Databroker FilesWetter Online zieht Konsequenzen

Nach einer Aufforderung durch die Datenschutzbehörde hat Wetter Online seine Datenschutz-Regeln verschärft. Vorausgegangen waren Recherchen von netzpolitik.org, BR und internationalen Partnern. Gemeinsam mit der NGO noyb legen wir Beschwerde ein, weil Wetter Online Betroffenenrechte missachtet hat.

- , - in Datenschutz - keine Ergänzungen
Ein Handy mit der Wetter-Online-App. Aus dem Handy kommen Regenbogen-Farben mit Standort-Stecknadeln.
Zusammengebraut. (Symbolbild) – Nebel: Vecteezy; Handy, Regenbogen: Pixabay; Montage: netzpolitik.org

Diese Recherche entstand in Kooperation mit dem Bayerischen Rundfunk. Sie ist zugleich Teil der „Databroker Files“.

Über Wetter Online hat sich etwas zusammengebraut: Deutschlands populärste Wetter-App sollte die Verarbeitung präziser Standortdaten „so schnell wie möglich“ beenden, sagte vergangene Woche die Datenschutzbeauftragte von Nordrhein-Westfalen, Bettina Gayk in einem Interview mit netzpolitik.org und Bayerischem Rundfunk.

Die Datenschutzbeauftragte hatte die Datenschutz-Bestimmungen von Wetter Online geprüft und war zu dem Schluss gekommen, dass das Unternehmen für die Verarbeitung genauer Standortdaten keine ausreichende Rechtsgrundlage habe. Die Einwilligung, die Wetter Online von Nutzer*innen einholte, sei „zu pauschal“, sagte Gayk. Außerdem sei „nicht transparent, welche Zwecke hier mit diesen Daten verfolgt werden“. Für die Betroffenen sieht Gayk „durchaus große Gefahren und Risiken, wenn so präzise nachvollzogen werden kann, wo sie sich wann aufgehalten haben“. Deshalb hatte die Datenschutzbeauftragte Kontakt zu Wetter Online aufgenommen und Änderungen gefordert.

Wenige Tage vor dieser Veröffentlichung sieht es so aus, als habe die Intervention erste Folgen gehabt. „Wetter Online hat innerhalb der uns gesetzten Frist reagiert und nun auf Website und Apps einen Einwilligungsbanner gesetzt, der auf die Verarbeitung von GPS-Standortdaten nur für Wetterinformationen hinweist“, teilt ein Sprecher der Aufsichtsbehörde mit. „Wir prüfen derzeit, ob das ausreichend ist und unsere Anforderungen an den Schutz von GPS-Standortdaten der Nutzer erfüllt sind.“

Im alten Banner hatte Wetter Online unter anderem geschrieben: „Nutze die WetterOnline App wie gewohnt mit Werbung und Tracking. Deine Zustimmung ist jederzeit widerrufbar“. Im neuen ist Banner steht zusätzlich: „Wir verarbeiten GPS-Standortdaten nur für Wetterinformationen und nicht für Werbezwecke“.

Direkte Folge unserer Recherchen

Neues Banner der App von Wetter Online mit Hinweis auf GPS-Daten.
Neues Banner aus „WetterOnline mit RegenRadar“ für Android – Hervorhebungen von netzpolitik.org. - Screenshot: Wetter Online

Das Vorgehen der Aufsichtsbehörde gegen Wetter Online geschieht in Folge der Recherchen zu den Databroker Files, mit denen netzpolitik.org und Bayerischer Rundfunk seit dem Sommer 2024 den unkontrollierten Handel mit Daten von Millionen App-Nutzer*innen aufdecken.

Im Januar 2025 berichteten wir mit internationalen Recherche-Partnern erstmals über eine Reihe von Apps, die laut einem Datensatz des US-Databrokers Datastream Group (heute: Datasys) Standortdaten ihrer Nutzer*innen preisgeben. Insgesamt enthält der Datensatz 380 Millionen Standortdaten aus 137 Ländern, zugeordnet zu rund 40.000 Apps für Android und iOS. Hinzu kommen Angaben zu den genutzten Geräten und Betriebssystemen sowie Mobile Advertising IDs, also einzigartige Zeichenfolgen, mit denen sich Nutzer*innen eindeutig wiedererkennen lassen.

Die Apps aus dem Hause Wetter Online für Android und iOS gehörten in diesem konkreten Datensatz zu jenen mit den meisten in Deutschland georteten Handys. Allein zur Android-Version „Wetter Online mit Regenradar“ stehen im Datensatz die Kennungen von 34.875 verschiedenen Handys, die am 2. Juli 2024 in Deutschland geortet wurden. Zudem waren die erfassten Standorte alarmierend genau, wie unsere Recherche zeigte.

Das Unternehmen aus Bonn hat mehrfache Presseanfragen von netzpolitik.org und Bayerischem Rundfunk im Januar und Februar 2025 nicht beantwortet.

Einwilligungen seien unwirksam

Wer Wetter Online kostenlos nutzen will, muss in die Bestimmungen der Datenschutzerklärung und Tracking einwilligen. Ein werbefreies Abo kostet 1,99 Euro monatlich. Bis vor Kurzem verwies Wetter Online im Einwilligungsbanner und auf der Website unter „Datenschutz“ noch auf mehr als 800 Werbepartner, inzwischen – Stand 10. Februar – sind es mehr als 300.

Texttafel mit Text: Schon wieder Databroker Files! Wir lassen nicht locker und enthüllen weitere Akteure. Nur möglich dank deiner Unterstützung. Spende jetzt.

Mit Blick auf die damalige Liste mit mehr als 800 Werbepartnern sagte uns Datenschutzbeauftragte Gayk: „Das ist überhaupt nicht mehr überschaubar und auch kaum kontrollierbar, was die letztendlich mit den Daten anstellen.“ Die daraus entstehenden Gefahren könne man nicht abschätzen, selbst wenn man die Informationen bis ins kleinste Detail auf der Seite nachlese.

„Ich gehe nicht davon aus, dass diejenigen, die Wetter Online nutzen, wissen, dass sehr präzise nachverfolgt wird, wo sie sich gerade befinden“, so Gayk.

Welche Konsequenzen könnte es für Wetter Online haben, wenn genaue Standortdaten von Nutzer*innen tatsächlich ohne gültige Einwilligung erhoben und an einige der Werbepartner weitergegeben wurden? Grundsätzlich drohen Unternehmen laut Datenschutzgrundverordnung (DSGVO) Bußgelder, die je nach Verstoß auch in die Millionenhöhe gehen können.

Wichtiger als eine Sanktion sei zum aktuellen Zeitpunkt jedoch, dass Wetter Online die unrechtmäßige Datenverarbeitung möglichst schnell abstelle, sagte uns die Datenschutzbeauftragte. Zu welchen Maßnahmen ihre Behörde greife, hänge auch von der Kooperationsbereitschaft des Unternehmens ab. Auch nach den neuesten Änderungen am Einwilligungsbanner teilte uns ein Sprecher der Datenschutzbehörde mit: „Wir prüfen weiterhin alle Möglichkeiten.“

Nicht nur die Anzahl Werbepartner hat sich verändert. Im neuen Einwilligungsbanner nennt Wetter Online nun auch mehr konkrete Verarbeitungszwecke: etwa das „Erstellen von Profilen für personalisierte Werbung“ oder die „Entwicklung und Verbesserung der Angebote“. Auch die Angaben zur „Datensicherheit“ im Google Play Store sind anders. Demnach könne Wetter Online nicht mehr – wie noch im Januar – grobe und präzise Standortdaten mit anderen Firmen teilen, die Rede ist nur noch vom ungefähren Standort.

Wetter-Online-Spuren bei zwei Databrokern

Generell können Standortdaten der Werbeindustrie sensible Einblicke in das Privatleben erlauben. Sie können offenlegen, wo Menschen wohnen und arbeiten, ihre Kinder zu Kita bringen, welche Arztpraxen, Kirchen, Bordelle oder Militärstützpunkte sie besuchen.

Die Einträge in unserem Datensatz sind auf einen einzigen Tag im Sommer 2024 datiert. Mithilfe von Standortdaten aus einem weiteren Datensatz desselben Datenhändlers konnten wir jedoch Menschen identifizieren, die Wetter Online nutzen, etwa weil uns Häufungen von Standortdaten zu ihren Privatadressen führten. Zwei Personen bestätigen uns, dass ihre Standortdaten korrekt sind und dass sie Wetter Online auf dem Handy haben.

Darunter war eine Wetter-Online-Nutzerin aus Bayern. Ihre Daten verrieten uns, dass sie in einem Einfamilienhaus wohnt, ein nahegelegenes Krankenhaus besuchte – und eine Spezialklinik. Die DSGVO betrachtet Gesundheitsdaten als besonders schützenswert.

Der Name Wetter Online taucht auch bei einem anderen Datenhändler auf. Im Januar veröffentlichten Hacker*innen erbeutete Datensätze aus dem Bestand der US-Firma Gravy Analytics. Das Unternehmen gilt als einer der größten Datenhändler und wurde erst kürzlich von der US-Regierung sanktioniert Auch auf der Liste dieses Datenlieferanten ganz weit vorne: Wetter Online.

Millionengewinn mit Wetter-Dienst

Wetter Online wurde 1996 gegründet und hat sich seither zur mit Abstand populärsten Wetter-App Deutschlands entwickelt. Allein im Google Play Store wurde „WetterOnline mit RegenRadar“ mehr als 100 Millionen Mal heruntergeladen. Von sechs Millionen täglichen Nutzer*innen spricht das Unternehmen auf seiner Website.

Laut offizieller Firmenhistorie gebe es ein „perfektes Zusammenspiel von Wissenschaft, Schaffenskraft, hohem Qualitätsanspruch und Wetterleidenschaft“, das dafür sorge, dass sich das Unternehmen seit Gründung in einem „stabilen Hoch“ befinde. Im Jahr 2014 zieht die damals aus 70 Personen bestehende Belegschaft in den neu gebauten, verglasten Firmensitz am Bonner Rheinufer, wie das Unternehmen auf seiner Website berichtet. 2022 machte die „WetterOnline – Meteorologische Dienstleistungen GmbH“ bei einem Umsatz von 19,1 Millionen Euro einen Gewinn von gut 2,2 Millionen Euro.

Texttafel mit Text: Schon wieder Databroker Files! Wir lassen nicht locker und enthüllen weitere Akteure. Nur möglich dank deiner Unterstützung. Spende jetzt.

Ärger mit dem Datenschutz hatte Wetter Online allerdings bereits in der Vergangenheit: Die Verbraucherzentrale Nordrhein-Westfalen hatte das Unternehmen wegen des Designs der Cookie-Banner auf der Website verklagt. Wetter Online habe es Nutzer*innen nach Ansicht der Verbraucherschützer*innen zu schwer gemacht, Cookies für Tracking und Marketing abzulehnen. „Die Möglichkeit, solche nicht notwendigen Cookies mit nur einem Klick abzulehnen, fehlte auf der ersten Ebene des Banners.“ Das Oberlandesgericht Köln gab der Verbraucherzentrale Recht.

Wetter-Apps als Datenschleudern

Dass sich Wetter-Apps auf Smartphones besonders als Datenschleudern eignen, haben mehrere Branchen-Insider dem Rechercheteam berichtet. Denn wie das Wetter wird, interessiert potenziell alle Nutzer*innen, also eine sehr breite Zielgruppe. Und mit dem Versprechen einer genauen Vorhersage können Wetter-Apps einen plausiblen Grund für den Zugriff auf den Gerätestandort vorweisen.

Bereits 2023 berichteten wir, wie Nutzer*innen des ebenfalls populären Diensts wetter.com in sogenannten Segmenten landen. Das sind Zielgruppen für Werbetreibende. So fanden wir in einer Angebotsliste des Datenmarktplatzes Xandr mehrere Segmente für Menschen, die sich angeblich für eine Reise nach Berlin, Mallorca oder Bonn interessieren. Solche Reisewünsche lassen sich einfach ableiten, wenn sich Nutzer*innen auf einmal für das Wetter an einem anderen Ort als üblich interessieren.

Nun sehen wir im uns vorliegenden Datensatz erstmals, dass auch genaue Standortdaten von App-Nutzer*innen bei Datenhändlern kursierten, darunter Menschen aus Deutschland, die Apps eines deutschen Wetter-Diensts verwenden. Welche verschlungenen Wege die Daten im Ökosystem der Online-Werbung generell zurücklegen, erklären wir in diesem Artikel.

Wir legen Beschwerde ein

Transparenz herstellen wollten wir auch mithilfe einer Anfrage nach Datenauskunft, die netzpolitik.org-Redakteur Ingo Dachwitz bei Wetter Online gestellt hat. Er ist selbst Nutzer der App und wollte im Sommer 2024 von dem Unternehmen wissen, welche Daten es über ihn verarbeitet und an wen diese Daten übermittelt wurden. Außerdem beantragte er eine vollständige Kopie der ihn betreffenden Daten.

Nach Artikel 15 der DSGVO sind Datenverarbeiter verpflichtet, Nutzer*innen solche Informationen bereitzustellen. Wetter Online kam der Anfrage jedoch nur teilweise nach. Das Unternehmen teilte mit, dass lediglich drei Firmen die Daten erhalten hätten. Eine genaue Kopie der Daten könne man jedoch nicht herausgeben, weil das zu aufwendig sei.

Dabei berief sich Wetter Online zunächst auf eine nicht mehr existente Regelung aus dem alten Bundesdatenschutzgesetz. Auch nach dem Hinweis, dass eine pauschale Verweigerung des Rechts auf eine Kopie rechtlich nicht möglich ist, bestand Wetter Online darauf, höchstens Daten für einen einzigen Tag herausgeben zu können.

Der Redakteur hat deshalb am 12. Februar gemeinsam mit der Datenschutz-Organisation noyb eine Beschwerde über Wetter Online bei der Datenschutzbeauftragten von Nordrhein-Westfalen eingelegt.

„Die DSGVO macht klar, dass betroffene Personen das Recht auf eine Kopie ihrer von einem Unternehmen verarbeiteten Daten haben“, sagt noyb-Jurist Martin Baumann. „Eine Ausnahme für einen angeblich unverhältnismäßig großen Aufwand gibt es schlicht und ergreifend nicht. Wetter Online muss sich genauso an EU-Recht halten wie alle anderen Unternehmen.“

Hier geht es zu unserer Expedition in den Dschungel der Databroker. Hier berichten wir über die Spurensuche um Eskimi – dem Datensammler, der kein Datenhändler sein will. Und hier sind alle unsere Veröffentlichungen zu den Databroker Files.

Weitere Artikel
Ein Fabrikgebäude mit Schornsteinen, die Datei-Ordner auspusten. Die Fabrik trägt zwei Flaggen: von der EU und von Litauen.
Datenschutz

Databroker FilesDiese EU-Firma soll Standortdaten aus Deutschland verkauft haben

Ausgerechnet ein Unternehmen aus der EU soll die präzisen Standortdaten von Millionen Menschen in Deutschland gesammelt und verkauft haben: Eskimi aus Litauen. Das Unternehmen bestreitet das. Recherchen von netzpolitik.org, BR und internationalen Partnern zeigen, welche Verbindungen Eskimi zum Geschäft mit sensiblen Daten hat.

Lesen Sie diesen Artikel: Diese EU-Firma soll Standortdaten aus Deutschland verkauft haben

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.