Unsere Recherche mit dem BR zeigt: Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland. Uns liegt ein Datensatz mit Kennungen von bis zu 11 Millionen Geräten vor. Mit diesem Databroker-Checker kannst du jetzt testen, ob auch dein Gerät getrackt wurde.
Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.
Die Bewegungen von Millionen Menschen in Deutschland sind ein offenes Buch. Ihre Handys verraten genau, wo sie unterwegs sind. Die GPS-Daten fließen über Handy-Apps an Datenhändler und von dort in die ganze Welt. Wer will, kann sich diese Daten einfach besorgen.
In einer Recherche mit dem Bayerischen Rundfunk (BR) haben wir 3,6 Milliarden Standortdaten aus Deutschland ausgewertet. Wir haben sie von einem US-Datenhändler namens Datastream Group erhalten – und zwar kostenlos. Die gigantische Menge an Standorten war mit individuellen Kennungen verknüpft, den sogenannten „mobile advertising IDs“. Sie funktionieren ähnlich wie Nummernschilder: Es sind die Kennungen, die unsere Handys auf dem Werbemarkt einzigartig machen. Und sie sehen zum Beispiel so aus:
4f186o16-ka91-0561-q65t-95to6hq0oqh9
Mithilfe dieser IDs lassen sich aus mehreren Standorten genaue Bewegungsprofile bilden. Aus ihnen lässt sich ableiten, wo bestimmte Menschen wohnen und wo sie zur Arbeit gehen. Ob sie beispielsweise Suchtkliniken besuchen oder Bordelle. Ob sie regelmäßig zu einer Kita fahren oder Zutritt zu geschützten Militärgeländen haben.
Unser Datensatz ist nur ein kleiner Ausschnitt der weltweiten Tracking-Industrie. Und doch befinden sich darin rund 11 Millionen solcher IDs. Das heißt: Offenbar wurden Abermillionen Menschen in Deutschland getrackt.
Bin auch ich betroffen?
Wir haben ein Tool programmiert, mit dem du schnell und einfach testen kannst, ob auch dein Gerät in unserem Datensatz auftaucht. Das heißt: Ob eine oder mehrere deiner Apps deinen Standort erfasst und an Datenhändler weitergereicht haben.
Wichtig: Unser Datensatz bildet nur einen kleinen Ausschnitt ab. Wenn deine ID nicht in unserem Datensatz auftaucht, kann es trotzdem heißen, dass Datenhändler deine Bewegungen erfasst haben.
Den Databroker-Checker bedienst du so:
- Ermittle deine eigene „mobile advertising ID“. Das ist die einzigartige Kennung für dein Handy. Die Anleitung dafür steht weiter unten im Text.
- Gibt deine ID in das Tool ein. Das Tool antwortet dir entweder mit Ja oder mit Nein. Das heißt: Ja, deine ID taucht in unserem Datensatz auf. Oder: Nein, deine ID taucht nicht im Datensatz auf.
Databroker-Checker
Sind meine Standorte in dem Datensatz erfasst?
PrüfenWaiting for result …
Das Tool sagt, deine ID ist im Datensatz? Hier kannst du zu unserer Recherche beitragen.
Wie schützt der Databroker Checker meine Daten?
Auch wenn die wenigsten Menschen ihre mobile advertising ID überhaupt kennen dürften – es ist eine besonders sensible Angabe, ähnlich wie der eigene Name. Solche IDs wollen wir gar nicht erst horten. Deshalb wird jede ID, die du in den Databroker Checker eingibst, zuerst lokal auf deinem eigenen Gerät in einen Hash umgerechnet. Das bedeutet: Aus deiner ID wird eine neue Zeichenfolge, die man nicht mehr zurückverwandeln kann. Und nur dieser Hash landet dann bei uns, für die Abfrage beim Databroker Checker.
Auch die rund 11 Millionen IDs aus unserem Datensatz haben wir gehasht. Der Databroker Checker überprüft also lediglich: Stimmt der eingereichte Hash mit einem der 11 Millionen Hashes aus dem Datensatz überein? Auf dieser Grundlage antwortet das Tool mit Ja oder Nein. Also: Ja, deine ID taucht im Datensatz auf – oder: Nein, sie taucht dort nicht auf.
Wir speichern weder deine Eingabe noch den getesteten Hash noch das Ergebnis.
Meine ID ist im Datensatz – was heißt das?
Wenn deine ID im Datensatz auftaucht, heißt das: Wahrscheinlich wurde der Standort deines Handys an den Datenhändler geschickt, von dem wir den Datensatz erhalten haben. Werbefirmen, Geheimdienste und andere können leicht verfolgen, wo du dich aufhältst.
Du kannst in den Systemeinstellungen prüfen, welche deiner Apps auf den Standort zugreifen dürfen – und das dort auch untersagen. Mehr dazu erklären wir hier.
Eines muss man aber noch beachten: Manche IDs aus dem Datensatz wurden offenbar verändert. Das heißt, die Zahlen und Buchstaben wurden durch andere ersetzt. Dabei könnte zufällig deine ID herausgekommen sein, ohne, dass wirklich deine Standorte im Datensatz stehen. Die Antwort unseres Tools kann dir deshalb keine absolute Gewissheit geben.
Hier erklären wir, wie du deinen Handy-Standort vor Tracking schützen kannst und wie du dich für deine Rechte einsetzen kannst. Wer denkt, dass die eigenen Daten zu Unrecht bei dem Datenhändler gelandet sind, kann zum Beispiel Beschwerde bei einer Datenschutzbehörde einlegen.
Meine ID ist nicht im Datensatz – was heißt das?
Wir haben von einem einzelnen Datenhändler einen begrenzten Datensatz mit 11 Millionen verschiedenen IDs erhalten – und deine ID ist nicht dabei? Gut!
Aber: Das ist leider keine Entwarnung. Der Standort deines Handys kann trotzdem bei Datenhändlern und ihren Kund*innen gelandet sein.
Zum einen enthält unser Datensatz einige Ungenauigkeiten. So wurden manche IDs offenbar verändert. Es kann also sein, dass zwar deine ID nicht im Datensatz auffindbar ist – aber deine Standorte schon.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Jetzt Spenden
Zum anderen ist der Datensatz, der uns vorliegt, nur ein kleiner Ausschnitt aus dem globalen Datenhandel. Da draußen gibt es bestimmt noch weitaus mehr Daten. Potenziell gefährdet sind also alle Nutzer*innen, die ihren Apps mindestens zwei Dinge erlaubt haben: Erstens, den eigenen Standort zu nutzen, und zweitens, diesen Standort an Datenhändler weiterzugeben.
Wo finde ich meine mobile advertising ID?
Auf Google-basierten Android-Geräten hat die mobile advertising ID den Namen Werbe-ID. Finden kann man sie auf diesem Weg: Einstellungen > Google (Google-Dienste) > Alle Dienste > Werbung. Dort kannst du die ID auch löschen. Je nach Android-Version kann sich der Klickweg leicht unterscheiden.
Auf Apple-Handys mit iOS hat die mobile advertising ID den Namen: IDFA („Identifier for Advertisers“). Leider ist sie versteckt. Zum Auslesen braucht es Drittanbieter-Apps wie My Device ID oder Adjust Insights und diese Apps benötigen leider die Erlaubnis zum App-Tracking. Deshalb lösche sie besser, sobald du mit ihrer Hilfe deine ID herausgefunden hast.
Wie kann ich netzpolitik.org bei der Recherche unterstützen?
Du möchtest zu unserer Recherche beitragen? Wir wollen mehr darüber herausfinden, welche Apps unsere Standorte an Datenhändler verraten. Schreibe Sebastian oder Ingo gerne eine E-Mail, wenn deine ID im Datensatz auftaucht. Dann können wir weitere Schritte besprechen.
Schreibe uns auch gerne eine E-Mail, wenn du mit dem Thema vertraut bist und weitere Hinweise hast. Achte darauf, dass du uns auf einem verschlüsselten Kanal schreibst und kein Gerät von deinem Arbeitgeber benutzt.
Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.