Databroker-Files

Hier ist das politopia-magazin, euer gesellschaftspolitisches Magazin bei Radio X, dem Frankfurter Bürgerradio. Schön, dass ihr dabei seid, schön, dass ihr zuhört. Wir werden uns heute mal wieder über Überwachung unterhalten.

Das ist ein wichtiges Thema und drängt in viele Lebensbereiche vor. Ganz unterschwellig haben wir damit Kontakt und oft sind wir herausgefordert, die richtigen Entscheidungen zu treffen. Wir werden einen Vortrag hören, und zwar Data Broker Files.

Wie uns Apps und Datenhändler der Massenüberwachung ausliefern. Und zwar halten den Rebekka Zizilski vom Bayerischen Rundfunk, Ingo Dachwitz von NetzPolitik.org und Sebastian Meineck von NetzPolitik.org. Die haben da recherchiert und haben da Sachen rausgefunden. Im Prinzip geht es darum, dass es hier um Datenpakete geht.

Da sind irgendwie dreieinhalb Milliarden Handystandortdaten versammelt. Und aus diesen Daten kann man natürlich viele interessante Dinge ableiten, wo welche Leute zu welcher Zeit waren. Das sind spannende Informationen.

Den Vortrag haben sie gehalten am 38. C3, also am 38. Chaos Communication Congress.

Das ist eine Veranstaltung vom Chaos Computer Club. Der war jetzt im Dezember 24. Das heißt, die treffen sich da einmal im Jahr.

Das sind interessierte Leute, die sich mit Computerdingen beschäftigen und sich ein bisschen austauschen. Da gibt es Vorträge, da kann man basteln, da kann man mit anderen Leuten sich unterhalten und interessante Sachen erfahren. Das Sammeln von Daten ist ja allgegenwärtig.

Die Zeiten, wo wir, ich sag mal, in der Bäckerei oder in der Pizzeria so eine kleine Karte bekommen haben und bei jeder Pizza oder bei jedem Brötchen einen Stempel bekommen haben und dann gab es die 13. Pizza gratis oder so, die gehen ja auch langsam vorbei. Heute ist es ja üblich, dass Angebote im Supermarkt mit einer App erfasst werden und dann nochmal günstiger ist, wenn man das über die App abwickelt.

Das heißt, da wird jeder Kaufvorgang dann letzten Endes auch miteinander verknüpft mit bisherigen Kaufvorgängen. Also jedes Mal, wenn ihr an der Kasse dann die App per Handykommunikation synchronisiert und sagt, hier, dieser Kauf ist für meine App gültig, dann werden natürlich viele Informationen gesammelt, die hilfreich sind, um euer Kaufverhalten zum Beispiel besser erfassen zu können. Das ist ein Marketing-Werkzeug, da kann man natürlich dann sehen, welche Leute wann welche Dinge kaufen.

Also insofern ist das für einen Händler schon sehr interessant. Auf der anderen Seite lassen sich natürlich auch noch viele andere Informationen aus eurem Kaufverhalten ableiten. Also zum Beispiel eure Verfassung, in welcher Situation ihr seid, in welcher ökonomischen Situation oder auch in anderen Dimensionen lassen sich da interessante Schlussfolgerungen ziehen.

Wenn es darum geht, dass ihr vielleicht aus Bequemlichkeit eine bestimmte App installiert habt, die zum Beispiel regelmäßig euren Standort erfasst und auf dem Handy im Hintergrund läuft, dann ist das natürlich ein Spionage-Instrument erster Güte, weil damit lassen sich natürlich sehr präzise Bewegungsprofile erzeugen und da haben natürlich sehr viele Leute Interesse dran, da ein bisschen genauer reinzugucken. Bei dem Vortrag jetzt werden wir also hören, wie solche Datensätze erzeugt werden, was da drinnen steckt und was man da auch alles rausholen kann. Also der Vortrag von Rebecca Ciesilski, Ingo Dachwitz und Sebastian Meineck Data Broker Files, wie uns Apps und Datenhändler der Massenüberwachung ausliefern.

Was ihr heute hört, ist eigentlich nur ein Zwischenbericht von länger laufenden Recherchen und wir drei, die wir hier auf der Bühne stehen, sind doch nur ein Ausschnitt aus einem größeren Recherche-Team. Deshalb will ich anfangen mit einem Dank an alle, die heute nicht mit dabei sind. Katharina Brunner, leider erkältet, Maximilian Robert, Eva, Anna und Daniel, ohne die all das gar nicht möglich gewesen wäre.

In den Data Broker Files geht es um 3,6 Milliarden Handy-Standortdaten aus Deutschland. Angeblich nur zu Werbezwecken erfasst, gelandet sind die aber bei uns. Es geht um Dutzende Artikel, die inzwischen dazu erschienen sind, bei Netzpolitik.org, bei Tagesschau.de, bei Report München und auch auf Englisch bei unserem später hinzugekommenen Kooperationspartner Wired.

Aber eins nach dem anderen. Genau, was sind diese Standortdaten, die wir gefunden haben? Das sind Daten, das sind Koordinaten, die aus Handy-Apps stammen, also aus Smartphones, die wir alle mit uns herumtragen oder zumindest die meisten von uns. Und was wir sehen können, das können wir euch an Beispielen zeigen.

Und zwar ist das hier ein Beispiel Berlin-Mitte. Und wir sehen eine Person, acht Wochen von ihren Daten. Und sie hat sich aufgehalten im Bundestag, hatte Zugang zum Bundestag, zum Paul-Löbe-Haus, ist oft mit der S-Bahn gefahren.

Und wir sehen, an welchen Bahnhöfen sie ausgestiegen ist. Und sie ist auch ins Kino gegangen und vorher ins Restaurant. Das alles können wir sehen.

Was wir aber nicht zeigen, was wir zeigen könnten, wenn wir weiter rauszoomen würden, was wir aber bewusst nicht zeigen wollen, sind andere Orte, die sie identifizieren könnten. Das ist zum Beispiel ihr Wohnort, ihr Arbeitsort, ein Bundesministerium, aber auch Parks und Geschäfte, in denen sie sich aufgehalten hat. Also zum Beispiel Supermärkte, in denen sie einkaufen war.

Ein anderes Beispiel, was wir auch gesehen haben, ist eine Person, die sich in Deutschland aufgehalten hat, also die vom Truppenübungsplatz in Grafenwöhr in Bayern nach Rammstein gefahren ist, zur US-Airbase in Rammstein. Also hier vielleicht nochmal, um es ein bisschen zu verdeutlichen. Und dann auch weiter zur Airbase nach Spangdalem.

Also diese Person hatte an vielen Militärstandorten des US-Militärs Zugang. Und wir können nachvollziehen, wie sie von A nach B gefahren ist. Was wir aber auch nicht zeigen, ist der Wohnort.

Den zeigen wir auch nicht bei unserem dritten Beispiel. Was wir besonders eindrücklich fanden, das ist das BND-Gelände in Bad Eidling. Und hier sehen wir eine Person, von der wir auch den Wohnort kennen, die immer wieder an 55 Tagen in unserem Sample immer wieder Zugang zum BND-Gelände hatte und dort ein spezielles Haus ansteuert.

Das ist die sogenannte Blechdose. Die wurde bekannt nach den Veröffentlichungen von Edward Snowden. Und das war quasi der BND-Jargon für dieses Haus, was im NSA-Untersuchungsausschuss rauskam.

Und das ist ein Haus, was keine Fenster hat wohl und ein Blechdach. Und dort hält sich diese Person auf, von der wir auch den Wohnort und die Arbeitswege und andere Sachen wissen. Ein bisschen Kontext zur politischen Situation, in der wir uns gerade befinden.

Dazu ein paar Schlagzeilen aus den letzten Monaten, aus dem letzten Jahr. Erst vor wenigen Wochen die Warnung vor spionierenden Drohnenflügen über Militärgeländen. Ein mutmaßlicher chinesischer Spion bei der AfD.

Maulwurfe beim BND. Das WebEx-Problem der Bundeswehr. Anschlagspläne auf den Rheinmetall-Chef.

Spionagesabotagepläne an NATO-Stützpunkten in Deutschland. Der jetzt gerade aus dem Amt scheidende Chef des Bundesamts für Verfassungsschutz spricht von einer Spionagegefahr wie während des Ost-West-Konflikts, also wie zu Zeiten des Kalten Krieges. Geopolitisch angespannte Zeiten.

Der Verfassungsschutz-Chef denkt dabei an chinesische, russische, iranische oder vielleicht auch nordkoreanische Geheimdienste. Wir wissen natürlich aber auch, dass auch Geheimdienste von sogenannten befreundeten Staaten bei uns im Land spionieren. Und für egal welche Geheimdienste sind Standortdaten, wie wir sie hier vorliegen haben, ein gefundenes Fressen.

Vor allen Dingen dann, wenn man aus diesen Daten eben Bewegungsprofile ableiten kann von Tausenden, Zehntausenden, mutmaßlich Millionen Menschen. Und zwar auch solchen, die an sicherheitsrelevanten Orten arbeiten. Wir haben uns das mal angeguckt, zum Beispiel Militärstandorte.

Für jeden Punkt, den ihr hier seht sozusagen auf diesen Grafiken, gibt es ein dazugehöriges Bewegungsprofile, die wir, wie gesagt, aus Sicherheitsgründen hier nicht zeigen. Aber das ist uns gelungen bei allen möglichen sicherheitsrelevanten Orten. Dort, wo Polizei sind, Kommandospezialkräfte, hochrangige Bundesministerien, aber auch Geheimdienste, Bundesnachrichtendienst, Verfassungsschutz und mutmaßlich eben auch eine Person, die für die NSA in Deutschland arbeiten könnte.

Und das sind sensible Daten. Wir sehen darin ja nämlich nicht nur, wo sie arbeiten und wo sie wohnen, sondern wir sehen zum Beispiel auch, wo diese Personen zum Arzt gehen, welche Kliniken die besuchen. Wir sehen in diesen Daten auch, wo die ihre Kinder in die Kita bringen und in die Schule.

Und wir sehen in diesen Daten auch, wer zum Beispiel mal ins Bordell geht. Das sind Daten, die hochgradig interessant sein können für Geheimdienste, die Zeiten auskundschaften wollen, vielleicht Schwachstellen suchen. Wann ist ein Stützpunkt nicht gut bewacht? Wann ist Wachwechsel? Die vielleicht auch Profile von Menschen erstellen wollen, die sie erpressen wollen, die sie vielleicht umdrehen wollen.

Also hochgradig sensible Daten, über die wir sprechen. Nähern wir uns mal dem Datensatz selber ein bisschen an. Wie sieht der aus? Wie müsst ihr euch den vorstellen? Ihr seht hier auf der Folie vor euch einen Beispieleintrag aus diesem Datensatz.

Ihr könnt euch das vorstellen wie riesige Tabellenkonvolute im CSV-Format. Es beginnt mit einem Datum, mit einem genauen Zeitstempel. Also alles ist bis auf die Sekunde genau datiert.

Dann kommt die Werbe-ID, auch bekannt als Mobile Advertising-ID. Das sind einzigartige Geräte-Kennnummern. Die Apple und Google unseren Handys verpassen.

Wie Nummernschilder sind sie dazu da, um uns erkennbar zu machen gegenüber der Werbeindustrie. Dann gibt es noch ein Kürzel, das darauf hinweist, ob es ein Android- oder ein iOS-Gerät ist. Und dann der Längen- und Breitengrad, die Geo-Koordinate.

Und von diesen Zeilen hatten wir nicht nur eine und auch nicht eine Million, sondern eben 3,6 Milliarden. Die Zahl ist sehr groß. Man kann sie sich schwer vorstellen.

Und als DatenjournalistInnen haben wir es uns nicht nehmen lassen, euch das einmal zu visualisieren. Ihr könnt euch das so vorstellen. Das sind die Standortdaten.

Und das sind wir. Eine andere Visualisierung wäre diese hier. Stellt euch vor, wir hätten das Bedürfnis gehabt, den Datensatz einmal auszudrucken für die Haptik.

Und wir hätten gesagt, okay, so eine Zeile, man will sie lesen können, 5 Millimeter Höhe multipliziert mit 3,6 Milliarden macht 18.000 Kilometer. Wir hätten also eine Papierrolle gebraucht, die reicht von hier, also von Deutschland bis nach Neuseeland. Wie ihr wisst, Netzpolitik.org, Spendenfinanzierter Verein, die Kampagne läuft, 58.000 Euro fehlen.

Diese Papierrolle haben wir uns nicht geleistet. Wie sind wir an diesen Datensatz gekommen? War das schwer? War das eine Panne, dass diese Daten überhaupt existieren? Nein. Es fing an mit dem geschätzten Kollegen Erik Vandenberg von BNR Newsradio aus den Niederlanden.

Der hatte eine sehr ähnliche Recherche gemacht mit Daten aus den Niederlanden. Ich fand die Recherche spannend. Ich habe mich mit Erik unterhalten und er hat gesagt, Sebastian, schau doch mal nach, das gibt es bestimmt auch für Deutschland.

Und zum Nachschauen empfohlen hat er mir diese Plattform hier, DataRate, lustigerweise mit Sitz in Berlin, einen Marktplatz. Funktioniert so ähnlich wie eBay-Kleinanzeigen, wenn man so will. Data Broker posten dort, was sie so haben und Kundinnen können sich anmelden und sagen, was sie gerne hätten.

Und das habe ich gemacht mit offenem Visier. Sebastian mit Netzpolitik.org, angemeldet, geschaut, wer hat Standortdaten von Handys in Deutschland im Angebot und habe herumgefragt. Den ersten Datenhändler gefragt.

Er hat gesagt, nö. Den zweiten Datenhändler gefragt, ob er was für mich hat. Er hat auch gesagt, nö.

An dieser Stelle muss man sagen, es ist üblich, dass man kostenlose Vorschau-Datensätze bekommt, bevor man ein kostenpflichtiges Abo abschließt. Darauf waren wir heiß. Dritten Datenhändler gefragt.

Hat auch nö gesagt. Und nun kommt der ultimative Recherche-Hack. Ich habe einfach noch einen gefragt.

Datastream Group aus den USA. Und die haben gesagt, okay. Und so hatten wir unsere 3,6 Milliarden Standortdaten.

Jetzt habt ihr eine Idee bekommen von der Größe des Heuhaufens, den wir durchwühlen mussten. Also es ist ja auch ein Luxusproblem, wenn man dann auf einmal zu viele Daten hat. Und wir haben ganz, ganz viele erstmal geguckt und ganz viel händisch auch schon gefunden.

Von Psychiatrieaufenthalten, das klang ja gerade schon an, bis hin zu Bordellbesuchen und was auch immer man sich da noch vorstellen kann. Aber wir haben auch versucht, das ein bisschen zu automatisieren. Und ein zentrales Tool dafür, wo die Props an unsere Kollegin Katharina Brunner gehen, die heute leider nicht dabei sein kann, war die OpenStreetMap.

Das ist so etwas wie das Wikipedia für Standortdaten. Und hier kann man sehen, was für Daten man da runterladen kann. Das sind Daten, die zum Beispiel Umrisse von relevanten Gebäuden zeigen.

Also hier sieht man die BND-Zentrale in Berlin. Und diese Umrisse kann man runterladen. Und in diesem Polygon lassen sich dann automatisch Abgleiche abfragen, schreiben und sehen, welche IDs sich da aufgehalten haben.

Und das Besondere an diesen Daten ist auch, dass da Metadaten noch verteckt sind und man zum Beispiel sehen kann, das ist ein Geheimdienstgebäude. Und das lässt sich natürlich auch noch skalieren. Und das haben wir zum Beispiel gemacht mit 1700 Militärgebieten in Deutschland, die wir automatisch durchsucht haben, aber auch mit Regierungsgebäuden, mit Konsulaten, Botschaften und so weiter.

Und da kann man automatisch eben rausfinden, welche IDs sich dort aufgehalten haben. Und sich eine lange Liste mit sehr unterschiedlichen Orten geben lassen und eben auch Abgleiche schreiben, welche Personen sich zum Beispiel an vielen dieser Orten aufgehalten haben. Wenn ihr euch erinnert an das zweite Beispiel, was ich gezeigt hatte, das war die Person, die sich zum Beispiel lange in Rammstein aufgehalten hat.

Und da haben wir eben gesehen, dass sie insgesamt 1.000 Signale, also 1.000 Standortdaten an 55 Tagen allein in diesem kostenlosen Datensatz, den wir bekommen haben, unwissentlich gesendet hat. Und das war quasi Schritt 1. Also dieser quantitative Abgleich. Und Schritt 2 war dann die OSINT-Analyse.

Also nochmal kurz im Internet gucken, was man noch so findet über die Person. Das haben wir natürlich auch gemacht. Und ganz oft lässt sich anhand der Adresse, die ja eben nicht öffentlich ist, die wir aber gesehen haben bei ganz vielen Menschen, viel über die Person herausfinden, was zum Beispiel Partner, Partnerinnen gibt und andere weitere zugängliche Infos.

Telefonbuch gibt es manchmal auch. Also finden wir Kontaktinformationen, haben wir bei einigen Menschen gefunden, haben mit denen auch geredet und die haben uns die Bewegungsprofile bestätigt. Ihr merkt schon, das ist natürlich nicht nur ein Problem für Menschen, die in sicherheitsrelevanten Orten bereichen, sondern das ist eigentlich für alle Menschen ein Problem, für Millionen Menschen, die hier durchleuchtbar gemacht werden.

Wir haben sozusagen den Fokus auf die nationale Sicherheit und die Sicherheitsgefährdung ein bisschen gelegt. Ein kleiner Hack, um auch Aufmerksamkeit auf das Thema zu lenken und die Gefahren aufzuzeigen, die dahinter stecken. Dass es nicht nur eine theoretische Gefahr ist, sondern eine ganz praktische Gefahr, zeigt der Blick auf die sogenannte Ad-Int-Branche.

Wir kommen also von OSINT zu Ad-Int, Advertising Based Intelligence. Das ist ein Teil der Überwachungsindustrie, der nichts anderes macht, außer zu versuchen, das Online-Werbe-Ökosystem zu hacken und zu nutzen, um Daten über Personen zu generieren. Es gibt verschiedene Berichterstattungen, verschiedene Firmen aus den letzten Jahren, JournalistInnen, ForscherInnen haben einiges aufgedeckt, zum Beispiel die Firma BeSightful, die eben eine Fake-Werbe-Plattform, eine Fake-Demand-Site-Plattform gegründet hat, in das Werbe-Ökosystem reingehängt hat und dadurch Standortdaten gesammelt hat.

Anonymous Six hat mit dem Programm Patterns nach eigener Aussage dadurch 5 Milliarden Profile gesammelt über Personen und Geräte. Gerade erst kürzlich veröffentlicht Locate X eine Recherche aus den USA. Das ist sozusagen Ad-Int-as-a-Service.

Da hat eine Firma eine praktische Suchmaske gebaut, mit der man wirklich Personen suchen kann, anhand ihrer Handy-Standortdaten. Ja, quasi so Google Maps für Personen, für Menschen. Und wir wissen auch aus den USA, Firmen wie Ventel und X-Mode, die verkaufen solche Daten auch an staatliche Stellen, an das FBI, Grenzschutz, Militär.

Und die Firma Rayzone zum Beispiel hat auch Werbevideos für solche Ad-Int-Überwachungsprodukte auf Chinesisch. Wir wissen natürlich nicht, wer zu den KundInnen gehört, aber man kann davon ausgehen, dass China offensichtlich ein Markt für die ist. Preisfrage, wenn wir wissen, dass US-Behörden zum Beispiel solche Daten kaufen, aus den Niederlanden wissen wir das inzwischen auch und sich hier an diesem Markt für personenbezogene Daten und quasi sehr handliche Überwachung bedienen, machen das dann eigentlich auch deutsche Geheimdienste? Wir haben nachgefragt beim Bundesnachrichtendienst, beim Bundesamt für Verfassungsschutz, beim Militärischen Abstellendienst, bei der Bundesregierung.

Die sagen nichts. Und zumindest im Bundestag gibt es darüber auch keine Informationen, also es ist ein Geheimnis. Allerdings gibt es offenbar gute Gründe, davon auszugehen, dass das längst geschieht, dass auch deutsche Dienste hier diesen Markt befeuern und Daten kaufen.

Korbinian Ruckerbauer und Thorsten Wetzling vom Think Tank Interface haben 2024 eine Studie veröffentlicht dazu. Die haben sich unter anderem die Gesetze angeguckt. Es gibt in Deutschland keine explizite Erlaubnis in den Gesetzen, die die Arbeit der Geheimdienste regeln.

Aber es gibt in Gesetzesbegründungen Formulierungen, die sehr stark darauf hinweisen, dass die Bundesregierung davon ausgeht, dass deutsche Geheimdienste sowas heute schon machen dürfen, dass es eine Rechtsgrundlage dafür gibt. Und deshalb müssen wir wohl davon ausgehen, dass deutsche Geheimdienste das eben auch tun. Wie gesagt, wir wissen es aber nicht.

Ja, das große Mysterium, wie genau sind die Daten denn eigentlich bei uns gelandet? Also Sebastian hat das ja schon angedeutet. Das ging dann mit ein paar Manö und einmal Ja dann doch irgendwie relativ leicht. Aber die Frage ist ja trotzdem, wie sind die Daten genau abgeflossen? Also der erste Schritt, wie vorhin schon angedeutet, ist, man muss sich eine App installieren.

Wahrscheinlich ist der erste Schritt, man muss sich ein Handy kaufen. Das haben wir alle. Aber der erste Schritt ist, man muss sich eine App installieren.

Sorry. Und dort auch den Standort freigeben. Also wenn der Standort nicht freigegeben ist, dann geht das technisch nicht.

Aber sobald man der App den Standort freigibt, dann kann sie theoretisch die Daten nicht nur selbst sammeln, sondern auch weitergeben. Das funktioniert theoretisch über zwei Wege. Wir haben mit mehreren Datenhändlern geredet und die haben uns gesagt, sie hätten konkret direkt Kontakt mit den App-Entwicklern.

Also das heißt, sie würden die Daten von den App-Entwicklern direkt beziehen. Wie kann das gehen? Über SDKs zum Beispiel. Also über Software Development Kit, Software-Teile, die verbaut sind in Apps, die diese Daten weiterschicken können.

Wie gesagt, die Händler haben behauptet, ja, bekommen wir direkt. Also das heißt, die hätten dann vielleicht den direkten Bezug über die SDK. Aber was auch denkbar ist und relativ wahrscheinlich ist, dass die Daten abfließen über SDKs, die eigentlich für den Online-Werbemarkt verbaut sind.

Also wir sehen zum Beispiel Anzeigen in Apps und die werden in Sekunden schneller ausgespielt. Und die Daten, die dafür vonnöten sind, werden halt im Hintergrund die ganze Zeit hin- und hergeschickt. So zum Beispiel auch die Standortdaten.

Die Frage ist natürlich auch, welche Apps sind das? Das wollten uns die Händler nicht direkt sagen, haben aber gesagt, es sind hauptsächlich Navigations-Apps und Dating-Apps, Gaming-Apps, Wetter-Apps. Also wir haben die App installiert, die Daten fließen und dann haben wir Datenhändler wie zum Beispiel Datastream, die diese Daten dann eben bündeln und zum Verkauf anbieten. Gibt es viele Datenhändler und deshalb gibt es eben diese Marktplätze, von denen Sebastian auch gerade schon gesprochen hat, die skurrilerweise zumindest im Fall von Data-Rate eben auch in Berlin sitzen und die connecten die Käufer und die Händler.

Also da kann man sich ein Profil machen und dann kann man sich miteinander connecten. Das Besondere an Data-Rate und eben auch die Erklärung, warum sie in Berlin sitzen, ist, dass diese Datenmarktplätze die Daten eben nicht selbst verarbeiten und auch nicht prüfen, wer die Käufer sind. Aber sie fragen immer wieder nach, ob man denn schon gefunden hat, was man sucht und sie bieten auch Beratungsgespräche an.

Genau, das nur noch als kurzer Reminder. Sepp hat sie vorhin schon angesprochen. Möglich ist das alles auch deshalb, weil es Mobile Advertising IDs gibt.

Kurze Nummern, die wir, wenn wir Telefone haben von Apple oder Google, in der Regel standardmäßig vergeben werden für diese Telefone und die nur diesem einen Zweck dienen, genau Menschen wiedererkennbar zu machen und zwar für Werbekunden eigentlich. Das an der Stelle, es gibt Teile der Industrie, der Online-Werbeindustrie, die machen nichts anderes, als zu versuchen, unterschiedliche IDs zu sinken, Personen wiedererkennbar zu machen, auch Geräte zu machen. Eine ganz große Rolle spielen dabei eben diese Mobile Advertising IDs.

Danke Apple, danke Google an der Stelle.

Nun ist das, was wir hier beschreiben, im Prinzip schon länger bekannt, nur so ein Datensatz in der Hand, anhand dem man sehen kann, wie diese Bewegungsprofile aussehen, wie Leute exponiert werden, das gab es noch nicht für Deutschland. Die Reaktionen waren entsprechend breit seit Sommer, als wir die ersten Artikel dazu veröffentlicht hatten. Ich werde nicht auf jede einzelne Reaktion eingehen können aus Zeitgründen, habe aber versucht, sie für euch in einem Spektrum darzustellen.

Und das Spektrum beginnt bei Shruggie, reicht über, vielleicht muss man Lücken stopfen, bis hin zu Table Flip. Das System muss weg. Auf ein paar besondere Reaktionen möchte ich gerne eingehen.

Natürlich muss man zuerst erwähnen, Datastream, was haben die gesagt zu unseren Rückfragen? Nix. Data Raid wiederum, der Marktplatz aus Deutschland, hat den Joker gezogen, dass sie nur der Vermittler sind. Und wenn dann einzelne Angebote nicht passen, müssen die eben entfernt werden.

Ziemlich spannend, auch zwei Akteure, die ihr oben links seht, der Hightech-Gründervor und das Bundeswirtschaftsministerium. Der Hightech-Gründervor gibt, wie es heißt, Rückenwind für vielversprechende deutsche Tech-Startups durch Investitionen, also erhält Anteile an solchen aufstrebenden Firmen. Das Geld kommt teilweise aus der Industrie, teilweise von uns, also staatliche Gelder aus dem Wirtschaftsministerium.

Und vielleicht habt ihr es schon erraten, eines dieser vielversprechenden Unternehmen, das Rückenwind bekommen hat, war Data Raid. Nachgefragt heißt es von beiden Seiten, sinngemäß, Sie können jetzt nicht erkennen, wie da gegen Anlagerichtlinien verstoßen wurde. Beachtliche Reaktionen auch von Martina Rosenberg, Präsidentin des militärischen Geheimdienstes, MAD, die auf die Recherche und ihre Gefahren angesprochen sagte, kann man eigentlich nichts machen, SoldatInnen sensibilisieren.

Wir springen etwas weiter zum anderen Ende des Spektrums. Ein überraschendes Gesicht seht ihr in der recht breiten Table-Flip-Gruppe, nämlich Rudrich Kiesewetter, Mitglied des Bundestags für die Union, stellvertretender Vorsitzender im Parlamentarischen Kontrollgremium, das den Geheimdiensten auf die Finger schauen soll. Und er sagte, angesprochen auf die Gefahren, die dahinter stecken, man müsse die BürgerInnen schützen.

Wir lernen, der Hack hat funktioniert. Wir haben das Thema nationale Sicherheit aufs Tableau gebracht und schon bekommen wir Stimmen pro Datenschutz und Privatsphäre von Seiten der Union. Viele andere Gesichter überspringe ich, aber natürlich erwähnen muss ich noch das andere Ende der Skala.

Stimmen, die sagen, das System muss weg, Tracking und Profilbildung zu Werbezwecken müssen grundsätzlich verboten werden. Und das hört man aus so radikalen Kreisen wie dem Verbraucherschutzministerium des Bundes oder dem Verbraucherzentrale Bundesverband. Genau, es stellt sich natürlich noch eine weitere Preisfrage.

Wir haben doch die Datenschutzgrundverordnung, die DSGVO. Kann das alles überhaupt egal sein? Wie kann es sein, dass es das gibt? Und bei dieser Recherche haben wir, wie auch bei vielen anderen Recherchen in diesem Bereich, einen täglich grüßt das Murmeltier- Moment erlebt. Man muss es inzwischen wirklich so sagen.

Die Rechtsgrundlage, die einzig mögliche Rechtsgrundlage für das Sammeln von Daten für Werbezwecke, da sind die Datenschutzbehörden sehr eindeutig, ist die Einwilligung. Die muss laut Datenschutzgrundverordnung informiert und freiwillig erfolgen. In der Praxis ist sie oft weder das eine noch das andere.

Sie ist weder freiwillig, weil man oft gar keine Wahl hat, wenn man eine App nutzen möchte, dann muss man einfach die Bedingungen akzeptieren. Und sie ist vor allen Dingen nicht informiert, wer soll verstehen können, den Weg, den die Daten gehen. Es sind hunderte Firmen, an die die Daten rausgepustet werden im Zweifelsfall.

Meine Wetter-App hat mehr als 800 Firmen gelistet, an die die Daten gehen und im Zweifelsfall landen sie spätestens bei irgendwelchen Käufern oder nicht mal Käufern, die nicht mal Geld dafür hingelegt haben, wie uns. Absolut keine Möglichkeit, informiert und freiwillig einzuwilligen. Gibt noch ein weiteres Problem, die Zweckbindung, die die Datenschutzgrundverordnung vorschreibt, wird gebrochen beim Datenhandel.

Auch das sagt unter anderem das Verbraucherschutzministerium, ist strukturell datenschutz-DSGVO-widrig, weil sobald der einzige Zweck von Daten oder der Handel ist, der Verkauf, dann liegt ein anderer Zweck vor, als der, für den sie eigentlich erhoben worden sind. Betroffenenrechte, ja, kann man nur drüber lachen, können wir mal versuchen bei, wir machen das natürlich auch, aber bei Data-Brokern oder bei Firmen, die niemand kennt. Niemand kennt die Firmen, niemand hat schon mal von Data-Stream-Group gehört oder auch von Data-Rate.

Sollten wir auch versuchen, aber es ist natürlich absolut illusorisch, dass Betroffene gegenüber hunderten, tausenden unbekannten Firmen ihre Rechte durchsetzen können und die Datenschutzbehörden sind, das muss man wirklich so sagen, mit anderen Dingen beschäftigt. Die gehen vor allen Dingen dann, werden sie aktiv, wenn sie BürgerInnen-Beschwerden haben und die sagen, wir haben nicht genug Mittel, wir haben nicht genug Ressourcen, um all diese BürgerInnen-Beschwerden abzuarbeiten, aber natürlich beschweren sich BürgerInnen nicht über hunderte verdeckte Firmen, die niemand kennt, die nicht im Hintergrund, die nur im Hintergrund sind, diese Infrastruktur der kommerziellen Werbeüberwachung. Das heißt, die haben diese Branche bislang nicht im Blick und das führt dazu, dass wir wirklich ein Komplettversagen des Datenschutzes an der Stelle dokumentieren müssen und sehen.

Bislang haben wir vor allen Dingen ein Durchsetzungsproblem gesehen, es gibt aber durchaus auch rechtliche Probleme. Rebecca hatte schon mal kurz darauf hingewiesen, Data-Rate, dieser Datenmarktplatz aus Berlin, über den wir in Kontakt gekommen sind, so Data-Stream, die müssten ja eigentlich als Marktplatz auch eine Verantwortung tragen. Allerdings, die Berliner Datenschutzbehörde hat geprüft, kommt zu der rechtlichen Einschätzung, dass eben die Datenschutzgrundverordnung nur für diejenigen gilt, nur diejenigen sind verantwortlich, die über die Mittel und Zwecke verfügen und da Data-Rate keine, nicht sagt, sie verfügen selber nicht über die Daten, stellen nur Kontakte her, gilt die DSGVO in diesem Punkt nicht für sie.

Das jedenfalls sagt die Berliner Datenschutzbehörde. Es gibt durchaus auch andere Rechtsauffassungen, aber die Berliner zuständige Datenschutzbehörde hat das erst mal so entschieden. Also, was tun, was müssen wir machen aus der Perspektive von Netzpolitik.org, ein kleiner Vorschlag, alles verbieten.

Natürlich gibt es auch etwas differenzierter, aber in der Sache schon in diese Richtung gehend, wir haben ein Einwilligungsproblem der Datenschutzgrundverordnung, das habe ich eben beschrieben und zwar nicht nur hier, komplett die Einwilligung soll eigentlich Datensouveränität ermöglichen, den Einzelnen, aber es funktioniert nicht, sie ist verkommen zum Feigenblatt des Datenschutzes und deshalb müssen wir daran, zum Beispiel, indem wir härter gegen, indem die Datenschutzbehörden härter vorgehen gegen die Unternehmen der Adtech-Industrie, die sonst unsichtbar sind, da müssen die Datenschutzbehörde, müssen wir den Datenschutzbehörden wirklich Beine machen und wir müssen auch erkennen, an bestimmten Stellen ist es offensichtlich zu gefährlich. Die Adtech-Industrie zeigt seit 20 Jahren, dass sie kein Interesse daran hat, die Datenschutzrechte von BürgerInnen, von Menschen ernst zu nehmen. Die Datenschutzbehörden kommen auch nicht hinterher, also muss man wohl erkennen, das Beste wäre an der Stelle wirklich ein klares Verbot von personalisierter Werbung und von Datenhandel im Allgemeinen mit personenbezogenen Daten.

Dann haben wir die Rechtslücke bei Datenmaklern, dann haben wir die Rechtslücke bei Datenmaklern, es kann doch nicht sein, dass wir eine Plattform haben, die in Berlin sitzt, wenige Kilometer Luftlinie von unserem Büro und sagt, naja, wir stellen hier die Kontakte her, wir machen das Shopping von Daten so einfach wie möglich, aber wir haben keine Verantwortung dafür, wir übernehmen keine Verantwortung dafür, welche Daten da gehandelt werden. Und schlussendlich, wenn wir über geheimdienstliche Nutzung in Deutschland sprechen, dann müssen wir wissen, worüber wir sprechen. Wir brauchen Transparenz darüber, damit wir überhaupt wenigstens mal eine Debatte darüber führen können, ob deutsche Geheimdienste diesen Markt für Daten befeuern sollen und dann braucht es auch klare Regeln.

Ganz einleuchtende Idee zum Beispiel, die sollen keine illegal erhobenen Daten kaufen. Ihr seht, das ist nichts, was man auf einzelne NutzerInnen abwälzen kann und sollte. Trotzdem habt ihr vielleicht das Bedürfnis, irgendwas zu tun jetzt und dafür gibt es diesen kurzen Teil in digitaler Selbstverteidigung.

Ihr könnt eure Werbe-ID tilgen. Das, was euch so identifizierbar macht, kann man abschalten. Zum Glück auch noch nicht so lange, geht in den Systemeinstellungen.

Wenn ihr schon mal dort seid, könnt ihr Apps den Standortdatenzugriff entziehen und, falls es nicht schon tut, kann man sich nach Alternativen umschauen. Google-freies Android, Google-freie App-Marktplätze und auch über das eigene Gerät hinaus kann man die Branche ein bisschen stören. Man kann Datenauskunft erheben.

Einige deutsche Data-Broker mit ihren Kontaktseiten, Kontaktadressen findet ihr bei uns auf der Seite und je nach Antwort kann man sich bei Datenschutzbehörden beschweren. Das wird nicht befriedigend, das wird auch lange dauern, aber so etwas kann helfen, um zu zeigen, der Bevölkerung ist es schon wichtig und offenbar reichen die Instrumente nicht aus, die es aktuell gibt. Dann gibt es Datenschutzorganisationen die rechtliche Schritte prüfen, auch in direktem Bezug auf das, was wir herausgefunden haben und dafür helfen natürlich auch immer Betroffene.

Wie gut, dass ihr alle überprüfen könnt, ob ihr vielleicht zufällig selbst in unserem Datensatz drinsteckt. Wir haben da ein Tool programmiert, den Data-Broker-Checker. Da könnt ihr eure Werbe-ID eingeben, die wird gehasht, also wie erfahren die nicht, wollen wir auch nicht und dann bekommt ihr eine ziemlich simple Antwort.

Entweder nein, diese ID steckt nicht drin, in Klammern war ja auch nur eine Kostprobe oder aber ja, diese ID befindet sich im Datensatz. Eine niedrig zweistellige Zahl von Leuten hat sich schon deshalb bei uns gemeldet, also Treffer sind es nicht unwahrscheinlich. Falls das bei euch der Fall ist, freuen wir uns über eine E-Mail an Ingo oder mich, da würden wir gerne reden.

Wenn wir schon beim Reden sind, ich hatte das am Anfang angekündigt, das ist nur ein Zwischenbericht. Wir recherchieren weiter, wir interessieren uns für Stimmen aus der Branche. Wenn die folgenden Worte für euch nicht nach Buchstabensalat klingen, RTB, DSP, SSP, MAID, schreibt uns gerne eine E-Mail an Rebecca, an Ingo oder an mich, wir sprechen sehr gerne.

In den nächsten Monaten wird was Neues erscheinen, könnt ihr ins Internet gucken und so viel kann ich heute schon verraten. Dieser eine Datensatz mit den 3,6 Milliarden Standortdaten, von dem wir heute die ganze Zeit gesprochen haben, das ist nicht der Einzige, den wir bekommen haben. Ja, danke für diesen Einblick.

Ich bin mir sicher, dass es viele Fragen gibt. Die erste sehe ich hier vorne am Mikrofon 2. Ja, aus dem Talk ist ja hervorgegangen, dass die 3,6 Milliarden Daten der Sample sind, was ihr von dem Broker gekriegt habt. Wie viel ist denn drin, wenn man was kauft und wie viel kostet das? Mehr.

Wir haben nur nach Deutschland gefragt, in dem Fall, die Gesamtzahl für die deutschen Daten weiß ich nicht. Wir haben einen Ausschnitt bekommen von, also datiert auf gut drei Wochen und ich vermute, das ist das, was man dann für den Zeitraum von drei Wochen kriegen kann aus Deutschland. Der Data Broker hatte auf seiner Inserat-Seite, so nach dem eBay-Kleinanzeigen-Prinzip, so eine Weltkarte, wo eingefärbt war, aus welchen Ländern es verfügbare Daten gibt und das waren fast alle.

Ich glaube, Russland war nicht dabei, Nordkorea sowas, aber sehr, sehr viele Länder. Und dann zu den Kosten, wenn ich mich nicht täusche, es gab gerade Rabatt, als ich geguckt hatte, 14.000 US-Dollar im Monat und dann werden aber auch Echtzeitdaten versprochen. Das wäre jetzt natürlich für uns krass viel, aber wenn man überlegt, das interessiert auch Behörden und Geheimdienste und sonst wen, das könnte man schon mal hinlegen.

Die Frage ist, könnt ihr oder wisst ihr davon, ob jemand über eine DSGVO seine eigenen Daten irgendwie hat abrufen können? Magst du? Die Geschichte von Martin oder soll ich? Mach du mal. Ja, der Kollege Martin Gundersen vom norwegischen öffentlich-rechtlichen Rundfunk hat eine solche Recherche gemacht vor einigen Jahren und der ist da einen langen Weg gegangen und wie das halt oft so ist, es gab halt nicht den einen Akteur, sondern das ging über verschiedene Ketten und am Ende konnte er den Fluss seiner Daten für eine App rekonstruieren, würde ich mich richtig erinnern. Und dabei war ein spannender Akteur, nämlich Ventel, eine Firma aus den USA, über die dann, ich glaube später, Chronologie bin ich mir nicht sicher, über die dann bekannt wurde, die machen das und verkaufen das auch an US-Grenzbehörden.

Also es ist nicht unmöglich, das zu tun und wer das möchte, go for it. Ich würde mich sehr dafür interessieren. Es kann aber halt wirklich schwierig werden, weil einzelne Firmen dann sagen, wissen wir nicht, wo die herkommen.

Teilweise haben wir gelesen, machen Data Broker auch entsprechende Verträge, die dann Offenlegung verbieten von den eigentlichen Quellen und Data Broker kaufen wieder bei anderen Data Brokern ein und wissen nicht und interessieren sich auch nicht dafür, wo die Sachen herkamen. Also es kann sein, dass der Faden, an dem man zieht, plötzlich endet, aber man kann auch Glück haben. Genau, an der Stelle vielleicht noch einmal den Hinweis, in einer älteren Recherche, schon aus dem letzten Jahr, haben wir einfach mal zusammengeschrieben, 40 Data Broker, mit deren E-Mail-Adressen findet man auf netzpolitik.org, falls jemand von euch Lust hat, mal nachzufragen.

Das Internet möchte gerne wissen, wie aktuell die Daten im Datensatz gewesen sind. Ja, also datiert waren sie auf Ende letzten Jahres. Wir haben eins, also wir haben ja mit relativ vielen Menschen gesprochen, die uns eben diese Bewegungsprofile auch bestätigt haben und die haben teils gesagt, dass das ältere Daten sind.

Aber das Besondere ist ja, dass wir eben diesen Probedatensatz hatten. Da stellt sich halt die Frage, wann immer diese Probedatensätze für welche Zeiträume quasi erstellt werden und wir konnten die Menschen ja trotzdem identifizieren, weil die meisten Menschen haben einen Alltag, haben Routinen und das alles war schon sehr beängstigend, auch für die Betroffenen, mit denen wir gesprochen haben. Also das heißt, die Aktualität, die Echtzeit wird ja versprochen, dass es auch Echtzeitdaten gibt, ist manchmal noch nicht mal ausschlaggebend, wenn die Menschen immer am selben Ort wohnen und auch arbeiten.

Es gibt offensichtlich in der Data-Broker oder in der Ad-Tech-Branche ein bekanntes Problem, dass Datenhändler einfach andere Daten dran kleben. Es gibt wiederum Firmen, die nichts anderes machen, als zu versuchen, das aufzudecken und zu gucken, wie alt sind die Daten. Also ihr habt vorhin den Daten-Broker-Checker gezeigt.

Habt ihr da eure eigenen Werbe-IDs auch eingegeben oder beziehungsweise wo findet man seine eigene überhaupt? Das ist erklärt in dem Artikel. Also bei Apple ist es ein bisschen komplizierter. Bei Android findet man sie ganz gut, bei Apple muss man noch wiederum eine dritte App installieren, die man danach schnell wieder deinstallieren sollte, um diese App, die MA-ID auszulesen.

Genau, haben wir aber, ist eine gute Anleitung, haben wir erklärt. Und ja, wir haben das auch gemacht und wir hatten aber auch schon vorher mal geguckt. Es gibt auf jeden Fall Leute bei uns im Team, mindestens eine Person, die sich in einem Datensatz gefunden hat.

Es gibt aus der Influencer-Werbung ja Angebote von Dienstleistern, die vorgeben, einen aus der Liste der miesen, fiesen Datenbroker wieder raus zu streichen. Habt ihr eine Ahnung, ob die ihr Geld wert sind? Naja, was wir gesehen haben, sind, dass die Daten dann zu irgendwelchen Datenbrokern, die zum Teil in Singapur, in den USA, in Dubai und sonst wo sitzen und das ist schon sehr dezentral. Also wenn man jetzt sagen, auch von dieser DSGVO- Perspektive drauf schauen wollte, was Ingo vorhin auch schon gesagt hat, Betroffenenrechte, Recht auf Löschung, Recht auf Vergessenwerden, Recht auf Berichtigung und so weiter, das ist sehr schwer, also wahrscheinlich nicht durchsetzbar.

Und die Werbe-IDs, das ist auch interessant, die stimmen auch nicht immer. Also das heißt, wenn ihr euch da eingebt in diesem Data Broker Checker Tool und ihr findet euch, dann ja, aber wenn ihr euch nicht findet, heißt das nicht, dass euer Bewegungsprofil nicht trotzdem in unserem Datensatz ist, weil auch das haben wir gesehen, dass die IDs manchmal nicht stimmen, die Bewegungsprofile aber trotzdem super verräterisch sind. Ihr hattet gesagt, dass die Datenschutzbehörde häufig gesagt hat, dass sie einfach überlastet ist mit den Anfragen und dann war aber euer Verbesserungsvorschlag, dass die Datenschutzbehörde sich einfach besser darum kümmert.

Habt ihr eine Idee, wie das dann machbar sein soll, wenn sie jetzt schon nicht klarkommt? Ja, also die Datenschutzbehörden machen das gelegentlich mal, dass sie auch von Amtswegen tätig werden, dass sie zum Beispiel auch koordinierte Aktionen über die Bundesländer hinweg machen und das wäre da auf jeden Fall auch möglich, weil wir eben ja wirklich ein strukturelles Problem sehen. Die Leute können sich maximal noch über einen Cookie Banner beschweren, dass die Einwilligung nicht richtig abfragt. Das bleibt aber eben nur auf der ersten Ebene dieses Ökosystems dahinter zu gehen.

Da müssen jetzt die Behörden, würde ich mal sagen, unsere Recherche zum Anlass nehmen. Wir servieren ja einige Firmen auf dem Silbertablett und von sich aus losgehen und nachforschen und im Zweifelsfall müssen sie auch mal, darauf warten wir ja eigentlich immer, dass sie auch mal los zu Firmen gehen, sich die Server anschauen, nicht nur Briefe schreiben, sondern auch wirklich mal sich die Enforcement-Jacken anziehen und vor Ort vorbeischauen. Die Geheimdienste von Russland und China können auch diese Daten kaufen.

Haben die deutschen Geheimdienste keine Angst dafür? Was denken sie? Sie haben Angst davor. Sie wissen, sie beschreiben das als Problem auf unsere Anfrage hin, aber sie sagen halt, ja, können wir jetzt nichts machen. Wir wissen, das Problem ist bekannt.

Es gibt auch eine NATO-Studie dazu vom Stratcom, die genau diese Gefahr beschreiben, aber die sagen halt, ja, wir können nichts anderes machen, außer unsere SoldatInnen zu sensibilisieren, dass sie das Telefon, was auch immer wofür sie sensibilisieren wollen, keine Telefone zu nutzen dann am Ende, keine Apps zu installieren. Das war jetzt der Vortrag Data Broker Files, wie uns Apps und Datenhändler der Massenüberwachung ausliefern. Gehalten haben den Rebekka Zizilski vom Bayerischen Rundfunk, Ingo Dachwitz und Sebastian Meineck von Netzpolitik.

Diesen Vortrag haben sie gehalten beim 38c3, also beim 38. Chaos Communication Congress. Das ist eine Veranstaltung vom Chaos Computer Club, findet immer nach Weihnachten vor dem Neunjahr statt und da gibt es immer spannende Sachen zu hören.

Es sind viele Leute, die sich über Computertechnologie austauschen und natürlich auch welche Auswirkungen solche Technologien auf unsere Gesellschaft haben können. Unsere Sendung könnt ihr wie immer nachhören auf unserer Webseite politopiamagazin.de. Dort haben wir alle Sendungen archiviert. In den Shownotes zu dieser Sendung, also den Sendungsnotizen, haben wir unter anderem auch Links versammelt, wo ihr den Originalbeitrag sehen könnt, wo ihr euch nochmal schlau machen könnt zum Thema und allgemeine Informationen findet.

Schön, dass ihr dabei wart. Schön, dass ihr zugehört habt. Das war das politopia-magazin.

Wir hören uns jeden Mittwoch 16 Uhr hier bei Radio X, dem Frankfurter Bürger-Radio. Bis nächste Woche.