Die Recherche von netzpolitik.org und dem BR zum Handel mit Standortdaten (sog. „Databroker Files“) Mitte dieses Jahres hat gezeigt, dass Daten in unserer digitalen Welt immer mehr Begehrlichkeiten wecken und aufgrund der Vielzahl an verfügbaren Datensätzen sogar zu einer Bedrohung der inneren Sicherheit führen können.
Die Enthüllungen verdeutlichen wieder einmal, dass Datenschutz nicht als Lästigkeit angesehen werden darf, sondern elementar ist, um die Rechte und Freiheiten der Einzelnen wirksam vor Missbrauch durch Dritte zu schützen.
Worum geht es?
Journalisten von netzpolitik.org und des BR konnten im Juli 2024 einen Datensatz mit 3,6 Milliarden Standortdaten über den deutschen Daten-Online-Marktplatz „Datarade“ von einem US-Händler – kostenlos – erhalten. Diese Daten wurden ihnen dabei als „Vorschau“ zugesendet, um sie vom Abschluss eines kostenpflichtigen Abonnements zu überzeugen, durch das sie monatlich aktualisierte Standortdaten von Personen aus bis zu 163 Ländern hätten erhalten können. Die Standortdaten in Form von Werbe-IDs stammen dabei laut Recherche von Smartphone-Apps, die Standortdaten erfassen und z. B. für die Ausspielung von personalisierter Werbung weiterverkaufen. Von welchen Apps die jeweiligen Standortdaten stammen, ließ sich nicht klären. Nach Aussage weiterer Datenhändler auf Nachfrage der beteiligten Journalisten wird aber davon ausgegangen, dass diese von einer Vielzahl von Anwendungen stammen, u. a. von Apps zur Wettervorhersage, für Dating oder Navigation.
Die 3,6 Milliarden Standortdaten erhielten die Journalisten ohne weitere Bedingungen oder Abfrage von Absichten, es wurde auch keinerlei Identitätsnachweis gefordert. Die Datensätze selbst beinhalteten detaillierte Ortungen von Mobiltelefonen und ihren Bewegungen über zwei Monate Ende 2023 und ermöglichten durch diese Bewegungsprofile die Identifizierung der betroffenen Personen hinter den pseudonymen Werbe-IDs.
Detaillierte Bewegungsprofile erhalten
Diese Recherche zeigt einmal mehr, wie wichtig es gerade heutzutage für jede Person und jedes Unternehmen ist, sich mit dem Thema Datenschutz auseinanderzusetzen.
Riesige Datensätze mit detaillierten Bewegungsprofilen, die Rückschlüsse auf Wohnorte, Arbeitsstätten und Freizeitaktivitäten, aber möglicherweise auch auf den Gesundheitszustand und andere besonders sensible Informationen zulassen, sind ohne größere Schwierigkeiten für Jedermann über Datenhandelsplätze zugänglich.
So konnte laut der Recherche aus einigen Bewegungsdaten von erhaltenen Werbe-IDs auf Besuche von Suchtkliniken und psychiatrischen Fachkliniken geschlossen werden oder es konnten Standortdaten von Bordellen, Swinger-Clubs oder Gefängnissen zugeordnet werden. Dabei ist besonders besorgniserregend, dass aufgrund der erhaltenen Bewegungsprofile auch der wahrscheinliche Wohnort ermittelbar war.
Die so erhaltenen Bewegungsprofile stellen laut den Journalisten zudem ein potenzielles nationales Sicherheitsrisiko dar, da aufgrund der Daten auf militärische und geheimdienstliche Standorte und dort Beschäftigte geschlossen werden könne. So war es z. B. möglich, anhand der Bewegungsdaten Personen zu identifizieren, die in Außenstellen des BND arbeiten und deren Wohnorte, Arbeitswege und sonstige Aufenthaltsorte detailliert zu rekonstruieren. Dass diese frei erhältlichen Daten immenses Potential für Spionage und hybride Angriffe auf sicherheitsrelevante Infrastruktur bieten, dürfte jedem einleuchten.
Datenschutzrechtliche Problematik
Die datenschutzrechtliche Problematik, die sich durch die Recherche zeigt, ist offensichtlich: Aufgrund der erteilten Einwilligung zur Nutzung der Daten der Standortabfrage für Werbezwecke durch die jeweiligen Nutzer*innen von verschiedensten Apps auf dem Smartphone gem. Art.6 Abs.1 S.1 lit. a DSGVO, kommt es hier zu einer massenhaften Datensammlung und dem anschließenden Verkauf auf den Datenhandelsplattformen, obwohl die Identifizierung anhand der Standortdaten vielfach einfach möglich ist, sodass die Pseudonymisierung mittels einer Werbe-ID völlig unzulänglich ist, um den Schutz der betroffenen Personen zu gewährleisten.
Fraglich ist, so auch das Ergebnis in der Recherche, ob die erteilte Einwilligung der Nutzer*innen hinsichtlich der Nutzung ihrer Standortdaten in den Apps und die Weitergabe an Datenhändler tatsächlich „freiwillig für den bestimmten Fall und informiert“ erfolgt, wie es Art. 4 Nr. 11 DSGVO vorschreibt.
Die Freiwilligkeit der Einwilligung liegt vor, wenn die betroffene Person eine echte oder freie Wahl hat und daher auch ohne Nachteile die Einwilligung verweigern oder zurückziehen kann (vgl. Heberlein in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Auflage 2024, Rn. 13). Hinsichtlich der Einwilligungserteilung der Nutzer*innen zur Erhebung und Verarbeitung ihrer Standortdaten in den jeweiligen Smartphone-Apps dürfte die Verweigerung oder Widerruf der Einwilligung nicht ohne Nachteile möglich sein. So sind viele Apps oftmals nicht oder nur noch eingeschränkt nutzbar, sofern die Standortabfrage deaktiviert ist.
Die Freiwilligkeit der Einwilligung ist daher – je nach genutzter App – zumindest zu bezweifeln.
Die wirksame Einwilligung setzt auch die ausreichende Information der Nutzer*innen über die stattfindende Datenverarbeitung voraus; unspezifische Pauschal- oder Blankoeinwilligungen sind unzulässig. Den Nutzer*innen müssen der Umfang und die Tragweite ihrer Einwilligung bewusst sein, wofür insbesondere die Information, welche ihrer personenbezogenen Daten zu welchen Zwecken verarbeitet werden, erforderlich ist (vgl. Heckmann/Paschke in Ehmann/Selmayr, Datenschutz-Grundverordnung, 3. Auflage 2024, Rn. 62 ff.). Hinsichtlich der Verarbeitung der Standortdaten ist die Informiertheit der Einwilligung jedenfalls fraglich. Zwar findet sich oftmals in den Datenschutzhinweisen der App-Anbieter der Hinweis, dass die Standortdaten für Werbezwecke und auch an Datenhändler weitergegeben werden, dies meistens jedoch versteckt und damit bei Erteilung der Einwilligung durch die jeweiligen Nutzer*innen gerade nicht ersichtlich.
Zusätzlich dürfte auch die Angabe des Zwecks nicht ausreichend sein, um hier von einer informierten Einwilligung auszugehen. Den Nutzer*innen dürfte bei Erteilung der Einwilligung gerade nicht klar sein, dass dadurch ihre Standortdaten auf einer Datenplattform landen können und einer unbegrenzten Zahl von Personen, ohne jeden Verifizierungsprozess, zu nicht festgelegten Zwecken zum Kauf angeboten werden.
Durch das Fehlen dieser Information kann hier jedenfalls vertretbar angenommen werden, dass den Nutzer*innen der Umfang und die Tragweite ihrer Einwilligungserteilung gerade nicht bewusst ist, sodass die erteilte Einwilligung in die Verarbeitung der Standortdaten unwirksam wäre.
Auch die Informiertheit der Einwilligung muss im Rahmen der Standortdatennutzung daher in Frage gestellt werden.
Fazit
Die Recherchen zu den „Databroker Files“ zeigen, dass der Handel von Standortdaten natürlicher Personen zu Werbezwecken in einem weitgehend unregulierten Umfeld stattfindet und umfangreiche Rückschlüsse auf sensibelste und sogar für die nationale Sicherheit relevante Informationen gezogen werden können.
Die datenschutzrechtliche Rechtsgrundlage der Einwilligung, die oftmals für die Erhebung und Weiterverarbeitung der Standortdaten in den Apps eingeholt wird, erweist sich hier als zumindest fragwürdig. So kann bereits die Freiwilligkeit der Einwilligung in vielen Fällen angezweifelt werden und darüber hinaus ist die Informiertheit der Einwilligung aufgrund der oftmals unzureichenden Angaben zum Umfang und Zweck der Datenverarbeitung äußerst fragwürdig.
Es bleibt zu hoffen, dass der Nutzung von personenbezogenen Daten zu Werbezwecken aufgrund dieser Aufdeckungen endlich wirksam Grenzen gesetzt werden. Ein Beispiel könnte sich die EU hier tatsächlich einmal an den USA nehmen. Hier geht aktuell die Federal Trade Commission (FTC) gegen zwei große Datenhändler aufgrund des Verkaufs von Standortdaten vor. Diesen wurden umfangreiche Auflagen gemacht, u. a. müssen Mechanismen etabliert werden, die sicherstellen, dass die angebotenen Daten auch tatsächlich mittels einer wirksamen Einwilligung erhoben wurden und Standortdaten von besonders sensiblen Orten (medizinische Einrichtungen, religiöse Organisationen, Schulen, Gefängnisse, Militärstandorte etc.) dürfen nicht genutzt, verkauft, übertragen, lizensiert oder anderweitig geteilt werden.