Diese Recherche entstand in Kooperation mit NRK (Team: Julie Helene Günther, Martin Gundersen). Team netzpolitik.org: Anna Biselli. Sie ist zugleich Teil der „Databroker Files“.
Er wollte herausfinden, ob er wirklich nur auf Frauen steht. „Den Zeh ins Wasser halten“, sagt er. Deshalb habe er sich Grindr heruntergeladen, für kurze Zeit. Sich in irgendeiner Weise zu outen, das hatte er nicht vor.
Und dann melden sich eines Tages Journalist*innen des Norwegischen Rundfunks NRK und wollen mit ihm über die Grindr-App auf seinem Handy sprechen; eine Dating-App für Männer, die Sex mit Männern haben. „Typisch“, sagt er dazu. „Immer habe ich Pech.“ Seinen Namen oder sein Foto möchte er lieber nicht in den Nachrichtenmedien sehen.
Die Geschichte des nicht geouteten Grindr-Nutzers aus Norwegen ist nur eine von potenziell Tausenden Geschichten aus unseren Recherchen zu den Databroker Files, die den unkontrollierten Datenhandel der Werbeindustrie sichtbar machen. Sie ist besonders, weil sie zeigt, wie angeblich nur zu Werbezwecken erhobene Daten Menschen durchleuchtbar machen – und zwar dort, wo sie besonders vulnerabel sind.
380 Millionen Standortdaten, 40.000 Apps
Grundlage der Recherche ist ein Datensatz, über den wir erstmals im Januar dieses Jahres berichtet haben. Er beinhaltet rund 380 Millionen Standortdaten aus 137 Ländern; rund 40.000 Apps sind betroffen. Verknüpft sind die Standortdaten mit weiteren Angaben wie Zeitstempel, Geräte-Modell, Betriebssystem und Werbe-ID. Diese sogenannten Mobile Advertising IDs sind einzigartige Kennungen, die einzelne Handys identifizierbar machen.
Wir haben den Datensatz von einem US-amerikanischen Databroker erhalten, als Gratis-Vorschau für ein Monatsabo mit tagesaktuellen Daten. Solche Daten stammen aus der Werbeindustrie: gesammelt zu Werbezwecken, verkauft als Massenware.
Die im Datensatz vertretenen Apps kommen aus vielen Bereichen, zum Beispiel Spiele, Wetter oder Dating. Über die verschlungenen Wege solcher Daten im Ökosystem der Datenhändler berichten wir ausführlich in unserem Stück „Im Dschungel der Datenhändler“.
Unsere bisherigen Recherchen mit dem Bayerischen Rundfunk haben gezeigt: Der offene Handel mit Handy-Standortdaten ist eine Gefahr für Privatsphäre und nationale Sicherheit. In unseren Artikeln über die „Databroker Files“ haben wir verschiedene Risiko-Szenarien beschrieben, unter anderem wie sich mithilfe solcher Standortdaten Stützpunkte des Militärs ausspähen lassen.
Noch nicht näher berichtet haben wir darüber, wie solche Handy-Daten queere Menschen exponieren und outen können. Das ist besonders gefährlich in Ländern, in denen Homosexualität unter Strafe steht und verfolgt wird. Die von Databrokern verkauften Datenpakete können verraten, auf welchem Gerät eine queere Dating-App installiert ist – und die verknüpften Standortdaten können direkt zu der Person führen, die dieses Gerät nutzt.
Eine einzige App genügt
Um das Szenario auch in der Praxis nachvollziehen zu können, hat sich das Recherche-Team auf die Suche gemacht. Wenn genug Daten vorliegen, lassen sich Menschen mithilfe von Handy-Standortdaten identifizieren. Bei einem anderen Datensatz aus Deutschland ist uns das bereits mehrfach gelungen, wie wir im Sommer 2024 berichtet haben: Gehäufte Handy-Ortungen führten uns zu Privatadressen und offenbarten unter anderem die Arbeitsplätze der getrackten Personen. Das war auch deshalb möglich, weil in jenem Datensatz viele genaue Standortdaten waren, die offenbar über mehrere Monate angesammelt wurden. Hinweise auf genutzte Apps gab es dort allerdings nicht.
Im Datensatz, von dem dieser Bericht handelt, gibt es dagegen solche Hinweise auf genutzte Apps. Zu den queeren Dating-Apps Grindr und Hornet fanden sich jeweils mehrere Tausend verschiedene Werbe-IDs.
Die Suche nach Betroffenen ist in diesem Datensatz jedoch schwieriger. Die Standortdaten sind nämlich nur auf einen Tag datiert. Für viele Apps liegen nur grobe Geo-Koordinaten vor, die offenbar aus IP-Adressen abgeleitet wurden. Wo genau ein Mensch wohnt, lässt sich aus IP-basierten Ortungen schwerlich ableiten.
In Deutschland konnten wir mithilfe dieses Datensatzes keine Nutzer*innen queerer Dating-Apps identifizieren. Grindr selbst teilt nach eigenen Angaben keine präzisen Standortdaten, das sehen wir auch so in den Daten. Dennoch konnten unsere Recherchepartner des öffentlich-rechtlichen Senders NRK aus Norwegen einen Gindr-Nutzer finden, und zwar über einen kleinen Umweg.
Neuer Datensatz enthüllt 40.000 Apps hinter Standort-Tracking
Zu seiner Werbe-ID fanden sich im Datensatz mehrere Einträge. Da waren zunächst ungenaue Standortdaten, verknüpft mit dem Hinweis auf die Nutzung von Grindr. Allein anhand dieser Standorte wäre seine Wohnadresse nicht auffindbar gewesen; dafür waren sie zu ungenau. Zur selben Werbe-ID lagen allerdings im selben Datensatz auch genauere Standortdaten vor, verknüpft mit der Messaging-App Kik. Die Kolleg*innen folgten der Spur dieser Handy-Ortungen zu einer Adresse – und wurden fündig.
Das Szenario zeigt die Gefahr des Standort-Trackings durch Handy-Apps. Im konkreten Fall war es also nicht eine queere Dating-App allein, die den Nutzer auffindbar gemacht hat. Hinzu kamen genauere Standortdaten aus einer anderen App. Durch die einzigartige Werbe-ID lassen sich allerdings Informationen über mehrere Quellen hinweg kinderleicht verknüpfen. Es genügt im Zweifel eine einzige App, um eine Person angreifbar zu machen. Die Betreiberfirma des Messengers Kik hat auf Anfragen des Recherche-Teams nicht reagiert.
Behörden arbeiten mit Lockvogel-Methoden
In Norwegen ist Homosexualität nicht kriminalisiert. In unserem Datensatz fanden sich allerdings auch Handy-Ortungen von mutmaßlichen Nutzer*innen queerer Dating-Apps aus den Vereinigten Arabischen Emiraten, Katar und Saudi-Arabien – also aus Ländern, in denen Homosexualität unter Strafe steht.
Aus diesen vereinzelten Ortungen konnten wir allerdings keine Bewegungsprofile ablesen. Die nur auf einen Tag datierten Standortdaten aus dem Probe-Datensatz waren dafür nicht ausreichend. Mit noch mehr Daten, etwa durch ein kostenpflichtiges Abo bei einem Databroker, dürften sich jedoch in vielen Ländern Menschen aufspüren lassen, die queere Dating-Apps nutzen.
Gefährdet der Handel mit Werbedaten also queere Menschen? Zumindest theoretisch ist das denkbar. Outing durch Standortdaten der Werbe-Industrie ist ein Risiko, das weder unter- noch überschätzt werden sollte. So setzen Databroker oftmals auf Masse statt Klasse. Ihre Daten können teils veraltet oder fehlerhaft sein, wie unsere bisherigen Recherchen gezeigt haben.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese sind nur möglich durch eure Unterstützung.
Wenn menschenfeindlich agierende Polizeibehörden also homosexuelle Menschen verfolgen möchten, haben sie möglicherweise effizientere Wege. Wie der Guardian und die BBC berichten, nutzen beispielsweise Behörden in Katar oder Ägypten Lockvogelmethoden. Sie bahnen unter gefälschter Identität auf queeren Plattformen Dates mit Zielpersonen an, um ihnen eine Falle zu stellen.
Ein anderes Beispiel zeigt jedoch, dass Handy-Daten der Werbeindustrie durchaus für Behörden interessant sein können, um gezielt Menschen zu verfolgen. Bereits vor der Machtübernahme durch die rechtsradikale Trump-Regierung kauften US-Behörden Handy-Standortdaten, um damit Migrant*innen zu verfolgen. Dass solche Daten teilweise falsch sein können, macht sie noch gefährlicher. Denn so können zusätzlich Unbeteiligte ins Visier der Behörden geraten.
Datenhändler will keine Standortdaten mehr verkaufen
Der Datensatz, auf dem diese Recherche basiert, stammte vom US-Händler Datastream Group, der inzwischen unter dem Namen Datasys operiert. Über einen Anwalt teilt das Unternehmen mit, lediglich als Vermittler agiert zu haben; an der Erstellung des Datensatzes sei es nicht beteiligt gewesen.
Rückschlüsse auf bestimmte Personen oder Gruppen wie etwa queere Nutzer*innen zu ziehen, entspreche nicht den Praktiken des Unternehmens. Den Handel mit Standortdaten habe der Databroker inzwischen beendet. Auf Englisch teilt der Anwalt mit:
Um jeglichen potenziellen Missbrauch, die unrechtmäßige Aneignung oder unbefugte Nutzung der Daten durch Dritte zu vermeiden, hat die Datastream Group Verkauf und Lizenzierung von Geolokalisierungsdaten dauerhaft eingestellt.
Grindr: „Wir können es nicht kontrollieren“
Offenbar sind sich auch App-Anbieter bewusst, dass Daten der Werbeindustrie ihre Nutzer*innen gefährden können. Davon zeugen ihre Antworten auf unsere Presseanfragen.
Hornet-CEO Christof Wittig schrieb uns bereits im Januar, dass Hornet unter keinen Umständen absichtlich echte Geodaten teile. Aber: „Wir können die Möglichkeit nicht vollständig ausschließen, dass Werbenetzwerke von Drittanbietern Daten ohne unsere Kenntnis oder Zustimmung weitergegeben haben könnten.“
Damals kündigte Wittig eine Untersuchung an, um herauszufinden, wie es sein kann, dass unser Datensatz teils genaue Standortdaten potenzieller Hornet-Nutzer*innen enthält – bislang wohl ohne Ergebnis. Auf Anfrage von netzpolitik.org schreibt Wittig: „Leider haben wir zum jetzigen Zeitpunkt keine weiteren Erkenntnisse oder Anmerkungen.“
Grindr schickte auf Anfrage des Recherche-Teams eine englischsprachige Antwort der Leiterin für Datenschutz, Kelly Peterson: „Wir teilen keine genauen Standortdaten mit Werbepartnern.“ Bis vor fünf Jahren habe Grindr das allerdings getan, so Peterson.
Beim Ausspielen von Werbe-Anzeigen könne Grindr etwa IP-Adresse und Geräte-Infos weitergeben, schreibt Peterson weiter. Das ist plausibel, denn solche Daten fallen an, wenn Apps freie Werbeplätze an Drittanbieter versteigern; das nennt sich Real Time Bidding. Genau solche Daten dürften auch den uns vorliegenden Datensatz gespeist haben.
Offenbar weiß auch Grindr, dass dieser Datenfluss nicht immer harmlos ist. Denn Peterson erklärt: In Ländern, wo queere Menschen kriminalisiert und verfolgt würden, schalte Grindr keine Werbung über Drittanbieter. Ein Schutzniveau, von dem nicht alle Grindr-Nutzer*innen profitieren können.
Mit Blick auf das konkrete Szenario, das NRK zum norwegischen Grindr-Nutzer führte, schreibt Peterson: „Wir können es nicht kontrollieren, wenn bösartige Akteure versuchen, unsere Nutzer durch die Kombination von Werbe-IDs mit Daten aus anderen Quellen zu identifizieren.“
Keine Datenerhebung, kein Kontrollverlust
Kontrollverlust ist ein zentraler Begriff, wenn es um Daten der Werbeindustrie geht. Weder die beteiligten Unternehmen noch die Nutzer*innen selbst haben den Überblick, welche Daten wohin fließen. Von einem informierten, freiwilligen Einverständnis in die Datenverarbeitung, das in diesem Kontext etwa die Datenschutzgrundverordnung (DSGVO) vorsieht, kann oftmals keine Rede sein. Die Bemühungen von Datenschutzbehörden laufen oftmals ins Leere. Sie arbeiten sich in teils jahrelangen Verfahren an Einzelfällen ab. Aber das Problem ist strukturell; und das Geschäft mit den Daten geht einfach weiter.
Aus diesem Grund fordern Fachstellen wie der Verbraucherzentrale Bundesverband grundlegende Änderungen, und zwar das Verbot von Tracking und Profilbildung zu Werbezwecken. Wenn solche Daten gar nicht erst erhoben werden – auch nicht zu Werbezwecken – dann können sie auch nicht bei Datenhändlern landen.
Der Ball liegt bei der EU, die etwa mit dem geplanten Digital Fairness Act Rechtslücken für Verbraucher*innen im Netz schließen möchte. Solange es keine politischen Lösungen gibt, sind Nutzer*innen auf digitale Selbstverteidigung angewiesen. Hier haben wir aufgeschrieben, wie man den eigenen Standort vor Datenbrokern schützen kann.
Die Windscribe VPN APP hat eine Funktion um GPS Daten zu faken… Leider nur für zahlende Kunden. Funktioniert, bekomme jetzt Werbung in Japanisch angezeigt :)
Vielleicht wäre es mal ein spannendes OpenSource Projekt eine APP zu entwickeln OpenSource, Kostenfrei die nur Datenmüll produziert und dann an die Tracker sendet anstatt der echten Daten. Also quasi das abfängt, ändert was anderes reinsetzt. Auch bei Cookies. Damit Anonymisierung dann eben bedeutet das die Tracker im Datenmüll ertrinken.
Wäre ja eine Art des Protestes !
In einem geopolitisch adversarialen Umfeld lässt man…
– die Hosen runter?
– die Fluttore offen?
– flächendeckendes Tracking auf die Person genau zu?
Weder klug noch überraschend.