Diese Recherche ist Teil der „Databroker Files“. Hier geht es zu den weiteren Veröffentlichungen.

Wetter Online, eine von Deutschlands populärsten Wetter-Apps, kann nun offenbar den Aufwand bewältigen, Datenschutz-Auskunftsanfragen von Nutzer*innen nachzukommen. Vor mehr als einem Jahr hatten wir Wetter Online eine solche Anfrage gestellt. Anlass waren unsere Recherchen zu den Databroker Files. Sie zeigten, dass Unternehmen offen mit präzisen Standortdaten von Wetter-Online-Nutzer*innen handelten. Wie kann das sein?

Ein Mitglied des Recherche-Teams hatte selbst Wetter Online auf dem Handy und deshalb auf Grundlage der Datenschutzgrundverordnung (DSGVO) eine Auskunftsanfrage gestellt. Welche Daten hatte Wetter Online über ihn erfasst? Die Antwort auf eine solche Anfrage ist Pflicht, das verlangt das Gesetz. Wegen angeblich zu hohem Aufwand wollte Wetter Online dem allerdings zunächst nicht vollständig nachkommen. Nach einer Beschwerde haben wir nun erstmals Daten erhalten.

Die schlechte Nachricht: Die Aussagequalität der ausgehändigten Daten ist begrenzt. Zahlreiche Fragen bleiben offen. Aber eins nach dem anderen.

Zu viel Aufwand?

Auf Artikel 15 der DSGVO können sich alle Nutzer*innen in der EU berufen. Demnach müssen ihnen Datenverarbeiter Informationen darüber bereitstellen, wie sie deren personenbezogene Daten verarbeiten. So können Interessierte erfahren: Was genau wird über mich erhoben? Auf welcher Rechtsgrundlage? An wen werden Daten weitergegeben? Zudem können sie eine vollständige Kopie ihrer Daten anfordern.

Genau das taten wir bereits im Sommer 2024. Wetter Online kam der Anfrage damals jedoch nur teilweise nach. Das Unternehmen teilte zunächst mit, dass lediglich drei Firmen die Daten des betroffenen Redakteurs erhalten hätten. Eine Kopie könne man jedoch nicht herausgeben, weil das zu aufwendig sei. Dabei verwies Wetter Online auf veraltete Regeln im ehemaligen Bundesdatenschutzgesetz.

Wir hatten deshalb gemeinsam mit der Datenschutzorganisation noyb Beschwerde bei der zuständigen Datenschutzbehörde Nordrhein-Westfalen eingelegt und darüber im Februar 2025 berichtet. Diese Beschwerde hatte zumindest in Teilen Erfolg, denn inzwischen verweigert Wetter Online die Datenkopie nicht mehr mit Blick auf den Aufwand.

Spuren von Wetter Online bei zwei Datenhändlern

Wetter Online spielt eine besondere Rolle bei den Databroker Files, unseren Recherchen mit dem Bayerischen Rundfunk zum unkontrollierten Handel mit Standortdaten. In mehreren Artikeln hatten wir zunächst aufgedeckt, wie Datenhändler vermittelt über eine Berliner Plattform intime Daten von Millionen Menschen verkaufen. Darunter auch genaueste Standortdaten von hochrangigen deutschen Regierungsangestellten, von Menschen mit Zugang zu sensiblen Arealen bei Militär und Geheimdienst.

Dem Rechercheteam liegen inzwischen mehrere Datensätze mit mehreren Milliarden Standortdaten vor, inklusive Werbe-IDs, mit denen sich Handys eindeutig identifizieren lassen. In einem dieser Datensätze sind die Standortdaten zudem mit Hinweisen auf konkrete Apps verknüpft. Zu einigen der Apps konnten wir alarmierend genaue Standortdaten finden. Eine davon ist Wetter Online.

An nur einem Tag in Deutschland wurden zehntausende Nutzer*innen wohl teils auf den Meter genau geortet. Wetter Online taucht auch in einem anderen Datensatz als Quelle für Handy-Standortdaten auf: dem Leak des Datenhändler Gravy Analytics, der im Frühjahr gehackt wurde.

Nach Recherchen: Vor-Ort-Kontrolle bei Wetter Online

Alarmiert durch unsere Berichterstattung schaltete sich die Datenschutzbeauftragte Nordrhein-Westfalen ein und schaute bei Wetter Online persönlich nach dem Rechten.

„Die schnelle Vor-Ort-Kontrolle war hier besonders hilfreich, da das Unternehmen die nicht datenschutzkonforme Handhabung bestritten hatte“, schreibt Behördenchefin Bettina Gayk in einer Pressemitteilung. Der Behörde zufolge konnten die Datenschützer*innen bei ihrem Besuch feststellen, dass tatsächlich genaue Standortdaten ohne wirksame Einwilligung an Dritte weitergegeben wurden. Das habe man stoppen können.

Noch im Februar nahm Wetter Online auch für Nutzer*innen sichtbare Änderungen vor. „Wetter Online hat innerhalb der uns gesetzten Frist reagiert und nun auf Website und Apps einen Einwilligungsbanner gesetzt, der auf die Verarbeitung von GPS-Standortdaten nur für Wetterinformationen hinweist“, erklärte ein Sprecher der Datenschutzaufsicht.

Unklar blieb jedoch, an wen genau die Standortdaten der Wetter-Online-Nutzer*innen geflossen sein könnten. Wetter Online antwortete im Januar und Februar auf wiederholte Presseanfragen nicht. Umso höher waren die Erwartungen an neue Erkenntnisse durch die beantragte Datenauskunft.

Firma hat Reiseroute erfasst

In Reaktion auf die Beschwerde hat uns Wetter Online schließlich eine Tabelle mit rund 150 Zeilen zur Verfügung gestellt. Zu den erfassten Informationen gehört etwa, ob das Handy des Redakteurs mit einem WLAN verbunden war und welche Betriebssystem-Version darauf lief. Die Tabelle enthält auch auf die Sekunde genaue Zeitstempel sowie zahlreiche Ortsnamen und Postleitzahlen.

Mehrfach taucht Berlin auf, wo netzpolitik.org seinen Sitz hat. Einige Orte scheinen falsch erfasst worden zu sein, der Redakteur war dort nicht. Ablesen lässt sich jedoch eine Auslandsreise. Legt man die erfassten Postleitzahlen auf eine Karte, lassen sich Teile der tatsächlichen Reiseroute ungefähr nachvollziehen.

Was die Tabelle allerdings nicht enthält: Präzise Standortdaten, aus denen sich Bewegungen minutiös nachverfolgen lassen. Es gibt keine Hinweise auf die genaue Wohnadresse oder den Arbeitsplatz. Außerdem stehen in der Tabelle lediglich Daten eines einzigen Tracking-Unternehmens: Appsflyer. Zuvor hatte Wetter Online noch mitgeteilt, Daten an drei Tracking-Firmen weitergegeben zu haben. Und in der Datenschutzerklärung werden gar Hunderte Firmen als Werbepartner gelistet. Die Datei enthält zudem zahlreiche leere Felder.

Hat Wetter Online wirklich alle Daten vorgelegt, die erfasst wurden?

Wetter Online: Keine GPS-Daten „verkauft“

Wir haben Wetter Online per Presseanfrage um Erklärung gebeten. Das Unternehmen teilt mit: „Die Auskunft ist auf Sie bezogen vollständig.“ Mehrfach habe man geprüft, ob auch Daten zu den ursprünglich genannten Tracking-Firmen vorliegen. Es konnten jedoch keine gefunden werden, heißt es. Für die leeren Felder in der Datei gebe es technische Gründe; das heißt: Nachträglich entfernt worden sei nichts.

Aus der Antwort geht jedoch hervor, dass Wetter Online durchaus mal mehr Daten erfasst hatte. Diese Daten würden aber nicht mehr vorliegen. „Wir haben bereits vor Ihrem Auskunftsersuchen, basierend auf Regellöschfristen, personenbezogene Daten gelöscht“, erklärt der Sprecher.

Der Wetter-Online-Sprecher äußert sich auch erstmals zur Datenschutzbeauftragten Nordrhein-Westfalen: „Die Untersuchungen laufen noch“, schreibt er. Wetter Online ist es wichtig zu betonen, dass GPS-Daten nicht an Dritte „verkauft“ worden seien. „Dies war und ist auch nicht Gegenstand der laufenden Untersuchung“, betont der Sprecher. Wie genaue Handy-Standortdaten auch ohne einen direkten Verkauf an Dritte gelangt sein könnten, erklärt der Sprecher nicht. „Wir bitten um Verständnis, dass wir uns zu laufenden Untersuchungen nicht äußern.“

In unserem Artikel Im Dschungel der Datenhändler haben wir mehrere Wege beschrieben, wie sensible Daten von Handy-Nutzer*innen zur offenen Handelsware werden können, auch ohne dass App-Betreiber sie selbst verkaufen.

Nutzer*innen haben keine Kontrolle

Die Auskunft von Wetter Online liefert also keine lückenlose Aufklärung – schon allein, weil wir nicht wissen, welche personenbezogenen Daten Wetter Online bereits im Vorfeld durch „Regellöschfristen“ getilgt hat. Der konkrete Fall verdeutlicht ein typisches Problem beim Recht auf Datenauskunft. Betroffene können nicht genau prüfen, welche Daten Unternehmen tatsächlich über sie verarbeitet haben.

Theoretisch könnten Unternehmen also auch nach einer Auskunftsanfrage gezielt Daten löschen, um sie nicht offenlegen zu müssen. Oder ihre Antwort so lange herauszögern, bis sensible Daten durch übliche Löschfristen nicht mehr vorliegen. Betroffene wären nicht in der Lage, das nachzuweisen. Sie müssten dem Unternehmen schlicht vertrauen. Das bedeutet: Für Nutzer*innen ist die mit dem Recht auf Datenauskunft eigentlich intendierte Kontrollfunktion eine Illusion.

Abhilfe schaffen könnten hier nur Datenschutzbehörden. Mit Kontrollen vor Ort könnten sie prüfen, ob Unternehmen die Rechte von Nutzer*innen wirklich umsetzen. Allerdings ist das aufwendig und allenfalls in Einzelfällen realistisch.

So können Interessierte selbst ihre Daten anfragen

Die Hürden bei Auskunftsersuchen sollten Interessierte allerdings nicht davon abhalten, ihre Rechte einzufordern. Selbst eine möglicherweise geschönte Datenauskunft kann aufschlussreich sein.

Wer eine vollständige Datenauskunft nach Artikel 15 DSGVO erhalten will, sollte jedoch etwas Geduld einplanen. Immer wieder versuchen Unternehmen, Betroffene mit Ausreden abzuspeisen. In der Regel haben sie nur vier Wochen Zeit für die Auskunft. Nur in Ausnahmefällen mit besonderem Aufwand darf diese Frist verlängert werden.

Hilfreich ist es, einem Unternehmen möglichst direkt alle Daten zu schicken, die die Auskunft erleichtern. Dazu zählen auch Identifier wie die Mobile Advertising ID, also die einzigartige Werbe-Kennung des eigenen Handys. Wir haben im Fall von Wetter Online etwa konkrete Beispiele für besuchte Orte mitgeschickt, zu denen Standortdaten vorliegen müssten. Auch eine (teils geschwärzte) Kopie des Personalausweises kann in Einzelfällen verlangt werden.

Für Interessierte gibt es mehrere Anlaufstellen, die bei der Formulierung solcher Auskunftsanfragen helfen, etwa die Verbraucherzentralen, die deutsche Initiative datenanfragen.de oder die englischsprachige Initiative datarequests.org.