Belgischer DatenmarktplatzEU fördert weiter Start-up hinter Passdaten-Leak

Auf dem belgischen Datenmarktplatz „Databroker“ standen Namen, Geburtsdaten und Passnummern von Tausenden offen im Netz. Nach wie vor wird das Start-up hinter dem Marktplatz von der EU gefördert.

- - in Datenschutz - keine Ergänzungen
Ein Einkaufswagen gefüllt mit Pässen, drumherum fliegen Pässe und goldene Münzen
Passdaten im Angebot. – Public Domain Midjourney

Monatelang standen die Passdaten von Tausenden Personen im Internet. Listen mit Namen, Geburtsdaten, Passnummern – fertig zum Download für alle, die auf der Seite des belgischen Datenmarkplatzes „Databroker“ vorbeischauten. netzpolitik.org hat das Datenleck im vergangenen Juli aufgedeckt.

 Zuständig ist die belgische Datenschutzaufsicht, die sich zu dem Fall jedoch nicht öffentlich äußern wollte. Die Behörde dürfe über laufende oder mögliche Untersuchungen nicht sprechen.

Rund 30 Listen mit Passdaten standen kostenlos zum Download auf der Seite. Ein für Außenstehende anonymer Händler hatte sie auf dem Marktplatz hochgeladen – als Gratis-Vorschau auf noch größere Datensätze. Die Daten sind offenbar echt, netzpolitik.org konnte vergangenes Jahr mehrere Betroffene in Deutschland und Ungarn ausfindig machen.

Vorschau-Datensätze sind in der Branche üblich, doch eigentlich werden solche Daten nur auf Anfrage verschickt. Auf dem Marktplatz databroker.global standen sie allerdings ungeschützt online. Schon der Handel mit solchen Daten ist ein mutmaßlicher Verstoß gegen die Datenschutzregeln der EU (DSGVO).

Für die Betroffenen ist die Veröffentlichung zudem gefährlich. Betrüger:innen könnten im Internet mithilfe solcher Daten etwa Verträge abschließen oder gefälschte Pässe erstellen.

Belgischer Blockchain-Baukasten

Hinter „Databroker“ steht das belgische Start-up SettleMint, das sich auf Blockchain-Technologie spezialisiert hat. Die Gründer Matthew Van Niekerk und Roderik van der Veer treten öffentlich als Blockchain-Experten auf, etwa auf LinkedIn oder YouTube.

SettleMints Kernprodukt ist ein System, mit dem andere Unternehmen Anwendungen auf der Blockchain programmieren können. Ohne die notwendigen Programmiersprachen erlernen zu müssen, sollen sie mit einem Baukastensystem schneller zum Ziel kommen. Zu den Kunden sollen auch ein japanischer Tech-Konzern und mehrere Banken gehören.

Für diese Geschäftsidee konnte SettleMint im Jahr 2022 mehrere Millionen Euro Risikokapital einsammeln. Auch die EU förderte das Start-up mit Millionensummen.

Eine E-Mail mit mehreren Monaten Verspätung

netzpolitik.org hatte im vergangenen Jahr über die geleakten Passdaten auf der Website berichtet – zunächst ohne den Namen der Plattform zu nennen, weil die Daten weiterhin online standen. Im Rahmen der Recherche hatten wir auf mehreren Wegen versucht, dem Unternehmen Fragen zu stellen – auch per Post an die Adresse im belgischen Leuven. Eine Reaktion erhielten wir zunächst nicht.

Im Juli ist der Marktplatz aus dem Netz verschwunden – wenige Tage, nachdem wir das Unternehmen mit Fragen konfrontiert hatten und kurz vor unserer Veröffentlichung. Die Seite war über die Domain nicht mehr erreichbar und ist es bis heute nicht.

Im November 2024 meldete sich doch noch eine Person per E-Mail. Sie gab an, von SettleMint kurz zuvor als Datenschutzbeauftragter engagiert worden zu sein und unsere Fragen erhalten zu haben.

Von unserer langen Liste an Fragen beantwortete diese Person im Auftrag von SettleMint nur eine: Die Frage, warum „Databroker“ kurz vor unserer Veröffentlichung offline ging. „Databroker“ sei im zweiten Quartal 2024 an ein weiteres Unternehmen verkauft worden. Aus diesem Grund sei die Seite nun offline. Überprüfen konnten wir das nicht.

Belgischer Datenmarktplatz veröffentlicht Passdaten von Tausenden im Netz

Geschichte einer gescheiterten Idee

„Databroker“ war neben dem Blockchain-Baukasten offenbar eine weitere Geschäftsidee der beiden SettleMint-Gründer. Unternehmen und Behörden sollten auf der Plattform Daten aus vernetzten Geräten anbieten können, sogenannte IoT-Daten. Solche Daten fallen überall dort an, wo vernetzte Geräte mit Sensoren zum Einsatz kommen: im Straßenverkehr, in Fabriken, in der Landwirtschaft.

Über „Databroker“ sollten die Anbieter den Zugang zu diesen Daten vermarkten können, dezentral auf Basis der Blockchain Ethereum. So beschreibt SettleMint das Projekt in einem Konzeptpapier aus dem Jahr 2017. Ob solche Daten je auf der Plattform gehandelt wurden, konnten wir nicht überprüfen. Auf Nachfragen dazu hat SettleMint nicht geantwortet. In der archivierten Version der Seite findet man aber zumindest Angebote für solche Daten, etwa für Verkehrsdaten oder Daten zur Luftqualität.

Banner mit Text: Ob vor oder nach der Wahl. Wir kämpfen für digitale Grund- und Freiheitsrechte! Nur möglich dank deiner Unterstützung. Spende jetzt.

Um das Projekt anzuschieben, schafft SettleMint in den Jahren 2017 und 2018 zwei sogenannte Krypto-Token: Databroker DAO und einige Monate später Databroker DTX. Dieses Vorgehen sei ab etwa 2015 nicht unüblich gewesen, sagt Thomas Gloe vom IT-Forensik-Unternehmen dence. Unternehmen verkauften dabei sogenannte Tokens im Rahmen eines Initial Coin Offering (ICO) an Erstanleger. „So konnten leicht große Beträge an Wagniskapitel eingesammelt werden.“ Zu Beginn habe es noch keine klaren rechtlichen Vorgaben für ICOs gegeben. Für die Unternehmen sei das daher eine schnelle Art gewesen, an Investitionen zu kommen.

Laut Blogeinträgen des Unternehmens verkaufte SettleMint auf diese Weise 2017 und 2018 in zwei Runden Token an Investor:innen. Gezahlt wurde in Kryptowährungen wie Ether oder Bitcoin.

Wie viel dabei mindestens in den Wallets von SettleMint gelandet ist, lässt sich in den auf der Ethereum-Blockchain abgebildeten Verkaufsverträgen beobachten, sagt Thomas Gloe. Zumindest teilweise. Insgesamt rund 2.300 ETH seien demnach in den beiden Verkaufsrunden in den digitalen Geldbörsen von SettleMint eingegangen. Damals entsprach das einem Wert von rund 1,05 Millionen US-Dollar. 

Hinzu kämen noch weitere Käufe mittels anderer Zahlungsmethoden, für die im Smart Contract lediglich die Ausgabe von Tokens beobachtet werden konnte, nicht aber, wie viel eingenommen wurde.

SettleMint hat auf Nachfragen zur eingenommenen Summe nicht geantwortet.

„Alle haben Geld verloren“

Das Projekt läuft nach der Finanzierungsrunde jedoch schleppend an. Zunächst arbeitet SettleMint offenbar noch am Marktplatz „Databroker“. Das Unternehmen baut an der Plattform, stellt sie auf Messen vor, wirbt um Kund:innen. „Nur noch zwei Wochen, dann kann jeder mit dem Handel von Sensordaten beginnen“, heißt es in einem Blogpost von 2019.

Gegen Ende 2022 reißt die öffentliche Kommunikation ab. In einer Gruppe auf Telegram, die SettleMint für die „Community“ eingerichtet hatte, schimpfen Investor:innen auf das Unternehmen und die Gründer. Sie kritisieren, dass es nicht voran gehe, werfen SettleMint Intransparenz vor und dass es zu wenig in „Databroker“ investiert habe. SettleMint hat sich auf Nachfrage zu den Vorwürfen nicht geäußert.

„Wir haben ein Produkt gemacht. Es funktioniert nicht“, schreibt ein Account namens „DTX Community databroker“ im Sommer 2023 in der Telegram-Gruppe. „Alle haben Geld verloren. Kapitel geschlossen.“

In der Gruppe weisen Nutzer:innen auch auf Probleme auf „Databroker“ hin, etwa darauf, dass dort neben seriösen Anbietern auch Angebote für persönliche Daten zu finden seien. Sie bitten das Unternehmen, die Seite zu „managen“. Ein Account, der sich als Projektmanager bezeichnet, antwortet darauf: „Wir tun das von Zeit zu Zeit. Wir kontrollieren nicht, was die Leute veröffentlichen.“

Ob dieser Account wirklich einem Projektmanager von SettleMint gehört, können wir nicht mit Sicherheit nachvollziehen. Auf die Frage, wie das Unternehmen die Angebote auf „Databroker“ überprüft hat, hat SettleMint nicht geantwortet.

Mit EU-Förderung nach Las Vegas

SettleMint wird weiter von der EU gefördert. Bereits von 2019 bis 2021 erhielt das Unternehmen mehr als 1,8 Millionen Euro aus Töpfen der EU-Kommission im Rahmen des Förderprogramms Horizon 2020: Innovationsförderung, um das Geschäft in weiteren Ländern auszubauen.

Anfang des Jahres durfte SettleMint nun zur weltgrößten Technologiemesse CES in Las Vegas reisen. Das Unternehmen war Teil einer Delegation von 15 ausgewählten Start-ups, die sich im Europäischen Pavillon präsentieren konnten. Das ermöglichte das European Innovation Council, eine Fördergesellschaft der Europäischen Union, die kleine und mittlere Unternehmen unterstützt. SettleMint nimmt derzeit auch an einem weiteren Programm der Fördergesellschaft teil, das ausgewählte Unternehmen beim Wachsen unterstützt.

Laut den Auflagen für die Förderung könnte die Kommission Teile von Fördergeldern auch zurückfordern, sollte herauskommen, dass ein Unternehmen gegen Auflagen zum Datenschutz verstoßen hat. Dies wäre dann möglich, wenn der Verstoß nachweislich im Zusammenhang mit der Fördervereinbarung und dem geförderten Projekt passiert ist.

Auf Fragen dazu, in welcher Höhe SettleMint bislang EU-Förderung erhalten hat und welche Auswirkungen es hätte, wenn die belgische Datenschutzaufsicht einen Verstoß feststellt, will sich die Europäische Kommission nicht öffentlich äußern.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Ich bin Redakteurin von netzpolitik.org und recherchiere zu Digitaler Gewalt, KI und Migration. Vor allem interessiert mich, wie der Staat Technologie gegen Geflüchete und andere marginalisierte Gruppen einsetzt. Ich habe bei Zeit Online volontiert und anschließend eine eigene Zeitschrift mitgegründet und geleitet: das Missy Magazine. Später habe ich bei WIRED Germany gearbeitet. Seit 2018 bin ich Teil der Redaktion von netzpolitik.org. Ich bin in Rumänien geboren, meine Familie war Teil der ungarischen Minderheit im Land. Aufgewachsen bin ich im Rheinland.

Kontakt: E-Mail (OpenPGP), BlueSky, Mastodon, Signal: ckoever.24

Veröffentlicht 28.02.2025 um 10:07
Kategorie
Schlagworte
Weitere Artikel

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.