Missing Link: Wie Millionen Bundesbürger kommerziell ausspioniert werden
(Bild: Shutterstock.com/ View Apart)
Wie ist es trotz rigider Datenschutzgesetze möglich, mit brisanten Standortdaten von Millionen von Menschen viel Geld zu verdienen? Eine Spurensuche.
So manchen Menschen dürfte der internationale Handel mit Standortdaten diese Woche zum ersten Mal bewusst geworden sein. Reporter des Bayerischen Rundfunks (BR) und von Netzpolitik.org sind über einen in Berlin ansässigen Datenmarktplatz namens Datarade an einen Datensatz von knapp 3,6 Milliarden Standortdaten gelangt [1], die mit Mobile Advertising IDs (MAIDs) verknüpft sind. Über solche MAIDs werden Smartphone-Nutzer und Desktop-Rechnern gegenüber Apps und Webseiten individuell identifiziert. Die Daten stammen vom US-Unternehmen Datastream Group und wurden über den Berliner Marktplatz als Gratis-Kostprobe an die Journalisten verteilt, die sich als interessierte Käufer ausgegeben hatten.
Dass solche Daten gesammelt und international gehandelt werden, ist aber keine neue Erkenntnis. So hatte etwa die New York Times im Dezember 2019 Details über einen ähnlichen Datensatz offengelegt [2], den die Zeitung von anonymen Whistleblowern bekommen hatte. Danach berichtet der norwegische Rundfunk NRK [3] über ähnliche Praktiken mit Daten aus Norwegen nach. Schließlich entdeckte im Januar der niederländische Radiosender BNR den Berliner Marktplatz Datarade und gelangte an 80 Gigabyte Daten niederländischer Smartphone-Nutzer [4]. Alle diese Berichte summieren sich zu einer Art Snowden-Moment der digitalen Werbebranche: Sie bringen unweigerlich eine Praxis ans Licht der Öffentlichkeit, mit der Experten seit langem rechnen, die der Allgemeinheit aber bisher kaum bewusst war.
Wie brisant sind Standortdaten eigentlich?
Oft wird das Erheben von Standortdaten durch Smartphone-Apps damit abgetan, dass diese Daten nicht mit personenbezogenen Daten verknüpft seien. Anbieter argumentieren, so gut wie jede App wolle auf unseren Smartphones sekundengenau und sehr granular die GPS-Position unseres Gerätes wissen –, auch wenn viele Apps augenscheinlich gar keine Standortdaten benötigen und vor allem nicht in diesem Detailgrad. Diese Argumentation lässt allerdings außer Acht, wie viel Wissen aus der Analyse von Metadaten zu gewinnen ist. So ist etwa seit Jahren bekannt [6], dass Strafverfolgungsbehörden viele Mordfälle und sogar Terror-Pläne allein aufgrund von Metadaten erfolgreich aufdecken. Ermittler müssen oft gar nicht wissen, worüber in Telefonaten von Verdächtigen geredet wird, es reicht zu erfahren, wer mit wem wann und wie lange geredet hat. Und vielleicht, wo sich diese Leute aufgehalten haben.
Wer feinkörnige Standortdaten einer Person besitzt, kann allein daraus herauslesen, wo diese Person sich nachts aufhält und wo sie in der Woche die Zeit von 8 bis 17 Uhr verbringt, wo diese Person genau lebt und arbeitet. Mit diesen Informationen lässt sich in vielen Fällen die entsprechende Person über Posts in sozialen Medien oder aus anderen öffentlichen Quellen identifizieren. Genauso haben die Reporter von Netzpolitik.org in ihrer Recherche die anonymen Werbe-IDs mit echten Menschen verknüpft [7].
Im nächsten Schritt wird sichtbar, was diese Menschen so machen. Besuchen sie regelmäßig Krankenhäuser oder Ärzte? Besuchen sie Bordelle und Swinger-Clubs? Deuten lange Aufenthalte an anderen Wohnadressen an Wochenenden etwa auf eine geheime Affäre hin? Noch kritischer wird das, wenn die so verfolgte Person etwa beim Militär, einem Geheimdienst oder etwa für die Regierung arbeitet. Auch solche Datensätze haben die Reporter in der Standortdaten-Grabbelkiste gefunden [8]; etwa von Menschen, die augenscheinlich beim Bundesnachrichtendienst (BND) arbeiten oder bei der Special-Operations-Truppe KSK der Bundeswehr. Es finden sich dort auch Daten von Personen, die auf dem hochsicheren [Camp Kherson [9]" ein und aus gehen – dem Gelände auf dem Truppenübungsplatz im bayerischen Grafenwöhr, wo die US-Armee ukrainische Soldaten am Kronjuwel seiner Waffentechnik ausbildet, dem Kampfpanzer M1 Abrams.
Wie funktioniert der internationale Datenhandel?
Die Daten im Besitz der Reporter von BR und Netzpolitik.org stammen offenbar aus diversen Smartphone-Apps. Für Software-Entwickler auf Android und iOS ist es ziemlich leicht, solche Daten zu erheben. Dafür gibt es unzählige Software Development Kits (SDKs), die Entwickler solcher Apps in ihre Programme einbinden können. Es sind fertige Software-Bausteine, die Standortdaten vom Handy-Betriebssystem anfordern, wenn die entsprechende App läuft, und dann an Werbefirmen und Tracking-Netzwerke weiterschicken. Die App-Betreiber verdienen im Gegenzug Geld an der Übermittlung der Daten ihrer Nutzer.
Die von den Journalisten bezogenen Daten sind allerdings nur eine Momentaufnahme. Hätten sie bei dem Datenhändler in den USA ein Abo abgeschlossen, hätte dieser sie mit einem tagesaktuellen Strom aus Standortdaten versorgt; so verspricht es die Firma. Bei manchen Anbietern werden diese Daten sogar stündlich aktualisiert. Und sie sind für jeden erhältlich, der zu zahlen bereit ist: Firmen, Privatleute, Strafverfolgungsbehörden und Geheimdienste. Es ist zu vermuten, dass auch Regierungsorgane von repressiven, totalitären Staaten solche Datensätze kaufen und nutzen.
Da die Werbe-IDs im Betriebssystem zurückgesetzt werden können, lassen sie sich nicht eins zu eins auf Personen übertragen. Allerdings gibt es nicht nur Firmen, die mit diesen Daten handeln, sondern auch solche, die es sich zur Aufgabe gemacht haben, Datensätze aus verschiedenen Quellen zu vereinigen und wechselnde MAIDs einzelnen Nutzern zuzuordnen. So ist es denkbar, dass etwa zwei iOS-IDs und die Werbe-IDs von mehreren Windows-Rechnern ein und desselben Nutzers ebendieser einen Person zugeordnet werden können – allein wegen der zusammenhängenden Positionsdaten, die über die verschiedenen MAIDs verteilt sind. Mit modernen Big-Data-Analysetechniken und dem Einsatz von neuralen Netzen und anderen statistischen Algorithmen lassen sich solche Analysen im großen Stil und vollautomatisch in kurzer Zeit vollziehen. Bereits im Jahr 2021 hatte das US-Magazin Vice darüber berichtet, dass [10] es eine ganze Reihe von Firmen gibt, die sich darauf spezialisiert haben, gegen Geld angeblich anonyme Werbe-IDs mit konkreten Personen zu verknüpfen.
Und auch Regierungen bedienen sich spezieller Dienstleister, die Personen auf Grund solcher Daten enttarnen und tracken. So hatte The Intercept vor zwei Jahren etwa über eine Firma namens Anomaly Six berichtet [11], die für die US-Regierung russische Soldaten in der Ukraine ausspioniert. Um ihre Fähigkeiten eindrucksvoll unter Beweis zu stellen und den lukrativen Regierungsvertrag zu erhaschen, hatte diese Firma eigene Spione der US-Regierung bei CIA und NSA über Smartphone-Daten verfolgt und enttarnt.
Wieso schützen uns unsere Gesetze nicht vor diesen Praktiken?
Anhand solcher Gefahren für die staatlichen Interessen der Bundesrepublik und des offenkundig massiven Eingriffs in die Privatsphäre fast aller Bürger des Landes stellt sich die Frage, warum bestehende Datenschutzgesetze wie die Datenschutz-Grundverordnung (DSGVO) der EU anscheinend bei diesem internationalen Handel mit Standortdaten nicht greifen. Warum muss ich auf einer Webseite alle paar Monate jeden einzelnen Cookie bestätigen, kann aber von Firmen, Geheimdiensten und Privatpersonen stundengenau und hochpräzise in allen meinen Bewegungen überwacht werden?
Um zu verstehen, wieso diese Art Praktiken überhaupt legal sind, kontaktierte heise online zunächst das Büro des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) in Bonn. Diese Bundesbehörde befindet sich gerade im Übergang von Ulrich Kelber zur neuen Bundesbeauftragten Louisa Specht-Riemenschneider [12], die ihren Posten bisher aber noch nicht angetreten hat. Ein BfDI-Sprecher teilte aber mit, seine Behörde sei in diesem Fall nicht zuständig. Er verwies uns auf die Berliner Beauftragte für Datenschutz und Informationsfreiheit, da der Datenmarktplatz dort ansässig sei. Der BfDI kümmere sich nur um die Datenschutzprobleme von Bundesbehörden und dergleichen. Auf die Frage, ob die Gefährdung von Mitarbeitern von Bundesbehörden aufgrund der beschriebenen Praxis nicht in die Kompetenz des BfDI falle, sagte der Sprecher: "Die Abwehr von Spionage und Terror liegt in der Zuständigkeit der Sicherheitsbehörden, weshalb wir hierzu keine Aussage machen können."
Ein Sprecher der Berliner Datenschutzbeauftragten berichtete von der behördlichen Untersuchung des Datenhandel-Marktplatzes Datarade. Leider greife in diesem Falle die DSGVO nicht, da die Verordnung sich nur mit der Verarbeitung von Daten befasse. "Wir haben den Marktplatz geprüft und dabei festgestellt, dass dieser lediglich eine Vermittlerrolle hat und keine personenbezogenen Daten zu eigenen Zwecken verarbeitet. Über den Marktplatz verbinden sich Händler und Käufer. Der eigentliche Datenaustausch findet aber über andere Kanäle statt. In dem Moment, in dem wir keine personenbezogene Datenverarbeitung vorfinden, ist es für uns als Aufsicht nicht möglich, datenschutzrechtlich tätig zu werden", erläuterte der Sprecher der Behörde. Sie könne gegen die US-Firma vorgehen, die mit diesen Daten handele, allerdings seien die praktisch durchführbaren Sanktionsmöglichkeiten in solchen Fällen begrenzt.
Der Sprecher der Berliner Datenschutzbeauftragten erläuterte weiter, er gehe davon aus, dass die Daten nicht rechtskonform erhoben worden seien, da wohl die von der DSGVO verlangte informierte Einwilligung des Nutzers [13] in diesem Fall kaum vorliegen kann: "Die Einwilligung setzt voraus, dass die betroffenen Personen tatsächlich überschauen können, was mit ihren Daten zu welchen Zwecken geschieht. Das ist offensichtlich nicht der Fall, wenn Hunderte von Datenpunkten an hunderte Empfänger oder mehr im Hintergrund weitergeben werden. Hier kann ich als betroffene Person die Konsequenzen der Freigabe meiner Daten nicht mehr erfassen und die Risiken nicht einschätzen."
Die mangelnde Handhabe der Datenschützer sei in diesem Fall eine Regelungslücke, die der Gesetzgeber schließen müsse, räumte der Sprecher ein: "Wir sehen Regulierungsbedarf bei den Rechtsgrundlagen der Verarbeitung von Daten. Es sollte schlicht unzulässig sein, höchst detaillierte Datenprofile in verzweigten Netzwerken zu Werbezwecken zusammenzustellen und zu nutzen. Auf diesem Wege könnte den fragwürdigen Geschäftsmodellen, die sich durch die Unschärfen der Einwilligung und des Datenschutzrechts entwickelt haben, ein Ende bereitet werden. Damit würde der Gesetzgeber konsequent in die Richtung des Digital Services Act [14] weiterdenken, der die Anzeige von Werbung auf der Grundlage von Profiling bereits in bestimmten Fällen verboten hat."
Verbraucherzentralen fordern radikale Änderung des Online-Werbemarktes
Auch ein Pressesprecher des Bundesverbandes der Verbraucherzentralen (vzbv) sagte heise online, die Experten des Verbandes gingen davon aus, dass Nutzer von Smartphone-Apps auf Grund der im Betriebssystem eingebauten Einwilligungs-Mechanismen überhaupt nicht wissen können, wofür ihre Positionsdaten verwendet werden. "In den meisten Fällen weiß der App-Betreiber das wohl selbst nicht", so der vzbv-Sprecher. Die Verbraucherschützer sehen hier genau wie die Berliner Datenschutzbeauftragte eine Gesetzeslücke. Allerdings sei es nicht genug, gegen einzelne Apps oder einzelne Firmen vorzugehen, die mit diesen Daten handeln. "Das ist ein Kampf gegen Windmühlen". Mit anderen Worten: das sei ein aussichtsloser Kampf.
Der vzbv sieht das aktuelle System der Online-Werbung an sich als zentrales Problem und fordert ein Verbot, Menschen zu Werbezwecken zu tracken. Sowohl im Netz als auch über deren Positionsdaten. Zu diesem Zweck pochen die Verbraucherschützer auf eine Neuregelung des Rechts auf Privatsphäre aller EU-Bürger. Dazu will der vzbv die E-Privacy-Verordnung der EU komplett überarbeiten. Diese steckt seit acht Jahren im Gesetzgebungsprozess fest; ohne Hoffnung auf eine baldige Umsetzung. Der VZBV plädiert nun auf eine Neuregelung und ein Totalverbot von Profilbildung für Werbezwecke [15]. Angesichts des undurchsichtigen Geflechts aus Millionen von Apps, von denen viele Positionsdaten erheben, hunderten von schleierhaften Firmen, die mit diesen Daten handeln und der vom Gesetz ignorierten Marktplätze, die sich als reine Zwischenhändler die Hände nicht schmutzig machen, scheint dieser Ansatz momentan der einzig erfolgversprechende zu sein.
Wie verhindere ich die Weitergabe meiner Standortdaten?
Bis sich die Politik dazu durchringen kann, das Erheben von – beziehungsweise den Handel mit – solchen Standortdaten einzuschränken oder am besten ganz zu verbieten, bleibt Nutzern nichts anderes übrig, als sich in digitaler Selbstverteidigung zu trainieren. So lässt sich etwa mit etwas Aufwand verhindern, dass mobile Betriebssysteme die MAID des Nutzers weitergeben.
Auf Android-Geräten mit Google-Diensten heißt die MAID "Werbe-ID". Diese kann in den Einstellungen unter dem Punkt "Google" oder "Google-Dienste", Unterpunkt "Alle Dienste" gelöscht werden, was die Weitergabe der Positionsdaten bis auf Weiteres verhindern sollte. In iOS heißt die MAID dagegen IDFA (Identifier for Advertisers) und ist nicht ohne spezielle Apps auszulesen. Sie lässt sich auch nicht löschen. Allerdings kann man in den Einstellungen im Menü-Punkt "Datenschutz", Unterpunkt "Tracking" allen Apps verbieten, Positionsdaten weiterzugeben. In einem weiteren Unterpunkt "Apple-Werbung" sollte man dem Handyhersteller ebenfalls verbieten, die eigene Werbung mit Hilfe von Standort- und anderen Daten zu personalisieren.
Grundsätzlich empfiehlt es sich darüber hinaus, auf digitale Hygiene und Datensparsamkeit zu achten. Das heißt, Sie sollten nur solchen Apps überhaupt Standortdaten geben, die diese auch wirklich benötigen. Dazu gehören etwa Navigations-Apps oder Wetter-Karten. Wer in sicherheitskritischen Bereichen arbeitet oder privat Dinge unternimmt, von denen er definitiv nicht will, dass andere davon erfahren, sollte überlegen, sein Smartphone auszuschalten. Vielleicht muss man beim Bordellbesuch oder auf dem Weg zur Geliebten ja gar nicht per Smartphone erreichbar sein?
Neben dem Smartphone gilt es aber auch, andere Computer nicht aus dem Auge zu verlieren. Sowohl auf Laptops als auch Desktop-Computern sollten Sie in den Windows-Einstellungen etwa die Übermittlung von Positionsdaten an Microsoft und die personalisierte Werbung abstellen. Des Weiteren sollte Sie, wenn möglich, beim Besuch von Webseiten diesen das Tracking und Profiling des Browsers mittels Cookies untersagen.
Realistisch gesehen lässt sich die Weitergabe von Standortdaten in unserer heutigen digitalen Welt wohl nie komplett verhindern. Aber immerhin können Sie die Datensammelwut an so vielen Stellen wie möglich einschränken, sich des Risikos bewusst sein und bei Datenschutzbeauftragten und Politikern darauf beharren, dass legislativ am Verbot dieser Praktiken gearbeitet wird.
(anw [16])
URL dieses Artikels:
https://www.heise.de/-9805284
Links in diesem Artikel:
[1] https://www.heise.de/news/Handel-mit-Standortdaten-als-Sicherheitsrisiko-9802179.html
[2] https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
[3] https://www.nrk.no/norge/mobilsporing_-8300-mobiler-sporet-pa-sykehus-og-krisesentre-1.15008085
[4] https://www.bnr.nl/nieuws/technologie/10537256/nederlandse-telefoons-online-stiekem-te-volgen-extreem-veiligheidsrisico
[5] https://www.heise.de/thema/Missing-Link
[6] https://www.washingtonpost.com/world/national-security/metadata-reveals-the-secrets-of-social-position-company-hierarchy-terrorist-cells/2013/06/15/5058647c-d5c1-11e2-a73e-826d299ff459_story.html
[7] https://netzpolitik.org/2024/databroker-files-firma-verschleudert-36-milliarden-standorte-von-menschen-in-deutschland/
[8] https://netzpolitik.org/2024/databroker-files-wie-datenhaendler-deutschlands-sicherheit-gefaehrden/
[9] https://apnews.com/article/russia-ukraine-politics-0f6a62a112d71e68712e567d1467edf7
[10] https://www.vice.com/en/article/epnmvz/industry-unmasks-at-scale-maid-to-pii
[11] https://theintercept.com/2022/04/22/anomaly-six-phone-tracking-zignal-surveillance-cia-nsa/
[12] https://www.heise.de/news/Specht-Riemenschneider-als-BfDI-gewaehlt-9721276.html
[13] https://www.bfdi.bund.de/DE/Buerger/Inhalte/Allgemein/Datenschutz/Einwilligung.html
[14] https://www.heise.de/ratgeber/FAQ-Digital-Services-Act-9604453.html
[15] https://www.heise.de/news/Verbraucherschuetzer-fordern-Tracking-Verbot-9730635.html
[16] mailto:anw@heise.de
Copyright © 2024 Heise Medien