Spionage Das gefährliche Geschäft mit den Standortdaten
Spitzenbeamte, Soldaten, Nachrichtendienstler: Recherchen von BR und netzpolitik.org zeigen, wie fremde Staaten Mitarbeitende deutscher Sicherheitsbehörden ausspähen können - mit Standortdaten aus Smartphone-Apps, die im Internet gehandelt werden.
Die Daten verraten intime Details über eine Person, die auf hoher Ebene für die Bundesregierung arbeitet: Wo das Haus steht, in dem sie wohnt und zu welcher Uhrzeit sie ihre tägliche Fahrt mit der S-Bahn zu ihrer Arbeitsstelle in einem Bundesministerium antritt. In welchen Dienststellen die Person verkehrt und dass sie an manchen Tagen im Bundestag ein- und ausgeht.
Die Daten zeigen auch, in welchen Restaurants sie offenbar isst, welche Naherholungsgebiete sie an Wochenenden besucht und in welchen Läden sie ihre Lebensmittel und Möbel kauft. Dieses detaillierte, sekundengenaue Bewegungsprofil basiert auf einem umfangreichen Datensatz eines kommerziellen Datenhändlers, den ein Reporterteam von BR und netzpolitik.org ausgewertet hat.
3,6 Milliarden Standortdaten aus Apps
Die Daten umfassen 3,6 Milliarden einzelne Standortinformationen aus Smartphone-Apps, die Standortdaten aufnehmen und an Dritte weiterverkaufen. Die Recherchen legen nahe, dass es sich um die Daten von mehreren Millionen Menschen aus ganz Deutschland handelt, mit denen sich teils sehr genaue Bewegungsprofile rekonstruieren lassen.
BR und netzpolitik.org haben in dem Datensatz auch die Bewegungsprofile von mutmaßlich mehreren Zehntausend Personen gefunden, die in sicherheitsrelevanten Bereichen arbeiten: etwa in Bundesministerien, Rüstungsunternehmen, an Dienststellen von Verfassungsschutz, Bundesnachrichtendienst und Bundeskriminalamt sowie Militäreinrichtungen in Deutschland.
Zwar enthält der Datensatz keine Namen, BR und netzpolitik.org konnten jedoch in mehreren Fällen Personen über deren Wohnorte und Arbeitsplätze identifizieren und ganze Tagesabläufe nachvollziehen. Ein Einfallstor für Spionage, das laut Experten in Deutschland noch zu wenig Beachtung findet.
Im Interview spricht Konstantin von Notz, der Vorsitzende des Parlamentarischen Kontrollgremiums (PKGr) des Bundestags, das die Nachrichtendienste überwacht, von einem "relevanten Sicherheitsproblem". Der Grünen-Politiker warnt, dass feindlich gesinnte Staaten solche Daten zu Spionagezwecken nutzen könnten: "Wenn man weiß, wie Menschen sich verhalten und bewegen, dann sind sie ausspionierbar. Dann kann man Kontakte herstellen, Zufallssituationen generieren, um mit Menschen ins Gespräch zu kommen, um sie anzuwerben oder zu bestechen."
Auch sein Stellvertreter im PKGr, der CDU-Politiker Roderich Kiesewetter, hält das Spionagerisiko für "extrem hoch". Deutschland stehe "im Mittelpunkt russischer, chinesischer und iranischer Einflussoperationen". Durch kommerziell gehandelte Daten entstünden Einfallstore für Spionage durch ausländische Mächte und Kriminelle. "Wir sollten da unsere Blauäugigkeit ablegen."
Nachrichtendienste nutzen kommerzielle Daten für Spionage
In der jüngeren Vergangenheit wurden in Deutschland wiederholt Spionage-Fälle öffentlich: Etwa im Bundeswehr-Beschaffungsamt in Koblenz, am NATO-Truppenübungsplatz im bayerischen Grafenwöhr, wo derzeit ukrainische Soldaten ausgebildet werden, und beim Bundesnachrichtendienst in Berlin und Pullach. An all diesen Orten finden sich in dem Datensatz, der BR und netzpolitik.org vorliegt, Tausende Datenpunkte, die teils detaillierte Bewegungsprofile ergeben. Der Bundesnachrichtendienst schreibt auf Anfrage, er nehme zu nachrichtendienstlichen Erkenntnissen oder Tätigkeiten grundsätzlich nicht öffentlich Stellung.
Konfrontiert mit den Fällen, die in ihren Zuständigkeitsbereich fallen, gaben das Innen- und das Verteidigungsministerium auf Anfrage an, ihre Beschäftigten regelmäßig für das Gefährdungspotenzial zu sensibilisieren und zum Umgang mit dienstlicher und privater IT zu belehren. Beide Ministerien teilen auf Anfrage mit, fremde Nachrichtendienste nutzten generell alle verfügbaren Mittel, um Informationen zu erlangen, Einfluss auszuüben und eigene Interessen zu verfolgen. Dazu zählten auch der Ankauf und die Nutzung von im Internet verfügbaren Daten.
Eine aktuelle Studie der Berliner Denkfabrik Interface (bis vor Kurzem Stiftung Neue Verantwortung), die sich auf die gesellschaftlichen Auswirkungen der Digitalisierung spezialisiert hat, legt nahe, dass auch deutsche Nachrichtendienste kommerziell verfügbare Daten für ihre Zwecke nutzen. Bundesnachrichtendienst und Bundesamt für Verfassungsschutz äußerten sich auf Anfrage hierzu nicht.
Daten stammen wohl aus Smartphone-Apps
Bei den von BR und netzpolitik.org ausgewerteten Daten handelt es sich um einen kostenlosen Probedatensatz, der auf einen Zeitraum von etwa acht Wochen Ende 2023 datiert ist. Er stammt von einem Datenhändler aus den USA, der solche Daten über die Online-Plattform Datarade mit Sitz in Berlin zum Kauf anbietet. Mehrere Datenhändler gaben an, dass sie Standortdaten etwa aus Wetter-, Navigations-, Gaming- und Dating-Apps beziehen. Typischerweise kaufen Unternehmen solche Daten, um Nutzern personalisierte Werbung anzuzeigen.
BR und netzpolitik.org haben mehrere Personen kontaktiert, deren Bewegungsprofile in den Daten zu finden waren. Sie bestätigten, dass die Daten stimmen. Alle zeigten sich überrascht, dass ihre Daten bei Datenhändlern gelandet sind und verkauft werden. Die Online-Plattform Datarade und der Anbieter der Daten ließen Anfragen von BR und netzpolitik.org unbeantwortet.
Specht-Riemenschneider: "Eine Regulierungslücke"
Datenhändler, die außerhalb der Europäischen Union agieren, sind laut Louisa Specht-Riemenschneider, Professorin für Datenrecht und Datenschutz an der Universität Bonn, für europäische Behörden nur schwer greifbar. Aber auch gegen Handelsplätze wie den Berliner Datenmarktplatz Datarade könne derzeit nur schwer vorgegangen werden: "Der Datenmarktplatz ist ja im Prinzip ein Makler, der verarbeitet keine personenbezogenen Daten selbst. In gewissem Sinne ist das eine Regulierungslücke." Hier sei der Gesetzgeber dringend angehalten, Lösungen zu finden, sagt die designierte Bundesdatenschutzbeauftragte.
Bis dahin wird das Geschäft mit den Standortdaten weitergehen. Nicht nur in Deutschland, sondern weltweit. Für einige tausend Dollar gibt es Standortdaten von Menschen aus der ganzen Welt. Als monatliches Abo, stündlich aktualisiert.
"Die Übertragung von personenbezogenen Daten als Selbstzweck, also als reine Handelsware, ist aus unserer Sicht mit dem Datenschutzrecht nicht vereinbar. Gerade Standortdaten sind äußerst sensibel, sie können dazu führen, dass Menschen konkret gefährdet werden, daher halten wir es für erforderlich, den Schutz von Standortdaten im EU-Recht deutlich zu verbessern."
Die Recherche entstand in Zusammenarbeit mit Sebastian Meineck und Ingo Dachwitz von netzpolitik.org. Mehr zu diesem und anderen Themen sehen Sie um 21:45 Uhr bei Report München im Ersten.