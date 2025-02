Ausgerechnet ein Unternehmen aus der EU soll die präzisen Standortdaten von Millionen Menschen in Deutschland gesammelt und verkauft haben: Eskimi aus Litauen. Das Unternehmen bestreitet das. Recherchen von netzpolitik.org, BR und internationalen Partnern zeigen, welche Verbindungen Eskimi zum Geschäft mit sensiblen Daten hat.

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, Le Monde (Frankreich), SRF/RTS (Schweiz), NRK (Norwegen), BNR Nieuwsradio (Niederlande), WIRED und 404 Media (USA). Sie ist zugleich Teil der „Databroker Files“.

Wie gelangen alarmierend genaue Standortdaten von Millionen App-Nutzer*innen in die Hände von Databrokern? Seit einem Jahr recherchiert ein Team von netzpolitik.org und Bayerischem Rundfunk zu dieser Frage, seit Herbst gemeinsam mit internationalen Recherche-Partnern. Im Mittelpunkt stehen Datensätze des US-Databrokers Datastream Group, der inzwischen als Datasys firmiert.

Eine Antwort könnte der Datenhändler nun selbst geliefert haben – in einem Anwaltsschreiben an einen US-Senator. Das Schreiben versucht, die Standortdaten als harmlos darzustellen und benennt einen angeblichen Verantwortlichen: Demnach habe die Datastream Group die Daten von „Eskimi.com“ erhalten. Eskimi ist eine litauische Werbefirma – ausgerechnet ein Unternehmen aus der EU.

Eskimi soll demnach die Quelle sein für unseren Datensatz mit rund 3,6 Milliarden Standortdaten und rund 11 Millionen Werbe-IDs, über den wir im Sommer 2024 berichtet haben. Darin fanden wir nicht nur die Standortdaten für detaillierte Bewegungsprofile von Privatpersonen, sondern auch von Menschen mit Zugang zu Militärstützpunkten und Gebäuden von Geheimdiensten. Anhand der Werbe-IDs lassen sich die Einträge in solchen Datensätzen einzelnen Handys zuordnen; oftmals führten Häufungen von Standortdaten zu den Privatadressen und Arbeitsplätzen der Betroffenen.

In einer Antwort auf unsere Presseanfrage dementiert Eskimi-Chef Vytautas Paukstys die Verbindung zur Datastream Group. Aus dem Englischen übersetzt schreibt er:

Eskimi beteiligt sich nicht am Handel mit Daten. Jegliche Behauptungen, die Eskimi als Datenhändler darstellen, sind irreführend. Eskimi unterhält keine und hat niemals eine geschäftliche Beziehung zu Datasys/Datastream Group unterhalten.

Unsere Recherche liefert jedoch Hinweise, die diese Darstellung in Frage stellen. So könnten die Daten über eine andere Firma mit engen Verbindungen zu Eskimi geflossen sein – aber eins nach dem anderen.

Der etablierte Player

Eskimi ist in der Werbebranche kein Unbekannter. Das Unternehmen bietet zahlreiche Dienstleistungen an: Es vermarktet etwa Werbeplätze in Apps und auf Websites oder steuert digitale Werbekampagnen für Kund*innen. Auf seiner Website schmückt sich das Unternehmen mit den Logos bekannter Konzerne, darunter ein Sportwagenhersteller, Elektronikkonzerne und Anbieter von Erfrischungsgetränken.

Auch für Google ist Eskimi kein Fremder. Wie der Konzern auf Anfrage mitteilt, ist Eskimi ein „autorisierter Käufer“. Das heißt, das Unternehmen darf Googles Infrastruktur für Auktionen zur Verbreitung von Online-Werbung nutzen. Laut Google müssen sich autorisierte Käufer an Richtlinien halten; es sei etwa verboten, Daten aus dem Real Time Bidding außerhalb von Werbezwecken zu nutzen oder gar zu verkaufen. Das werde in regelmäßigen Audits geprüft. Ob Google in Bezug auf Eskimi aktiv werden wolle, ließ der Konzern unbeantwortet.

Schließlich ist Eskimi bei der Branchenorganisation IAB Europe als Vendor gelistet und somit an das sogenannte TCF angeschlossen. TCF steht für „Transparency and Consent Framework“. Das ist die zentrale Infrastruktur, über die Adtech-Firmen in Europa die Einwilligungen ihrer Nutzer*innen in die Verarbeitung ihrer Daten einholen und verwalten.

Nach einem EuGH-Urteil steht in Frage, ob das TCF in dieser Form rechtskonform ist. Dennoch genießen Werbefirmen mithilfe des TCF das Vertrauen zahlreicher Apps und Websites, wenn sie auf die Daten ihrer Nutzer*innen zugreifen. Unsere Presseanfrage hat IAB Europe nicht beantwortet.

Das fehlende Puzzlestück

Die Spur zu Eskimi ergänzt die Recherchen zu den Databroker Files um ein wichtiges Puzzlestück.

Zuerst hatten wir im Sommer 2024 gemeinsam mit dem BR über besagten Datensatz mit 3,6 Milliarden Standortdaten von rund 11 Millionen Smartphones in Deutschland berichtet. Wir konnten über den US-Datenhändler berichten, von dem wir die Daten erhielten, und über den Datenmarkplatz, mit dessen Hilfe wir Kontakt zum Händler herstellten. Unbekannt war jedoch, woher die Daten ursprünglich stammen.

Im Januar 2025 konnten wir erstmals über konkrete Apps berichten, über deren Nutzer*innen Daten bei Databrokern kursieren. Grundlage war ein weiterer Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Werbe-IDs und rund 40.000 Apps. Zumindest für einige Apps aus diesem Datensatz lagen erneut genaue Standortdaten vor, darunter Deutschlands populärste Wetter-App, Wetter Online. Welchen Weg die Daten genau zurückgelegt hatten, war jedoch nach wie vor unklar.

Nun können wir genauer beschreiben, wie solche Daten im Ökosystem der Werbeindustrie fließen – mehr dazu berichten wir hier. Und wir können mit Eskimi erstmals eine Firma in der EU benennen, die mutmaßlich in großem Stil Daten von Handy-Nutzer*innen sammelt – und auch weiterverkauft. Die angebliche Verbindung zu Eskimi hat die Datastream Group selbst per Anwaltsschreiben offengelegt.

Der Brief

Der Brief stammt von einer Kanzlei, die sich im Auftrag des Datenhändlers Datastream zu Wort meldet. Adressiert ist er an den US-amerikanischen Senator Ronald Wyden, dessen Büro ihn mit der Recherche-Gruppe geteilt hat.

Der Politiker von der demokratischen Partei setzt sich seit Jahrzehnten für Datenschutz in den USA ein. Wyden trieb unkontrollierte Geheimdienste genau so vor sich her wie die kommerzielle Überwachungsbranche. Gegen andere Datenhändler hat Wyden bereits Strafen der Aufsichtsbehörde FTC erwirkt.

Auf unsere Anfrage hin zeigte sich Wyden bereits im vergangenen Sommer alarmiert und schaltete das Pentagon ein. Als wir im Herbst 2024 zusammen mit dem US-Medium WIRED einen Bericht veröffentlichten, der die Gefährdung von US-Militär und -Geheimdiensten in Deutschland in den Fokus rückte, forderte Wyden erneut Konsequenzen. In ihrem Anwaltsschreiben erklärte sich die Datastream Group schließlich gegenüber dem Senator. Der Brief ist auf den 20. November datiert und nennt ausdrücklich den am Tag zuvor erschienen WIRED-Artikel.

An einer entscheidenden Stelle heißt es im Brief (aus dem Englischen übersetzt):

Datastream stellte Netzpolitik eine einzelne anonymisierte Datenprobe zur Verfügung, die es auf legale Weise von einem angesehenen Drittanbieter, Eskimi.com, bezogen hatte.

Die Daten würden aus gängigen Handy-Apps für Apple- und Android-Geräte stammen. Eskimi jedoch streitet jegliche Geschäftsbeziehungen zur Datastream Group oder Datasys ab. Wir haben die Kanzlei der Datastream Group mit dem Dementi von Eskimi konfrontiert. In ihrer Antwort ging die Kanzlei jedoch nicht auf Eskimi ein. Stattdessen schreibt sie, die Herkunft des Datensatzes unterliege einer Verschwiegenheitsvereinbarung; die Äußerung gegenüber dem US-Senator sei „privat“ gewesen und nicht für die Öffentlichkeit bestimmt.

In ihrem Schreiben bekräftigt die Kanzlei zudem, der Datensatz der Datastream Group sei „anonym“ gewesen. Das Recherche-Team habe ihn über seinen intendierten Zweck hinaus „manipuliert“.

Zur Erinnerung: Das Recherche-Team hatte die einzelnen Werbe-IDs zugeordneten Geo-Koordinaten aus dem Datensatz auf eine Karte geworfen, und auf diese Weise unter anderem die mutmaßlichen Wohnadressen von getrackten Personen abgelesen. Überprüft wurden die Funde etwa durch Nachschlagen der Adresse im Telefonbuch und mit Anrufen.

Die weitere Spurensuche

Als der Brief den US-Senator erreichte, hatten wir lediglich über den Datensatz mit 3,6 Milliarden Standortdaten aus Deutschland berichtet – nicht jedoch über den anderen Datensatz mit Angaben zu mehr als 40.000 Apps. Das geschah erst Monate später. Es gibt jedoch auch beim App-Datensatz Hinweise darauf, dass er von Eskimi stammen könnte.

Der Datensatz mit den Angaben zu rund 40.000 Apps wurde unserer Analyse zufolge beim Real Time Bidding (RTB) gesammelt. So nennt man die Auktionen, bei denen Werbeplätze im Internet versteigert werden – mehr dazu erklären wir hier. Die Daten sind so strukturiert wie Daten aus dem RTB. Die Geo-Koordinaten wurden offenbar größtenteils von IP-Adressen abgeleitet, was beim RTB ebenso typisch ist.

Bereits seit Jahren warnen Forschende und Datenschützer*innen: Mithilfe von Daten aus dem Real Time Bidding lässt sich Massenüberwachung betreiben. Hierfür müssen Werbefirmen lediglich die zu Werbezwecken anfallenden Daten sammeln und an Databroker verkaufen. Über Databroker wiederum können die Daten als offene Handelsware an alle gelangen, die sich dafür interessieren. Auf diesem Weg können sich auch Überwachungsfirmen mit Daten versorgen – mehr darüber berichten wir in unserem Artikel über ADINT.

In einem Handbuch auf der eigenen Website beschreibt Eskimi offen, dass es Daten im Rahmen des Real Time Bidding „sammelt und speichert“ – und auf diese Weise „mehr als 2 Milliarden“ Profile angehäuft habe. Zu den von Eskimi gesammelten Daten gehörten etwa Werbe-IDs, GPS-Ortsdaten, IP-Adressen und mehr, heißt es in einem weiteren Handbuch.

Wir haben mit dem BR und internationalen Recherche-Partnern die Apps aus dem Datensatz auf Verbindungen zu Eskimi untersucht. Die Datenanalyse zeigt, dass Eskimi für viele der Apps kein Unbekannter ist, sondern ein potenzieller Geschäftspartner.

Hierfür haben wir, sofern auffindbar, die zu den Apps gehörigen sogenannten app-ads.txt-Dateien unter die Lupe genommen. Darin notieren App-Anbieter, welche Unternehmen autorisiert sind, Werbeplätze in dieser App zu verkaufen. Aus der Datei geht nicht hervor, ob diese Angaben korrekt oder aktuell sind; ob das genannte Unternehmen wirklich Werbeplätze verkauft.

Der Analyse zufolge ist Eskimi in 22.000 der insgesamt gut 26.500 von uns untersuchen app-ads.txt-Dateien gelistet. Das heißt: Bei sehr vielen Apps aus unserem Datensatz lässt sich auf diesem Weg eine mutmaßliche Verbindung zu Eskimi nachweisen.

Allerdings tauchen in den von uns untersuchten Dateien auch Dutzende weitere Unternehmen auf. Noch häufiger als Eskimi sind das etwa Google oder Microsofts Werbe-Firma Xandr. Es ist also möglich, dass Eskimi lediglich ein weit verbreiteter Werbepartner ist – ohne dabei Daten zum Weiterverkauf auszuleiten.

Es gibt noch einen Hinweis auf eine Verbindung zwischen unserem App-Datensatz und Eskimi. Ein Post in einem Entwickler-Forum beschreibt einen Datensatz, der laut Tabellenname von Eskimi stamme. Dieser mutmaßliche Eskimi-Datensatz hat die gleiche Struktur wie unser App-Datensatz. Das heißt, es gibt eine identische Ordnerstruktur, Reihenfolge und Bezeichnungen für Datenpunkte wie beispielsweise Werbe-ID, Gerätemodell, Zeitstempel und so weiter.

Einen klaren Beleg stellen diese Hinweise jedoch nicht dar. Eskimi-CEO Paukstys bestreitet, der Datastream Group Daten geschickt zu haben oder gar ein Databroker zu sein. Allerdings hat Eskimi enge Beziehungen zu einem weiteren Unternehmen, das durchaus offen als Databroker auftritt.

Die Redmob-Connection

So hat Eskimi enge Verbindungen zu einem Databroker, der etwa auf seiner Website offen Datensätze mit unter anderem Standortdaten und Werbe-IDs zum Verkauf anbietet: Redmob. Laut Website sprudeln mehr als 293 Milliarden Daten-Signale in Echtzeit aus mehr als 50 Datenquellen. Das massive Datenvolumen, mit dem Redmob hantiere, habe ein „beispielloses Ausmaß“.

Das Spitzenpersonal von Redmob und Eskimi besteht teils aus denselben Menschen. Der Gründer von Redmob ist beispielsweise zugleich CEO von Eskimi: Vytautas Paukstys. Wer Fragen zum Datenschutz bei Redmob hat, soll sich laut Website direkt an Eskimi wenden.

Vytautas Paukstys hat unsere Fragen in Bezug auf Eskimi und Redmob gesammelt beantwortet – geschrieben von einer Redmob-E-Mail-Adresse. Allerdings ist er in seiner Antwort nicht inhaltlich auf Redmob eingegangen, sondern nur auf Eskimi. Einen Sitz in der EU hat Redmob nicht: Der auf der Homepage notierte Firmensitz änderte sich vergangenes Jahr von Singapur zu Dubai.

Inhalte verschwinden von Redmob-Website

Auch auf dem Datenmarktplatz Datarade bot Redmob bis vor Kurzem noch Daten aus dem Real Time Bidding an. Laut Angebot ging es um 1,5 Milliarden Nutzer*innen, Kostenpunkt: 50.000 US-Dollar im Jahr. Das Angebot verschwand, nachdem wir Datarade darauf hingewiesen haben. Der Datenmarktplatz teilt mit: „Die Hinweise zum Unternehmen Redmob haben wir umgehend geprüft und die angebotenen Inhalte wurden vom Datenanbieter entfernt.“ Als Grund nennt Datarade, dass personenbezogene Daten bei ihnen „nur in aggregierter und anonymisierter Form“ angeboten werden dürften.

Das besondere an Redmobs Datarade-Angebot: Daten aus der EU standen ausdrücklich nicht zum Verkauf. Auch die eingefärbte Weltkarte auf der Redmob-Website spart die EU aus. Warum?

Das schien auch andere zu wundern. Es war laut Redmob-Website bis vor Kurzem eine FAQ, also eine „häufig gestellte Frage“. Die Antwort: „Leider bieten wir keine Daten aus der EU. Nimm trotzdem Kontakt auf, sodass wir deine Geschäftsinteressen besser verstehen können.“

Gerade der letzte Satz irritiert. Wenn Redmob keine Daten aus der EU anbietet, wieso sollte man dennoch Kontakt aufnehmen? Diese Frage hat uns Redmob-Chef Paukstys nicht beantwortet. Nach unserer Anfrage verschwand dieser Satz jedoch aus den FAQ. Zudem verschwanden mehrere Erwähnungen von Standortdaten von der Redmob-Homepage.

Möglicherweise ist Redmob zumindest in der Lage, auf Daten aus der EU zuzugreifen. So heißt es auf einer bei Eskimi verfügbaren Infoseite, Redmob erhalte Daten aus dem Real Time Bidding unter Einhaltung der DSGVO, also der EU-Datenschutzgesetze.

Das sagt die Datenschutzbehörde

Wir erinnern uns: Das Dementi in der E-Mail von Vytautas Paukstys bezog sich nur auf Eskimi, nicht jedoch auf Redmob. Deshalb haben wir nochmal nachgehakt: Hatte etwa Redmob Geschäftsbeziehungen zur Datastream Group; hat es Daten von EU-Nutzer*innen gesammelt und verkauft?

In seiner Antwort-E-Mail ging Paukstys darauf nicht inhaltlich ein, sondern verwies auf sein voriges Statement. Zudem sei die Struktur des App-Datensatzes bei Redmob unbekannt.

Es bleiben also offene Fragen rund um Redmob und Eskimi. Durch seinen Sitz innerhalb der EU ist Eskimi für europäische Datenschutzbehörden deutlich einfacher zu erreichen als etwa Unternehmen im EU-Ausland. Wir haben deshalb die litauische Datenschutzbehörde um Einschätzung gebeten. Wie eine Sprecherin mitteilt, habe es bisher keine Beschwerden über Eskimi gegeben und entsprechend auch keine Verfahren. Weitere Einschätzungen könne die Aufsichtsbehörde derzeit nicht geben, da sie sich zunächst ein Bild der Lage mache.

Hier geht es zu unserer Expedition in den Dschungel der Databroker. Hier berichten wir, wie die Datenschutzaufsicht in Folge unserer Recherchen nun Wetter Online ins Visier nimmt. Und hier sind alle unsere Veröffentlichungen zu den Databroker Files.