Databroker FilesIm Dschungel der Datenhändler

In Massen verkaufen Databroker Handy-Daten von Millionen Menschen, darunter genaue Standorte. Warum sprudeln die Daten immer weiter? Mit internationalen Recherche-Partnern decken wir ein raffiniertes System auf, in dem die Beteiligten die Verantwortung von sich weisen – sodass alle kassieren und niemand haftet.

- , - in Datenschutz - keine Ergänzungen
Ein junger Vogel reißt den Schnabel auf. Eine Pinzette hält eine geflügelte Standort-Stecknadel und führt sie dem Schlund des Vogels zu.
Geschluckt. (Symbolbild) – Nebel: Vecteezy. Vogel, Pinzette, Flora: Pixabay; Montage: netzpolitik.org

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande),  Le Monde (Frankreich), NRK (Norwegen), SRF/RTS (Schweiz), 404 Media, WIRED (USA). Sie ist zugleich Teil der „Databroker Files“.

Wenn Satellitenbilder die Welt von oben zeigen, dann offenbaren Handy-Standortdaten, wie sich Menschen in dieser Welt bewegen. Kleine Punkte, die Autostraßen oder Fußwege entlangfließen und sich in Gebäuden häufen. Sie offenbaren, wo wir wohnen und arbeiten, wo wir zur Therapie gehen oder Drogen kaufen.

Angeblich nur zu Werbezwecken erhoben, fließen die Daten über Apps an Datenhändler. Sie schnüren sie zu Paketen mit mehreren Milliarden Einträgen und verkaufen sie weiter – an alle, die danach fragen. In unseren vorigen Recherchen haben wir aufgedeckt, wie Standortdaten die genauen Bewegungsprofile von Millionen Menschen sichtbar machen, sogar die nationale Sicherheit gefährden und die Nutzer*innen von Zehntausenden Apps exponieren.

Fachleute aus Politik und Verbraucherschutz, aus Aufsichtsbehörden und Zivilgesellschaft äußerten sich schockiert. Unter anderem das Verbraucherschutzministerium forderte deshalb, den Datenhahn ganz abzudrehen, und zwar mit einem Verbot von Tracking und Profilbildung zu Werbezwecken.

Ohne ein solches Verbot kratzen die Mühen von Politik und Aufsichtsbehörden bloß an der Oberfläche. Denn hinter dem Geschäft der Databroker steckt ein verzweigtes Ökosystem. Mit trüben Datenströmen, faulen Transparenz-Labels und einem Dickicht aus eng verschlungenen Unternehmen. Es ist wie ein Dschungel, in dessen Schatten sich Unternehmen eingenistet haben. Sie verschlingen die Daten von nichts ahnenden Nutzer*innen und machen sie zu Geld – zum Leidwesen unserer Grundrechte auf Privatsphäre und Datenschutz.

In neuen Teil unserer Recherchen zu den Databroker Files bahnen wir uns einen Weg durch diesen Dschungel. Wir enthüllen ein System, in dem sich die Verantwortung für Datenschutz-Verstöße so lange verzweigt, bis scheinbar niemand mehr zur Rechenschaft gezogen werden kann. Kontrollverlust per Design. Und wir decken auf, wer Milliarden präzise Standortdaten aus Deutschland verkauft haben könnte: mutmaßlich ein Unternehmen aus der EU.

Die Recherche entstand über mehrere Monate mit Partnern aus sechs Ländern. Wir veröffentlichen die Ergebnisse mit dem Bayerischen Rundfunk, Le Monde (Frankreich), SRF/RTS (Schweiz), NRK (Norwegen), BNR Nieuwsradio (Niederlande), WIRED und 404 Media (USA).

40.000 Apps und der Beginn einer Reise

Anlass für unsere Expedition in den Dschungel der Databroker ist ein Datensatz, den wir gratis von einem US-Datenhändler erhalten haben, als Vorschau für ein kostenpflichtiges Abonnement. Mehr über den Datensatz steht in unserem Bericht von Mitte Januar. Es geht um 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 47 Millionen Werbe-IDs und rund 40.000 Apps.

Fachleute sind sich einig: Diesen Datensatz dürfte es laut Datenschutzgrundverordnung (DSGVO) nicht geben. Erst recht nicht als Kostprobe, die ein Datenhändler ohne nähere Prüfung an Interessierte verschenkt.

Auf den ersten Blick könnte man meinen, die Suche nach den Verantwortlichen hinter dem Datensatz wäre leicht: Immerhin stehen darin die Namen von 40.000 Apps. Und wer, wenn nicht die Menschen hinter diesen Apps müssten wissen, wohin die Daten ihrer Nutzer*innen geflossen sind? Aber so einfach ist es nicht.

Wir haben Dutzende Stellen gefragt, welche Wege die uns vorliegenden Daten zurückgelegt haben, darunter die App-Anbieter selbst, Werbe-Firmen und Branchen-Insider, Privacy-Forscher*innen und Fachjurist*innen. Aber genau erklären konnte oder wollte uns das niemand.

Kein Wunder, denn während wir meist werbefinanzierte Apps benutzen, fließen unsere Daten – automatisch – an Hunderte oder gar Tausende Akteure auf einmal. Wie viele genau, das ist für niemanden nachvollziehbar. Unter ihnen bräuchte es nur ein einziges Unternehmen, das sich nicht an die Regeln hält und die angeblich nur für Werbezwecke erfassten Daten zweckentfremdet – und zur Handelsware macht.

Für App-Anbieter heißt das: Sie wissen oft selbst nicht, warum Standortdaten ihrer Nutzer*innen ausgerechnet im uns vorliegenden Datensatz auftauchen. Es gibt einfach zu viele Wege in den Schlund der Databroker. Die wichtigsten werden wir in den nächsten Kapiteln beschreiben. Jedes Kapitel führt uns ein Stück tiefer in den Dschungel der Datenhändler.

Datenorgien unter Databrokern

Eine Expedition im Dschungel beginnt oft damit, dass man sich langsam per Hubschrauber nähert und das Ökosystem von oben betrachtet. So ähnlich machen wir das auch mit dem Dschungel der Databroker.

Schon beim Überfliegen der Datenschutzerklärungen bekannter Apps zeigt sich: Potenzielle Datensammler sprießen an jeder Ecke. Viele Apps nennen Dutzende bis Hunderte „Werbepartner“, an die Daten fließen können. Die Branche wuchert üppig.

Viele Databroker schöpfen die Daten aber nicht selbst ab, sondern erhalten sie wiederum von anderen Databrokern. Auf dem Weg von Broker zu Broker werden Daten aus allerlei Quellen miteinander verrührt. So entstehen riesige Pakete mit oftmals unklarer Herkunft – und unklarer Qualität.

Denn Databroker verpassen älteren Datensätzen aktuelle Zeitstempel, um sie wieder als neue, heiße Ware zu verkaufen. Auf diese Weise geraten Datensätze immer wieder aufs Neue in Umlauf. Die Pakete blähen sich auf, aus Milliarden Einträgen werden Multi-Milliarden. Dieses Phänomen beschrieben uns nicht nur mehrere Fachleute, wir konnten es auch selbst anhand der uns vorliegenden Datensätze beobachten. Zum Beispiel berichteten mehrere von uns identifizierte Nutzer*innen: Ja, ihr Handy wurde korrekt geortet, aber die Standortdaten sind älter als der Zeitstempel behauptet.

Der norwegisch-US-amerikanische Datenhändler Unacast hat in Reaktion auf dieses Phänomen sein Geschäftsmodell angepasst. Unacast verspricht, diese aufgeblähten Datensätze wieder kleinzurechnen, indem das Unternehmen Duplikate erkennt und filtert.

Wo genau die Daten einst herkamen, das interessiert an dieser Stelle längst niemanden mehr. Mehr noch: Wie Unacast beschreibt, schließen Databroker oft Verträge, die das Offenlegen ihrer Quellen untersagen. Auch mehrere Databroker, mit denen wir in der Rolle potenzieller Kund*innen sprachen, konnten oder wollten uns ihre Quellen nicht offenlegen.

Erschwerend kommt hinzu, dass Databroker ständig ihre Namen ändern, fusionieren oder verkauft werden. Unacast selbst fusionierte mit dem kürzlich gehackten Gravy Analytics, das wiederum über die Tochter Venntel US-Behörden belieferte. Mitten während unserer Recherche änderte unser eigener Datenlieferant, die Datastream Group aus den USA, ihren Namen zu Datasys.

Mit etwas Abstand und von oben erscheint das Ökosystem der Databroker wie ein blickdichter Dschungel. Alles scheint miteinander verwachsen. Auf der Suche nach sprudelnden Standortdaten müssen wir näher heran, unters Blätterdach – und schauen zunächst auf die Apps selbst.

Die Apps führen in den Dschungel

Die Apps sind das erste, das man sieht, wenn man den Dschungel der Databroker betritt – wie die ersten Bäume am Waldrand. Von ihnen gibt es Hunderttausende, die unser digitales Leben gestalten. Spiele und Dating, Wetter- und ToDo-Apps, soziale Medien und Kalender, Wecker und Taschenlampen.

Viele von ihnen fragen uns mehr oder weniger offen, ob sie unsere Daten haben können. Teils für Werbezwecke; teils, weil die Apps solche Daten zum Funktionieren brauchen. Eine Navigations-App ohne Standort-Zugriff wäre zum Beispiel wenig nützlich. In den App-Marktplätzen von Google und Apple sollen übersichtliche Transparenz-Labels anzeigen, welche Daten eine App wofür absaugen möchte. Eine ausführliche Datenschutzerklärung bekommen Nutzer*innen oftmals vorgesetzt, wenn sie die App einrichten.

Für das Datenschutzrecht ist das ein entscheidender Moment: Hier wird die Rechtsgrundlage zur Datenverarbeitung geschaffen. Bei Apps, die Daten für Werbezwecke sammeln wollen, ist das typischerweise die freiwillige und informierte Einwilligung. Ganz so freiwillig geschieht diese Einwilligung aber nicht immer, denn viele Apps bieten keine datensparsame Alternative an. Entweder man tippt auf „Akzeptieren“ und gewährt damit Zugriff auf die eigenen Daten – oder man lehnt die Anfrage ab und kann die App nicht nutzen. Gerade bei weit verbreiteten Apps kann der soziale Druck hoch sein, und viele wollen auf die digitale Teilhabe nicht verzichten. Auch informiert dürfte die Einwilligung kaum sein. Wie nicht zuletzt unsere Recherchen zeigen, können Nutzer*innen nicht überblicken, was mit ihren Daten passiert.

Die Motivation hinter der Datensammelei für Werbezwecke lautet ganz einfach: Geld.

Texttafel mit Text: Schon wieder Databroker Files! Wir lassen nicht locker und enthüllen weitere Akteure. Nur möglich dank deiner Unterstützung. Spende jetzt.

Mithilfe personenbezogener Daten lässt sich nämlich personenbezogene Werbung ausspielen. Für Werbung lassen Unternehmen weltweit jährlich Milliarden fließen. Wer eine App anbietet, entscheidet selbst, ob auch die eigene App unter die Datensammler geht – oder ob sie sich anders finanziert, etwa durch Abos, einmalige Zahlung oder Spenden. Auch wenn App-Anbieter keine Kontrolle haben, was mit den Daten ihrer Nutzer*innen passiert: Sie tragen die Verantwortung, ob die Daten überhaupt erfasst werden.

Denn oft ist es nicht so, dass App-Anbieter*innen die Daten ihrer Nutzer*innnen eigenhändig sammeln oder auf ihrem Bildschirm betrachten können. Der Datenabfluss geschieht häufig durch Dritte. Diese Arbeitsteilung wird erst sichtbar, wenn man sich eine App genau anschaut. Und damit dringen wir schon ein Stück tiefer in den Dschungel der Databroker vor.

Datenabfluss über SDKs

Eng mit Apps verwachsen sind oftmals sogenannte SDKs. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen. SDKs können alle möglichen Funktionen erfüllen, auch harmlose und für Nutzer*innen nützliche wie etwa das Abwickeln von Zahlungen. An SDKs kommt man nicht vorbei, wenn man eine App anbieten möchte. SDKs können aber auch sensible Daten wie GPS-Koordinaten erfassen und direkt an Dritte weiterleiten. Manche Entwickler*innen nutzen das bewusst, um damit Geld zu verdienen.

Mehrere Entwickler und Branchen-Insider betonen im Gespräch mit uns: SDKs sind fremde Software. Wer die Daten von Nutzer*innen schützen will, müsste genau prüfen, ob diese SDKs wirklich tun, was sie versprechen. Manche würden selbst dann personenbezogene Daten an Dritte funken, wenn das nicht gewünscht ist. Durch Updates kann sich das Verhalten der SDKs zudem ständig ändern. Bloß, welche App-Betreiber*innen prüfen schon immer gründlich ihre SDKs? Gerade bei nicht quelloffener Software ist das nicht ohne Weiteres möglich.

Im Sommer 2024 berichteten wir über einen Datensatz mit 3,6 Milliarden alarmierend genauen Standortdaten von Millionen Handys aus Deutschland. Vieles spricht dafür, dass diese Daten über SDKs abgeflossen sind.

Datenabfluss über Real Time Bidding

Etwas schwerer zu greifen als SDKs ist das sogenannte Real Time Bidding (RTB). Das ist eine Auktion um unsere Aufmerksamkeit. So ziemlich alle, die ein Handy nutzen, waren daran schon beteiligt – ohne es zu merken. Denn die Auktion passiert im Hintergrund.

Welches Unternehmen setzt uns Werbung vor die Nase, wenn wir eine App öffnen? Darüber entscheiden die Gebote („bidding“) dieser Auktion. Alles geschieht automatisiert innerhalb von Millisekunden – in „real time“.

Bei der Auktion stehen freie Werbeplätze zum Verkauf, zum Beispiel in unserer App. Die Akteure, die diese Werbeplätze im Auftrag der Apps anbieten, heißen SSPs („Supply-side platforms“) oder auch Exchanges, Marktplätze. Die Gebote für diese Auktion kommen von Akteuren, die im Auftrag von Unternehmen Werbung verbreiten wollen. Sie heißen DSPs („Demand-side platforms“).

Damit die Auktion stattfinden kann, funkt die App zuerst ein Infopaket über uns an eine oder mehrere SSPs. Das Infopaket enthält die sogenannten Bidstream-Daten, darunter die einzigartige Werbe-ID unseres Geräts – eine Art Nummernschild – und unsere öffentliche IP-Adresse. Per IP-Adresse lässt sich teils auf die Region schließen, in der wir uns aufhalten. Als würde ein Auktionator rufen: „Werbeplatz in Dating-App aus Leipzig zu versteigern!“

Oft stecken uns die Beteiligten in noch feinere Kategorien, die unsere Vorlieben oder Schwächen offenbaren sollen. Im Sommer 2023 haben wir mehr als 650.000 davon aufgedeckt. Zum Beispiel „Urbane Elite“ oder „Witwen auf dem Land“. Möglich ist das, weil sie schon allerhand Daten über uns gesammelt und in Profilen gespeichert haben. Durch Identifier wie die Werbe-ID sind wir einfach wiederzuerkennen.

Zurück zur Auktion um den freien Werbeplatz: Hunderte bis Tausende DSPs bekommen das mit, wenn freie Werbeplätze versteigert werden. Sie bieten Mikro-Centbeträge, um unsere Aufmerksamkeit zu bekommen. Der Meistbietende darf seine Anzeige ausspielen.

Vielleicht ist es ein lästiger Werbeclip und wir suchen mühsam das kleine, graue Kreuzchen, um ihn zu stoppen. Zu diesem Zeitpunkt ist es bereits zu spät. Unsere Daten sind bei allen Teilnehmenden der Auktion gelandet; auch bei der Schar der Verlierer.

Wer also in großem Stil Daten abfischen möchte, macht bei dieser Auktion um Werbeplätze einfach selbst mit. Um bei den Auktionen mitzubieten, bekommen DSPs Zugriff auf den Datenstrom – und können sich daran bereichern.

Dieses Szenario haben uns mehrere Insider aus der Branche übereinstimmend beschrieben. 2020 berichtete Forbes über einen solchen Fall aus Israel. Auch Forschende der irischen Grundrechte-Organisation ICCL warnten 2023 eindringlich: Auf diese Weise lässt sich Massenüberwachung betreiben.

App-Anbieter ohne Orientierung

Vieles spricht dafür, dass der uns vorliegende Datensatz mit den 40.000 Apps aus dem Real Time Bidding stammt, zumindest vorwiegend. Ein großer Teil der Standortdaten im Datensatz geht auf IP-Adressen zurück, was für RTB typisch ist. Auch die Gestaltung der Tabellen entspricht den für RTB üblichen Standards. Es gibt zum Beispiel eigene Spalten für genutzte Geräte oder Betriebssysteme.

Wir sind bereits tiefer in den Dschungel der Databroker vorgedrungen als so manche App-Entwickler*innen. So schrieb uns ein deutscher Entwickler, er wisse leider gar nicht, wie das RTB ablaufe und welche Daten dabei berücksichtigt würden. „Sorry, dass ich da keine große Hilfe sein kann.“

Ein anderer Entwickler sagte uns: „In den ersten Jahren war meine App kostenlos und werbefrei. Dann habe ich aber gedacht: Es wäre schön, wenn man damit zumindest ein bisschen Geld verdient.“ Seine App kommt aus dem Bereich Gesundheit. Was genau unter der Haube passiert, das wisse er nicht. „Ich habe einen guten Datenschutzbeauftragten, damit ich abgesichert bin. Wenn du in deiner App Werbung ausspielst, musst du darauf vertrauen, dass die Werbepartner alles richtig machen.“

Im Datensatz mit den 40.000 Apps taucht auch die App unseres französischen Recherche-Partners Le Monde auf. Die Kolleg*innen haben sich deshalb auf die Spurensuche gemacht. Bislang ohne Ergebnis. Die Rechtsabteilung habe sich im November formell an die Datastream Group gewandt und um Aufklärung gebeten, jedoch keine Antwort erhalten. Es gebe keine direkte Verbindung zum Databroker, wie IT- und Rechtsabteilung von Le Monde bestätigten.

Im Dickicht der Datensauger

Die Recherche hat uns zu einer Gruppe von Unternehmen geführt, die gerne für sich bleiben: DSPs. Sie haben eine mächtige Position im Dickicht der Databroker. Wie die Wurzeln von Mangroven in einem Flussdelta langen die DSPs in die weltweiten Datenströme hinein und verleiben sich Daten ein. Von außen kann niemand sagen, was dann passiert: Nutzen sie diese Daten allein für die Auktion um Werbeplätze – oder verkaufen sie die Daten auch weiter? War am Ende eine einzige DSP für den Abfluss der Daten verantwortlich?

Die Branche ist intransparent. Das zeigt schon der Blick zu Google. Der Konzern führt eine ausführliche Liste mit „zertifizierten“ Anbietern aus der Werbebranche, darunter rund 540 DSPs. Auf den ersten Blick klingt das vertrauenserweckend. „Drittanbieter werden einer Unternehmensüberprüfung unterzogen“, heißt es da.

Wir haben die vollständige Liste der DSPs maschinell geprüft. Demnach war knapp ein Drittel der Seiten Anfang Februar 2025 schlicht nicht abrufbar. Insgesamt 26 Websites hatten Top-Level-Domains aus Russland, 12 aus China. Mehr als Hundert der Websites sind wir zudem händisch durchgegangen. Das Ergebnis: Selbst von den noch abrufbaren Seiten waren viele offensichtlich stark veraltet. Website-Elemente luden nicht; oft war nicht mal eine E-Mail-Adresse hinterlegt.

Warum hat Google diese Liste so schlecht gepflegt? Und was genau passiert bei der angeblichen „Unternehmensüberprüfung“? Diesen Fragen weicht Google in der Reaktion auf unsere Presseanfrage aus.

Der Konzern spricht lieber davon, dass DSPs, mit denen Google fürs Real Time Bidding direkt zusammenarbeite, regelmäßige Audits durch ein unabhängiges Unternehmen durchlaufen würden. Diese DSPs seien Teil des Programms für „autorisierte Käufer“, was nochmal etwas anderes sei als die von uns untersuchte Liste. Offenbar scheint sich Google für diese Liste selbst dann nicht zu interessieren, wenn man direkt danach fragt.

Das Schweigen der DSPs

Wir haben uns von der schwer zugänglichen Liste nicht beirren lassen. Insgesamt 52 DSPs mit noch nutzbaren Websites haben wir kontaktiert, 22 davon mit Sitz in Deutschland. Wir wollten etwa wissen: Wie viele Daten aus dem Real Time Bidding verarbeiten sie? Und verkaufen sie RTB-Daten an Datenhändler?

Die Mehrheit hat uns nicht geantwortet. Reagiert hat rund ein Fünftel. Die meisten davon haben uns jedoch nur mitgeteilt, dass sie nicht – oder nicht mehr – als DSP aktiv seien. Auch das erinnert an einen Dschungel: Wer sich durchs Dickicht schlägt, findet dort auch viele abgestorbene Pflanzen.

Letztlich hat sich nur eine einzige aktive DSP bei uns gemeldet. Die Firma mit Sitz in Deutschland verarbeite 1,8 Milliarden „Bid Requests“ am Tag. Bid Requests sind die Angebote für Online-Werbeflächen beim RTB. Die meisten dieser Anfragen kämen aus Europa, etwa 70 Prozent davon von mobilen Geräten. Ein reicher Datenstrom.

Texttafel mit Text: Schon wieder Databroker Files! Wir lassen nicht locker und enthüllen weitere Akteure. Nur möglich dank deiner Unterstützung. Spende jetzt.

Der Geschäftsführer bestätigt: In solchen Anfragen stehen unter anderem Geo-Koordinaten, Werbe-IDs, App-Namen – also genau das, was wir auch in unserem Datensatz beobachten können.

Der Geschäftsführer bestätigt außerdem, dass sich solche Daten eignen, um Bewegungsprofile zu erstellen. Das habe er vor mehreren Jahren an sich selbst getestet. Dafür habe er einfach die angefallenen Daten nach seiner eigenen Werbe-ID gefiltert – und ein genaues Bewegungsprofil seines Tages erhalten.

Selbst solche Daten an Databroker verkaufen? Das mache das deutsche Unternehmen nicht. Entsprechende Anfragen habe es allerdings mehrfach gegeben.

Welche Plattform würde auch schon offen sagen: Ja, wir sammeln und behalten die Daten, die beim Real Time Bidding fließen? Zumindest ein Unternehmen tut das auf seiner Website – und es stammt sogar aus der EU.

Eine Spur führt nach Litauen

Das Unternehmen Eskimi hat seinen Sitz in einem verglasten Bürogebäude in der litauischen Hauptstadt Vilnius. Wie viele AdTech-Unternehmen verspricht Eskimi unter anderem zielgerichtete Werbung. In einer „grundlegenden Einführung“ auf der eigenen Website legt Eskimi offen, dass es in großem Stil Daten aus dem Real Time Bidding „sammelt und speichert“. Dafür betreibe das Unternehme etwa eine eigene DSP.

Zu den von Eskimi gesammelten Daten gehörten laut Website etwa Werbe-IDs, GPS-Ortsdaten, IP-Adressen und mehr. Eskimi tut nach eigenen Angaben also das, was nötig wäre, um Pakete für Databroker zu schnüren. Für einen Moment scheint es, als hätten wir eine Lichtung im Dschungel erreicht.

Zunächst fehlte jedoch ein direkter Hinweis auf eine Verbindung zwischen Eskimi und unserem Datenlieferanten, der Datastream Group. Genau einen solchen Hinweis hat die Datastream Group selbst geliefert. Über eine Anwaltskanzlei beschwerte sich der Databroker beim demokratischen US-Senator Ron Wyden über unsere Berichterstattung mit dem US-Magazin WIRED – und schrieb, er habe einen der uns vorliegenden Datensätze von „Eskimi.com“ erhalten.

Eskimi-CEO Vytautas Paukstys bestreitet das auf Anfrage: „Jegliche Behauptungen, die Eskimi als Datenhändler darstellen, sind irreführend. Eskimi unterhält keine und hat niemals eine geschäftliche Beziehung zu Datasys/Datastream Group.“

Die Spurensuche rund um Eskimi wird uns noch in ein eigenes Kaninchenloch führen. Fürs erste lassen wir uns aber nicht vom Weg abbringen und dringen weiter vor in den Dschungel der Databroker.

Die Rolle von Google und Apple

Unser Streifzug durch die Branche hat uns bereits weit geführt, aber die Wege, über die Handy-Daten fließen können, sind noch vielfältiger.

  • Erst seit 2022 müssen Apps im Google Play Store genau offenlegen, welche Daten sie wofür erheben. Google selbst beschreibt es als „häufigen Verstoß“, dass Apps ohne Einwilligung Standortdaten erheben. Von den rund 40.000 Apps in unserem Datensatz haben laut Datenschutz-Label mehr als 2.600 Zugriff auf den genauen Standort und können ihn darüber hinaus auch mit Dritten teilen. Wer jedoch bei seinen Transparenz-Labels pfuscht, muss erst einmal erwischt werden. „Sie allein sind dafür verantwortlich, vollständige und korrekte Angaben zu machen“, schreibt Google. Die Konsequenzen könnten kaum laxer klingen: „Wenn Google eine Diskrepanz zwischen dem Verhalten Ihrer App und Ihren Angaben feststellt, ergreifen wir unter Umständen entsprechende Maßnahmen“ – unter Umständen.
  • Eine Datenanalyse von netzpolitik.org, BR und den Rechechepartnern zeigt Hunderte Fälle von unsauberen Angaben im Google Play Store. An zwei Stellen lässt sich dort nachlesen, auf welche Daten Apps zugreifen wollen. Einmal über die Berechtigungen, die etwas versteckt einsehbar sind unter: „Über diese App“ > Runterscrollen > Berechtigungen > Details ansehen. Dort ist etwa aufgelistet, ob eine App Zugriff auf den genauen Standort bekommen kann. Die zweite Stelle ist einsehbar unter „Datensicherheit“. Dort können Entwickler*innen angeben, wie ihre Apps Daten erheben, verarbeiten und weitergeben. Mindestens 756 Android-Apps aus unserem Datensatz haben Zugriff auf den genauen Standort, führen das aber nicht unter „Datensicherheit“ auf.
  • Für iOS-Apps gibt es ebenso die Pflicht zu Datenschutz-Labels. Dass man sich darauf jedoch nicht verlassen kann, zeigte 2022 eine Analyse zum Verhalten angeblich datensparsamer Apps. In einer Stichprobe kontaktierten vier von fünf dieser Apps Tracking-Domains, trotz anders lautender Labels.
  • Selbst eine datensparsame App ohne Werbung und ohne Internet-Verbindung lässt sich ausschnüffeln. Dafür braucht es nur eine andere verräterische App, die erfasst, welche sonstigen Apps ringsum installiert sind. Gerade bei älteren Android-Versionen sind die Hürden dafür niedriger. Möchte man beispielsweise eine queere Dating-App auf dem eigenen Gerät vor Databrokern geheimhalten, muss nicht nur die Dating-App selbst sicher sein, sondern auch die anderen Apps auf dem Gerät.

Was sagen Google und Apple dazu? Immerhin sind es ihre Betriebssysteme, Android und iOS, die auf den meisten Handys der Welt laufen. Es sind Google und Apple, die unseren Geräten mit ihrer Werbe-ID eine Art Nummernschild verpassen. Es sind Google und Apple, die die weltgrößten App-Marktplätze verwalten; und gerade Google gehört zu den Oligopolisten der Online-Werbung. So erhalten die beiden Konzerne das Geschäft mit personalisierter Werbung mit am Leben – beziehungsweise den Dschungel der Databroker.

Wir wollten also von Apple und Google konkret wissen, was sie dazu sagen, dass sie einen systematischen Bruch von Privatsphäre ermöglichen und davon profitieren. Beide Konzerne reagierten ausweichend.

Apple verwies darauf, dass iOS-Apps ihre Nutzer*innen nicht ohne Einwilligung tracken dürfen. Google hat auf unsere Fragen gesammelt reagiert. Am ehesten als Antwort deuten lässt sich die Aussage, dass Google-Richtlinien den Aufbau von Profilen aufgrund von Rückschlüssen über sensible Daten verbieten würden.

Kontrollverlust auf allen Ebenen

Wie tief es wohl noch in den Dschungel geht? Sehr tief. Unsere bisherigen Berichte können den Eindruck erwecken, die Überwachung steht und fällt mit der Werbe-ID am Handy. Aber das ist nicht so.

  • Auch Laptops, Fernseher, Autos und andere Internet-fähige Geräte haben Identifier. Und selbst ohne Identifier lassen sich Menschen eindeutig identifizieren, allein mithilfe von Signalen wie etwa Uhrzeit, Betriebssystem, Bildschirmauflösung, IP-Adresse. Unternehmen arbeiten längst daran, uns über alle unsere Geräte hinweg zu verfolgen. Das Ziel ist eine lückenlose Überwachung zur maximalen Personalisierung aller bespielbaren Werbeflächen, die uns begegnen. Das Buzzword dafür ist: Identity Graph. Dahinter stecken Rechenprogramme, die auf Basis von Wahrscheinlichkeiten Muster in großen Datensätzen suchen.
  • Nicht unerwähnt lassen sollten wir den Anteil gefälschter Daten, die bei Databrokern kursieren. Beim sogenannten Domain Spoofing zum Beispiel fließen Handy-Daten, die zum Teil nicht stimmen. Das ist eine Schummel-Methode beim Real Time Bidding, also der Auktion um Werbeplätze. Kaum bekannte Apps, die eigentlich keine hohen Preise für ihre Werbeplätze verlangen können, geben sich dabei als populäre Apps aus. So könnte eine halbherzig programmierte Spiele-App behaupten: „Ich bin LinkedIn, meine Werbeplätze sind viel wert!“. Damit ließe sich mehr Geld von Werbetreibenden einheimsen, die sich sonst nicht für die Werbeplätze interessiert hätten. Manche Einträge im Datenstrom des Real Time Bidding können also auch manipuliert sein und landen dennoch bei Databrokern.

Wo man auch hinschaut im Ökosystem der Werbe-Industrie, aus allen Ecken und Winkeln sprudeln, plätschern und tropfen die Daten – wie das Wasser im Dschungel. Selbst mit unseren monatelangen Recherchen zur Handy-Überwachung per Werbe-ID haben wir nur einen kleinen Teil der Branche erschlossen. Gerade bei ausgefeilteren Tracking-Methoden wie dem Identity Graph wird der Dschungel so dicht, dass wir kaum hindurchblicken können.

Wenn Aufsichtsbehörden nun wie üblich gegen einzelne Apps oder Unternehmen vorgehen, kann die Werbe-Industrie nur lachen. Das ändert nichts am Kontrollverlust auf allen Ebenen.

Das Ende der Reise

Wir beenden unsere Reise durch den Dschungel der Databroker mit der Erkenntnis: Das Ökosystem der Werbeindustrie ist sehr effektiv darin, Verantwortung zu zersetzen. Es gibt nicht einfach nur einen problematischen Akteur – vielmehr ist das ganze System das Problem.

Dieses Fazit zieht auch Datenschutz-Jurist Martin Baumann von der Wiener Verbraucherschutz-Organisation noyb. Er sagt im Interview mit netzpolitik.org und BR: „Dieses System ist nicht legal.“ Es beginne schon bei der Erhebung der Daten. Von einer informierten und freiwilligen Einwilligung könne keine Rede sein, wenn Daten an Hunderte Werbepartner fließen. „Ein Nutzer wird nie im Leben alle Werbepartner auch nur anschauen können, geschweige denn irgendwie verstehen, was das für Unternehmen sind.“ Schon hier falle das ganze Kartenhaus in sich zusammen.

Und hier kommt auch die Metapher des Dschungels an ihre Grenzen. Der Dschungel der Databroker ist eben kein natürlich gewachsenes Ökosystem wie der reale Dschungel; er ist keine Naturgewalt. Vielmehr ist es ein von Menschen gemachtes Konstrukt, das Menschen auch wieder verändern können.

Genau das fordern nicht zuletzt das Verbraucherschutzministerium und der Verbraucherzentrale Bundesverband mit einem Verbot von Tracking und Profilbildung zu Werbezwecken. Die Macht dazu hätte die EU, etwa im geplanten Digital Fairness Act.

Ministerium für Verbraucherschutz fordert EU-Gesetz

Auf dieses geplante EU-Gesetz schaut auch das Verbraucherschutzministerium. Wir haben hierzu mit Staatssekretärin Christiane Rohleder gesprochen. Mit Blick auf unsere Recherchen über Bewegungsprofile spricht sie von einer „großen Gefahr für die Gesellschaft insgesamt“. Die Daten gäben „intimste Einblicke“ und könnten „die ganze Persönlichkeit offenlegen“. Deshalb sei sie dafür, „dass man schon die Erstellung von diesen Profilen untersagt, um zu verhindern, dass solche Profile verkauft werden.“ Rohleder habe das Thema bereits in Brüssel angesprochen.

Die Forderung nach Verboten ist eine Konsequenz daraus, dass aktuelle Gesetze, allen voran die DSGVO, im Vorgehen gegen den Datenhandel offenkundig versagen. Die Akteure in der Branche geben sich alle Mühe, die Verantwortung zu diffundieren und haben damit Erfolg. Zwar bestätigen uns Fachjurist*innen und Datenschutzbehörden: Eigentlich sollte genau das nicht funktionieren. Die datenschutzrechtliche Verantwortung lässt sich nicht einfach in Luft auflösen. Im Zweifel müssten die Beteiligten gemeinsam haften; und das kann Apps ebenso treffen wie Werbeplattformen und Datenhändler.

Aber hier klaffen Theorie und Praxis auseinander. Mehr als punktuelle Erfolge gegen einzelne Akteure innerhalb der EU können Datenschutzbehörden nicht verbuchen. Doch gegen den Dschungel der Databroker erweisen sich die Behörden seit Jahren als machtlos.

Gerade deshalb sprudeln die Daten weiter, wie Datenschutzjurist Baumann analysiert. „Wenn nicht wirklich Maßnahmen drohen, die das Geschäftsmodell unattraktiv machen, dann wird das sicher weiter getrieben.“ Es sei einfach so, dass die Daten verfügbar sind. „Wenn diese Möglichkeiten bestehen und es gleichzeitig an Kontrolle mangelt, dann werden diese Möglichkeiten auch wahrgenommen.“

Hier geht es zur Spurensuche um Eskimi – dem Datensammler, der kein Datenhändler sein will. Hier berichten wir, wie die Datenschutzaufsicht in Folge unserer Recherchen nun Wetter Online ins Visier nimmt. Und hier sind alle unsere Veröffentlichungen zu den Databroker Files.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Über die Autor:in

Sebastian Meineck ist Journalist und seit 2021 Redakteur bei netzpolitik.org. Zu seinen aktuellen Schwerpunkten gehören digitale Gewalt, Databroker, KI und Jugendmedienschutz. Er interessiert sich besonders für Methoden der Online-Recherche; darüber schreibt er einen Newsletter und gibt Workshops an Universitäten. Das Medium Magazin hat ihn 2020 zu einem der Top 30 unter 30 im Journalismus gekürt. Seine Arbeit wurde zwei Mal mit dem Grimme-Online-Award prämiert.

Kontakt: E-Mail (OpenPGP), Sebastian Hinweise schicken | Sebastian für O-Töne anfragen | Mastodon

Ingo ist Journalist und Kommunikationswissenschaftler. Seit 2016 ist er Redakteur bei netzpolitik.org und u.a. Ko-Host des Podcasts Off/On. Er schreibt häufig über Datenmissbrauch und Datenschutz, Big Tech, Plattformregulierung, Transparenz, Lobbyismus, Online-Werbung, Wahlkämpfe und die Polizei. 2024 wurde er mit dem Alternativen Medienpreis und dem Grimme-Online-Award ausgezeichnet. Ingo ist Mitglied des Vereins Digitale Gesellschaft sowie der Evangelischen Kirche. Im Februar erscheint sein Buch "Digitaler Kolonialismus: Wie Tech-Konzerne und Großmächte die Welt unter sich aufteilen"

Kontakt: E-Mail (OpenPGP), Mastodon, Bluesky, FragDenStaat

Veröffentlicht 12.02.2025 um 05:00
Kategorie
Schlagworte
Weitere Artikel
Ein Fabrikgebäude mit Schornsteinen, die Datei-Ordner auspusten. Die Fabrik trägt zwei Flaggen: von der EU und von Litauen.
Datenschutz

Databroker FilesDiese EU-Firma soll Standortdaten aus Deutschland verkauft haben

Ausgerechnet ein Unternehmen aus der EU soll die präzisen Standortdaten von Millionen Menschen in Deutschland gesammelt und verkauft haben: Eskimi aus Litauen. Das Unternehmen bestreitet das. Recherchen von netzpolitik.org, BR und internationalen Partnern zeigen, welche Verbindungen Eskimi zum Geschäft mit sensiblen Daten hat.

Lesen Sie diesen Artikel: Diese EU-Firma soll Standortdaten aus Deutschland verkauft haben

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.