Liebe Leser:innen,
es gibt viele Arten von Journalismus, manche wollen vor allem unterhalten, andere informieren. Wir bei netzpolitik.org haben nichts gegen gute Unterhaltung, ab und zu lassen wir uns sogar zu ihr hinreißen. Ein großer Teil unserer Arbeit besteht allerdings darin, Dinge aufzudecken, die noch nicht öffentlich sind.
Diese investigative Arbeit ist ein bisschen wie eine Reise rückwärts: In diesem Fall ging die Reise von einem Leser*innen-Hinweis aus und führte zu einem ganz anderen Ziel als dem, das wir anfangs erwarteten. Der Name unserer internen Recherchedatei ist dafür ein guter Indikator: Er heißt Wizz Air. Um Daten dieses Billigfliegers sollte es in der Geschichte eigentlich gehen. Dachten wir.
Auf der Webseite eines Datenbrokers in der EU hatte jemand ganz unverhohlen Namen, Geburtsdaten und Passnummern von sehr vielen Menschen angeboten, angeblich von Flugpassagieren der Airline. Ein Teil der Daten stand einfach so offen im Netz herum, als Gratisprobe. Alle konnten sich das herunterladen.
Solche Daten zu veröffentlichen und zum Kauf anzubieten, ist mehr als fahrlässig. Für Kriminelle ist so eine Datensammlung eine Art Einladung zum Identitätsdiebstahl. Auch deswegen gelten für Passdaten besonders strenge Vorschriften. Wenn wirklich eine Airline dahinter stecken würde, wäre das ein ganz schöner Klopper. Wir liefen also zusammen los: Sebastian, Ingo, Markus und ich.
Eine Geschichte, die eine andere wird
Und dann nahm die Recherche ganz andere Wege als wir erwarteten. Als wir anfingen, Menschen auf der Liste im Netz zu suchen und zu kontaktieren, fanden wir zwar einige, die uns bestätigten, dass ihre Daten echt sind. Die darüber entsetzt waren. Allerdings war keiner von ihnen mit der ungarischen Wizz Air geflogen.
Irgendwann merkten wir: Die Geschichte über diesen Billigflieger, der vermeintlich illegal die Daten seiner Fluggäste weiterverkauft, ist gar keine Geschichte über diesen Billigflieger. Zumindest fanden wir dafür keinen Beleg. Dafür führten mehrere Spuren zu einer ganz anderen Airline aus der Türkei. Mit dieser waren tatsächlich mehrere der Betroffenen geflogen.
Hat sie die Daten verkauft? Gibt es ein Problem mit einem üblen Datenleck? Oder hat jemand anderes so getan als sei er die Airline? Das wissen wir (noch) nicht genau, diese und andere Fragen blieben offen.
Ein Datenbroker, der nicht reagiert
Die einzige Konstante: Die Geschichte über einen Datenbroker in der EU, der solche Daten über seinen Marktplatz zugänglich macht und daran noch mitverdient, blieb eine Geschichte über diesen Datenbroker. Nur den Namen der Plattform und seiner Gründer konnten wir nicht nennen. Nicht mal das Land, in dem sie sitzen. Die Verantwortlichen haben nämlich trotz mehrfacher und kreativer Versuche, sie zu erreichen, nicht mal die Dateien mit den sensiblen Daten von ihrer Seite gelöscht. Also keine Nennung der Firma, denn wir wollen mit unserer Recherche Betroffene von solchen Datenschutzverletzungen nicht ein zweites Mal doxxen.
Genau so haben wir die Geschichte dann aufgeschrieben und veröffentlicht, trotz aller offener Fragen und einem Grummeln, diesen Datenbroker nicht nennen zu können. Aber mit den Informationen kann jetzt womöglich die Arbeit anderer beginnen: etwa der Datenschutzaufsichtsbehörden, die eigene Untersuchungen in die Wege leiten könnten.
Unsere Recherche ist mit der Veröffentlichung noch nicht abgeschlossen. Wer weiß, wo wir am Ende noch landen werden. Klar ist nur: Wenn wir irgendwo landen, werdet ihr es hier lesen.
Habt ein gutes Wochenende
Chris
SPD sichert sich Domain „cdu.eu“ – und führt politischen Konkurrenten vor.
Zum Wahlkampfauftakt der Europawahl sichert sich die SPD eine CDU-Domain. Es ist nicht das erste Mal, dass die Genossen ihre politischen Konkurrenten von der Union bloßstellen.
https://www.rnd.de/politik/coup-zur-europawahl-spd-sichert-sich-cdu-domain-und-das-internet-lacht-C2YNLXG77JGIZNBECQE4O34T7Q.html