Europäischer DatenhändlerSensible Passdaten von Deutschen offen im Netz

Ein Datenhändler bietet Ausweisdaten von tausenden Menschen zum Verkauf und veröffentlicht einen Teil davon ungeschützt im Netz. Unsere Recherchen führen zu einer Billigflug-Linie als mögliche Quelle. Datenschutzbehörden sind alarmiert.

Illustration im Bauhaus-Stil. Zu sehen sind unter anderem ein Flugzeug, die Umrisse einer Person und ein Ausweis.
– Public Domain DALL-E-4 („a plane and a personal ID, bauhaus style reduced minimalist geometric shape“); Bearbeitung: netzpolitik.org

Mehr als 60 Namen stehen auf der Liste, die öffentlich im Netz verfügbar ist. Die meisten davon sollen zu Deutschen gehören. Daneben jeweils: das Geburtsdatum sowie die Nummer und das Ablaufdatum von Pass oder Personalausweis. Solche Daten gelten als besonders sensibel, weil sie sich für Identitätsdiebstahl einsetzen lassen. Sie zu verkaufen und online zu veröffentlichen, wo alle darauf zugreifen können, ist aus Sicht des Datenschutzes eine Katastrophe.

Hochgeladen wurde die Liste auf dem Portal eines Datenhändlers in der EU. Wir nennen Namen und Standort des Unternehmens hier nicht, weil die Liste nach wie vor ungeschützt im Netz steht. Es ist ein Marktplatz, mit dessen Hilfe andere Daten kaufen oder verkaufen können. Das Dokument mit den mehr als 60 Namen ist offenbar eine Art Gratis-Probe. Mit solchen Proben können sich Interessierte einen Eindruck von den Daten verschaffen – bevor sie mehr davon kaufen. Der Datenhändler verdient an jedem solchen Verkauf mit: einen Teil des Verkaufspreises behält er nach eigenen Angaben als Gebühr.

netzpolitik.org konnte mehrere Personen auf der Liste ausfindig machen. Sie leben etwa in Bayern oder Niedersachsen und bestätigen, dass ihre Daten und Ausweisnummern echt sind. Einige reagieren auf unsere Anfrage geschockt. Am Telefon sagt uns eine Betroffene: „Datenschutz, man hört schon öfter davon. Aber wenn man mal die eigenen Daten offen im Internet vor sich sieht, dann ist das ein anderes Gefühl.“

Ausweisdaten gehören zu den sensibelsten überhaupt, weil Menschen damit ihre Identität nachweisen. Interessant sind sie besonders für Kriminelle: Sie nutzen die erbeuteten Daten, um unter falschem Namen etwa kostenpflichtige Abos abzuschließen oder einzukaufen. Einer aktuellen Umfrage zufolge ist jede:r Zehnte Deutsche schon mal von Identitätsdiebstahl betroffen gewesen.

Datenhändler hüllt sich in Schweigen

Unsere Recherchen über die genaue Herkunft der sensiblen Daten kamen zu keinem eindeutigen Ergebnis. Das Unternehmen hinter der Plattform hat auf unsere über mehrere Wege gestellten Anfragen tagelang nicht reagiert. Die Angebotsseite für den Kauf der Daten ist zwar von der Website verschwunden, nachdem wir uns gemeldet haben. Das Dokument mit den Probedaten steht jedoch bis heute online.

Hinter der Plattform steht ein in der EU registriertes Unternehmen, das auch in der Datenschutzerklärung des Marktplatzes verzeichnet ist. Die beiden Gründer sind auch an anderen Stellen im Netz aktiv, etwa auf LinkedIn. Einer von ihnen betreibt einen eigenen Podcast. Falls wir von ihnen oder anderen Vertreter:innen des Unternehmens eine Antwort erhalten, werden wir den Artikel ergänzen.

Es gibt Hinweise, dass die Ausweisdaten über Fluggesellschaften ihren Weg ins Internet gefunden haben könnten. Als Verkäufer trat etwa ein Account mit einem Hinweis auf Wizz Air im Namen auf. Wizz Air ist der Name einer ungarischen Billigflug-Gesellschaft. Allerdings können Menschen auf der Plattform ihren Accounts auch irreführende Namen geben. Lediglich eine funktionierende E-Mail-Adresse braucht man, um sich dort anzumelden. Auf unsere Anfragen hat Wizz Air bisher nicht reagiert.

Die Spur führt zu Billigfliegern

Man kann die Händler auf der Plattform direkt anschreiben, etwa um Fragen zu den Daten zu stellen. Das haben wir getan und den Account über ein Formular auf der Seite kontaktiert. Wir wollten etwa wissen, woher die Daten stammen, wie groß die Datensammlung ist und wie viel sie kosten soll.

Im Chat, der sich daraufhin öffnete, tauchte ein neuer Name auf: Plötzlich stand dort nicht mehr Wizz Air sondern ein Männername. Der Name ist allerdings sehr häufig; eine Online-Suche nach einer Person mit diesem Namen ergab zahllose Treffer. Kurze Zeit später war das Angebot mit den Ausweisdaten von der Seite verschwunden, und der Name des Anbieters im Chat lautete nur noch: „aaaa bbbb“.

Es ist also möglich, dass Wizz Air nichts mit dem Angebot zu tun hat. Keine der von uns kontaktierten betroffenen Personen gab an, mit Wizz Air geflogen zu sein. Mindestens vier betroffene Personen sind nach eigenen Angaben jedoch mit einer anderen Billigflug-Linie gereist, und zwar der türkischen Linie Corendon.

Wer vergangene Woche auf der Plattform nach Wizz Air suchte, fand dort ein weiteres Angebot mit dem Logo von Corendon. Daten von mehr als 20.000 Passagier:innen aus anderen Ländern der EU stünden demnach zum Verkauf. Doch auch in diesem Fall gilt: Das Logo der Fluglinie hätte von einer beliebigen Person bei dem Datenhändler hochgeladen worden sein können. Corendon hat auf unsere Kontaktversuche bisher nicht reagiert. Wir werden die Antwort ergänzen, wenn wir eine erhalten.

Fluglinie in Schwierigkeiten

Corendon ist eine türkische Billigflug-Gesellschaft mit Sitz in Antalya. Die Linie fliegt seit 2005 Urlaubsziele auch von Deutschland aus an und war etwa Sponsor des 1. FC Nürnberg. In den vergangenen Jahren gab es Berichte über Zahlungsschwierigkeiten bei Corendon.

Als wir testweise einen eigenen Account auf der Plattform des Datenhändlers anlegten, konnten wir ihn frei benennen. Zur Anmeldung brauchten wir lediglich eine E-Mail-Adresse. Es kann also sein, dass die Namen der Fluglinien Wizz Air und Corendon von einer unbeteiligten Person verwendet wurden und dass die Fluglinien selbst nichts mit dem Angebot der Daten zu tun haben.

Auch wenn die Herkunft der Ausweisdaten weiterhin unklar ist, steht eines fest: Die Daten sind offenbar echt. Und sie wurden von einem Datenbroker in der EU offen zum Verkauf angeboten – inklusive einer frei im Netz verfügbaren Gratis-Probe. Potenziellen Kund:innen solche Sample-Datensätze anzubieten, ist in der Branche weit verbreitet, doch üblicherweise werden sie mit einem Passwort geschützt.

„Wahrscheinlich rechtswidrig“

Der Vorfall ist ein weiterer Einblick in das zwielichtige Geschäft von Datenhändlern. Ein undurchsichtiges Netzwerk aus tausenden Firmen kauft und verkauft personenbezogene Daten wie ganz normale Waren. Genutzt werden sie hauptsächlich für Werbung und das Scoring von Verbraucher:innen, doch auch Geheimdienste und Kriminelle bedienen sich der praktischen Datenquelle. Wo genau die Daten von Menschen landen und wofür sie eingesetzt werden, kann in diesem System niemand überblicken, auch nicht die Händler selbst.

Ob das Geschäftsmodell der Branche überhaupt in Einklang mit der Datenschutzgrundverordnung betrieben werden kann, ist umstritten. Falls überhaupt, dann ist der Verkauf von Daten nur mit der Einwilligung der Betroffenen möglich. Die Anforderungen an gültige Einwilligungen sind hoch. Verstößt das beschriebene Angebot mit den Ausweisdaten also gegen Gesetze?

„Der Verkauf solcher Datensätze ist wahrscheinlich rechtswidrig“, schreibt uns die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz, die wir um eine Einschätzung gebeten haben. Zwar sei theoretisch denkbar, dass die Verantwortlichen Einwilligungen in den Verkauf der Kundendaten an Dritte eingeholt hätten. Allerdings müsse die Einwilligung informiert, freiwillig, für den bestimmten Fall und unmissverständlich abgegeben werden. „Dazu reicht auf keinen Fall ein Hinweis im Kleingedruckten“, so die Juristin von der Kanzlei Spirit Legal. „Ich bezweifle, dass Betroffene in den Verkauf derart sensibler Daten einwilligen, wenn sie über die Details informiert werden.“

Datenschutzbehörden sind alarmiert

Wir haben unter auch anderem die Aufsichtsbehörden in Bayern und Niedersachsen nach ihren Einschätzungen gefragt, weil wir Betroffene aus beiden Bundesländern im Probedatensatz identifizieren konnten. Beide Behörden betonen, dass sie sich ohne Prüfung nur grundsätzlich äußern können, nicht zum konkreten Fall.

Das Bayerische Landesamt für Datenschutzaufsicht teilt mit: „In einer Konstellation, wie der geschilderten – Kundendaten werden an einen Datenhändler weitergegeben, der diese wiederum zum Verkauf anbietet – können wir per se nicht erkennen, wodurch diese gerechtfertigt sein kann.“

Die Aufsichtsbehörde aus Niedersachsen wiederum betont, zumindest bestimmte Daten könnten weitergegeben werden, wenn die Betroffenen eingewilligt haben. Interessant sei, ob der Datenhändler über Nachweise für solche Einwilligungen verfügt. „Sollte das nicht der Fall sein, läge der Verdacht nahe, dass der Datenhändler die Daten auf unerklärliche, gegebenenfalls sogar auf unrechtmäßige Weise erlangt haben könnte.“

Wir haben auch die Aufsichtsbehörde in dem EU-Land informiert, in dem der Datenhändler seinen Sitz hat. Diese bedankte sich für den Hinweis, könne sich aber zu dem konkreten Fall nicht äußern, weil man „zu laufenden oder potenziellen Verfahren“ nicht öffentlich Stellung nehmen dürfe. Die Missachtung von Anforderungen an die Einwilligung können laut DSGVO Strafen von bis zu vier Prozent des jährlichen Umsatzes oder 20 Millionen Euro nach sich ziehen.

„Legale Verwendung durch Dritte kaum denkbar“

Für Ausweis- und Passdaten gelten zudem besonders strenge Regeln. „Mit Blick auf die Personalausweis- oder Reisepassnummern gelten zusätzliche Beschränkungen, sodass zweifelhaft ist, ob eine Einwilligung in den Verkauf solcher Daten überhaupt wirksam wäre“, sagt Rechtsanwältin Elisabeth Niekrenz. Das Personalausweisgesetz sehe nur wenige Zwecke vor, zu denen die Daten aus Personalausweisen überhaupt genutzt werden dürfen. „Legale Verwendungen der Personalausweis- oder Passnummern und Ablaufdaten durch Dritte sind kaum denkbar“, so die Juristin. „Am ehesten lassen sich diese Angaben zu Identitätsmissbräuchen nutzen.“

Das sieht auch der Wiener Überwachungsforscher Wolfie Christl so: „Reisepassnummern sind höchst sensible Daten mit hohem Missbrauchspotenzial für Identitätsdiebstahl und andere kriminelle Zwecke.“ Christl bezweifelt, dass die beteiligten Firmen eine Rechtsgrundlage für Weitergabe und Verkauf hatten. Er hofft, dass die die Datenschutz-Aufsichtsbehörden schnell eine Untersuchung einleiten.

Sollten die Behörden Ermittlungen aufnehmen, müsste der Datenhändler die rechtmäßigen Einwilligungen der Betroffenen nachweisen. Auf unsere Nachfragen kann sich keine der Personen, die wir im Datensatz gefunden haben, daran erinnern, in den Verkauf ihrer Daten eingewilligt zu haben. Im Gegenteil reagierten die Betroffenen überrascht bis geschockt, dass wir ihre Daten offen im Netz fanden. Mehrere Betroffene haben bereits angekündigt, Beschwerde bei ihren zuständigen Datenschutzbehörden einlegen zu wollen.

Betroffene haben vermutlich Anspruch auf Schadenersatz

Bei einem DSGVO-Verstoß drohen Unternehmen empfindliche Strafen. Sollte etwa eine Fluggesellschaft solche Daten selbst widerrechtlich verkauft haben, gilt das auch für sie. Denkbar wäre aber auch, dass die Daten auf anderem Wege – etwa durch ein Leck – in die Hände von Datenhändler:innen gelangt sind. Kriminelle könnten möglicherweise die Daten erbeutet oder Angestellte sie verkauft haben.

Da Ausweisdaten so sensibel sind, hätten in so einem Fall nicht nur die Datenschutzbehörden, sondern auch die Betroffenen informiert werden müssen, sagt Elisabeth Niekrenz. Die Anwältin weist darauf hin, dass Betroffene vermutlich Anspruch auf Schadenersatz haben – sowohl gegenüber dem Datenhändler als auch gegenüber der Datenquelle. Auch das Bayerische Landesamt für Datenschutzaufsicht betont, dass die Betroffenen die Firmen auf Schadenersatz verklagen könnten.

Wer seine eigenen Ausweisdaten im Netz findet – oder den Eindruck hat, dass andere personenbezogene Daten ohne Einwilligung verarbeitet wurden – kann sich bei einer Datenschutzbehörde beschweren. Erste Anlaufstelle ist jeweils die Datenschutzbehörde des eigenen Bundeslandes.

11 Ergänzungen

  1. Anfang des Jahres hat Ryanair für eine Weile Ausweisscans mit Gesichtserkennung zur Verifizierung von Buchungen haben wollen, die sie (fälschlicherweise) als unerwünschte Buchungen über Drittanbieter identifiziert haben. Diese Verifizierung lief über einen externen Dienstleister, ich war auch davon betroffen, obwohl meine Buchung auf der offiziellen Ryanair-Seite getätigt wurde.

    Über diese Prozedur haben auch andere Medien schon berichtet, läuft wohl so ähnlich schon eine ganze Weile: https://www.derstandard.de/story/3000000180553/ryanair-soll-kunden-zu-unnoetiger-gesichtserkennung-draengen

    Sollte sich eine Spur in die Richtung ergeben, könnt ihr mich gerne unter der angegebenen Mailadresse kontaktieren, vielleicht kann ich was beitragen.

  2. Unzuverlässige Angestellte/Hilfskräfte bessern ihr Einkommen immer öfter durch illegalen aber bezahlten Datenhandel auf. Service- bzw. Callcenter außerhalb der EU sind ebenso anfällig wie inländische Sachbearbeiter. Z.B. ein Screenshot mit dem Smartphone am Arbeitsplatz kann zuhause „im Nebenerwerb“ in Datenbanken eingepflegt werden.

    Gemäß des Rechercheansatzes „follow the money“ lassen sich sites im Netz auffinden, die auch illegal erlangte Daten „vergüten“. Das Problem ist zwar erkannt, aber der Schaden ist z.Zt. zwar lästig, aber scheinbar noch erträglich. Fahndungserfolge sind eher Ergebnis zufälliger Natur als zielgerichteter Anstrengungen.

    1. AirBnB verlangt zur Account-Verifizierung auch einen Scan von Führerschein/Perso/Reisepass.
      Zwar steht in der Anleitung, man solle die Pass-/Perso-Nummer schwärzen oder verdecken. Wenn man das macht, wird der Scan dann aber nicht akzeptiert, da er „offensichtlich manipuliert“ wurde.
      Ich konnte meinen Account erst dann verifizieren, als ich die Daten „ungeschwärzt“ hochgeladen habe.
      Keine Ahnung, wer alles darauf Zugriff hat bzw. hatte, siehe oben. Der „Support“ von AirBnB, der mir letztendlich geholfen hatte, war kein Mitarbeiter von AirBnB, sondern ein Host (i.e. jemand der über AirBnB anbietet)!

  3. > kann sich bei einer Datenschutzbehörde beschweren

    Meine (anekdotische) Erfahrung mit den Datenschutzbehörden ist wenig erfolgversprechend. Technisch keine Ahnung – ließen sich mit offensichtlich falschen Antworten abspeisen und weil „angeblich“ die Zusammenarbeit mit dem Dienstleister, der den Verstoß eigentlich begangen hat, beendet wurde, ist das ganze Verfahren eingestellt worden.

    Firmen können also gegen alles Mögliche verstoßen. Datenschutzbehörden interessiert das kaum. Und selbst Klage einreichen bedeutet, das Prozesskostenrisiko liegt bei einem selbst. Selbst mit Rechtsschutzversicherung wird das kaum jemand für Lappalien machen.

    Also freie Fahrt für Verstöße … :(

    1. Niemand sollte sich wegen solcher allgemein gehaltener Schilderung davon abbringen lassen, bei den jeweilig zuständigen Landesdatenschutzbeauftragten um Rat und Abhilfe anzufragen.

      Meine Erfahrungen sind gänzlich anderer Natur. Meine Kontakte waren stets kompetent und auch hilfreich, im Rahmen der juristischen Möglichkeiten.

      1. Ich kann das sehr gerne bei Bedarf konkretisieren. Ihre einzelnen positiven Erfahrungen sind im Übrigen genauso anekdotisch und irrelevant für eine Gesamtbetrachtung.

      2. Ich habe bei der niedersächsischen Landesdatenschutzbeauftragten eine Beschwerde eingereicht und trotz mehrfacher Nachfrage und Einsatz von netzpolitik.org keine Antwort erhalten. Erst haben sie bestritten, meine Anfrage bekommen zu haben, ich solle sie erneut stellen, dann haben sie sie plötzlich doch gefunden. Das ging über Monate und Jahre und mit diversen Rückfragen. Eine Antwort bekam ich nie.

        Spannend: Es gibt wohl keine höher Stelle, bei der man sich beschweren könnte. Die Bundesstelle sagt sogar auf ihrer Webseite konkret, dass sie genau dafür nicht zuständig seien.

    2. Schaut man sich auf dsgvo-portal die Datenbank an, fällt sowieso auf, dass in Deutschland ein hoher Teil gegen Privatpersonen geht. Dazu noch sehr viele Strafen mit 0€ und auch nur 2 Strafen von diesem Jahr. Ich kenne die Seite nicht wirklich und hab auch gerade nur per Phone überflogen, aber allgemein sieht mir das in Deutschland nicht kompetent aus im Vergleich zu anderen Ländern. Und sei es nur der Datenexport.

  4. Bei dem Datenbroker (um den es hier geht) gibt es zahlreiche weitere riesige Datensätze von Banken, Bewerbern, Versicherungen, Kundendatenbanken, Kontaktlisten, alle gespickt mit super sensiblen, hochpersönlichen Informationen wie:
    Vollständiger Name, Geburtsdatum, Ort, Geschlecht, Ausweis/SteuerID, Religion, Beziehungsstatus, Einkommen, Bankverbindungen, Telefonnummern, persönliche Interessen, usw.
    Richtig gruselig.
    Die Datensätze stammen überwiegend aus afrikanischen und asiatischen Ländern sowie den USA, aber es finden sich auch weltweite Datensätze und Datensätze zu EU Ländern.
    Die Anbieter scheinen ihre Daten entweder aus bekannten Leaks zu aggregieren oder direkten Zugriff auf die Daten/API-Endpunkte zu haben. Es wird teilweise mit täglicher Datenaktualisierung geworben. Die Daten können auf keinem legalem Weg beschafft werden. Dass eine EU-ansässige Datenbroker Plattform hier so offen zum Handel mit solchen illegal erworbenen Daten animiert – und das absolut unbescholten – ist schon ein starkes Stück, aber auch nur ein winziger Teil des Datenbroker Sumpfes.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.