Die Spur des Geldes: Wie unsere Smartphones zum Schnüffelwerkzeug werden
von DerSchneider
Der Markt mit unseren Daten floriert wie nie zuvor. Was hinter den Kulissen der Smartphone-Apps geschieht, hat System: Ein schwer durchschaubares Netz aus Werbefirmen, Datenmaklern und Marktplätzen saugt tagtäglich Milliarden von Standortpunkten aus unseren Taschen. Die Recherchen von Bayerischem Rundfunk, netzpolitik.org und internationalen Partnermedien zeichnen ein bedrückendes Bild. Was als vermeintlich harmloses Tracking für personalisierte Werbung beginnt, entpuppt sich als globale Überwachungsinfrastruktur – zugänglich für Geheimdienste, Stalker, Abtreibungsgegner und feindliche Armeen gleichermaßen.
Die Anatomie eines undurchschaubaren Systems
Das System hinter der Datenschleuder ist so komplex wie intransparent. Es beginnt mit einer einfachen App – einer Wetter-App, einem Spiel, einer Shopping-Plattform. Wer sie nutzt, willigt oft unbedacht in die Weitergabe von Standortdaten ein, ohne zu ahnen, wohin die Reise geht. Die Daten fließen über Software-Entwicklungs-Kits (SDKs) in das Ökosystem der programmatischen Werbung ab, wo im Millisekundentakt Echtzeit-Auktionen um Werbeflächen stattfinden. Dieses Verfahren wird als Real-Time-Bidding (RTB) bezeichnet: Öffnet man eine App, starten automatisch Versteigerungen, bei denen dutzende Firmen mitbieten und dabei Zugriff auf Gerätedaten – darunter den aktuellen Aufenthaltsort – erhalten.
Das zentrale Bindeglied ist die sogenannte Mobile Advertising ID (MAID). Dieser alphanumerische Code steckt in jedem Smartphone und dient eigentlich der zielgenauen Werbung. Doch genau dieser Code macht das Gerät über verschiedene Apps hinweg verfolgbar und ermöglicht es, lose Datenpunkte zu detaillierten Bewegungsprofilen zusammenzusetzen. Verspricht die Branche Anonymität, gilt dies als „illusorisch“. Die US-Bürgerrechtsorganisation ACLU analysierte, dass bereits alltägliche Routinen – der morgendliche Weg zur Arbeit, die abendliche Rückkehr nach Hause – ein Muster erzeugen, das so individuell wie ein Fingerabdruck ist.
Die Akteure im Hintergrund: Ein globales Netzwerk
Auf diese Weise gelangen die Standortinformationen aus zehntausenden Apps zu spezialisierten Datenhändlern. Firmen wie Venntel oder Babel Street bündeln diese Daten und bieten zahlenden Kunden Zugriff darauf – darunter auch Behörden. Besonders perfide: Das Tool „Locate X“ von Babel Street ist kinderleicht zu bedienen. Auf einer digitalen Karte lassen sich beliebige Orte auswählen – etwa Abtreibungskliniken oder Moscheen – und das Tool zeigt an, welche Handys sich dort aufgehalten haben. Datenschutz-Fachleute konnten eine Demo-Version ohne größere Hürden testen.
Doch damit nicht genug. Die Recherchen förderten einen Berliner Marktplatz namens Datarade.ai zutage. Datarade verkauft die Daten zwar nicht selbst, vermittelt aber zwischen Anbietern und Interessierten – ähnlich wie Amazon, nur für Datensätze. Über Datarade gelangten die Journalisten an einen kostenlosen Probendatensatz des US-Unternehmens Datastream Group mit 3,6 Milliarden Standortdaten aus Deutschland. Datastream sitzt in Naples, Florida, und wurde kürzlich beschuldigt, sensible Standortdaten von US-Militär- und Geheimdienstpersonal im Ausland verkauft zu haben. Das Unternehmen selbst behauptet, die Daten legal von einem Drittanbieter erhalten zu haben, was einmal mehr die undurchsichtige Natur dieser Industrie demonstriert.
Von der Werbung zur Waffe: Konkrete Risiken im Alltag
Die dokumentierten Fälle lesen sich wie ein Thriller – sind aber traurige Realität. So kaufte die US-Zoll- und Grenzschutzbehörde CBP gezielt Standortdaten aus dem Werbesystem, um die Wege einzelner Personen nachzuzeichnen – ganz ohne richterliche Genehmigung. Noch drastischer: Ein hoher katholischer Geistlicher in den USA musste zurücktreten, nachdem Reporter seine Standortdaten aus einer Dating-App für Schwule erworben hatten. Das Sinaloa-Drogenkartell in Mexiko analysierte die Standortdaten eines FBI-Agenten, um sein Umfeld auszuspionieren und in manchen Fällen zu töten. Und in Texas fürchtet Lauren Miller, dass ihre Reise zu einer Abtreibungsklinik in Colorado nachverfolgt werden könnte – ein Szenario, das mit Tools wie „Locate X“ erschreckend einfach umsetzbar ist.
Die Bedrohung ist keine ferne Zukunftsmusik. In der Ukraine werden Handy-Standortdaten längst als Teil der modernen Kriegsführung genutzt. Die Recherchen zeigten, wie sich Bewegungsprofile ukrainischer Soldaten an der Front erstellen ließen, weil sie ihre privaten Geräte als letzte Verbindung nach Hause nutzten. Die russische Armee könnte so Gefechtsstände, Waffenlager und Truppenbewegungen ausspionieren. Selbst hochrangige EU-Mitarbeiter und NATO-Personal wurden in den Datensätzen identifiziert – inklusive der genauen Aufenthaltsorte auf dem Gelände des Bündnisses.
Die Datenschutz-Lüge: Warum die DSGVO (bisher) versagt
In der Theorie ist der Datenhandel in der EU streng reguliert. Die Datenschutzgrundverordnung (DSGVO) erlaubt die Erhebung und Weitergabe präziser Standortdaten nur unter strengen Auflagen – und der Handel mit ihnen ist eigentlich verboten. Doch die Praxis sieht anders aus. Die Unternehmen nutzen „geistige Verrenkungen“, um die Gesetze zu umgehen, und die Aufsichtsbehörden sind oft überfordert.
Ein Paradebeispiel ist die beliebte Wetter-App Wetter Online. Recherchen zeigten, dass die App zwischenzeitlich Nutzerdaten mit mehr als 800 Firmen teilte – darunter präzise Standortdaten, die zeigen, wo Menschen leben, arbeiten und ihre Freizeit verbringen. Die zuständige Landesdatenschutzbeauftragte von Nordrhein-Westfalen, Bettina Gayk, wurde alarmiert: „Die Einwilligung, die von den Nutzern dieses Dienstes eingeholt wird, ist nach unserer Feststellung nicht ausreichend, um eine solche Datenübermittlung zu rechtfertigen.“ Anfang 2025 tauchte die Behörde unangemeldet bei Wetter Online auf und fand tatsächlich eine Schnittstelle, über die Standortdaten mit Amazon ausgetauscht wurden. Mittlerweile gibt das Unternehmen an, keine Standortdaten mehr zu Werbezwecken zu erheben. Doch der Schaden ist bereits geschehen.
Ein weiteres Problem: Selbst Unternehmen, die keine Standortdaten sammeln, können in den Datenströmen auftauchen. So fand sich etwa die Android-Version der App der französischen Zeitung Le Monde in den Datensätzen – ohne dass die Redaktion wusste, wie ihre Daten dorthin gelangt waren. Dies verdeutlicht die schiere Undurchschaubarkeit des Systems.
Wer trägt die Verantwortung? Eine Analyse der Akteure
| Akteur | Rolle im System | Besonderheiten |
|---|---|---|
| App-Betreiber (z. B. Wetter Online) | Erheben Standortdaten, oft unter dem Deckmantel der Funktionalität. | Teilen Daten mit Hunderten von Partnern, oft ohne ausreichende Einwilligung. |
| Werbefirmen & RTB-Plattformen | Ermöglichen Echtzeit-Auktionen und verbreiten Standortdaten im großen Stil. | Das Herzstück des Systems, schwer zu regulieren und intransparent. |
| Datenhändler / Datenmakler (z. B. Datastream Group) | Kaufen, bündeln und verkaufen riesige Datenmengen weiter. | Arbeiten oft im Verborgenen, agieren global und nutzen Rechtsgrauzonen. |
| Marktplätze (z. B. Datarade) | Vermitteln zwischen Datenhändlern und Käufern, ähnlich wie Amazon für Daten. | Vermeiden direkte Verantwortung, indem sie behaupten, nur eine Plattform zu sein. |
| Käufer (Behörden, Stalker, Geheimdienste, etc.) | Nutzen die Daten für eigene Zwecke – von Werbung bis Überwachung. | Motiviert durch Profit, Macht oder Schadensabsicht. |
Die Verantwortung ist auf viele Schultern verteilt, was die Regulierung enorm erschwert. Jeder Akteur verweist auf den anderen. Die EU-Kommission sieht die nationalen Aufsichtsbehörden in der Pflicht. Die Bundesregierung schweigt zu Details, wie etwa der Nutzung von Diensten wie Datarade durch Sicherheitsbehörden, und stuft solche Informationen als Geheimnis ein. Und die Datenhändler selbst verstecken sich hinter dem Argument der Legalität und Anonymität, selbst wenn die Daten das Leben von Menschen bedrohen.
Ein Blick nach vorn: Regulierung, Ohnmacht und Auswege
Die Zukunft ist ungewiss. In den USA zeichnet sich keine einheitliche Regulierung ab. Zwar sind einzelne Bundesstaaten wie Kalifornien, Virginia oder Colorado aktiv geworden, doch eine bundesweite Regelung fehlt. Die Trump-Administration zeigte kaum Interesse an strengen Datenschutzgesetzen. Dagegen schreitet die US-Handelsaufsicht FTC in Einzelfällen ein, wie etwa gegen die Datenhändler Gravy Analytics, Venntel und Mobilewalla, denen sie den Verkauf sensibler Standortdaten untersagte und die Löschung bereits gesammelter Daten anordnete.
In der EU bleibt die DSGVO das wichtigste Instrument. Doch ihre Durchsetzung ist länderspezifisch und oft zögerlich. Datenschützer fordern daher weitreichendere Schritte, wie etwa ein Verbot von personalisierter Werbung. „Der einfachste, der weitreichendste Schritt wäre zu sagen, das Ökosystem der Online Werbung ist so kaputt, wir verbieten das Targeted Advertising“, so ein Standpunkt aus den Recherchen. Nach allem, was er gesehen hat, teilt Ingo Dachwitz von netzpolitik.org diese Meinung und sie wird von immer mehr Expertinnen und Experten geteilt.
Doch ein komplettes Verbot scheint politisch schwer durchsetzbar. Realistischer ist eine Kombination aus schärferen Regeln, besserer Durchsetzung und mehr technischer Eigenverantwortung. Die Stiftung Datenschutz sieht dringenden Handlungsbedarf, um die Grundrechte zu schützen, und betont, dass Datenschutz und nationale Sicherheit Hand in Hand gehen.
Was kann der Einzelne tun?
Solange die Politik zögert, ist jeder Nutzer gefordert, sein eigenes Risiko zu minimieren. Die folgende Tabelle bietet eine Übersicht der effektivsten Schutzmaßnahmen:
| Maßnahme | Effektivität | Umsetzungsaufwand | Anmerkung |
|---|---|---|---|
| Standortdienste für Apps deaktivieren, die sie nicht zwingend benötigen. | Hoch | Gering | Die wichtigste und einfachste Maßnahme. |
| „Ungefähren Standort“ statt genauen GPS-Standort erlauben (bei Android & iOS). | Mittel | Gering | Ideal für Wetter-Apps oder Nachrichtendienste. |
| Regelmäßig App-Berechtigungen überprüfen und Berechtigungen entziehen. | Hoch | Mittel | Eine gute Angewohnheit für mehr Datensouveränität. |
| Personalisierte Werbung auf Smartphone-Ebene deaktivieren (z. B. Werbe-ID zurücksetzen oder einschränken). | Mittel | Gering | Erschwert geräteübergreifendes Tracking, ist aber kein Allheilmittel. |
| Datenschutzfreundliche Alternativen nutzen (z. B. OpenStreetMap statt Google Maps). | Mittel | Mittel | Nicht immer praktikabel, aber eine Überlegung wert. |
Ein grundsätzliches Problem bleibt: Das Smartphone ist wie ein Boot mit hunderten Löchern, aus dem unweigerlich Daten austreten. Wer sich komplett schützen will, müsste das Gerät ausschalten oder zu Hause lassen – eine in der modernen Welt kaum praktikable Lösung. Der Kampf um die Privatsphäre ist daher nicht nur eine technische, sondern vor allem eine politische Herausforderung.
Quellenverzeichnis
- ARD / Bayerischer Rundfunk (BR): Dokumentation und Recherchen zu den „Databroker Files“, darunter die Doku „Gefährliche Apps – Im Netz der Datenhändler“ (ARTE) sowie diverse Online-Artikel und TV-Beiträge.
- Netzpolitik.org: Umfassende Berichterstattung im Rahmen der „Databroker Files“, insbesondere Artikel zur Datastream Group, zu Datarade, zu Wetter Online und zu Locate X.
- Heise Online / Telepolis: Artikel zum Datenhandel, zu Sicherheitsrisiken und zu rechtlichen Fragestellungen, unter anderem von Stefan Krempl und Matthias Lindner.
- Wired: Bericht „The Murky Ad-Tech World Powering Surveillance of US Military Personnel“ über die Datastream Group und Eskimi.
- US-Behörden: Pressemitteilungen und Unterlagen der Federal Trade Commission (FTC) zu den Fällen Gravy Analytics, Venntel und Mobilewalla.
- Stiftung Datenschutz: Veröffentlichung „Datenschutz und nationale Sicherheit gehen Hand in Hand“ zu den Bedrohungen durch RTB.
- Posteo / Malwarebytes: Hintergrundinformationen zur FTC-Untersuchung und zu Datenmaklern.
- ACLU (American Civil Liberties Union): Analyse zur „illusorischen“ Anonymität von Standortdaten.
- Le Monde / L’Echo: Berichterstattung über die Betroffenheit von EU-Institutionen.
Kommentar abschicken