Ein Tag im Juli 2024: Am späten Vormittag checkt eine Person in einem Wohnhaus in Unterfranken eine Nachrichtenapp auf dem Smartphone. Später, am frühen Nachmittag, öffnet jemand im Norden Münchens eine App, um Flugzeuge zu tracken. Kurz darauf prüft eine Frau in Niederbayern auf dem Parkplatz einer Bankfiliale den Wetterbericht.
Diese Einblicke in das Leben von App-Nutzenden gibt ein Datensatz, den der Bayerische Rundfunk mit netzpolitik.org (externer Link) und internationalen Partnermedien ausgewertet hat. Es sind Standortdaten von 47 Millionen Smartphone-Usern aus der ganzen Welt, darunter fast 800.000 Menschen aus Deutschland, viele davon aus Bayern. Ihre Standortdaten werden auf internationalen Datenmarktplätzen gehandelt.
- Zum Artikel: Was macht Elon Musk mit unseren Daten auf X?
Bekannte Apps geben wohl Standortdaten preis
Der Datensatz zeigt außerdem die mutmaßliche Quelle der Daten: insgesamt fast 40.000 Apps für Apple- und Android-Geräte. Aus allen lassen sich zumindest ungefähre Standorte von Nutzerinnen und Nutzern ableiten, zum Beispiel auf Ebene von Stadtteilen. Besonders brisant: Bei einigen Apps geht es den Recherchen zufolge auch um präzise Standortdaten, die etwa genaue Wohn- und Arbeitsorte von Personen zeigen.
Abgeflossen sind solche Daten mutmaßlich aus Apps, die zu den meistgenutzten in Deutschland gehören, wie Wetter Online, Flightradar24, Kleinanzeigen oder Focus Online. Das Rechercheteam konnte mit mehreren App-Nutzenden Kontakt aufnehmen und die Daten verifizieren.
Daten von 40.000 Apps offenbar aus Werbeindustrie abgeflossen
Der Datensatz stammt von dem US-Datenhändler Datastream, der ihn als kostenloses Anschauungsmaterial weitergegeben hatte. Vieles spricht dafür, dass die Daten ursprünglich aus dem unübersichtlichen Geschäft mit personalisierter Online-Werbung abgeflossen sind. Dabei übermitteln App-Anbieter in Echtzeit Informationen von Nutzenden – etwa ihren Aufenthaltsort oder das Modell ihres Handys – an eine Vielzahl von Vermarktern von Online-Werbeanzeigen.
In den Datenschutzbestimmungen von Wetter Online beispielsweise sind mehr als 800 Firmen gelistet, mit denen das Unternehmen Daten über seine Nutzenden teilt, darunter auch solche mit Sitz außerhalb der Europäischen Union, etwa in den USA, Hongkong, Singapur oder Brasilien.
Visualisierung der Standortdaten aus Europa
Die Karte zeigt die Standortdaten in Europa des ausgewerteten Datensatzes innerhalb einer Stunde.
Datenschutzexperten sehen Kontrollverlust
"Ich glaube, es ist unmöglich, bei zum Beispiel 850 Empfängern noch irgendwie nachzuvollziehen, wer diese Unternehmen tatsächlich sind", sagt der Datenschutz-Jurist Martin Baumann von der Wiener Nichtregierungsorganisation NOYB, die sich auf die Durchsetzung von Datenschutzgesetzen spezialisiert hat. "Den wenigsten Nutzern ist bewusst, was für umfangreiche Profile über sie erstellt werden können – und zwar von Stellen, mit denen sie niemals direkt etwas zu tun hatten." Er spricht von einem enormen Kontrollverlust.
Wie brisant Standortinformationen sein können, belegt ein Fall aus den USA, der vergangene Woche bekannt wurde. Eine mutmaßlich russische Hackergruppe hat den US-Datenhändler Gravy Analytics gehackt und droht laut Medienberichten damit, umfangreiches Material zu veröffentlichen, falls kein Lösegeld gezahlt wird. Ein kleiner Teil dieser Daten ist bereits im Internet aufgetaucht.
Tausende Apps teilen Standort und Geräte-IDs
Der Datensatz, der BR, netzpolitik.org und internationalen Partnern vorliegt, beinhaltet 380 Millionen Standorte an einem Tag im Juli 2024. Jeder einzelne Standort ist einer App zugewiesen, aus der er mutmaßlich stammt. Die Betreiber der Apps von Wetter Online, Kleinanzeigen, Flightradar24 und Focus Online haben auf Fragen von BR und netzpolitik.org sowie des internationalen Rechercheteams bis Redaktionsschluss nicht geantwortet. Auch der US-Datenhändler Datastream ließ eine Anfrage unbeantwortet.
Zu den Apps, von denen ungefähre Standortdaten vorliegen – wohl aus IP-Adressen abgeleitet – gehören populäre Apps wie das Spiel Candy Crush, die Dating-Apps Tinder, Grindr und Lovoo oder die E-Mail-Apps von web.de und gmx. Grindr und Candy Crush beantworteten eine Anfrage dazu nicht. Von Lovoo, gmx/web.de und Tinder heißt es, man habe keine Geschäftsbeziehung zu den Datenhändlern Datastream oder Gravy.
Rückschlüsse auf sensible Personendaten möglich
Allen Nutzenden im Datensatz ist eine eindeutige Identifikationsnummer zugewiesen, die Mobile Advertising ID. Mit ihr können sie in anderen Datensätzen, die zum Teil präzise Standorte enthalten, wiedererkannt werden.
So wie eine Frau aus Niederbayern, die BR und netzpolitik.org identifiziert haben: Durch die Kombination mit anderen Datensätzen, die dem Rechercheteam ebenfalls vorliegen, ergeben sich ihr genauer Wohnort und weitere private Details: Sie lebt in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik, aus deren Besuch man sogar Rückschlüsse auf sensible Gesundheitsdaten ziehen könnte. Am Telefon bestätigt sie, dass die Daten echt sind und sie tatsächlich die Wetter-App von Wetter Online nutzt.
Bereits im vergangenen Jahr hatten BR und netzpolitik.org berichtet, wie Soldaten und Mitarbeiter von Geheimdiensten mit Standortdaten ausgespäht werden können. Experten zufolge nutzen auch deutsche Nachrichtendienste Daten von Datenhändlern.
Datenschutzbeauftragte sind alarmiert
Mit Blick auf die Rechercheergebnisse spricht der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Michael Will, im BR-Interview von einem krassen Vertrauensbruch: "Niemand erwartet das. Noch Monate später nachvollziehen zu können, wo sie sich aufgehalten haben, ist konträr zu allem, was Nutzerinnen und Nutzer von Apps erwarten würden." Will ist zuständig für App-Anbieter mit Sitz in Bayern und kündigt an, von seinen Untersuchungsbefugnissen "intensiv" Gebrauch zu machen: "Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen".
Die für Wetter Online zuständige Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, teilt mit: "Da anhand von Standortdaten Bewegungsprofile von Nutzern erstellt werden können, die z.B. für Werbe- und/oder Überwachungszwecke verwendet werden können, sind Standortdaten besonders schützenswert." Man könne sich ohne Vorlage und Prüfung von Belegen jedoch nicht konkret zu der Recherche äußern, der Vorgang sei bisher nicht bekannt gewesen.
Schutz vor gezielter Werbung - Ministerium stellt Forderung
Das Bundesverbraucherschutzministerium sieht die Aufsichtsbehörden der Länder in der Pflicht – und sieht Handlungsbedarf auf EU-Ebene: "Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind", teilt das Ministerium mit.
Der Verbraucherzentrale-Bundesverband schreibt auf Anfrage: "Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen." Die aktuellen Erkenntnisse zeigten und bestätigten erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen habe.
Diese Recherche entstand in Kooperation mit netzpolitik.org (Deutschland), BNR Nieuwsradio (Niederlande), Dagens Nyheter (Schweden), Le Monde (Frankreich), NRK Beta (Norwegen), SRF/RTS (Schweiz), WIRED (USA).
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!