Mit iOS 26.1, macOS 26.1, iPadOS 26.1, watchOS 26.1, tvOS 26.1 und visionOS 26.1, die seit Montagabend bereitstehen, hat Apple auch zahlreiche Sicherheitslücken geschlossen. Neben den neuen Systemen wurden auch ältere gepatcht – allerdings nur auf dem Mac. iOS 18 und iPadOS 18 blieben zunächst gänzlich ohne Update, was Nutzer letztlich zwingt, auf iOS 26.1 und iPadOS 26.1 zu aktualisieren, um ihre Systeme abzudichten. Ob Apple ein Patchpaket für das beliebte ältere System für iPhones und iPads nachlegen wird, bleibt unklar.

iOS und iPadOS: Schnell aktualisieren

iOS 26.1 und iPadOS 26.1 enthalten 45 sicherheitsrelevante Verbesserungen, plus 16 weitere Patches, die Apple (leider) nicht näher ausführt, sondern denen nur Credits (also die Auffinder) zugeordnet wurden. Betroffen sind nahezu alle Bereiche vom Kernel über die Installationsroutine, die Account-Steuerung, die integrierten KI-Modelle und die Fotos-App bis hin zum Browser Safari mit diversen geschlossenen WebKit-Lücken.

Bereits bekannte Exploits scheint es nicht zu geben, zumindest führt Apple keine auf. Die Lücken führen potenziell zu App- und System-Abstürzen, entfleuchten Daten, dem Nachladen unerwünschter Inhalte, der Aktivierung der Gerätekamera ohne Genehmigung und einige problematische Fehler mehr – aus der Ferne ausnutzbare Bugs (Remote Exploits) nannte Apple zunächst nicht. iOS und iPadOS 18 bleiben wie erwähnt bei Versionsstand 18.7.1 aus dem vergangenen September. Ob das bedeutet, dass Apple die Pflege ganz einstellt, bleibt unklar. Das wäre unschön, da viele User, die den Liquid-Glass-Look in iOS 26 und iPadOS 26 nicht mögen, zunächst auf iOS 18 und iPadOS 18 geblieben sind. Sie nutzen derzeit unsichere Systeme.

Massives Patch-Paket für Tahoe

Die Zahl der in macOS 26.1 geschlossenen Lücken ist noch deutlich größer: Es sind sage und schreibe knapp 90 – plus ein Dutzend Bugs, bei denen Apple keine näheren Details publiziert. Mindestens eine der macOS-Lücken ist von außen ausnutzbar – in Form einer Denial-of-Service-Attacke auf die CoreAnimation-Routine. Ansonsten handelt es sich wie auf iPhone und iPad um einen bunten Strauß voller Bugs – von „A“ wie Admin Framework (Nutzerdaten können leaken) über „C“ wie CloudKit (Sandbox-Ausbruch), „N“ wie Networking (iCloud Private Relay dreht sich ab) bis hin zu „s“ wie sudo (Apps können sich sensible Daten schnappen). Auch in Safari für macOS steckten jede Menge Fehler in WebKit. Es lassen sich Abstürze auf App- und Systemebene provozieren. Datenschutzrelevant ist zudem eine Lücke in „Wo ist?“, die ein Nutzerfingerprinting ermöglicht.

Für macOS Sequoia legt Apple Update 15.7.2, für macOS Sonoma Update 14.8.2 nach. Beide korrigieren, wie bei Apple leider üblich, nicht alle in macOS 26.1 gestopften Lücken, nur wer das neueste Betriebssystem verwendet, ist vollständig sicher. Wie problematisch das ist, lässt sich schwer sagen, da unklar bleibt, wie viele der gefixten Bugs erst mit macOS 26 eingeführt wurden. Details zu den Patch-Paketen für tvOS 26.1, watchOS 26.1 und visionOS 26.1 hat Apple ebenfalls publiziert – auch hier gibt es dutzende Fixes, ein schnelles Update ist angeraten. Schließlich liefert Apple auch noch ein Browser-Einzelupdate auf Safari 26.1 für Sequoia und Sonoma aus. Entwickler bekommen zudem Xcode 26.1, das Lücken im GNU-Framework und in libd stopft (ab macOS 15.6 erhältlich).

(bsc)

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, L’Echo (Belgien), Le Monde (Frankreich), BNR (Niederlande). Sie ist Teil der „Databroker Files“. Eine Englische Fassung des Artikels haben wir unter dem Titel „Targeting the EU“ veröffentlicht.

In einem noblen Brüsseler Stadtteil stehen Einfamilienhäuser mit Vorgärten, das politische Zentrum der Europäischen Union ist nicht fern. Wenn sie früh morgens unterwegs ist, braucht eine Person, die in einer Spitzenposition für die EU arbeitet, von hier nur etwa 20 Autominuten zu ihrem Arbeitsplatz. Ihr Bereich ist der Kommissionspräsidentin Ursula von der Leyen unterstellt, im Berlaymont-Gebäude, dem Hauptsitz der Europäischen Kommission. Fast auf dem Weg zur Arbeit liegt praktischerweise ein Spa- und Fitness-Center; auch hier war sie schon unterwegs.

Das und mehr wissen wir, weil uns die exakten Standortdaten dieser Person vorliegen. Sie verraten sogar, wo genau im Gebäude der EU-Kommission ihr Büro liegt. Ihr Bewegungsmuster und viele weitere fanden wir in kommerziell gehandelten Daten von Millionen Menschen in Europa.

Solche Daten offenbaren Wohn- und Arbeitsorte genauso wie Verhalten und Vorlieben der getrackten Personen. Sie können auch Besuche in Kliniken zeigen, in religiösen Gebäuden, Partei- und Gewerkschaftszentralen oder in Bordellen und Swinger-Clubs.

Dem Recherche-Team liegen Datensätze von mehreren Datenhändlern vor. Databroker verschenken sie als Kostprobe – als Vorschau auf kostenpflichtige Abos. Für diese Recherche haben wir zwei neue Datensätze ausgewertet, die rund 278 Millionen Handy-Standortdaten aus Belgien beinhalten.

Jeder Standort ist einer Werbe-ID zugeordnet. Das ist eine einzigartige Kennung, wie ein Nummernschild fürs Handy. So lassen sich die Bewegungen bestimmter Geräte genau verfolgen – und damit die Gewohnheiten ihrer Besitzer*innen. Rund 2,6 Millionen Werbe-IDs allein aus Belgien stecken in den uns vorliegenden Daten, datiert auf wenige Wochen in den Jahren 2024 und 2025. Es sind 2,6 Millionen Nadelstiche für den Datenschutz in Europa.

Spionagegefahr wie im Kalten Krieg

Knapp zehn Jahre ist es her, dass sich hier in Brüssel eine Revolution mit fünf Buchstaben ereignete: DSGVO. Im Dezember 2015 einigten sich das Europäische Parlament, der Rat und die EU-Kommission auf den Text der Datenschutzgrundverordnung. Sie sollte den Schutz von Grundrechten in der digitalen Welt mit einer datenbasierten Wirtschaft in Einklang bringen. Und sie kam mit dem Versprechen der informationellen Selbststimmung: Dass Menschen in der Regel selbst die Hoheit darüber haben sollen, wer was mit ihren Daten anstellt.

Dieses Versprechen ist bis heute uneingelöst. Stattdessen enthüllen die Databroker Files einen beispiellosen informationellen Kontrollverlust, der alle Menschen treffen kann, die am digitalen Leben teilnehmen, indem sie Apps auf Smartphones oder Tablets nutzen. Längst ist der unkontrollierte Datenhandel nicht mehr nur ein Thema für den Verbraucher- und Grundrechteschutz, sondern auch eine Bedrohung für die Sicherheit Europas.

Denn die Spionagegefahr in der EU ist hoch, spätestens seit Beginn des großflächigen Angriffskriegs Russlands auf die Ukraine im Februar 2022. Behörden warnen vor russischer Sabotage, verdächtige Drohnen verletzen den europäischen Luftraum, ein chinesischer Spion hat das EU-Parlament beschattet – es vergeht kaum ein Monat ohne neuen Spionageskandal. Schon 2020 verglich der damalige Präsident des deutschen Inlandsgeheimdienstes die Lage mit der im Kalten Krieg.

Wie groß die Gefahr ist, die hierbei von kommerziell gesammelten Daten ausgeht, haben Verantwortliche bislang offenbar nicht ausreichend auf dem Schirm. Konfrontiert mit den Ergebnissen unserer Recherchen teilt die EU-Kommission auf Englisch mit: „Wir sind besorgt über den Handel mit Standortdaten von Bürgern und Angestellten der Kommission“. In Reaktion habe die Kommission ihren Mitarbeitenden jetzt neue Richtlinien für Werbe-Tracking auf Dienst- und Privatgeräten vorgelegt. Außerdem habe man weitere Stellen informiert, namentlich andere EU-Einrichtungen sowie für IT-Sicherheit zuständige Anlaufstellen in den Mitgliedstaaten.

Auch aus dem EU-Parlament gibt es Reaktionen. „Angesichts der aktuellen geopolitischen Lage müssen wir diese Bedrohung sehr ernst nehmen und abstellen“, schreibt Axel Voss (CDU) von der konservativen Fraktion EVP. Aus der sozialdemokratischen Fraktion S&D fordert Abgeordnete Lina Gálvez Muñoz aus Spanien, die EU solle das Thema „als vorrangige Sicherheitsbedrohung behandeln – nicht nur als Datenschutzproblem“. Die Abgeordnete Alexandra Geese aus Deutschland (Greens/EFA) fordert mit Blick auf die militärische Bedrohung durch Russland: „Europa muss die massenhafte Erstellung von Datenprofilen verbieten.“

Hunderte potenziell sensible Angestellte im Visier

Unsere Recherche zeigt, wie leicht es ist, Spitzenpersonal der EU mit kommerziell gehandelten Standortdaten auszuspionieren. Ohne einen Cent zu bezahlen, konnten wir allein anhand der uns vorliegenden Vorschau-Datensätze Hunderte Geräte von Personen ausmachen, die in sensiblen Bereichen für die Europäische Union arbeiten. Allein im Hauptsitz der EU-Kommission gab es rund 2.000 Standortdaten von 264 verschiedenen Geräten. Im EU-Parlament waren es rund 5.800 Standortdaten von 756 Geräten.

So zeigt etwa ein Bewegungsprofil den Arbeitsweg eines Angestellten des EU-Parlaments. Aus einer Gemeinde in der Nähe von Brüssel geht es über die Stadtautobahn ins Zentrum der Stadt. Die Ortungen zeigen, wie der Angestellte mehrere Gebäude des EU-Parlaments besucht. Auch der Besuch in einem Supermarkt und einem Restaurant lässt sich ablesen.

Tausende weitere Ortungen fanden wir in anderen Institutionen, vom Rat der Europäischen Union über den Europäischen Auswärtigen Dienst bis zum Europäischen Datenschutzbeauftragten. Dabei sind die uns vorliegenden Vorschau-Datensätze nur die Spitze des Eisbergs. Kostenpflichtige Abos versprechen großflächige Massenüberwachung mit ständigem Nachschub an aktuellen Standortdaten.

Bereits die begrenzten Datensätze führten uns zu den Privatadressen von fünf Menschen, die für die EU tätig sind oder waren, darunter drei in hoher Position. Zum von uns identfizierten EU-Personal gehören die eingangs erwähnte Person aus der EU-Kommission, ein hochrangiger Diplomat eines EU-Landes und Personen, die für das EU-Parlament und den Europäischen Auswärtigen Dienst sind.

Alle waren zunächst misstrauisch, manche wollten lieber nicht oder nur flüchtig mit uns sprechen. Keine*r von ihnen möchte öffentlich zitiert werden. Zwei bestätigten uns, dass die Standortdaten ihren Wohnort und ihren Arbeitsplatz zeigen, ihre Bewegungen in Brüssel. Auch eine Digitalaktivistin und ein Journalist, die wir in den Daten finden, bestätigen uns deren Korrektheit.

Von Apps, die Nutzer*innen angeblich nur für Werbezwecke tracken, wandern die Daten auf verschlungenen Wegen durch ein undurchsichtiges Ökosystem. Am Ende landen sie in den Händen von Databrokern, und von dort bei potenziell allen, die danach fragen. Das können Werbefirmen sein, Journalist*innen – oder auch fremde Geheimdienste.

Standortdaten sind nicht anonym

Die von Databrokern gehandelten Datensätze enthalten zwar weder Namen noch Adressen der auf Schritt und Tritt verfolgten Handy-Nutzer*innen. Trotzdem konnten wir mehrere Personen eindeutig identifizieren. Ermöglicht wird das unter anderem durch die sogenannte Mobile Advertising ID, eine eindeutige Kennung für die Online-Werbeindustrie, die Google und Apple automatisch jedem Telefon zuordnen.

Für jeden Standort in unseren Datensätzen gibt es eine solche Werbe-ID. So lassen sich lose Datenpunkte zu aussagekräftigen Bewegungsprofilen zusammensetzen. Wohn- und Arbeitsorte lassen sich leicht ablesen, weil sich genau dort die Ortungen auffällig häufen. Gerade bei einzeln stehenden Häusern mit öffentlich einsehbarem Klingelschild ist in kurzer Zeit klar, um wessen Standortdaten es sich handelt. Teils lassen sich Bewohner*innen eines Hauses auch im Telefonbuch oder durch das Impressum ihrer Website online ermitteln. Die Recherche zeigt: Standortdaten sind nicht anonym.

Hört man sich im politischen Brüssel zu den Databroker Files um, erlebt man oftmals überraschte oder nervöse Reaktionen. Selbst hochrangige Angestellte, die sich mit Datenschutz und Digitalem beschäftigen, hätten nicht erwartet, wie exakt die offen gehandelten Handy-Standortdaten sind.

Eindringliche Warnung der NATO

In Brüssel hat auch die NATO ihr Hauptquartier. Allein in unseren Datensätzen gibt es 9.600 Handy-Ortungen auf dem NATO-Gelände, erfasst von 543 verschiedenen Geräten. Angesichts der angespannten militärischen Lage steht die NATO unter außergewöhnlichem Druck, auch wegen russischer Spionage. Wie kommentiert das Bündnis die Recherche-Funde?

„Wir sind uns der allgemeinen Risiken, die die Datenerfassung durch Dritte für das Bündnis darstellt, voll bewusst“, schreibt ein NATO-Vertreter auf Französisch. Man habe Maßnahmen ergriffen, um die Risiken zu mindern – welche das sind, will er auf Nachfrage allerdings nicht erläutern.

Dass das Militärbündnis solche Handy-Ortungen der Werbe-Industrie offenbar als Bedrohung empfindet, zeigt eine eindringliche Bitte des NATO-Vertreters an das Recherche-Team. „Die Sicherheit unserer Mitarbeitenden nehmen wir sehr ernst und vertrauen darauf, dass Sie alles in Ihrer Macht Stehende tun, um keine Informationen zu veröffentlichen, die ihnen schaden könnten“, schreibt er. „Es ist zwingend erforderlich, dass kein Telefon am Hauptquartier der NATO identifiziert oder namentlich mit Personen in Verbindung gebracht wird und dass kein mit der NATO in Verbindung stehendes Telefon mit einem anderen Ort in Verbindung gebracht wird.​​​​“

Auch das belgische Militär hat auf unsere Recherchen reagiert, nachdem das Team von L’Echo Bewegungsprofile auf belgischen Militärgelände entdeckt hatte. „Wir sind uns des Problems voll bewusst“, teilt die Pressestelle mit. Oftmals seien private Geräte bereits verboten, nicht aber bei Unterkünften des Militärs. Man arbeite an einer neuen Anweisung, die Personal dringend davon abrate, Anwendungen zu nutzen, die es erlauben, Rückschlüsse auf Wohnort und Arbeitsplatz zu ziehen. Unsere Recherchen zeigen jedoch: Standortdaten können potenziell über nahezu jede Anwendung abfließen.

Was Geheimdienste mit Werbedaten anfangen können

Schon vor mehreren Jahren warnte eine Studie des NATO-Forschungszentrums Stratcom (Strategic Communications Centre of Excellence), dass solche Daten nicht nur eine Gefahr für die Privatsphäre von uns allen darstellen, sondern auch für die militärische Sicherheit. Mit Hilfe solcher Daten können feindliche Akteur*innen demnach etwa militärisches Schlüsselpersonal identifizieren und ausspionieren oder militärische Operationen verfolgen.

Seitdem haben weder die NATO noch die EU oder ihre Mitgliedstaaten ein Gegenmittel finden können. Gemeinsam mit dem Bayerischen Rundfunk haben wir 2024 am Beispiel von Daten aus Deutschland enthüllt, wie sich mit kommerziell gehandelten Standortdaten hochrangige Regierungsbeamte, Angehörige des Militärs und von Geheimdiensten identifizieren und ausspionieren lassen. Auch die wichtigsten US- und NATO-Stützpunkte in Deutschland ließen sich mit den Daten ausspähen. Sogar Besuche in Bordellen gingen daraus hervor​​. Erhalten hatten wir die Datensätze von einem US-Databroker, vermittelt über einen in Berlin ansässigen Datenmarktplatz.

Zuvor gab es ähnliche journalistische Recherchen aus europäischen wie den Niederlanden, Norwegen und der Schweiz. Die neuen Recherchen von L’Echo zeigen, wie verwundbar auch Belgien durch offen gehandelte Standortdaten ist. Dort lassen sich Polizeien, Gefängnisse und kritische Infrastruktur wie Atomkraftwerke ausspionieren.

Das gefährliche Geschäft mit Werbeüberwachung

Wenn das Recherche-Team bereits mit diesen einfachen Methoden und zwei kostenlosen Vorschau-Datensätzen hochrangiges EU-Personal identifizieren und ausspionieren konnte – was können dann gut ausgestattete Geheimdienste oder andere böswillige Akteure mit kommerziell verfügbaren Daten anstellen?

In den vergangenen Jahren ist ein eigener Zweig der globalen Überwachungsindustrie entstanden, der darauf spezialisiert ist, Daten aus dem Ökosystem der Online-Werbung für staatliche Stellen nutzbar zu machen. Das US-Unternehmen Babel Street etwa will mit seinem Programm Locate X eine Art „Google Maps für Handys“ entwickelt haben. Strafverfolgungsbehörden sollen damit ganz einfach Personen aufspüren können.

Ein Fachbegriff dafür ADINT, die Abkürzung steht für Advertising Based Intelligence, also werbebasierte Aufklärung. Gefahren durch ADINT, etwa durch fremde Geheimdienste, lassen sich als hybride Bedrohung bezeichnen. So nennt man Angriffe, die nicht offen militärisch sind, unter anderem Spionage oder Sabotage.

ADINT – gefährliche Spionage per Online-Werbung

Forschende warnen: „Äußerst besorgniserregend“ ​​​​​​

In Helsinki erforschen Fachleute aus mehreren Disziplinen im Auftrag von EU und NATO, wie sich hybride Bedrohungen abwehren lassen. Die Einrichtung nennt sich Hybrid CoE. Mit Blick auf unsere Recherche-Ergebnisse schreibt Sprecherin Kiri Peres: „Mobile Standortdaten können von feindlichen Akteuren missbraucht werden, um hybride Operationen durchzuführen, die die demokratische Gesellschaft schädigen und die Handlungsfähigkeit eines Staates schwächen.“

Es sei „nur logisch“, wenn zum Beispiel China und Russland Daten aus der Werbeindustrie einsetzen, wie Peres erklärt. Mit Handydaten ließen sich etwa Oppositionelle oder Demo-Teilnehmende verfolgen. Im Ausland ließen sich hochrangige Personen identifizieren und ausspionieren, darunter Politiker*innen und Journalist*innen, Angehörige von Regierung, Militär und Geheimdiensten. Im Krieg könnten Daten der Werbeindustrie dabei helfen, militärische Bewegungen zu verfolgen.

Corbinian Ruckerbauer forscht für die gemeinnützige Denkfabrik interface zu Überwachung und digitalen Rechten. Auf Anfrage von netzpolitik.org äußert er erhebliche Zweifel daran, dass sich Geheimdienste und Sicherheitsbehörden in Europa wirklich der Bedrohung durch Handy-Standortdaten aus der Werbeindustrie bewusst sind.

„Weder werden solche Bedrohungsszenarien von Regierungsbehörden oder parlamentarischen Gremien öffentlich diskutiert noch wird hinterfragt, welchen Beitrag wir Europäer:innen eigentlich leisten müssten, um dieses Problem nachhaltig anzugehen“, schreibt Ruckerbauer. EU-Staaten „sollten rechtliche Lösungen und Durchsetzungsmechanismen erarbeiten, die diesen ausufernden Datenmarkt einschränken.“

Sein Forschungskollege Thorsten Wetzling von interface schreibt: „Gerade in der aktuellen Zeit, wo die europäische Sicherheit und Verteidigungslandschaft täglich durch Russland auf mögliche Angriffsvektoren hin getestet wird, ist es äußerst besorgniserregend, dass weiterhin so leicht in solchem Ausmaß sensible Standortdaten auf dem Datenmarkt zu erwerben sind.“

Zur Wahrheit gehört allerdings, dass offenbar auch westliche Geheimdienste und andere Regierungsbehörden Daten aus der Werbeindustrie nutzen. In den USA nehmen ihre Dienste unter anderem die Abschiebe-Behörde ICE in Anspruch.

Im Dschungel des Datenhandels

Doch wie gelangen die Daten überhaupt in die Hände dieser Firmen? Wir haben durch unsere bisherigen Recherchen einmalige Einblicke in die Abgründe der Datenindustrie erhalten. Die Pfade im Ökosystem des Datenhandels sind so verschlungen, dass wir es in unserem Erklärtext mit einem Dschungel vergleichen.

Im Dschungel der Datenhändler

Alles nimmt seinen Anfang bei Apps, denen Menschen bewusst oder unbewusst eine Erlaubnis zum Sammeln ihres Standorts geben. Um Geld zu verdienen, binden Entwickler*innen entweder direkt Programmcode von Tracking-Firmen in ihre Apps ein. Oder sie bieten Werbe-Plätze an und übermitteln umfangreiche Informationen über ihre Nutzer*innen an Dutzende oder Hunderte Firmen, die in Auktionen auf die Chance bieten, ihrer Zielgruppe die passende Werbung anzuzeigen. Manche nutzen diese Daten nicht nur für Werbezwecke, sondern auch als Handelsware – ein verlockendes Angebot für Databroker.

Die Qualität dieser Daten fällt unterschiedlich aus. Mitunter stellen Databroker ihre Datensätze größer dar, als sie wirklich sind, etwa indem sie reale Standortdaten mit falschen Werbe-IDs versehen. Deshalb kann es sein, dass hinter den uns vorliegenden Datensätze mit 2,6 Millionen verschiedenen Werbe-IDs in Wahrheit weniger als 2,6 Millionen verschiedene Geräte stecken. Dennoch belegen unsere Recherchen, wie sich auch mit teils ungenauen Daten Personen und Institutionen gezielt ins Visier nehmen lassen.

Die Databroker Files zeigen zudem, wie tief auch zahlreiche europäische Firmen in dieses Geschäft mit den Daten verstrickt sind. Mit dem Datenmarktplatz Datarade hat etwa eine wichtige Infrastruktur der Branche ihren Sitz in Berlin. Unsere Gespräche mit Entwickler*innen zeigen unterdessen: Wer eine App anbietet, weiß oftmals selbst nicht, an wen welche Daten fließen. Anbieter*innen bemerken lediglich, dass mit steigender Nutzer*innen-Zahl auch die Einnahmen steigen, sei es durch Zahlungen von Tracking-Firmen oder durch Werbung.

Das sagen getrackte Menschen in Brüssel

Nur zwei Personen aus unseren belgischen Datensätzen waren bislang bereit, ihre Perspektive öffentlich zu teilen. Beide sind jedoch nicht bei der EU angestellt. Die erste ist Shubham Kaushik, die für European Digital Rights (EDRi) arbeitet, den Dachverband von Organisationen für digitale Freiheitsrechte. Sie hat uns ihre Werbe-ID freiwillig zur Verfügung gestellt – Treffer. Sie sagt:

Es fühlt sich übergriffig an. Ohne mein Wissen sind persönliche Informationen über mich für jeden verfügbar, der genug Geld hat, sie zu kaufen und darauf zuzugreifen. Der einzige Weg, das Recht auf Privatsphäre zu schützen und ein freies Leben zu ermöglichen, ist ein Verbot der Tracking-Industrie.

Von Kaushik taucht nur ein einzelner Standort in unseren Datensätzen auf. Mehrfach geortet wurde dagegen ein Journalist der belgischen Zeitung L’Echo. Die Standortdaten zeigten etwa, wo er wohnt und wo er Urlaub gemacht hat. Dazu sagt er:

Ich gebe mir bereits Mühe, nicht getrackt zu werden, aber offenbar reichen solche Bemühungen nie aus. Stell dir vor, ich würde als Journalist über China schreiben – und China könnte mich verfolgen und ausspionieren.

Datenschutz als Unterbietungswettbewerb

Wie ist all das möglich, obwohl in der EU doch die Datenschutzgrundverordnung gilt? Diese Frage rüttelt an den Grundfesten des europäischen Selbstverständnisses. Mit ihrer umfassenden Digitalregulierung wollte die Europäische Union demonstrieren, wie sie die digitale Welt demokratisch gestalten kann. Wirtschaftlich orientierte Kräfte erhielten eine Verordnung, die keine harten Verbote enthält, sondern lediglich Voraussetzungen und Leitplanken für die Datenverarbeitung. Grundrechtlich orientierte Kräfte erhielten individuelle Rechte etwa auf Datenauskunft oder -löschung sowie gestärkte Aufsichtsbehörden, die ihnen Wirkung verschaffen sollen.

Zusammengehalten wird all das vom Element der Einwilligung. Die Idee: Man lässt Menschen in vielen Fällen die Wahlfreiheit. Gerade wenn es um Datenverarbeitungen für Apps und Online-Dienste geht, über die wir hier berichten, müssen Menschen also eigentlich nicht einwilligen – können es aber, sofern das informiert und freiwillig geschieht.

Das sollte zu einem Überbietungswettbewerb führen, in dem nur diejenigen Anbieter Einwilligungen erhalten, denen man vertrauen kann. In den Worten der EU-Kommission: „Datenschutz als Wettbewerbsvorteil“. In der Praxis aber wurde es ein Unterbietungswettbewerb, bei dem Unternehmen alles daran setzen, so viele Einwilligungen wie möglich einzusammeln. Sie tricksen zum Beispiel mit manipulativem Design oder lassen Nutzer*innen schlicht keine Wahl, als dem Tracking zuzustimmen. Die Enthüllungen der Databroker Files sind eine direkte Folge dieses Wettbewerbs um den schlechtesten Datenschutz.

Auf dem Papier illegal

Auf dem Papier, daran gibt es unter Datenschützer*innen wenig Zweifel, ist der von uns aufgedeckte Handel mit Standortdaten schon heute illegal. Zu dieser Einschätzung kommt etwa die Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider.

Das Problem beginnt schon mit Einwilligung, die nach einhelliger Rechtsauslegung der Datenschutzbehörden die einzige Rechtsgrundlage ist, auf die Werbetracking gestützt werden kann. Neben den schon genannten Problemen mit der Freiwilligkeit hängt es hier vor allem an der Informiertheit. Keine Person, die etwa bei Installation einer Wetter-App den Datenschutzbestimmungen zugestimmt hat, kann nachvollziehen, wo ihre Daten landen – erst recht nicht, wenn sie frei gehandelt werden.

Damit werden auch die Betroffenenrechte ausgehebelt, weil niemand Auskunfts- oder Löschanfragen an Unternehmen stellen kann, die er nicht kennt. Hinzu kommt, dass Standortdaten sensible personenbezogene Informationen preisgeben können, die durch die DSGVO besonders geschützt sind. So zum Beispiel durch Ortungen in Suchtkliniken, religiösen Gebäuden, Partei- und Gewerkschaftsgebäuden oder queeren Sexklubs.

Und dann ist da noch das Problem mit der Zweckbindung, einem Grundsatz der DSGVO, wonach Daten nur für die Zwecke verwendet werden dürfen, für die sie erhoben wurden. Beim Datenhandel werden jedoch angeblich nur zu Werbezwecken erhobene Daten zur Handelsware ohne näher definierten Zweck. Ein klarer Verstoß, so die Einschätzung von Datenschützer*innen.

Behörden können DSGVO nicht durchsetzen

Dass die Behörden trotzdem nicht längst stärker gegen das System von Werbe-Tracking und Datenhandel vorgehen, hat zwei zusammenhängende Gründe. Erstens werden die Behörden vor allem dann aktiv, wenn sie Beschwerden von Bürger*innen erhalten, und diese können sich nur über Firmen beschweren, die sie kennen. Deshalb gibt es zwar zuhauf Beschwerden über fehlerhafte Cookie-Banner, nicht jedoch über die unsichtbare Infrastruktur dahinter. Die Datenhändler haben es sich im Schatten der DSGVO bequem gemacht, der irische Datenschutzaktivist Johnny Ryan nennt alles, was hinter dem Cookie-Banner passiert, eine „datenschutzfreie Zone“.

Zweitens sind europäische Datenschutzbehörden häufig immer noch unzureichend ausgestattet. Sie erhalten so viele Beschwerden von Bürger*innen, dass ihnen kaum Ressourcen für strategische Untersuchungen von Amts wegen bleiben. Darüber hinaus fehlt es den in erster Linie juristisch ausgestatteten Behörden an technischem Know-how und Personal für aufwendigere Analysen.

In Deutschland hat unsere Berichterstattung zwar erste Ermittlungen und Konsequenzen von Landesdatenschutzbehörden ausgelöst. Die Berliner Datenschutzbeauftragte Meike Kamp fordert aber auch legislative Unterstützung, um das systematische Problem unter Kontrolle zu bekommen. Als „wünschenswert“ bezeichnet sie eine „klarere gesetzliche Regulierung des Onlinetrackings und -profilings“.

Ihre Amtskollegin Bettina Gayk aus Nordrhein-Westfalen betont, dass ihre Behörde mit Aufsichtsmitteln nur gegen einzelne Stellen vorgehen könne. „Eine flächendeckende Durchschlagskraft hätte nur ein gesetzliches Verbot, das eine zulässige Verarbeitung von Standortdaten für konkrete Zwecke klar beschreibt, eng begrenzt und eine personenbezogene oder beziehbare Weitergabe der Daten grundsätzlich verbietet.“ Sie warnt, dass beispielsweise Ortungen in Krankenhäusern oder bei politischen Veranstaltungen besonders sensible Daten offenbaren können. „So etwas darf keinesfalls eine Handelsware werden.“

Vom Abstellgleis auf den Friedhof

Kann die Europäische Union in der aktuellen Lage noch einmal die Kraft für weitere Digitalregulierung aufbringen? Gesetze wie die KI-Verordnung oder die Gesetze über digitale Dienste und Märkte stehen unter massivem Druck durch Unternehmen und Staaten inner- und außerhalb Europas. Über eine Reform des Datenschutzes wird in der EU zwar diskutiert, dabei geht es aber fast immer nur um Erleichterungen für die Wirtschaft.

Einen Verordnungsvorschlag, der das Einwilligungsproblem im Internet hätte lösen sollen, hat die EU-Kommission nach jahrelangem Stillstand in diesem Frühjahr beerdigt. Die ePrivacy-Verordnung sollte eigentlich noch 2018 verabschiedet werden und die DSGVO ergänzen, die in jenem Jahr erstmalig Anwendung fand. Wäre es nach dem EU-Parlament gegangen, hätten Nutzer*innen damit die Möglichkeit bekommen, zentral in ihrem Browser oder im Betriebssystem ihres Smartphones zu entscheiden, ob und von wem sie getrackt werden wollen. Und zwar rechtsverbindlich.

Die Aussicht, dass Nutzer*innen tatsächlich selbst bestimmen könnten, wer im Internet ihre Daten erhält, löste in der Datenindustrie blanke Panik aus. In einem breiten Bündnis schlossen sich Online-Werbefirmen, Silicon-Valley-Konzerne und altehrwürdige europäische Medienhäuser zusammen, um die Verordnung zu verhindern. Sie verglichen sie mit einer Atombombe für das Internet und warnten vor einem Ende des freien – also werbefinanzierten – Journalismus im Netz.

Mit Erfolg: Unter dem Dauerfeuer ihrer Lobby-Initiativen wurde das Vorhaben immer weiter aufs Abstellgleis geschoben. Zwar verabschiedete das EU-Parlament noch 2018 einen ambitionierten Entwurf, doch die Mitgliedstaaten im Rat wurden sich jahrelang nicht einig. Im Frühjahr 2025 zog die EU-Kommission den Verordnungsvorschlag zurück.

Wenig Hoffnung beim Digital Fairness Act

Eine Nachfolge-Initiative stellte die EU-Kommission vage in Aussicht, doch ob sie tatsächlich kommt, ist ungewiss. Zunächst steht der Digital Fairness Act vor der Tür, den Kommissionspräsidentin Ursula von der Leyen erstmals beim Antritt ihrer zweiten Amtszeit ankündigte.

Das Gesetz soll Schutzlücken im digitalen Verbraucherschutz schließen. Bis Oktober sammelte die Kommission hierzu in einer öffentlichen Konsultation Feedback; die Wunschliste an möglichen Regulierungen ist lang. Ob das Problem von Einwilligungen, Werbe-Tracking und Datenhandel dazugehören wird, ist offen.

Allzu große Hoffnungen solle man sich nicht machen, heißt es aus Parlamentskreisen. Es gilt als unwahrscheinlich, dass im aktuellen politischen Klima, in dem Bürokratieabbau das Gebot der Stunde ist, eine umfassende Regulierung auf die Agenda kommt.

Zivilgesellschaftliche Organisationen wie der Chaos Computer Club oder der Verbraucherzentrale Bundesverband fordern einen Ansatz, der das Problem direkt bei der Wurzel packt: ein grundsätzliches Verbot von Werbe-Tracking und Datenhandel.

Tatsächlich gab es 2020 bereits eine parteiübergreifende Initiative im EU-Parlament, die genau das erreichen wollte. Die „Tracking-Free Ads Coalition“ wollte ein entsprechendes Verbot im damals verhandelten Gesetz über digitale Dienste (DSA) verankern, fand dafür aber keine Mehrheit. Heute verbietet der DSA lediglich Targeting mit Daten von Minderjährigen sowie mit sensiblen Daten, etwa zu Religion, Sexualität, Gesundheit oder Politik.

US-Senator schaltet Pentagon ein; Bundesministerium fordert EU-Gesetze

EU-Abgeordnete: „Tracking vollständig verbieten“

In Reaktion auf unsere Recherche spricht die Europäische Kommission lieber nicht über neue Regulierung. „Wir haben in der EU bereits strenge Vorschriften eingeführt, nämlich die DSGVO“, schreibt ein Sprecher. Es sei Aufgabe der nationalen Aufsichtsbehörden, einschließlich der nationalen Datenschutzbehörden, festzustellen, ob gegen europäische Datenschutzvorschriften verstoßen wurde, so der Sprecher weiter. „Die Kommission ist bereit, mit diesen Behörden zusammenzuarbeiten.“

Digitalpolitiker Axel Voss von der konservativen EVP-Fraktion im EU-Parlament fordert mit Blick auf die Recherchen von der EU entschiedenes Handeln. „Wir brauchen eine Präzisierung der Nutzung der Standortdaten und somit ein klares Verbot des Handels mit besonders sensiblen Standortdaten für andere Zwecke“. Aus Gründen von Datenschutz und Sicherheit halte er „strikte Beschränkungen für notwendig, insbesondere dort, wo Bewegungs- oder Verhaltensdaten Rückschlüsse auf sensible Bereiche zulassen.“ Ziel müsse sein, „Bürger und Sicherheitsinteressen zu schützen, ohne europäische Unternehmen unnötig zu belasten.“

Weiter fordert Voss „eine europaweite Registrierungspflicht für Datenhändler und eine konsequente Durchsetzung bestehender Datenschutzregeln“. Zu einem umfassenden Verbot von Tracking und Profilbildung zu Werbezwecken äußert er sich dagegen zurückhaltend: „Ein vollständiges Verbot ist ein weitreichender Schritt, der sorgfältig abgewogen werden muss.“ Allerdings müsse klar sein, dass Standortdaten kein „Wirtschaftsobjekt“ sein dürfen.

Für die sozialdemokratische Fraktion S&D im EU-Parlament hat die spanische Abgeordnete Lina Gálvez Muñoz die Recherchen kommentiert. Mit Blick auf den Datenhandel schreibt sie: „Dies stellt im Kontext zunehmender geopolitischer Spannungen eine direkte Bedrohung für die nationale und gemeinsame Sicherheit in der EU dar.“ Zwar verfüge die EU über einen „guten rechtlichen Rahmen als Ausgangspunkt“, schreibt sie weiter und nennt etwa den Cyber Solidarity Act und den Cybersecurity Act. „Wir müssen jedoch weiterhin daran arbeiten, ihn zu stärken und an den aktuellen geopolitischen Kontext anzupassen – ebenso wie an seiner Umsetzung und Durchsetzung.“ Auch müsse die EU den Anwendungsbereich der bestehenden Gesetzgebung erweitern.

Aus der Fraktion der Grünen bekräftigt die deutsche Abgeordnete Alexandra Geese die Forderung eines Verbots von Tracking und Profilbildung zu Werbezwecken. „Dafür setze ich mich seit Jahren ein“, schreibt Geese. Es sei ein Risiko für die nationale Sicherheit, wenn Datenhändler detailliertes Wissen über Einzelpersonen anhäufen. „Wenn der Großteil der europäischen personenbezogenen Daten unter der Kontrolle von US-Unternehmen und undurchsichtigen Datenbrokern bleibt, wird es deutlich schwieriger, Europa gegen einen russischen Angriff zu verteidigen.“ Sie sieht „zwingende Gründe, Tracking vollständig zu verbieten und ein neues, datenschutzfreundliches Werbeökosystem zu schaffen.“

Team L’Echo: Nicolas Baudoux, Benjamin Verboogen. Team Le Monde: Martin Untersinger, Damien Leloup. Team BNR: Lisanne Wichgers, Bart van Rijswik. Team BR: Katharina Brunner, Rebecca Ciesielski, Maximilian Zierer, Florian Heinhold. Team netzpolitik.org: Ingo Dachwitz, Sebastian Meineck, Maximilian Henning, Anna Biselli, Daniel Leisegang.

Der Webbrowser Edge enthält einen Passwort-Manager „Autofill“, dem Microsoft nun den Umgang mit Passkeys beigebracht hat. Ab dem auf dem quelloffenen Chromium basierenden Edge in Version 142 kann der Browser Passkeys speichern und über Windows-Desktop-Geräte hinweg synchronisieren.

In einem Blog-Beitrag erklärt Microsoft die neue Funktion. Das Unternehmen verteilt sie schrittweise in Microsoft Edge 142 unter Windows für Microsoft-Konten (MSA). Sie soll künftig auch auf weiteren Plattformen verfügbar werden.

Vorteile von Passkeys

Passkeys sind ein einfacherer und sichererer Weg, sich in Apps und an Webseiten anzumelden, ohne ein Passwort zu benötigen. Anstatt mit einem Passwort authentifizieren sich Nutzerinnen und Nutzer mit im Gerät verbauten Sicherheitsmechanismen wie Fingerabdrücken, Gesichtserkennung oder einer PIN. Passkeys bauen auf dem FIDO2-Standard auf, der Public-Key-Kryptografie für die sichere Anmeldung nutzt. Im eigenen (lokalen) Konto verbleibt der einzigartige private Schlüssel speziell für die Webseite, während die Website lediglich einen öffentlichen Schlüssel erhält. Microsoft erörtert weiter, dass selbst nach einem Datenleck einer Webseite der Zugang sicher bleibt.

Daher empfiehlt Microsoft den Einsatz von Passkeys. Sie liefern stärkere Sicherheit, es ist schneller und einfacher, sich damit anzumelden – und sie lassen sich mit Passkey-Synchronisation nahtlos über Geräte hinweg einsetzen. Die Privatsphäre steht an erster Stelle, da die biometrischen Daten lokal auf dem Gerät geprüft werden und Webseiten lediglich einen kryptografischen Beweis der Identität erhalten.

Passkey-Speicherung mit Edge Autofill

Die Speicherung von Passkeys unterstützt Edge derzeit lediglich unter Windows, jedoch plant Microsoft die Ausweitung auf weitere Plattformen. Einen Zeitplan nennt das Unternehmen dafür nicht. Die Passkeys legt Autofill im Microsoft-Konto ab. Die werden durch eine PIN geschützt, die beim erstmaligen Abspeichern eines Passkeys eingerichtet wird. Beim Besuch einer Webseite, die Passkeys unterstützt, erfolgt eine Nachfrage, ob die User einen Passkey in Microsofts Passwort-Manager erstellen wollen. Der dabei erstellte und gespeicherte Passkey kann künftig zum Log-in genutzt werden, mit der bevorzugten Geräteauthentifizierungsmethode, sei es Fingerabdruck, Gesichtserkennung oder ein PIN-Code.

Die Synchronisation auf weitere Geräte erfordert dort eine Echtheitsprüfung – die mit der PIN für den Microsoft Passwort-Manager erfolgt. Sie schaltet den Passkey-Zugriff auf neuen Geräten frei. Autofill mit Passkey-Unterstützung setzt mindestens Windows 10, Microsoft Edge 142 sowie ein Microsoft-Konto voraus. Microsoft versichert, die Passkeys verschlüsselt sicher in der Cloud zu speichern, mit dem zusätzlichen PIN-Schutz. Auf neuen Geräten haben Nutzerinnen und Nutzer maximal zehn Versuche, die korrekte PIN zum Freischalten einzugeben.

Wer die PIN vergessen hat, kann sie auf einem Geräte, das bereits Passkey-Zugriff hat, zurücksetzen. Die Entsperr- und Rücksetzversuche der Passwort-Manager-PIN protokolliert Microsoft in Azure.

Ursprünglich hatte Microsoft den Authenticator mit dem Passwort-Manager „Autofill“ ausgestattet. Im Mai wurden Microsofts Pläne bekannt, diese Erweiterung ab Juli dieses Jahres einzustampfen. Autofill ist noch im Webbrowser Edge verfügbar, wodurch die automatisch mit dem Microsoft-Konto synchronisierten Zugangsdaten aus dem Authenticator-Autofill zugreifbar bleiben.

(dmk)