Datenhändler verbreiten die Standorte von Menschen in Deutschland – teils sogar kostenlos, wie Recherchen von netzpolitik.org und BR zeigen. Ein Datensatz mit 3,6 Milliarden Einträgen offenbart genaue Bewegungsprofile und eine neue Dimension der Massenüberwachung.
Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.
3,6 Milliarden Punkte häufen sich auf unserer Deutschland-Karte. Es sind die Koordinaten von Millionen von Telefonen. Ein Muster ist in den Milliarden Punkten zunächst nicht zu erkennen. Zu viel Information. Doch zu jedem Punkt gibt es eine eindeutige Kennung, die „mobile advertising ID“ (MAID).
Apple und Google verwenden sie, damit die Werbeindustrie einzelne Handys oder Tablets unterscheiden kann. Legt man alle Standorte, die mit einer bestimmten ID verknüpft sind, auf eine Karte, zeichnet sich im Meer aus Punkten ein Muster ab.
Wie Perlenketten reihen sich die Punkte entlang der Wegstrecken, die eine Person zurückgelegt hat. Etwa ins Büro oder in die Natur. Wie Konfettihaufen häufen sich die Punkte dort, wo die Person die meiste Zeit verbringt, etwa Zuhause und auf der Arbeit.
Wer die Standortdaten auf der Deutschland-Karte verfolgt, kann daraus den Alltag von Menschen ablesen. Manches erscheint zunächst weniger aufregend, beispielsweise die Fahrt über eine Hauptverkehrsstraße. Anderes dagegen ist geradezu intim, etwa der Besuch einer Entzugsklinik oder eines Swinger-Clubs.
Hunderte Gigabyte als Kostprobe
Ein Datensatz mit 3,6 Milliarden Standortdaten könnte einem Leak aus einer monumentalen Geheimdienst-Operation entstammen. Doch weit gefehlt: Die Herkunft der Daten ist weitaus weniger spektakulär.
Sie stammen aus den riesigen Datensammlungen der Werbeindustrie. Üblicherweise nutzen Firmen die Daten, um das Verhalten von Menschen zu analysieren und sie mit zielgerichteter Werbung zu beeinflussen.
Unser Datensatz ist eine Kostprobe, die wir gratis von einem US-Händler erhielten. Den Kontakt zum Händler stellten wir über einen Online-Marktplatz namens Datarade her. Er bringt Verkäufer*innen und Käufer*innen zusammen und wird von einer deutschen Firma betrieben. Sie sitzt in Berlin und macht den Eindruck eines hippen Start-ups. Das Gruppenfoto des Teams zeigt heitere Menschen im Grünen. Über den High-Tech-Gründerfonds sind auch Fördergelder der Bundesregierung an Datarade geflossen.
Die Daten selbst kommen von der US-Firma Datastream Group. Sie bietet solche Standortdaten im monatlichen Abonnement an. Laut Angebot stammen sie aus bis zu 163 Ländern und werden stündlich aktualisiert. Man könne sie für personalisierte Werbung einsetzen, heißt es. Oder um geeignete Orte für den Kauf von Immobilien zu finden.
Auf einem Datenmarkt läuft das in der Regel so: Erkundigt man sich dort nach Angeboten, erhält man von den Händlern oft kostenlos einen Datensatz als Vorschau. In unserem Fall waren das die 3,6 Milliarden Standortdaten aus Deutschland. Sie waren nur wenige Monate alt.
Manche Datenhändler bestehen zunächst auf einem Videogespräch, um herauszufinden, was Interessierte mit den Daten vorhaben. Unsere Standortdaten erhielten wir ohne ein solches Gespräch.
Stichproben zeigen: Die Daten sind echt
Die Recherchen von netzpolitik.org und BR basieren also nur auf einer vergleichsweise kleinen Kostprobe des weltweiten Datenhandels. Doch die Einblicke reichen aus, um eine neue Dimension der Massenüberwachung sichtbar zu machen. In den Daten stecken elf Millionen verschiedene Werbe-IDs. Es sind in Deutschland geortete Telefone und ihre Bewegungen, datiert auf zwei Monate Ende 2023.
Um zu testen, ob die Daten echt sind, haben wir in Stichproben erfolgreich Betroffene identifiziert. Sogar im eigenen Umfeld fand das Recherche-Team getrackte Personen.
Der Datensatz enthält zwar keine Namen oder Telefonnummern, aber anhand der Bewegungsprofile lässt sich oft herausfinden, welche Person sich hinter einer ID verbirgt. In einigen Fällen genügte schon eine Google-Suche, um die Menschen hinter den Bewegungsprofilen zu identifizieren. Denn aus der Häufung von Standortdaten lässt sich leicht ableiten, wo jemand vermutlich wohnt und arbeitet. Wer in einem Einfamilienhaus wohnt, ist besonders einfach zu finden. Zahlreiche Menschen stehen im Telefonbuch, nennen ihren Arbeitgeber auf LinkedIn.
„Es geht um die Privatsphäre aller“
„Verbraucher*innen sind der Werbeindustrie offenbar ausgeliefert“, sagt Ramona Pop, Präsidentin des Verbraucherzentrale Bundesverbands, als Reaktion auf die Recherchen. Die Risiken seien unüberschaubar, der Handel höchst problematisch.
„Es geht um die Privatsphäre aller Menschen, die in der Bundesrepublik leben“, sagt der Bundestagsabgeordnete Konstantin von Notz (Grüne). Er beschäftigt sich intensiv mit Überwachung und nationaler Sicherheit. Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Geheimdienste des Bundes überwachen soll. Letztlich widerspreche der Verkauf solcher Standortdaten der Menschenwürde, sagt von Notz. Es sei eine der „Grundvoraussetzungen unserer Demokratie“, dass sich Menschen „unbeobachtet und ungestört in diesem Land bewegen können“.
Weder der in Deutschland ansässige Datenmarktplatz Datarade noch die US-Firma Datastream haben unsere Presseanfragen beantwortet.
Zu einer ähnlich gelagerten Recherche des niederländischen BNR Nieuwsradio im Januar schrieb Datarade (übersetzt aus dem Niederländischen): „Als Plattform fungieren wir nur als Vermittler. Wir selbst verkaufen keine Datensätze. Datenhändler können ihre Datensätze auf unserer Plattform zum Verkauf anbieten, um mit Interessenten in Kontakt zu treten. Selbstverständlich lassen wir nur legale Inhalte auf unserer Plattform zu, wie es auch in unseren Allgemeinen Geschäftsbedingungen steht. […] Datarade hält es für wichtig, gegen Rechtsverstöße vorzugehen.“
Standortdaten verraten Klinikaufenthalte
Welche Strecken legt man wohl in zwei Monaten zurück? Welche Ausflüge sind privat, welche intim? Vielleicht möchte man nicht jedem sagen, zu welchen Demos, Konzerten und Raves man geht. Oder man möchte den Besuch bei der Tafel, auf dem Polizeirevier, bei der Therapeutin oder in der Kinderwunschklinik für sich behalten.
Wir haben stichprobenartig überprüft, ob der Datensatz solche Kenntnisse bereithält. So fanden wir beispielsweise Standortdaten auf dem Gelände von zehn Fachkliniken für Psychiatrie und Abhängigkeitserkrankungen. Orte also, wo Menschen in Notsituationen Hilfe suchen, ohne aller Welt davon erzählen zu wollen.
64 verschiedene Werbe-IDs fanden wir auf dem Gelände der Frankenalb-Klinik Engelthal, die sich unter anderem auf Psychosomatik, Psychiatrie und Suchterkrankungen spezialisiert hat. Auf dem Gelände der Fachklinik Neue Rhön, einer hessischen Anlaufstelle für Suchterkrankungen, gab es 36 IDs im Datensatz. 29 IDs waren es bei der Fachklinik Menterschwaige im Süden von München. Je 27 IDs bei der Vincera Klinik Spreewald und der Fontane Klinik, beide in Brandenburg.
Nicht jede Werbe-ID im Datensatz lässt sich direkt einer Person zuordnen. Für viele IDs gibt es nur wenige verstreute Punkte. Das könnte daran liegen, dass wir nur einen kleinen Ausschnitt der erfassten Standortdaten vorliegen haben. In einigen Fällen reichen die Standorte im Datensatz jedoch aus, um daraus auf Wohnorte und Personen zu schließen, etwa Besucher*innen oder Angestellte der Fachkliniken.
Wir haben uns allerdings entschieden, diese Menschen nicht zu kontaktieren, um einzelne Fälle zu prüfen. Denn wenn wir Patient*innen erreichen, wollen wir sie durch eine solche Anfrage nicht retraumatisieren. Auch möchten wir nicht versehentlich mit Angehörigen sprechen, die bislang nichts von dem Klinikaufenthalt einer ihnen bekannten Person wissen.
Standorte aus Swinger-Clubs, Bordellen, Gefängnissen
Der Datenhändler hatte auch Standorte von Telefonen an weiteren sensiblen Orten im Angebot, etwa Swinger-Clubs wie „Schloss Milkersdorf“ in Brandenburg, das „erotische Schlossnächte“ veranstaltet. Oder dem bayerischen „Club Rendezvous“, der auf seiner Website betont: „Anonymität ist unser oberstes Gebot“.
Viele Swinger-Clubs siedeln sich bewusst nicht inmitten der Stadt an. Die Swinger*innen wollen vor oder nach der Party nicht zufällig Bekannten über den Weg laufen. Doch gerade durch die diskrete Lage sind die Besucher*innen der Clubs besonders exponiert für Handy-Ortungen. Aus dieser Vogelperspektive fällt ihr Ausflug umso mehr ins Auge.
Auch in deutschen Rotlichtvierteln wurden Handys geortet. Ob bei einem kleinen Etablissement wie dem „Haus 16“ in Saarbrücken oder einem Großraumbordell wie dem „Artemis“ in Berlin – wir konnten im Datensatz zahlreiche Besucher*innen ausfindig machen und ihre Wege bis zu ihren mutmaßlichen Wohnorten verfolgen. So etwa bei einer Person, die offenbar im noblen Schlachtensee-Viertel in Berlins Süden wohnt. Im November 2023 besucht sie laut Datensatz das Artemis. Vom schmucken Einfamilienhaus ist das Bordell über die Autobahn in 15 Minuten erreichbar. Später geht es weiter in ein teures Kleidungsgeschäft in Charlottenburg.
In einem Fall lassen sich die Bewegungen einer Person im Rotlichtmilieu über mehrere Wochen hinweg beobachten. Immer wieder wird ihr Telefon „Im Winkel“ geortet. Das ist eine kleine Straße in Bochum mit Nachtclubs und Bordellen. Nur sonntags hält sich die Person dort nicht auf. Augenscheinlich wohnt sie nur wenige Autominuten entfernt in einem schlichten Mehrfamilienhaus. Dort häufen sich die Standortdaten, vor allem morgens und abends. Gehört das geortete Telefon womöglich einer Sexarbeiter*in? In diesem Fall dürfte ihre Privatadresse besonders schützenswert sein.
Zahlreiche Standortdaten fanden wir zudem auf dem Gelände von Gefängnissen, darunter die Justizvollzugsanstalt München-Stadelheim oder die JVA Tegel in Berlin. 272 Werbe-IDs fanden wir in der Berliner JVA Plötzensee. Darunter auch das Bewegungsprofil einer Person, die mehrere Tage durch die Stadt zum JVA-Krankenhaus reiste und vermutlich dort arbeitet. Auf Nachfrage bestätigt uns die Berliner Senatsverwaltung für Justiz und Verbraucherschutz: Es könne zutreffen, dass es sich dabei um eine Person handelt, die in dem Krankenhaus tätig ist.
„Massives Sicherheitsrisiko“ für Betroffene digitaler Gewalt
Derart leicht zugängliche Bewegungsprofile von Abermillionen Menschen stellen eine große Gefahr dar. „Für Betroffene von digitaler Gewalt ist das ein massives Sicherheitsrisiko“, schreibt uns Anna Wegscheider, Juristin bei der gemeinnützigen Organisation HateAid. Stalker*innen könnten solche Daten nutzen, um andere ausfindig zu machen. Privatadressen lassen sich etwa für Swatting missbrauchen, also falsche Notrufe bei der Polizei.
Beim sogenannten Doxing veröffentlichen Täter*innen private Informationen über eine Person, um sie einzuschüchtern. Auch Bewegungsprofile könnten zu diesem Zweck veröffentlicht werden, warnt Wegscheider. „Auf die psychische Verfassung der Betroffenen hätte das massive Auswirkungen, für sie dürfte jegliches Gefühl von Sicherheit im digitalen wie analogen Raum verschwinden.“ Außerdem müssen sie damit rechnen, dass Täter*innen sie etwa auf dem Weg zur Arbeit abfangen. Finden sich in den Daten schambehaftete Dinge wie Bordellbesuche, seien auch Erpressung und Nötigung nicht auszuschließen.
Der Handel mit Standortdaten bedroht nicht nur die Privatsphäre von potenziell Millionen von Handy-Nutzer*innen in Deutschland, sondern auch die nationale Sicherheit. In diesem Text berichten wir, wie wir sogar Angehörige von Sicherheitsbehörden identifizieren konnten – und wie genau wir an die Daten gelangt sind. Außerdem haben wir ein Tool gebaut, mit dem Interessierte prüfen können, ob ihre eigene ID im Datensatz auftaucht. Hier erklären wir, wie man seinen Handy-Standort besser schützen kann.
Wie Datenhändler Deutschlands Sicherheit gefährden
So fließen Standortdaten an Datenhändler
Woher kommen all die Standortdaten? Wie gelangen GPS-Daten von Handys in Deutschland an einen US-amerikanischen Datenhändler? Den Weg der Daten können wir teilweise nachvollziehen, es gibt jedoch Lücken. Das beginnt bei unseren Smartphones, die wie ausgefeilte Peilsender funktionieren.
Besonders genau ist die Ortung per GPS. Aber auch über WiFi oder die IP-Adresse lassen sich unsere Telefone orten. Viele Apps fragen uns, ob sie den Handy-Standort nutzen dürfen. Zum Beispiel Apps für Navigation, Dating oder Wettervorhersagen. Und oft bitten uns die Apps um eine weitere Erlaubnis – und die ist folgenschwer.
Mit einem einfachen Klick auf „Akzeptieren“ sollen wir dann zustimmen, dass eine App unsere Daten für Werbung und Tracking nutzen darf. Meist lassen uns Apps dabei jedoch keine echte Wahl: Entweder wir stimmen der Überwachung zu, oder wir können die App nicht nutzen. Neben den Standortdaten wollen Apps in der Regel auch die einzigartige Kennung unseres Geräts erfassen, die „mobile advertising ID“. Sie macht Mobiltelefone eindeutig identifizierbar.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Jetzt Spenden
Viele Apps nutzen diese Erlaubnis, um die erfassten Daten nicht nur an einen, sondern an Hunderte Händler zu verkaufen. So verbreiten sich die Daten oft „explosionsartig“, wie es im vergangenen Jahr der Datenschutzjurist Marco Blocher von der Wiener Organisation noyb im Rahmen unserer Recherchen zum Datenmarktplatz Xandr beschrieb. Für Nutzer*innen sei das ein „totaler Kontrollverlust“.
Dass Abermillionen Handys auf diese Weise ständig sensible Daten preisgeben, ist seit Jahren bekannt. Viele Nutzer*innen haben sich daran gewöhnt oder wollen nicht so genau darüber nachdenken. Es tut einem ja auch nicht weh, solange man nicht im Detail erfährt, was mit den Daten passiert. Oder wie solche Bewegungsprofile aussehen, die unser Leben zu einem offenen Buch machen.
Du weißt mehr über die Databroker-Branche oder hast andere Hinweise für das Recherche-Team? Hier kannst du Sebastian oder Ingo erreichen. Bitte nutze möglichst verschlüsselte Wege sowie ein Gerät, das nicht deinem Arbeitgeber gehört.
Das sagt Datastream zur Herkunft der Daten
In unserer Rolle als potenzieller Kunde wollten wir von Datastream wissen, von welchen Apps genau die Standortdaten und Werbe-IDs aus unserem Datensatz kommen. Doch auch auf mehrfache Nachfrage erhielten wir keine präzise Antwort. Möglicherweise möchte das Unternehmen das nicht preisgeben – oder es weiß es selbst nicht.
Oft rühren Datenhändler die erworbenen Daten aus mehreren Quellen zusammen, bereiten sie auf und verkaufen sie weiter. Es ist daher durchaus möglich, dass Akteure weiter hinten in der Verwertungskette nicht genau sagen können, woher die Daten ursprünglich stammen. Auch bei Datastream könnte das der Fall sein.
Was wir wissen: Im Angebot von Datastream ist von „GPS“-Daten die Rede. Die Standorte im Datensatz sind mobilen Werbe-IDs von iOS und Android zugeordnet. Und im Angebot ist die Rede von sogenannten SDKs („software development kits“). So nennt man Software-Pakete für Apps, die verschiedene Funktionen erfüllen können. In unserem Fall: Daten an Tracking-Firmen weiterleiten, um damit Geld zu verdienen. Entwickler*innen müssen so etwas nicht für jede App selbst entwerfen, sondern können auf bereits fertige SDKs zurückgreifen.
Diese Fehler entdeckten wir in den Daten
Beim Erkunden der 3,6 Milliarden Standortdaten stießen wir auf einige Ungereimtheiten. Vieles spricht dafür, dass ein Teil der Werbe-IDs nicht korrekt ist. Die „mobile advertising ID“ ist eine individuelle Kennung für jedes Telefon. Sie sieht zum Beispiel so aus:
4f186o16-ka91-0561-q65t-95to6hq0oqh9
Allerdings fanden wir immer wieder sehr ähnliche Bewegungsprofile, die angeblich von fünf oder mehr verschiedenen Werbe-IDs stammen sollen.
Es ist unwahrscheinlich, dass so viele Menschen fünf oder mehr Handys parallel nutzen. Stattdessen halten wir es für plausibel, dass Standorte derselben Handys unter mehreren verschiedenen Werbe-IDs im Datensatz auftauchen. Das bedeutet, dass möglicherweise manche IDs im Datensatz geändert wurden. Beispielsweise könnte der Händler seinen Datensatz künstlich aufgebläht haben, um ihn größer erscheinen zu lassen. Unsere Fragen zum Datensatz ließ das Unternehmen unbeantwortet.
Deshalb sind wir vorsichtig damit, von einem Datensatz mit über 11 Millionen getrackten Personen zu sprechen. Es ist möglich, dass die 11 Millionen verschiedenen Werbe-IDs tatsächlich zu einer geringeren Anzahl Telefone gehören. Allerdings liefert unser Datensatz nur eine Vorschau auf den globalen Handel mit Standortdaten. Datastream und andere Händler bieten noch weitaus größere Datensätze an. Wir müssen deshalb davon ausgehen, dass potenziell alle Menschen betroffen sind, die ihren Apps erlaubt haben, den Standort zu nutzen und weiterzugeben.
Offenkundig stammen die Daten in unserem Datensatz aus verschiedenen Quellen, deren Angaben unterschiedlich präzise sind. Teilweise scheinen Bewegungen bis auf wenige Meter genau nachvollziehbar zu sein. Viele Standorte beschreiben Routen, die hauptsächlich zu Fuß zurücklegt werrden. Sie verlaufen zum Beispiel entlang von Spazierwegen oder den Eingangsbereichen von Gebäuden. Andere Bewegungsprofile wiederum zeigen nur Standorte entlang von Straßen.
Ein Kollege aus dem Recherche-Team fand seine eigene ID im Datensatz. Während von anderen Personen erschreckend detaillierte Bewegungsprofile vorlagen, gab es von ihm nur ungenaue Standorte, etwa einen Block von seiner Wohnung entfernt. Sie waren zudem mit einem Datum versehen, an dem der Kollege nicht in der Stadt war. Auch andere Betroffene wiesen uns auf Fehler in den Datumsangaben hin.
Wir haben also immer wieder Hinweise auf Unstimmigkeiten in den Daten entdeckt. Ungewöhnlich ist das nicht. In der Branche reicht es aus, wenn bei solch riesigen Datensätzen zumindest ein Teil der Daten stimmt. Das NATO-Forschungszentrum Stratcom schreibt dazu: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“
So sollen die Daten Verbraucher*innen beeinflussen
Auf diese Weise ist in den vergangenen Jahren eine kaum beachtete Milliardenindustrie entstanden, die möglichst viel über uns wissen will, aber selbst weitgehend intransparent ist. Ein eng verwobenes Netzwerk aus tausend Firmen macht nichts anderes, als möglichst viele Daten von möglichst vielen Menschen anzuhäufen. Ihr Ziel: Das Verhalten von Menschen so genau wie möglich zu analysieren, um sie mit zielgerichteter Werbung manipulieren zu können.
Mit unseren Recherchen zu den 650.000 Zielgruppenkategorien der Werbeindustrie haben wir schon im vergangenen Jahr gezeigt: Es gehört in der Branche dazu, selbst persönliche Schwächen von Menschen ins Visier zu nehmen. So konnten wir zahlreiche Segmente finden, mit denen Werbetreibende gezielt „fragile Senioren“ ansprechen konnten, „Familien in Schwierigkeiten“ oder Menschen mit Spielsucht.
Die Recherchen zeigten damals auch, dass sogar zahlreiche deutsche Firmen in dem Geschäft mitmischen, darunter Tochterunternehmen von ProSiebenSat1 und der Deutschen Telekom.
Standortdaten sind in dieser Branche besonders wertvoll. Unternehmen wie der Berliner „Location Intelligence“-Spezialist Adsquare versprechen ihren Werbekund*innen, dass sie ihre Zielgruppen immer genau an dem Ort erreichen können, wo sie sich gerade aufhalten. Menschen, die oft durch Luxusboutiquen bummeln, Menschen die häufig in Fastfood-Restaurants schlemmen, Menschen die Geldautomaten einer bestimmten Bank aufsuchen.
Zugleich geben sie Werbekunden Einblicke in das Verhalten ihrer Zielgruppen, etwa dass Menschen, die in dein Geschäft kommen, auch häufig das Fitnessstudio besuchen oder dass sie ein teures Auto fahren.
DSGVO schützt nicht vor Marktplätzen
Kann das alles überhaupt legal sein? Die Datenschutzgrundverordnung (DSGVO) definiert mehrere rechtliche Grundlagen, um personenbezogenen Daten zu verarbeiten. Datenschutzbehörden, Fachleute und Gerichte bekräftigen jedoch immer wieder die Auffassung: Wer Daten für Werbezwecke sammeln will, der braucht dafür die freiwillige und informierte Einwilligung der Betroffenen.
Das heißt, Menschen müssen verstehen, was mit ihren Daten geschehen soll, und sie müssen dazu ausdrücklich zustimmen. Verstoßen Unternehmen dagegen, drohen ihnen Geldbußen in Millionenhöhe.
Verstehen die potenziell Millionen Betroffenen, dass Datenhändler ihre Bewegungsprofile international zum Verkauf anbieten, teils sogar gratis verschleudern? Können sie einer solchen Art der Überwachung wirklich informiert zugestimmt haben?
Konstantin von Notz findet: Nein. „Das halte ich nicht für tragbar“, sagt der Bundestagsabgeordnete im Interview. Einwilligungen, die Menschen in kleiner Schriftgröße „alle möglichen Unzumutbarkeiten unterjubeln“, das sei auf keinen Fall rechtskonform. „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden“, so von Notz. Wenn es tatsächlich so sein sollte, dass diese Praktiken legal seien, „dann ist am Ende der Gesetzgeber gefragt“. Weiter sagt er: „Dass etwas passieren muss, steht für mich völlig außer Frage. Das ist in der Form ein untragbarer Zustand“.
In der EU sind die Mitgliedstaaten dafür zuständig, die Datenschutz-Gesetze durchzusetzen. In Deutschland gibt es dafür je nach Bundesland eigene Behörden. Da zumindest der Marktplatz Datarade seinen Sitz in Berlin hat, haben wir die Ergebnisse unserer Recherche der Berliner Datenschutzbeauftragten Meike Kamp vorgelegt. Ihre Antwort ist ernüchternd.
Sie hält es zwar für äußerst unwahrscheinlich, dass eine rechtskonforme Einwilligung in die Verarbeitung der Standorte vorliegt. Vor allem, wenn Standorte sensible Daten wie Arztbesuche preisgeben, die durch die DSGVO besonders geschützt sind. Sitzt ein Datenhändler aber im Ausland, dann ist er für deutsche Behörden schwer greifbar. Der Händler könnte jede Aufforderungen zur Auskunft oder Löschung der Daten ignorieren. Kamp spricht von einem „stumpfen Schwert“.
Dennoch findet sie es sinnvoll, wenn sich betroffene Nutzer*innen beschweren, damit die Datenschutzbehörden gegen die Datenhändler vorgehen können.
Bist du selbst betroffen? Hier kannst du prüfen, ob deine Werbe-ID im Datensatz auftaucht.
Jetzt testen: Wurde mein Handy-Standort verkauft?
Beim Berliner Datenmarktplatz Datarade wiederum sieht Kamp keine Handhabe auf Grundlage der DSGVO. Denn der Marktplatz verarbeitet selbst keine Daten, sondern stellt lediglich den Kontakt zwischen Käufer*innen und Verkäufer*innen her.
Oberste Verbraucherschützer*innen wollen Tracking verbieten
Deutschlands wichtigste Institutionen für Verbraucherschutz fordern als Reaktion auf unsere Recherche nicht weniger als ein Ende des Datensammelns.
„Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden“, schreibt etwa die Präsidentin des Verbraucherzentrale Bundesverbands, Ramona Pop. Dafür müsse sich die Bundesregierung auf europäischer Ebene starkmachen.
Das Bundesministerium für Verbraucherschutz (BMUV) teilt mit: „Derartige sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für kommerzielle Zwecke Dritter verfügbar sein“. Sind die Daten erst einmal in die Werbenetzwerke eingespeist, würden Nutzer*innen jegliche Kontrolle verlieren, der Missbrauch der Daten lasse sich kaum verhindern. Im Wissen um das Tracking könnten Menschen etwa von der Teilnahme an einer Demo absehen. „Das schränkt ihre individuelle Freiheit ein, ihre soziale Teilhabe und belastet die für eine freiheitliche Demokratie so wichtige breite und unbefangene gesellschaftliche Teilhabe.“
Das Bundesministerium setze sich deshalb für eine Regulierung ein, die „einen konsequenten Wechsel auf alternative Werbemodelle“ fördert, die ohne personenbezogene Daten auskommen.
Ähnliches fordert auch die Bundestagsabgeordnete Martina Renner (Linkspartei). „Aus meiner Sicht muss der kommerzielle Datenhandel, erst recht mit solch sensiblen Daten, untersagt werden.“
Diese Forderung kommt auch aus der Wissenschaft. Für den Wiener Tracking-Forscher Wolfie Christl sind die Erkenntnisse aus den Recherchen eine „Bankrotterklärung des Datenschutzes“. Er schreibt: „Die Recherche zeigt, dass der kommerzielle Missbrauch persönlicher Daten völlig außer Kontrolle ist.“
Reformen in der EU – einen Anlauf dafür gab es schon. Konkrete Pläne für mehr Schutz vor Werbetracking. Doch die geplante ePrivacy-Verordnung wurde unter anderem durch Lobbykampagnen aus der Industrie gestoppt. Die jahrelangen Verhandlungen verliefen im Sande.
Designierte BfDI: Gefährliche Datenverarbeitung verbieten
Zeit für einen neuen Anlauf? Louisa Specht-Riemenschneider ist designierte Bundesdatenschutzbeauftragte, derzeit aber noch Professorin für Datenrecht und Datenschutz an der Universität Bonn. Und sie bemängelt ein grundsätzliches Problem: „Der Gesetzgeber weiß, dass die Einwilligung im Datenschutzrecht nicht funktioniert, und hält wider besseres Wissen an ihr fest.“
Sie kritisiert, dass die DSGVO vor allem darauf beruht, dass die Nutzer*innen in die Verarbeitung ihrer Daten einwilligen. Diese Form der Selbstbestimmung bestehe aber nur auf dem Papier. Meist würden die Nutzer*innen die langen Datenschutzbestimmungen nicht nachvollziehen können oder hätten keine Alternative. Etwa, weil sie eine App für den Austausch mit der Familie brauchen.
Die Verantwortung sollte weniger beim Einzelnen als beim Gesetzgeber liegen, findet Specht-Riemenschneider. „Ich wünsche mir, dass wir schauen: Wo sind eigentlich die Datenverarbeitungen, die wir gesellschaftlich haben wollen, und wo sind die, die wir nicht haben wollen? Und die, die wir nicht haben wollen, die muss ich dann auch ganz klar verbieten.“ Als Beispiel für gesellschaftlich gefährliche Arten der Datenverarbeitung nennt sie Bewegungsprofile.
Wenn es um Datenmarktplätze geht, sieht Specht-Riemenschneider wenig Hoffnung in der Datenschutzgrundverordnung. Denn die DSGVO bezieht sich auf die Verarbeitung von Daten – nicht auf die Vermittlung zu Datenhändlern.
Die designierte Bundesdatenschutzbeauftragte spricht von einer „Rechtsschutzlücke“. Sie habe dabei Dienste im Blick, die zwar selbst keine Daten verarbeiten, aber dazu beitragen, etwa indem sie Kontakte zwischen Datenhändlern und Käufer*innen anbahnen. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beispiel im derzeit zu reformierenden Bundesdatenschutzgesetz“. Diese Reform verhandelt aktuell der Deutsche Bundestag, Regeln für den Datenhandel sind bislang nicht vorgesehen.
Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.