Smartphone-Apps Datenhandel außer Kontrolle?
Millionen von Standortdaten aus Apps fließen an Datenhändler ab - das zeigen Recherchen des BR mit internationalen Partnermedien. In Deutschland sticht eine populäre Wetter-App besonders hervor. Experten sprechen von "Kontrollverlust".
Ein Datensatz, den der Bayerische Rundfunk mit netzpolitik.org und internationalen Partnermedien ausgewertet hat, gibt tiefe Einblicke in das Leben von Millionen App-Nutzenden weltweit - darunter fast 800.000 Menschen aus ganz Deutschland. Ihre Standortdaten werden auf internationalen Datenmarktplätzen gehandelt.
Der Datensatz zeigt außerdem die mutmaßliche Quelle der Daten: insgesamt fast 40.000 Apps für Apple- und Android-Geräte. Aus allen lassen sich zumindest ungefähre Standorte von Nutzerinnen und Nutzern ableiten, zum Beispiel auf Ebene von Stadtteilen. Besonders brisant: Bei einigen Apps geht es den Recherchen zufolge auch um präzise Standortdaten, die etwa genaue Wohn- und Arbeitsorte von Personen zeigen.
Abgeflossen sind solche Daten mutmaßlich aus Apps, die zu den meistgenutzten in Deutschland gehören, wie Wetter Online, Flightradar24, Kleinanzeigen oder Focus Online. Das Rechercheteam konnte mit mehreren App-Nutzenden Kontakt aufnehmen und die Daten verifizieren.
Daten stammen offenbar aus Werbegeschäft
Der Datensatz stammt von dem US-Datenhändler Datastream, der ihn als kostenloses Anschauungsmaterial weitergegeben hatte. Vieles spricht dafür, dass die Daten ursprünglich aus dem unübersichtlichen Geschäft mit personalisierter Online-Werbung abgeflossen sind. Dabei übermitteln App-Anbieter in Echtzeit Informationen von Nutzenden - etwa ihren Aufenthaltsort oder das Modell ihres Handys - an eine Vielzahl von Vermarktern von Online-Werbeanzeigen.
In den Datenschutzbestimmungen von Wetter Online beispielsweise sind mehr als 800 Firmen gelistet, mit denen das Unternehmen Daten über seine Nutzenden teilt, darunter auch solche mit Sitz außerhalb der Europäischen Union, etwa in den USA, Hongkong, Singapur oder Brasilien.
"Ich glaube, es ist unmöglich, bei zum Beispiel 850 Empfängern noch irgendwie nachzuvollziehen, wer diese Unternehmen tatsächlich sind", sagt der Datenschutz-Jurist Martin Baumann von der Wiener Nichtregierungsorganisation NOYB, die sich auf die Durchsetzung von Datenschutzgesetzen spezialisiert hat. "Den wenigsten Nutzern ist bewusst, was für umfangreiche Profile über sie erstellt werden können - und zwar von Stellen, mit denen sie niemals direkt etwas zu tun hatten." Er spricht von einem enormen Kontrollverlust.
Wie brisant Standortinformationen sein können, belegt ein Fall aus den USA, der vergangene Woche bekannt wurde. Eine mutmaßlich russische Hackergruppe hat den US-Datenhändler Gravy Analytics gehackt und droht laut Medienberichten damit, umfangreiches Material zu veröffentlichen, falls kein Lösegeld gezahlt wird. Ein kleiner Teil dieser Daten ist bereits im Internet aufgetaucht.
Fast 40.000 Apps geben Standorte weiter
Der Datensatz, der BR, netzpolitik.org und internationalen Partnern vorliegt, beinhaltet 380 Millionen Standorte von 47 Millionen Nutzern weltweit an einem Tag im Juli 2024. Jeder einzelne Standort ist einer App zugewiesen, aus der er mutmaßlich stammt. Die Betreiber der Apps von Wetter Online, Kleinanzeigen, Flightradar24 und Focus Online, aus denen präzise Standortdaten stammen, haben auf Fragen von BR und netzpolitik.org sowie des internationalen Rechercheteams bis Redaktionsschluss nicht geantwortet. Auch der US-Datenhändler Datastream ließ eine Anfrage unbeantwortet.
Zu den Apps, von denen ungefähre Standortdaten vorliegen, wohl aus IP-Adressen abgeleitet, gehören populäre Apps wie das Spiel Candy Crush, die Dating-Apps Tinder, Grindr und Lovoo oder die E-Mail-Apps von web.de und gmx. Grindr und Candy Crush beantworteten eine Anfrage dazu nicht. Von Lovoo, gmx/web.de und Tinder heißt es, man habe keine Geschäftsbeziehung zu den Datenhändlern Datastream oder Gravy.
Kombination von Datensätzen möglich
Allen Nutzenden im Datensatz ist eine eindeutige Identifikationsnummer zugewiesen, die Mobile Advertising ID. Mit ihr können sie in anderen Datensätzen, die zum Teil präzise Standorte enthalten, wiedererkannt werden.
So wie bei einer Frau aus Niederbayern, die BR und netzpolitik.org identifiziert haben: Durch die Kombination mit anderen Datensätzen, die dem Rechercheteam ebenfalls vorliegen, ergeben sich ihr genauer Wohnort und weitere private Details: Sie lebt in einem Einfamilienhaus, besuchte ein nahegelegenes Krankenhaus und eine Spezialklinik, aus deren Besuch man sogar Rückschlüsse auf sensible Gesundheitsdaten ziehen könnte. Am Telefon bestätigt sie, dass die Daten echt sind und sie tatsächlich die Wetter-App von Wetter Online nutzt. Solche Beispiele gibt es zu Hunderttausenden in den Daten.
Bereits im vergangenen Jahr hatten BR und netzpolitik.org berichtet, wie Soldaten und Mitarbeiter von Geheimdiensten mit Standortdaten ausgespäht werden können. Experten zufolge nutzen auch deutsche Nachrichtendienste Daten von Datenhändlern.
Datenschutzbehörden kündigen Prüfungen an
Konfrontiert mit den Rechercheergebnissen spricht der Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Michael Will, von einem krassen Vertrauensbruch: "Niemand erwartet das. Noch Monate später nachvollziehen zu können, wo sie sich aufgehalten haben, ist konträr zu allem, was Nutzerinnen und Nutzer von Apps erwarten würden."
Will ist zuständig für Apps mit Sitz in Bayern und kündigt an, von seinen Untersuchungsbefugnissen "intensiv" Gebrauch zu machen: "Wir haben die Möglichkeit, durchaus beträchtliche Bußgelder zu verhängen".
Die für Wetter Online zuständige Landesbeauftragte für den Datenschutz Nordrhein-Westfalen, teilt mit: "Da anhand von Standortdaten Bewegungsprofile von Nutzern erstellt werden können, die z.B. für Werbe- oder Überwachungszwecke verwendet werden können, sind Standortdaten besonders schützenswert." Man könne sich ohne Vorlage und Prüfung von Belegen jedoch nicht konkret zu der Recherche äußern, der Vorgang sei bisher nicht bekannt gewesen.
Ministerium fordert Schutz vor personalisierter Werbung
Das Bundesverbraucherschutzministerium sieht die Aufsichtsbehörden der Länder in der Pflicht - und sieht Handlungsbedarf auf EU-Ebene: "Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind", teilt das Ministerium mit.
Der Verbraucherzentrale-Bundesverband schreibt auf Anfrage: "Skrupellose Datenhändler sammeln und verbreiten hochsensible Informationen über Menschen, während Webseiten und Apps diese rechtswidrigen Praktiken überhaupt erst ermöglichen und die Aufsichtsbehörden völlig überfordert zu sein scheinen." Die aktuellen Erkenntnisse zeigten und bestätigten erneut, dass sich der globale Online-Werbemarkt jeglicher Kontrolle entzogen habe.