Durch das Zuordnen der einzelnen Standorte lässt sich ein gesamtes Bewegungsprofil erstellen. Screenshot/ Georg Pichler

Eine großangelegte Recherchekooperation zwischen netzpolitik.org und dem Bayerischen Rundfunk hat einen Datensatz mit 3,6 Milliarden Einträgen zutage gebracht. Dieser offenbart, wie die Aufenthaltsorte von Menschen in Deutschland systematisch erfasst und weitergegeben werden. Gedacht sind diese Bewegungsprofile für Werbepartner. Sie enthalten jedoch mitunter sensible Daten, die Schaden verursachen können, und stellen grundsätzlich eine weitreichende Form der Massenüberwachung dar, die in den verschiedenen Publikationen ausführlich beleuchtet wird.

Die Daten und der Handel

Doch welche Informationen sind in dem besagten Datensatz nun genau zu finden? Über die gesamte Karte Deutschlands sind 3,6 Milliarden Standortdaten verteilt, die den Koordinaten von Mobiltelefonen entsprechen. Zu jedem dieser Punkte ist eine eindeutige Kennung zugeteilt: die sogenannte "Mobile Advertising ID" (MAID). Diese wird verwendet, damit Werbende einzelne Geräte unterscheiden können, was der Analyse und dem Ausspielen von zielgerichteter Werbung dient. Jeder dieser IDs können zahlreiche Standorte zugeordnet werden, wodurch zu jedem Telefon(inhaber) ein individuelles Bewegungsprofil erstellt werden kann. Den IDs sind zwar weder Namen noch Kontaktdaten zugeordnet, durch die Häufung von Aufenthaltsorten, tagsüber oder auch nachts, können jedoch leicht Rückschlüsse auf den Arbeits- oder Wohnort der jeweiligen Personen getroffen werden. Eine kurze Recherche über Google, Telefonbuch oder Linkedin tut dann oftmals ihr Übriges. Dies wurde durch das Rechercheteam stichprobenartig überprüft, teilweise wurden auch Betroffene im eigenen Umfeld identifiziert. Dazu wird erwähnt, dass die Koordinaten teilweise extrem genau, in anderen Fällen um einen Häuserblock verrutscht waren.

Die Wege, auf denen die Daten zu den Händlern kommen, sind nicht lückenlos nachvollziehbar. Die Smartphones fungieren jedenfalls wie Peilsender – eine besonders genaue Ortung findet hierbei über GPS statt, aber auch Wifi-Verbindungen und IP-Adressen sind hier dienlich. Viele Apps fragen vor der Benutzung zum einen nach der Erlaubnis, den Handy-Standort zu nutzen, zum anderen, ob Daten für Werbung und Tracking verwendet werden dürfen. Die zweite Einwilligung ist dabei noch gravierender, da hier neben den Standortdaten auch die besagte MAID weitergegeben wird, was zu einer eindeutigen Zuordnung führt. Ob hier jedoch eine echte Wahl für den Nutzer besteht, steht jedoch zur Debatte – viele Apps lassen sich beispielsweise ohne Einwilligung nicht nutzen. Laut Nachfrage an verschiedene große Datenhändler handelt es sich bei ihren Bezugsquellen oftmals um populäre Apps für Wetter, Navigation und Dating.

Im konkreten Fall der vorgestellten Recherche erhielt das Team seinen Untersuchungsgegenstand über den Online-Marktplatz Datarade. Das Unternehmen mit Sitz in Berlin agiert als Zwischenhändler und bringt potenzielle Käufer mit Verkäufern zusammen – in diesem Fall der US-Firma Datastream Group. Der Datensatz, der die Daten von zwei Monaten aus dem Jahr 2023 in Deutschland umfasst, wurde den Journalisten kostenlos, sozusagen als Vorschau, übermittelt – was branchenüblich zu sein scheint. Eigentlich werden die Standortdaten im monatlichen Abonnement angeboten, stündlich aktualisiert und stammen aus 163 Ländern. Beide Unternehmen ließen Presseanfragen laut Angaben des Rechercheteams unbeantwortet, auch konnte oder wollte nicht preisgegeben werden, von welchen Apps genau die Daten stammen.

Sensible Informationen

Abgesehen von der Feststellung, dass es sich hierbei um eine neue Dimension der Massenüberwachung handelt, haben sich die Journalisten auf die Suche begeben, welche intimen und sensiblen Informationen man aus den Datensätzen ziehen kann. So wurden beispielsweise MAIDs auf dem Gelände von zehn Kliniken für Psychiatrie oder Abhängigkeitserkrankungen gefunden. Alleine auf dem Gelände der Frankenalb-Klinik Engelthal für ebendiese Fachgebiete wurden 64 Werbe-IDs (ergo Personen) gefunden, von denen man die meisten zuordnen können hätte. Auch Swinger-Klubs (welche sich oft in weniger frequentierten Bereichen der Landkarte befinden), Bordelle und Gefängnisse fanden sich unter den ermittelten Orten. Dank der Angabe von Uhrzeiten kann sogar gemutmaßt werden, ob eine bestimmte Person hier arbeitet oder ihre Zeit (un)freiwillig dort verbringt.

In einer eigenen Publikation wurde ausgeführt, wie die Datenhändler auch Deutschlands Sicherheit gefährden könnten: Der Datensatz umfasst anscheinend auch Bewegungsprofile von Menschen, die für die nationale Sicherheit relevant sind. Hierbei kann es sich um Mitarbeiter von Geheimdiensten, Ministerien, Sicherheitsbehörden und der Bundeswehr handeln. Es besteht die Möglichkeit, dass derartige Daten von fremden Geheimdiensten erworben und für Spionage- oder Sabotageakte genutzt werden. Vorstellbar wäre hier das Ausfindigmachen von Militärstandorten oder Zielpersonen oder das Enttarnen von Agentinnen oder Agenten. Doch auch die Sicherheit von Privatpersonen steht auf dem Spiel: Die Organisation Hate Aid macht darauf aufmerksam, dass an dieser Stelle ein massives Sicherheitsrisiko für Betroffene digitaler Gewalt besteht. Für Stalker bestehe so beispielsweise die Möglichkeit, ihre Opfer ausfindig zu machen – was etwa die Grundlage für Doxing (also der Veröffentlichung von privaten Informationen) oder Erpressung bieten kann.

Eine Frage der Verantwortung

Der Wiener Tracking-Forscher Wolfie Christl betont: „Die Recherche zeigt, dass der kommerzielle Missbrauch persönlicher Daten völlig außer Kontrolle ist." Diverse Institutionen wie etwa die Verbraucherschutzzentrale sprechen sich (auf Anfrage der Journalisten) klar gegen derartige Vorgänge aus. Die Frage, die sich dabei durchzieht, ist jene, auf welcher Grundlage der oder die Einzelne in die Weitergabe seiner Daten einwilligt. Die DSGVO stellt fest: Wer Daten für Werbezwecke sammeln will, der braucht dafür die freiwillige und informierte Einwilligung der Betroffenen. Die Bundesdatenschutzbeauftragte Specht-Riemenschneider sieht die Verantwortung jedoch nicht beim Einzelnen und kontert: "Der Gesetzgeber weiß, dass die Einwilligung im Datenschutzrecht nicht funktioniert, und hält wider besseres Wissen an ihr fest." Die Selbstbestimmung bestehe nur auf dem Papier, meist würden Nutzerinnen und Nutzer die langen Datenschutzbestimmungen nicht nachvollziehen können oder hätte keine Alternative, weil sie auf die App angewiesen seien.

Auf Bundesebene besteht ein weiteres Problem darin, dass die DSGVO sich nur auf die Verarbeitung und nicht auf die Vermittlung von Daten bezieht. Damit sind Datenmarktplätze wie Datarade aus der Rechnung ausgeklammert. Das führt dazu, dass der besagte Zwischenkontakt nicht belangt werden kann, obwohl er in Deutschland sitzt, während sich der eigentliche Datenhändler der deutschen Jurisdiktion entzieht, da er im Ausland angesiedelt ist. Damit kämpft auch die Berliner Datenschutzbeauftragte Meike Kamp, die die zur Frage stehende Einwilligung für wahrscheinlich nicht rechtskonform hält, laut eigener Einschätzung aber "mit einem stumpfen Schwert" kämpft. Auch auf EU-Ebene gab es schon Anläufe zu Reformen für mehr Schutz vor Werbetracking. Die geplante Verordnung wurde jedoch mitunter durch Lobbykampagnen gestoppt.

Die Frage nach der Verantwortung soll aber nicht den Eindruck erwecken, dass der oder die Einzelne dem Ganzen vollkommen ausgeliefert sei. So ist es durchaus möglich, sein Standort-Tracking zu stoppen oder seine MAID je nach Gerät zu löschen, zurückzusetzen oder immerhin das ID-basierte Tracking zu untersagen. Neben einem Tool, das nachprüft, ob die eigene ID im untersuchten Datensatz enthalten ist, findet sich in den Publikationen zur Recherche auch eine Anleitung zu diesen Sicherheitsmaßnahmen. (hlk, 16.7.24)