischer Standortdaten von Abermillionen Smartphones auf der ganzen Welt, nahezu in Echtzeit.
  • Kontakt zu dem Datenhändler haben wir über einen aus Deutschland betriebenen Datenmarktplatz erhalten. Dieser heißt Datarade und hat seinen Sitz in Berlin. Datarade bringt Käufer*innen und Verkäufer*innen von Daten zusammen.

Woher kommen die Standortdaten?

  • Die Standortdaten stammen aus Handy-Apps, die unter anderem GPS-Daten für Werbezwecke weitergeben. Üblicherweise müssen Nutzer*innen dafür einmal in die Datenschutzbestimmungen der App einwilligen.
  • Wir wissen nicht genau, von welchen Apps die Standortdaten aus dem untersuchten Datensatz stammen. Andere Datenhändler erklärten uns jedoch, solche Standortdaten kommen üblicherweise von populären Apps für Wetter, Navigation oder Dating.
  • Nach unseren Erkenntnissen handelt es sich um ein globales Problem. Auf dem Datenmarktplatz fanden wir Angebote mit Standortdaten von allen Kontinenten, auch von weiteren EU-Ländern. Angepriesen werden sie von zahlreichen Händlern.

Wieso gefährdet der Datenhandel die Sicherheit Deutschlands?

  • Der Datensatz enthält auch die Bewegungsprofile von Menschen, die augenscheinlich für Bundesministerien, Bundeswehr, Sicherheitsbehörden und Geheimdienste arbeiten und die für die nationale Sicherheit relevant sind.
  • Identifizieren konnten wir beispielsweise eine Person, die sich in hoher Position für ein Bundesministerium mit Fragen der Sicherheit befasst, sowie eine Person, die für einen deutschen Geheimdienst arbeitet. Wir fanden Bewegungsprofile an Standorten deutscher Geheimdienste, wo auch US-amerikanische Agent*innen der NSA ein- und ausgehen sollen.
  • Solche Daten könnten auch fremde Geheimdienste erwerben und für Spionage oder Sabotage nutzen – etwa, um Militärstandorte ausfindig zu machen, Zielpersonen nachzustellen oder Agent*innen zu enttarnen.

Ist der Datenhandel legal?

  • Als Rechtsgrundlage berufen sich Unternehmen, die die Daten verarbeiten, üblicherweise auf die Einwilligung von App-Nutzer*innen in die Datenschutzbestimmungen. Darin ist oft eine Weitergabe der Daten an Händler vorgesehen.
  • Laut Datenschutzgrundverordnung (DSGVO) ist eine solche Einwilligung nur wirksam, wenn sie für bestimmte Fälle erfolgt und die Betroffenen informiert und freiwillig handeln.
  • Datenschützer*innen gehen davon aus, dass diese Anforderungen hier nicht erfüllt sind. Denn der Hinweis auf die Weitergabe der Daten an Hunderte Unternehmen ist oft in den Datenschutzbestimmungen versteckt, sodass eine Zustimmung kaum informiert erfolgen kann.

Wer tut etwas gegen den Datenhandel?

  • An die schwer durchschaubare Branche der Datenhändler haben sich deutsche Datenschutzbehörden bisher kaum herangewagt. Die Behörden werden vor allem dann aktiv, wenn sich betroffene Bürger*innen beschweren. Solche Beschwerden gibt es aber nur selten.
  • Juristische Konsequenzen zeichnen sich für die in unserer Recherche erwähnten Unternehmen derzeit nicht ab. Die 3,6 Milliarden Standortdaten, die wir erhalten haben, stammen von einem US-Händler. Im Ausland lässt sich Datenschutzrecht oft schwer durchsetzen.
  • Für den Berliner Datenmarktplatz Datarade wiederum greift die DSGVO wohl nicht. Zu dieser Einschätzung kommt die Berliner Datenschutzbeauftragte nach einer vorläufigen Prüfung. Denn für eine Handhabe nach DSGVO müsste ein Unternehmen die Daten auch selbst verarbeiten. Aber der Marktplatz vermittelt lediglich Interessierte und Händler und kassiert eine Provision für Verkäufe.

Wie reagiert die Politik auf die Recherche?

  • „Derartige sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für kommerzielle Zwecke Dritter verfügbar sein“, schreibt das Bundesministerium für Verbraucherschutz (BMUV). „Sind die Daten erst einmal in die Werbenetzwerke eingespeist, verlieren die Nutzer jegliche Kontrolle und lässt sich ihr Missbrauch kaum verhindern.“ Das Bundesministerium setze ich deshalb für eine Regulierung ein, die „einen konsequenten Wechsel auf alternative Werbemodelle“ fördert, die ohne personenbezogene Daten auskommen.
  • „Dass etwas passieren muss, steht für mich völlig außer Frage. Das ist in der Form ein untragbarer Zustand“, sagt der Bundestagsabgeordnete Konstantin von Notz (Grüne). Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Geheimdienste des Bundes beaufsichtigt. Die Verfügbarkeit solcher Datensätze für fremde Dienste bezeichnet er als „relevantes Sicherheitsproblem“. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“ Von Notz fordert: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden“.
  • „Es kann nur einen Schluss geben: solche Geschäftsmodelle müssen beendet werden“, sagt Bundestagsabgeordnete Martina Renner (Linkspartei). „Aus meiner Sicht muss der kommerzielle Datenhandel, erst recht mit solch sensiblen Daten, untersagt werden. Wir brauchen dringend tiefgreifende Nachbesserungen in der Datenschutz- und Telemediendienstregulierung in der EU.“
  • Mehr Schutz verlangt auch der Bundestagsabgeordnete Roderich Kiesewetter (CDU), stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium. Er spricht davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und „unsere Bürger vom Datenabgriff durch ausländische Staaten zu schützen.“

Wie reagieren Fachleute auf die Recherche?

  • „Verbraucher*innen sind der Werbeindustrie offenbar ausgeliefert“, sagt Ramona Pop, Präsidentin des Verbraucherzentrale Bundesverbands. „Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern. Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden.“
  • Die designierte Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider spricht im Kontext von Datenmarktplätzen von einer „Rechtsschutzlücke“. Im Blick habe sie Dienste, die zwar selbst keine Daten verarbeiten, aber dazu beitragen, etwa indem sie Kontakte zwischen Datenhändlern und Käufer*innen anbahnen. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beisipel im derzeit zu reformierenden Bundesdatenschutzgesetz.“
  • „Der Datenmarkt muss auf jeden Fall stärker reguliert werden“, fordert Thorsten Wetzling, der für die Denkfabrik Interface den Forschungsbereich zu Überwachung und Bürgerrechten leitet. Er sieht die Aufgabe bei der EU-Kommission, die sich jetzt nach der jüngsten Parlamentswahl neu aufstellt.
  • „Wir hoffen, dass die Enthüllungen die Bevölkerung, die Aufsichtsbehörden und auch den Gesetzgeber wachrütteln“, sagt Jurist Martin Baumann von der Wiener Datenschutz-NGO noyb. Man werde zudem prüfen, selbst juristisch gegen beteiligte Firmen vorzugehen.
  • „Für Betroffene von digitaler Gewalt ist das ein massives Sicherheitsrisiko“, schreibt uns Anna Wegscheider, Juristin bei der gemeinnützigen Organisation HateAid. Stalker*innen könnten solche Daten nutzen, um andere ausfindig zu machen.

Was sagen die Firmen zu der Recherche?

  • Die in Deutschland ansässige Datarade GmbH und die US-amerikanische Datastream Group haben unsere Presseanfragen nicht beantwortet.
  • Zu einer ähnlich gelagerten Recherche des niederländischen BNR Nieuwsradio im Januar schrieb Datarade (übersetzt aus dem Niederländischen): „Als Plattform fungieren wir nur als Vermittler. Wir selbst verkaufen keine Datensätze. Datenhändler können ihre Datensätze auf unserer Plattform zum Verkauf anbieten, um mit Interessenten in Kontakt zu treten. Selbstverständlich lassen wir nur legale Inhalte auf unserer Plattform zu, wie es auch in unseren Allgemeinen Geschäftsbedingungen steht. […] Datarade hält es für wichtig, gegen Rechtsverstöße vorzugehen.“

Was sagen Sicherheitsbehörden zu der Recherche?

  • Das Verteidigungsministerium schreibt auf Anfrage: „Dem Gefährdungspotential sind wir uns bewusst und erachten es als sehr wahrscheinlich, dass jeder Bundeswehrangehörige, wie jeder Handynutzende, sowohl im privaten als auch im dienstlichen Umfeld dieser Gefährdung ausgesetzt ist.“
  • Innen- und Verteidigungsministerium geben auf Anfrage an, ihre Beschäftigten regelmäßig für das Gefährdungspotenzial zu sensibilisieren.
  • Offenbar weiß die Bundesregierung, dass fremde Geheimdienste bei Datenhändlern einkaufen. So teilen Innen- und Verteidigungsministerium mit: Fremde Nachrichtendienste würden generell alle verfügbaren Mittel nutzen. „Dazu zählt auch der Ankauf und die Nutzung von im Internet verfügbaren Daten.“

Kaufen deutsche Geheimdienste bei Datenhändlern ein?

  • Die zuständigen Ministerien äußerten sich auf Anfrage nicht dazu, ob deutsche Geheimdienste auch selbst bei Datenhändlern einkaufen. Das Verteidigungsministerium schrieb mit Blick auf den Militärischen Abschirmdienst: Das zuständige Bundesamt nutze „alle gesetzlich zulässigen Mittel“.
  • Aus den USA ist bekannt, dass staatliche Stellen Informationen bei kommerziellen Datenhändlern einkaufen. Eine Studie der Denkfabrik Interface kam kürzlich zu dem Schluss: Es ist plausibel, dass auch deutsche Geheimdienste Datenhändler als Quelle nutzen.
  • Ob deutsche Dienste dafür eine konkrete Rechtsgrundlage hätten, ist umstritten. Eine von der Bundesregierung formulierte Gesetzesbegründung bei der BND-Reform lässt zumindest darauf schließen. Dort wird der Ankauf von Daten aus Werbedatenbanken beschrieben als Informationsbeschaffung aus „allgemein zugänglichen Quellen“.

Die Veröffentlichungen zu den Databroker Files im Überblick

(diese Liste wird laufend aktualisiert)

… auf netzpolitik.org

  • „Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland“, 16. Juli 2024
  • „Wie Datenhändler Deutschlands Sicherheit gefährden“, 16. Juli 2024
  • „Jetzt testen: Wurde mein Handy-Standort verkauft?“, 16. Juli 2024
  • „So stoppt man das Standort-Tracking am Handy“, 16. Juli 2024
  • Kommentar: „Dieses Staatsversagen schadet uns allen“, 16. Juli 2024
  • (Englisch) „How data brokers sell our location data and jeopardise national security“, 16. Juli 2024

… durch unseren Recherche-Partner BR

Du weißt mehr über die Databroker-Branche oder hast andere Hinweise für das Recherche-Team? Hier kannst du Sebastian oder Ingo erreichen. Bitte nutze möglichst verschlüsselte Wege sowie ein Gerät, das nicht deinem Arbeitgeber gehört.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Jugendmedienschutz und Künstliche Intelligenz. Er interessiert sich besonders für Methoden der Online-Recherche; darüber schreibt er einen Newsletter und gibt Workshops an Universitäten. Zu seinen vorigen Stationen gehören VICE (Senior Editor), Motherboard (Editor-in-chief), der SPIEGEL (Autor) und die Deutsche Journalistenschule München. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt.

Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon

Ingo ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und hier unter anderem Ko-Host des Podcasts Off/On. Ingos Themen sind der Überwachungskapitalismus, die digitale Zivilgesellschaft und der Strukturwandel der Öffentlichkeit. Er schreibt häufig über Datenmissbrauch und Datenschutz, Targeted Advertising, Plattformregulierung, Transparenz, Lobbyismus, Wahlkämpfe und die Polizei. Gelegentlich ist er auch als Moderator oder Lehrbeauftragter an Universitäten tätig und gibt Workshops in digitaler Selbstverteidigung. Ingo ist Ko-Autor der Studie "Medienmäzen Google" und Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche.

Kontakt: E-Mail (OpenPGP), Mastodon, Twitter, FragDenStaat

Veröffentlicht 16.07.2024 um 06:00
Kategorie
Schlagworte
Weitere Artikel
Die Collage zeigt eine Frau, die auf ihr Handy schaut. Wie geht einen Wanderweg entlang. Hinter ihr auf dem Weg erstrecken sich Ortsmarken, die zeigen, dass sie getrackt wurde. Vom Handy gehen Signale aus. Am Horizont ist ein Auge.
Datenschutz

Databroker FilesFirma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

Datenhändler verbreiten die Standorte von Menschen in Deutschland – teils sogar kostenlos, wie Recherchen von netzpolitik.org und BR zeigen. Ein Datensatz mit 3,6 Milliarden Einträgen offenbart genaue Bewegungsprofile und eine neue Dimension der Massenüberwachung.

Lesen Sie diesen Artikel: Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland
Links eine Deutschland-Karte mit Wegmarken. Dahinter schaut ein Auge hervor. Rechts eine Gestalt, deren Gesicht komplett im Schatten liegt, im Kapuzenpullover. Im Hintergrund Nebel. Noch weiter im Hintergrund Zahlenkolonnen, die Standortdaten darstellen.
Datenschutz

Databroker FilesWie Datenhändler Deutschlands Sicherheit gefährden

Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland. Sie wurden angeblich nur zu Werbezwecken erfasst. Aber Recherchen von netzpolitik.org und BR zeigen: Mit den Daten lassen sich sogar Angestellte von Regierung, Militär und Geheimdiensten ausspionieren.

Lesen Sie diesen Artikel: Wie Datenhändler Deutschlands Sicherheit gefährden

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.