Databroker FilesDie große Datenhändler-Recherche im Überblick

Der unkontrollierte Datenhandel der Online-Werbeindustrie ist eine Gefahr für den Datenschutz von Abermillionen Menschen und für die nationale Sicherheit Deutschlands. Das zeigen Recherchen von netzpolitik.org und dem Bayerischen Rundfunk. Die Databroker Files im Überblick.

Eine einsame Straße in der Dunkelheit. Nebel. Im Hintergrund Zahlenkolonnen am Himmel - Koordinaten.
Geortet. (Die Daten auf dieser Grafik sind zufällig generiert und illustrativ.) – Straße: Pixabay/elg_darling; Nebel: Vecteezy; Montage: netzpolitik.org

Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger.


Unsere Recherchen mit BR zeigen erstmals, wie Datenhändler die genauen Standortdaten von Abermillionen Menschen in Deutschland verkaufen. Hier beantworten wir die zentralen Fragen und geben eine Übersicht der wichtigsten Veröffentlichungen.

Was steckt in den Databroker Files?

  • netzpolitik.org und dem Bayerischen Rundfunk liegt ein Datensatz mit 3,6 Milliarden Standortdaten aus Deutschland vor. Die Daten beinhalten rund 11 Millionen verschiedene Geräte-Kennungen und sind datiert auf einen Zeitraum, der rund zwei Monaten Ende 2023 umfasst.
  • Die Daten offenbaren die Bewegungsprofile von Millionen Menschen. Sie lassen etwa Rückschlüsse zu, wo sie arbeiten, wohnen, einkaufen oder spazieren gehen, ob sie ins Krankenhaus, in die Kita oder ins Bordell fahren.
  • Durch simple Online-Recherchen konnten wir mehrere Personen anhand der Daten eindeutig identifizieren, weil etwa ihre Wohnadresse im Telefonbuch steht und ihr Arbeitsplatz in sozialen Medien.
  • Unsere Stichproben zeigten jedoch auch, dass zumindest manche Geräte-Kennungen und Zeitstempel im Datensatz nicht korrekt sind. Die Zahl der getrackten Geräte im Datensatz dürfte niedriger sein als 11 Millionen.

Wie kam netzpolitik.org an die Daten?

  • Der uns vorliegende Datensatz stammt vom Datenhändler Datastream Group mit Sitz in Florida, USA. Er ist jedoch nur ein Beispiel für den globalen Handel mit personenbezogenen Daten. Dahinter steht ein schier undurchschaubares Geflecht aus tausenden Firmen.
  • Die Daten erhielten wir als gratis Kostprobe, die als Vorschau für ein Abonnement dienen sollte: Für rund 14.000 US-Dollar bietet der Händler einen kontinuierlichen Strom frischer Standortdaten von Abermillionen Smartphones auf der ganzen Welt, nahezu in Echtzeit.
  • Kontakt zu dem Datenhändler haben wir über einen aus Deutschland betriebenen Datenmarktplatz erhalten. Dieser heißt Datarade und hat seinen Sitz in Berlin. Datarade bringt Käufer*innen und Verkäufer*innen von Daten zusammen.

Woher kommen die Standortdaten?

  • Die Standortdaten stammen aus Handy-Apps, die unter anderem GPS-Daten für Werbezwecke weitergeben. Üblicherweise müssen Nutzer*innen dafür einmal in die Datenschutzbestimmungen der App einwilligen.
  • Wir wissen nicht genau, von welchen Apps die Standortdaten aus dem untersuchten Datensatz stammen. Andere Datenhändler erklärten uns jedoch, solche Standortdaten kommen üblicherweise von populären Apps für Wetter, Navigation oder Dating.
  • Nach unseren Erkenntnissen handelt es sich um ein globales Problem. Auf dem Datenmarktplatz fanden wir Angebote mit Standortdaten von allen Kontinenten, auch von weiteren EU-Ländern. Angepriesen werden sie von zahlreichen Händlern.

Andere verdienen ihr Geld mit euren Daten, wir nicht!

Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.

Wieso gefährdet der Datenhandel die Sicherheit Deutschlands?

  • Der Datensatz enthält auch die Bewegungsprofile von Menschen, die augenscheinlich für Bundesministerien, Bundeswehr, Sicherheitsbehörden und Geheimdienste arbeiten und die für die nationale Sicherheit relevant sind.
  • Identifizieren konnten wir beispielsweise eine Person, die sich in hoher Position für ein Bundesministerium mit Fragen der Sicherheit befasst, sowie eine Person, die für einen deutschen Geheimdienst arbeitet. Wir fanden Bewegungsprofile an Standorten deutscher Geheimdienste, wo auch US-amerikanische Agent*innen der NSA ein- und ausgehen sollen.
  • Solche Daten könnten auch fremde Geheimdienste erwerben und für Spionage oder Sabotage nutzen – etwa, um Militärstandorte ausfindig zu machen, Zielpersonen nachzustellen oder Agent*innen zu enttarnen.

Ist der Datenhandel legal?

  • Als Rechtsgrundlage berufen sich Unternehmen, die die Daten verarbeiten, üblicherweise auf die Einwilligung von App-Nutzer*innen in die Datenschutzbestimmungen. Darin ist oft eine Weitergabe der Daten an Händler vorgesehen.
  • Laut Datenschutzgrundverordnung (DSGVO) ist eine solche Einwilligung nur wirksam, wenn sie für bestimmte Fälle erfolgt und die Betroffenen informiert und freiwillig handeln.
  • Datenschützer*innen gehen davon aus, dass diese Anforderungen hier nicht erfüllt sind. Denn der Hinweis auf die Weitergabe der Daten an Hunderte Unternehmen ist oft in den Datenschutzbestimmungen versteckt, sodass eine Zustimmung kaum informiert erfolgen kann.

Wer tut etwas gegen den Datenhandel?

  • An die schwer durchschaubare Branche der Datenhändler haben sich deutsche Datenschutzbehörden bisher kaum herangewagt. Die Behörden werden vor allem dann aktiv, wenn sich betroffene Bürger*innen beschweren. Solche Beschwerden gibt es aber nur selten.
  • Juristische Konsequenzen zeichnen sich für die in unserer Recherche erwähnten Unternehmen derzeit nicht ab. Die 3,6 Milliarden Standortdaten, die wir erhalten haben, stammen von einem US-Händler. Im Ausland lässt sich Datenschutzrecht oft schwer durchsetzen.
  • Für den Berliner Datenmarktplatz Datarade wiederum greift die DSGVO wohl nicht. Zu dieser Einschätzung kommt die Berliner Datenschutzbeauftragte nach einer vorläufigen Prüfung. Denn für eine Handhabe nach DSGVO müsste ein Unternehmen die Daten auch selbst verarbeiten. Aber der Marktplatz vermittelt lediglich Interessierte und Händler und kassiert eine Provision für Verkäufe.

Wie reagiert die Politik auf die Recherche?

  • „Derartige sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für kommerzielle Zwecke Dritter verfügbar sein“, schreibt das Bundesministerium für Verbraucherschutz (BMUV). „Sind die Daten erst einmal in die Werbenetzwerke eingespeist, verlieren die Nutzer jegliche Kontrolle und lässt sich ihr Missbrauch kaum verhindern.“ Das Bundesministerium setze ich deshalb für eine Regulierung ein, die „einen konsequenten Wechsel auf alternative Werbemodelle“ fördert, die ohne personenbezogene Daten auskommen.
  • „Dass etwas passieren muss, steht für mich völlig außer Frage. Das ist in der Form ein untragbarer Zustand“, sagt der Bundestagsabgeordnete Konstantin von Notz (Grüne). Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Geheimdienste des Bundes beaufsichtigt. Die Verfügbarkeit solcher Datensätze für fremde Dienste bezeichnet er als „relevantes Sicherheitsproblem“. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“ Von Notz fordert: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden“.
  • „Es kann nur einen Schluss geben: solche Geschäftsmodelle müssen beendet werden“, sagt Bundestagsabgeordnete Martina Renner (Linkspartei). „Aus meiner Sicht muss der kommerzielle Datenhandel, erst recht mit solch sensiblen Daten, untersagt werden. Wir brauchen dringend tiefgreifende Nachbesserungen in der Datenschutz- und Telemediendienstregulierung in der EU.“
  • Mehr Schutz verlangt auch der Bundestagsabgeordnete Roderich Kiesewetter (CDU), stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium. Er spricht davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und „unsere Bürger vom Datenabgriff durch ausländische Staaten zu schützen.“

Wie reagieren Fachleute auf die Recherche?

  • „Verbraucher*innen sind der Werbeindustrie offenbar ausgeliefert“, sagt Ramona Pop, Präsidentin des Verbraucherzentrale Bundesverbands. „Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern. Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden.“
  • Die designierte Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider spricht im Kontext von Datenmarktplätzen von einer „Rechtsschutzlücke“. Im Blick habe sie Dienste, die zwar selbst keine Daten verarbeiten, aber dazu beitragen, etwa indem sie Kontakte zwischen Datenhändlern und Käufer*innen anbahnen. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beispiel im derzeit zu reformierenden Bundesdatenschutzgesetz.“
  • „Der Datenmarkt muss auf jeden Fall stärker reguliert werden“, fordert Thorsten Wetzling, der für die Denkfabrik Interface den Forschungsbereich zu Überwachung und Bürgerrechten leitet. Er sieht die Aufgabe bei der EU-Kommission, die sich jetzt nach der jüngsten Parlamentswahl neu aufstellt.
  • „Wir hoffen, dass die Enthüllungen die Bevölkerung, die Aufsichtsbehörden und auch den Gesetzgeber wachrütteln“, sagt Jurist Martin Baumann von der Wiener Datenschutz-NGO noyb. Man werde zudem prüfen, selbst juristisch gegen beteiligte Firmen vorzugehen.
  • „Für Betroffene von digitaler Gewalt ist das ein massives Sicherheitsrisiko“, schreibt uns Anna Wegscheider, Juristin bei der gemeinnützigen Organisation HateAid. Stalker*innen könnten solche Daten nutzen, um andere ausfindig zu machen.

Was sagen die Firmen zu der Recherche?

  • Die in Deutschland ansässige Datarade GmbH und die US-amerikanische Datastream Group haben unsere Presseanfragen nicht beantwortet.
  • Zu einer ähnlich gelagerten Recherche des niederländischen BNR Nieuwsradio im Januar schrieb Datarade (übersetzt aus dem Niederländischen): „Als Plattform fungieren wir nur als Vermittler. Wir selbst verkaufen keine Datensätze. Datenhändler können ihre Datensätze auf unserer Plattform zum Verkauf anbieten, um mit Interessenten in Kontakt zu treten. Selbstverständlich lassen wir nur legale Inhalte auf unserer Plattform zu, wie es auch in unseren Allgemeinen Geschäftsbedingungen steht. […] Datarade hält es für wichtig, gegen Rechtsverstöße vorzugehen.“

Was sagen Sicherheitsbehörden zu der Recherche?

  • Das Verteidigungsministerium schreibt auf Anfrage: „Dem Gefährdungspotential sind wir uns bewusst und erachten es als sehr wahrscheinlich, dass jeder Bundeswehrangehörige, wie jeder Handynutzende, sowohl im privaten als auch im dienstlichen Umfeld dieser Gefährdung ausgesetzt ist.“
  • Innen- und Verteidigungsministerium geben auf Anfrage an, ihre Beschäftigten regelmäßig für das Gefährdungspotenzial zu sensibilisieren.
  • Offenbar weiß die Bundesregierung, dass fremde Geheimdienste bei Datenhändlern einkaufen. So teilen Innen- und Verteidigungsministerium mit: Fremde Nachrichtendienste würden generell alle verfügbaren Mittel nutzen. „Dazu zählt auch der Ankauf und die Nutzung von im Internet verfügbaren Daten.“

Kaufen deutsche Geheimdienste bei Datenhändlern ein?

  • Die zuständigen Ministerien äußerten sich auf Anfrage nicht dazu, ob deutsche Geheimdienste auch selbst bei Datenhändlern einkaufen. Das Verteidigungsministerium schrieb mit Blick auf den Militärischen Abschirmdienst: Das zuständige Bundesamt nutze „alle gesetzlich zulässigen Mittel“.
  • Aus den USA ist bekannt, dass staatliche Stellen Informationen bei kommerziellen Datenhändlern einkaufen. Eine Studie der Denkfabrik Interface kam kürzlich zu dem Schluss: Es ist plausibel, dass auch deutsche Geheimdienste Datenhändler als Quelle nutzen.
  • Ob deutsche Dienste dafür eine konkrete Rechtsgrundlage hätten, ist umstritten. Eine von der Bundesregierung formulierte Gesetzesbegründung bei der BND-Reform lässt zumindest darauf schließen. Dort wird der Ankauf von Daten aus Werbedatenbanken beschrieben als Informationsbeschaffung aus „allgemein zugänglichen Quellen“.

Die Veröffentlichungen zu den Databroker Files im Überblick

(diese Liste wird laufend aktualisiert)

… auf netzpolitik.org

  • „Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland“, 16. Juli 2024
  • „Wie Datenhändler Deutschlands Sicherheit gefährden“, 16. Juli 2024
  • „Jetzt testen: Wurde mein Handy-Standort verkauft?“, 16. Juli 2024
  • „So stoppt man das Standort-Tracking am Handy“, 16. Juli 2024
  • Kommentar: „Dieses Staatsversagen schadet uns allen“, 16. Juli 2024
  • (Englisch) „How data brokers sell our location data and jeopardise national security“, 16. Juli 2024
  • „ADINT – gefährliche Spionage per Online-Werbung“, 19. Juli 2024
  • „US-Senator schaltet Pentagon ein; Bundesministerium fordert EU-Gesetze“, 19. Juli 2024
  • „Datarade – geschickte Geschäfte im Graubereich“, 25. Juli 2024
  • „Abgeordnete kritisieren Staatsgeld für Datenmarktplatz“, 31. Juli 2024
  • „Werbe-IDs damals und heute: Wer nicht aufpasst, wird getrackt“, 3. September 2024
  • „Wie Datenhändler NATO und US-Militär bloßstellen“, 20. November 2024
  • „Datenhandel ist Gift“, 20. November 2024

… durch unseren Recherche-Partner BR

… durch weitere Recherche-Partner

  • „Anyone Can Buy Data Tracking US Soldiers and Spies to Nuclear Vaults and Brothels in Germany“, WIRED, 20. November 2024

Du weißt mehr über die Databroker-Branche oder hast andere Hinweise für das Recherche-Team? Hier kannst du Sebastian oder Ingo erreichen. Bitte nutze möglichst verschlüsselte Wege sowie ein Gerät, das nicht deinem Arbeitgeber gehört.

5 Ergänzungen

  1. Frage: Interessant ist natürlich schon, ob Daten tatsächlich gleichmäßig aus verschiedensten Quellen kommen oder ob eine handvoll mainstream apps – z.B. Google Maps – für den Inhalt sorgen.

  2. Vielen vielen Dank für diese Recherche! Es wurde so Zeit dafür 🙏🏼

    Ich fände es genial, wenn ihr noch konkret Apps benennen könntet, die einem solche Einwilligung abverlangen. Ich denke dabei wären Spotify, Airbnb, Kleinanzeigen, Waipu, Mobile.de, Immoscout…

    Heute ist das Motto zahle für den Dienst und wir verkaufen auch noch alle deine Daten.

    Ich danke euch! Bitte weitermachen 🙏🏼

  3. Mal unabhängig von der Tatsache, ob eine selbst installierte App sich nicht nur meiner Bewegungsdaten bemächtigt (und nach Hause telefoniert), oder ob es die Software-Supplierer ohne meine Erlaubnis (bzw. tatsächlich machbaren GPS-Abschaltung) realisieren (https://businessplus.ie/news/google-android-data-collection/ , https://www.scss.tcd.ie/doug.leith/apple_google.pdf). Denn sonst würden BLE-Beacon- bzw. Tag-Konzepte nicht funktionieren, hapert es weiterhin an einem nachvollziehbaren Bürgerverständnis, wo gesellschaftliche, demokratische und persönlich elementare Risiken drohen.
    Nicht nur für künftige Verhaltens- oder Prognoseeinschätzungen (ohne dass es Betroffene selbst überhaupt mitkriegen – bzw. es überhaupt wollen oder annähernd realistisch abschätzen könnten), sondern auch für sämtliche Spielarten von Wirtschaftsspionage (als Beschäftigte oder freie Mitarbeiter – aufgesuchte Kundenstandorte, besuchtes Kundenpotential) oder ungewollte Transparenz von Sicherheitseinrichtungen (an welchen Orten ermitteln oder observieren einzelne Polizeikräfte, wo joggen oder „wohnen“ konkrete Soldaten, wo halten sich überwiegend Justizkräfte oder Vertreter von Verfassungsorganen aus).

  4. Mich macht so was sauer. Als Kleinunternehmer mit einer kaum besuchten Website wird einem mit der DSGVO jede Menge unnötige Arbeit aufgehalst, während die wirkliche kriminelle Energie bei diesen Datenhändler, die nicht nur jeglichen Anstand vermissen lassen, sondern überdies auch gefährlich sein können, nicht einmal angetastet wird.

    Es ist ja auch hochgradig absurd, dass jeder mit meinen persönlichen Daten anfangen darf was er will, wenn ich nur den Cookiebanner wegklicke. Man muss nicht die vielen Kleinunternehmer abmahnen, die bei Google Analytics oder einem anderen Dienst irgendwo versehentlich ein Häkchen falsch gesetzt haben, sondern man muss die Google und andere Internetriesen mit Millionen oder Milliardenstrafen dazu zwingen, problematische Praktiken überhaupt nicht mehr anzuwenden.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.