Zum Verkauf angeboten: Datensatz mit 3,6 Milliarden Standortdaten von Millionen Menschen
Dass auch persönliche Daten im großen Ausmaß gehandelt werden, ist nicht neu. Welche Auswirkungen das jedoch hat, verdeutlicht nun eine Recherche von Netzpolitik.org und dem Bayerischen Rundfunk (BR). Die Redakteure haben einen Datensatz mit Milliarden Standortdaten aus Deutschland erhalten.
Konkret handelt es sich um 3,6 Milliarden Standortdaten, die sich auf 11 Millionen Geräte-Kennungen verteilen. Erstellt wurde der Datensatz in den letzten zwei Monaten des Jahres 2023.
Datenhändler verkaufen Werbedaten
Das Besondere an dem Datensatz ist: Dieser stammt nicht aus einem Datenleck, sondern von einem Händler. Redakteure von Netzpolitik.org und dem BR erwarben diesen auf dem Datenmarktplatz Datatrade, der seinen Sitz in Berlin hat. Gesammelt wurden die Daten zu Werbezwecken. Apps erfassten also die GPS-Daten, die dann gemeinsam mit den Werbe-IDs von Android- und Apple-Geräten verknüpft werden.
Von welchen Apps dieser Standortdatensatz stammt, lässt sich laut dem Bericht von Netzpolitik.org nicht klären. Normalerweise sind aber Wetter-, Navigations-, Gaming- oder Dating-Apps die Quelle für solche Datensätze.
Zunächst werden die Daten zwar anonymisiert oder pseudonymisiert übermittelt. Indem die Standortdaten mit den ID-Kennungen verknüpft sind, lassen sich aber Bewegungsprofile erstellen. So kann man erkennen, wo Menschen wohnen, arbeiten oder einkaufen. Damit ist es dann auch möglich, Menschen zu identifizieren – nötig ist lediglich ein Abgleich mit öffentlich verfügbaren Informationen oder externen Datensätzen.
Die Standortdaten lassen auch Rückschlüsse auf besonders sensible Details zu. Dazu zählt etwa das Aufsuchen von Ärzten, Krankenhäusern, Suchteinrichtungen oder Bordellen.
Militär und Geheimdienste vom Standortdaten-Verkauf betroffen
Problematisch ist das nicht nur für die Nutzer, die Existenz solcher Datensätze hat auch Konsequenzen für Militärs und Geheimdienste. Denn anhand der Daten lassen sich auch Bewegungen von Mitarbeitern der Sicherheitsdienste auswerten, schreibt der BR in einer Analyse.
Mit dem vorliegenden Datensatz ist etwa eine Person erkennbar, die am Nato-Truppenübungsplatz in Grafenwöhr in der Oberpfalz tätig ist. Dort findet derzeit etwa auch die Panzerausbildung ukrainischer Soldaten statt. Diese Person hielt sich aber nicht nur auf dem Sperrgebiet auf, sondern auch auf der Ramstein Airbase, dem größten Flughafen des US-Militärs außerhalb der USA. Und dazu lassen sich noch alltägliche Bewegungen nachzeichnen, also etwa die Routen für Autofahrten oder Restaurantbesuche.
Diese Person, die mutmaßlich für das US-Militär arbeitet, ist jedoch keine Ausnahme. Zehntausende Menschen aus dem Sicherheitsbereich sollen betroffen sein. Diese sind unter anderem für Bundesministerien, Rüstungsfirmen, Geheimdienste wie Verfassungsschutz und Bundesnachrichtendienst oder das Bundeskriminalamt tätig. Namen enthält der Datensatz nicht, wie bereits beschrieben ist es aber möglich, die Personen zu identifizieren. Dem BR und Netzpolitik.org soll das in mehreren Fällen gelungen sein.
Konstantin von Notz, der Vorsitzende des Parlamentarischen Kontrollgremiums des Bundestags, bezeichnet solche Datensätze als relevantes Sicherheitsproblem. „Wenn man weiß, wie Menschen sich verhalten und bewegen, dann sind sie ausspionierbar“, sagte er dem BR und Netzpolitik.org. Denn auf diese Weise würden sich etwa gezielt Kontakte und Begegnungen herstellen lassen.
Datenhändler profitieren von Regulierungslücke
Kritisch äußern sich weitere Politiker. Neben von Notz fordert auch Martina Renner von der Linkspartei ein Verbot für solche Datenverkäufe. Roderich Kieswetter (CDU) will ebenfalls mehr Schutz für die Bürger, er spricht sich gegenüber Netzpolitik.org für eine Regulierung der Datenmarktplätze und Verkäufer aus.
Deutlicher äußern sich Verbraucherschützer und Bürgerrechtler. „Der europäische Gesetzgeber muss endlich anerkennen, dass persönliche Nutzerdaten nicht in die Hand der Werbeindustrie gehören und hier rechtlich nachsteuern“, sagte etwa Ramona Pop, Präsidentin vom Verbraucherzentrale Bundesverband (vzbv). Tracking und Profilbildung zu Werbezwecken sollten generell verboten werden.
Bis dato lassen sich die Datenhändler aber nur schwer greifen, erklärt Louisa Specht-Riemenschneider, Professorin für Datenrecht und Datenschutz an der Universität Bonn, dem BR. Denn im Prinzip handele es sich bei den Diensten um Makler, die selbst keine personenbezogenen Daten verarbeiten. Es bestehe also eine Regulierungslücke.
Prüfen, ob man selbst betroffen ist
Ob man selbst in dem Datensatz vertreten ist, lässt sich mit einem Tool prüfen, das Netzpolitik.org bereitstellt. In einem weiteren Artikel erklärt das Portal zudem, wie sich die Datenerfassung vermeiden lässt. Zu den Tipps zählt das Löschen der Werbe-ID. Zudem sollten Nutzer die Standortdatenerfassung nur zulassen, wenn es tatsächlich nötig ist.