Databroker FilesDieses Staatsversagen schadet uns allen

Unsere Recherche zeigt einen wuchernden Markt mit intimsten Daten. Gegen die Databroker sind aktuelle Gesetze machtlos. Das gefährdet nicht nur unsere Privatsphäre, sondern auch die nationale Sicherheit. Politik und Datenschutzbehörden müssen jetzt endlich handeln. Ein Kommentar.

Im Vordergrund eine Art Schlot, der Icons von Datei-Ordner herauspustet. Im Hintergrund eine schwarze Silhouette mit Wahrzeichen von Berlin. Am Himmel Zahlenkolonnen – Standortdaten.
Rausgepustet. (Die Daten auf dieser Grafik sind zufällig generiert und illustrativ.) – Grafiken: Pixabay (Ordner: slightly-different; Stadt: Clker-free-vector-images; Rauch: open-clipart-vectors, b0red; Bohrturm: elynde); Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.


Es kommt nicht oft vor, dass man als Datenschutzjournalist noch entsetzt ist. Permanent prangern wir bei netzpolitik.org die Auswüchse des Überwachungskapitalismus an. Doch die Databroker Files, über die wir zusammen mit dem Bayerischen Rundfunk berichten, übertreffen alle unsere bisherigen Enthüllungen aus der Werbeindustrie. Tracking-Firmen orten Millionen Menschen in Deutschland auf Schritt und Tritt und verschleudern unsere Bewegungsprofile an alle, die sie haben wollen.

Mit verstörend geringem Aufwand haben wir von einem Databroker 3,6 Milliarden Standortdaten aus Deutschland erhalten. Ein Unternehmen aus Florida hat uns die Daten praktisch hinterhergeschmissen, nicht einmal bezahlen mussten wir dafür. Nennenswerte Sicherheitsvorkehrungen gab es nicht.

Dabei steckt in dem Datensatz nicht weniger als ein Massenüberwachungs-Skandal: Die 3,6 Milliarden erfassten Standorte bedecken nahezu jeden Winkel des Landes. Genug, um plötzlich selbst Geheimdienst spielen zu können. Ob in abgelegenen Kasernen, Gefängnissen, Suchtkliniken oder Swinger-Clubs – überall fanden wir Bewegungsprofile.

Wir konnten anhand der Daten sogar Menschen identifizieren, die für den Staat in sicherheitskritischen Bereichen arbeiten: eine Person, die sich in hoher Position in einem Bundesministerium mit Fragen der Sicherheit befasst. Eine Person, die für einen deutschen Geheimdienst arbeitet. Wir kamen sogar einer Person auf die Spur, von der wir vermuten, dass sie für den berüchtigten US-Geheimdienst NSA in Deutschland im Einsatz sein könnte.

Diese Daten sind gefährlich

Der Bundestagsabgeordnete Konstantin von Notz (Grüne) spricht angesichts unserer Recherche von einem „maximalen Sicherheitsproblem“. Doch deutsche Behörden haben das bislang nicht ausreichend auf dem Schirm. Dabei ist die politische Lage so angespannt wie seit dem Kalten Krieg nicht mehr. Sabotage, Spionage, Erpressung oder gar Attentate sind nur einige der Gefahren, die sich aus den Bewegungsprofilen ergeben.

Keine Behörde der Welt konnte je Abermillionen Menschen persönlich observieren. Doch heute tragen wir alle den Peilsender in der Hosentasche. Unsere Standorte verraten wir in Echtzeit über Apps, gesammelt und verkauft werden sie angeblich nur zu Werbezwecken. Doch die Recherchen von netzpolitik.org und BR enthüllen: Die Daten können praktisch überall landen und laden zum Missbrauch ein. Interessierte Geheimdienste dürften längst selbst zugegriffen haben.

Was, wenn auch gewalttätige Ehemänner, Stalker*innen und Rechtsradikale ihre Opfer anhand von Bewegungsprofilen verfolgen? Wenn die Polizei daraus abliest, wer auf welche Demos geht? Wenn Menschen mithilfe der Daten gedoxt und diskreditiert werden? Wenn Faschist*innen an die Macht kommen, und mit diesen Daten gezielt People of Color, queere Menschen und Oppositionelle verfolgen?

Der Staat hat uns der Werbeindustrie schutzlos ausgeliefert

Die Databroker-Recherche zeigt nicht nur die Gefahren des Datenhandels. Sie zeugt auch von einem epischen Staatsversagen. Seit mehr als sechs Jahren gilt die Datenschutzgrundverordnung (DSGVO). Aber den Überwachungskapitalismus bekommt sie überhaupt nicht in den Griff. Sie kann nicht einmal minimale Transparenz darüber schaffen, was mit unseren Daten passiert.

Die Datenindustrie nutzt die angebliche Einwilligung der Nutzer*innen als billige Ausrede, schließlich hätten sie irgendwann einmal irgendwo auf „akzeptieren“ geklickt. Dabei ist allen klar: Das ist absolut lächerlich.

Die DSGVO lässt keinen Zweifel daran, dass Einwilligungen freiwillig und informiert erfolgen müssen. In der Praxis haben Nutzer*innen in den meisten Fällen keine Wahl: Sie müssen zustimmen oder auf digitale Teilhabe verzichten. Mit Freiwilligkeit hat das nichts tun. Und sie können nicht im Geringsten nachvollziehen, was dann mit ihren Daten passiert. Das ist keine Informiertheit, sondern der totale Kontrollverlust.

Andere verdienen ihr Geld mit euren Daten, wir nicht!

Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.

Das wissen auch die Datenschutzbehörden. Aber sie tun zu wenig dagegen. Sie klagen über zu wenig Befugnisse, zu wenig Geld und zu viel kleinteilige Arbeit mit tausenden Beschwerden von Bürger*innen. Für mehr bleibe kaum Raum.

Tatsächlich macht es die DSGVO den Datenschutzbehörden nicht leicht, solange sich Datensammler per Fingertipp auf ein Pop-up praktisch alles erlauben lassen können. Und die Regierungen geben den Behörden nur so viele Mittel, dass sie die Beschwerden der Bürger*innen halbwegs bearbeiten können.

Was wir wirklich bräuchten, und zwar schon lange: Konsequente Ermittlungen von Amts wegen. Behörden, die systematische Datenschutz-Verletzungen der Werbeindustrie genauso entschlossen verfolgen wie Drogenschmuggel und Steuerhinterziehung. Wann sehen wir endlich Datenschützer*innen, die Unternehmenssitze durchsuchen und Server beschlagnahmen?

Stattdessen verfehlen die Behörden beim Datenhandel systematisch ihr Ziel. Sie schreiben vor allem Briefe und Leitfäden, die windige Akteure eiskalt ignorieren, während sie jahrelang weiter skrupellos unsere Grundrechte verletzen. Sie gehen fast ausschließlich gegen Unternehmen vor, über die sie auch Beschwerden erhalten.

Aber wer beschwert sich schon über die Hunderten unscheinbaren Databroker aus der Datenschutzerklärung einer App? Niemand kennt sie, niemand weiß, welche Daten sie speichern und was sie mit ihnen tun. Diese Unternehmen operieren im toten Winkel des Datenschutzrechts und machen ungehindert unsere Daten zu Geld.

Unsere Recherchen zeigen: Das hinterlistige Geschäft mit personenbezogenen Daten wuchert, und man kann es aus nächster Nähe beobachten. Die Akteure sitzen nicht irgendwo in einem Steuerparadies, sondern in direkter Nachbarschaft. Den Kontakt zu dem US-Databroker erhielten wir über den Datenmarktplatz Datarade – ein Unternehmen mit Sitz in Berlin. Es gibt sich als harmloses Start-up, das über den „High-Tech Gründerfonds“ sogar eine von der Bundesregierung aufgelegte Förderung erhalten hat. Unsere Presseanfragen ließ das Unternehmen unbeantwortet.

Der Staat soll uns schützen, nicht ausspionieren

Auch Apple und Google haben ihren Anteil an der werbebasierten Massenüberwachung: Sie verpassen unseren Handys einzigartige Kennungen, die „mobile advertising IDs“. So schaffen sie die Grundlage dafür, dass uns Tracking-Firmen überall im Netz wiedererkennen. Ja, Apple und Google schicken uns mit heruntergelassener Hose ins Netz – und dürfen sich auch noch darauf verlassen, dass die meisten Menschen das nicht einmal merken. Denn wer außer ein paar Datenschutz-Nerds weiß schon, was eine mobile advertising ID ist?

Die größten Unternehmen der Welt sorgen dafür, dass das parasitäre Geschäftsmodell namens Überwachungswerbung erhalten bleibt. Sie beuten die Privatsphäre von Abermillionen Nutzer*innen aus, weil sie hoffen, durch personalisierte Werbung noch mehr Geld zu machen. Hier triumphieren die Profit-Interessen der Konzerne über die Grundrechte der Bevölkerung.

Staaten unterstützen diese Form der werbebasierten Massenüberwachung, wenn sie mit Steuergeldern bei Datenhändlern einkaufen gehen. Genau das passiert in den USA bereits. In der EU könnte Berichten zufolge mindestens der niederländische Geheimdienst mitmischen. Eine Studie von Interface (vormals „Stiftung Neue Verantwortung“) kam kürzlich zu dem Schluss: Es ist sehr plausibel, dass Verfassungsschutz und Bundesnachrichtendienst es ähnlich machen.

Ob deutsche Geheimdienste überhaupt das Recht hätten, unsere Bewegungsprofile auf dem Datenmarkt zu kaufen, ist umstritten. Eine kritische Debatte kann es mangels Transparenz kaum geben: Unsere Presseanfragen beantworten die zuständigen Ministerien nicht.

Befeuern auch unsere Geheimdienste mit Steuergeldern einen Markt, den der Staat im Interesse aller eigentlich schließen müsste? Die Öffentlichkeit hat ein Recht, das zu erfahren. Aufklärung muss deshalb der erste Schritt der politischen Aufarbeitung sein.

Profilbildung und Datenhandel verbieten!

Doch Transparenz allein reicht nicht. Seit Jahren warnen Forscher*innen und Zivilgesellschaft vor den Gefahren des entfesselten Überwachungskapitalismus. Fachleute aus Politik, Forschung und Verbraucherschutz reagierten entsetzt auf unsere Recherchen. Sie sprechen davon, dass etwas passieren muss, und zwar dringend.

Die politische Antwort muss das Problem an der Wurzel packen. Man darf die Verantwortung nicht an die Nutzer*innen abschieben. Es reicht nicht, einzelne dafür zu sensibilisieren, dass sie immer gründlich die Standort-Freigaben ihrer Apps checken. Es reicht nicht, wenn Datenschutzbehörden nach jahrelangen Verfahren ein paar Geldstrafen an einzelne App-Betreiber oder Databroker verteilen. Am System des Datenhandels wird das nichts ändern.

Die Branche beweist seit Jahren, dass sie systematisch Regeln verletzt. Was technisch möglich ist, wird auch gemacht. Deshalb müssen Staaten die kommerzielle Profilbildung und den Handel mit personenbezogenen Daten generell verbieten. Längst gibt es alternative Werbe-Modelle, die nicht auf der Ausbeutung unserer Privatsphäre beruhen: kontextbasierte Werbung zum Beispiel. Mit Werbung lässt sich weiterhin eine Menge Geld verdienen, auch ohne Massenüberwachung.

Die Werbeindustrie wird gegen jede Änderung Sturm laufen und sie als radikal bezeichnen. Immerhin würde es umkrempeln, wie im Netz Geld verdient wird. Aber eigentlich ist diese Position gar nicht mal radikal. Es ist die einzig folgerichtige Umsetzung des Grundrechts auf Privatsphäre.

Dennoch, es wird nicht leicht, eine politische Mehrheit gegen die Interessen der Tracking-Industrie zu finden. Vor ein paar Jahren sind EU-Abgeordnete damit gescheitert.

Der Bundestag muss jetzt handeln

Politische Mehrheiten brauchen oft Zeit. Es darf jedoch keine Zeit vergehen, bis die von uns aufgedeckten Schutzlücken mindestens gestopft werden. Den Kontakt zum Händler, der uns die 3,6 Milliarden Standortdaten gab, knüpften wir über einen Datenmarktplatz in Deutschland. Aber datenschutzrechtlich sind solche Plattformen kaum zu fassen. Sie können sich darauf berufen, dass sie nur Kontakte herstellen, die gehandelten Daten aber nicht selbst verarbeiten. Die Berliner Datenschutzbehörde gesteht zähneknirschend ein, dass insoweit die DSGVO nicht anwendbar ist.

Das muss sich dringend ändern. Wer an einem Geschäft direkt mitverdient, das die Privatsphäre so vieler Menschen verletzt, der muss dafür auch zur Verantwortung gezogen werden können. Greift die DSGVO nicht für Datenmarktplätze, dann braucht es eben neue Gesetze, welche die grundrechtsverletzenden Schlupflöcher wirklich schließen.

Gerade verhandelt der Bundestag über eine Reform des Bundesdatenschutzgesetzes. Genau hier muss der Gesetzgeber tätig werden, um Datenhändler zur Verantwortung zu ziehen. Und zwar am besten mit einer parteiübergreifenden Initiative. Der Datenhandel betrifft schließlich alle Menschen. Abgeordnete von CDU bis Linke äußerten sich alarmiert über unsere Recherchen. Wenn die Politik die Datenindustrie nicht jetzt an die Kette legt, wann dann?


Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.

4 Ergänzungen

    1. Die UEFA kriegt nicht mal mehr die analogen Regeln hin, nachdem man sich bei der Einführung von Unterstützungstechnologien so viel Mühe gegeben hatte, nicht alles kaputtzumachen.

      Ballet mit natürlichen Bewegungen,… Was soll man von solchen Entscheidern erwarten?

  1. Man sollte nicht vergessen, dass Daten über viele Menschen, gewissermaßen „die Masse“, allerdings im Einzelnen, zwei wesentliche Risiken bedeuten:
    1. Manipulation der Masse, bzw. Ausnutzen ihrer Schwächen.
    2. Leute in der Nähe von (wichtigen) Leuten oder Sachen. Also doch klein Erna und Fritz! Nix mit „nur Hochwertziele der nationalen Sicherheit (first)“. Was auch immer das Ziel jew. ist, so ist dieser Umstand ähnlich inakzeptabel.

    Wo ist die Politik? Irgendwo zwischen Zauberlehrling und dem Teufel (sicherlich doch) ein Schnippchen schlagen?

  2. Ich kann es nur wiederholen: Die Linke hat sich als einzige Partei bereits seit Jahren für ein generelles Verbot personalisierter Onlinewerbung eingesetzt und das auch als einzige Partei im EU-Wahlprogramm 2024 drinstehen gehabt. Der Kampf um das Thema lief unter anderem in der Entstehungsphase des DSA. Die Kritik hat niemand gehört, es wurde lediglich ein kleiner Kompromiss erreicht, dass die Personalisierung bei Minderjährigen nicht mehr erlaubt ist (aber auch nur dann wenn der betreffenden Plattform sicher bekannt ist, dass die Person minderjährig *ist*).
    Insofern vielen Dank für die Recherchen, sie entfalten jetzt vielleicht endlich mehr Druck. Wobei man nicht vergessen sollte dass manipulative Produktwerbung als (manipulativer) Anreiz zu mehr Konsum, mit dem Kapitalismus als Wirtschaftsprinzip unmittelbar zusammenhängt. Wenn sich daran etwas substanziell bessern soll, muss die Kritik entsprechend grundsätzlich ausfallen.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.