Eine bekannte Dating-App aus Hamburg verkuppelt Menschen auf Kontaktsuche mit anderen in ihrem Umkreis. Den Nutzer*innen dürfte klar sein, dass die App hierfür ihre Standortdaten verwendet. Den Zugriff darauf erlauben sie sogar bewusst – in der Hoffnung auf spannende Begegnungen. Was Nutzer*innen jedoch nicht wissen konnten: Ihre genauen Standortdaten flossen über die Dating-App offenbar auch dann an Werbefirmen, wenn sie dafür keine Einwilligung erteilt hatten.

So geht es aus dem Jahresbericht der Hamburger Datenschutzbehörde für 2025 hervor. Bei der Anwendung handelt es sich anscheinend um eine von Deutschlands beliebtesten Dating-Apps: Lovoo.

Die Behörde selbst nennt den Namen der App aus verfahrensrechtlichen Gründen nicht. Die Untersuchungen seien noch nicht abgeschlossen, schreibt sie auf Anfrage. Auch die Betreiber-Firma von Lovoo, der Online-Dating-Riese ParshipMeet, schweigt dazu. Auf mehrere Presseanfragen erhielten wir keine Antwort.

Dennoch erlaubt der Jahresbericht der Behörde einen Rückschluss auf Lovoo. Demnach haben die Datenschützer*innen die Dating-App nach der Veröffentlichung der „Databroker Files“ von netzpolitik.org und Bayerischem Rundfunk geprüft. Das sind die seit Februar 2024 andauernden Recherchen zum weitgehend unkontrollierten Handel mit Standortdaten aus der Werbe-Industrie. „Den journalistischen Recherchen war der Hinweis auf die App eines Anbieters mit Sitz in Hamburg zu entnehmen“, so die Behörde. Der Clou: In diesen Recherchen taucht nur eine Dating-App aus Hamburg auf – und zwar Lovoo.

Sie war eine von rund 40.000 Apps in einem Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern. Das Recherche-Team hat diese Daten von einem US-amerikanischen Databroker als kostenlose Vorschau für ein Abonnement erhalten. Zur Veröffentlichung unserer Recherche im Januar 2025 ließ uns ein Lovoo-Sprecher wissen, dass man Daten mit Drittparteien für Werbezwecke teile, wenn Nutzer*innen in die Datenschutzerklärung eingewilligt hätten. Lovoo verzeichnet allein im Google Play Store mehr als 50 Millionen Downloads.

Datenschutzbehörde macht „besonders schwerwiegende“ Funde

In ihrem Jahresbericht beschreibt die Datenschutzbehörde, wie Mitarbeiter*innen die – nicht näher benannte – Dating-App durchleuchtet haben. Demnach haben sie den Datenverkehr analysiert und die Erkenntnisse mit den Informationen abgeglichen, die Menschen zu sehen bekommen, wenn sie die App installieren und in die Datennutzung einwilligen.

Das Problem: „Soweit entsprechende Informationen erteilt wurden, stimmten diese nicht mit den tatsächlichen Datenflüssen überein.“ In diesen Datenflüssen konnte die Behörde „die Übermittlung von genauen Standortdaten an bestimmte Werbepartner eindeutig“ nachweisen. Wie uns die Behörde auf Anfrage erklärt, flossen die Standortdaten über eingebundene SDKs an Werbepartner. Das sind Software-Pakete von Dritten, die Entwickler*innen in ihre Apps einbauen.

Statt vorgeschriebener datenschutzfreundlicher Voreinstellungen „war die Erlaubnis zur Weitergabe von genauen Standortdaten an Werbedienste standardmäßig aktiviert“, so der Bericht weiter. Mehr noch: „Besonders schwerwiegend ist, dass die App – auch nach Entfernen des zuvor gesetzten Symbols zum ‚Akzeptieren‘ im eingesetzten Einwilligungsdialog – weiterhin genaue Standortdaten an Werbepartner übermittelte.“ Einfach ausgedrückt: Wer mithilfe der Dating-App andere Nutzer*innen im Umkreis gesucht hat, konnte wohl nicht verhindern, dass dabei die eigenen Standortdaten an Werbefirmen abfließen.

Kontrollverlust beim Online-Dating

Wo genau die Standortdaten der Dating-Interessierten gelandet sein könnten, ist kaum zu überblicken. Die Datenschutzbehörde spricht von einer „Komplexität und Vielzahl an beteiligten Akteuren“. Neben der Betreiberfirma der App gehörten dazu „verschiedene Werbepartner- und Netzwerke mit einer undurchschaubaren Menge von Beteiligten“.

Offenbar sind die Daten jedoch beim US-Datenhändler Datastream Group (heute: Datasys) gelandet. Er hatte sie zusammen mit weiteren Datensätzen als Gratis-Kostprobe dem Rechercheteam geschickt. Kontakt zu dem Datenhändler erhielten wir über den in Berlin ansässigen Datenmarktplatz Datarade.

Die Kontrolle über ihre Daten, so die Behörde, sei Nutzer*innen durch das Dating-Unternehmen „erschwert“ worden. Angesichts der laut Behörde „undurchschaubaren“ Menge von Beteiligten läge es jedoch viel näher zu sagen, dass Nutzer*innen die Kontrolle über ihre Daten und Privatsphäre komplett verloren haben.

Inzwischen soll die Dating-App den Hahn der sprudelnden Daten abgedreht haben. „Mit den Prüfergebnissen konfrontiert, hat die Anbieterin der App die Ursache der Weitergabe genauer Standortdaten an Werbepartner zügig identifiziert und mittlerweile unterbunden“, so der Bericht. „Zudem hat sie proaktiv Maßnahmen implementiert, mit welchen sie künftig Datenflüsse in der App überwachen und so den unzulässigen Abfluss an Werbenetzwerke unterbinden kann.“

Ob Daten etwa durch einen Konfigurationsfehler versehentlich abgeflossen sind oder das Unternehmen sich dessen bewusst war, lässt sich von außen nicht nachvollziehen.

Datenhandel gefährdet alle

Die Databroker Files haben gezeigt, wie gefährlich solche Standortdaten aus der Werbe-Industrie sein können. Auf oftmals verschlungenen Wegen fließen sie über Handy-Apps und deren oftmals Hunderte Werbepartner zu Datenhändlern – und von dort in die Hände aller, die bei ihnen einkaufen. Wertvoll sind solche Daten etwa für Geheimdienste und Sicherheitsbehörden, aber potenziell auch für Kriminelle und Stalker*innen.

Achtung, Datenhandel! Lebensgefahr!

Dem Recherche-Team liegen inzwischen mehr als 13 Milliarden Standortdaten verschiedener Datenhändler vor. Allein die Daten aus Deutschland bedecken nahezu jeden Winkel des Landes. Weil die Daten mit einer einzigartigen Werbekennung versehen sind – eine Art Nummernschild fürs Handy – lassen sich daraus eindeutige Bewegungsprofile ablesen.

Solche Bewegungsprofile machen sichtbar, wo eine Person wohnt und zur Arbeit geht, wo sie spazieren geht, in die Kirche, ins Bordell oder ins Krankenhaus. Betroffen sind Privatpersonen ebenso wie Angestellte von Militär, Geheimdiensten und Regierungsbehörden. Mit ein paar Handgriffen können Interessierte jedoch ihre Standortdaten vor dem Zugriff durch Datenhändler weitgehend schützen.

Hier sind alle Veröffentlichungen von netzpolitik.org zu den Databroker Files und hier die auf Basis der Recherchen entstandene ARD-Doku „Gefährliche Apps – Im Netz der Datenhändler“.

Bei der am Dienstag vom britischen National Cyber Security Center (NCSC) bekannt gemachten Angriffsserie auf Router und Access Points des Herstellers TP-Link hatten Angreifer offenbar die Microsoft Cloud im Visier. Deutschland ist nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aber nur in geringem Ausmaß betroffen. Zuvor hatten Bundesnachrichtendienst und Verfassungsschutz aktiv vor Angriffen gewarnt und Kompromittierungs-Indikatoren zur Verfügung gestellt.

Die Gruppierung APT-28, die dem russischen Militärgeheimdienst GRU zugerechnet wird, habe bei ihrem Angriff eine 2024 bekannt gewordene Zero-Day-Lücke (CVE-2023-50224) ausgenutzt, bestätigen die Sicherheitsbehörden. Ziel der Attacken, bei denen die DNS-Anfragen auf von den Angreifern kontrollierte Server geleitet wurden, soll die Übernahme von eigentlich wirksam verschlüsselten Sessions zu Microsofts Clouddiensten gewesen sein, berichtet die Firma in einer umfangreichen Stellungnahme.

Deutschland hat Glück gehabt

„Glücklicherweise gehen wir mit Blick auf die nun erfolgreich gestörte Angriffskampagne von einer sehr geringen Betroffenenanzahl in Deutschland aus“, sagt BSI-Präsidentin Claudia Plattner auf Anfrage von heise online. Das Bundesamt für Verfassungsschutz hatte in einer ersten Einordnung die Zahl von 30 betroffenen Geräten genannt. Auf identifizierte Betroffene sind die Verfassungsschutzbehörden der Länder individuell zugegangen – was angesichts der überschaubaren Zahl möglich war.

Die meisten der betroffenen Geräte von TP-Link sind einige Jahre, teils weit über ein Jahrzehnt alt. „Auch und gerade Netzwerkgeräte wie Router können zum Einfallstor für Angriffe werden – regelmäßige Härtungsmaßnahmen, insbesondere das Schließen bekannter Sicherheitslücken, sind essentiell“, mahnt Plattner. „Wenn es Angreifern gelingt, in den Router einzudringen, können sie nicht nur das Gerät selbst, sondern potentiell auch alle angeschlossenen Geräte kompromittieren.“ In Sicherheitskreisen wird das im März von der US-Regulierungsbehörde FCC verhängte Importverbot für Router in engem Zusammenhang mit der Entdeckung der GRU-Kampagne gesehen.

Für viele der betroffenen Modelle (vollständige Liste des NCSC) gibt es jedoch längst keine Sicherheitsupdates vom Hersteller mehr. Für einige davon ist aber zumindest alternative Software aus dem OpenWRT-Projekt abrufbar. Diese Versionen sind laut OpenWRT-Aktiven im aktuellen Fall nicht kompromittiert. Stichproben von heise online haben derweil gezeigt, dass manche der betroffenen Modelle hierzulande auch weiterhin in Elektronikmärkten verkauft werden.

(mho)

Die Gesellschaft für Freiheitsrechte (GFF) nennt in ihrer aktuellen Stellungnahme zum Sicherheitspaket (PDF) die Gesetzesvorhaben der Bundesregierung zur biometrischen Fahndung im Internet und zur automatisierten Datenanalyse „zum Großteil verfassungswidrig“. Die Bürgerrechtsorganisation lehnt deshalb die Einführung der darin vorgeschlagenen Befugnisse und Änderungen fast rundweg ab.

Es handle sich bei den geplanten Befugnissen nicht nur um Werkzeuge, die zu schwerwiegenden Grundrechtseingriffen führen, sondern um „Instrumente zur potenziellen Massenüberwachung“, weil es sich eben nicht um gezielte Maßnahmen handle. Gleichzeitig würden keinerlei Nachweise vorliegen, dass diese Befugnisse tatsächlich zu einer effektiven Polizeiarbeit beitragen würden, so die GFF.

Staatliche Souveränität vollkommen ausgeblendet

Besonders besorgniserregend sei auch, dass die Referentenentwürfe staatliche digitale Souveränität vollkommen ausblenden würden, heißt es in der Stellungnahme. Das liege daran, dass der Gesetzentwurf vorsieht, dass biometrische Abgleiche im Internet auch von privaten Unternehmen im Ausland durchgeführt werden dürfen. Zu solchen Unternehmen gehört zum Beispiel das umstrittene PimEyes, über das netzpolitik.org oftmals berichtet hat. Solche Unternehmen haben die Gesichtsbiometrie von Millionen Menschen gegen alle Regeln des europäischen Datenschutzes erlangt, indem sie ohne zu fragen Gesichtsbilder im Internet ausgewertet und gespeichert haben.

Darüber hinaus ist laut der GFF auf Grundlage des Entwurfs auch der Einsatz von Softwaretools privater Anbieter für eine Datenanalyse möglich, wie etwa die Software Gotham des US-Unternehmens Palantir. Trotz dieser Möglichkeit sieht der Entwurf laut der GFF keinerlei Vorgaben vor, die sensibelste Polizeidaten vor Fehlern, Datenlecks, unberechtigtem Zugriff, missbräuchlicher Nutzung oder Manipulation schützen. Sogar zum Training von KI-Systemen dürften polizeiliche Daten an private Unternehmen übermittelt werden.

Zivilgesellschaft warnt vor Plänen für KI-Fahndung

„Eingriffe in die Grundrechte aller Menschen“

Der biometrische Abgleich mit Daten aus dem Internet ermögliche „schwerwiegende Eingriffe in das Recht auf informationelle Selbstbestimmung“ – und das bei einer enormen Streubreite. Das ermächtige die Bundespolizei zu Eingriffen in die Grundrechte potenziell aller Menschen, kritisiert die GFF. Denn diese könnten nur begrenzt beeinflussen, ob zum Beispiel Bild- und Videomaterial oder Tonaufnahmen von ihnen gegen ihren Willen im Internet veröffentlicht werden.

Außerdem könnten durch den Abgleich Rückschlüsse auf besonders sensible Daten wie politische Einstellungen und sexuelle oder religiöse Orientierung gezogen werden, z.B. bei Aufnahmen von Demos, Veranstaltungen oder Gottesdiensten.

Das Internet mache mittlerweile einen erheblichen Teil des öffentlichen Raumes aus. Mit den neuen Befugnissen werde die Anonymität in diesem digitalen öffentlichen Raum faktisch unmöglich gemacht. Das sei mit enormen Abschreckungseffekten verbunden und habe erhebliche Auswirkungen auf die Ausübung von Grundrechten, kritisiert die GFF.

Kritik haben die Bürgerrechtler:innen auch an der Eingriffsschwelle für die Nutzung der Instrumente, die laut der schwarz-roten Koalition ab „erheblichen Straftaten“ gelten soll. Doch diese genügten nicht dem verfassungsrechtlich notwendigen Gewicht einer besonders schweren Straftat. Zudem würden die erfassten Straftaten im Gesetzentwurf nicht hinreichend konkretisiert.

„Mächtige Überwachungsmaßnahmen“ mit Palantir & Co.

Bei der automatisierten Datenanalyse, wie sie etwa Palantir durchführt, sollen große Mengen auch bislang ungefilterter oder getrennt gespeicherter Daten mit weiteren Daten verbunden und verarbeitet werden. Die Polizei erhofft sich durch die Zusammenführung neue Erkenntnisse.

„Dabei besteht die Gefahr, dass aufgrund von Fehlern im Analyseprogramm, insbesondere aufgrund diskriminierender Algorithmen, Menschen fälschlicherweise ins Visier der Sicherheits- und Strafverfolgungsbehörden geraten, obwohl sie dafür keinen Anlass geboten haben“, kritisiert die GFF. Sie warnt zudem vor Einschüchterungseffekten und davor, dass aufgrund des Ausbaus der Überwachung immer mehr sensible Daten bei den Behörden gespeichert werden dürfen. „Automatisierte Datenanalysen sind mächtige Überwachungsmaßnahmen“, folgert die Organisation. Deswegen seien strenge Beschränkungen zum Schutz der Grundrechte nötig.

Die GFF fordert deswegen:

Die Datenanalyse sollte dabei insbesondere ausdrücklich auf einfach-automatisierte Abgleiche und reine Suchvorgänge begrenzt werden. Algorithmische Sachverhaltsbewertungen, Profiling und KI-basierte Analysen müssen ausgeschlossen werden. Die Menge der einbezogenen Daten ist stark zu begrenzen. Die Eingriffsschwellen für automatisierte Datenanalysen müssen erhöht und Schutzmaßnahmen gegen Fehler, Diskriminierung und Intransparenz aufgenommen werden.

In der 30 Seiten starken Stellungnahme, welche die GFF im Rahmen der Verbändebeteiligung abgegeben hat, sind zahlreiche weitere Bedenken hinsichtlich der Verfassungsmäßigkeit der Überwachungspläne der Bundesregierung gelistet. Auch andere Organisationen aus der Zivilgesellschaft wie Amnesty International oder der Chaos Computer Club haben massive Kritik an dem Vorhaben der Bundesregierung.