Millionendeal mit Überwachungsfirma: Regierung in Österreich will Menschen mit illegalen Daten orten können

Wer in Österreich ein Handy nutzt, dessen genaue Standortdaten könnten auf den Bildschirmen dortiger Ermittler*innen landen. Das Innenministerium hat jüngst die Lizenz für eine Überwachungs-Software verlängert, die auf massenhaft erfassten Handy-Ortungen basiert. Das zeigt ein Dokument aus einem öffentlichen Vergabeportal. Zuerst berichtet hatte die Tageszeitung Der Standard.

Konkret geht es um das Werkzeug namens Webloc der US-Firma Penlink. Hierzu hatte im April das Citizen Lab der Universität Toronto einen Bericht veröffentlicht. Demnach soll Webloc Zugang zu einem Datenstrom von bis zu 500 Millionen Handys weltweit bieten. Zu den verfügbaren Daten sollen unter anderem genaue GPS-Standorte gehören sowie die einzigartigen Werbekennungen eines Geräts („mobile advertising ID“). Eine kurzfristige Presseanfrage von netzpolitik.org hat die US-Firma Penlink nicht beantwortet.

Den Weg der Daten von populären Handy-Apps in fremde Hände konnten die Recherchen zu den Databroker Files von netzpolitik.org und Bayerischem Rundfunk seit 2024 zeigen. Angeblich nur zu Werbezwecken erhoben fließen die Daten über das Ökosystem der Werbe-Industrie an Datenhändler und von dort zu Überwachungsunternehmen. Betroffen sind potenziell alle Menschen, die ein Handy mit werbefinanzierten Apps nutzen und keine digitale Selbstverteidigung betreiben.

Mithilfe der Werbe-ID lassen sich solche Handy-Standortdaten mühelos zu Bewegungsprofilen verknüpfen. Sie geben oftmals unter anderem Wohnort und Arbeitsplatz preis, aber auch sensible Details über das Privatleben wie Besuche in Arztpraxen, Kliniken, religiösen Gebäuden oder Bordellen.

Der Fachbegriff für Erkenntnisse aus Daten der Werbe-Industrie ist ADINT. Sicherheitsbehörden können mit ADINT-Software diese Daten kinderleicht durchforsten: Ähnlich wie man etwa mit Google Maps nach Restaurants in der Nähe suchen kann, können Polizist*innen mit ADINT-Software nach Bewegungsprofilen von Menschen in einem bestimmten Areal suchen.

Fachleute sehen im Handel mit den Standortdaten einen Verstoß gegen die DSGVO (Datenschutz-Grundverordnung). Bereits 2024 schrieb das deutsche Verbraucherschutzministerium: „Die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist aus unserer Sicht mit dem Datenschutzrecht nicht vereinbar.“ In Deutschland und Österreich bezweifeln Fachleute zudem, dass Sicherheitsbehörden solche Daten nutzen dürfen.

Zwei Jahre Überwachung, 1,85 Millionen Euro

Auf Anfrage von netzpolitik.org kommentiert das Innenministerium in Österreich den Einsatz von Webloc nicht direkt. „Über konkrete Softwarelösungen und deren Einsatz kann öffentlich keine Auskunft erteilt werden“, schreibt ein Sprecher. „Fakt ist, dass wir diese nur im Rahmen unserer gesetzlichen Möglichkeiten nutzen.“

Die erste Aussage ist nicht korrekt. Das Ministerium kann sich durchaus äußern, will das aber offenbar nicht. Die zweite Aussage ist nicht belegbar: Wenn das Ministerium über die Software schweigt, lässt sich auch nicht unabhängig prüfen, ob ihr Einsatz legal ist.

In der ausweichenden Antwort der Behörde stecken jedoch Hinweise darauf, wer die Software zu welchem Zweck einsetzen könnte: Zuständig ist demnach die Direktion Staatsschutz und Nachrichtendienst; in einer kurzen Vorrede geht der Sprecher auf „extremistische und terroristische Straftaten“ ein.

Laut Vergabeportal hat Österreich schon einmal an Penlink gezahlt. Die Rede ist von einer „Verlängerung“ der Lizenz um weitere zwei Jahre. Kostenpunkt dieses Mal: rund 1,85 Millionen Euro. Zum Paket gehören demnach nicht nur Webloc, sondern auch weitere Produkte der Firma.

Deren Hauptprodukt heißt Tangles. Es soll dem Citizen Lab zufolge etwa soziale Medien, Foren, Telegram-Gruppen und andere Orte im Netz überwachen können. Kund*innen können demnach etwa nach Namen, Telefonnummern oder E‑Mail-Adressen suchen, um sich online verfügbare Informationen über eine Person anzeigen zu lassen. Bereits 2024 hatte Österreich eine Lizenz für Tangles gezahlt; das Zusatzprodukt Webloc taucht in dem älteren Dokument jedoch nicht ausdrücklich auf.

Tracking-Forscher: „Das ist anlasslose Massenüberwachung.“

Der Wiener Tracking-Forscher Wolfie Christl kritisiert den Einsatz von Webloc. Auf Mastodon schreibt er:

Auch wenn Webloc ’nur’ zur Überwachung von Einzelnen genutzt wird, sammelt und analysiert es täglich Daten über Millionen Unbeteiligte. Das ist anlasslose Massenüberwachung. Diese komplett zweckentfremdete Nutzung von Werbedaten für staatliche Überwachung ist ein Dammbruch.

Die Daten, auf denen Werkzeuge wie Webloc basieren, hält Christl mit Blick auf die DSGVO für illegal. Niemand in der Lieferkette habe eine gültige Einwilligung, um solche Daten für staatliche Überwachung weiterzugeben. Eine solche Einwilligung bräuchte es aber – und zwar von jeder betroffenen Person. „Eine andere DSGVO-Rechtsgrundlage als die Einwilligung ist kaum denkbar“, schreibt Christl.

Getrennt davon zu betrachten sei die Frage, ob das Innenministerium eine Rechtsgrundlage für die Nutzung der Daten habe. „Die österreichische Datenschutzbehörde muss eine Untersuchung einleiten“, schreibt der Forscher.

Datenschutzbehörde in Österreich weiß nichts Näheres

Auf Anfrage von netzpolitik.org teilt die Datenschutzbehörde in Österreich mit, sie habe „keine näheren Kenntnisse über den geplanten Einsatz der genannten Software durch das BMI“. Demnach sei man auch nicht vom Ministerium dazu konsultiert worden. Eine solche Konsultation sei nötig, wenn eine Behörde bei einer Datenschutz-Folgenabschätzung ein hohes Risiko erkennen würde, erklärt der Sprecher.

Wird die Datenschutzbehörde nun aktiv? Eine klare Antwort gibt der Sprecher nicht, hält sich aber alle Türen offen: Man könne „jederzeit im Rahmen eines Beschwerde- oder amtswegigen Prüfverfahrens die Einhaltung datenschutzrechtlicher Vorgaben überprüfen“.

Mit dem nun bekannt gewordenen Lizenzdeal ist Österreich das zweite EU-Land auf der Kundenliste von Webloc. Im April berichtete das Investigativmedium VSquare, dass die ungarische Regierung unter dem inzwischen abgewählten Premier Viktor Orbán Webloc-Lizenzen gekauft habe. In den USA soll die paramilitärische US-Abschiebebehörde ICE das Werkzeug nutzen können, um gezielt Menschen anhand ihrer Handy-Standorte aufzuspüren.

Deutschland hält Databroker-Deals geheim

Verwenden auch deutsche Sicherheitsbehörden Werkzeuge wie Webloc, oder kaufen sie sich die Standortdaten einfach selbst ein? Die Bundesregierung macht daraus ein Staatsgeheimnis. Ende 2025 hat sie nach einer Anfrage der Bundestagsabgeordneten Donata Vogtschmidt (Die Linke) die Auskunft verweigert; damals ging es um Bundeskriminalamt (BKA) und Bundespolizei.

Auch in den Ländern mauern die Regierungen. Eine Recherche von netzpolitik.org und Bayerischem Rundfunk im Juni hat gezeigt: In neun Bundesländern will sich die Polizei nicht über mögliche Databroker-Deals äußern. Nur in fünf Bundesländern hatte die Polizei solche Deals verneint.

In Brandenburg habe die Polizei zwar Daten von „beispielsweise Wirtschaftsauskunfteien“ erworben, nicht aber kommerzielle Standortdaten. Einzig in Mecklenburg-Vorpommern hatte die Landespolizei eingeräumt, Standortdaten der Werbe-Industrie genutzt zu haben. Die dortige Datenschutzbehörde hat daraufhin eine Prüfung eingeleitet.

Opposition in Österreich: „nicht lockerlassen“

Wieso wollen sich so viele Behörden auf Bundes- und Landesebene nicht äußern? „Das Mauern gegenüber der Presse und uns allen lässt nichts Gutes ahnen“, sagte Florian Siekmann, innenpolitischer Sprecher der Grünen im bayerischen Landtag, mit Blick auf sein Bundesland. Und mit seiner Skepsis ist er nicht allein: In mindestens acht deutschen Bundesländern fordert die Opposition nach unseren Recherchen Aufklärung.

Auch in Österreich will die Opposition weiter Druck machen. Der grüne Abgeordnete Süleyman Zorba hatte bereits vergeblich versucht, Transparenz zu schaffen. „Erst hieß es, jede Auskunft gefährde die nationale Sicherheit. Nun ist der Einsatz der Software in öffentlichen Vergabeunterlagen dokumentiert“, fasst er gegenüber dem Standard zusammen.

„Ich werde nicht lockerlassen, bis Innenminister Gerhard Karner offenlegt, auf welcher gesetzlichen Grundlage das Ministerium handelt, welche Daten verarbeitet werden und wer deren Einsatz kontrolliert“, so Zorba weiter. Die Bevölkerung habe ein Recht darauf, zu erfahren, was mit ihren Daten geschieht.