Datenhändler verkaufen die Standortdaten von Millionen Menschen in Deutschland. Sie wurden angeblich nur zu Werbezwecken erfasst. Aber Recherchen von netzpolitik.org und BR zeigen: Mit den Daten lassen sich sogar Angestellte von Regierung, Militär und Geheimdiensten ausspionieren.
Diese Recherche ist eine Kooperation mit dem BR, zum Team gehören: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Robert Schöffel, Eva Achinger. Hier ist die Übersicht aller dazugehöriger Veröffentlichungen.
Am frühen Morgen verlässt die Person ihr Zuhause, irgendwo in Bayern. Sie steigt ins Auto und macht sich auf den Weg zur Arbeit. Die Fahrt endet auf dem Parkplatz eines Areals, zu dem nur wenige Menschen Zutritt haben. Es ist die Mangfall-Kaserne in Bad Aibling. Der Bundesnachrichtendienst (BND) betreibt hier eine Außenstelle.
Es ist ein Ort, der schon vor zehn Jahren für Schlagzeilen sorgte, denn womöglich überwacht von hier aus auch die NSA das Internet. Das jedenfalls zeigten im Jahr 2014 Dokumente, die der Whistleblower Edward Snowden veröffentlicht hat. Nach dem NSA-Skandal wurde die Zusammenarbeit ausgesetzt, doch 2016 berichteten deutsche Medien: Die gemeinsame Spionage von BND und US-Auslandsgeheimdienst gehe weiter.
Genau an diesem Ort geht die Person also ein und aus. Wir konnten ihre Bewegungen über mehrere Tage hinweg genau verfolgen. Daraus konnten wir ableiten, wo sie arbeiten und einkaufen geht. Beweisen können wir aus der Ferne nicht, dass sie für den US-Geheimdienst NSA arbeitet, aber vieles deutet darauf hin, zum Beispiel ihre Besuche an anderen US-Militärstandorten in Deutschland. Verraten hat sie nicht etwa eine aufwendige Spionageoperation – sondern ihr Handy.
Ihre Standortdaten sind Teil eines gigantischen Datensatzes. Es handelt sich dabei nicht etwa um Informationen aus einem Datenleck, die wir im Darknet gefunden haben. Sondern um Daten aus der Werbebranche, die wir auf einem öffentlichen Online-Marktplatz erhielten – und zwar kostenlos.
So enthüllen die Daten die Bewegungsprofile von zehntausenden Telefonen in Arealen von Militär und Geheimdiensten. In Stichproben haben wir die Wege zahlreicher Menschen gesichtet, die offenbar für Geheimdienste, Sicherheitsbehörden, Bundesministerien oder das Militär arbeiten.
Wir sahen ihre Bewegungen in Kasernen, Munitionsdepots und auf Übungsplätzen der Bundeswehr. In den Bundesministerien für Inneres und Verteidigung. Sogar an Standorten deutscher Geheimdienste, wo auch Agent*innen der NSA im Einsatz sein sollen.
Eine Gefahr für die nationale Sicherheit
Solche Bewegungsprofile bedrohen nicht nur die Grundrechte und Privatsphäre von Millionen Menschen, sondern sind auch eine Gefahr für die nationale Sicherheit, warnen Fachleute. Auf ihrer Grundlage lassen sich etwa Agent*innen oder Soldat*innen ausspionieren und verfolgen. Es lässt sich herausfinden, wo ihre Familien wohnen, wo und wann man ihnen auflauern könnte. Solche Daten können auch Erkenntnisse darüber liefern, wie Standorte von Militär oder Geheimdiensten genutzt werden.
Zwar ist bereits seit Jahren bekannt, dass Datenhändler die Standortdaten von Abermillionen Menschen verkaufen. Das zeigten Recherchen aus den USA, Norwegen den Niederlanden und der Schweiz. Forschende warnen eindringlich: Die Datensammelei der Werbe-Industrie ist auch in Europa eine Gefahr. Aber der Gesetzgeber hat die Spionagegefahr durch Werbe-Tracking bislang nicht ausreichend auf dem Schirm.
Jetzt zeigen die Recherchen von netzpolitik.org und BR: Die massenhafte Überwachung durch Handy-Ortung passiert auch in Deutschland. 3,6 Milliarden Standortdaten von Millionen Menschen enthält ein Datensatz, den wir ausgewertet haben. Sie stammen aus Handy-Apps und wurden offenbar für Werbezwecke erhoben.
Den Datensatz haben wir auf einem Datenmarktplatz erhalten. Betrieben wird der Marktplatz von der deutschen Firma Datarade aus Berlin. Datenhändler aus aller Welt können sich dort registrieren und ihre Daten anbieten.
Wer Kontakt zu den Händlern aufnehmen möchte, muss bei dem Marktplatz nur einen Account anlegen. Dafür genügt eine berufliche E-Mail-Adresse. Auch für Geheimdienste dürfte es ein Leichtes sein, sich an den Daten zu bedienen.
„Es ist Gefahr im Verzug“
Die Verfügbarkeit solcher Datensätze für fremde Dienste bezeichnet der Bundestagsabgeordnete Konstantin von Notz (Grüne) gegenüber netzpolitik.org und BR als „relevantes Sicherheitsproblem“. Das widerspreche den „Sicherheitsinteressen der Bundesrepublik Deutschland“. Als Vorsitzender des Parlamentarischen Kontrollgremiums schaut er den Geheimdiensten des Bundes auf die Finger.
Der Abgeordnete bezweifelt zudem stark, dass das Geschäft mit den Standortdaten überhaupt legal ist. Und wenn es legal wäre, dann müsse der Gesetzgeber handeln. „Das ist in der Form ein untragbarer Zustand“, sagt er. „Dass etwas passieren muss, steht für mich völlig außer Frage.“
Mit seinen Bedenken ist er nicht allein. Der Wiener Tracking-Forscher Wolfie Christl warnt: „Es ist Gefahr im Verzug. Das muss aufhören und zwar sofort.“ Ramona Pop, Präsidentin des Verbraucherzentrale Bundesverbands fordert: Tracking zu Werbezwecken müsse verboten werden. Und das Bundesministerium für Verbraucherschutz (BMUV) teilt mit: „Derartige sensible personenbezogene Informationen sollten in einer freien Gesellschaft nicht für kommerzielle Zwecke Dritter verfügbar sein.“
Das undurchsichtige System der Datenhändler
Es war verblüffend einfach, die Standortdaten von Millionen Telefonen zu erhalten. Noch vor fünf Jahren wurde der New York Times ein solcher Datensatz über anonyme Quellen zugespielt. Uns dagegen wurden die Daten überaus bereitwillig von einem US-Datenhändler angeboten.
Zuvor hatten wir uns mit Klarnamen und offizieller netzpolitik.org-E-Mail-Adresse auf dem deutschen Datenmarktplatz Datarade registriert und Interesse an Standortdaten bekundet. Was wir mit diesem Datensatz vorhaben, hatten Marktplatz und Datenhändler nicht kritisch hinterfragt. Für Geheimdienste dürfte es also kein Problem sein, sich solche Daten zu besorgen.
Die Daten stammen von Handy-Apps, die den Standort ihrer Nutzer*innen erfassen. Viele App-Anbieter verdienen damit Geld. Oft fließen die Daten direkt von den Apps zu Tracking-Firmen. Hinter dem Geschäft steckt ein undurchsichtiges Geflecht tausender Firmen. Sie sammeln und verkaufen Daten über das Verhalten von Menschen, angeblich nur zu Werbezwecken.
Hier kommt Datarade ins Spiel, der Datenmarktplatz mit Sitz in Berlin. Das Start-up wurde unter anderem durch den High-Tech Gründerfonds gefördert, an dem auch die deutsche Bundesregierung beteiligt ist. Datarade bringt Käufer*innen und Verkäufer*innen zusammen. Das Einkaufserlebnis soll möglichst unkompliziert sein, so als würde man Kleider shoppen, schreibt Datarade auf seinem Unternehmensblog.
Kostprobe mit 3,6 Milliarden Standortdaten
Also sind wir dort auf Shoppingtour gegangen, wobei wir nicht einmal Geld ausgeben mussten. Es ist üblich, dass Datenhändler gratis Kostproben anbieten. So können potenzielle Kund*innen zuerst die Qualität der Ware prüfen – ähnlich wie Käsewürfel an der Frischetheke im Supermarkt. Eine solche Kostprobe ist die Grundlage dieser Recherche.
Wir haben diese Kostprobe von einem US-amerikanischen Datenhändler namens Datastream Group erhalten. Allerdings war sie bei weitem nicht so leicht verdaulich wie ein Käsewürfel: Die 3,6 Milliarden Standortdaten entsprechen mehreren hundert Gigabyte reinem Text.
Jeder dieser 3,6 Milliarden Standorte im Datensatz ist mit Datum und Uhrzeit versehen. Demnach stammen unsere Daten aus einem Zeitraum von rund zwei Monaten im Herbst 2023. Verknüpft sind die Standortdaten zudem mit einer „mobile advertising ID“. Das ist eine eindeutige Zeichenfolge, die Apple und Google unseren Handys oder Tablets zuordnen, damit die Werbeindustrie sie eindeutig voneinander unterscheiden kann.
11 Millionen verschiedene Werbe-IDs fanden wir im Datensatz. Die Anzahl der Menschen, deren Bewegungen sich im Datensatz wiederfinden, ist vermutlich geringer. So entdeckten wir mehrere Hinweise auf augenscheinlich gleiche Bewegungsprofile, die jedoch mehreren IDs zugeordnet waren.
Stündlich neue Daten für zahlende Kund*innen
Unsere Recherchen stützen sich also auf ein paar hundert Gigabyte Standortdaten. Der Datensatz scheint nicht besonders viel wert zu sein, wenn der Händler ihn sogar verschenkt. Wertvoller ist dagegen der kontinuierliche, tagesaktuelle Datenstrom.
Unsere Kostprobe soll ein Abonnement schmackhaft machen: Für gut 14.000 US-Dollar monatlich verspricht die Datastream Group Kund*innen aktuelle Ortsdaten von 38 Millionen täglich aktiven Nutzer*innen aus bis zu 163 Ländern. Stündlich soll es demnach neue Daten geben. Das wäre der Rohstoff für die massenhafte Überwachung von Abermillionen Handys, nahezu in Echtzeit.
Um den Datensatz zu erkunden, haben wir mit BR ein Werkzeug entwickelt. Es zeigt die Standortdaten als kleine Punkte auf einer Deutschlandkarte. So werden Muster sichtbar: Die Punkte strömen gebündelt durch Straßen, mäandern durch Parks und Wälder, häufen sich in Wohnhäusern und Bürogebäuden.
Die Punkte ballen sich aber auch an Orten, die viele Menschen nicht betreten dürfen. Etwa, weil dort Militär und Geheimdienste tätig sind. Weil diese Orte besonders vor Spionage und Sabotage geschützt werden müssen.
Zum Beispiel der Fliegerhorst Büchel in Rheinland-Pfalz, wo das US-Militär Atomwaffen lagern soll. Hier finden sich im Datensatz rund 38.000 Standorte von 189 Werbe-IDs. Standortdaten finden sich auch am gemeinsamen Terrorismus-Abwehrzentrum (GTAZ) in Berlin, wo Vertreter*innen von Geheimdiensten und Sicherheitsbehörden zusammenarbeiten.
Bewegungsprofile an Geheimdienst-Standorten
Weitere Bewegungsprofile fanden wir in der Graf-Zeppelin-Kaserne Calw, wo das Kommando Spezialkräfte (KSK) stationiert ist, die militärische Spezialeinheit für Sondereinsätze der Bundeswehr. Oder im Münchner Standort des Rüstungsunternehmens KNDS (früher: Krauss-Maffei Wegmann), von dem etwa deutsche Kampf- und Schützenpanzer stammen. Oder in Camp Kherson, einem Truppenübungsplatz im bayerischen Grafenwöhr, wo US-Amerikaner*innen hunderte ukrainische Soldat*innen an Abrams-Panzern ausbilden.
Die Punkte ziehen sich sogar durch Areale, wo Berichten zufolge auch US-amerikanische Agent*innen der NSA ein- und ausgehen.
All das ist nur eine Auswahl; die Beispiele könnte man beliebig fortsetzen. Die Milliarden Punkte mit georteten Telefonen finden sich in nahezu jedem Winkel Deutschlands.
Weil die Standortdaten im Datensatz mit Werbe-IDs verknüpft sind, lässt sich gezielt beobachten, welche Wege die einzelnen Handys zurücklegen – beziehungsweise deren Besitzer*innen. Kasernen, Ministerien und Wohngebäude. Supermärkte, Kitas und Spielplätze.
Spur führt zu Gebäude mit NSA-Bezug
Die Privatadressen vieler Menschen stehen im Telefonbuch, ihre Arbeitsplätze offenbaren sie etwa auf LinkedIn. Teils veröffentlichen sie in sozialen Medien, wo sie unterwegs waren. Auf diese Weise lassen sich Bewegungsprofile aus dem Datensatz mit hoher Wahrscheinlichkeit realen Personen zuordnen. Dafür genügte uns teils eine Google-Recherche.
So kamen wir auch der oben beschriebenen Person auf die Spur, die möglicherweise Verbindungen zur NSA hat. Dutzende Male konnten wir ihren Arbeitsweg nachverfolgen. Ob in Bad Aibling bis heute NSA und BND gemeinsam spionieren, beantwortete man uns auf Anfrage nicht. Mehr über diese Spurensuche erzählen die BR-Kolleg*innen hier.
Anhand der Daten identifizierten wir auch eine Person, die sich für ein Bundesministerium in hoher Position mit Fragen der Sicherheit befasst. Wir fanden ihre nicht-öffentliche Privatadresse, sahen ihre beruflichen und privaten Reiserouten. In einem persönlichen Gespräch gingen wir die einzelnen Stationen durch – sie waren korrekt.
Auch eine Person aus dem Bundesamt für Verfassungsschutz fanden wir anhand der Daten. Sie arbeitet demnach beim Hauptsitz des Geheimdiensts in Köln-Chorweiler. Ihre Wohnadresse konnten wir prüfen; wir fanden auch ein Social-Media-Profil, das ihre Hobbys zeigt. Die Standortdaten zeigen, dass die Person ihr Smartphone wohl aus Sicherheitsgründen beim Betreten des BfV-Geländes abgibt oder ausschaltet.
Das Recherche-Team hat mehrere Personen kontaktiert, deren Bewegungsprofile in den Daten zu finden waren. Alle zeigten sich überrascht, dass ihre Daten bei Datenhändlern gelandet sind und verkauft werden.
Gerade weil die Erkenntnisse so sensibel sind, haben wir uns entschieden, keine genaueren Informationen zu nennen. Es geht uns nicht darum, einzelne Menschen in den Fokus zu rücken, sondern die generelle Gefahr durch die Datensammelei zu demonstrieren.
Spionageboom wie im Kalten Krieg
Die Gefahr durch Spionage ist so präsent wie seit Jahrzehnten nicht mehr. Seit dem Beginn des Angriffskriegs Russlands gegen die Ukraine ist die geopolitische Lage verschärft. Auch die Spannungen zwischen westlichen Staaten und China nehmen zu. Politik und Sicherheitsbehörden sind in Alarmbereitschaft.
Dass ausländische Geheimdienste in Deutschland aktiv sind, ist kein Geheimnis. Wie die Enthüllungen von Edward Snowden zeigten, handelte die US-amerikanische NSA nicht nur als Partnerin des BND, sondern überwachte auch selbst das Handy der Bundeskanzlerin. Wie mehrere Medien im Jahr 2016 berichteten, spioniert die NSA gemeinsam mit dem BND etwa in Bad Aibling weiter.
Vermehrt machen derzeit spektakuläre Spionagefälle Schlagzeilen, von mitgehörten WebEx-Meetings der Bundeswehr über einen russischen Maulwurf beim BND bis zu einem hochrangigen AfD-Mitarbeiter, der für China spioniert haben soll.
Das jüngste Beispiel sind die mutmaßlichen Anschlagspläne der russischen Regierung auf Rheinmetall-Chef Armin Papperger. Das zeigt, wie gefährlich es sein kann, wenn sich der Standort eines Menschen leicht nachverfolgen lässt.
Der Präsident des Verfassungsschutzes, Thomas Haldenwang, zieht eine Parallele zum Kalten Krieg : „Das Niveau der Spionageaktivitäten gegen Deutschland steht dem während des Ost-West-Konflikts bis 1990 in nichts nach.“
Besonders jetzt können Bewegungsprofile also für ausländische Geheimdienste Gold wert sein – Profile wie jene, die wir gratis von einem Datenhändler erhalten haben.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Jetzt Spenden
So sagt Konstantin von Notz mit Blick auf die Ergebnisse unserer Recherche: „Das ist ja offenkundig, dass das hochinteressante Daten sind, und dass man sich viel Observation und andere Recherche sparen kann, wenn man Zugriff auf solche Datensätze hat.“ Er warnt: „Dafür könnten sich potenziell natürlich alle ausländischen Nachrichtendienste – vor allen die uns nicht freundlich gesonnenen – interessieren“. Ausdrücklich nennt er dabei China, Russland, Iran und Nordkorea.
„Die Bandagen werden härter“, warnt der Geheimdienst-Aufseher mit Blick auf die politische Lage. „Illegitime Einflussnahme, Spionage, Sabotage sind an der Tagesordnung.“ Es seien viele Szenarien denkbar, wie ausländische Geheimdienste die Daten nutzen können. „Es gibt gute Gründe, warum Sicherheitsbehörden in bestimmten Fällen auch mit Tarnidentitäten arbeiten“, sagt von Notz. Durch Bewegungsprofile könne diese Tarnung auffliegen.
Auch für organisierte Kriminalität seien die Bewegungsprofile interessant. „Nehmen wir mal die großen Drogenkartelle, die natürlich wissen wollen, wer gegen sie ermittelt“, sagt von Notz. „Wenn hier jetzt die Bewegungsprofile von Polizeibeamten offenkundig werden – das ist ein maximales Sicherheitsproblem.“
Beteiligte Unternehmen beantworten unsere Fragen nicht
Was sagt die Datastream Group dazu, dass die von ihr angebotenen GPS-Daten auch die nationale Sicherheit gefährden können? Unsere Presseanfrage ließ das Unternehmen unbeantwortet.
Auch der Datenmarktplatz Datarade antwortete nicht. Zu einer ähnlich gelagerten Recherche des niederländischen BNR Nieuwsradio im Januar schrieb Datarade noch (übersetzt aus dem Niederländischen):
Als Plattform fungieren wir nur als Vermittler. Wir verkaufen selbst keine Datensätze. Datenhändler können ihre Datensätze auf unserer Plattform zum Verkauf anbieten, um mit Interessenten in Kontakt zu treten. Selbstverständlich lassen wir nur legale Inhalte auf unserer Plattform zu, wie es auch in unseren Allgemeinen Geschäftsbedingungen steht. […] Datarade hält es für wichtig, gegen Rechtsverstöße vorzugehen.
Wenn Staatsbeamt*innen ins Bordell gehen
Es braucht nicht viel Fantasie, um sich auszumalen, was die Bewegungsprofile noch alles möglich machen. Aus den Daten lassen sich zum Beispiel Erkenntnisse ziehen, mit denen man Menschen erpressen kann. In dem uns vorliegenden Datensatz fanden wir die Werbe-IDs von 131 Telefonen, die sowohl in Militäreinrichtungen als auch in Bordellen geortet wurden. Insgesamt 160 IDs wurden sowohl in Bordellen als auch in Behörden geortet. Für viele ist es weiterhin ein Tabu, Sexarbeit in Anspruch zu nehmen. Was wären die Betroffenen bereit zu tun, um das geheim zu halten?
Ein weiteres Szenario sind sogenannte Romeo- oder Venusfallen. In diesem Fall schicken feindliche Geheimdienste einen Lockvogel zu einer Zielperson. Der Lockvogel soll sie verführen, ihr scheinbar beiläufig Informationen entlocken oder sie zum Überlaufen motivieren.
Einer solchen Venusfalle könnte zum Beispiel der ehemalige Wirecard-Vorstand Jan Marsalek erlegen sein: Seine Geliebte, ein ehemaliges Erotikmodell aus Russland, soll ihn russischen Geheimdiensten näher gebracht haben.
Bewegungsprofile können viel preisgeben über Hobbys, Vorlieben und darüber, wo sich eine Zielperson üblicherweise aufhält. So können Angreifer*innen ihren Lockvogel optimal platzieren und die Begegnung wie zufällig einfädeln.
Nicht zuletzt lassen sich Bewegungsprofile auch dazu nutzen, um Menschen einzuschüchtern oder zu bedrohen. Man kann darin schließlich nicht nur erkennen, wo Zielpersonen mutmaßlich wohnen, sondern auch, ob sie regelmäßig eine Kita oder Schule ansteuern. Ob sie womöglich Kinder haben, für deren Schutz sie vieles in Kauf nehmen würden. Die Bewegungsprofile machen das Leben der getrackten Menschen zu einem offenen Buch für Angreifer*innen.
Der Handel mit Standortdaten ist ein globales Problem
Nach unseren Erkenntnissen handelt es sich um ein globales Problem. Auf dem Datenmarktplatz fanden wir Angebote mit Standortdaten von allen Kontinenten, auch von weiteren EU-Ländern. Angepriesen werden sie von zahlreichen Händlern.
Der Anbieter Datastream Group, von dem wir den kostenlosen Datensatz erhalten haben, preist seine Standortdaten jedoch nicht für Massenüberwachung an – sondern unter anderem für personalisierte Werbung. Das ist plausibel, schließlich sind Standortdaten in der Online-Werbebranche einer der wichtigsten Rohstoffe.
Mit ihnen lassen sich nicht nur Nutzer*innen in bestimmten Gegenden mit gezielter Werbung ansprechen. Die Daten ermöglichen auch umfassende Verhaltensanalysen von Zielgruppen. Wie wir im Jahr 2023 aufdeckten, sortieren uns Datenhändler anhand unserer Daten in hunderttausende Kategorien ein: etwa Menschen aus ländlichen Gegenden oder Menschen, die ins Casino gehen.
Auch wenn der Datenhandel mehr oder weniger offen praktiziert wird: Mit der Datenschutzgrundverordnung ist er kaum vereinbar. Fachleute aus Forschung, Politik und Datenschutzbehörden sind sich einig: Eine informierte Einwilligung, wie die DSGVO sie verlangt, kann kaum vorliegen, wenn Daten an hunderte Händler gelangen.
Der Handel mit Standortdaten bedroht nicht nur die nationale Sicherheit, sondern auch die Privatsphäre von Millionen Handy-Nutzer*innen in Deutschland. In diesem Text berichten wir, was das für Nutzer*innen bedeutet – und was wir über die Herkunft der Daten wissen. Außerdem haben wir ein Tool gebaut, mit dem Interessierte prüfen können, ob ihre eigene ID im Datensatz auftaucht. Hier erklären wir, wie man seinen Handy-Standort besser schützen kann.
Firma verschleudert 3,6 Milliarden Standorte von Menschen in Deutschland
Das sagen die Sicherheitsbehörden
Konstantin von Notz sagt: „In dieser Klarheit ist die Problematik weder in der Öffentlichkeit noch in der Nicht-Öffentlichkeit bisher adressiert worden“.
Wir haben deutsche Geheimdienste und Sicherheitsbehörden mit den Ergebnissen unserer Recherche konfrontiert. Immerhin gelang es uns – mit unseren vergleichsweise begrenzten Mitteln –, sicherheitsrelevante Personen zu identifizieren. Geheimdiensten dürfte es weitaus leichter fallen, etliche weitere Bewegungsprofile mit Klarnamen zu verknüpfen.
Das Verteidigungsministerium schreibt auf Anfrage: „Dem Gefährdungspotential sind wir uns bewusst und erachten es als sehr wahrscheinlich, dass jeder Bundeswehrangehörige, wie jeder Handynutzende, sowohl im privaten als auch im dienstlichen Umfeld dieser Gefährdung ausgesetzt ist.“
Offenbar weiß die Bundesregierung, dass fremde Geheimdienste bei Datenhändlern einkaufen. So teilen Innen- und Verteidigungsministerium mit: Fremde Nachrichtendienste würden generell alle verfügbaren Mittel nutzen. „Dazu zählt auch der Ankauf und die Nutzung von im Internet verfügbaren Daten.“
Aus den Antworten von Verteidigungs-, Innen-, und Außenministerium geht hervor: Die Behörden haben zwar teils strenge Regeln für dienstliche Geräte – nicht aber für private. „Für die Nutzung privater Endgeräte zu privaten Zwecken gibt es keine dezidierten Festlegungen“, schreibt etwa ein Sprecher des Verteidigungsministeriums.
Das Problem beim Standort-Tracking: Jede noch so strenge Regel für dienstliche Telefone bringt nichts, solange eine Person auch ein weniger geschütztes, privates Gerät mit sich herumträgt, das immer wieder den eigenen Standort verrät.
Besonders anschaulich wird das an den Standortdaten beim Bundesamt für Verfassungsschutz. Der Datensatz zeigt: Die Angestellten müssen ihre Handys offenbar am Eingang abgeben. Im Gebäude selbst werden kaum noch Telefone geortet. Eine entsprechende Regel bestätigt uns das Innenministerium auf Anfrage. So eine Maßnahme mag zwar davor schützen, dass Angreifer*innen heimlich Gespräche über ein gehacktes Handy mithören. Aber die zu Werbezwecken erfassten Bewegungsprofile der Beamt*innen sind dennoch sichtbar.
Bedienen sich deutsche Geheimdienste an den Daten?
Die Daten der Werbeindustrie sind für die deutschen Geheimdienste und Sicherheitsbehörden allerdings nicht nur eine potenzielle Gefahr. Sie können auch ein Mittel für eigene Spionage sein. Der Fachbegriff dafür ist ADINT, das steht für „advertising-based intelligence“; auf Deutsch: werbebasierte Erkenntnisse. Wenn Datenmärkte den Verkauf von Standortdaten so einfach wie möglich gestalten – greifen unsere Behörde da nicht auch selbst gerne zu?
Sicher wissen wir das nicht, doch die Wahrscheinlichkeit halten einige für hoch. So veröffentlichte die gemeinnützige Denkfabrik Interface (vormals „Stiftung Neue Verantwortung“) im Mai eine Untersuchung zu dieser Frage, die wir hier zusammenfassen. Die Autoren Corbinian Ruckerbauer und Thorsten Wetzling warnen: Geheimdienste könnten an Informationen gelangen, „deren Erhebung mit anderen nachrichtendienstlichen Mitteln niemals gestattet gewesen wäre oder zumindest umfangreiche Genehmigungsverfahren vorausgesetzt hätte“.
CDU-Mann will ADINT durch deutsche Dienste
Ein klares Ja zu ADINT durch deutsche Dienste bringt der Bundestagsabgeordnete Roderich Kiesewetter (CDU) zum Ausdruck, stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium. „Angesichts der Bedrohungslage und der Ressourcenknappheit kann es durchaus sinnvoll sein, auch solche Daten verstärkt für die Aufklärung zu nutzen“, sagt er im Interview mit netzpolitik.org und BR.
Der Anspruch könne nicht sein, „ausländischen Diensten und auch organisierter Kriminalität die Nutzung solcher kommerzieller Daten zu überlassen, die damit unsere Sicherheit gefährden.“ Bereits jetzt halte er die Nutzung im Einzelfall für machbar.
Anders sieht das die Bundestagsabgeordnete Martina Renner (Linkspartei). Sie hält es schon jetzt für illegal, wenn sich Geheimdienste kommerzielle Datensätze besorgen. „Jedoch braucht es meines Erachtens zusätzlichen Informations-, Konkretisierungs- und Kontrollbedarf“.
Es ist also umstritten, ob etwa BND, Verfassungsschutz und Militärischer Abschirmdienst (MAD) überhaupt bei Databrokern einkaufen dürfen. Eine ausdrückliche Rechtsgrundlage gibt es nicht. Die Geheimdienste könnten sich aber auf Generalklauseln in den Gesetzen berufen, die ihre Arbeit regeln. So schätzte es jüngst Sabine Sosna in einem Fachaufsatz ein. Die Referatsleiterin beim Bundesdatenschutzbeauftragten hält die Generalklauseln allerdings nicht für ausreichend und fordert eine ausdrückliche Rechtsgrundlage.
Ankauf von „Werbedatenbanken“ im BND-Gesetz
Die Bundesregierung dürfte das anders sehen, dafür spricht das kürzlich überarbeitete BND-Gesetz. In dessen Begründung ist nämlich ausdrücklich die Rede von „Daten aus dem Ankauf zum Beispiel von umfänglichen Werbedatenbanken“. Bezeichnet werden diese Daten als „Informationen aus allgemein zugänglichen Quellen“ – also nichts, was weiterer Regulierung bedürfe.
Ähnlich pauschale Formulierungen finden sich auch in den Gesetzen über die Arbeit des MAD und des Verfassungsschutzes. Heißt das, deutsche Geheimdienste kaufen schon längst bei Databrokern ein? Wir haben bei der Bundesregierung und den Diensten nachgefragt.
Wenig überraschend halten die Geheimdienste die Antwort auf diese Frage lieber geheim. Am ausführlichsten äußert sich das Verteidigungsministerium mit Blick auf den Militärischen Abschirmdienst: Das zuständige Bundesamt „nutzt alle gesetzlich zulässigen Mittel“, so ein Sprecher.
Weniger nebulös ist die Lage in USA. Dort kauften etwa Einwanderungsbehörden und Grenzschutz nachweislich Standortdaten vom Werbemarkt. Das geht aus einer Untersuchung des US-Ministeriums für innere Sicherheit hervor. Die Behörden hielten sich dabei nicht einmal an notwendige, interne Kontrollen, heißt es im Bericht. Auch die NSA hat bei Databrokern eingekauft.
Marktplatz will Datenhändler überprüft haben
Nicht nur die Datastream Group spielt eine Rolle beim Verkauf der Standortdaten, auch der von einer deutschen Firma betriebene Marktplatz Datarade. Dort ist Datastream als überprüfter Datenhändler gekennzeichnet („Verified Data Provider“) und wird als einer der Top 100 Anbieter 2023 besonders empfohlen.
In einem Blogbeitrag über Datenmarktplätze erklärt Datarade, aus dem Englischen übersetzt:
So müssen Datenanbieter beispielsweise beweisen, dass sie Daten im Einklang mit der DSGVO […] beschaffen und dass sie alle PII (persönlich identifizierbare Informationen) aggregieren, um Datenschutz zu gewährleisten. Erst wenn ein Anbieter geprüft und zugelassen ist, kann er mit dem Verkauf von Daten über einen Datenmarktplatz beginnen.
Aggregieren heißt: Man rührt die Daten mehrerer Menschen zusammen, sodass einzelne Personen darin nicht mehr erkennbar sind.
Offenbar hat Datastream Group seine Standortdaten aber nicht aggregiert. Zu jeder Geo-Koordinate gibt es eine eindeutige ID. Hat hier die Prüfung von Datarade versagt? Weder Datarade noch Datastream haben unsere Fragen beantwortet.
Du weißt mehr über die Databroker-Branche oder hast andere Hinweise für das Recherche-Team? Hier kannst du Sebastian oder Ingo erreichen. Bitte nutze möglichst verschlüsselte Wege sowie ein Gerät, das nicht deinem Arbeitgeber gehört.
„Da muss der Gesetzgeber etwas tun“
Fachleute aus der Zivilgesellschaft fordern seit Jahren strengere Regeln gegen das ausufernde Geschäft mit personenbezogenen Daten. Behörden in USA und der EU müssten dringend handeln, verlangte 2023 etwa die irische Menschenrechtsorganisation ICCL in einem Bericht.
„Wir hoffen, dass die Enthüllungen die Bevölkerung, die Aufsichtsbehörden und auch den Gesetzgeber wachrütteln“, sagt Datenschutzjurist Martin Baumann von noyb mit Blick auf unsere Recherche. Die gemeinnützige Organisation aus Wien kämpft für Datenschutz in der EU, oftmals vor Gericht. „Die Daten ermöglichen eine Form der Überwachung, die früher einen Agenten oder Detektiv 24 Stunden am Tag beschäftigt hätte – und das aus der Ferne und praktisch ohne Risiko, entdeckt zu werden“, warnt Baumann.
Die Jurist*innen von noyb schreiben, sie würden in Folge unserer Recherche rechtliche Schritte gegen die beteiligten Unternehmen prüfen. „Unserer Ansicht nach ist der Handel mit so umfassenden Standortdaten nicht legal“, sagt Baumann. „Wir sehen in erster Linie die Datenschutzbehörden am Zug.“
„Der Datenmarkt muss auf jeden Fall stärker reguliert werden“, fordert Thorsten Wetzling im Interview mit BR und netzpolitik.org. Er leitet bei Interface den Forschungsbereich zu Überwachung und Bürgerrechten. „Ich habe ein Grundrecht auf Privatsphäre. Ich habe ein Grundrecht auf informationelle Selbstbestimmung. Da muss der Gesetzgeber was tun.“ Er sieht die Aufgabe bei der EU-Kommission, die sich jetzt nach der jüngsten Parlamentswahl neu aufstellt.
Eine ambivalente Position bringt der CDU-Abgeordnete Kiesewetter zum Ausdruck. Einerseits warnt er gegenüber BR und netzpolitik.org vor „Überregulierung“ der Geheimdienste. Andererseits spricht er davon, Datenmarktplätze und Verkäufer zu regulieren, „damit solche Datensätze nicht von gegnerischen ausländischen Diensten im Rahmen hybrider Kriegsführung verwendet werden“ und „unsere Bürger vor dem Datenabgriff durch ausländische Staaten zu schützen.“
Konstantin von Notz: Neue Regeln für Geheimdienste
Datenschutz-Recht ist nur ein Bereich, in dem Fachleute Reformbedarf sehen. Ein anderer sind die Befugnisse von Geheimdiensten. Denn an Daten aus dem Werbemarkt können sich Geheimdienste Thorsten Wetzling zufolge relativ ungehindert bedienen – ohne aufwendige Anträge oder Genehmigungsverfahren. „Das ist nicht verhältnismäßig und deshalb muss da was passieren“, fordert Wetzling.
Wie passend, dass die Bundesregierung gerade die Gesetze für Geheimdienste reformieren will. Wetzling fordert, Datenhändlern bei dieser Reform mehr Aufmerksamkeit zu widmen.
„Wir müssen darüber diskutieren“, meint auch Geheimdienst-Aufseher Konstantin von Notz im Interview. „Die Rechtsgrundlage ist eine entscheidende Frage.“ Bei anderen Mitteln wie etwa dem Abhören von Telefongesprächen gebe es auch ein bestimmtes Prozedere. „Und das werden wir uns auch für diesen Bereich noch mal genauer angucken“, sagt der Abgeordnete mit Blick auf die Recherchen.
USA: Datendeals mit Diktaturen verboten
Ausgerechnet in den USA, wo in vielen Bundesstaaten deutlich schwächere Datenschutz-Gesetze gelten, ist man schon weiter. Dort arbeitet die Regierung an neuen Vorschriften, die staatliche Shopping-Touren bei Datenhändlern eingrenzen sollen. Immerhin gehe es um Grundrechte wie die Privatsphäre.
Mehr noch: US-Präsident Joe Biden hat im Februar diesen Jahres ein Dekret erlassen. Demnach dürfen sensible Daten von US-Bürger*innen wie etwa Standorte nicht mehr an Länder verkauft werden, die „Anlass zur Sorge geben“. Darunter fallen etwa China, Russland, Iran oder Kuba.
Die Begründung ist deutlich: Böswillige Akteur*innen könnten diese Daten nutzen, um US-Amerikaner*innen zu verfolgen, heißt es, einschließlich Angehörige des Militärs. Ihre Daten könnten bei ausländischen Geheimdiensten landen. Ähnliche Verbote für gefährliche Datendeals gibt es in Deutschland nicht.
Dieser Text ist Teil einer Reihe. Hier findest du alle Veröffentlichungen zu den Databroker Files.
Korrekturhinweis, 17.07.2024: Sabine Sosna ist nicht Abteiligungsleiterin beim BfDI, sondern Referatsleiterin. Wir haben das korrigiert.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.