380 Millionen Standortdaten aus 137 Ländern: Ein bislang unbekannter Datensatz zeigt so umfangreich wie nie zuvor Gefahren des globalen Datenhandels. 40.000 Apps sind betroffen, darunter queere Dating-Apps. Mit alarmierender Genauigkeit geortet wurden Nutzer*innen von Wetter Online, Focus Online und Kleinanzeigen.

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande), Dagens Nyheter (Schweden), Le Monde (Frankreich), NRK Beta (Norwegen), SRF/RTS (Schweiz), WIRED (USA). Sie ist zugleich Teil der „Databroker Files“.

Dienstag, 2. Juli 2024, ein ganz normaler Sommertag. In einem begrünten Wohngebiet mitten im niedersächsischen Dinklage checkt jemand die Wetter-Online-App mit seinem Samsung Galaxy S7 Edge. Aber Sommerträume werden heute nicht mehr wahr: In Dinklage ziehen sich Wolken zusammen, die Temperaturen werden nicht über 16 Grad Celsius steigen.

Gut 300 Kilometer südlich, in der hessischen Stadt Bensheim, lässt sich jemand auf seinem Huawei-Handy mit „Hornet“ orten, einer App für queere Sex-Dates. Er befindet sich dabei mitten auf dem Gelände einer Firma, die unter anderem elektronische Systeme für Kriegsschiffe und Kampfjets fertigt. Das Symbol der Dating-App ist eine Hornisse mit phallischem Stachel.

In Hannover wiederum spielt jemand auf dem Xiaomi-Handy ein Gratis-Game, in dem kleine blaue Soldaten die Häuser von kleinen roten Soldaten stürmen. Zugang zum Internet hat das Handy dabei übers Netz der dortigen gesetzlichen Unfallversicherung, die Menschen nach Arbeitsunfällen und bei Berufskrankheiten versorgen soll.

Was diese drei Personen gemeinsam haben: Sie alle wurden überwacht und lokalisiert. Datenhändler wissen, an welchen Orten sie welche Apps nutzen. Angeblich werden solche Informationen nur zu Werbezwecken erhoben. Aber Händler verkaufen sie in gigantischen Datensätzen. Ja, sie verschenken die Daten sogar an Interessierte, wenn man freundlich danach fragt.

Rund 40.000 Apps, 137 Länder

Ein solcher Datensatz ist über einen US-Händler zu netzpolitik.org gelangt. Als Gratis-Vorschau soll er Lust auf ein Monatsabo mit tagesaktuellen Daten machen. Obwohl es sich nur um eine Kostprobe handelt, zeichnet dieser Datensatz ein bislang einzigartiges Bild vom weltweiten Datenhandel. Datiert auf einen Tag im Juli 2024 beinhaltet er 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit rund 40.000 verschiedenen Apps, deren Nutzer*innen kaum ahnen dürften, was mit ihren Daten geschieht.

Zu den Standortdaten im Datensatz gehören außerdem sogenannte Mobile Advertising IDs. Diese Werbe-Kennungen funktionieren wie Nummernschilder und machen Nutzer*innen eindeutig erkennbar. Zu finden sind auch Infos über das verwendete Handy-Modell und Netzbetreiber, etwa Vodafone oder Telekom.

Gemeinsam mit dem Bayerischen Rundfunk und weiteren Recherche-Partnern haben wir den Datensatz mehrere Monate lang analysiert, Betroffene identifiziert, mit App-Betreibern und AdTech-Unternehmen gesprochen. Wir veröffentlichen die ersten Ergebnisse gemeinsam mit Le Monde (Frankreich), SRF/RTS (Schweiz), NRK Beta (Norwegen), BNR Nieuwsradio (Niederlande) und Dagens Nyheter (Schweden).

Es ist eine Fortsetzung der Databroker Files, unseren Recherchen zu Online-Werbung und Datenhändlern. Im Mittelpunkt steht ein neuer Datensatz, den wir vom US-Datenhändler Datastream Group erhalten haben. Darin befinden sich neben Werbe-IDs und Standortdaten auch die Verbindungen zu Apps von Android und iOS. Inzwischen tritt die Datastream Group unter dem Namen Datasys auf. Auf unsere Presseanfragen hat das Unternehmen nicht reagiert.

Jüngst hat die Kritik am Datenhandel Fahrt aufgenommen, weil Hacker erbeutete Daten eines anderen Databrokers aus den USA veröffentlicht haben: Gravy Analytics. Das Leak offenbarte ebenfalls Tausende Apps, deren Daten bei Databrokern kursieren.

Die Liste der Apps im uns vorliegenden Datensatz ist jedoch länger. Auch können wir erstmals differenzieren, zu welchen Apps es nur sehr grobe Standortdaten gibt – und bei welchen Apps exakte Ortungen von Nutzer*innen vorliegen. Gerade die genauen Standortdaten gefährden Nutzer*innen besonders, da sie Rückschlüsse auf ihre Privatadresse und Bewegungsprofile zulassen.

Wetter Online, Kleinanzeigen, Focus Online und mehr

Die rund 40.000 Apps im neuen Datensatz decken eine breite Vielfalt an Kategorien ab: über Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung. Darunter sind einige der beliebtestens Apps der Welt, teils millionenfach heruntergeladen.

Zu einigen der Apps konnten wir auffällig exakte Standortdaten finden. Eine davon ist Deutschlands populärste Wetter-App, Wetter Online. An nur einem Tag in Deutschland wurden zehntausende Wetter-Online-Nutzer*innen wohl teils auf den Meter genau geortet. Genaue Standortdaten gibt es auch zu Nutzer*innen von anderen beliebten Apps wie Focus Online, Kleinanzeigen und FlightRadar24.

Weitet man den Blick auf alle Standortdaten im Datensatz, so entdeckt man weitere bekannte Apps – darunter Tinder, Grindr und Candy Crush Saga sowie Upday vom Axel-Springer-Konzern, web.de und gmx.de. Hier wurden Nutzer*innen jedoch offenbar nur per IP-Adresse geortet, also mit einer Unschärfe im Kilometer-Bereich.

Als Reaktion auf unsere Recherche fordert das Bundesministerium für Verbraucherschutz „konsequentes Handeln“ und einen „effektiven EU-weiten Schutz vor personalisierter Werbung“. Um die Erhebung der Daten zu verhindern, seien auch die Hersteller der Betriebssysteme und Handys gefragt. Der Verbraucherzentrale Bundesverband (vzbv) spricht von „skrupellosen“ Datenhändlern, denen Verbraucher*innen „schutzlos ausgeliefert“ sind.

Kontrolle über eigene Daten ist eine Täuschung

Was lässt sich lernen aus diesem einen ganz normalen Tag in der Welt der werbebasierten Massenüberwachung? Unsere Recherche zeigt: Nutzer*innen haben keine Kontrolle über ihre Daten. Auch wenn die Werbe-Industrie mit ihren Transparenz-Labels und Einwilligungs-Abfragen gerne einen anderen Eindruck erwecken möchte. Anhand unseres Datensatzes können wir verfolgen, wo Millionen Menschen auf der ganzen Welt welche Apps benutzen.

Die Daten gelangen aus dem Werbe-Ökosystem an Datenhändler, werden zusammengerührt und weiterverkauft, auch zu anderen Zwecken als Werbung. Das kann absichtlich passieren oder durch Nachlässigkeit. Die verantwortlichen AdTech-Unternehmen können dabei in der Masse untergehen. So wird aus dem Geschäft zu Werbezwecken ein Geschäft zur Massenüberwachung.

Nicht alle Apps im Datensatz sind in gleichem Ausmaß an der Überwachung ihrer Nutzer*innen beteiligt. Das Spektrum beginnt bei Apps, die schon im Google Play Store oder in Apples App Store offenlegen: Ja, wir orten unsere Nutzer*innen präzise, auch wenn es für die App nicht nötig wäre, und wir können diese Daten mit Dritten teilen.

Das Spektrum endet bei Apps, die nach eigenen Angaben keine Standortdaten erheben. Auf den ersten Blick mag das überraschen. Dass selbst augenscheinlich datensparsame Apps in diesem Datensatz landen konnten, zeugt von den verschlungenen Wegen, auf denen Databroker an ihre Ware gelangen. Dazu später mehr.

Potenziell Millionen Nutzer*innen von Wetter Online betroffen

Welche Apps laufen also auf den rund 795.000 Handys, die an einem Tag in Deutschland geortet wurden und in unserem Datensatz gelandet sind? Zu den spannendsten gehören zwei miteinander verwandte Wetter-Apps: „Wetter Online mit Regenradar“ und „RegenRadar mit Unwetterwarnung“, beide angeboten von der WetterOnline GmbH.

Im Ranking der meist genutzten Wetter-Apps in Deutschland steht „WetterOnline mit RegenRadar“ derzeit auf Platz 1, sowohl für iOS als auch für Android. Allein im Play Store verzeichnet die App mehr als 100 Millionen Downloads.

Auch in unserem Datensatz haben die Wetter-Online-Apps Spitzenpositionen: Sie sind unter den Apps mit den meisten in Deutschland georteten Handys. Allein „Wetter Online mit Regenradar“ für Android läuft auf rund 34.875 Handys, die laut Datensatz am 2. Juli 2024 in Deutschland geortet wurden.

Unter den Apps, die im Datensatz die meisten Standortdaten aus Deutschland aufweisen, sind die Wetter-Online-Apps ebenso weit vorne. Oft haben deren entsprechende Geo-Koordinaten sechs Nachkommastellen; das verspricht eine Genauigkeit von unter einem Meter.

Unser Datensatz deckt nur einen Tag ab; entsprechend schwierig ist es, darin die möglichen Bewegungsprofile von Personen zu erkennen. Es ist uns trotzdem gelungen, getrackte Wetter-Online-Nutzer*innen zu identifzieren. Dabei halfen uns Standortdaten aus anderen Datensätzen, die uns dank vergangener Recherchen vorliegen. Häufungen von Handy-Ortungen führten uns zu den Wohnadressen der Nutzer*innen. Zwei Personen bestätigen uns: Ja, sie erkennen sich in den Daten wieder, und ja, sie nutzen Wetter Online.

Über eine der Personen fanden wir sogar noch mehr heraus: Sie lebte laut unseren Daten in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik in einer bayerischen Großstadt. Zum Schutz ihrer Privatsphäre nennen wir ihren Namen nicht.

Wetter Online schweigt

Auf der eigenen Website nennt Wetter Online sogenannte Werbepartner, also Unternehmen, die Daten von Nutzer*innen erhalten können. Stand 10. Januar sind das insgesamt 833, darunter Branchenriesen wie Google und Microsoft-Tochter Xandr. Laut Eintrag im Google Play Store darf Wetter Online den genauen Standort zwecks Werbung und Marketing teilen.

Wie stellt Wetter Online sicher, dass die mit anderen Firmen geteilten Daten nicht weiter verbreitet werden? Wie erklärt sich Wetter Online, dass Standortdaten seiner Nutzer*innen bei Databrokern landen konnten? Auch nach mehrfachen Kontaktversuchen per E-Mail und Telefon erhielten wir keine Antworten.

Das Fazit ist ernüchternd: Die teils genauen Standortdaten von Zehntausenden Wetter-Online-Nutzer*innen aus Deutschland sind in unserem Datensatz. Viele Millionen weitere Nutzer*innen der populärsten Wetter-App Deutschlands könnten potenziell betroffen sein. Aber es gibt keine Erklärung, wie die Daten an Databroker geflossen sind.

Was sagt die Datenschutzbehörde dazu? Wetter Online hat seinen Sitz in Bonn, zuständig ist also die Landesdatenschutzbeauftragte Nordrhein-Westfalen. Zu konkreten Fällen äußern will sich die Behörde auf Anfrage nicht. Generell teilt ein Sprecher mit: Standortdaten seien besonders schützenswert, da sich damit Bewegungsprofile erstellen ließen – für Zwecke der Werbung und Überwachung.

Die von Nutzer*innen eingeholten Einwilligungen nach der DSGVO seien praktisch meist unwirksam, „weil nicht hinreichend transparent über den Umgang mit den Daten aufgeklärt wird“, so der Sprecher weiter. Verbraucher*innen sei „dringend davon abzuraten, in einen Handel mit den eigenen Standortdaten einzuwilligen, weil sie gar nicht ermessen können, wer diese Daten wann und für welche Zwecke nutzt und welche Konsequenzen das für sie haben kann“.

Apps können vulnerable Gruppen exponieren

Bereits im Sommer 2024 haben wir einen umfangreichen Datensatz untersucht, den wir von der Datastream Group erhielten. Vermittelt wurde der Kontakt zu dem Datenhändler über den Berliner Datenmarktplatz Datarade. Datarade betont auf Anfrage, dass es als Vermittler selbst keine Daten speichere. „Anbieter nutzen Datarade, um Profile und Angebote zu veröffentlichen, sodass Nutzer*innen sie direkt kontaktieren können“, schreibt uns die Plattform auf Englisch. Wer auf Datarade personenbezogene Daten anbiete, müsse laut Richtlinien entsprechende Einwilligungen vorhalten.

Damals hatten wir aufgedeckt, wie offen gehandelte Standortdaten aus Handy-Apps Menschen gefährden können. Stalker*innen können ihren Opfern nachstellen. Wer in sicherheitsrelevanten Bereichen wie Behörden, Militär und Geheimdiensten arbeitet, kann erpressbar werden. So offenbarten die Standortdaten von Databrokern etwa auch Besuche in Bordellen, Suchtkliniken oder Gefängnissen.

Nun haben wir einen neuen Datensatz, der zusätzlich verrät, welche Apps eine Person verwendet. Im Datensatz sind viele unverfängliche Apps, die praktisch jede*r haben könnte, etwa fürs Wetter. Zu finden sind allerdings auch Apps, die besonders sensible Einblicke liefern – etwas, wovor die Datenschutzgrundverordnung (DSGVO) Menschen in der EU eigentlich schützen sollte.

• Dating-Apps können offenbaren, dass jemand gerade auf Partner*innen-Suche ist. In unserem Datensatz vertreten sind auch queere Dating-Apps wie Grindr oder Hornet, von denen sich auf die sexuelle Orientierung schließen lässt. Solche Informationen gelten laut Artikel 9 der DSGVO als besonders sensibel.
• Gesundheits-Apps können etwas über Krankheiten und Lebensumstände verraten. So fanden sich in unserem Datensatz mehrere Apps für Patient*innen mit Blutdruck-Problemen. Auch dabei waren Apps zum Tracken der Periode. Gesundheitsdaten fallen ebenso unter Artikel 9 der DSGVO.
• Gebets-Apps legen nahe, dass eine Person eine Religion praktiziert. Im Datensatz fanden wir mehrere Apps für Verse aus der Bibel oder dem Koran. Als besonders schützenswert beschreibt die DSGVO ausdrücklich Daten zu „religiösen oder weltanschaulichen Überzeugungen“.

Populäre Apps, genaue Standorte

Schon die Information, wer welche App verwendet, kann also für manche ein Risiko sein. Hinzu kommen Angaben zu genutzten Geräten und Betriebssystemen. So lassen sich Stück für Stück umfangreiche Profile von Menschen erstellen. Und dann sind da noch die Standortdaten, die mehr oder weniger genau verraten, wo sich eine Person aufhält.

Aus den rund 40.000 Apps im Datensatz haben wir zunächst mehrere Tausend als potenziell bedenklich herausgefiltert. Das Kriterium: Die ihnen zugeordneten Standortdaten sind möglicherweise genau genug für detaillierte Bewegungsmuster. Ihre Nutzer*innen wären dadurch besonders gefährdet. Da im Datensatz überwiegend Android-Apps mit aussagekräftigen Daten vertreten waren, haben wir uns auf sie konzentriert.

Doch auch diese Liste war zu lang, um alle dazu gehörigen Apps einzeln in Augenschein zu nehmen. Deshalb haben wir eine Auswahl erstellt und die dazu gehörigen Standortdaten unter die Lupe genommen. Für diese Auswahl haben wir besonders solche Apps berücksichtigt, die auch für Nutzer*innen in Deutschland relevant sind. Außerdem haben wir darauf geachtet, dass unsere Auswahl eine Bandbreite verschiedener Apps abbildet.

Konkret haben wir geprüft, welche Muster sich aus den Standortdaten ergeben und ob diese Muster für eine genaue Ortung sprechen – etwa durch Häufungen von Standorten in Gebäuden oder entlang von Straßen und Wegen. Auch wenn es üblich ist, dass Databroker mit solchen Standortdaten handeln: Es lässt sich nicht belegen, dass alle Einträge im Datensatz korrekt sind, also dass die Standortdaten zutreffen und von den App-Nutzer*innen stammen.

Vieles spricht jedoch dafür, dass zumindest ein großer Teil korrekt ist: So fanden wir mehrere Übereinstimmungen mit Bewegungsmustern und Werbe-IDs aus dem Datensatz unserer ersten Recherche. Das internationale Team konnte zudem Nutzer*innen einzelner Apps identifizieren. Die Anbieter der Apps hinter den von uns näher untersuchten Daten haben wir um Stellungnahme gebeten.

Das Wichtigste vorab: Kein Unternehmen, das uns geantwortet hat, will Beziehungen zur Datastream Group oder Gravy Analytics haben.

• Focus Online ist eines der reichweitenstärksten Nachrichten-Portale in Deutschland. Zur Erfassung genauer Standortdaten von Nutzer*innen haben wir dem Anbieter, Burda Forward GmbH aus München, Fragen geschickt. Zumindest innerhalb der Frist konnte sich das Unternehmen zunächst nicht inhaltlich äußern.
• Mit FlightRadar24 lassen sich weltweit und in Echtzeit Flüge verfolgen, die App wurde allein im Play Store mehr als 50 Millionen mal heruntergeladen. Der Anbieter mit Sitz in Schweden hat ebenso nicht auf unsere Anfrage reagiert.
• Kleinanzeigen, früher bekannt als Ebay Kleinanzeigen, bezeichnet sich selbst als „Deutschlands meistbesuchtes Kleinanzeigen-Portal“. Antworten auf unsere Fragen erhielten wir nicht.
• Kik ist ein kostenloser Messenger ohne Ende-zu-Ende-Verschlüsselung. Unsere norwegischen Kolleg*innen von NRK Beta fanden mithilfe des Datensatzes eine Person, die den Messenger nutzt. Sie sagt: „Ich finde das beängstigend und möchte nicht, dass irgendjemand ständig weiß, wo ich bin und was ich mache. Das ist auch ein Grund, warum ich nicht mehr im Telefonbuch stehe.“ Von der US-amerikanischen Firma hinter Kik, MediaLab, gab es keine Antwort auf unsere Anfragen.
• Unter dem Namen WordBit gibt es dutzende Sprach-Lern-Apps, die auch in großer Zahl in unserem Datensatz auftauchen. Die Anzahl der Apps ist so hoch, weil WordBit je eigene Apps für verschiedene Kombinationen aus Mutter- und Fremdsprachen anbietet. Vonseiten der Anbieter, die ihren Firmensitz auf der eigenen Website nicht offenlegen, gab es keine Reaktion.
• Hornet ist eine queere Dating-App mit nach eigenen Angaben mehr als 35 Millionen Nutzer*innen. Auf Anfrage schreibt Hornet-CEO Christof Wittig: „Wir können die Möglichkeit nicht vollständig ausschließen, dass Werbenetzwerke von Drittanbietern Daten ohne unsere Kenntnis oder Zustimmung weitergegeben haben könnten.“ Das betreffe aber wahrscheinlich von IP-Adressen abgeleitete Standorte. Als wir dem sichtlich erstaunten CEO beschreiben, dass uns durchaus genaue Standortdaten vorliegen, kündigt er eine Untersuchung an. „Unter keinen Umständen teilt Hornet absichtlich echte Geodaten“, betont Wittig.

Populäre Apps, ungefähre Standorte

Den meisten Apps in unserem Datensatz sind unserer Schätzung nach keine genauen Standortdaten zugeordnet. Geortet wurden die betroffenen Nutzer*innen dieser Apps demnach nicht etwa per GPS, sondern über ihre öffentliche IP-Adresse. Diese Adresse erhält man über den Anbieter seines Internet-Zugangs; sie wird bei der Nutzung von Apps und Websites automatisch übermittelt.

Die IP-Adresse hat zunächst keine direkte Verbindung zu einem Standort. Internetanbieter weisen jedoch ihren Netzknoten bestimmte Adressen zu. Anbieter wie der US-Databroker MaxMind haben sich darauf spezialisiert, IP-Adressen konkrete Standorte zuzuordnen. Dafür sammeln sie Hinweise, etwa aus öffentlichen Datenbanken zur Internet-Infrastruktur. Nicht immer sind die Daten aktuell. Bei dieser IP-basierten Ortung können auch spektakuläre Fehler passieren. Teils ist aber eine ungefähre Ortung bis auf wenige Kilometer möglich.

Diese IP-basierte Ortung rückt Nutzer*innen weniger eng auf die Pelle. Anders als beim Zugriff auf den GPS-Standort müssen Apps für die IP-Adresse nicht gesondert um Erlaubnis bitten, weil sie technisch gesehen kein Standort ist. Somit können auch dem Anschein nach datensparsame Apps betroffen sein.

Auch in unserem Datensatz fanden wir datensparsame Apps, deren Entwickler sich im direkten Gespräch ratlos zeigten. Sie konnten nicht nachvollziehen, wie Werbe-IDs ihrer Nutzer*innen bei Databrokern landen konnten.

Dennoch kann IP-basierte Ortung je nach Lebenslage verräterisch sein, lassen sich damit doch Städetrips oder Auslandsreisen ablesen. Ein heimliches Doppelleben? Konspirative Treffen im Ausland? Die IP-Adresse kann es verraten. Hinzu kommen die weiteren Eckdaten aus dem Datensatz wie Handy-Modell und Werbe-Kennung. All das kann dabei helfen, eine Person eindeutig zu identifzieren.

Auch unter den Apps mit offenbar IP-basierter Handy-Ortung gibt es viele deutsche Nutzer*innen. Wir haben einige der App-Betreiber*innen um Stellungnahme gebeten. Unsere Auswahl bildet wieder eine Bandbreite ab – darunter sind einige der weltweit populärsten Apps.

• Candy Crush Saga gehört mit mehr als einer Milliarde Downloads allein im Google Play Store zu den populärsten Handy-Spielen der Welt. Vom internationalen Anbieter – King – erhielten wir keine Antworten auf unsere Anfragen.
• Happy Color bezeichnet sich selbst als „das weltweit beliebteste Gratis-Ausmalspiel“, mehr als 100 Millionen Mal wurde es im Play Store heruntergeladen. Die Zielgruppe dürfte schon bei jüngeren Kindern beginnen. Immerhin wirbt Happy Color damit, dass man mit wenigen Fingertipps Simba aus dem Disney-Klassiker „König der Löwen“ ausmalen kann. Mehr als 38.000 verschiedene Werbe-Kennungen von Happy-Color-Nutzer*innen aus Deutschland finden sich im Datensatz. Der Anbieter X-Flow mit Sitz in Zypern hat auf unsere Anfrage nicht reagiert.
• Auf Vinted können Nutzer*innen etwa Second-Hand-Kleidung und Kosmetik verkaufen, frühere Töchter der Plattform waren Kleiderkreisel und Mamikreisel. Der Anbieter aus Litauen schreibt, er untersuche, wie Nutzer*innen etwa durch Drittanbieter betroffen sein könnten.
• Grindr bezeichnet sich selbst als „weltgrößte Netzwerk-App für schwule, bi, trans und queere Menschen“. Die US-amerikansiche Firma hat unsere Anfrage nicht beantwortet.
• Lovoo und Jaumo sind beides Dating-Apps mit Sitz in Deutschland. Von Jaumo gab es keine Antwort auf unsere Fragen. Ein Lovoo-Sprecher lässt uns wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Daten über deren sexuelle Orientierung gebe man grundsätzlich nicht weiter. Mit externen Partnern bestünden zudem Datenschutzvereinbarungen.
• upday ist ein Newsaggregator, den der Axel-Springer-Konzern mit Samsung entwickelt hat. Unsere Presseanfrage blieb unbeantwortet.
• web.de und gmx sind in Deutschland ansässige Portale für kostenlose E-Mail-Postfächer und Nachrichten. Sie gehören zur selben Unternehmensgruppe. Auf Anfrage erklärt ein Pressesprecher, aus den Apps von web.de und gmx würden keine Standortdaten stammen.

Daten aus dem Real Time Bidding

Warum reagieren die meisten App-Betreiber*innen so schmallippig auf die Frage, wie genau die Daten ihrer Nutzer*innen geflossen sind? Möglicherweise kennen sie die Antwort selbst nicht genau. Denn die Wege der Daten sind selbst für Insider verschlungen.

Vieles spricht dafür, dass der uns vorliegende Datensatz größtenteils aus dem sogenannten Real Time Bidding (RTB) stammt. RTB entscheidet darüber, welches Unternehmen uns Online-Werbung vor die Nase setzt. Alles geschieht automatisiert innerhalb von Millisekunden („real time“) durch eine Auktion („bidding“).

Damit diese Auktion stattfinden kann, funkt eine App ein Info-Paket an eine oder mehrere Plattformen. Von dort fließt das Paket an hunderte oder tausende Firmen. Es enthält die sogenannten Bidstream-Daten, darunter die Werbe-ID und unsere IP-Adresse. Per IP-Adresse lässt sich auf die Region schließen, in der wir uns aufhalten. Als würde ein Marktschreier rufen: „Werbeplatz in Dating-App aus Leipzig zu vergeben!“

Mehr noch: Die unzähligen Empfänger der Bidstream-Daten können uns dank früherer Datensammlungen zusätzlich in Schubladen stecken, sogenannte Segmente. Diese Segmente sollen uns etwa als „fragile Senioren“ outen oder als „Shopping-versessene Mütter“.

Dann bieten die Unternehmen Mikro-Centbeträge, um unsere Aufmerksamkeit zu bekommen. Der Meistbietende darf seine Werbung ausspielen – aber unsere Daten haben alle bekommen.

Die Datensammler handeln im Verborgenen

In der Masse der Beteiligten reicht es, wenn nur ein Unternehmen diese Daten abzwackt, um daraus Pakete für Databroker zu schnüren. Weder die App-Anbieter*innen noch die Nutzer*innen bekommen das direkt mit.

Eine Anhäufung solcher Bidstream-Daten ist offenbar der uns vorliegende Datensatz. Ein großer Teil der Standortdaten aus unserem Datensatz geht auf IP-Adressen zurück, was für RTB typisch ist. Auch die Gestaltung der Tabelle entspricht den für RTB üblichen Standards, wie uns mehrere Branchenkenner bestätigten.

Es gibt außerdem Hinweise, dass Daten wie die uns vorliegenden durch mehrere Hände gingen – und nicht exklusiv bei nur einem Databroker kursierten. In einem Online-Forum schreibt ein Nutzer über einen identisch strukturierten Datensatz, jedoch mit Verweis auf eine völlige andere Quelle. Unsere Gratis-Probe mit 380 Millionen Einträgen ist für Insider*innen also gar nicht mal so ungewöhnlich.

Dafür spricht auch der bereits erwähnte Leak von Gravy Analytics: Darin finden sich zahlreiche Apps, die ebenso im uns vorliegenden Datensatz der Datastream Group vertreten sind: Candy Crush, Grindr, Wetter Online, Focus Online, FlightRadar24, Kleinanzeigen und viele mehr. Die Parallelen zwischen diesen beiden Quellen unterstreichen: Das Geschäft mit unseren Handy-Daten führt zu einem umfassenden Kontrollverlust. Allerdings enthält der Gravy-Analytics-Leak offenbar vor allem IP-basierte Standortdaten, während der uns vorliegende Datensatz für einige Apps eine metergenaue Ortung nahelegt.

Datenschutzbehörde: „Jenseits der Spielregeln, die vereinbart sind“

Wir haben den Bayerischen Landesdatenschutzbeauftragten Michael Will um eine Einschätzung gebeten. Die Erkenntnisse aus unserer Recherche beschreibt er im Interview als „ernüchternd“ und „erschreckend“. Der Datenschützer sieht darin einen krassen Vertrauensbruch. „Das ist konträr zu allem, was die durchschnittlichen Nutzerinnen und Nutzer von Apps erwarten würden – noch Monate danach nachvollziehen zu können, wo sie sich aufgehalten haben.“ Der Datenhändler hätte diese Daten nicht haben dürfen. „Das ist jenseits der Spielregeln, die vereinbart sind.“

Mit Spielregeln ist unter anderem die DSGVO gemeint. Das Gesetz sieht vor, dass Daten nur auf Basis einer gültigen Rechtsgrundlage verarbeitet werden. Datensammlungen zu Werbezwecken, da sind die Datenschutzbehörden deutlich, bedürfen zum Beispiel einer informierten Einwilligung der Betroffenen. Zudem dürfen Daten nur zu dem Zweck verarbeitet werden, dem die Nutzer*innen zugestimmt haben, in diesem Fall also Marketing und Werbung. Auch mehrere Apps aus unserem Datensatz bitten Nutzer*innen um Einwilligungen zu diesem Zweck. Nutzer*innen können in vielen Fällen jedoch kaum überblicken, an wen die Daten übermittelt werden. Beim Verkauf von Daten wird zudem der Zweck verändert.

Zum Real Time Bidding merkt Michael Will kritisch an: Wer mit dessen Hilfe Werbung ausspielt, müsse sich fragen, ob die eigenen Vertragspartner wirklich vertragstreu seien.

In Folge der Recherche will die Datenschutzbehörde selbst aktiv werden. „Wir haben Untersuchungsbefugnisse. Von denen werden wir jetzt auf Grundlage Ihrer Informationen auch intensiv Gebrauch machen“, sagt Will – und weist darauf hin, dass seine Behörde auch Sanktionen aussprechen kann. „Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen.“

Wie die Werbeindustrie zur Gefahr für alle wurde

Standortdaten sind ein wichtiger Rohstoff in der Industrie der Online-Werbung. Anzeigen können damit Zielpersonen erreichen, die sich an bestimmten Orten aufhalten, etwa an Flughäfen, in Casinos oder im Regierungsviertel. In den USA beispielsweise wird das auch im Wahlkampf eingesetzt. Wer bestimmte Wahlkampf-Events besucht hat, kann daraufhin gezielte Online-Werbung von Parteien ausgespielt bekommen.

2023 deckte netzpolitik.org gemeinsam mit dem Privacy-Forscher Wolfie Christl auf, wie uns die Werbeindustrie in 650.000 unterschiedliche Segmente steckt. Grundlage war die versehentlich veröffentlichte Angebotsliste des Datenmarktplatzes Xandr, einer Microsoft-Tochter. Viele der Segmente basierten auf Standorten: Menschen, die in die Kirche gehen oder in Sexshops; die in wohlhabenden Vierteln wohnen oder auf dem Land.

Adtech-Firmen leiten also aus besuchten Orten Eigenschaften von Menschen ab, die sie dann für zielgerichtete Werbung einsetzen. Erst Ende 2024 stufte die US-amerikanische Regulierungsbehörde FTC diese Praxis zum Teil als rechtswidrig ein und verbot zwei Adtech-Firmen etwa aus Besuchen bei Praxen und Kliniken Gesundheitsinformationen abzuleiten.

In dem Geschäft mischen jedoch nicht nur US-Firmen mit, wie unsere Xandr-Recherche zeigte, auch mehrere deutsche Unternehmen haben ortsbezogenes Targeting im Angebot.

Die umfassende Analyse unserer Bewegungen und Eigenschaften soll uns besonders anfällig für zielgerichtete Werbung machen. Wie die Xandr-Recherche zeigte, zielen viele der Segmente auf Schwächen von Menschen ab – etwa Personen, die nicht mit Geld umgehen können, die bestimmte Krankheiten haben oder in familiären Schwierigkeiten stecken.

Längst ist bekannt, dass nicht nur die Werbebranche diese Daten nutzt, sondern auch Geheimdienste. Der Fachbegriff dafür ist ADINT (Advertsing-based Intelligence). Gegen ADINT sind Bundeswehr und NATO schlecht gerüstet, wie unsere früheren Recherchen zum Datenhandel zeigten.

Globale Überwachung durch Online-Werbung

Deutschland ist nur eines von 137 Ländern in unserem Datensatz. Die Anzahl der anhand ihrer Werbe-ID georteten Handys unterscheidet sich drastisch von Land zu Land. Insgesamt erfasst wurden 47 Millionen Geräte. Ganz vorne liegen die USA mit rund 33 Millionen verschiedenen Werbe-IDs an nur einem Tag. Deutschland ist mit rund 795.000 Werbe-IDs auf Platz 7. Zu den in Deutschland georteten Handys liegen rund 13 Millionen Standortdaten vor.

Weniger aussagekräftig sind die Daten aus insgesamt 73 Ländern, in denen weniger als 1.000 Handys geortet wurden.

Das Ranking beschreibt jedoch nur die Proportionen unseres Datensatzes. Ein repräsentatives Bild der weltweiten Überwachung durch Handy-Werbung kann es nicht liefern. Immerhin ist die Grundlage nur der Vorschau-Datensatz eines einzelnen US-Databrokers, datiert auf einen einzigen Tag.

Außerdem sind Zweifel an der Verlässlichkeit von gehandelten Daten angemessen. In der Branche ist es üblich, dass sich Databroker mit der vermeintlichen Größe und Aktualität ihrer Daten gegenseitig überbieten. Zeitstempel werden manipuliert, Angebote aufgebläht. Das NATO-Forschungszentrum Stratcom hat dazu geforscht und schreibt im Jahr 2021: „Unsere Untersuchungen zeigen, dass in der Datenbroker-Branche Quantität über Qualität steht, und dass im Durchschnitt nur 50 bis 60 Prozent der Daten als präzise angesehen werden können.“

Dennoch haben unsere Recherchen mehrfach gezeigt: Auch mit schlecht gepflegten Datensätzen lassen sich Menschen in großem Stil überwachen.

Verbraucherschutzministerium fordert „effektiven EU-weiten Schutz“

Die ersten Veröffentlichungen zu den Databroker Files schlugen im Sommer hohe Wellen; Politik und Zivilgesellschaft äußerten sich schockiert und forderten Konsequenzen.

Das ist auch dieses Mal so. Das Bundesministerium für Verbraucherschutz schreibt mit Blick auf die neusten Erkenntnisse: Schon die Erhebung der Daten, mit denen Databroker handeln, müsse verhindert werden, „Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind.“ Das Ministerium setze sich unverändert für einen „konsequenten Wechsel auf alternative Werbemodelle“ ein.

Zudem fordert das Verbraucherschutzministerium technische Standards, die verhindern, dass Geräte identifizierende Daten überhaupt erheben. „Hier sind auch die Hersteller der Betriebssysteme und Endgeräte gefragt.“ Zuletzt brauche es ein konsequentes Vorgehen der Aufsichtsbehörden.

Werbemarkt „jeglicher Kontrolle entzogen“

Von einem „enormen Kontrollverlust“ spricht angesichts der neuen Recherche Martin Baumann von der Datenschutzorganisation noyb. Den wenigsten sei bewusst, dass ihre Daten an zahlreiche Firmen auf der ganzen Welt übermittelt werden, von diesen gehandelt werden und umfangreiche Profilbildung ermöglichen. Für die Einzelnen sei es „quasi ausgeschlossen, nachzuvollziehen, wo ihre Daten landen“, so Baumann. „Den Nutzern wird die Kontrolle über ihre Daten faktisch entzogen.“

„Die aktuellen Erkenntnisse zeigen und bestätigen erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen hat“, kommentiert auch Michaela Schröder vom Verbraucherzentrale Bundesverband (vzbv) die Entwicklung. „Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen.“

Verbraucher*innen seien den massiven Risiken aus dem Datenhandel schutzlos ausgeliefert. Der vzbv fordert deshalb Konsequenzen auf europäischer Ebene. „Es ist längst überfällig, dass die Europäische Kommission die Verbraucher*innen wirksam schützt und einen Vorschlag vorlegt, personalisierte Werbung zu verbieten – etwa über den angekündigten Digital Fairness Act“, so Schröder.

Der Ball liegt bei der EU

Die EU hatte bereits eine Chance, die Gefahren durch die Datensammelei der Werbe-Industrie einzudämmen. Die ePrivacy-Verordnung hätte vor Tracking und Profilbildung zu Werbezwecken schützen können. Doch der Plan ist am Lobbying der Konzerne gescheitert. In diesem Jahr kann sich eine neue Chance auftun.

Der kommende „Digital Fairness Act“ soll Lücken für Verbraucher*innen stopfen. Einen Entwurf hat die EU-Kommission noch nicht vorgelegt, aber sie hat Themen gesammelt. Auch Tracking gehört dazu. Ein Verbot war bislang wohl nicht angedacht.

Genau das bräuchte es jedoch, fordert etwa der Chaos Computer Club in einem Positionspapier: „Um alternative Werbemodelle zu stärken, sollte die neue EU-Kommission digitale Fairness ernst nehmen und ein Verbot von personalisierter Werbung auf den Weg bringen.“

---

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.