Auf dem Nato-Truppenübungsplatz in Grafenwöhr in der Oberpfalz werden momentan unter anderem ukrainische Soldaten an Panzern ausgebildet. Einem Reporterteam von BR und netzpolitik.org liegen 200.000 Standortdaten von Personen vor, die sich offenbar auf dem Areal aufgehalten und bewegt haben. Eine dieser Person war demnach nicht nur im militärischen Sperrgebiet in Grafenwöhr, sondern auch auf der Ramstein Airbase in Rheinland-Pfalz – dem größten US-amerikanischen Militärflughafen außerhalb der USA. Detailliert lässt sich anhand der Daten rekonstruieren, wohin die Person mit dem Auto fährt, welche Wege sie genau nimmt, wo sie essen geht und vieles mehr.
Daten von Millionen Menschen aus ganz Deutschland
Das sekundengenaue Bewegungsprofil der Person, die mutmaßlich für die US-Armee arbeitet, basiert auf einem umfangreichen Datensatz eines kommerziellen Datenhändlers, den ein Reporterteam von BR und netzpolitik.org ausgewertet hat. Die Daten umfassen 3,6 Milliarden einzelne Standortinformationen aus Smartphone-Apps, die Ortsdaten erfassen und an Dritte weiterverkaufen. Die Recherchen legen nahe, dass es sich um die Daten von mehreren Millionen Menschen aus ganz Deutschland handelt, mit denen sich teils sehr genaue Bewegungsprofile rekonstruieren lassen.
BR und netzpolitik.org haben in dem Datensatz auch die Bewegungsprofile von mutmaßlich mehreren zehntausend Personen gefunden, die in sicherheitsrelevanten Bereichen arbeiten – etwa in Bundesministerien, Rüstungsunternehmen, an Dienststellen von Verfassungsschutz, Bundesnachrichtendienst und Bundeskriminalamt sowie Militär-Einrichtungen in Deutschland. Zwar enthält der Datensatz keine Namen. BR und netzpolitik.org konnten jedoch in mehreren Fällen Personen über deren Wohnorte und Arbeitsplätze identifizieren und ganze Tagesabläufe nachvollziehen.
Auch im oberpfälzischen Grafenwöhr lassen sich mutmaßliche Wohnorte, Arztbesuche, Dienstreisen und Hotelbesuche und weitere Details von mehreren Personen, die auf dem Truppenübungsplatz ein und aus gehen, anhand der Daten rekonstruieren. Ein ähnliches Bild zeigt sich an anderen sicherheitsrelevanten Orten in Bayern – etwa in den Liegenschaften des Bundesnachrichtendienstes (BND) in Pullach und Bad Aibling und an den US-Militärstandorten in Garmisch-Partenkirchen und Hohenfels. Überall finden sich in den Daten die Bewegungsprofile von einzelnen Personen, deren Alltag sich so leicht nachvollziehen lässt. Ein Einfallstor für Spionage, das laut Experten in Deutschland noch zu wenig Beachtung findet.
Einfallstore für "ausländische Mächte und Kriminelle"
Im Interview mit BR und netzpolitik.org spricht Konstantin von Notz, der Vorsitzende des Parlamentarischen Kontrollgremiums (PKGr) des Bundestags, das die Nachrichtendienste überwacht, von einem "relevanten Sicherheitsproblem". Der Grünen-Politiker warnt, dass feindlich gesinnte Staaten solche Daten zu Spionagezwecken nutzen könnten: "Wenn man weiß, wie Menschen sich verhalten und bewegen, dann sind sie ausspionierbar. Dann kann man Kontakte herstellen, Zufallssituationen generieren, um mit Menschen ins Gespräch zu kommen, um sie anzuwerben oder zu bestechen."
Auch sein Stellvertreter im PKGr, der Unions-Politiker Roderich Kiesewetter, hält das Spionagerisiko für "extrem hoch". Deutschland stehe "im Mittelpunkt russischer, chinesischer und iranischer Einflussoperationen." Durch kommerziell gehandelte Daten entstünden Einfallstore für Spionage durch ausländische Mächte und Kriminelle. "Wir sollten da unsere Blauäugigkeit ablegen."
Ministerien sensibilisieren Mitarbeitende
Innen- und Verteidigungsministerium gaben auf Anfrage an, ihre Beschäftigten regelmäßig für das Gefährdungspotenzial zu sensibilisieren und zum Umgang mit dienstlicher und privater IT zu belehren. Beide Ministerien teilten außerdem mit, fremde Nachrichtendienste nutzten generell alle verfügbaren Mittel, um Informationen zu erlangen, Einfluss auszuüben und eigene Interessen zu verfolgen. Dazu zählten auch der Ankauf und die Nutzung von im Internet verfügbaren Daten.
Der Bundesnachrichtendienst schrieb auf Anfrage, er nehme zu nachrichtendienstlichen Erkenntnissen oder Tätigkeiten grundsätzlich nicht öffentlich Stellung. Auch die US-Botschaft in Deutschland wollte Fragen zu den Fällen in ihrem Zuständigkeitsbereich nicht kommentieren.
Eine aktuelle Studie der Berliner Denkfabrik Interface (bis vor Kurzem Stiftung Neue Verantwortung), die sich auf die gesellschaftlichen Auswirkungen der Digitalisierung spezialisiert hat, legt nahe, dass auch deutsche Nachrichtendienste kommerziell verfügbare Daten für ihre Zwecke nutzen. Bundesnachrichtendienst und Bundesamt für Verfassungsschutz äußerten sich auf Anfrage hierzu nicht.
Datenmarktplatz sitzt in Berlin
Bei den von BR und netzpolitik.org ausgewerteten Daten handelt es sich um einen kostenlosen Probedatensatz, der auf einen Zeitraum von etwa acht Wochen Ende 2023 datiert ist. Er stammt von einem Datenhändler aus den USA, der solche Daten über die Online-Plattform Datarade mit Sitz in Berlin zum Kauf anbietet. Mehrere Datenhändler gaben an, dass sie Standortdaten etwa aus Wetter-, Navigations-, Gaming- und Dating-Apps beziehen. Typischerweise kaufen Unternehmen solche Daten, um Nutzern personalisierte Werbung anzuzeigen.
BR und netzpolitik.org haben mehrere Personen kontaktiert, deren Bewegungsprofile in den Daten zu finden waren. Sie bestätigten, dass die Daten stimmen. Alle zeigten sich überrascht, dass ihre Daten bei Datenhändlern gelandet sind und verkauft werden. Die Online-Plattform Datarade und der Anbieter der Daten ließen Anfragen von BR und netzpolitik.org unbeantwortet.
Künftige Bundesdatenschutzbeauftragte sieht Rechtslücke
Datenhändler, die außerhalb der Europäischen Union agieren, sind laut Louisa Specht-Riemenschneider, Professorin für Datenrecht und Datenschutz an der Universität Bonn, für europäische Behörden nur schwer greifbar. Aber auch gegen Handelsplätze wie den Berliner Datenmarktplatz Datarade könne derzeit nur schwer vorgegangen werden: "Der Datenmarktplatz ist ja im Prinzip ein Makler, der verarbeitet keine personenbezogenen Daten selbst. In gewissem Sinne ist das eine Regulierungslücke." Hier sei der Gesetzgeber dringend angehalten, Lösungen zu finden, sagt die designierte Bundesdatenschutzbeauftragte.
Bis dahin wird das Geschäft mit den Standortdaten weitergehen. Nicht nur in Deutschland, sondern weltweit. Für einige tausend Dollar gibt es Standortdaten von Menschen aus der ganzen Welt. Als monatliches Abo, stündlich aktualisiert.
Die Recherche entstand in Zusammenarbeit mit Sebastian Meineck und Ingo Dachwitz von netzpolitik.org.
Das ist die Europäische Perspektive bei BR24.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!