Politik und Behörden reagieren auf unsere Recherchen mit dem BR zum Handel mit Standortdaten. Ein US-Senator schaltet das Pentagon ein, das Verbraucherschutzministerium fordert EU-Gesetze. Und eine Rechtsanwältin sagt: Schon jetzt könnten sich Händler und Käufer*innen strafbar machen.
Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.
Am Dienstag haben wir eine gemeinsame Recherche mit dem Bayerischen Rundfunk zum unkontrollierten Handel mit Standortdaten veröffentlicht. In den „Databroker Files“ haben wir über einen Datensatz mit 3,6 Milliarden Standorten von bis zu elf Millionen Handys in Deutschland berichtet, den wir über einen Berliner Datenmarktplatz von einem Datenhändler aus den USA erhalten haben. Wir konnten daraus detaillierte Bewegungsprofile von zahlreichen Menschen aus sicherheitsrelevanten Bereichen ableiten, etwa aus Behörden, Militär und Geheimdiensten.
Seitdem schlägt die Veröffentlichung hohe Wellen. Zahlreiche deutsche Medien haben die Recherche aufgegriffen. „Handydaten werden missbraucht wie im Thriller, nur noch schlimmer“, titelte etwa die Süddeutsche Zeitung. Der SPIEGEL zitiert den irischen Datenschutzaktivisten Johnny Ryan, der den unkontrollierten Datenhandel im Allgemeinen als „größtes Datenleck aller Zeiten“ bezeichnete. Das österreichische ORF schreibt von einer „schmutzigen Praxis“, die durch die Recherche aufgedeckt wurde.
US-Senator informiert Pentagon
Inzwischen sind die Wellen auch über den Atlantik geschwappt: „Es ist empörend, dass US-amerikanische Datenhändler Standortdaten weitergeben, die von Tausenden von Handys gesammelt wurden, die US-Militärstützpunkte in Deutschland besucht haben“, schreibt uns der demokratische US-Senator Ron Wyden auf Anfrage. Unsere Recherche hatte gezeigt, dass selbst Bewegungsprofile von Personen zu finden sind, die an einem Standort in Bayern arbeiten, an dem der US-amerikanische Auslandsgeheimdienst NSA mit dem BND kooperieren soll.
„Die unkontrollierte Branche der Datenhändler stellt eine klare Bedrohung für die nationale Sicherheit dar“, schreibt uns Wyden weiter. „Ich habe beim Pentagon bereits ein Briefing angefordert und setze mich weiterhin für ein Gesetz ein, das die Ausfuhr personenbezogener Daten streng regelt.“ Das Pentagon ist das US-Verteidigungsministerium.
Wyden ist seit 1996 Senator für den Bundesstaat Oregon und eine treibende Kraft im US-Kongress für den Schutz von Grundrechten und eine bessere Kontrolle von Sicherheitsbehörden. In diesem Zuge hat er, gemeinsam mit der Federal Trade Commission (FTC) in den vergangenen Jahren auch verstärkt Databroker ins Visier genommen. Seine Untersuchungen hatten erst Anfang des Jahres aufgedeckt, dass Datenhändler Standortdaten an Abtreibungsgegner verkauften, die damit Menschen in Visier nahmen, die Abtreibungen suchen. Gemeinsam mit anderen hat er ein Gesetz eingebracht, dass das Geschäft von Datenhändlern einschränken soll. Anfang 2024 hat die FTC sogar US-Brokern den Handel mit Standortdaten untersagt.
Bundesregierung: Ministerin Lemke (Grüne) fordert EU-Gesetze
Eine strenge Regulierung des Datenhandels fordert in Reaktion auf unsere Recherche auch das Bundesministerium für Umwelt- und Verbraucherschutz von Steffi Lemke (Grüne). „Standortdaten sind äußerst sensibel, sie können dazu führen, dass Menschen konkret gefährdet werden, daher halten wir es für erforderlich, den Schutz von Standortdaten im EU-Recht deutlich zu verbessern“, sagte ein Sprecher der Ministerin gestern in der Bundespressekonferenz.
Sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für Dritte verfügbar seien, so der Sprecher weiter. Das Ministerium sei darüber hinaus der Auffassung, dass der Handel mit personenbezogenen Daten schon heute illegal ist, denn „die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist aus unserer Sicht mit dem Datenschutzrecht nicht vereinbar.“
Im Zuge unserer Veröffentlichung hatte bereits die Präsidentin des Verbraucherzentrale Bundesverbandes ein generelles Verbot gefordert: „Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern. Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden.“
EU-Parlament: „Erwarten dringend Gesetzesvorschlag“
Zumindest manche Abgeordnete im neu gewählten Europa-Parlament wären für eine Reform zu haben. „Das Grundrecht auf Schutz personenbezogener Daten verlangt, dass uns die Kontrolle der Verwendung unserer Daten möglich sein muss und wir mithin von Missbrauch geschützt werden“, sagt etwa Katharina Barley (SPD), Vizepräsidentin des EU-Parlaments. „Die Recherche zeigt eine klaffende Lücke dieses Schutzes auf, die geschlossen werden muss; unter Umständen auch durch eine Nachbesserung der Gesetzeslage“,
Weniger Zweifel daran, dass aktuelle Gesetze nicht reichen, hat Alexandra Geese (Grüne). „Wir brauchen eine komplette Neuordnung der Online-Werbung, die Datenprofile ausschließt“, sagt sie in Reaktion auf die Databroker Files. Persönliche Daten von Nutzer*innen würden nicht in die Hände der Werbeindustrie oder undurchsichtiger Datenbroker gehören. Aktuelle Gesetze wie Digitale-Dienste-Gesetz (DSA) und Datenschutzgrundverordnung (DSGVO) seien nicht ausreichend. „Wir erwarten dringend einen Gesetzesvorschlag der gerade neu gewählten EU-Kommissionspräsidentin Ursula von der Leyen“, sagt Geese.
Wir haben auch die FDP-Europapolitikerin und Verteidigungsexpertin Marie Agnes Strack-Zimmermann mit kurzer Frist um eine Statement gebeten und ergänzen es, wenn wir eine Antwort erhalten.
Bundestag: Abgeordnete fordern Konsequenzen
Bereits im Zuge der Veröffentlichung hatten mehrere Bundestagsabgeordnete Konsequenzen gefordert. „Diese Daten dürfen in der Form nicht erhoben und dann auch nicht verkauft werden“, sagte etwa der Bundestagsabgeordnete Konstantin von Notz (Grüne). Er ist Vorsitzender des Parlamentarischen Kontrollgremiums, das die Geheimdienste des Bundes beaufsichtigt. Die Verfügbarkeit solcher Datensätze für fremde Dienste bezeichnete er als „relevantes Sicherheitsproblem“.
Roderich Kiesewetter (CDU), stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium sprach davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und „unsere Bürger vom Datenabgriff durch ausländische Staaten zu schützen.“
„Es kann nur einen Schluss geben: solche Geschäftsmodelle müssen beendet werden“, sagte Bundestagsabgeordnete Martina Renner (Linkspartei). Sowohl von Notz als auch Renner sehen zudem Klärungbedarf beim möglichen Kauf von Daten durch deutsche Geheimdienste. „Das wäre aus meiner Sicht schlicht illegal“, sagte Renner. Auch von Notz sah mit Blick auf die Rechtsgrundlage Diskussionsbedarf. Im Zuge der laufenden Geheimdienstreform „werden wir uns auch diesen Bereich noch mal genauer angucken.“
Konsequenzen hatte auch die designierte Bundesdatenschutzbeauftragte, Louisa Specht-Riemenschneider gefordert. Sie sprach angesichts des Geschäftsmodells von Datenmarktplätzen von einer Rechtsschutzlücke. „Hier ist der Gesetzgeber dringend angehalten, Lösungen zu finden, zum Beispiel im derzeit zu reformierenden Bundesdatenschutzgesetz.“
Rechtsanwältin: Datenhandel könnte bereits strafbar sein
Die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz von der Kanzlei Spirit Legal hält den in den Recherchen beschriebenen Datenhandel schon jetzt für rechtswidrig. „Das Datenschutzrecht kennt keine Generaleinwilligung, mit der personenbezogene Daten zur freien Handelsware werden“, schreibt sie. „Eine informierte Einwilligung ist daher unmöglich.“ Dabei verweist sie etwa auf Papiere der Datenschutzkonferenz und des Europäischen Datenschutzausschusses.
Außerdem verstoße das Vorhalten von Daten für unbestimmte Zwecke gegen den Zweckbindungsgrundsatz der DSGVO, in dem es heißt: „Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“
„Unter Umständen können diese Praktiken sogar strafbar sein“, schreibt Niekrenz weiter und verweist auf das Bundesdatenschutzgesetz (BDSG). Demnach steht es unter Strafe, nicht allgemein zugängliche personenbezogenen Daten einer großen Zahl von Personen ohne Berechtigung einem Dritten zu übermitteln oder anderweitig zugänglich zu machen, wenn man dabei gewerbsmäßig handelt. „So wie es die Verkäufer der Datensätze wohl tun“, schreibt sie.
Sogar die Käufer*innen der Datensätze könnten sich Niekrenz zufolge strafbar machen – wenn sie etwa mit der Absicht, sich zu bereichern oder andere zu schädigen, die Daten weiterverarbeiten. Abschließend beurteilen könne man die strafrechtliche Verantwortung nur im Einzelfall, so Niekrenz. Betroffene oder die Datenschutzaufsicht müssten dafür einen Strafantrag stellen.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.