Recherchen von Bayerischem Rundfunk und netzpolitik.org haben besorgniserregende Tatsachen zusammengetragen: Datenhändler (Data Broker) sammeln und verkaufen sensible Daten von arglosen Menschen – auch Standortdaten aus Smartphone-Apps. Die Daten lassen sich allzu leicht missbrauchen.
Data Broker, auch als Informationshändler bekannt, sind Unternehmen, die sich darauf spezialisiert haben, persönliche Daten von Verbrauchern zu sammeln, zu analysieren und zu verkaufen. Sie aggregieren Informationen aus verschiedenen Quellen, darunter öffentliche Aufzeichnungen, Online-Aktivitäten, Kaufverhalten und soziale Medien.
Diese gesammelten Daten werden dann zu detaillierten Profilen verarbeitet und an andere Unternehmen, Marketingfirmen oder sogar Regierungsbehörden verkauft. Die Käufer nutzen diese Informationen für gezielte Werbung, Risikoanalysen, Hintergrundüberprüfungen oder zur Verbesserung ihrer Kundenbeziehungen.
Lückenlose Bewegungsprofile
Da die meisten Menschen heute ihr Smartphone immer mit sich tragen, versorgen sie – meist so unbemerkt wie unbewusst – Konzerne wie Google, Microsoft oder Meta unentwegt mit sensiblen Daten. Vor allem mit Standortdaten: Alle paar Sekunden übermitteln die Geräte den aktuellen Standort.
Auf diese Weise entstehen lückenlose Bewegungsprofile. In Apps wie Google Maps kann sich das jeder anschauen und die eigenen Bewegungen der letzten Tage, Wochen, Monate und Jahre Revue passieren lassen.
Dass Konzerne wie Google, Meta, Microsoft und Apple mit solchen Daten versorgt werden, ist den meisten Menschen mittlerweile bewusst. Die meisten nehmen es einfach hin. Auch, dass die Konzerne diese Daten für personenbezogene Werbung nutzten („Heute Rabatte in deiner Lieblings-Pizzeria“).
Datenhändler verkaufen sensible Daten
Doch dass eben solche Daten auch in die Hände von Datenhändlern geraten können, die sie sammeln und weiterverkaufen, das ahnt kaum jemand.
Doch es ist übliche Praxis: Vermeintlich kostenlose Apps wie Games, Werkzeuge oder Spaß-Apps greifen sensible Daten ab, etwa Kontaktdaten oder Standortdaten, und verkaufen diese Daten an Broker. Die Broker zahlen die App-Anbieter dafür – und verkaufen die Daten in der Regel an Werbekunden weiter.
Journalisten vom Bayerischen Rundfunk (BR) und netzpolitik.org ist jetzt ein Coup gelungen, der nachdenklich stimmt. Die verdeckt operierenden Journalisten haben von einem US-Datenhändler einen Test-Datensatz erhalten, kostenlos, um Interesse zu wecken.
Rund 3,6 Mrd. Standortdaten
Den Journalisten wurden rund 3,6 Milliarden Standortdaten von deutschen Handys ausgehändigt (von Ende 2023). Mit diesen Daten konnten die Journalisten exakte Bewegungsprofile einzelner Menschen nachvollziehen, selbst Besuche in Entzugskliniken, Therapeuten, Bordellen – und sogar ein Gefängnisaufenthalt.
Möglich ist das, weil alle Standortdaten mit einer „Advertising ID“ verbunden sind. Das ist ein eineindeutiger Code, eine Art universelle Seriennummer. Jedes Smartphone hat eine: Apple und Google vergeben diesen Code automatisch bei der Inbetriebnahme des Smartphones.
Bewegungsprofile allein sind schon verräterisch: Wer in einem Einfamilien-Haus wohnt, ist leicht zu identifizieren – erst recht in Kombination mit dem Arbeitsplatz. Wer noch mehr Daten dazu kauft, ermittelt leicht Namen, Telefonnummer, E-Mail-Adresse und mehr.
Advertising ID erlaubt Zuordnung der Daten
Eigentlich ist die Advertising-ID dazu gedacht, damit Werbetreibende ihre Kundschaft bequem wiedererkennen können. Doch sie werden von einigen Brokern auch an jeden verkauft, der dafür bezahlt.
Die Daten verraten intime Details über eine Person: Wo wohnt die Person, zu welcher Uhrzeit fährt sie zur Arbeit, mit dem Auto oder mit dem Bus, wo wird der Mittags-Kaffee getrunken und wann geht es zurück?
Missbrauch jederzeit möglich
Die Recherchen machen deutlich, dass es sich hier um ein erhebliches Sicherheitsrisiko handelt: Wenn ausländische Mächte solche Daten kaufen, können sie die Daten leicht zuordnen und eine Menge über Lebensumstände und selbst Freizeitbetätigung einzelner Personen erfahren. Auf diese Weise lassen sich zum Beispiel leicht Geheimnisträger überwachen.
Niemand kann wissen, wer solche Daten bei den Brokern einkauft – und wer sie ausnutzt. Das können fremde Staaten sein, aber theoretisch auch Behörden, Organisationen – sogar Stalker.
Daraus kann und sollte jeder wichtige Erkenntnisse ziehen: Es ist leicht, von anderen überwacht zu werden, wenn man unvorsichtig bei der App-Auswahl und der Freigabe persönlicher Daten ist.
Zugriffsrechte von Apps kritisch überprüfen
Doch es gibt einige Möglichkeiten, sich zu schützen: Keine Apps laden, die kostenlos sind und völlig unbekannte oder sogar unseriöse Betreiber hat.
Noch wichtiger aber: Unter iOS und Android nur die Rechte für Apps freigeben, die auch wirklich notwendig für den Betrieb einer App sind. Eine Taschenlampen-App braucht keine Standortdaten und auch keinen Zugriff auf die Kontakte.
In den Datenschutz-Einstellungen lassen sich die zugeteilten Rechte jederzeit überprüfen: Einfach in einer freien Minute mach alle Apps durchgehen und alle Rechte entziehen, die eine App nicht benötigt. Auch beim Installieren einer App drauf achten, dass nur die Zugriffsrechte freigegeben werden, die sinnvoll sind.
Überprüfen: Bin ich auch betroffen?
Netzpolitik.org bietet einen speziellen Service: Wer mag, kann die Advertising-ID seines Smartphones eingeben (auf der Webseite steht auch, wie man diese ermittelt) und so herausfinden, ob die eigenen Daten im Test-Datensatz des Datenhändlers enthalten sind.
Aber selbst wenn nicht: Im vollständigen Datensatz der Broker ist jeder enthalten. Das lässt sich fast nicht verhindern. Um so wichtiger, sensibilisiert zu sein – und die Privatsphäre-Einstellungen gewissenhaft vorzunehmen.