Databroker FilesJetzt testen: Wurde mein Handy-Standort verkauft?

Unsere Recherche mit dem BR zeigt: Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland. Uns liegt ein Datensatz mit Kennungen von bis zu 11 Millionen Geräten vor. Mit diesem Databroker-Checker kannst du jetzt testen, ob auch dein Gerät getrackt wurde.

Vier Personen mit einer Ortsmarke überm Kopf. Im Hintergrund Zahlenkolonnen, die Standortdaten ausdrücken.
Ungeschützt. (Die Daten auf dieser Grafik sind zufällig generiert und illustrativ.) – Personen: Pixabay/wallusy; Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.


Die Bewegungen von Millionen Menschen in Deutschland sind ein offenes Buch. Ihre Handys verraten genau, wo sie unterwegs sind. Die GPS-Daten fließen über Handy-Apps an Datenhändler und von dort in die ganze Welt. Wer will, kann sich diese Daten einfach besorgen.

In einer Recherche mit dem Bayerischen Rundfunk (BR) haben wir 3,6 Milliarden Standortdaten aus Deutschland ausgewertet. Wir haben sie von einem US-Datenhändler namens Datastream Group erhalten – und zwar kostenlos. Die gigantische Menge an Standorten war mit individuellen Kennungen verknüpft, den sogenannten „mobile advertising IDs“. Sie funktionieren ähnlich wie Nummernschilder: Es sind die Kennungen, die unsere Handys auf dem Werbemarkt einzigartig machen. Und sie sehen zum Beispiel so aus:

4f186o16-ka91-0561-q65t-95to6hq0oqh9

Mithilfe dieser IDs lassen sich aus mehreren Standorten genaue Bewegungsprofile bilden. Aus ihnen lässt sich ableiten, wo bestimmte Menschen wohnen und wo sie zur Arbeit gehen. Ob sie beispielsweise Suchtkliniken besuchen oder Bordelle. Ob sie regelmäßig zu einer Kita fahren oder Zutritt zu geschützten Militärgeländen haben.

Unser Datensatz ist nur ein kleiner Ausschnitt der weltweiten Tracking-Industrie. Und doch befinden sich darin rund 11 Millionen solcher IDs. Das heißt: Offenbar wurden Abermillionen Menschen in Deutschland getrackt.

Bin auch ich betroffen?

Wir haben ein Tool programmiert, mit dem du schnell und einfach testen kannst, ob auch dein Gerät in unserem Datensatz auftaucht. Das heißt: Ob eine oder mehrere deiner Apps deinen Standort erfasst und an Datenhändler weitergereicht haben.

Wichtig: Unser Datensatz bildet nur einen kleinen Ausschnitt ab. Wenn deine ID nicht in unserem Datensatz auftaucht, kann es trotzdem heißen, dass Datenhändler deine Bewegungen erfasst haben.

Den Databroker-Checker bedienst du so:

  1. Ermittle deine eigene „mobile advertising ID“. Das ist die einzigartige Kennung für dein Handy. Die Anleitung dafür steht weiter unten im Text.
  2. Gibt deine ID in das Tool ein. Das Tool antwortet dir entweder mit Ja oder mit Nein. Das heißt: Ja, deine ID taucht in unserem Datensatz auf. Oder: Nein, deine ID taucht nicht im Datensatz auf.

Databroker-Checker

Sind meine Standorte in dem Datensatz erfasst?

Waiting for result

 

Das Tool sagt, deine ID ist im Datensatz? Hier kannst du zu unserer Recherche beitragen.

Wie schützt der Databroker Checker meine Daten?

Auch wenn die wenigsten Menschen ihre mobile advertising ID überhaupt kennen dürften – es ist eine besonders sensible Angabe, ähnlich wie der eigene Name. Solche IDs wollen wir gar nicht erst horten. Deshalb wird jede ID, die du in den Databroker Checker eingibst, zuerst lokal auf deinem eigenen Gerät in einen Hash umgerechnet. Das bedeutet: Aus deiner ID wird eine neue Zeichenfolge, die man nicht mehr zurückverwandeln kann. Und nur dieser Hash landet dann bei uns, für die Abfrage beim Databroker Checker.

Auch die rund 11 Millionen IDs aus unserem Datensatz haben wir gehasht. Der Databroker Checker überprüft also lediglich: Stimmt der eingereichte Hash mit einem der 11 Millionen Hashes aus dem Datensatz überein? Auf dieser Grundlage antwortet das Tool mit Ja oder Nein. Also: Ja, deine ID taucht im Datensatz auf – oder: Nein, sie taucht dort nicht auf.

Wir speichern weder deine Eingabe noch den getesteten Hash noch das Ergebnis.

Meine ID ist im Datensatz – was heißt das?

Wenn deine ID im Datensatz auftaucht, heißt das: Wahrscheinlich wurde der Standort deines Handys an den Datenhändler geschickt, von dem wir den Datensatz erhalten haben. Werbefirmen, Geheimdienste und andere können leicht verfolgen, wo du dich aufhältst.

Du kannst in den Systemeinstellungen prüfen, welche deiner Apps auf den Standort zugreifen dürfen – und das dort auch untersagen. Mehr dazu erklären wir hier.

Eines muss man aber noch beachten: Manche IDs aus dem Datensatz wurden offenbar verändert. Das heißt, die Zahlen und Buchstaben wurden durch andere ersetzt. Dabei könnte zufällig deine ID herausgekommen sein, ohne, dass wirklich deine Standorte im Datensatz stehen. Die Antwort unseres Tools kann dir deshalb keine absolute Gewissheit geben.

Hier erklären wir, wie du deinen Handy-Standort vor Tracking schützen kannst und wie du dich für deine Rechte einsetzen kannst. Wer denkt, dass die eigenen Daten zu Unrecht bei dem Datenhändler gelandet sind, kann zum Beispiel Beschwerde bei einer Datenschutzbehörde einlegen.

Meine ID ist nicht im Datensatz – was heißt das?

Wir haben von einem einzelnen Datenhändler einen begrenzten Datensatz mit 11 Millionen verschiedenen IDs erhalten – und deine ID ist nicht dabei? Gut!

Aber: Das ist leider keine Entwarnung. Der Standort deines Handys kann trotzdem bei Datenhändlern und ihren Kund*innen gelandet sein.

Zum einen enthält unser Datensatz einige Ungenauigkeiten. So wurden manche IDs offenbar verändert. Es kann also sein, dass zwar deine ID nicht im Datensatz auffindbar ist – aber deine Standorte schon.

Andere verdienen ihr Geld mit euren Daten, wir nicht!

Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.

Zum anderen ist der Datensatz, der uns vorliegt, nur ein kleiner Ausschnitt aus dem globalen Datenhandel. Da draußen gibt es bestimmt noch weitaus mehr Daten. Potenziell gefährdet sind also alle Nutzer*innen, die ihren Apps mindestens zwei Dinge erlaubt haben: Erstens, den eigenen Standort zu nutzen, und zweitens, diesen Standort an Datenhändler weiterzugeben.

Wo finde ich meine mobile advertising ID?

Auf Google-basierten Android-Geräten hat die mobile advertising ID den Namen Werbe-ID. Finden kann man sie auf diesem Weg: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung. Dort kannst du die ID auch löschen. Je nach Android-Version kann sich der Klickweg leicht unterscheiden.

Auf Apple-Handys mit iOS hat die mobile advertising ID den Namen: IDFA („Identifier for Advertisers“). Leider ist sie versteckt. Zum Auslesen braucht es Drittanbieter-Apps wie My Device ID oder Adjust Insights und diese Apps benötigen leider die Erlaubnis zum App-Tracking. Deshalb lösche sie besser, sobald du mit ihrer Hilfe deine ID herausgefunden hast.

Wie kann ich netzpolitik.org bei der Recherche unterstützen?

Du möchtest zu unserer Recherche beitragen? Wir wollen mehr darüber herausfinden, welche Apps unsere Standorte an Datenhändler verraten. Schreibe Sebastian oder Ingo gerne eine E-Mail, wenn deine ID im Datensatz auftaucht. Dann können wir weitere Schritte besprechen.

Schreibe uns auch gerne eine E-Mail, wenn du mit dem Thema vertraut bist und weitere Hinweise hast. Achte darauf, dass du uns auf einem verschlüsselten Kanal schreibst und kein Gerät von deinem Arbeitgeber benutzt.


Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

25 Ergänzungen

  1. irgendwo lernte ich, dass man solche UUID so erzeugt, das es praktisch sicher ist, dass sie über Zeit und Raum eineindeutig sind.
    Wie kann es dann zu merklich vielen Doubletten kommen?

  2. Danke für diesen Artikel!

    Gibt es auch auf anderen androids, zB LineageOS ohne google-extensions, eine WerbeId?
    Wenn ja, wo suchen?

    1. wenn man nun keine werbe-id hat/weiss, könnte es sein, dass man dennoch in den daten auftaucht? habt ihr die möglichkeit, die datenbank anders, zB per position abzufragen – ich lebe sehr ländlich und mit recht eindeutiger position… eine häufig einer id an dieser position wäre sehr aussagekräftig

    2. Nein. Auf allen CustomROM, die ich kenne (nacktes LineageOS, /e/OS, iodé, VollaOS), gibt es keine Werbe-ID. Die letzten drei mit aktivem MicroG.

  3. Na ja, das ist wohl für iOS-Nutzer nicht so problematisch. Wenn man das Tracking AUSgestellt hat, wie es standardmäßig unter iOS der Fall ist, dann hat man keine Advertising ID. Selbst wenn es an ist, hat man wohl pro App eine eigene Advertising-ID und es gibt dann kein App-übergreifendes Tracking.

  4. Sowohl „My Device ID“ als auch „Adjust Insights“ geben mir unter iOS 17.5.1 auf einem iPhone 13 als IDFA „00000000-0000-0000-0000-000000000000“ aus. Ein wenig googlen sagt, dass das wohl an Einstellungen -> Datenschutz & Sicherheit -> Tracking -> „Apps erlauben, Tracking anzufordern“ oder Einstellungen -> Datenschutz & Sicherheit -> Apple-Werbung -> „Personalisierte Werbung“ liegt.

  5. Ich habe die verlinkten Apps auf meinem iPhone installiert und getestet. Die Ausgabe war beidesmal eine lange Reihe von Nullen.

    Der Grund ist wohl AdGuard Pro, das ähnlich einer Firewall den Zugriff auf Webseiten sperrt. Dort sind AppsFlyer, Doubleclick, Firebase, Crashlytics, AppAnanlytics und viele andere gesperrt. Neue „Anbieter“ kann man selbst sperren. Das verhindert sämtliche Werbung auf dem iPhone, auch in Apps.

    Leider gibt es die Pro Version nur für iOS: https://apps.apple.com/de/app/adguard-pro-adblock/id1126386264

  6. Sehr interessante Recherche. Natürlich musste ich sofort nachsehen, welche IDFA meinem iPhone zugeordnet wurde. Die genannten Tools zeigen zu meiner Verwunderung, dass die IDFA nur aus Nullen besteht, also keine vergeben ist – kann das sein?

  7. In Apples Datenschutzeinstellungen lässt sich ja das Tracking deaktivieren. Entsprechend ist die IDFA dann ausgenullt. Verwenden die Datenhändler auch alternative Identifizierungsmethoden, bspw. Fingerprinting? Oder anders gefragt: wie sicher bin ich, wenn ich den Apps verbiete „Tracking anzufordern“?

    1. das haben wir im zuge dieser recherchen nicht weiter beleuchtet. mein educated guess ist jedoch: bestimmt. mehr aufschluss geben die entsprechenden datenschutzbestimmungen der apps. rein technisch ist profilbildung auch über andere erfasste eckdaten möglich.

      1. My educated complement für die Redaktion wäre, mehr Aufklärung auch über „Profilbildung über anders erfasste Eckdaten“ anzubieten. Menschen fehlt das Wissen darüber weitgehend, und wenn vielleicht auch eine „dunkle Ahnung“ besteht, so wird aufgrund von erlebter Hilflosigkeit das oft Problem verdrängt.

        Fragen, die man sich stellen könnte:

        Was ist Profilbildung und wem nützt sie?
        Wer betreibt Profilbildung und wozu?
        Wie kann ich Profilbildung abwehren, wenn sie mir schadet, bzw. in Zukunft schaden könnte?
        An welchen Orten, bzw. Situationen besteht die Gefahr von Profilbildung über meine Person?
        Welches beobachtbare Verhalten ist für Profilbildung nützlich?
        Welche Fragen sind geeignet, zu einer Profilbildung beizutragen?

        Welches Verhalten sollte ich besser ändern, um Profilbildung über mich zu erschweren, die mir schaden könnte?

  8. Ich weiß nicht, ob das grundsätzlich bei allen Androiden geht, aber mein Sony mit einem weitgehend unveränderten Android hatte keine Werbe-Id. Als ich zur Sicherheit eine neue Id erzeugen ließ, meldete es: „Du hast nun eine neue Werbe-Id, […]“ und diese konnte ich danach problemlos mit einem Klick auch wieder entfernen. Sämtliches Tracking, Erfolgsmessungen, etc. oder die Erlaubnis einzelner Apps waren ausgeschaltet und keine App hatte je Zugriff auf meinen Standort, denn auch das konnte ich im Dashboard sehen.

    Wenn ich ein neues Gerät benutze, gehe ich das immer erst einmal vollständig durch und stelle den Datenschutz nachmeinen Bedürfnissen ein. Es empfiehlt sich auch, sich einmal die Mühe zu machen, den Datenschutz in seinem Google-Konto einmal sauber zu konfigurieren, dann ist die Hardware deutlich weniger geschwätzig.

    Was die Erlaubnis zum Zugriff einzelner Apps auf den Standort angeht und wo diese den hinschicken und wer den dann auswertet, das steht allerdings auf einem anderen Blatt… Mein persönliches Fazit: Man kann die Bildung von Bewegungsprofilen mittels mobilen Geräten nur erschweren, da aber sowohl die Funkzellen diese Daten erfassen, aktiviertes Bluetooth und WLAN auch für die Standortbestimmung herangezogen werden, kann man auch bei abgeschalteten Standortdiensten nicht vollständig verhindern, dass „jemand“ weiß, wo man war oder ist. Da hilft nur abschalten oder das Telefon zuhause in der Schublade lassen.

  9. Sehr guter Artikel, vielen Dank dafür und bitte mehr dazu!!!
    Frage: wie verhält es sich mit Mobiltelefonen von Huawei (nach Saktionsstart)? Das OS ist ja EMUI (basiert auf Android) bzw. HarmonyOS?
    Es existieren keine Google- oder Meta Apps auf diesen Geräten. Kann man davon ausgehen, dass die Daten zumindest in eine bestimmte Richtung dadurch nicht abgegriffen werden können?
    beste Grüße!

  10. Ich habe ein Sony Xperia X mit LineageOS 16 -Android 9, microG sagt unter Google-Registrierung:
    für Google Dienste, von spez. Werbung keine Rede (ID 3128c3d……..) .. und erzeugt eine eindeutige Kennung. Whatsapp unter anderer Nummer, bei Installation ohne SIM – aus Firmengründen, ich bin kein whatsapp-Fan
    Mein 2. ist ein Gigaset GS 290 mit e/OS/2.1-s Android 12, wie oben (ID 367cd4…..).
    whatsapp wie oben, bei Installation ohne SIM, andere Nr. als oben
    APP Tracker abgelehnt, Standort geschützt (Spanien), echte IP Adresse verschleiert
    Was davon an Daten noch weiter kommt, kann ich nicht sagen. Aber es gibt ja bessere Betriebs-Syteme (lt. Kuketz)
    Die BlackBerry funktionieren als Telefone, obwohl sie schon seit mehr als 3 J. abgestellt sind.
    Und diesen ganzen Zirkus gibt erst, seit Apple das iPhone eingeführt (und damit apps)

  11. Ich habe auch das Problem, dass meine Werbe-ID nur aus Nullen besteht. Alle hier genannten Lösungsvorschläge waren bei mir nicht erfolgreich. Ich werde jetzt alle Apps wieder löschen und alle Einstellungen zurücksetzen.

    Wie so oft komme ich auch diesmal wieder zu der Erkenntnis, dass ich zwar einen interessanten Artikel über ein wichtiges Thema gelesen habe, dessen Informationen für mich letztlich aber leider ziemlich nutzlos sind. Und die zweite (wiederkehrende) Erkenntnis ist, dass ich all diesen Datenkraken schutzlos ausgeliefert bin und die einzig sinnvolle Maßnahme ist, mein Smartphone sehr viel weniger zu benutzen und möglichst ausgeschaltet zu lassen.

  12. man löscht einmalig die Werbe-ID und dann ist das gut so. Da aktiviert sich auch keine neue Werbe-ID, wenn man das nicht möchte. Ich habe meine gelöscht und die ist weiterhin ist gelöscht.

    Warum so schwer, wenn man es auch einfach haben kann.

    Android: Einstellungen, Google, Werbung (ganz unten) (ab Android 14), dann Werbe-ID löschen und bestätigen. Aus die Maus, Mickey Maus. Und fertig.

  13. Soviel ich weiß, dient die Werbe-ID eher um das Alter, das Geschlecht und die Interessen einzugrenzen; damit wird vermieden die Werbung falsch zu platzieren. (Bauarbeiter mit Werbung für Lippenstift oder Babynahrung für Rentner). Man hat einen Volumen und wird pro Einblendung abgerechnet. Das löschen oder Ändern bringt nur „falsche“ aber nicht weniger Werbung.

    Die tatsächliche Tretminen sind die Kostenlose Wetter-Apps, die benötigen vom Haus aus die Standortfreigabe, denke, wenn irgendetwas nichts kostet, dann bis Du das Produkt!. Damit kann man ein Bewegungsprofil erstellen, die Werbe-ID ist nur die Ergänzung.

    Hier wurde auch Huawei erwähnt; in den Geräten ist eine Huawei-ID vorhanden, wird aber nicht für Werbezwecke verwendet.

    Aus meiner Sicht kommt auf die installierte Apps an, wer hier Punkte sammelt oder die Apps der Handelsunternehmen verwendet, den seine Daten sind Allgemeingut. Nicht vergessen, jeder hat seine Zustimmung erteilt, teilweise an über 1000 „Interessenberechtigte“, schon beim scrollen der Liste wird einem schwindlig.

    PS: Ich habe kein Smartphone, nur ein Tastentelefon den ich selten bei mir trage.

  14. Unter IOS
    IDFA nach einschalten Tracking erlauben erhalten. Da das Tracking schon immer abgeschaltet war, taucht meine ID nicht im Datensatz auf.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.