Eine Enthüllung in den Niederlanden zeigt die Risiken durch den weltweiten Datenhandel – auch für die nationale Sicherheit. Demnach standen detaillierte Standortdaten von potentiell Millionen Niederländer*innen zum Verkauf, darunter Angehörige des Militärs.
Es geht um mehr als 80 Gigabyte Daten über die Standorte von Menschen in den Niederlanden, angeboten über die Plattform eines Berliner Datenbrokers. Darunter sollen auch Daten von Menschen aus sicherheitsrelevanten Gruppen sein. Das private Radio BNR hat letzte Woche eine Recherche veröffentlicht, sie zeigt eine neue Dimension der Abgründe, die sich durch den weltweiten Handel mit Daten auftun.
BNR konnte dem Bericht zufolge in dem Datensatz unter anderem einen hochrangigen Armee-Offizier ausmachen. Seine Bewegungen seien zwischen seinem Haus und mehreren Militärstandorten nachvollziehbar gewesen. Im Gespräch mit BNR bestätigte der Soldat, dass es sich um sein Bewegungsprofil handeln müsse.
Bis zu 1.200 Telefone im Datensatz besuchten laut BNR einen Bürokomplex, in dem die Nationale Polizei, die Nationale Staatsanwaltschaft und Europol ihren Sitz haben. Auf dem Luftwaffenstützpunkt Volkel, einem Lager für Atomwaffen, wurden bis zu 370 Telefone gezählt, deren Bewegungen nachvollziehbar waren.
Mit dem Datensatz ließ sich BNR zufolge auch die Wohnadresse einer Person finden, die häufig das Gefängnis in Vught besucht, wo Terrorist*innen und Schwerverbrecher*innen inhaftiert sind. Die örtliche Justizbehörde untersuchte den Fall und bestätigte, dass es sich um eine Person handelte, die ein Mobiltelefon mitbringen durfte.
Konkrete Personen in den Daten identifiziert
IT-Sicherheitsexperte Paul Pols sagte, auch die niederländischen Geheimdienste MIVD und AIVD würden solche Daten kaufen und nutzen. Darüber, wie sich Geheimdienste an Daten der Werbeindustrie bedienen können, um Menschen zu überwachen und zu lokalisieren, wurde bisher vor allem mit Blick auf die USA berichtet. Offenbar ist es erstaunlich einfach, solche Daten zu erwerben.
Jüngst zeigte eine Studie der Duke University, wie Datenhändler für nur wenige Cent die Datensätze von US-Militärangehörigen verkauften – den Autor*innen zufolge eine erhebliche Gefahr für die nationale Sicherheit. Dass diese Bedrohung auch für die EU gilt, darauf wies in einem Bericht jüngst bereits die irische Bürgerrechtsorganisation ICCL hin. Die BNR-Recherche belegt nun, wie konkret die Gefahr ist.
BNR hat den Datensatz auf der Plattform Datarade.ai erworben. Dahinter steckt ein Unternehmen mit Sitz in Berlin. Auf der Plattform bieten Hunderte Unternehmen gesammelte Daten zum Verkauf an. Neben Standortdaten sind auch medizinische Informationen und Angaben zur Kreditwürdigkeit im Angebot. Für ihre Recherche hat der BNR Daten der Firmen Datastream Group aus den USA und Factori.ai aus Singapur untersucht.
Hierfür habe BNR einen kostenlosen Probedatensatz erhalten. Der Inhalt: historische Daten von vier Millionen niederländischen Telefonen aus einem Monat. Zahlende Kund*innen könnten ab 2.000 US-Dollar im Monat täglich frische Daten erhalten, berichtet BNR. Telefonnummern ließen sich zwar nicht in den Daten finden, stattdessen aber andere Merkmale wie etwa die mobile Werbe-ID. Das ist eine einzigartige Kennziffer, die einem mobilen Gerät vom Hersteller des Betriebssystems zugewiesen wird. Durch sie können Werbedienste Angebote personalisieren.
Nur auf den ersten Blick könnte man das für eher harmlos halten, immerhin gibt es kein öffentliches Telefonbuch, das eine mobile Werbe-ID dem Klarnamen einer Person zuordnet. Aber weit gefehlt: BNR berichtet, mit welch simplen Schritten es gelang, konkrete Personen hinter den Daten auszumachen. Hierfür mussten bloß öffentlich verfügbare Informationen miteinander kombiniert werden: an welchen Orten Menschen schlafen und an welchen Orten Menschen arbeiten. Ersteres lasse sich durch öffentliche Register wie das Grundbuchamt herausfinden, letzteres über LinkedIn.
Nutzer*innen sollen Einwilligung selbst gegeben haben
Die genaue Herkunft der Daten konnte BNR nicht herausfinden. Den Datenhändlern zufolge stammen sie aus Apps, denen Nutzer*innen eine Erlaubnis zur Verwendung von Standortdaten erteilt haben. Dazu können etwa Fitness- oder Navigations-Apps gehören. Vergangenes Jahr haben wir in unserer Xandr-Recherche gezeigt, dass Wetter-Apps eine enorm wichtige Quelle für Standortdaten sind.
Die von BNR untersuchten Daten enthielten offenbar Ungenauigkeiten. So wurde beispielsweise festgestellt, dass einige der betroffenen Personen zwar Orte aus dem Datensatz aufgesucht haben, allerdings zu anderen Zeiten als angegeben.
Die in der Recherche erwähnten und von BNR konfrontierten Firmen betonen, dass sie sich an die europäischen Datenschutzvorgaben hielten. Der Berliner Datenmarktplatz Datarade.ai teilte BNR in einer E-Mail mit, dass die Händler für die von ihnen angebotenen Daten selbst „voll haften“. Rechtswidrige Praktiken können über ein Online-Formular gemeldet werden.
Jurist*innen kommen gegenüber BNR zu der Einschätzung, dass diese Art des Datenhandels illegal ist. Unter anderem würden die Anforderungen der Datenschutz-Grundverordnung nicht erfüllt. Das Gesetz verlangt eine informierte Einwilligung durch Nutzer*innen. Menschen müssen verstehen, was mit ihren Daten passiert.
Laut DSGVO haben Menschen außerdem das Recht auf Datenauskunft. So können sie herauszufinden, was Unternehmen über sie gespeichert haben und auf Wunsch der Verarbeitung auch widersprechen. So eine Auskunft kann die Grundlage für eine Beschwerde bei Datenschutzbehörden liefern. Hier haben wir eine Übersicht über einige für Deutschland relevante Datenhändler und ihre Kontaktadressen veröffentlicht.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires