Mit kommerziellen Überwachungstools lassen sich die Bewegungen von Abermillionen Handys verfolgen. Möglich ist das durch Standortdaten aus der Werbeindustrie. Nun konnten Datenschutz-Fachleute ein solches Tool selbst in die Finger bekommen – und das ohne große Hürden.
Die Massenüberwachung von Abermillionen Handys ist nun auch per Gratis-Demo möglich, wie Recherchen aus den USA zeigen. Das Werkzeug heißt „Locate X“, angeboten von der US-Firma Babel Street. Die Bedienung ist offenbar kinderleicht. Auf einer digitalen Karte, ähnlich wie Google Maps, lassen sich beliebige Orte auswählen, zum Beispiel Moscheen oder Abtreibungskliniken. Dann zeigt das Tool an, welche Handys auf dem ausgewählten Gelände geortet wurden – und auf Wunsch, wo sich ein ausgewähltes Gerät noch überall hinbewegt hat.
Datenschutz-Fachleute der US-Firma Atlas Privacy konnten dieses Werkzeug zwei Wochen lang kostenlos testen, und zwar als Demo-Version für ein Bezahlprodukt. Atlas unterstützt Menschen darin, ihre Datenschutz-Rechte einzufordern. Deshalb recherchiert die Firma zu Datenhändlern und Überwachungstools.
Um Zugang zu „Locate X“ zu bekommen, musste ein von Atlas beauftragter Rechercheur lediglich behaupten, eventuell künftig für eine staatliche Stelle arbeiten zu wollen. Weitere Sicherheitsprüfungen habe es nicht gegeben. Bildschirmaufnahmen, die „Locate X“ in Aktion zeigen, teilte Atlas mit mehreren Medien: der New York Times, 404 Media, Notus und Brian Krebs aus den USA sowie der israelischen Tageszeitung Haaretz.
Atlas hat in New Jersey Klage gegen Babel Street eingereicht. In dem US-Bundesstaat soll ein Gesetz namens „Daniel’s Law“ die persönlichen Daten von unter anderem Richter*innen, Staatsanwält*innen und deren Angehörigen schützen. Wenn die Betroffenen das möchten, ist die Veröffentlichung ihrer Anschrift oder Telefonnummer verboten. Das Unternehmen Babel Street habe sich auf Anfragen der Medien nicht geäußert, auch eine kurzfristige Anfrage von netzpolitik.org blieb unbeantwortet.
Besuche in Abtreibungskliniken aufdecken
Die Gefahren von Tools wie „Locate X“ sind vielfältig. 404 Media und Notus beschreiben, wie das Werkzeug beispielsweise Besucher*innen von Abtreibungskliniken exponieren kann. In vielen US-Bundesstaaten wurden Abtreibungen inzwischen kriminalisiert. Betroffene reisen deshalb teils in andere US-Staaten – und selbst das könnte bald kriminalisiert werden. Die reproduktiven Rechte von Schwangeren sind auch eines der wichtigsten inhaltlichen Themen im aktuellen US-Wahlkampf.
Mithilfe von „Locate X“ lassen sich die kriminalisierten Besucher*innen der Kliniken aus der Vogelperspektive verfolgen. Atlas hat das getestet: Demnach kann das Werkzeug zeigen, wie Handys – und ihre Besitzer*innen – von einer Wohnadresse zu einer Klinik in einem anderen Bundesstaat reisen und wieder zurück. Über die Wohnadresse wiederum könnten Polizeibehörden einfach die Identität der überwachten Menschen ermitteln.
In weiteren Beispiel-Fällen fand Atlas die Bewegungsprofile von Geschworenen eines Gerichtsprozesses oder von Besucher*innen einer Synagoge und einer Moschee. Selbst internationale Reisen kann das Werkzeug mithilfe einer globalen Suche sichtbar machen. Ausdrücklich schreibt etwa Notus, dass mit „Locate X“ sogar Suchanfragen für Deutschland möglich waren.
Auch Handys in Deutschland überwacht
Auch wenn sich die Recherchen um „Locate X“ auf die USA fokussieren: Das Problem ist längst in der EU und in Deutschland angekommen. Im Sommer zeigten die Databroker-Files-Recherchen von netzpolitik.org und dem Bayerischem Rundfunk (BR), wie einfach es ist, die Handy-Ortsdaten von Millionen Geräten in Deutschland zu bekommen. Solche Daten stammen aus der Werbeindustrie und werden angeblich nur für Werbezwecke erfasst, beispielsweise Standort-basierte Online-Werbung. Über Datenhändler werden sie jedoch zur Handelsware und können praktisch überall landen.
Die große Datenhändler-Recherche im Überblick
Von einem solchen Datenhändler erhielt das Recherche-Team rund 3,6 Milliarden Standortdaten von Handys aus Deutschland. Im Angebot hatte der Händler jedoch Daten aus aller Welt, erhältlich per Monats-Abo für rund 14.000 US-Dollar. Ähnliche Angebote gibt es von etlichen weiteren Händlern. Vieles spricht also dafür, dass auch ein Tool wie „Locate X“ schlicht auf Standortdaten aus der Werbeindustrie basiert, die offen auf Datenmärkten gehandelt werden.
Dass es solche kommerziellen Überwachungs-Werkzeuge gibt, war bereits vor den Enthüllungen um „Locate X“ bekannt. Zum Beispiel verkaufte die US-Firma Venntel Standortdaten vom Werbemarkt an US-Behörden, Berichte hierzu gab es bereits 2020. Anfang dieses Jahres gab es zudem Berichte über das Werkzeug „Patternz“, das offenbar Verbindungen zur israelischen Firma Nuviad hat. Damals mussten sich die Journalist*innen jedoch nur auf Werbematerial stützen. Was den Fall von „Locate X“ so brisant macht: Hier ließ sich das Werkzeug sogar in Aktion beobachten. Und der Zugang zu dem Tool war offenbar kaum geschützt.
Werkzeuge lassen sich einfach nachbauen
Der BR und netzpolitik.org haben im Sommer ein eigenes, internes Recherche-Tool entwickelt, um die 3,6 Milliarden Handy-Standortdaten aus Deutschland zu analysieren. Letztlich ist dieses Recherche-Tool nichts anders als eine rudimentäre Version von „Locate X“. Der Vergleich zeigt: Um ein derart mächtiges Massenüberwachungstool zu basteln, braucht es nicht mehr als ein kleines Team mit IT-Kenntnissen. Die für die Überwachung nötigen Daten wiederum lassen sich online über Datenhändler besorgen.
Andere verdienen ihr Geld mit euren Daten, wir nicht!
Recherchen wie diese brauchen viel Zeit und sind nur möglich durch eure Unterstützung.
Jetzt Spenden
In Folge der Recherchen zu den Databroker Files warnten Bundestagsabgeordnete vor einer Gefahr für die nationale Sicherheit, schließlich können auch fremde Geheimdienste solche Daten nutzen. Fachleute für digitale Gewalt mahnten zudem, dass sich auch Stalker*innen für diese Form von Handy-Überwachung interessierten dürften. Unter anderem das Verbraucherschutzministerium und der Verbraucherzentrale Bundesverband sprachen sich für ein generelles Verbot der Datensammelei zu Werbezwecken aus.
Zugleich dürften auch deutsche Geheimdienste mindestens damit liebäugeln, solche Werkzeuge selbst zu nutzen. Eine von der Bundesregierung formulierte Gesetzesbegründung bei der BND-Reform deutet darauf hin. Dort wird der Ankauf von Daten aus Werbedatenbanken beschrieben als Informationsbeschaffung aus „allgemein zugänglichen Quellen“.
Handy-Nutzer*innen aus Deutschland können testen, ob ihr Gerät zumindest im Datensatz von netzpolitik.org und BR auftaucht. Mehrere Betroffene haben den Databroker Checker bereits genutzt und sich bei der Redaktion gemeldet.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.