Der unkontrollierte Datenhandel der Online-Werbeindustrie ist eine Gefahr für den Datenschutz von Abermillionen Menschen und für die nationale Sicherheit Deutschlands. Das zeigen Recherchen von netzpolitik.org und dem Bayerischen Rundfunk. Die Databroker Files im Überblick.
Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger.
Unsere Recherchen mit BR zeigen erstmals, wie Datenhändler die genauen Standortdaten von Abermillionen Menschen in Deutschland verkaufen. Hier beantworten wir die zentralen Fragen und geben eine Übersicht der wichtigsten Veröffentlichungen.
- Was steckt in den Databroker Files?
- Wie kam netzpolitik.org an die Daten?
- Woher kommen die Standortdaten?
- Wieso gefährdet der Datenhandel die Sicherheit Deutschlands?
- Ist der Datenhandel legal?
- Wer tut etwas gegen den Datenhandel?
- Wie reagiert die Politik auf die Recherche?
- Wie reagieren Fachleute auf die Recherche?
- Was sagen die Firmen zu der Recherche?
- Was sagen Sicherheitsbehörden zu der Recherche?
- Kaufen deutsche Geheimdienste bei Datenhändlern ein?
- Die Veröffentlichungen im Überblick
Was steckt in den Databroker Files?
- netzpolitik.org und dem Bayerischen Rundfunk liegt ein Datensatz mit 3,6 Milliarden Standortdaten aus Deutschland vor. Die Daten beinhalten rund 11 Millionen verschiedene Geräte-Kennungen und sind datiert auf einen Zeitraum, der rund zwei Monaten Ende 2023 umfasst.
- Die Daten offenbaren die Bewegungsprofile von Millionen Menschen. Sie lassen etwa Rückschlüsse zu, wo sie arbeiten, wohnen, einkaufen oder spazieren gehen, ob sie ins Krankenhaus, in die Kita oder ins Bordell fahren.
- Durch simple Online-Recherchen konnten wir mehrere Personen anhand der Daten eindeutig identifizieren, weil etwa ihre Wohnadresse im Telefonbuch steht und ihr Arbeitsplatz in sozialen Medien.
- Unsere Stichproben zeigten jedoch auch, dass zumindest manche Geräte-Kennungen und Zeitstempel im Datensatz nicht korrekt sind. Die Zahl der getrackten Geräte im Datensatz dürfte niedriger sein als 11 Millionen.
Wie kam netzpolitik.org an die Daten?
- Der uns vorliegende Datensatz stammt vom Datenhändler Datastream Group mit Sitz in Florida, USA. Er ist jedoch nur ein Beispiel für den globalen Handel mit personenbezogenen Daten. Dahinter steht ein schier undurchschaubares Geflecht aus tausenden Firmen.
- Die Daten erhielten wir als gratis Kostprobe, die als Vorschau für ein Abonnement dienen sollte: Für rund 14.000 US-Dollar bietet der Händler einen kontinuierlichen Strom frischer Standortdaten von Abermillionen Smartphones auf der ganzen Welt, nahezu in Echtzeit.
- Kontakt zu dem Datenhändler haben wir über einen aus Deutschland betriebenen Datenmarktplatz erhalten. Dieser heißt Datarade und hat seinen Sitz in Berlin. Datarade bringt Käufer*innen und Verkäufer*innen von Daten zusammen.
Woher kommen die Standortdaten?
- Die Standortdaten stammen aus Handy-Apps, die unter anderem GPS-Daten für Werbezwecke weitergeben. Üblicherweise müssen Nutzer*innen dafür einmal in die Datenschutzbestimmungen der App einwilligen.
- Wir wissen nicht genau, von welchen Apps die Standortdaten aus dem untersuchten Datensatz stammen. Andere Datenhändler erklärten uns jedoch, solche Standortdaten kommen üblicherweise von populären Apps für Wetter, Navigation oder Dating.
- Nach unseren Erkenntnissen handelt es sich um ein globales Problem. Auf dem Datenmarktplatz fanden wir Angebote mit Standortdaten von allen Kontinenten, auch von weiteren EU-Ländern. Angepriesen werden sie von zahlreichen Händlern.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Jetzt Spenden
Wieso gefährdet der Datenhandel die Sicherheit Deutschlands?
- Der Datensatz enthält auch die Bewegungsprofile von Menschen, die augenscheinlich für Bundesministerien, Bundeswehr, Sicherheitsbehörden und Geheimdienste arbeiten und die für die nationale Sicherheit relevant sind.
- Identifizieren konnten wir beispielsweise eine Person, die sich in hoher Position für ein Bundesministerium mit Fragen der Sicherheit befasst, sowie eine Person, die für einen deutschen Geheimdienst arbeitet. Wir fanden Bewegungsprofile an Standorten deutscher Geheimdienste, wo auch US-amerikanische Agent*innen der NSA ein- und ausgehen sollen.
- Solche Daten könnten auch fremde Geheimdienste erwerben und für Spionage oder Sabotage nutzen – etwa, um Militärstandorte ausfindig zu machen, Zielpersonen nachzustellen oder Agent*innen zu enttarnen.
Ist der Datenhandel legal?
- Als Rechtsgrundlage berufen sich Unternehmen, die die Daten verarbeiten, üblicherweise auf die Einwilligung von App-Nutzer*innen in die Datenschutzbestimmungen. Darin ist oft eine Weitergabe der Daten an Händler vorgesehen.
- Laut Datenschutzgrundverordnung (DSGVO) ist eine solche Einwilligung nur wirksam, wenn sie für bestimmte Fälle erfolgt und die Betroffenen informiert und freiwillig handeln.
- Datenschützer*innen gehen davon aus, dass diese Anforderungen hier nicht erfüllt sind. Denn der Hinweis auf die Weitergabe der Daten an Hunderte Unternehmen ist oft in den Datenschutzbestimmungen versteckt, sodass eine Zustimmung kaum informiert erfolgen kann.
Wer tut etwas gegen den Datenhandel?
- An die schwer durchschaubare Branche der Datenhändler haben sich deutsche Datenschutzbehörden bisher kaum herangewagt. Die Behörden werden vor allem dann aktiv, wenn sich betroffene Bürger*innen beschweren. Solche Beschwerden gibt es aber nur selten.
- Juristische Konsequenzen zeichnen sich für die in unserer Recherche erwähnten Unternehmen derzeit nicht ab. Die 3,6 Milliarden Standortdaten, die wir erhalten haben, stammen von einem US-Händler. Im Ausland lässt sich Datenschutzrecht oft schwer durchsetzen.
- Für den Berliner Datenmarktplatz Datarade wiederum greift die DSGVO wohl nicht. Zu dieser Einschätzung kommt die Berliner Datenschutzbeauftragte nach einer vorläufigen Prüfung. Denn für eine Handhabe nach DSGVO müsste ein Unternehmen die Daten auch selbst verarbeiten. Aber der Marktplatz vermittelt lediglich Interessierte und Händler und kassiert eine Provision für Verkäufe.
Wie reagiert die Politik auf die Recherche?
- „Derartige sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für kommerzielle Zwecke Dritter verfügbar sein“, schreibt das Bundesministerium für Verbraucherschutz (BMUV). „Sind die Daten erst einmal in die Werbenetzwerke eingespeist, verlieren die Nutzer jegliche Kontrolle und lässt sich ihr Missbrauch kaum verhindern.“ Das Bundesministerium setze ich deshalb für eine Regulierung ein, die „einen konsequenten Wechsel auf alternative Werbemodelle“ fördert, die ohne personenbezogene Daten auskommen.
- „Dass etwas passieren muss, steht für mich völlig außer Frage. Das ist in der Form ein untragbarer Zustand“, sagt der Bundestagsabgeordnete Konstantin von Notz (Grüne). Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Geheimdienste des Bundes beaufsichtigt. Die Verfügbarkeit solcher Datensätze für fremde Dienste bezeichnet er als „relevantes Sicherheitsproblem“. „In diesem konkreten Fall widerspricht das den Sicherheitsinteressen der Bundesrepublik Deutschland.“ Von Notz fordert: „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden“.
- „Es kann nur einen Schluss geben: solche Geschäftsmodelle müssen beendet werden“, sagt Bundestagsabgeordnete Martina Renner (Linkspartei). „Aus meiner Sicht muss der kommerzielle Datenhandel, erst recht mit solch sensiblen Daten, untersagt werden. Wir brauchen dringend tiefgreifende Nachbesserungen in der Datenschutz- und Telemediendienstregulierung in der EU.“
- Mehr Schutz verlangt auch der Bundestagsabgeordnete Roderich Kiesewetter (CDU), stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium. Er spricht davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und „unsere Bürger vom Datenabgriff durch ausländische Staaten zu schützen.“
Wie reagieren Fachleute auf die Recherche?
- „Verbraucher*innen sind der Werbeindustrie offenbar ausgeliefert“, sagt Ramona Pop, Präsidentin des Verbraucherzentrale Bundesverbands. „Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern. Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden.“
- Die designierte Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider spricht im Kontext von Datenmarktplätzen von einer „Rechtsschutzlücke“. Im Blick habe sie Dienste, die zwar selbst keine Daten verarbeiten, aber dazu beitragen, etwa indem sie Kontakte zwischen Datenhändlern und Käufer*innen anbahnen. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beispiel im derzeit zu reformierenden Bundesdatenschutzgesetz.“
- „Der Datenmarkt muss auf jeden Fall stärker reguliert werden“, fordert Thorsten Wetzling, der für die Denkfabrik Interface den Forschungsbereich zu Überwachung und Bürgerrechten leitet. Er sieht die Aufgabe bei der EU-Kommission, die sich jetzt nach der jüngsten Parlamentswahl neu aufstellt.
- „Wir hoffen, dass die Enthüllungen die Bevölkerung, die Aufsichtsbehörden und auch den Gesetzgeber wachrütteln“, sagt Jurist Martin Baumann von der Wiener Datenschutz-NGO noyb. Man werde zudem prüfen, selbst juristisch gegen beteiligte Firmen vorzugehen.
- „Für Betroffene von digitaler Gewalt ist das ein massives Sicherheitsrisiko“, schreibt uns Anna Wegscheider, Juristin bei der gemeinnützigen Organisation HateAid. Stalker*innen könnten solche Daten nutzen, um andere ausfindig zu machen.
Was sagen die Firmen zu der Recherche?
- Die in Deutschland ansässige Datarade GmbH und die US-amerikanische Datastream Group haben unsere Presseanfragen nicht beantwortet.
- Zu einer ähnlich gelagerten Recherche des niederländischen BNR Nieuwsradio im Januar schrieb Datarade (übersetzt aus dem Niederländischen): „Als Plattform fungieren wir nur als Vermittler. Wir selbst verkaufen keine Datensätze. Datenhändler können ihre Datensätze auf unserer Plattform zum Verkauf anbieten, um mit Interessenten in Kontakt zu treten. Selbstverständlich lassen wir nur legale Inhalte auf unserer Plattform zu, wie es auch in unseren Allgemeinen Geschäftsbedingungen steht. […] Datarade hält es für wichtig, gegen Rechtsverstöße vorzugehen.“
Was sagen Sicherheitsbehörden zu der Recherche?
- Das Verteidigungsministerium schreibt auf Anfrage: „Dem Gefährdungspotential sind wir uns bewusst und erachten es als sehr wahrscheinlich, dass jeder Bundeswehrangehörige, wie jeder Handynutzende, sowohl im privaten als auch im dienstlichen Umfeld dieser Gefährdung ausgesetzt ist.“
- Innen- und Verteidigungsministerium geben auf Anfrage an, ihre Beschäftigten regelmäßig für das Gefährdungspotenzial zu sensibilisieren.
- Offenbar weiß die Bundesregierung, dass fremde Geheimdienste bei Datenhändlern einkaufen. So teilen Innen- und Verteidigungsministerium mit: Fremde Nachrichtendienste würden generell alle verfügbaren Mittel nutzen. „Dazu zählt auch der Ankauf und die Nutzung von im Internet verfügbaren Daten.“
Kaufen deutsche Geheimdienste bei Datenhändlern ein?
- Die zuständigen Ministerien äußerten sich auf Anfrage nicht dazu, ob deutsche Geheimdienste auch selbst bei Datenhändlern einkaufen. Das Verteidigungsministerium schrieb mit Blick auf den Militärischen Abschirmdienst: Das zuständige Bundesamt nutze „alle gesetzlich zulässigen Mittel“.
- Aus den USA ist bekannt, dass staatliche Stellen Informationen bei kommerziellen Datenhändlern einkaufen. Eine Studie der Denkfabrik Interface kam kürzlich zu dem Schluss: Es ist plausibel, dass auch deutsche Geheimdienste Datenhändler als Quelle nutzen.
- Ob deutsche Dienste dafür eine konkrete Rechtsgrundlage hätten, ist umstritten. Eine von der Bundesregierung formulierte Gesetzesbegründung bei der BND-Reform lässt zumindest darauf schließen. Dort wird der Ankauf von Daten aus Werbedatenbanken beschrieben als Informationsbeschaffung aus „allgemein zugänglichen Quellen“.
Die Veröffentlichungen zu den Databroker Files im Überblick
(diese Liste wird laufend aktualisiert)
… auf netzpolitik.org
- „Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland“, 16. Juli 2024
- „Wie Datenhändler Deutschlands Sicherheit gefährden“, 16. Juli 2024
- „Jetzt testen: Wurde mein Handy-Standort verkauft?“, 16. Juli 2024
- „So stoppt man das Standort-Tracking am Handy“, 16. Juli 2024
- Kommentar: „Dieses Staatsversagen schadet uns allen“, 16. Juli 2024
- (Englisch) „How data brokers sell our location data and jeopardise national security“, 16. Juli 2024
- „ADINT – gefährliche Spionage per Online-Werbung“, 19. Juli 2024
- „US-Senator schaltet Pentagon ein; Bundesministerium fordert EU-Gesetze“, 19. Juli 2024
- „Datarade – geschickte Geschäfte im Graubereich“, 25. Juli 2024
- „Abgeordnete kritisieren Staatsgeld für Datenmarktplatz“, 31. Juli 2024
… durch unseren Recherche-Partner BR
- ARD-Politikmagazin report München, 16. Juli 2024
- 11km – der tagesschau-Podcast, 16. Juli 2024
- ARD Audiothek, Der Funkstreifzug, 16. Juli 2024
- „Ausspioniert mit Standortdaten“ BR Web-Special, 16. Juli 2024
- (Englisch) Under Surveillance, BR Web Special, 16. Juli 2024
- „Spionagerisiko für Militär und Geheimdienste“, 16. Juli 2024
- „Das gefährliche Geschäft mit den Standortdaten“, 16. Juli 2024
- „Verbraucherschutzministerium will Datenhandel einschränken“, 17. Juli 2024
- „Handel mit Standortdaten: Politiker fordern Einschränkungen“, 25. Juli 2024
Du weißt mehr über die Databroker-Branche oder hast andere Hinweise für das Recherche-Team? Hier kannst du Sebastian oder Ingo erreichen. Bitte nutze möglichst verschlüsselte Wege sowie ein Gerät, das nicht deinem Arbeitgeber gehört.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.