Auslegungssache 158: Die Databroker Files

Was passiert eigentlich mit den Standortdaten, die Smartphone-Apps tagtäglich sammeln? Diese Frage haben sich Ingo Dachwitz und sein Kollege Sebastian Meineck von netzpolitik.org gestellt. Seit fast zwei Jahren sind sie gemeinsam mit dem Bayerischen Rundfunk und internationalen Partnern den sogenannten „Databroker Files“ auf der Spur. Was sie dabei zutage förderten, ist erschreckend: Über die Plattform Datarade.ai bekamen die Journalisten von Datenhändlern kostenlose „Probedatensätze“ mit inzwischen mehr als 13 Milliarden Standortdaten aus über 140 Ländern zugespielt. Allein in einem deutschen Datensatz fanden sich 3,6 Milliarden Standortpunkte, zugeordnet zu rund elf Millionen Smartphones.

Im Gespräch mit c’t-Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich erläutert Dachwitz, wie die Recherche funktionierte. Mit einem von BR-Datenjournalistin Katharina Brunner gebauten Tool ließen sich die Daten auf Karten visualisieren. Anhand der Mobile Advertising ID – einer eindeutigen Werbe-Kennung, die Android und iOS den Apps zur Verfügung stellen – konnten die Bewegungsmuster einzelner Personen über Wochen nachvollzogen werden.

Mit einfachen OSINT-Methoden, etwa dem Abgleich von Wohnadressen mit Klingelschildern und Telefonbüchern, gelang es dem Team in einigen Fällen, die vermeintlich anonymen Daten Personen zuzuordnen: hochrangigen Beamten, Mitarbeitern von Bundesnachrichtendienst und Verfassungsschutz, Soldaten auf US-Militärbasen wie dem Fliegerhorst Büchel und sogar einer mutmaßlichen NSA-Mitarbeiterin in Bad Aibling.

Bußgeld ante portas

Die Daten stammen aus zwei Quellen: zum einen aus Tracking-SDKs, die App-Entwickler gegen kleines Geld in ihre Anwendungen einbauen, zum anderen aus Echtzeit-Auktionssystemen für Online-Werbung (Real-Time Bidding). Besonders aufgefallen war den Journalisten die App Wetter Online. Die nordrhein-westfälische Datenschutzaufsicht stattete dem Anbieter daraufhin einen Besuch ab und stellte fest, dass tatsächlich präzise Standortdaten abflossen. Auch die Hamburger Datenschutzbehörde wurde aufgrund der Recherche bei einer Dating-App fündig.

Rechtlich, da sind sich die drei einig, ist das gesamte Geschäftsmodell kaum zu rechtfertigen. Eine Einwilligung kann die komplexen Datenflüsse mit hunderten beteiligten Firmen praktisch nicht abbilden, ein berechtigtes Interesse scheidet nach Auffassung der Datenschutzbehörden für Werbe-Tracking ohnehin aus. Hinzu kommt, dass sich Plattformen wie Datarade laut Dachwitz selbst nicht als Verantwortliche im Sinne der DSGVO sehen, sie vermittelten ja nur. Dachwitz fordert daher eine politische Debatte: Statt die Verantwortung allein auf Nutzer abzuwälzen, brauche es klare Verbote bestimmter Datengeschäfte.

Wer sich schützen will, kann immerhin die Werbe-ID auf dem Smartphone zurücksetzen oder deaktivieren, Apps den Standortzugriff nur bei aktiver Nutzung erlauben und konsequent Tracking ablehnen. Ein Tool auf netzpolitik.org erlaubt es zudem, die eigene Werbe-ID gegen den deutschen Datensatz abzugleichen.

Episode 158:

Hier geht es zu allen bisherigen Folgen:

(hob)