Databroker Files: Standortdaten von EU-Bürgern laden zur Spionage ein
von André Westphal | 20 Kommentare
In dieser Woche haben die sogenannten Databroker Files für Aufsehen gesorgt. Im Kern geht es darum: Datenhändler verkaufen metergenaue Standortdaten von Bürgern aus der EU – auch von Politikern und deren Angestellten. Formal werden die Daten zwar zu Werbezwecken über mobile Apps erhoben, lassen sich aber freilich leicht missbrauchen – etwa zur Spionage. Der Datenschutz versagt an dieser Stelle und sogar die EU-Kommission hat sich besorgt gezeigt.
Aufgedeckt hat das Ausmaß die Website Netzpolitik in Kooperation mit dem Bayerischen Rundfunk, L’Echo (Belgien), Le Monde (Frankreich) und BNR (Niederlande). So lassen sich exakte Bewegungsmuster von Menschen nachverfolgen – der Besuch des Fitnessstudios vor der Arbeit, die genaue Lage des Büros und auch Termine beim Arzt. Ausgewertet hat man da Datensätze mehrerer Händler, welche eindeutige Werbe-IDs beinhalten. Anhand der Standortdaten lässt sich auf einfachem Wege auch Spitzenpersonal der EU ausspionieren.
So erhielt Netzpolitik durch kostenlose Datensätze der Broker, die mit den Freebies Appetit auf Abonnements wecken wollen, detaillierte Bewegungsprofile hochrangigen EU-Personals. Die Wege eines Angestellten des EU-Parlaments konnte man auf diese Weise etwa präzise nachverfolgen. In welchen Restaurants er gegessen hat, in welchen Supermärkten er eingekauft hat – all das wird ersichtlich. Die Daten aus den kostenpflichtigen Tarifen wären noch umfangreicher, doch bereits die Appetithäppchen liefern etwa spielend leicht Adressen und Informationen zu Gewohnheiten von Diplomaten.
Undurchsichtiges Ökosystem für Standortdaten
Die Standortdaten, zunächst angeblich nur zu Werbezwecken erhoben, wandern durch ein undurchsichtiges Ökosystem und landen dann bei Datenhändlern. Letztere verkaufen sie dann an jeden, der dafür zahlt. Namen und Adressen sind zwar nicht enthalten, lassen sich aber anhand der Standortdaten selbst von Laien in Windeseile zuordnen. Für ausländische Geheimdienste, insbesondere Russland, sind die Daten sehr spannend und leicht zugänglich. Das gefährdet auch die Arbeit der NATO, denn auch von entsprechenden militärischen Geländen und Mitarbeitern sind Daten enthalten. In einer Stellungnahme behauptet ein NATO-Sprecher, dass man sich der Risiken voll bewusst sei und Maßnahmen ergriffen habe. Welche das aber genau seien, wollte man auf Nachfrage nicht erläutern, was kein gutes Zeichen ist.
Berechtigterweise stellt Netzpolitik die Frage: Wenn schon Recherche-Teams mit einigen Journalisten anhand der kostenlosen Probe-Daten umfangreich Diplomaten und Mitarbeiter des Militärs identifizieren und ihre Bewegungen tracken können, was bewerkstelligen dann erst Geheimdienste damit? Auf dem Papier ist der aufgedeckte Handel mit den sensiblen Standortdaten illegal. Denn die Nutzer haben zur Erfassung und Weiterverarbeitung keine informierte Einwilligung gegeben. Meistens wissen nicht einmal die betreffenden App-Entwickler genau, wohin die erhobenen Tracking-Daten am Ende überall fließen.
Stimmt ihr also etwa bei der Installation einer Wetter-App der Erhebung eurer Standortdaten und Co. zu, habt ihr wenig Kontrolle und Einsicht dazu, wo die Daten am Ende landen. Zudem wird es nahezu unmöglich Auskunfts- und Löschanfragen zu stellen, da die Daten über einen Kreislauf bei etlichen Firmen landen, die euch dann gar nicht bekannt sind. Auch die eigentlich nach der DSGVO vorausgesetzte Zweckbindung der Daten greift in der Praxis nicht. Formal werden die Daten zu Werbezwecken erhoben, später aber von den Datenhändlern ohne jede Zweckbindung weiterverkauft.
Keine Besserung in Sicht
Die Behörden unternehmen dabei aus zwei Gründen bislang wenig. Zum einen werden die zuständigen Behörden vor allem dann aktiv, wenn sie aktive Beschwerden von Bürgern erhalten. Letztere können sich aber schlecht über Unternehmen beschweren, von denen sie nichts Genaues wissen. Dazu kommt zum anderen, dass die Datenschutzbehörden in Europa mehr schlecht als recht ausgestattet sind. Auch fehlt es ihnen meist am technischen Know-how, denn die Expertise ist vor allem juristisch.
Von dem Digital Fairness Act kann man leider keine Besserung erwarten. In der EU steht aktuell vor allem Bürokratieabbau auf dem Programm. Die ideale Lösung wäre das grundsätzliche Verbot von Werbe-Tracking und Datenhandel. Doch auch das ist bedauerlicherweise nicht zu erwarten.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
„Welche das aber genau seien, wollte man auf Nachfrage nicht erläutern, was kein gutes Zeichen ist.“
Das passt schon so. Natürlich verraten die nicht öffentlich ihre technischen und organisatorischen Maßnahmen wie zum Beispiel per MDM angebundene Smartphones (und so auch nicht den Namen von Herstellern und schützen somit ihre Supply-Chain), auf denen nicht beliebig Apps installiert werden können.
Daraus Geheimniskrämerei zu lesen oder nichts Gutes, ist fragwürdig.
Das Problem sind vielleicht auch nicht die Dienst-Smartphones, sondern die privaten Geräte. Die werden sicher auch mitgenommen zum Arbeitsplatz NATO oder EU .
Wie aktuell sind sind die Daten?
Am Ende sehe ich durch Geheimdienste nur bedingt Gefahr. Die wissen auch so wo Spitzenpolitiker oder Militärs wohnen, arbeiten und verkehren.
Das Militärs oder Agenten im Einsatz in fremden Ländern in denen sie offiziell nicht sind, kein Strava verwenden sollten, ist seit 10 Jahren bekannt.
Als Bürger habe ich mehr Angst vor staatlicher Überwachung als vor ausländischen Geheimdiensten oder US Konzernen.
Die EU-Kommission zeigt sich besorgt, möchte an anderer Stelle aber gleichzeitig die DSGVO mal schön zurechtstutzen? Man könnte fast denken die verantwortlichen Kommissare haben multiple Persönlichkeiten …
Wenn ich das alles richtig verstehe, dann basiert das System auf der „WerbeID“. Die kann man in Android einfach deaktivieren, und das habe ich schon vor Jahren gemacht. Das Smartphone „warnt“ dann noch einmal, man bekäme jetzt „weniger relevante Anzeigen“, und dann ist die weg.
Ich will keinesfalls die Methoden der Werbemafia gutheissen, im Gegenteil — aber wie man das Internet ohne Werbeblocker überhaupt erträgt ist mir schleierhaft?
Jedesmal, wenn ich kurz ein ungefiltertes Netz sehe, habe ich instant das Gefühl, ich wurde auf die Mittelsput des Times Square gebeamt und werde von einer blinkenden und hupenden Dampfwalze überrollt, während eine mexikanische Band spielt. Das ist doch… irre?
Oh, phantastisches Bild. Das beschreibt es gut. Neben Werbeblocker kann man auch einfach die Standortfunktion deaktivieren bzw. nur für eine bestimmte App und nur für einen speziellen Zweck in einer bestimmten Situation freischalten. Viele Leute machen das seltsamerweise nicht.
Du glaubst, dass das deaktivieren der Werbe-ID Tracking verhindert? Bei einem Google-System? Dann glaubst du sicher auch, dass Zitronenfalter Zitronen falten.
Es geht hier um die Databroker Files, und die basieren auf genau dieser Werbe-ID. Das steht übrigens in den Enthüllungs-Artikeln drin.
Dass das GENERELL JEDES andere Tracking verhindert, habe ich nie behauptet.
Nun, wenn man der Wetter-App erlaubt, den eigenen Standort dauerhaft zu tracken, braucht man sich nicht zu wundern, dass die Daten dann irgendwo landen und verwendet werden.
Es gibt Möglichkeiten, die Werbetracker sehr stark einzuschränken. Aber dafür muss man die Standardeinstellungen seines Smartphones ändern, einen Browser wie Brave benutzen und konsequent Rechte ablehnen. Das macht glaube ich kaum jemand.
Wie sonst sollen Standort-Abhängige Widgets sonst funktionieren?
Das Problem ist doch hier nicht die Funktion. Das Problem ist, dass der „gefühlte Missbrauch“ der Funktion vollkommen legal ist.
6€ pro Jahr für die Wetter-App, Trackingverbot per Gesetz, feddich.
Statt immer mehr die Fähigkeiten von Geräten zu beschneiden, endlich mal Schluss machen mit Tracking und Werbung. Einmalig Opt-In oder Out pro Gerät, für ALLE Apps und ALL Websites für IMMER, fertig. Also praktzisch DNT pro Gerät mit der gesetzlichen Verpflichtung, das ohne Rückfrage zu beachten.
Hallo Jörg,
full akk, einer der besten Kommentare – ja sogar besser als meine Idee der „Totalverweigerung“ und des Rückfalls auf Feature-Phones.
Ja würde ich machen wenn es gar nicht mehr anders geht.
Aber z. B. eine gute Fußgängernavigation , die mir Straßennahmen ansagt – ich bin blind und kann die schilder nicht lesen – ist für mich mehr als „Spielerei“, das ist echte Alltagshilfe .
Bilderkennung mit KI, OCR von Dokumenten – ja letzteres geht beim iPhone auch lokal, ohne daß die Daten das gerät verlassen – sind eben Dinge deren Wegfall mir „aufstoßen“ würde.
Daher möchte ich ungern darauf verzichten. Habe aber natürlich Bauchschmerzen wenn ich mir vorstelle irgendwo existieren ohne mein Wissen Bewegungsprotokolle über meinen Alltag.
Ist ja als wenn ein führhund nach China petzt .. lach
Grundsatz: Wenn Daten verfügbar sind, werden sie auch missbraucht. Das wird sich nicht ändern.
Widgets mit Live-Standort funktionieren bei meinem Ansatz nicht. Aber: Braucht man das?
Ich nutze Widgets mit festem Standort. Und ich behaupte: Die wenigsten Menschen legen täglich so viel Entfernung zurück, dass dies eine Einschränkung ist. Falls ich doch mal weiter weg bin, ändere ich den Standort manuell.
Datensparsam zu leben hat seinen Preis: Ein paar Komfortfeatures fallen weg.
Das ist dann halt der radikale Ansatz: Keine Daten erzeugen. Dafür habe ich mir die teuren Geräte aber nicht gekauft, und das kann’s ja auch irgendwie nicht sein, auf Dinge zu verzichten: Du willst keinen Unfall haben? Bleib zuhause!
Es ist Aufgabe des Staates, das zu reglementieren.
es ist nicht Aufgabe des Status zu reglementieren, dass du Dinge kostenlos nutzen kannst. Wetterdaten kosten Geld. App Entwicklung auch. Also werden die Standortdaten genutzt und mit einer kostenlosen Wetter App Geld zu verdienen. Finde ich vollkommen in Ordnung. Da hat der Staat nichts drin zu suchen.
Es hat keiner verlangt, dass das kostenlos ist. Es geht darum, durchzusetzen, dass wir nur eine Währung haben: Geld. Und nicht eine zweite Schattenwährung „Daten und Privacy-Verzicht“.
Das ganze Theater und das komplette Unwesen wäre sofort beendet, wenn Geschäftsmodelle verboten werden, die auf Werbung und Bespitzelung basieren. In anderen Bereichen kann der Staat das ja auch und setzt es auch durch: Verbotene Rabatte zum Beispiel sorgen dafür, dass im fairen Wettbewerb der Preis entscheidet. Und nicht „Wohnung gegen Sex“ und ähnlicher Mist.
Ich hatte es bereits geschrieben: Wetter-App 6 € im Jahr, fertig. Damit sind die Wetterdaten solide kapitalistisch bezahlt, Gewinn gemacht, Welt in Ordnung. (Oder 10 Euro, oder 20, dann gibt es eben Markenwetter und ALDI-Wetter — wie bei Bratwürsten, Kleidung und Shampoo auch).
Hallo Stephan,
na das erinnere ich anders:
es gab kostenlose Wetterdaten, und zwar bereits bezahlt durch unsere Steuern, nämlich von einem staatlichen Wetterdinst. als App des Deutschen Wetterdienstes. Ohne Werbung und Tracking.
Und dann kamen private Anbieter von Wetter-Apps und klagten dagegen, sie wollten daß die Kunden auch für diesen dienst, den sie ja schon über ihre Steuern finanziert hatten, noch extra zahlen oder Werbung in Kauf nehmen sollten, weil sie angst um ihre Pfründe hatten.
Sch*** auf solche privaten die uns nur melken wollen und echt seriöse angebote wie die des Deutschen Wetterdienstes haben.
Ja denen sollte man jedes Tracking und zwangswerbung verbieten.
Ich mache das schon, aber seien wir ehrlich, die große Mehrheit der User tun’s nicht. Sie vertrauen darauf, dass die Daten nicht missbraucht werden und genau da müsste man einsetzen, den Missbrauch bekämpfen.
They did to themselves …
– Bürgerschutz unterminieren mit Messenger-Peepholes,
zulassen das Apple ins Ad-/Trackinggeschäft einsteigt, die Google-Dominanz dulden.
Gern können diese PEP mit Positioningdaten getrackt werden – offiziell sind jene ja schützenswerter als Normalbürger, die sogar unbescholten Fingerabdrücke abgepresst bekommen – was ja für Grenzverletzer/Flüchtlinge offenbar ein unerhörter Vorgang ist/wäre, anyway.
Auch diese Blog-Site beschwert sich über aktive Werbeblocker, allerdings nur wenn ich gleichzeitig mein VPN über Proton aktiviert habe. Tatsächlich ist es so, dass der Hauptgrund für meine Werbeblocker nicht in der Werbung selbst, sondern in dem im Zusammenhang mit Werbung stets zu unterstellenden Tracking liegt. Site-übergreifendes Tracking sollte grundsätzlich und auch vom Benutzer nicht aufhebbar verboten sein. Überhaupt führt die Idee, dass die Benutzer alles mögliche im Bereich persönliche Daten erlauben können sollen, in die Irre – für normale Benutzer ist es praktisch nicht möglich zu beurteilen, welche und wieviele Stellen diese Daten am Ende erhalten und was diese dann damit für abenteuerliche Dibge anstellen.
„Apps auf Smartphones oder Tablets“
Habe ich nicht und hatte ich noch nie. Aus Gründen.
Die nun wiedermal bewiesen sind.