Databroker FilesWetter Online lässt Daten tröpfeln

Wir haben Post von Wetter Online: endlich. Nach einer Beschwerde und vielen Monaten Verzögerung soll nun eine Tabelle Auskunft darüber geben, welche Standortdaten zu einem Redakteur aus dem Recherche-Team vorliegen. Doch das Dokument lässt Fragen offen.

Ein Smartphone mit Wetter-Online-App. Aus dem Gerät kommt ein Wasserhahn. Aus dem Wasserhahn tröpfeln GPS-Daten.
Getropft (Symbolbild) – Smartphone: Pixabay; Nebel: Vecteezy; Screenshot: Wetter Online; Montage: netzpolitik.org

Diese Recherche ist Teil der „Databroker Files“. Hier geht es zu den weiteren Veröffentlichungen.


Wetter Online, eine von Deutschlands populärsten Wetter-Apps, kann nun offenbar den Aufwand bewältigen, Datenschutz-Auskunftsanfragen von Nutzer*innen nachzukommen. Vor mehr als einem Jahr hatten wir Wetter Online eine solche Anfrage gestellt. Anlass waren unsere Recherchen zu den Databroker Files. Sie zeigten, dass Unternehmen offen mit präzisen Standortdaten von Wetter-Online-Nutzer*innen handelten. Wie kann das sein?

Ein Mitglied des Recherche-Teams hatte selbst Wetter Online auf dem Handy und deshalb auf Grundlage der Datenschutzgrundverordnung (DSGVO) eine Auskunftsanfrage gestellt. Welche Daten hatte Wetter Online über ihn erfasst? Die Antwort auf eine solche Anfrage ist Pflicht, das verlangt das Gesetz. Wegen angeblich zu hohem Aufwand wollte Wetter Online dem allerdings zunächst nicht vollständig nachkommen. Nach einer Beschwerde haben wir nun erstmals Daten erhalten.

Die schlechte Nachricht: Die Aussagequalität der ausgehändigten Daten ist begrenzt. Zahlreiche Fragen bleiben offen. Aber eins nach dem anderen.

Zu viel Aufwand?

Auf Artikel 15 der DSGVO können sich alle Nutzer*innen in der EU berufen. Demnach müssen ihnen Datenverarbeiter Informationen darüber bereitstellen, wie sie deren personenbezogene Daten verarbeiten. So können Interessierte erfahren: Was genau wird über mich erhoben? Auf welcher Rechtsgrundlage? An wen werden Daten weitergegeben? Zudem können sie eine vollständige Kopie ihrer Daten anfordern.

Genau das taten wir bereits im Sommer 2024. Wetter Online kam der Anfrage damals jedoch nur teilweise nach. Das Unternehmen teilte zunächst mit, dass lediglich drei Firmen die Daten des betroffenen Redakteurs erhalten hätten. Eine Kopie könne man jedoch nicht herausgeben, weil das zu aufwendig sei. Dabei verwies Wetter Online auf veraltete Regeln im ehemaligen Bundesdatenschutzgesetz.

Wir hatten deshalb gemeinsam mit der Datenschutzorganisation noyb Beschwerde bei der zuständigen Datenschutzbehörde Nordrhein-Westfalen eingelegt und darüber im Februar 2025 berichtet. Diese Beschwerde hatte zumindest in Teilen Erfolg, denn inzwischen verweigert Wetter Online die Datenkopie nicht mehr mit Blick auf den Aufwand.

Spuren von Wetter Online bei zwei Datenhändlern

Wetter Online spielt eine besondere Rolle bei den Databroker Files, unseren Recherchen mit dem Bayerischen Rundfunk zum unkontrollierten Handel mit Standortdaten. In mehreren Artikeln hatten wir zunächst aufgedeckt, wie Datenhändler vermittelt über eine Berliner Plattform intime Daten von Millionen Menschen verkaufen. Darunter auch genaueste Standortdaten von hochrangigen deutschen Regierungsangestellten, von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdienst.

Dem Rechercheteam liegen inzwischen mehrere Datensätze mit mehreren Milliarden Standortdaten vor, inklusive Werbe-IDs, mit denen sich Handys eindeutig identifizieren lassen. In einem dieser Datensätze sind die Standortdaten zudem mit Hinweisen auf konkrete Apps verknüpft. Zu einigen der Apps konnten wir alarmierend genaue Standortdaten finden. Eine davon ist Wetter Online.

An nur einem Tag in Deutschland wurden zehntausende Nutzer*innen wohl teils auf den Meter genau geortet. Wetter Online taucht auch in einem anderen Datensatz als Quelle für Handy-Standortdaten auf: dem Leak des Datenhändler Gravy Analytics, der im Frühjahr gehackt wurde.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Nach Recherchen: Vor-Ort-Kontrolle bei Wetter Online

Alarmiert durch unsere Berichterstattung schaltete sich die Datenschutzbeauftragte Nordrhein-Westfalen ein und schaute bei Wetter Online persönlich nach dem Rechten.

„Die schnelle Vor-Ort-Kontrolle war hier besonders hilfreich, da das Unternehmen die nicht datenschutzkonforme Handhabung bestritten hatte“, schreibt Behördenchefin Bettina Gayk in einer Pressemitteilung. Der Behörde zufolge konnten die Datenschützer*innen bei ihrem Besuch feststellen, dass tatsächlich genaue Standortdaten ohne wirksame Einwilligung an Dritte weitergegeben wurden. Das habe man stoppen können.

Noch im Februar nahm Wetter Online auch für Nutzer*innen sichtbare Änderungen vor. „Wetter Online hat innerhalb der uns gesetzten Frist reagiert und nun auf Website und Apps einen Einwilligungsbanner gesetzt, der auf die Verarbeitung von GPS-Standortdaten nur für Wetterinformationen hinweist“, erklärte ein Sprecher der Datenschutzaufsicht.

Unklar blieb jedoch, an wen genau die Standortdaten der Wetter-Online-Nutzer*innen geflossen sein könnten. Wetter Online antwortete im Januar und Februar auf wiederholte Presseanfragen nicht. Umso höher waren die Erwartungen an neue Erkenntnisse durch die beantragte Datenauskunft.

Firma hat Reiseroute erfasst

In Reaktion auf die Beschwerde hat uns Wetter Online schließlich eine Tabelle mit rund 150 Zeilen zur Verfügung gestellt. Zu den erfassten Informationen gehört etwa, ob das Handy des Redakteurs mit einem WLAN verbunden war und welche Betriebssystem-Version darauf lief. Die Tabelle enthält auch auf die Sekunde genaue Zeitstempel sowie zahlreiche Ortsnamen und Postleitzahlen.

Mehrfach taucht Berlin auf, wo netzpolitik.org seinen Sitz hat. Einige Orte scheinen falsch erfasst worden zu sein, der Redakteur war dort nicht. Ablesen lässt sich jedoch eine Auslandsreise. Legt man die erfassten Postleitzahlen auf eine Karte, lassen sich Teile der tatsächlichen Reiseroute ungefähr nachvollziehen.

Was die Tabelle allerdings nicht enthält: Präzise Standortdaten, aus denen sich Bewegungen minutiös nachverfolgen lassen. Es gibt keine Hinweise auf die genaue Wohnadresse oder den Arbeitsplatz. Außerdem stehen in der Tabelle lediglich Daten eines einzigen Tracking-Unternehmens: Appsflyer. Zuvor hatte Wetter Online noch mitgeteilt, Daten an drei Tracking-Firmen weitergegeben zu haben. Und in der Datenschutzerklärung werden gar Hunderte Firmen als Werbepartner gelistet. Die Datei enthält zudem zahlreiche leere Felder.

Hat Wetter Online wirklich alle Daten vorgelegt, die erfasst wurden?

Wetter Online: Keine GPS-Daten „verkauft“

Wir haben Wetter Online per Presseanfrage um Erklärung gebeten. Das Unternehmen teilt mit: „Die Auskunft ist auf Sie bezogen vollständig.“ Mehrfach habe man geprüft, ob auch Daten zu den ursprünglich genannten Tracking-Firmen vorliegen. Es konnten jedoch keine gefunden werden, heißt es. Für die leeren Felder in der Datei gebe es technische Gründe; das heißt: Nachträglich entfernt worden sei nichts.

Alles netzpolitisch Relevante

Drei Mal pro Woche als Newsletter in deiner Inbox.

Jetzt abonnieren

Aus der Antwort geht jedoch hervor, dass Wetter Online durchaus mal mehr Daten erfasst hatte. Diese Daten würden aber nicht mehr vorliegen. „Wir haben bereits vor Ihrem Auskunftsersuchen, basierend auf Regellöschfristen, personenbezogene Daten gelöscht“, erklärt der Sprecher.

Der Wetter-Online-Sprecher äußert sich auch erstmals zur Datenschutzbeauftragten Nordrhein-Westfalen: „Die Untersuchungen laufen noch“, schreibt er. Wetter Online ist es wichtig zu betonen, dass GPS-Daten nicht an Dritte „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, betont der Sprecher. Wie genaue Handy-Standortdaten auch ohne einen direkten Verkauf an Dritte gelangt sein könnten, erklärt der Sprecher nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“

In unserem Artikel Im Dschungel der Datenhändler haben wir mehrere Wege beschrieben, wie sensible Daten von Handy-Nutzer*innen zur offenen Handelsware werden können, auch ohne dass App-Betreiber sie selbst verkaufen.

Nutzer*innen haben keine Kontrolle

Die Auskunft von Wetter Online liefert also keine lückenlose Aufklärung – schon allein, weil wir nicht wissen, welche personenbezogenen Daten Wetter Online bereits im Vorfeld durch „Regellöschfristen“ getilgt hat. Der konkrete Fall verdeutlicht ein typisches Problem beim Recht auf Datenauskunft. Betroffene können nicht genau prüfen, welche Daten Unternehmen tatsächlich über sie verarbeitet haben.

Theoretisch könnten Unternehmen also auch nach einer Auskunftsanfrage gezielt Daten löschen, um sie nicht offenlegen zu müssen. Oder ihre Antwort so lange herauszögern, bis sensible Daten durch übliche Löschfristen nicht mehr vorliegen. Betroffene wären nicht in der Lage, das nachzuweisen. Sie müssten dem Unternehmen schlicht vertrauen. Das bedeutet: Für Nutzer*innen ist die mit dem Recht auf Datenauskunft eigentlich intendierte Kontrollfunktion eine Illusion.

Abhilfe schaffen könnten hier nur Datenschutzbehörden. Mit Kontrollen vor Ort könnten sie prüfen, ob Unternehmen die Rechte von Nutzer*innen wirklich umsetzen. Allerdings ist das aufwendig und allenfalls in Einzelfällen realistisch.

So können Interessierte selbst ihre Daten anfragen

Die Hürden bei Auskunftsersuchen sollten Interessierte allerdings nicht davon abhalten, ihre Rechte einzufordern. Selbst eine möglicherweise geschönte Datenauskunft kann aufschlussreich sein.

Wer eine vollständige Datenauskunft nach Artikel 15 DSGVO erhalten will, sollte jedoch etwas Geduld einplanen. Immer wieder versuchen Unternehmen, Betroffene mit Ausreden abzuspeisen. In der Regel haben sie nur vier Wochen Zeit für die Auskunft. Nur in Ausnahmefällen mit besonderem Aufwand darf diese Frist verlängert werden.

Hilfreich ist es, einem Unternehmen möglichst direkt alle Daten zu schicken, die die Auskunft erleichtern. Dazu zählen auch Identifier wie die Mobile Advertising ID, also die einzigartige Werbe-Kennung des eigenen Handys. Wir haben im Fall von Wetter Online etwa konkrete Beispiele für besuchte Orte mitgeschickt, zu denen Standortdaten vorliegen müssten. Auch eine (teils geschwärzte) Kopie des Personalausweises kann in Einzelfällen verlangt werden.

Für Interessierte gibt es mehrere Anlaufstellen, die bei der Formulierung solcher Auskunftsanfragen helfen, etwa die Verbraucherzentralen, die deutsche Initiative datenanfragen.de oder die englischsprachige Initiative datarequests.org.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

  1. Hi, genau wegen sowas sollte man sich nur wirklich notwendige Apps installieren. Wetteronline kann man auch im Browser aufrufen und diesen entsprechend konfigurieren, dass möglichst wenig geleakt wird, z.B. muss man den Standort nicht freigeben, stattdessen trägt man den Ort selbst ein.
    Ich bilde mir nicht ein, dass Wetteronline jetzt gar nichts mehr über mich erfährt, aber dass ich irgendwo in einem Ort, oder vielleicht nur in der Nähe bin ist schon mal wesentlich unspezifischer. Außerdem müssen sie dann erst mal meine IP-Adresse oder ein anderes Merkmal mit meiner Person verknüpfen, das dürfte in den meisten Fällen deutlich aufwändiger sein…

    1. Es gibt Geo IP Listen und APIs, wo IPs neben dem Betreiber auch IPs einer Straße ausgegeben werden.
      Auch wenn dein Verhalten sehr sparsam ist, sind es andere in deiner Umgebung nicht.
      Rückschlüsse sind immer möglich.

    2. Man kann auch einfach DWD Warnwetter (auf deren Wetterdaten die eh zurückgreifen) benutzen und keine komische Klitsche mit Tracking-Leichen im Keller dazwischenschalten.

          1. Nee, nee. Es gibt dazu Gerichtsurteile, was die APP betrifft. Open Data is noch nicht so. „Kommerzielle Player mit Tracking“ ist offensichtlich nicht Webinterface händisch, oder Datenschnittstelle.

            https://www.heise.de/news/BGH-Urteil-Staatlicher-Wetterdienst-muss-Gratis-App-beschraenken-4681828.html

            Netter Versuch. Wenn ich also kein späteres Urteil übersehen habe, handelt es sich sicherlich um ein Mißverständnis, oder eben doch um Desinformation. „Ist doch alles da…“ – ja nee, …

          2. Die Daten des DWD sind weiter frei verfügbar, aber deren kostenlose aufbereitete Darstellung wurde durch das Urteil eingeschränkt.

            Die einmalig kostenpflichtige DWD App hat diese Beschränkungen nicht, denn sie ist ja nicht kostenfrei. Die Kosten sind vernachlässigbar.

          3. Kosten heißt Bezahlmethode u.a. – läuft’s ohne Google Play?

            Abgesehen von Steuergeldern, Prinzipien und Paradigmen.

          4. „Die Daten des DWD sind weiter frei verfügbar, aber deren kostenlose aufbereitete Darstellung wurde durch das Urteil eingeschränkt.“

            Nicht der Punkt. Ich baue jetzt nicht meine eigene App.

            „Die einmalig kostenpflichtige DWD App hat diese Beschränkungen nicht, denn sie ist ja nicht kostenfrei. Die Kosten sind vernachlässigbar.“
            – Ohne Google/Apple Store?
            – Ohne Google Play?
            – Auf sinnvollen Systemen installierbar (Lineage OS o.ä.)?

            Das soll nicht anmaßend klingen, aber zuletzt war der Zustand diesbezüglich eben doch das: kastriert. Unter Vorbehalt, da „zuletzt“ immer mal von Entwicklungen überholt werden kann.

  2. Die Situation ist doch klassisch die, dass hier Verbote kommen müssen. Das ist nicht reparierbar.

    Sonst legalisiert halt Fentanyl und Kokain noch, mal sehen was passiert. Ach so, Schusswaffen auch. Hellebarden von mir aus auch noch…

    1. Die Legalisierung, also Entkriminalisierung, der meisten Drogen wäre allerdings eine gute Entwicklung, wenn gleichzeitig positive Werbung verboten und massiv in Aufklärung investiert würde. Dafür gibt’s ausreichend Evidenz.

      Das muss natürlich Alkohol und Nikotin einschließen, vor allem Alkohol als die mit Abstand schädlichste Droge hier.

      Die derzeitige willkürliche Kriminalisierung hat praktisch nur negative Effekte für die Gesellschaft.

  3. „So können Interessierte selbst ihre Daten anfragen“
    Hört auf damit.
    Ihr habt doch selbst gemerkt, dass das nichts wird.

    Was denkt ihr denn, wie sich deutsche „Datenschutzbehörden“ zieren, wenn es darum geht von öffentlichen Einrichtungen die Einhaltung der DSGVO wenigstens in Grundzügen einzufordern.

    PS: Die Jobcenter schreiben sogar wörtlich auf ein Ersuchen nach vollständiger Auskunft nach Art 15… Zitat: Ich übersende Ihnen die **Aktensegmente** (insgesamt 3 Vorgänge mit meinen Schriftsätzen)
    Und jetzt komme mir niemand ich könne mich wehren.
    Ich habe mittlerweile eine Räuungsklage am Arsch, weil das JC die Miete nicht gezahlt hat.

    Die DSGVO ist Deutschlands zahnlosester Tiger ever.

  4. Danke euch zwei.

    Und warum denke ich wieder an eine mögliche dienstliche Nutzung von Privat-Smartphones bei „Berufsgeheimnissträgern“…

  5. Ich hab die App jetzt deinstalliert und nutze Wetter Online einfach über den Browser.

    Wenn man den Standort auswählt und dann diese Seite als Lesezeichen abspeichert, geht das genauso schnell wie eine App – eigentlich noch schneller, denn die App muss nicht erst geladen werden.

  6. Viele finden es schlimm, fast keiner will aber darauf verzichten. Dann kommen selbst die urwitzigsten Rechtfertigungen zustande. Im Browser nutzen statt auf dem Handy, was dazwischenschalten, ich werde gezwungen….

    Meine Wettervorhersagen sind, in den Himmel zu schauen und gelegentlich ein Radio nutzen, welches nicht mir gehört – bevor jemand sagt diese sind bestückt mit besonderen Chips um die Hörerquote zu ermitteln…. Eine App, besonders eine Wetterapp, brauche ich nicht. Grund: Siehe dieser Artikel.

    Sobald eine vor mir versteckte und somit nicht bekannte Überwachungskamera mich heimlich filmt, wie ich in den Himmel schaue, und die vorhandene KI mir daraus eine Wetter-App andrehen will, oder zumindest versucht, darf man mich Heuchler nennen. Vorher bleibe ich auf dem Verweigerungstrip. Macht einfach dasselbe, verweigert (Wetter)apps.

    1. Wetterwarnungen können hoch relevant sein, je nach dem, was man so macht. Man kann allerdings auch die Webseite des DWD mit einem Browser aufrufen ;).

  7. Die Kundenfreundlichkeit merkt man an den Webseiten. Beim Aufruf der Webseite von „Wetter Online“ kommt ein ekliges „Werbefrei für €/Monat“-Overlay, bei der von wetter.de muss man nur zweimal auf „Ablehnen“ klicken.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.