Netzpolitik.org hat zusammen mit dem BR und weiteren Redaktionen einen Datensatz eines Datenbrokers erhalten und diesen untersucht: Ein Schnappschuss mit 380 Millionen Standortdaten aus 137 Ländern, die rund 40.000 unterschiedliche Apps beim Datenhändler abgeliefert haben. Der Datensatz sollte als Werbung für ein monatliches Abo mit täglich aktualisierten Daten dienen.
Anzeige
In der vergangenen Woche wurde durch das Datenleck beim US-amerikanischen Datenbroker Gravy Analytics bekannt, dass mindestens 15.000 Apps teils präzise Positionsdaten sammeln und an die Server des Unternehmens schicken. Die sind durch den mittlerweile eingeräumten Einbruch sogar als öffentlich zu betrachten.
In dem Datenfundus des Rechercheverbunds finden sich Apps sowohl für Android als auch für iOS. Diese liefern offensichtlich Werbe-IDs, Standortdaten und die Verbindung zu den jeweiligen Apps. Der fraglichen US-Datenhändler nannte sich bis vor Kurzem Datastream Group, inzwischen ist der Datenhehler unter dem Namen Datasys aktiv.
Die Kategorien der datenliefernden Apps sind recht umfassend: Spiele, Dating und Shopping bis hin zu Nachrichten und Bildung, erklärt Netzpolitik in der Analyse. "Darunter sind einige der beliebtesten Apps der Welt, teils millionenfach heruntergeladen."
Zu einigen der Apps konnten die Journalisten "auffällig exakte Standortdaten" finden. Hervor sticht etwa Wetter Online, die in Deutschland populärste Wetter-App. "An nur einem Tag in Deutschland wurden zehntausende Wetter-Online-Nutzerinnen wohl teils auf den Meter genau geortet. Genaue Standortdaten gibt es auch zu Nutzerinnen von anderen beliebten Apps wie Focus Online, Kleinanzeigen und FlightRadar24", erklärt der Rechercheverbund.
Im Fundus waren auch "Tinder, Grindr und Candy Crush Saga sowie Upday vom Axel-Springer-Konzern, web.de und gmx.de. Hier wurden Nutzer*innen jedoch offenbar nur per IP-Adresse geortet, also mit einer Unschärfe im Kilometer-Bereich." Netzpolitik schreibt weiter, "Apps können vulnerable Gruppen exponieren" – das wurde etwa auch beim Datenleck bei Gravy Analytics deutlich, weil dort zahlreiche Apps etwa mit Schwangerschaftsbezug Positionsdaten abliefern. In den USA mit den teils sehr restriktiven Gesetzen gegen Schwangerschaftsabbrüche kann das beispielsweise staatliche Begehren wecken.
Während einige Apps sehr präzise Daten bei dem Datenbroker abgeliefert haben, die etwa das Erstellen von Bewegungsprofilen ermöglichen, ist der Großteil zumindest nicht ganz so genau: "Den meisten Apps in unserem Datensatz sind unserer Schätzung nach keine genauen Standortdaten zugeordnet. Geortet wurden die betroffenen Nutzer*innen dieser Apps demnach nicht etwa per GPS, sondern über ihre öffentliche IP-Adresse."
Die Positionsdaten dienen Werbetreibenden zu genauerem Targeting. Damit können sie zielgerichtet Werbung ausspielen, die mit höherer Wahrscheinlichkeit den Interessen des anvisierten Nutzers treffen. Auch Geheimdienste nutzen diese Daten, weiß Netzpolitik zu berichten.
Die Journalisten haben den Bayerischen Landesdatenschutzbeauftragten Michael Will um eine Einschätzung gebeten. Der beschreibt demnach im Interview die Erkenntnisse als "ernüchternd" und "erschreckend" und sieht darin einen "krassen Vertrauensbruch". "Das ist konträr zu allem, was die durchschnittlichen Nutzerinnen und Nutzer von Apps erwarten würden – noch Monate danach nachvollziehen zu können, wo sie sich aufgehalten haben". Diese Daten habe der Datenhändler gar nicht haben dürfen. "Das ist jenseits der Spielregeln, die vereinbart sind", sagte Will gegenüber Netzpolitik, wobei mit Spielregeln unter anderem die DSGVO gemeint sei.
Das Bundesministerium für Verbraucherschutz schrieb den Journalisten, dass schon die Erhebung der Daten, mit denen die Datenhändler handeln, verhindert werden müsse, Gegenüber Netzpolitik sagte es: "Wir brauchen einen effektiven EU-weiten Schutz vor personalisierter Werbung, um zu verhindern, dass App-Anbietende Anreize haben, mehr Daten zu erheben als zum Angebot einer App nötig sind." Demnach setze sich das Ministerium unverändert für einen konsequenten Wechsel auf alternative Werbemodelle ein.
Der Rechercheverbund schlussfolgert, dass der Werbemarkt jeglicher Kontrolle entzogen sei. Er sieht die EU in der Pflicht, zu reagieren: "Der Ball liegt bei der EU".
(
Kommentare