Databroker FilesFirma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

Datenhändler verbreiten die Standorte von Menschen in Deutschland – teils sogar kostenlos, wie Recherchen von netzpolitik.org und BR zeigen. Ein Datensatz mit 3,6 Milliarden Einträgen offenbart genaue Bewegungsprofile und eine neue Dimension der Massenüberwachung.

Die Collage zeigt eine Frau, die auf ihr Handy schaut. Wie geht einen Wanderweg entlang. Hinter ihr auf dem Weg erstrecken sich Ortsmarken, die zeigen, dass sie getrackt wurde. Vom Handy gehen Signale aus. Am Horizont ist ein Auge.
Getrackt. (Die Daten auf dieser Grafik sind zufällig generiert und illustrativ.) – Auge: maxpixel.net/CCO; Straße & Frau: Pixabay; Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.


3,6 Milliarden Punkte häufen sich auf unserer Deutschland-Karte. Es sind die Koordinaten von Millionen von Telefonen. Ein Muster ist in den Milliarden Punkten zunächst nicht zu erkennen. Zu viel Information. Doch zu jedem Punkt gibt es eine eindeutige Kennung, die „mobile advertising ID“ (MAID).

Apple und Google verwenden sie, damit die Werbeindustrie einzelne Handys oder Tablets unterscheiden kann. Legt man alle Standorte, die mit einer bestimmten ID verknüpft sind, auf eine Karte, zeichnet sich im Meer aus Punkten ein Muster ab.

Wie Perlenketten reihen sich die Punkte entlang der Wegstrecken, die eine Person zurückgelegt hat. Etwa ins Büro oder in die Natur. Wie Konfettihaufen häufen sich die Punkte dort, wo die Person die meiste Zeit verbringt, etwa Zuhause und auf der Arbeit.

Wer die Standortdaten auf der Deutschland-Karte verfolgt, kann daraus den Alltag von Menschen ablesen. Manches erscheint zunächst weniger aufregend, beispielsweise die Fahrt über eine Hauptverkehrsstraße. Anderes dagegen ist geradezu intim, etwa der Besuch einer Entzugsklinik oder eines Swinger-Clubs.

Hunderte Gigabyte als Kostprobe

Ein Datensatz mit 3,6 Milliarden Standortdaten könnte einem Leak aus einer monumentalen Geheimdienst-Operation entstammen. Doch weit gefehlt: Die Herkunft der Daten ist weitaus weniger spektakulär.

Sie stammen aus den riesigen Datensammlungen der Werbeindustrie. Üblicherweise nutzen Firmen die Daten, um das Verhalten von Menschen zu analysieren und sie mit zielgerichteter Werbung zu beeinflussen.

Unser Datensatz ist eine Kostprobe, die wir gratis von einem US-Händler erhielten. Den Kontakt zum Händler stellten wir über einen Online-Marktplatz namens Datarade her. Er bringt Verkäufer*innen und Käufer*innen zusammen und wird von einer deutschen Firma betrieben. Sie sitzt in Berlin und macht den Eindruck eines hippen Start-ups. Das Gruppenfoto des Teams zeigt heitere Menschen im Grünen. Über den High-Tech-Gründerfonds sind auch Fördergelder der Bundesregierung an Datarade geflossen.

Die Daten selbst kommen von der US-Firma Datastream Group. Sie bietet solche Standortdaten im monatlichen Abonnement an. Laut Angebot stammen sie aus bis zu 163 Ländern und werden stündlich aktualisiert. Man könne sie für personalisierte Werbung einsetzen, heißt es. Oder um geeignete Orte für den Kauf von Immobilien zu finden.

Auf einem Datenmarkt läuft das in der Regel so: Erkundigt man sich dort nach Angeboten, erhält man von den Händlern oft kostenlos einen Datensatz als Vorschau. In unserem Fall waren das die 3,6 Milliarden Standortdaten aus Deutschland. Sie waren nur wenige Monate alt.

Manche Datenhändler bestehen zunächst auf einem Videogespräch, um herauszufinden, was Interessierte mit den Daten vorhaben. Unsere Standortdaten erhielten wir ohne ein solches Gespräch.

Stichproben zeigen: Die Daten sind echt

Die Recherchen von netzpolitik.org und BR basieren also nur auf einer vergleichsweise kleinen Kostprobe des weltweiten Datenhandels. Doch die Einblicke reichen aus, um eine neue Dimension der Massenüberwachung sichtbar zu machen. In den Daten stecken elf Millionen verschiedene Werbe-IDs. Es sind in Deutschland geortete Telefone und ihre Bewegungen, datiert auf zwei Monate Ende 2023.

Um zu testen, ob die Daten echt sind, haben wir in Stichproben erfolgreich Betroffene identifiziert. Sogar im eigenen Umfeld fand das Recherche-Team getrackte Personen.

Der Datensatz enthält zwar keine Namen oder Telefonnummern, aber anhand der Bewegungsprofile lässt sich oft herausfinden, welche Person sich hinter einer ID verbirgt. In einigen Fällen genügte schon eine Google-Suche, um die Menschen hinter den Bewegungsprofilen zu identifizieren. Denn aus der Häufung von Standortdaten lässt sich leicht ableiten, wo jemand vermutlich wohnt und arbeitet. Wer in einem Einfamilienhaus wohnt, ist besonders einfach zu finden. Zahlreiche Menschen stehen im Telefonbuch, nennen ihren Arbeitgeber auf LinkedIn.

„Es geht um die Privatsphäre aller“

„Verbraucher*innen sind der Werbeindustrie offenbar ausgeliefert“, sagt Ramona Pop, Präsidentin des Verbraucherzentrale Bundesverbands, als Reaktion auf die Recherchen. Die Risiken seien unüberschaubar, der Handel höchst problematisch.

„Es geht um die Privatsphäre aller Menschen, die in der Bundesrepublik leben“, sagt der Bundestagsabgeordnete Konstantin von Notz (Grüne). Er beschäftigt sich intensiv mit Überwachung und nationaler Sicherheit. Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Geheimdienste des Bundes überwachen soll. Letztlich widerspreche der Verkauf solcher Standortdaten der Menschenwürde, sagt von Notz. Es sei eine der „Grundvoraussetzungen unserer Demokratie“, dass sich Menschen „unbeobachtet und ungestört in diesem Land bewegen können“.

Weder der in Deutschland ansässige Datenmarktplatz Datarade noch die US-Firma Datastream haben unsere Presseanfragen beantwortet.

Zu einer ähnlich gelagerten Recherche des niederländischen BNR Nieuwsradio im Januar schrieb Datarade (übersetzt aus dem Niederländischen): „Als Plattform fungieren wir nur als Vermittler. Wir selbst verkaufen keine Datensätze. Datenhändler können ihre Datensätze auf unserer Plattform zum Verkauf anbieten, um mit Interessenten in Kontakt zu treten. Selbstverständlich lassen wir nur legale Inhalte auf unserer Plattform zu, wie es auch in unseren Allgemeinen Geschäftsbedingungen steht. […] Datarade hält es für wichtig, gegen Rechtsverstöße vorzugehen.“

Standortdaten verraten Klinikaufenthalte

Welche Strecken legt man wohl in zwei Monaten zurück? Welche Ausflüge sind privat, welche intim? Vielleicht möchte man nicht jedem sagen, zu welchen Demos, Konzerten und Raves man geht. Oder man möchte den Besuch bei der Tafel, auf dem Polizeirevier, bei der Therapeutin oder in der Kinderwunschklinik für sich behalten.

Wir haben stichprobenartig überprüft, ob der Datensatz solche Kenntnisse bereithält. So fanden wir beispielsweise Standortdaten auf dem Gelände von zehn Fachkliniken für Psychiatrie und Abhängigkeitserkrankungen. Orte also, wo Menschen in Notsituationen Hilfe suchen, ohne aller Welt davon erzählen zu wollen.

64 verschiedene Werbe-IDs fanden wir auf dem Gelände der Frankenalb-Klinik Engelthal, die sich unter anderem auf Psychosomatik, Psychiatrie und Suchterkrankungen spezialisiert hat. Auf dem Gelände der Fachklinik Neue Rhön, einer hessischen Anlaufstelle für Suchterkrankungen, gab es 36 IDs im Datensatz. 29 IDs waren es bei der Fachklinik Menterschwaige im Süden von München. Je 27 IDs bei der Vincera Klinik Spreewald und der Fontane Klinik, beide in Brandenburg.

Nicht jede Werbe-ID im Datensatz lässt sich direkt einer Person zuordnen. Für viele IDs gibt es nur wenige verstreute Punkte. Das könnte daran liegen, dass wir nur einen kleinen Ausschnitt der erfassten Standortdaten vorliegen haben. In einigen Fällen reichen die Standorte im Datensatz jedoch aus, um daraus auf Wohnorte und Personen zu schließen, etwa Besucher*innen oder Angestellte der Fachkliniken.

Wir haben uns allerdings entschieden, diese Menschen nicht zu kontaktieren, um einzelne Fälle zu prüfen. Denn wenn wir Patient*innen erreichen, wollen wir sie durch eine solche Anfrage nicht retraumatisieren. Auch möchten wir nicht versehentlich mit Angehörigen sprechen, die bislang nichts von dem Klinikaufenthalt einer ihnen bekannten Person wissen.

Standorte aus Swinger-Clubs, Bordellen, Gefängnissen

Der Datenhändler hatte auch Standorte von Telefonen an weiteren sensiblen Orten im Angebot, etwa Swinger-Clubs wie „Schloss Milkersdorf“ in Brandenburg, das „erotische Schlossnächte“ veranstaltet. Oder dem bayerischen „Club Rendezvous“, der auf seiner Website betont: „Anonymität ist unser oberstes Gebot“.

Viele Swinger-Clubs siedeln sich bewusst nicht inmitten der Stadt an. Die Swinger*innen wollen vor oder nach der Party nicht zufällig Bekannten über den Weg laufen. Doch gerade durch die diskrete Lage sind die Besucher*innen der Clubs besonders exponiert für Handy-Ortungen. Aus dieser Vogelperspektive fällt ihr Ausflug umso mehr ins Auge.

Auch in deutschen Rotlichtvierteln wurden Handys geortet. Ob bei einem kleinen Etablissement wie dem „Haus 16“ in Saarbrücken oder einem Großraumbordell wie dem „Artemis“ in Berlin – wir konnten im Datensatz zahlreiche Besucher*innen ausfindig machen und ihre Wege bis zu ihren mutmaßlichen Wohnorten verfolgen. So etwa bei einer Person, die offenbar im noblen Schlachtensee-Viertel in Berlins Süden wohnt. Im November 2023 besucht sie laut Datensatz das Artemis. Vom schmucken Einfamilienhaus ist das Bordell über die Autobahn in 15 Minuten erreichbar. Später geht es weiter in ein teures Kleidungsgeschäft in Charlottenburg.

In einem Fall lassen sich die Bewegungen einer Person im Rotlichtmilieu über mehrere Wochen hinweg beobachten. Immer wieder wird ihr Telefon „Im Winkel“ geortet. Das ist eine kleine Straße in Bochum mit Nachtclubs und Bordellen. Nur sonntags hält sich die Person dort nicht auf. Augenscheinlich wohnt sie nur wenige Autominuten entfernt in einem schlichten Mehrfamilienhaus. Dort häufen sich die Standortdaten, vor allem morgens und abends. Gehört das geortete Telefon womöglich einer Sexarbeiter*in? In diesem Fall dürfte ihre Privatadresse besonders schützenswert sein.

Zahlreiche Standortdaten fanden wir zudem auf dem Gelände von Gefängnissen, darunter die Justizvollzugsanstalt München-Stadelheim oder die JVA Tegel in Berlin. 272 Werbe-IDs fanden wir in der Berliner JVA Plötzensee. Darunter auch das Bewegungsprofil einer Person, die mehrere Tage durch die Stadt zum JVA-Krankenhaus reiste und vermutlich dort arbeitet. Auf Nachfrage bestätigt uns die Berliner Senatsverwaltung für Justiz und Verbraucherschutz: Es könne zutreffen, dass es sich dabei um eine Person handelt, die in dem Krankenhaus tätig ist.

„Massives Sicherheitsrisiko“ für Betroffene digitaler Gewalt

Derart leicht zugängliche Bewegungsprofile von Abermillionen Menschen stellen eine große Gefahr dar. „Für Betroffene von digitaler Gewalt ist das ein massives Sicherheitsrisiko“, schreibt uns Anna Wegscheider, Juristin bei der gemeinnützigen Organisation HateAid. Stalker*innen könnten solche Daten nutzen, um andere ausfindig zu machen. Privatadressen lassen sich etwa für Swatting missbrauchen, also falsche Notrufe bei der Polizei.

Beim sogenannten Doxing veröffentlichen Täter*innen private Informationen über eine Person, um sie einzuschüchtern. Auch Bewegungsprofile könnten zu diesem Zweck veröffentlicht werden, warnt Wegscheider. „Auf die psychische Verfassung der Betroffenen hätte das massive Auswirkungen, für sie dürfte jegliches Gefühl von Sicherheit im digitalen wie analogen Raum verschwinden.“ Außerdem müssen sie damit rechnen, dass Täter*innen sie etwa auf dem Weg zur Arbeit abfangen. Finden sich in den Daten schambehaftete Dinge wie Bordellbesuche, seien auch Erpressung und Nötigung nicht auszuschließen.


Der Handel mit Standortdaten bedroht nicht nur die Privatsphäre von potenziell Millionen von Handy-Nutzer*innen in Deutschland, sondern auch die nationale Sicherheit. In diesem Text berichten wir, wie wir sogar Angehörige von Sicherheitsbehörden identifizieren konnten – und wie genau wir an die Daten gelangt sind. Außerdem haben wir ein Tool gebaut, mit dem Interessierte prüfen können, ob ihre eigene ID im Datensatz auftaucht. Hier erklären wir, wie man seinen Handy-Standort besser schützen kann.

Wie Datenhändler Deutschlands Sicherheit gefährden


So fließen Standortdaten an Datenhändler

Woher kommen all die Standortdaten? Wie gelangen GPS-Daten von Handys in Deutschland an einen US-amerikanischen Datenhändler? Den Weg der Daten können wir teilweise nachvollziehen, es gibt jedoch Lücken. Das beginnt bei unseren Smartphones, die wie ausgefeilte Peilsender funktionieren.

Besonders genau ist die Ortung per GPS. Aber auch über WiFi oder die IP-Adresse lassen sich unsere Telefone orten. Viele Apps fragen uns, ob sie den Handy-Standort nutzen dürfen. Zum Beispiel Apps für Navigation, Dating oder Wettervorhersagen. Und oft bitten uns die Apps um eine weitere Erlaubnis – und die ist folgenschwer.

Mit einem einfachen Klick auf „Akzeptieren“ sollen wir dann zustimmen, dass eine App unsere Daten für Werbung und Tracking nutzen darf. Meist lassen uns Apps dabei jedoch keine echte Wahl: Entweder wir stimmen der Überwachung zu, oder wir können die App nicht nutzen. Neben den Standortdaten wollen Apps in der Regel auch die einzigartige Kennung unseres Geräts erfassen, die „mobile advertising ID“. Sie macht Mobiltelefone eindeutig identifizierbar.

Andere verdienen ihr Geld mit euren Daten, wir nicht!

Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.

Viele Apps nutzen diese Erlaubnis, um die erfassten Daten nicht nur an einen, sondern an Hunderte Händler zu verkaufen. So verbreiten sich die Daten oft „explosionsartig“, wie es im vergangenen Jahr der Datenschutzjurist Marco Blocher von der Wiener Organisation noyb im Rahmen unserer Recherchen zum Datenmarktplatz Xandr beschrieb. Für Nutzer*innen sei das ein „totaler Kontrollverlust“.

Dass Abermillionen Handys auf diese Weise ständig sensible Daten preisgeben, ist seit Jahren bekannt. Viele Nutzer*innen haben sich daran gewöhnt oder wollen nicht so genau darüber nachdenken. Es tut einem ja auch nicht weh, solange man nicht im Detail erfährt, was mit den Daten passiert. Oder wie solche Bewegungsprofile aussehen, die unser Leben zu einem offenen Buch machen.


Du weißt mehr über die Databroker-Branche oder hast andere Hinweise für das Recherche-Team? Hier kannst du Sebastian oder Ingo erreichen. Bitte nutze möglichst verschlüsselte Wege sowie ein Gerät, das nicht deinem Arbeitgeber gehört.


Das sagt Datastream zur Herkunft der Daten

In unserer Rolle als potenzieller Kunde wollten wir von Datastream wissen, von welchen Apps genau die Standortdaten und Werbe-IDs aus unserem Datensatz kommen. Doch auch auf mehrfache Nachfrage erhielten wir keine präzise Antwort. Möglicherweise möchte das Unternehmen das nicht preisgeben – oder es weiß es selbst nicht.

Oft rühren Datenhändler die erworbenen Daten aus mehreren Quellen zusammen, bereiten sie auf und verkaufen sie weiter. Es ist daher durchaus möglich, dass Akteure weiter hinten in der Verwertungskette nicht genau sagen können, woher die Daten ursprünglich stammen. Auch bei Datastream könnte das der Fall sein.

Was wir wissen: Im Angebot von Datastream ist von „GPS“-Daten die Rede. Die Standorte im Datensatz sind mobilen Werbe-IDs von iOS und Android zugeordnet. Und im Angebot ist die Rede von sogenannten SDKs („software development kits“). So nennt man Software-Pakete für Apps, die verschiedene Funktionen erfüllen können. In unserem Fall: Daten an Tracking-Firmen weiterleiten, um damit Geld zu verdienen. Entwickler*innen müssen so etwas nicht für jede App selbst entwerfen, sondern können auf bereits fertige SDKs zurückgreifen.

Diese Fehler entdeckten wir in den Daten

Beim Erkunden der 3,6 Milliarden Standortdaten stießen wir auf einige Ungereimtheiten. Vieles spricht dafür, dass ein Teil der Werbe-IDs nicht korrekt ist. Die „mobile advertising ID“ ist eine individuelle Kennung für jedes Telefon. Sie sieht zum Beispiel so aus:

4f186o16-ka91-0561-q65t-95to6hq0oqh9

Allerdings fanden wir immer wieder sehr ähnliche Bewegungsprofile, die angeblich von fünf oder mehr verschiedenen Werbe-IDs stammen sollen.

Es ist unwahrscheinlich, dass so viele Menschen fünf oder mehr Handys parallel nutzen. Stattdessen halten wir es für plausibel, dass Standorte derselben Handys unter mehreren verschiedenen Werbe-IDs im Datensatz auftauchen. Das bedeutet, dass möglicherweise manche IDs im Datensatz geändert wurden. Beispielsweise könnte der Händler seinen Datensatz künstlich aufgebläht haben, um ihn größer erscheinen zu lassen. Unsere Fragen zum Datensatz ließ das Unternehmen unbeantwortet.

Deshalb sind wir vorsichtig damit, von einem Datensatz mit über 11 Millionen getrackten Personen zu sprechen. Es ist möglich, dass die 11 Millionen verschiedenen Werbe-IDs tatsächlich zu einer geringeren Anzahl Telefone gehören. Allerdings liefert unser Datensatz nur eine Vorschau auf den globalen Handel mit Standortdaten. Datastream und andere Händler bieten noch weitaus größere Datensätze an. Wir müssen deshalb davon ausgehen, dass potenziell alle Menschen betroffen sind, die ihren Apps erlaubt haben, den Standort zu nutzen und weiterzugeben.

Offenkundig stammen die Daten in unserem Datensatz aus verschiedenen Quellen, deren Angaben unterschiedlich präzise sind. Teilweise scheinen Bewegungen bis auf wenige Meter genau nachvollziehbar zu sein. Viele Standorte beschreiben Routen, die hauptsächlich zu Fuß zurücklegt werrden. Sie verlaufen zum Beispiel entlang von Spazierwegen oder den Eingangsbereichen von Gebäuden. Andere Bewegungsprofile wiederum zeigen nur Standorte entlang von Straßen.

Ein Kollege aus dem Recherche-Team fand seine eigene ID im Datensatz. Während von anderen Personen erschreckend detaillierte Bewegungsprofile vorlagen, gab es von ihm nur ungenaue Standorte, etwa einen Block von seiner Wohnung entfernt. Sie waren zudem mit einem Datum versehen, an dem der Kollege nicht in der Stadt war. Auch andere Betroffene wiesen uns auf Fehler in den Datumsangaben hin.

Wir haben also immer wieder Hinweise auf Unstimmigkeiten in den Daten entdeckt. Ungewöhnlich ist das nicht. In der Branche reicht es aus, wenn bei solch riesigen Datensätzen zumindest ein Teil der Daten stimmt. Das NATO-Forschungszentrum Stratcom schreibt dazu: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“

So sollen die Daten Verbraucher*innen beeinflussen

Auf diese Weise ist in den vergangenen Jahren eine kaum beachtete Milliardenindustrie entstanden, die möglichst viel über uns wissen will, aber selbst weitgehend intransparent ist. Ein eng verwobenes Netzwerk aus tausend Firmen macht nichts anderes, als möglichst viele Daten von möglichst vielen Menschen anzuhäufen. Ihr Ziel: Das Verhalten von Menschen so genau wie möglich zu analysieren, um sie mit zielgerichteter Werbung manipulieren zu können.

Mit unseren Recherchen zu den 650.000 Zielgruppenkategorien der Werbeindustrie haben wir schon im vergangenen Jahr gezeigt: Es gehört in der Branche dazu, selbst persönliche Schwächen von Menschen ins Visier zu nehmen. So konnten wir zahlreiche Segmente finden, mit denen Werbetreibende gezielt „fragile Senioren“ ansprechen konnten, „Familien in Schwierigkeiten“ oder Menschen mit Spielsucht.

Die Recherchen zeigten damals auch, dass sogar zahlreiche deutsche Firmen in dem Geschäft mitmischen, darunter Tochterunternehmen von ProSiebenSat1 und der Deutschen Telekom.

Standortdaten sind in dieser Branche besonders wertvoll. Unternehmen wie der Berliner „Location Intelligence“-Spezialist Adsquare versprechen ihren Werbekund*innen, dass sie ihre Zielgruppen immer genau an dem Ort erreichen können, wo sie sich gerade aufhalten. Menschen, die oft durch Luxusboutiquen bummeln, Menschen die häufig in Fastfood-Restaurants schlemmen, Menschen die Geldautomaten einer bestimmten Bank aufsuchen.

Zugleich geben sie Werbekunden Einblicke in das Verhalten ihrer Zielgruppen, etwa dass Menschen, die in dein Geschäft kommen, auch häufig das Fitnessstudio besuchen oder dass sie ein teures Auto fahren.

DSGVO schützt nicht vor Marktplätzen

Kann das alles überhaupt legal sein? Die Datenschutzgrundverordnung (DSGVO) definiert mehrere rechtliche Grundlagen, um personenbezogenen Daten zu verarbeiten. Datenschutzbehörden, Fachleute und Gerichte bekräftigen jedoch immer wieder die Auffassung: Wer Daten für Werbezwecke sammeln will, der braucht dafür die freiwillige und informierte Einwilligung der Betroffenen.

Das heißt, Menschen müssen verstehen, was mit ihren Daten geschehen soll, und sie müssen dazu ausdrücklich zustimmen. Verstoßen Unternehmen dagegen, drohen ihnen Geldbußen in Millionenhöhe.

Verstehen die potenziell Millionen Betroffenen, dass Datenhändler ihre Bewegungsprofile international zum Verkauf anbieten, teils sogar gratis verschleudern? Können sie einer solchen Art der Überwachung wirklich informiert zugestimmt haben?

Konstantin von Notz findet: Nein. „Das halte ich nicht für tragbar“, sagt der Bundestagsabgeordnete im Interview. Einwilligungen, die Menschen in kleiner Schriftgröße „alle möglichen Unzumutbarkeiten unterjubeln“, das sei auf keinen Fall rechtskonform. „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden“, so von Notz. Wenn es tatsächlich so sein sollte, dass diese Praktiken legal seien, „dann ist am Ende der Gesetzgeber gefragt“. Weiter sagt er: „Dass etwas passieren muss, steht für mich völlig außer Frage. Das ist in der Form ein untragbarer Zustand“.

In der EU sind die Mitgliedstaaten dafür zuständig, die Datenschutz-Gesetze durchzusetzen. In Deutschland gibt es dafür je nach Bundesland eigene Behörden. Da zumindest der Marktplatz Datarade seinen Sitz in Berlin hat, haben wir die Ergebnisse unserer Recherche der Berliner Datenschutzbeauftragten Meike Kamp vorgelegt. Ihre Antwort ist ernüchternd.

Sie hält es zwar für äußerst unwahrscheinlich, dass eine rechtskonforme Einwilligung in die Verarbeitung der Standorte vorliegt. Vor allem, wenn Standorte sensible Daten wie Arztbesuche preisgeben, die durch die DSGVO besonders geschützt sind. Sitzt ein Datenhändler aber im Ausland, dann ist er für deutsche Behörden schwer greifbar. Der Händler könnte jede Aufforderungen zur Auskunft oder Löschung der Daten ignorieren. Kamp spricht von einem „stumpfen Schwert“.

Dennoch findet sie es sinnvoll, wenn sich betroffene Nutzer*innen beschweren, damit die Datenschutzbehörden gegen die Datenhändler vorgehen können.


Bist du selbst betroffen? Hier kannst du prüfen, ob deine Werbe-ID im Datensatz auftaucht.

Jetzt testen: Wurde mein Handy-Standort verkauft?


Beim Berliner Datenmarktplatz Datarade wiederum sieht Kamp keine Handhabe auf Grundlage der DSGVO. Denn der Marktplatz verarbeitet selbst keine Daten, sondern stellt lediglich den Kontakt zwischen Käufer*innen und Verkäufer*innen her.

Oberste Verbraucherschützer*innen wollen Tracking verbieten

Deutschlands wichtigste Institutionen für Verbraucherschutz fordern als Reaktion auf unsere Recherche nicht weniger als ein Ende des Datensammelns.

„Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden“, schreibt etwa die Präsidentin des Verbraucherzentrale Bundesverbands, Ramona Pop. Dafür müsse sich die Bundesregierung auf europäischer Ebene starkmachen.

Das Bundesministerium für Verbraucherschutz (BMUV) teilt mit: „Derartige sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für kommerzielle Zwecke Dritter verfügbar sein“. Sind die Daten erst einmal in die Werbenetzwerke eingespeist, würden Nutzer*innen jegliche Kontrolle verlieren, der Missbrauch der Daten lasse sich kaum verhindern. Im Wissen um das Tracking könnten Menschen etwa von der Teilnahme an einer Demo absehen. „Das schränkt ihre individuelle Freiheit ein, ihre soziale Teilhabe und belastet die für eine freiheitliche Demokratie so wichtige breite und unbefangene gesellschaftliche Teilhabe.“

Das Bundesministerium setze sich deshalb für eine Regulierung ein, die „einen konsequenten Wechsel auf alternative Werbemodelle“ fördert, die ohne personenbezogene Daten auskommen.

Ähnliches fordert auch die Bundestagsabgeordnete Martina Renner (Linkspartei). „Aus meiner Sicht muss der kommerzielle Datenhandel, erst recht mit solch sensiblen Daten, untersagt werden.“

Diese Forderung kommt auch aus der Wissenschaft. Für den Wiener Tracking-Forscher Wolfie Christl sind die Erkenntnisse aus den Recherchen eine „Bankrotterklärung des Datenschutzes“. Er schreibt: „Die Recherche zeigt, dass der kommerzielle Missbrauch persönlicher Daten völlig außer Kontrolle ist.“

Reformen in der EU – einen Anlauf dafür gab es schon. Konkrete Pläne für mehr Schutz vor Werbetracking. Doch die geplante ePrivacy-Verordnung wurde unter anderem durch Lobbykampagnen aus der Industrie gestoppt. Die jahrelangen Verhandlungen verliefen im Sande.

Designierte BfDI: Gefährliche Datenverarbeitung verbieten

Zeit für einen neuen Anlauf? Louisa Specht-Riemenschneider ist designierte Bundesdatenschutzbeauftragte, derzeit aber noch Professorin für Datenrecht und Datenschutz an der Universität Bonn. Und sie bemängelt ein grundsätzliches Problem: „Der Gesetzgeber weiß, dass die Einwilligung im Datenschutzrecht nicht funktioniert, und hält wider besseres Wissen an ihr fest.“

Sie kritisiert, dass die DSGVO vor allem darauf beruht, dass die Nutzer*innen in die Verarbeitung ihrer Daten einwilligen. Diese Form der Selbstbestimmung bestehe aber nur auf dem Papier. Meist würden die Nutzer*innen die langen Datenschutzbestimmungen nicht nachvollziehen können oder hätten keine Alternative. Etwa, weil sie eine App für den Austausch mit der Familie brauchen.

Die Verantwortung sollte weniger beim Einzelnen als beim Gesetzgeber liegen, findet Specht-Riemenschneider. „Ich wünsche mir, dass wir schauen: Wo sind eigentlich die Datenverarbeitungen, die wir gesellschaftlich haben wollen, und wo sind die, die wir nicht haben wollen? Und die, die wir nicht haben wollen, die muss ich dann auch ganz klar verbieten.“ Als Beispiel für gesellschaftlich gefährliche Arten der Datenverarbeitung nennt sie Bewegungsprofile.

Wenn es um Datenmarktplätze geht, sieht Specht-Riemenschneider wenig Hoffnung in der Datenschutzgrundverordnung. Denn die DSGVO bezieht sich auf die Verarbeitung von Daten – nicht auf die Vermittlung zu Datenhändlern.

Die designierte Bundesdatenschutzbeauftragte spricht von einer „Rechtsschutzlücke“. Sie habe dabei Dienste im Blick, die zwar selbst keine Daten verarbeiten, aber dazu beitragen, etwa indem sie Kontakte zwischen Datenhändlern und Käufer*innen anbahnen. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beispiel im derzeit zu reformierenden Bundesdatenschutzgesetz“. Diese Reform verhandelt aktuell der Deutsche Bundestag, Regeln für den Datenhandel sind bislang nicht vorgesehen.

Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.

26 Ergänzungen

  1. Tja, dann wollen wir mal den Google anschreiben und eine Selbstauskunft nach DSGVO über die Weitergabe von personenbezogenen Daten anfordern.

    Ich vergaß – die Daten sind anonymisisert.

  2. Danke Ingo!

    Nichts anderes besagt auch diese Studie:

    https://www.scss.tcd.ie/doug.leith/apple_google.pdf

    Übersetzung:

    „[…] Sowohl iOS als auch Google Android übermitteln Telemetrie-
    daten, obwohl der der Nutzer dies ausdrücklich ablehnt. Wenn
    eine SIM-Karte eingelegt wird, senden sowohl iOS und Google
    Android Details an Apple/Google. iOS sendet die MAC-Adressen
    von Geräten in der Nähe, z. B. von anderen Handys und dem
    Home-Gateway, zusammen mit ihrem GPS-Standort an Apple.
    [… (aus der Zusammenfassung) …]

    Problematisch wird es jedoch, wenn Daten mit einem bestimmten
    Nutzer zugeordnet werden können, insbesondere über längere
    Zeiträume und das sogar im Zusammenhang mit älteren
    Smartphones.

    Es gibt mindestens zwei Hauptwege, auf denen dies geschehen kann.
    Erstens, wenn sich ein Benutzer anmeldet, wie er es tun muss, um
    den vorinstallierten installierten App-Store zu nutzen, werden diese
    Gerätedaten mit seinen persönlichen Daten (Name, E-Mail,
    Kreditkarte usw.) verknüpft.

    Zweitens, jedes Mal, wenn sich ein Mobiltelefon mit einem Back-
    End-Server verbindet die IP-Adresse des Geräts, die als grober
    Proxy für den für den Standort des Benutzers über bestehende
    GeoIP-Dienste.
    Viele Studien Studien haben gezeigt, dass über die Zeit verknüpfte
    Standortdaten zur De-Anonymisierung verwendet werden können,
    siehe z. B. [7], [10] und spätere Studien. Dies ist nicht überraschend,
    da zum Beispiel die Kenntnis des Arbeits- und Wohnort eines
    Nutzers aus solchen Standortdaten abgeleitet werden können
    (basierend auf den Orten, an denen sich der Nutzer tagsüber und
    abends hauptsächlich aufhält), und in Kombination mit anderen
    Daten können diese Informationen schnell sehr aufschlussreich
    werden [10].
    [… (Studie, S. 3, 4. Absatz) …]“

    Frage:
    Was heißt das für die sog. „Berufsgeheimnissträger“, die Smartphones nutzen?

    1. > Was heißt das für die sog. „Berufsgeheimnissträger“, die Smartphones nutzen?

      Die Frage habe ich mir schon so oft gestellt. Eigentlich dürften die keine solchen Smartphones verwenden, sondern müssten Geräte nutzen, die Konsequent auf den Schutz der darauf befindlichen Daten getrimmt sind.

      Eine Möglichkeit wäre die Nutzung von CalyxOS oder GrapheneOS als Betriebssystem, die neben vielen Features zum Schutz der Daten u.a. auch statt einer statischen Advertising ID bei jeder Anfrage nur eine zufällige Nummer ausgeben.

      1. Danke!!!
        Persönlich macht mir das auch Sorge.
        (Habe mir selbst schon, weil ich offiziell Beschwerden eingereicht habe, Ärger eingehandelt.)

        Selbst die Open-Source-Systeme haben dann ein Grundproblem, wenn der Datenstrom nicht zusätzlich (zunächst) über ein VPN-Netz und dort über einen Proxy-Server geleitet werden.

        Dennoch sind auch die von dir vorgeschlagenen Systeme für uns „Otto-Normalos“ auf jeden Fall besser als die Betriebssysteme von Googe, Apple, Huawai etc.

        Die Profilseite von Doug Leith gibt noch weitere Details bekannt:

        https://www.scss.tcd.ie/doug.leith/

        Habe übrigens gestern einen „Danke“ an Sebastian und das Rest-Team vergessen.
        Hiermit: „DANKE an euch alle. Es ist gut, daß es euch gibt.

    1. Die verlinkte Anleitung funktioniert bei mir nicht… was aber eine gute Nachricht ist! Die Funktionialität ist bei CalyxOS und wahrscheinlich auch anderen hinreichend ent-googelten Custom-ROMs schlicht nicht vorhanden und damit bereits „deaktiviert“. Es gibt ja oft viel „ja, aber“-Kritik und „dies und das ist nicht perfekt“-Kritik bei solchen ROMs aber das ist jetzt mal ein handfester Vorteil. :D

    2. Es gibt genug Sdks die auch ohne OS gestützte ID Daten sammeln inklusive Batterie Level, Bildschirmauflösung, Schriftarten und Firmware Version.

  3. Vielleicht mal an § 202d StGB (Datenhehlerei) denken?
    Wenn ein Unternehmen einen Datenpool erwirbt, und billigend in Kauf nimmt, dass die Daten zum Teil auch aus einer rechtswidrigen Tat stammen, dann dürfte der Tatbestand für die Handelnden und Verantwortlichen erfüllt sein. Fun fact: Für § 202d StGB braucht man nicht einmal den Personenbezug.

    Als rechtswidrige Vortat ist durchaus § 42 BDSG naheliegend. Dass für alle Daten die erforderliche und ausreichende Einwilligung nachgewiesen werden kann, ist kaum vorstellbar. Sollten die Daten im Übertragungsweg abgefangen worden sein, kann man auch an § 202b StGB denken. Dafür bräuchte man wiederum auch keinen Personenbezug.

    Wäre wirklich mal interessant wo die Reise hingeht, wenn die betroffenen Personen gegen die Datenhändler (genauer gesagt, die Handelnden und Verantwortlichen) Strafantrag stellen. Muss aber schnell gehen, weil sämtliche Delikte Strafantragsdelikte sind (3 Monate ab Kenntnis von Tat und Täter).

    Und wieder einmal eine tolle Recherche! Vielen Dank!
    R.M.

  4. Es wird Zeit dass jeder der Daten über mich hat mich regelmäßig darüber informieren muss das das er sie hat und woher damit ich einen Korrektur und Löschanspruch geltend machen kann und damit wir wissen wer die Daten in diesem Sammelsurium überhaupt hat. Das is einfach viel zu intransparent.

  5. Ich habe nichts dagegen, dass gleich mehrere Artikel zu diesem Skandal erscheinen.

    Die Recherche, auch mit dem BR, sind auf anderen Nachrichtenseiten aber gerademal eine Randerscheinung. Entweder gewollt, oder weil es für den normalen Bürger uninteressant ist. Dieser hätte ja eh nichts zu verbergen.

    Schlimm, dass der Aufschrei ausbleiben wird.

    1. Was ist der Zweck eines investigativen Journalismus?

      Ist es Aufklärung oder „Aufschrei“ zu erzeugen?
      Wer hat hier ein Bedürfnis nach Aufschrei und warum?
      Und warum soll es ein „Aufschrei“ sein? Reicht es nicht, persönliche Abhilfe zu schaffen, durch Änderung von Einstellungen (durchaus zweideutig gemeint)?

      1. Weil Meta, Google, Apple und andere Firmen, die deine Standorddaten missbräuchlich benutzen nur dann Einhalt geboten werden kann, wenn der Großteil der Bevölkerung empört genug ist, um raus auf die Straße zu gehen, deren Produkte boykottiert und alternative Dienstleister entwickelt.

        Aufklärung ja. Aufklärung so, dass Aufschrei erzeugt wird noch viel besser!

        1. Es gibt immer dieses Narrativ in den Medien, dass Deutsche zuviel meckern würden. Aber in der Realität fällt doch auf, dass das Gemecker nicht laut und penetrant genug ist.

  6. Mit Verlaub, nein! Es geht lediglich um die Privatsphäre jener, die ihre Privatsphäre wahren wollen. Wer selbst nach Aufklärung keinen Wert auf Privatsphäre legt, hegt einen anderen „Lifestyle“, aus welchen Gründen auch immer. Und ja, man darf selbst Ignoranz als Lifestyle kultivieren, solange es andere nicht schädigt.

    1. Freiheit ist auch nur für die, die sie immer nutzen, oder wie war das?

      Es ist dann weg, und du hast keine Wahl mehr. Heben zu viele Menschen die Privatsphäre auf, ist wohl auch die Freiheit bald futsch, für alle dann.

    2. Widerspruch zu: es gehe nicht um die Privatsphäre derer, mit dem anderen Lifestyle.

      Lifestyle ist temporär, aber bei Privatsphäre geht es dann nicht mehr ohne weiteres zurück. Unwissenheit schützt Ausnutzende nicht immer vor Strafe!

    3. >>> Wer selbst nach Aufklärung keinen Wert auf Privatsphäre legt, hegt einen anderen „Lifestyle“, aus welchen Gründen auch immer.

      Wahrscheinlich gibt es schon 12 Antworten, und dieser Thread hinkt hinterher. Nochmal auf Freiheiten übertragen: Wenn ich meine Freiheit der Meinungsäußerung nicht dauernd nutze, darf sie mir weggenommen werden? So vielleicht?

    4. Kapier ich nicht. Widerspricht Logik und systematischen Grundlagen.

      Ähnlicher Fehler wie mit KI: Orientierung an einer Momentaufnahme.

      Wahlrecht betrifft also momentan verblendete Nichtwähler nicht? Kann man die Argumentation nicht schon ab Kindesalter ansetzen?

    5. Was ist an dem Satz „Es geht um die Privatsphäre aller“ zu kritisieren?

      Ganz sicherlich nicht, dass Privatsphäre als Grundrecht jedem zusteht. Welches Wort bleibt für Kritik dann noch übrig? Aha!

      Nun gibt es nicht wenige Menschen, die offensichtlich wenig Wert auf ihre Privatsphäre legen. Beispiele könnten die „zeigefreudigen“ auf Insta sein, Menschen, die sich selbst vermarkten, und die „Ist-mir-doch-egal-Fraktion“.

      Wenn ein wohlwollender Akteur sagt, „es geht um die Privatsphäre aller“, dann können Antworten kommen wie „um meine aber nicht“ oder „brauch ich nicht“, „ist mir doch egal“. Davon kann man halten was man will, aber so selten ist das nicht. „Ignoranz als Lifestyle“ beschreibt das doch ziemlich gut.

      Wenn nun eingewendet wird, Privatsphäre könnte in der Zukunft für diese „Ignoranten“ gewollt sein, dann ist das zwar richtig, aber vielleicht nicht mehr herstellbar (die Daten-Zahnpasta kriegt man nicht mehr in die Tube zurück).

      Pragmatisch betrachtet könnte man also mit folgender Einschränkung sagen: Es geht um die Privatsphäre aller, die sie für sich verwirklicht haben wollen.

      Und dann wäre noch dafür zu kämpfen, wie Privatsphäre wieder hergestellt werden kann, wenn sie verloren oder vergeudet wurde.

      1. >>> „Ignoranz als Lifestyle“ beschreibt das doch ziemlich gut.

        Das wird als Begründung dafür hingestellt, dass es nicht um die Privatsphäre aller gehe. Das ist aber leider wie oben schon aufgezeigt problematisch und abhängig vom Betrachtungsgegenstand bzw. Winkel, z.B. wenn es um den Einsatz von Menschen für die Privatsphäre aller geht. In letzterem Falle gibt es kein „ja aber“.

        Als Zyniker oder sarkastischer Kommentar, können Sie das natürlich dann mit „Nicht alle!“ abqualifizieren, aber ich nehme eher an, dass es um den Unterschied in dem Szenario geht, in dem die Privatsphäre futsch ist. Aber gerade da zählt eben das Argument mit der Momentaufnahme, denn Menschen sind vor allem doch unwissend und werden auch entsprechend manipuliert. Argument am Rande in kurzer Interaktion zählt dabei nicht, Umfragen halte ich da auch nicht für das richtige Mittel. Wir haben noch nicht mal Smartphones aus den Grundschulen verbannt, oder wie war das?

      2. >>> Wenn nun eingewendet wird, Privatsphäre könnte in der Zukunft für diese „Ignoranten“ gewollt sein, dann ist das zwar richtig, aber vielleicht nicht mehr herstellbar (die Daten-Zahnpasta kriegt man nicht mehr in die Tube zurück).

        Denkfehler: Die Daten sind da, aber nicht das Tracking, wenn sich die person später dann doch dem entzieht. Dann kann man diskutieren, wieviel wovon eine Zuordnung ermöglicht, z.B. Mausbewegungen, aber spätestens nach demokratieaffiener Regulierung würde es für kommerzielle Player sehr schwierig, da noch was auszunutzen.

        1. Daten sind da, nicht „die Daten“. Hinzu kommen Menschen, die bisher digital nicht so in Erscheinung getreten sind, z.B. Aufwachsende.

          Nicht alle Daten sind ewig gültig, z.B. Bewegungsdaten, zudem entfiele die Echtzeitkomponente, oder etwas breiter gesehen die Aktualität. Dann den Kommerz und Kosten gegenüber Nutzen rechnen, wenn Tracking als legale Option wegfällt.

          1. Zudem das Kontinuitätsargument bei der nächsten Generation dann im Gulli landet, weil keine Daten mehr. Allerdings, in einer Demokratie, ergibt es schon Sinn, etwas für die Menschen jetzt zu tun :p, bzw. aufzuzeigen, was eine Entscheidung für die jew. Gruppen von Menschen bedeuten würde.

            Im günstigen Falle, gibt es einfach keine Daten mehr von zuvor festgenagelten Individuen, da sie nicht mehr bei [Server irgendwie außerhalb der EU] einkaufen, oder sich zufällig alle an die neuen Regeln halten :p.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.