Wer die "falschen" Apps installiert, liefert damit seine Daten an ein für die Nutzer komplett undurchsichtiges Netz an Datenhändlern.

Foto: Abdullah Rashid / REUTERS

Smartphone-Apps sammeln Daten, viele Daten. Dieser Umstand dürfte den meisten Nutzern solcher Geräte mittlerweile bewusst sein. Was mit diesen Daten aber schlussendlich passiert und wo sie überall landen, bleibt hingegen oft opak. Dass gerade rund um Standortdaten ein einträgliches Geschäft entstanden ist, wurde in der Vergangenheit bereits mehrfach berichtet. Eine aktuelle Recherche des norwegischen Rundfunks hat sich nun aber in einem konkreten Fall den Weg der Datenweitergabe näher angesehen – und dabei reichlich Problematisches zutage gefördert.

Massenhaft Daten gesammelt

Den Anfang machte eine simple Idee: einfach auf einem Test-Smartphone alle möglichen Apps zu installieren, um zu sehen, wo die von diesen gesammelten Daten dann landen. Aus früheren Recherchen des "Wall Street Journal" und von "Vice" war bekannt, dass die US-Firma Venntel zu den größten Sammlern von Standortdaten gehört. Also folgte einige Monate später eine Informationsanfrage, die europäischen Nutzern seit dem Jahr 2018 dank der Datenschutzgrundverordnung (DSGVO) zusteht. Nach einem Hin und Her mit der Nachfrage nach gewissen Daten – um sicherzustellen, dass hier niemand für andere Daten abfragt – kam schlussendlich der angeforderte Datensatz. Und wie sich zeigte, fand sich darin tatsächlich das betreffende Gerät.

Innerhalb weniger Monate war der Standort des Smartphone 75.406-mal aufgezeichnet worden. Sämtliche Aktivitäten des Journalisten in diesem Zeitraum waren nachvollziehbar. Von seinem Wohn- und Arbeitsort bis zu Besuchen bei der Verwandtschaft oder einer Wanderung. Zwar waren weder Name noch Telefonnummer mit diesen Daten assoziiert, anhand der Bewegungsmuster wäre es aber ein Leichtes gewesen, herauszufinden, um wen es sich dabei handelt. Eine simple Google-Suche hätte rasch zum Ergebnis geführt.

Arbeits- und Wohnort des Journalisten sind aus dem Datenmaterial eindeutig erkennbar.
Grafik: NRK

Zurückverfolgung

Das wirft natürlich eine Frage auf: Wie kam Venntel überhaupt an die Daten? Immerhin hatte der Journalist keine App dieses Herstellers installiert – und somit auch nicht der Weitergabe seiner Standortdaten an diesen zugestimmt. Das weiß offenbar auch Venntel selbst nicht so genau, wandern solche Daten doch über ein komplexes Netzwerk an Händlern, für die dies alles ein einträgliches Geschäft darstellt.

Zumindest gab Venntel aber zu, dass man den Datensatz des Journalisten von der eigenen Mutterfirma hat, ein auf den Datenhandel spezialisiertes Unternehmen namens Gravy Analytics.

Eine weitere Anfrage war zwar mit dem Verweis versehen, dass man die Herkunft des Großteils der eigenen Daten gar nicht kenne, im konkreten Fall konnte man aber zwei weitere Firmennamen als zumindest eine der Quellen nennen: die französische Firma Predicio und das US-Unternehmen Complementics. Um den Umfang dieser Firmen zu umreißen: Complementics selbst prahlt damit, dass man die Daten von mehr als einer Milliarde an Geräten bekommt.

Apps

Eine weitere Runde an Anfragen führte dann schlussendlich zur Quelle: Der slowakische App-Hersteller Sygic, der rund 70 unterschiedlichste Apps im Angebot hat, hatte die Standortdaten gesammelt und weiterverkauft. Und hier geht es nicht bloß um einige wenige Nutzer, die populärste App der Firma hat laut der Website des Unternehmens mehr als 200 Millionen Nutzer. Mit dem betreffenden Smartphone abgeglichen, zeigte sich, dass dort zwei Navigations-Apps dieser Firma installiert waren. Diese hatten sich zwar die Erlaubnis des Nutzers für den Zugriff auf den Standort eingeholt, dabei aber nur auf personalisierte Werbung hingewiesen.

Doch es gab auf dem Gerät noch eine weitere App, die den Standort des Users an Venntel verriet. Die App "Fu*** Weather", die das aktuelle Wetter mit sarkastischen Bemerkungen umschreibt. Deren Entwickler hat auf Nachfrage zwar noch nie etwas von Venntel gehört, dass er Standortdaten der Nutzer weiterverkauft, sei aber seiner Meinung nach kein Geheimnis. Dies sei Teil der Monetarisierung der App, eventuell könne man das den Nutzern aber klarer machen, betont er. Wie genau die Daten von Funny Weather zu Venntel kamen, ließ sich im Rahmen der Recherche übrigens nicht eindeutig herausfinden, zu verworren sind die Umwege über viele Firmen.

Lustige Kommentare, die man mit den eigenen Standortdaten bezahlt.
Grafik: Funny Weather

Landet bei Behörden

Die Problematik dieses gesamten Systems zeigt sich dann, wenn man sich noch einmal die andere Seite der Kette ansieht. Denn zu den Kunden von Venntel gehören auch US-Behörden wie die Einwanderungsbehörde ICE sowie der Zoll. Die von einer scheinbar harmlosen Wetter-App gesammelten Daten könnten also bei einer Reise in die USA Konsequenzen haben, wenn die Behörden darin mutmaßlich Problematisches entdecken.

Nicht legal, aber ...

All das wirft natürlich die Frage auf, wie so etwas überhaupt legal sein kann. Die Antwort: Das ist es laut Rechtsexperten nicht, diese Form des Datenhandels wäre ein klarer Verstoß gegen die DSGVO, betont etwa Malgorzata Agnieszka Cyndecka von der Rechtsfakultät an der Universität Bergen.

Der Wiener Datenschutzexperte Wolfie Christl sieht darin denn auch einen weiteren Beleg für die mangelhafte Durchsetzung der DSGVO. Ohne massive Strafen und scharfes Vorgehen der Behörden gegen die beteiligten Unternehmen werde sich an dieser Situation auch nichts ändern. Es sei an der Zeit, dass die einzelnen EU-Länder sowie die EU-Kommission hier endlich durchgreifen – wenn schon die US-Seite offenbar nicht gewillt sei, den Verkauf von Standortdaten endlich zu verbieten. (apo, 6.12.2020)