Es sind Namen, die die meisten Smartphone-Nutzer wohl noch nie gehört haben. PlaceIQ, Mobilewalla, Outlogic: Sie und dutzende andere bilden den Kern eines der umstrittensten Geschäfte im Internet – jenes des Handels mit den Standortdaten von Smartphone-Nutzern. Eines, das gleichzeitig aber auch äußerst einträglich ist, das Volumen des Marktes für solch sensible Daten soll mittlerweile rund zwölf Milliarden US-Dollar groß sein. Eine aktuelle Recherche von The Markup hat sich diese Branche und die zentralen Akteure nun näher vorgenommen und zeigt dabei auch auf, welche Ausmaße all das inzwischen angenommen hat. Insgesamt 47 Firmen – von Datensammlern über Zwischenhändler bis zu jenen, die dann die Daten an die Endkunden verkaufen – hat man dabei identifiziert.

Viele Daten

Eine davon ist die Firma Near, die damit prahlt, den "weltgrößten Datensatz zum menschlichen Verhalten in der echten Welt" zu haben. Konkret verspricht man Standortdaten von 1,6 Milliarden Menschen über 44 Länder hinweg. Konkurrent Mobilewalla nennt ähnliche Werte, geht aber noch weiter in die Tiefe: 1,9 Milliarden unterschiedliche Geräte, 50 Milliarden täglich neue Signale – also einzelne Standortmeldungen –, und das mehr als fünf Jahre zurück, werden beworben. Bei Outlogic bleibt man etwas vager, die Versprechungen sind aber nicht minder vollmundig: Man besitze Standortdaten zu mehr als einem Viertel der US-Bevölkerung.

Weniger auskunftsbereit ist man bei der Frage, wie die Daten eigentlich in die eigenen Hände gelangen, aber das ist ohnehin kein großes Geheimnis: Diese Firmen sammeln Daten über eine Fülle von für die Nutzer zunächst unscheinbar wirkenden Apps ein. Das kann eine Wetter-App sein, die von den Usern den Standort verlangt, um eine lokale Vorhersage zu liefern, oder auch ein Fitnessprogramm, das die Aktivitäten der Nutzer aufzeichnet. Im Hintergrund werden diese Informationen dann aber an Datenhändler weitergegeben. Welche Apps in dieser Hinsicht problematisch sind – und welche nicht –, ist für die User nur schwer und manchmal auch gar nicht herauszufinden.

Käufer

Auf der anderen Seite steht ein nicht minder breites Feld an Interessenten, das von Versicherungsfirmen über Immobilienhändler bis zu Polizeibehörden und Privatdetektiven reicht. Alle Beteiligten betonen dabei gerne, dass diese Daten anonymisiert gehandelt werden, also persönliche Informationen – wie der Nutzername oder eine Mail-Adresse – entfernt werden. Das mag richtig sein, geht aber am Thema vorbei. Können doch Standortdaten schon von ihrer Natur her nie komplett anonym sein. Wer genügend Datenpunkte zu den Bewegungen einer Person hat, der kann auch leicht herausfinden, wo diese wohnt und arbeitet – und welchen Aktivitäten sie sonst so nachgeht.

Dass das nicht nur ein theoretisches Bedrohungsszenario ist, haben schon frühere Berichte eindrücklich belegt. So sorgte erst vor einigen Wochen für Aufregung, dass ein katholisches Medium von einem Datenhändler Standortinformationen kaufte, um nachzuweisen, dass ein Priester Schwulenbars frequentiert. Im Vorjahr machte Outlogic – damals noch unter dem Namen X-Mode – Schlagzeilen, da belegt werden konnte, dass die Firma unter anderem über eine muslimische Gebets-App Daten eingesammelt und an das US-Militär verkauft hatte. Ein anderer Datenhändler namens Venntel soll wiederum Daten an Einwanderungsbehörden und die US-Bundespolizei verkauft haben.

Die strikte Geheimhaltung, mit der hier alle Beteiligten ihr Geschäft betreiben, macht es auch schwierig, einzelne Akteure konkret einzuordnen. Immerhin gibt es natürlich sehr wohl auch Käufer, die gar kein Interesse daran haben, einzelnen Nutzern nachzuspionieren. Einer Immobilienfirma wird es eher darum gehen, aktuelle Trends früh zu erkennen, wofür aggregierte Daten ausreichen.

Zustimmung

Was all das noch komplizierter macht: Üblicherweise stimmen die Nutzer der Datensammlung zu, indem sie einer App die Standortberechtigung erteilen. Komplizierter wird es dann bei deren Weitergabe, die oft irgendwo in den Untiefen der Privacy-Policy eines Programms versteckt ist – oder auch ganz verheimlicht wird. Dann kommt es noch auf die lokale Gesetzeslage an. Denn während es in den USA praktisch keine Gesetze gibt, die den Handel mit solchen Daten verhindern, müssten die Nutzer in der EU eigentlich angesichts der Datenschutzverordnung über solche Vorgänge informiert werden. Dass sie das auch immer werden, darf aber grob bezweifelt werden.

Die Rolle der App Stores

Insofern sind auch die Anbieter der beiden großen Smartphone-App-Stores – also Apple und Google – gefordert. Tatsächlich haben beide Firmen in den vergangenen Jahren zahlreiche Bemühungen unternommen, um diesem Geschäft ein Ende zu bereiten. So wurden sowohl bei iOS als auch unter Android in den letzten Jahren einige Verschärfungen rund um die Standortberechtigung eingeführt, die schon das Sammeln solcher Daten erheblich erschweren. Zusätzlich haben die Plattformbetreiber zahlreiche Apps aus den App Stores geworfen, die solche Daten gesammelt und weiterverkauft haben. So wurde die Nutzung des Softwareentwicklungskits von X-Mode – mit solchen Tools integrieren App-Entwickler externe Funktionen in ihre Programme – verboten. Dieses Beispiel zeigt aber auch, wie leicht solche Sperren auszutricksen sind. Holt sich doch X-Mode/Outlogic die Daten mittlerweile direkt von den Servern der App-Betreiber – und somit jenseits des Blicks von Apple und Google.

Tipps

Für Smartphone-Nutzer gilt insofern vor allem ein Ratschlag: sehr sparsam bei der Vergabe der Standortberechtigung zu sein. Kann eine App die Notwendigkeit für diesen Zugriff nicht logisch erklären, dann ist es besser, die Anfrage abzulehnen. Zudem ist es bei aktuellen Android- und iOS-Versionen möglich, den Zugriff auf die aktive Nutzung der App zu beschränken, was schon einmal die dauerhafte Spionage im Hintergrund verhindert. Bei iOS sowie dem kommenden Android 12 ist es zudem möglich, nur einen groben Standort statt der exakten Position zu teilen, was das Erstellen genauer Bewegungsprofile verhindert.

Zudem bieten beide Betriebssysteme allerlei Möglichkeiten, um Fehler der Vergangenheit zu korrigieren. Welcher App man den Standortzugriff erteilt hat – und in welchem Umfang –, kann über die Systemeinstellungen herausgefunden werden. In iOS 15 und Android 12 wird sogar ausgewiesen, welche Apps zuletzt aktiv den Standort angefragt haben, bei Googles Betriebssystem gibt es gar eine Timeline, die im Detail alle Abfragen der vergangenen 24 Stunden dokumentiert. All das hilft dabei, problematische Apps aufzuspüren, um ihnen dann den Datenzugriff wieder zu entziehen. (Andreas Proschofsky, 1.10.2021)