Databroker FilesJetzt testen: Wurde mein Handy-Standort verkauft?

Unsere Recherche mit dem BR zeigt: Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland. Uns liegt ein Datensatz mit Kennungen von bis zu 11 Millionen Geräten vor. Mit diesem Databroker-Checker kannst du jetzt testen, ob auch dein Gerät getrackt wurde.

- , - in Datenschutz - keine Ergänzungen
Vier Personen mit einer Ortsmarke überm Kopf. Im Hintergrund Zahlenkolonnen, die Standortdaten ausdrücken.
Ungeschützt. (Die Daten auf dieser Grafik sind zufällig generiert und illustrativ.) – Personen: Pixabay/wallusy; Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.

Die Bewegungen von Millionen Menschen in Deutschland sind ein offenes Buch. Ihre Handys verraten genau, wo sie unterwegs sind. Die GPS-Daten fließen über Handy-Apps an Datenhändler und von dort in die ganze Welt. Wer will, kann sich diese Daten einfach besorgen.

In einer Recherche mit dem Bayerischen Rundfunk (BR) haben wir 3,6 Milliarden Standortdaten aus Deutschland ausgewertet. Wir haben sie von einem US-Datenhändler namens Datastream Group erhalten – und zwar kostenlos. Die gigantische Menge an Standorten war mit individuellen Kennungen verknüpft, den sogenannten „mobile advertising IDs“. Sie funktionieren ähnlich wie Nummernschilder: Es sind die Kennungen, die unsere Handys auf dem Werbemarkt einzigartig machen. Und sie sehen zum Beispiel so aus:

4f186o16-ka91-0561-q65t-95to6hq0oqh9

Mithilfe dieser IDs lassen sich aus mehreren Standorten genaue Bewegungsprofile bilden. Aus ihnen lässt sich ableiten, wo bestimmte Menschen wohnen und wo sie zur Arbeit gehen. Ob sie beispielsweise Suchtkliniken besuchen oder Bordelle. Ob sie regelmäßig zu einer Kita fahren oder Zutritt zu geschützten Militärgeländen haben.

Unser Datensatz ist nur ein kleiner Ausschnitt der weltweiten Tracking-Industrie. Und doch befinden sich darin rund 11 Millionen solcher IDs. Das heißt: Offenbar wurden Abermillionen Menschen in Deutschland getrackt.

Bin auch ich betroffen?

Wir haben ein Tool programmiert, mit dem du schnell und einfach testen kannst, ob auch dein Gerät in unserem Datensatz auftaucht. Das heißt: Ob eine oder mehrere deiner Apps deinen Standort erfasst und an Datenhändler weitergereicht haben.

Wichtig: Unser Datensatz bildet nur einen kleinen Ausschnitt ab. Wenn deine ID nicht in unserem Datensatz auftaucht, kann es trotzdem heißen, dass Datenhändler deine Bewegungen erfasst haben.

Den Databroker-Checker bedienst du so:

  1. Ermittle deine eigene „mobile advertising ID“. Das ist die einzigartige Kennung für dein Handy. Die Anleitung dafür steht weiter unten im Text.
  2. Gibt deine ID in das Tool ein. Das Tool antwortet dir entweder mit Ja oder mit Nein. Das heißt: Ja, deine ID taucht in unserem Datensatz auf. Oder: Nein, deine ID taucht nicht im Datensatz auf.

Databroker-Checker

Sind meine Standorte in dem Datensatz erfasst?

Waiting for result

 

Das Tool sagt, deine ID ist im Datensatz? Hier kannst du zu unserer Recherche beitragen.

Wie schützt der Databroker Checker meine Daten?

Auch wenn die wenigsten Menschen ihre mobile advertising ID überhaupt kennen dürften – es ist eine besonders sensible Angabe, ähnlich wie der eigene Name. Solche IDs wollen wir gar nicht erst horten. Deshalb wird jede ID, die du in den Databroker Checker eingibst, zuerst lokal auf deinem eigenen Gerät in einen Hash umgerechnet. Das bedeutet: Aus deiner ID wird eine neue Zeichenfolge, die man nicht mehr zurückverwandeln kann. Und nur dieser Hash landet dann bei uns, für die Abfrage beim Databroker Checker.

Auch die rund 11 Millionen IDs aus unserem Datensatz haben wir gehasht. Der Databroker Checker überprüft also lediglich: Stimmt der eingereichte Hash mit einem der 11 Millionen Hashes aus dem Datensatz überein? Auf dieser Grundlage antwortet das Tool mit Ja oder Nein. Also: Ja, deine ID taucht im Datensatz auf – oder: Nein, sie taucht dort nicht auf.

Wir speichern weder deine Eingabe noch den getesteten Hash noch das Ergebnis.

Meine ID ist im Datensatz – was heißt das?

Wenn deine ID im Datensatz auftaucht, heißt das: Wahrscheinlich wurde der Standort deines Handys an den Datenhändler geschickt, von dem wir den Datensatz erhalten haben. Werbefirmen, Geheimdienste und andere können leicht verfolgen, wo du dich aufhältst.

Du kannst in den Systemeinstellungen prüfen, welche deiner Apps auf den Standort zugreifen dürfen – und das dort auch untersagen. Mehr dazu erklären wir hier.

Eines muss man aber noch beachten: Manche IDs aus dem Datensatz wurden offenbar verändert. Das heißt, die Zahlen und Buchstaben wurden durch andere ersetzt. Dabei könnte zufällig deine ID herausgekommen sein, ohne, dass wirklich deine Standorte im Datensatz stehen. Die Antwort unseres Tools kann dir deshalb keine absolute Gewissheit geben.

Hier erklären wir, wie du deinen Handy-Standort vor Tracking schützen kannst und wie du dich für deine Rechte einsetzen kannst. Wer denkt, dass die eigenen Daten zu Unrecht bei dem Datenhändler gelandet sind, kann zum Beispiel Beschwerde bei einer Datenschutzbehörde einlegen.

Meine ID ist nicht im Datensatz – was heißt das?

Wir haben von einem einzelnen Datenhändler einen begrenzten Datensatz mit 11 Millionen verschiedenen IDs erhalten – und deine ID ist nicht dabei? Gut!

Aber: Das ist leider keine Entwarnung. Der Standort deines Handys kann trotzdem bei Datenhändlern und ihren Kund*innen gelandet sein.

Zum einen enthält unser Datensatz einige Ungenauigkeiten. So wurden manche IDs offenbar verändert. Es kann also sein, dass zwar deine ID nicht im Datensatz auffindbar ist – aber deine Standorte schon.

Zum anderen ist der Datensatz, der uns vorliegt, nur ein kleiner Ausschnitt aus dem globalen Datenhandel. Da draußen gibt es bestimmt noch weitaus mehr Daten. Potenziell gefährdet sind also alle Nutzer*innen, die ihren Apps mindestens zwei Dinge erlaubt haben: Erstens, den eigenen Standort zu nutzen, und zweitens, diesen Standort an Datenhändler weiterzugeben.

Wo finde ich meine mobile advertising ID?

Auf Google-basierten Android-Geräten hat die mobile advertising ID den Namen Werbe-ID. Finden kann man sie auf diesem Weg: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung. Dort kannst du die ID auch löschen. Je nach Android-Version kann sich der Klickweg leicht unterscheiden.

Auf Apple-Handys mit iOS hat die mobile advertising ID den Namen: IDFA („Identifier for Advertisers“). Leider ist sie versteckt. Zum Auslesen braucht es Drittanbieter-Apps wie My Device ID oder Adjust Insights und diese Apps benötigen leider die Erlaubnis zum App-Tracking. Deshalb lösche sie besser, sobald du mit ihrer Hilfe deine ID herausgefunden hast.

Wie kann ich netzpolitik.org bei der Recherche unterstützen?

Du möchtest zu unserer Recherche beitragen? Wir wollen mehr darüber herausfinden, welche Apps unsere Standorte an Datenhändler verraten. Schreibe Sebastian oder Ingo gerne eine E-Mail, wenn deine ID im Datensatz auftaucht. Dann können wir weitere Schritte besprechen.

Schreibe uns auch gerne eine E-Mail, wenn du mit dem Thema vertraut bist und weitere Hinweise hast. Achte darauf, dass du uns auf einem verschlüsselten Kanal schreibst und kein Gerät von deinem Arbeitgeber benutzt.

Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Jugendmedienschutz und Künstliche Intelligenz. Er interessiert sich besonders für Methoden der Online-Recherche; darüber schreibt er einen Newsletter und gibt Workshops an Universitäten. Zu seinen vorigen Stationen gehören VICE (Senior Editor), Motherboard (Editor-in-chief), der SPIEGEL (Autor) und die Deutsche Journalistenschule München. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt.

Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon

Ingo ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und hier unter anderem Ko-Host des Podcasts Off/On. Ingos Themen sind der Überwachungskapitalismus, die digitale Zivilgesellschaft und der Strukturwandel der Öffentlichkeit. Er schreibt häufig über Datenmissbrauch und Datenschutz, Targeted Advertising, Plattformregulierung, Transparenz, Lobbyismus, Wahlkämpfe und die Polizei. Gelegentlich ist er auch als Moderator oder Lehrbeauftragter an Universitäten tätig und gibt Workshops in digitaler Selbstverteidigung. Ingo ist Ko-Autor der Studie "Medienmäzen Google" und Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche.

Kontakt: E-Mail (OpenPGP), Mastodon, Twitter, FragDenStaat

Veröffentlicht 16.07.2024 um 06:00
Kategorie
Schlagworte
Weitere Artikel
Die Collage zeigt eine Frau, die auf ihr Handy schaut. Wie geht einen Wanderweg entlang. Hinter ihr auf dem Weg erstrecken sich Ortsmarken, die zeigen, dass sie getrackt wurde. Vom Handy gehen Signale aus. Am Horizont ist ein Auge.
Datenschutz

Databroker FilesFirma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

Datenhändler verbreiten die Standorte von Menschen in Deutschland – teils sogar kostenlos, wie Recherchen von netzpolitik.org und BR zeigen. Ein Datensatz mit 3,6 Milliarden Einträgen offenbart genaue Bewegungsprofile und eine neue Dimension der Massenüberwachung.

Lesen Sie diesen Artikel: Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.