Hintergrundgespräch mit Ingo Dachwitz: Wie Datenhändler Privatsphäre und Demokratie gefährden

Herzlich willkommen zu unserem Hintergrundgespräch. Mein Name ist Corbinian Ruckerbauer und ich arbeite als Policy Researcher für Interface im Team Digitale Grundrechte, Überwachung und Demokratie. Und ich freue mich sehr, dass sich Ingo Dachwitz heute die Zeit genommen hat, mit uns über seine Recherchen zu Datenhändlern in Deutschland zu sprechen. Bevor ich Ingo gleich vorstelle, erlauben Sie mir noch ein paar Worte zum Kontext zu sagen, um das Thema einzuführen. Dass die Sicherheitslage weltweit, aber auch in Deutschland angespannt ist, das hat uns der terroristische Anschlag in Solingen in der vergangenen Woche in Erinnerung gerufen. Gleichzeitig nehmen die geopolitischen Spannungen weltweit zu. Und um Bedrohungslagen frühzeitig zu erkennen, versuchen Nachrichtendienste ihre Informationsbeschaffung zu optimieren. Und dafür nutzen sie zunehmend auch käuflich erwerbbare Daten. Das ist ein weltweiter Trend und unser letztes Hintergrundgespräch mit dem Investigativjournalisten Byron Tau, das einige von Ihnen vielleicht auch verfolgt haben, hat gezeigt, dass die Sicherheitsbehörden in den USA schon lange sehr aktiv in dieser Form der Informationsbeschaffung sind. Aber wie ich mit meinem Kollegen Thorsten Wetzling in unserem letzten Impulspapier herausgearbeitet habe, deutet vieles auch darauf hin, dass die deutschen Nachrichtendienste ebenfalls auf diesem Weg Daten einkaufen und dass der aktuelle Rechtsrahmen und die geleistete Kontrolle in Deutschland noch lange nicht dem genügen, was verfassungsrechtlich eigentlich geboten wäre. Aktuell ist es völlig unzureichend geregelt, wann Nachrichtendienste personenbezogene Daten als Kunden auf dem Datenmarkt einkaufen dürfen und an welche Regeln sie sich dabei eigentlich halten müssen. Und das ist ein ziemlich großes Problem für den rechtsstaatlichen Schutz von Grundrechten gegen unverhältnismäßige staatliche Überwachung.Denn die Daten, die man auf diese Weise einkaufen kann, sind, und das verdeutlichen viele Fallbeispiele, sind mitunter extrem sensibel. Und wie sensibel diese Daten sind, das könnte uns wahrscheinlich niemand besser erklären als Ingo Dachwitz. Ingo arbeitet als Journalist für netzpolitik.org und war in den vergangenen Jahren an zwei großen Recherchen zur Databroker-Industrie beteiligt. Für die Recherche zur Firma Xandr hat er vor kurzem den alternativen Medienpreis verliehen bekommen und heute wurde bekannt gegeben, dass die neueste Recherche zu den Databroker Files auch für den Grimme Online Award nominiert ist. Herzlichen Glückwunsch dazu, Ingo, und ich freue mich sehr, dass du dich bereit erklärt hast, dich heute mit uns über die Themen auszutauschen. Bevor es losgeht, möchte ich noch einige technische Hinweise geben zu der Veranstaltung. Ingo und ich werden uns in den nächsten knapp 30 Minuten kurz unterhalten. Ich werde ihm einige Fragen stellen. Und in der zweiten Hälfte der Veranstaltung ist dann Raum für Ihre Fragen. Wenn Sie gerne eine Frage stellen möchten, können Sie diese schriftlich über die Q&A Funktion stellen. Und ich werde Sie dann im Anschluss in der zweiten Hälfte an Ingo stellen. Dafür können Sie ihren Namen angeben oder die Frage anonym stellen. Wenn Sie Ihren Namen angeben, dann wird er auch in der Aufzeichnung dieser Veranstaltung vorkommen, die wir dann im Anschluss an die Veranstaltung auf unserer Webseite hochladen. Außerdem gibt es eine Funktion, dass Sie für andere Fragen abstimmen können, wenn Sie sich besonders für eine Frage interessieren, die schon steht. Nun aber zu deinen Recherchen, Ingo. Erzähle uns doch mal was von deiner neuesten Recherche. Da habt ihr einen großen Datensatz analysieren können, der auf dem Datenmarkt angeboten wurde. Kannst du uns erzählen, welche Informationen in dem Datensatz enthalten waren und wie genau ihr eigentlich an diesen Datensatz gekommen seid?

Ja, klar. Sehr gerne. Herzlichen Dank. Ich freue mich sehr über die Einladung und das Interesse. Unsere letzte Recherche, die Databroker-Files gemeinsam veröffentlicht von netzpolitik.org und dem Bayerischen Rundfunk, hat einen wirklich einmaligen Einblick gegeben in den Handel mit Standortdaten in Europa. Wir haben von einem Datenhändler einen Datensatz mit 3,6 Milliarden Standortdaten von Personen in Deutschland erhalten. Diese Daten konnten wir so analysieren, dass wir Bewegungsprofile von sehr, sehr vielen Personen ausgemacht haben. Es handelt sich um elf Millionen Mobile Advertising IDs, also bis zu elf Millionen Telefone, die da getrackt worden sind und deren Bewegungsprofile gehandelt worden sind von diesem Datenhändler. Wir konnten in diesen Daten mit relativ wenig Aufwand Menschen anhand der Bewegungsprofile identifizieren. Also der Datensatz enthielt vor allen Dingen die GPS-Koordinaten der Personen und ihre Mobile Advertising ID. Und wir konnten eben Muster erkennen in diesen Daten. Wo arbeitet eine Person? Wir konnten sehen, wo fährt sie regelmäßig mit dem Auto ? Wo geht sie einkaufen? Wo wohnt eine Person? Und anhand dieser Informationen konnten wir viele Personen in diesem Datensatz identifizieren. Und zwar nicht nur normale Personen,  sondern wir haben auch gezielt Ausschau gehalten nach Personen in sicherheitsrelevanten Bereichen. Die Spionagebedrohung und die angespannte Sicherheitslage hast du gerade schon angesprochen . Und wir konnten diverse Bewegungsprofile von Menschen ausfindig machen, die hochrangige Ämter bekleiden, in Ministerien beispielsweise, aber auch im Militär und bei den Geheimdiensten und auch deren Bewegungsprofile ausfindig machen.

Ich frage mich, für wen ist diese Sammlung von Daten eigentlich gedacht? Wie seid ihr vorgegangen, um an diese Daten zu kommen? Seid ihr irgendwo hingegangen und habt offen gesagt „Hallo, ich bin Ingo Dachwitz und ich möchte gerne diesen Datensatz kaufen“?

Genau. Also es handelt sich hier wirklich einfach um einen Ausschnitt der täglich gehandelten Daten, die auf dem kommerziellen Datenmarkt verfügbar sind. Es sind Daten, die aus Apps stammendie diese weitergeben. Der Datenhändler aggregiert diese und bietet sie zum Kauf an. Und zwar sind wir auf auf diesen Datenhändler gestoßen, über einen Datenmarktplatz, der nicht etwa in den USA sitzt, sondern der in Berlin seinen Sitz hat. Ein deutsches Unternehmen, Datarade, die einen Marktplatz anbieten, auf dem Käufer:innen und, ja, Verkäufer:innen von Daten zusammenkommen können. Und mein Kollege Sebastian Meineck hat sich dort angemeldet und in einem ersten Schritt einfach mal mit offenem Visier, also mit seinem vollen Namenund seiner netzpolitik.org E-Mail-Adresse. Und er hat einfach mal ein paar Datenhändler kontaktiert, die dort ihre Standortdaten für Deutschland und Europa preisgeboten haben und angefragt. Und ja, einige haben auch zurückhaltend reagiert, als sie realisiert haben, dass er Journalist ist und haben das auch transparent gemacht. Aber einer der ersten Händler, die er angeschrieben hatte, Datastream Group, eine Firma aus den USA, die haben keine Bedenken gehabt und ihm relativ zügig einen Testdatensatz zugeschickt. Und das ist eben dieser Testdatensatz mit 3,6 Milliarden Standorten, der die Grundlage unserer Recherche und Analyse bildete. Das ist eben nur ein Vorgeschmack auf das, was die sonst anbieten. Die bieten sonst eine Art Livestream an Daten. Das Versprechen ist, dass sie fast in Echtzeit diese Daten liefern an KundInnen, die etwa 14.000 Dollar zahlen. Und ursprünglich sind diese Daten eigentlich für Werbezwecke gesammelt. Wir wissen ja schon lange, dass es Gang und Gäbe ist, dass für Werbezwecke wahnsinnig viele Daten gesammelt werden von Smartphone-Apps, Websites und so weiter. Und wir sehen aber eben auch, dass diese Daten längst das Werbesystem verlassen haben. Byron Tau hatte das für die USA gezeigt beim letzten Gespräch hier und in einigen Recherchen, dass dort eben auch Regierungsbehörden, die Grenzschutzbehörden und so weiter solche Daten kaufen. Und wir wissen, dass es eben auch darüber hinaus einen Markt gibt, der nur darauf spezialisiert ist, die Daten, die in der Online-Werbeindustrie anfallen, nutzbar zu machen für Geheimdienste und Spionage.

Jetzt hast du gerade die Mobile Advertising ID angesprochen. In dieser Recherche waren es ja vor allem die Bewegungsprofile, die ihr erhalten habt in diesem Datensatz. Ich erinnere mich an die letzte Recherche zu den Xandr-Files. Da kam die Mobile Advertising ID ja auch vor. Und ich frage mich, das waren ja nochmal ganz anders gelagerte Informationen. Vielleicht kannst du nochmal ganz kurz was dazu sagen, von welchen Informationen ihr da gesehen habt, dass sie gehandelt werden. Was mich interessiert hier: wie einfach ließe sich dieser Datensatz, den ihr in dieser Recherche bekommen habt, eigentlich zusammenführen mit anderen Datensätzen, die andere Personen, Informationen oder vielleicht auch Zeiträume umfassen?

Ja, die Xandr-Recherche im letzten Jahr, auch das war ein ziemlich einmaliger Einblick darin, wie sozusagen das Tracking und der Datenhandel in der Online-Werbeindustrie funktionieren. Da haben wir geschrieben über die Angebotsliste eines Datenmarktplatzes für die Werbeindustrie mit 650.000 Kategorien, in die Online-NutzerInnen einkategorisiert werden. Sogenannte Segmente, Zielgruppensegmente, die Werbetreibende auf Werbeplattformen dann auswählen können, um mit Onlinewerbung die Zielgruppe zu erreichen, die sie sich wünschen. Und wir wussten, dass es viele sind und dass es die gibt. Dass es mehr als 650.000 unterschiedliche sind, das war aber nochmal sehr dramatisch zu sehen. Vor allen Dingen die Detailtiefe und die Invasivität, die diese Daten beinhalteten. Ganz klassische Dinge wie Soziodemografie, aber da fängt es dann auch schon an, also das Einsortieren in Gruppen wie Conservative Retiree oder Fragile Senior, also fragile Senioren oder konservative Gehaltsklassen. Auch waren sehr viele Finanzdaten enthalten: Wer verdient wie viel? Es gab Kategorien wie: Einkommen zwischen 1.000 und 2.000 Euro, zwischen 2.000 und 3.000 Euro; Menschen, die sich für riskante spekulative Finanzprodukte interessieren; oder solche, die auf Gesundheitsdaten basieren. Es gab Dutzende Kategorien für unterschiedliche Krebsarten, Schlafstörungen, Essstörungen. Menschen, die einen Kinderwunsch haben, schwanger sind oder eine Adoption planen. Menschen, die in den letzten zwei Wochen bei Edeka eingekauft haben. Ich könnte es noch lange fortsetzen, aber das war sozusagen einmal deutlich vor unseren Augen, wie das Einsortieren in Kategorien genau funktioniert. Und klar, diese Informationen sind miteinander kombinierbar. Es gibt die Mobile Advertising ID, du hast sie gerade angesprochen, das ist ein Identifier, den Google und Apple allen Nutzer:innen ihrer Smartphones zuordnen, erstmal standardmäßig. Man kann diese abschalten, dazu gibt es auch einen Serviceartikel bei uns auf Netzpolitik.org, in dem wir das erklären. Diese ID ist für nichts anderes da, als dass Werbetreibende Profile erstellen und dieselben Personen immer wieder erkennen können. Und ja, je mehr solcher Datensätze man hat, desto leichter kann man sie kombinieren. Wir haben zum Beispiel von dem Datenhändler, von dem wir den Standortdatensatz erhalten haben, auch einen deutlich kleineren Datensatz mit Browsing-Verhalten bekommen. Und wir haben das mal nebeneinandergelegt und haben dort gesehen, dass wir Mobile Advertising IDs, deren Bewegungsmuster wir hatten, wir teilweise auch gefunden haben in diesem Datensatz. Das heißt, da haben wir schon mal zwei Dinge. Wir wissen welche Webseiten diese Personen besuchen und wir wissen, wo sie sich aufhalten. Und das ist natürlich nicht nur eine Gefahr für die Privatsphäre, eine unfassbare Verletzung der Privatsphäre, die ausgenutzt wird von Werbefirmen, von kommerziellen Firmen. Sie macht eben auch unfassbar vulnerabel für Akteure, die Menschen ausspionieren wollen. Für Geheimdienste und ähnliche, die zum Beispiel auf der Suche sind nach Personen, die sie anwerben können. Wenn man weiß, wo sich die Person aufhält, Bücher einkauft, welche Webseiten sie besucht, dann kann man sich wochenlange Observation sparen und hat diese Daten. Man kann aufdecken, wo sich Personen aufhalten. Man kann vielleicht sogar aufdecken, wer sich mit wem trifft. Die Liste ist lang und es gab bei diesem Datenhändler so gut wie keine Kontrolle dazu, wer diese Daten kauft.

Du hast jetzt schon ein paar Mal durchblicken lassen, dass die Deanonymisierung der Daten nicht besonders schwierig ist. Und doch lautet das Gegenargument, das dann folgt häufig, es handele sich ja hier um pseudonymisierte Daten und manchmal vielleicht auch aggregierte Daten und daher die Eingriffe nicht so bedeutend. Vielleicht kannst du nochmal erklären, um das anschaulich zu machen: Ihr habt in diesen Datensätzen Bewegungsprofile bekommen. Wie seid ihr technisch vorgegangen, um diese Bewegungsprofile als solche wahrnehmen zu können? Denn ihr habt ja zunächst einen Datensatz bekommen, in ich weiß nicht welchem Dateiformat, aber wahrscheinlich mit dem bloßen Auge erst mal nicht leicht zu interpretieren. Wie seid ihr dann konkret vorgegangen, um zum Beispiel eine bestimmte Person zu finden, die ihr dann ja ausfindig gemacht habt im Rahmen der letzten Recherche?

Ja, also man muss sich das wirklich vorstellen wie mehrere sehr lange Excel-Tabellen. Das waren eine so große Datenmenge, dass der Download bei meinem Kollegen Sebastian Meineck erstmal abgestürzt ist, als er es das erste Mal versucht hat. Und dann hatten wir das Glück, dass wir unseren Recherchepartner vom Bayerischen Rundfunk und unsere Kollegin Katharina Brunner dort an Bord hatten, die als Datenjournalistin arbeitet und ein wahnsinnig tolles Tool gebaut hat, das die Visualisierung dieser Daten auf einer Deutschlandkarte ermöglicht hat. Das heißt, wir hatten dann wirklich die Möglichkeit, uns unterschiedliche Mobile Advertising IDs anzugucken, und alle dazugehörigen Bewegungspunkte, und alle Standortdaten, die es zu dieser Mobile Advertising ID gab.  Und dann war es wirklich Handarbeit, zu gucken, wo wohnt, wo fährt diese Person hin, die aus dem Bundeskanzleramt kommt. Also, wo finden wir Leute, die im Bundeskanzleramt oder in einem anderen Ministerium arbeiten? Die dann ins Berliner Umland fahren, wo wir zum Beispiel wissen, die wohnen nicht in einem Mehrfamilienhaus, sondern da kann man dann ganz leicht einfach mal vorbeifahren und auf das Klingelschild gucken. Das haben wir auch gemacht und geguckt: Wer wohnt hier? Und haben dann wir geprüft, wo arbeitet die Person? Also welche Person finden wir in dem zugeordneten Ministerium? Und das konnten wir dann tatsächlich so verifizieren. Wir konnten mit der Person sprechen, die das dann auch bestätigt hat. So sind wir dann wirklich, wie Spione vorgegangen. Es hat sich sehr merkwürdig angefühlt. Wir sind wirklich in das Leben der Menschen gegangen und haben uns angeguckt, wo gehen die lang? Wer geht da Gassi? Wir haben auch mal abgeglichen, welche Mobile Advertising IDs, welche Smartphones wurden denn zum Beispiel sowohl in Kasernen oder Regierungsgebäuden geortet, als auch in Bordellen? Denn Sexarbeit ist in Teilen der Gesellschaft immer noch stigmatisiert. Das heißt, damit geht womöglich eine Erpressbarkeit einher. Und wir haben auch da Fälle gefunden, wo wir relativ klar sagen können, Person XY, die an Adresse XY wohnt und in Ministerium XY oder dieser Kaserne arbeitet, besucht wohl regelmäßig dieses Bordell. Ja, das war dann wirklich Handarbeit, die ermöglicht wurde durch die großartige Visualisierung und das großartige Recherche-Tool der Kollegin Katharina Brunner.

Jetzt kam es ja auch schon zwei, dreimal auf, wie intensiv in den USA US-Nachrichtendienste solche Datensammlungen einkaufen und wie gut es auch öffentlich dokumentiert ist, unter anderem durch die Arbeit von Byron Tau. Bei dem Hintergrundgespräch meines Kollegen Thorsten Wetzling mit Byron Tau vor ein paar Monaten kam die Frage auf, haben wir dieses Problem in Europa nicht eigentlich gar nicht? Weil die DSGVO hier ja strengere Vorgaben zum Datenschutz macht und es deswegen gar nicht solche umfassenden Datensammlungen zu sammeln geben sollte. Wie wir jetzt anhand deiner Recherchen sehen, löst die DSGVO dieses Problem offensichtlich nicht und die Daten gibt es trotzdem zum Kauf. Wie erklärst du dir das?

Ja, also als Datenschutzjournalist habe ich viel gesehen und hätte auch mit vielem gerechnet. Aber das Ausmaß, mit solche Daten in Europa angeboten werden, also auch in anderen europäischen Ländern, ist keine Ausnahme. Sondern der Databroker hatte solche Daten auch für andere europäische Länder im Angebot. In welch großem Stil diese Daten zur Verfügung standen, wie niedrig die Hürden gewesen sind, um an diese Daten zu kommen, das hat mich und auch die Kolleg:innen doch immer wieder schockiert. Und ja, wir haben hier sehr stark versucht, die Datenschutzdimension auch zu beleuchten. Denn das ist natürlich ein Thema, das uns bei Netzpolitik stark umtreibt. Und wir müssen feststellen, dass wir es hier mit einem Totalversagen der Datenschutzgrundverordnung und des Datenschutzes zu tun haben. Und auch mit einem Staatsversagen an der Stelle. Wir schreiben bei netzpolitik.org dazu immer wieder in unterschiedlichen Recherchen, dass die informierte und freiwillige Einwilligung, die die Datenschutzgrundverordnung vorsieht. Dass Menschen ihre Einwilligung geben können, um Daten nutzbar zu machen, ist zu einem krassen Feigenblatt verkommen ist, das keinen Schutz garantiert. Das ist eines der Probleme. Die Leute bekommen irgendwann bei Installation einer App mal eine Anfrage „Dürfen wir hier deine Daten nutzen? Du kannst unsere sehr langen Datenschutzerklärungen lesen“. Wenn es gut läuft, stehen dort tausende Partner, an die die Daten weitergegeben werden. Teilweise stehen die Firmen, an die die Daten weitergegeben werden nicht da. Das heißt, die Einwilligung funktioniert an der Stelle nicht. Und zwar weder die transparente Einwilligung, noch die informierte Einwilligung. Denn niemand kann nachvollziehen, wo gehen die Daten hin? Wo landen sie? Wer kauft sie am Ende? Und es ist teilweise auch keine freiwillige Einwilligung – weil man gar keine Wahl hat. Wenn man eine App nutzen möchte, ist man in vielen Fällen gezwungen die Datenschutzeinwilligung zu akzeptieren. Das ist ein Problem. Ein anderes Problem ist, dass die Datenschutzbehörden bislang diese Branche und den Datenhandel kaum im Blick haben. Die Datenschutzbehörden werden nach der Datenschutzgrundverordnung dann tätig, wenn sich Bürger:innen beschweren. Zumindest ist das in den meisten Fällen, wie sie heute arbeiten. Man kann sich nur über Firmen beschweren, von deren Existenz man weiß. Aber die hunderten, tausenden Firmen, die im Hintergrund sozusagen die Infrastruktur, mit der unsere Daten getrackt und gehandelt werden, bilden, die kennt niemand und über die kann sich niemand beschweren. Das heißt, die Datenschutzbehörden haben da auch versagt, denn sie sind nicht von alleine tätig geworden. Dazu kommt ein dritter Punkt. Die Firma Datarade aus Berlin, die die Daten angepriesen hat, sagt dass sie selber gar nicht die Daten speichert. Die funktionieren, fungieren Datenmarktplatz, also als Makler. Sie stellen also Kontakte her, speichern aber selbst nicht die Daten. Die Datenschutzgrundverordnung, das sagt zumindest die zuständige Berliner Datenschutzbehörde, greift nur, wenn eine Partei auch wirklich Daten verarbeitet. Nur dann ist sie verantwortlich, nur dann greift die Datenschutzgrundverordnung. Das heißt, wir haben da eine gewisse Regelungslücke. Es gibt Jurist:innen, die das anders sehen, die sagen, wir haben eine strukturelle Unvereinbarkeit des kommerziellen Datenhandels mit der DSGVO. Aber in diesem Fall hat zumindest die Berliner Datenschutzbehörde gesagt, okay, die verarbeiten selbst gar keine Daten, die stellen nur Kontakte her, dann gilt die DSGVO nicht, „dann können wir auch nicht zuständig sein“. Das heißt, wir haben hier wirklich einerseits rechtliche Lücken und andererseits Probleme mit der Durchsetzung.

Ein kleiner Hinweis in die Runde. Wir werden bald den Raum für Fragen öffnen. Wenn Sie Fragen haben, können Sie die gerne auch schon über die Q&A-Funktion abgeben. Ich würde jetzt zunächst gerne nochmal einen Blick auf die Datenkaufpraxis bei den Nachrichtendiensten richten. Was ich ja eingangs schon erwähnt hatte ist, dass es aktuell keine ausreichenden gesetzlichen Regeln dafür gibt, wann die Dienste sich diese hochsensiblen Datensätze eigentlich kaufen dürfen und mit wem sie diese Daten dann teilen dürfen. Im Vergleich zu anderen Erhebungsformen, die tief in Grundrechte eingreifen, wie zum Beispiel das Abhören von Telekommunikation, ist auch die Kontrolle ziemlich schwach. Im Rahmen Deiner Recherche, hattest du ja sicher auch bei Politiker:innen nachgefragt - und mir stellt sich hier die Frage: Wie haben die Politiker:innen, die für die Kontrolle der Nachrichtendienste zuständig sind, eigentlich auf die Recherchen reagiert?

Schockiert. Wir haben natürlich bei den Behörden angefragt, beim Innenministerium und dem Verteidigungsministerium. Die Behörden haben uns gesagt: „Wir wissen, dass es diese Gefahr gibt, wir sind uns dessen bewusst“. Unsere Recherche ist nicht die erste, das muss man dazu sagen. Die New York Times hat 2019 das erste Mal über diese Art des Standortdatenhandels berichtet. Anfang dieses Jahres, 2024, gab es eine großartige Recherche von einem Kollegen aus den Niederlanden, Eric van den Berg, der hat sozusagen die Inspiration geliefert für uns. Denn er hat das das erste Mal für Europa gezeigt und auch diesen Berliner Datenmarktplatz genannt, der uns dann sozusagen auf die Fährte gebracht hat. Das heißt, wir wissen eigentlich schon länger, dass das passiert und die Behörden sagen auch, sie wissen, dass es passiert. Trotzdem hatten wir nicht den Eindruck, dass bei den Politiker:innen, aber auch nicht bei den Behörden, das Ausmaß dieses Datenhandels und der Gefährdung, die damit einhergeht, wirklich bekannt war. Und vor allen Dingen nicht, dass da jetzt irgendwelche Sicherheitsmaßnahmen ergriffen worden wären. Es ist auch schwierig, weil es gibt Regeln in Behörden für dienstliche Smartphones. Aber die privaten Smartphones sind natürlich von diesen Regeln nicht betroffen. Das heißt, es ist auch eine komplexe Herausforderung. Aber wir hatten wirklich das Gefühl, dass die deutsche Sicherheitslandschaft, wenn ich es jetzt mal so formulieren will, ziemlich blind war für die Gefahr, die damit einhergeht. Und das, obwohl es schon vor einigen Jahren eine NATO-Studie dazu gab.

Gleichzeitig nutzen deutsche Nachrichtendienste ja offenbar diese Daten auch selbst. Ich meine, es gibt zwar keine expliziten Eingeständnisse dessen, aber zwischen den Zeilen kommt es im Begründungstext zur Änderung des BND-Gesetz im letzten Jahr durch, und auch in der Antwort auf eine kleine Anfrage. Im Juni beispielsweise hat die Bundesregierung geäußert, man könne auf die Frage nach dem Einsatz von KI bei den Nachrichtendiensten nicht antworten. Der Grund: Wenn man dann Datensätze einkauft und diese mit der KI, die man eventuell verwendet, analysiert wird, dann mache man sich durch die Beantwortung vulnerabel für Manipulationen an diesen Datensätzen. Also offensichtlich nutzen auch deutsche Nachrichtendienste die Möglichkeiten des Datenkaufs. Und gleichzeitig ist es ein großes Problem, dass hier kein ausreichender gesetzlicher Rahmen dafür geschaffen wurde. Gab es in dieser Richtung auch irgendwelche Reaktionen von Politiker:innen, dahingehend, dass man man eigentlich mal auch selbst gucken müsste, wie man sich Regeln dafür gibt, wann man solche Datensätze kaufen darf, wenn man dabei so tief in Grundrechte von potenziell Millionen von betroffenen Personen eingreift? Wie plant man da politisch zu agieren?

Ja, also wir haben erst mal auch bei den Behörden angefragt. Die haben uns keine Auskunft dazu gegeben. Ich finde, das ist der erste Skandal. Also wenn hier deutsche Sicherheitsbehörden Geld in einen Markt pumpen, der strukturell datenschutzrechtswidrig ist und die Privatsphäre von Millionen Menschen verletzt, dann müssen wir das als Gesellschaft wissen. Dann muss da politisch drüber gesprochen werden. Das heißt, es muss Transparenz darüber hergestellt werden. Dass das nicht passiert, ist also der erste Skandal. Denn wir können davon ausgehen, dass es passiert. Es gab die Studie, die ihr veröffentlicht habt, die auch sehr stark auf die Rechtsgrundlagen, die möglicherweise da zu sein scheinen, eingegangen ist. Auch wenn es da sehr unterschiedliche Ansichten darüber gibt, ob das schon eine ausreichende Rechtsgrundlage ist. Wir würden nach unseren Recherchen sagen: auf keinen Fall. Das ist nicht durch Generalklauseln gedeckt. Da gab es zumindest von Konstantin von Notz, von den Grünen, ein relativ klares Signal, dass sich das auf jeden Fall angeschaut werden muss. Martina Renner von der Linkspartei hat sich sehr klar dagegen positioniert, dass diese Daten auch von Geheimdiensten genutzt werden. Roderich Kiesewetter von der CDU, stellvertretender Vorsitzender des Parlamentarischen Kontrollgremiums und Konstantin von Notz haben Regulierungsbedarf eingeräumt und auf jeden Fall auch angemahnt, aber es gab zumindest keine pauschale Ablehnung der Nutzung dieser Daten durch deutsche Dienste. Aber es gab auf jeden Fall eine klare Ankündigung auch von Konstantin von Notz, dass in der anstehenden weiteren Reform des Nachrichtendienstrechts das reguliert werden sollte.

Gut, dann danke bis hierhin. Ich würde sagen, wir gehen mal in die Fragen aus dem Zuschauer:innen-Raum. Ich würde dann mit folgender von Daniel Guagnin anfangen: „Wenn sich die IDs in verschiedenen Datensätzen finden, sind die sehr personenbeziehbar, also ein klarer Regelverstoß. Ist der Claim der Händler trotzdem, dass diese hinreichend anonym wären?“ Also ist die Rechtfertigung, dass sie ausreichend anonym sind?

Auch da sind wir auf unterschiedliche Dinge gestoßen. Ein Datenhändler hat uns gesagt, die Mobile Advertising ID, das ist sowas wie ein Klarname. Machen wir uns nichts vor. Der hatte allerdings auch realisiert, dass er mit einem kritischen Journalisten spricht und hat deshalb gesagt „Nein, wir sind ganz vorsichtig bei der Herausgabe solcher Daten, weil die so hochsensibel sind“. Die Datenhandelsplattform selbst verpflichtet nach eigenen Angaben ihre Anbieter auf der Plattform dazu, nur aggregierte Daten anzubieten und keine personenbezogenen Daten und auch die DSGVO-Konformität sicherzustellen. Das ist natürlich nicht der Fall. Der Händler, also der Datenanbieter selbst, den Databroker, scheint das nicht gekümmert zu haben. Und wir gehen davon aus, nach dem, was wir von anderen Datenhändlern gesehen haben, dass es da ähnlich ist. Also das ist ein Feigenblatt sozusagen, dass es nur pseudonymisiert wäre. Denn allen ist eigentlich klar, dass das hochgradig personenbezogene, geradezu intimste Daten sind.

Dann gibt es noch eine zweite Frage von Kurt Jäger, der fragt: „Sollte statt der Nutzung durch Nachrichtendienste nicht die Erhebung selbst untersagt werden?“

Unbedingt, beides. Auf jeden Fall. Das kritisieren wir bei netzpolitik.org seit Langem. Wir haben ein komplett außer Kontrolle geratenes AdTech-Online-Werbesystem, das darauf basiert das Verhalten von Menschen aufzuzeichnen, egal, ob sie Nachrichten lesen, ob sie Katzenvideos gucken oder Pornografie. Und diese Daten werden analysiert, um daraus Geld zu machen. Und das ist das Problem. Und das wird auch nicht mit Flickschusterei gehen, glaube ich. Wir haben eben diese Einwilligung als Feigenblatt, aber wir haben hier ein strukturell DSGVO-widriges System, das grundsätzlich untersagt werden muss. Also Targeted Advertising, die Sammlung von personenbezogenen Daten, das Tracking für kommerzielle Zwecke müsste unterbunden werden. Dann hätte man auch das Problem der Nutzbarkeit durch Geheimdienste gelöst. Realpolitisch gedacht, glaube ich, ist es sinnvoll, das Thema von beiden Seiten aus anzugehen. Das heißt, wir müssen jetzt hingucken, was machen unsere Geheimdienste, was sollen sie machen, was sollen sie auch nicht machen und das eine tun, das andere nicht lassen.

Zu der Frage, wie man diese Lücke schließt, gab es noch eine Frage von David Alders, der fragt, was du dir von der EU-Kommission wünschst. Vielleicht ausgehend von dem, was du gerade gesagt hast: Was wäre auf dieser Ebene, die richtige Vorgehensweise? Siehst du von der neuen EU-Kommission irgendwelche Initiativen, oder Bewegungen in diese Richtung? Siehst du das auf der politischen Agenda stehen in Brüssel?

Es müsste auf jeden Fall auf der Agenda stehen und eigentlich steht es sogar auch schon auf der Agenda. Schon die vorletzte EU-Kommission noch unter Jean-Claude Juncker hatte eine Reform der E-Privacy-Richtlinie angekündigt und angestoßen. Die sollte zu einer Privacy-Verordnung aufgewertet werden, die unter anderem eben auch das Thema Online-Tracking und den Datenschutz bei Online-Diensten regeln sollte und verschärfen sollte. Eigentlich war das der Versuch, die Einwilligung dort einmal funktional hinzubekommen. Indem zum Beispiel über Browser ganz einfach, wie ähnlich bei der DoNotTrack-Funktion oder im Smartphone-Betriebssystem Nutzer:innen einmal auswählen können 'ich möchte nicht getrackt werden' und das war es. Es war also der fast utopisch anmutende Versuch, die informierte und freiwillige Einwilligung ernst zu nehmen und umzusetzen. Das ist aufgehalten worden. Die E-Privacy-Verordnung sollte eigentlich kurz nach der Datenschutz-Grundverordnung in Kraft treten. Die DSGVO ist unvollständig, ist sie von Anfang an gewesen, weil die E-Privacy-Verordnung dazukommen sollte. Und das ist aufgehalten worden durch massiven Lobbyismus. Nicht nur durch die klassischen üblichen Verdächtigen der Tech-Konzerne aus dem Silicon Valley. Die haben sich in einer unheiligen Allianz zusammengetan mit europäischen Zeitungsverlagen, die auch gesagt haben: „Nein, wenn Leser:innen Tracking abwählen können und frei darüber entscheiden können, ob sie getrackt werden oder nicht, dann ist das ein Fundamentalangriff auf den freien Journalismus. Dann ist es ein Fundamentalangriff auf die Demokratie“. Und gemeinsam haben sie es geschafft, zu verhindern, dass die Privacy-Verordnung umgesetzt wird, die uns das Tracking-Problem schon vor sechs Jahren hätte vom Leib halten können. Das heißt, es müsste eigentlich noch auf der Brüsseler Agenda sein. Und ja, die von der Leyen Kommission ist wirklich gefragt. Ich glaube, alle sind sich klar, dass die E-Privacy-Verordnung gescheitert ist. Und da muss entweder eine Neuauflage her. Eigentlich braucht es ein Gesetz, das Targeted Advertising verbietet. Es gab in dem letzten EU-Parlament schon eine parteiübergreifende Initiative von verschiedenen Parlamentarier:nnen, Targeted Advertising oder Überwachungswerbung, wie die es genannt haben, zu verbieten. Das ist gescheitert und hat damals keine Mehrheit gefunden. Das heißt, ja, es müsste auf der Agenda stehen. Ich bin nicht optimistisch, dass es wirklich kommt. Ich traue es dieser Kommission eher nicht zu. Und der Blick auf die Mehrheitsverhältnisse im EU-Parlament stimmt mich auch eher nicht zuversichtlich, dass da ein ernsthafter Schutz der Bürger:innen in Europa kommt.

Dann gab es noch eine Frage danach, ob überhaupt noch mehr Regulierung notwendig ist oder ob es nicht ein Durchsetzungsdefizit ist.

Ja, auch das wäre ein Angle, die Datenschutzbehörden wirklich stärker in die Lage zu versetzen, das anzugehen. Wenn man die Datenschutzbehörden danach fragt, kriegt man immer die gleiche Antwort. „Wir sind so überschwemmt mit Bürger:inneneingaben, denen wir nachgehen müssen, dass wir keinerlei oder so gut wie keine Kapazitäten haben, um eigene Schwerpunkte zu setzen“. Und deshalb sind die damit beschäftigt, sich Cookie-Banner auf Websites anzugucken, anstatt das dahinterliegende System des Datenhandels und der Tracking-Industrie anzugehen. Also ja, wir haben ein Durchsetzungsdefizit definitiv. Es wäre schon jetzt auf Basis der aktuellen Rechtslage sehr viel mehr möglich. Ich würde aber trotzdem sagen, dass es realistischer ist, dass wir mit einem Verbot oder mit einem Lösen der Einwilligungsproblematik im Rahmen des Datenschutzes Fortschritte machen.

Und dann gibt es noch die Ergänzung, dass die Datenverarbeitung durch die Nachrichtendienste ja gar nicht von der DSGVO erfasst wird. Aber da hast du ja gerade auch schon gesagt, dass man das Problem von unterschiedlichen Seiten gleichzeitig lösen muss. Denn solange nicht gelöst ist, dass solche unglaublich großen Datensammlungen über so eine Vielzahl von BürgerInnen, auf solch niedrigschwellige Art und Weise zugänglich sind. Und solange es diese Sammlungen gibt, werden Nachrichtendienste auch in der Lage sein, darauf zuzugreifen. Und dadurch entstehen tiefe Grundrechtseingriffe. Deswegen muss man, bis man dieses Problem gelöst hat, auch prüfen, wie man auf der anderen Seite diese entstehenden Grundrechtsschäden mit den immensen Auswirkung auf Individuen und demokratische Gesellschaften als Ganzes verhindern kann.

Es gibt natürlich eine Parallele zum Thema Schwachstellen, IT-Sicherheitsschwachstellen an der Stelle, weil dort auch deutsche Behörden als Akteure auf einem Markt agieren, Schwachstellen geheim halten und einkaufen. Denn die brauchen sie für Cyberwaffen, für Überwachungssoftware, für Staatstrojaner. Obwohl es eigentlich das Interesse sein müsste, diese Lücken im Sinne aller zu schließen. Das ist eine klare Parallele, finde ich, zu der Daten-Debatte.

Dann gab es noch eine Frage von Marek Jessen (?): „Kann man von den Daten auf Zahlungsdienstleister, FinTechs, Kreditkartenfirmen et cetera als Ursprung schließen und damit auch, dass der Verkauf von Zahlungsverkehrsdaten Teil des Geschäftsmodells von Finanzakteuren ist?“ Also woher kommen diese ganzen Daten eigentlich, wo liegen die Ursprünge diesee Datensammlungen, die man kauft? Habt ihr da Indizien, auch in der letzten Recherche vielleicht, wo die tatsächliche Erhebungsquelle liegt und gehören Zahlungsdienstleister dazu?

Bei den Standortdaten, die wir jetzt in der letzten Recherche hatten, waren die Quellen Smartphone-Apps. Wir haben da aber keinen Einblick darin bekommen, welche Apps es waren. Wir haben aber einige Ideen. Was wir von Datenhändlern hören, ist: Es sind eigentlich alle Apps. Spiele-Apps sind ganz beliebt natürlich. Wir wissen aber auch, dass auch Daten von Zahlungsdienstleistern in dieses System eingespeist werden. Das wissen wir aus der Xandr-Recherche letztes Jahr. Da hat man sehr gut gesehen, dass MasterCard und Visa als Quellen darin vorkommen. Die leicht aggregierte Informationen bereitstellen: Die geben nicht weiter, welches Produkt wurde gekauft, aber beispielsweise welche Produktkategorie. Und daraus macht diese Industrie dann zum Beispiel Leute, die gerne Luxusdinge einkaufen oder Leute, die ihr meistes Geld über die Kreditkarte in Casinos ausgeben. Spielsucht ist ohnehin noch ein großes Thema gewesen. Das heißt, es sind die Apps, die wir täglich nutzen. Und erst mal würde ich sagen, muss man davon ausgehen, dass jede App, der man den Standort-Datenzugriff erlaubt, diese auch nutzt und im Zweifelsfall weitergibt. Es gibt auch noch andere Tracking-Mechanismen. Die Industrie, die versucht aus den Informationen und aus den Daten der Werbeindustrie geheimdienstliche Informationen zu machen, die Advertising Intelligence (ADINT) Industrie, arbeitet zum Beispiel auch mit Daten aus dem Real-Time Bidding-System. Das heißt, jedes Mal, wenn uns eine Werbeanzeige ausgespielt wird, werden Informationen von uns übermittelt an die Plattform und in das Werbesystem reingegeben. Das enthält oft auch bestimmte Geografie-Daten, also Standortdaten, die aber ungenauer sind als GPS-Daten meistens. Und das heißt, diese AdInt-Firmen können sich einfach in dieses System reinhängen. Wir haben das in unterschiedlichen Recherchen gesehen bisher, dass es dann eben Firmen gibt, die einfach eine Fake-Firma aufsetzen und sagen „Hier, wir nehmen am Werbesystem teil“ und darüber einfach diese Daten, die Bitstream-Daten abgreifen und so Profile erstellen und auch an Standortdaten kommen.

Daran anschließend gab es noch eine Frage von Daniel, der hat gefragt, ob es euch möglich war, im Rahmen der Recherche den Markt von genau diesem Real-Time Bidding-Verfahren zu erfassen und die Akteure und deren Rollen zu kategorisieren. Weil es sich ja um ein extrem großes, vielfältiges, weitverzweigtes System von unterschiedlichen Akteuren handelt. Er fragt auch, ob ihr gerade daran arbeitet, falls es bisher noch nicht passiert ist.

Genau. Also das Real-Time Bidding haben wir aktuell weniger im Blick tatsächlich, weil es eben nur dieser eine Strang ist. Was wir stärker im Blick haben, im Rahmen dieser Databroker Files, aber auch im Rahmen der nächsten Geschichten, denn wir sind weiter dran, ist, wo geben Apps direkt Daten weiter, indem sie quasi Tracking-Code in ihren eigenen Programmcode integriert haben. Das sind die sogenannten SDKs, die Software Development Kits. Über diese machen es die Tracking-Firmen, Werbetreibenden, ganz leicht. Die müssen nicht viel dazu tun, außer diesen Programmcode zu integrieren in ihre Apps und dann die Datenweitergabe zu erlauben, um eben so ein bisschen Monetarisierung zu bekommen. Das ist der Weg, den wir uns genauer ansehen, als das Real-Time Bidding-System. Es ist einfach ein riesiges System. Es gibt soetwas, ich weiß gar nicht, wer das macht. Für die AdTech-Branche, wird Jahr für Jahr so eine riesige Grafik mit den Firmen, die am Markt sind, veröffentlicht. Und das sind hunderte, tausende Firmen, die in dieser Branche aktiv sind. Wir hoffen aber, dass wir zum Thema, welche Apps sind beteiligt, stärker den Blick auf die Quellen noch nachlegen können.

Konrad hat noch zwei miteinander verbundene Fragen dazu. Was tun? Also er fragt, was sind Eure Handlungsempfehlungen, neben AdTracker ausschalten? Du hast ja gerade schon euren Serviceartikel erwähnt. Er fragt auch, was ihr macht in eurer Arbeit, um die vielen uninformierten App-UserInnen zu erreichen.

Das ist unser Versuch Aufklärung zu betreiben, indem wir diese Texte schreiben, indem wir sie möglichst niedrigschwellig machen. Der Bayerische Rundfunk hat eine super interaktive Geschichte dazu veröffentlicht. Es gab auch bei Report München einen Film dazu. Das heißt, wir versuchen da auch in die Breite zu gehen und möglichst viele Leute abzuholen. Bloß wir betonen natürlich die Notwendigkeit politischen Handelns, aber wir wollen eben auch Leuten Möglichkeiten in die Hand geben, selbst aktiv zu werden. Das heißt, wir haben Serviceartikel, in denen wir einerseits den Leuten Datenschutztipps geben, aber andererseits auch die Möglichkeit an die Hand geben zu prüfen, bin ich eigentlich selbst betroffen? Bin ich selbst in diesem Datensatz? Wir haben mit netzpolitik.org einen Databroker-Checker veröffentlicht. Ein Tool, in dem Leute datenschutzsicher und datenarm ihre Mobile Advertising ID einmal eingeben können. Die wird dann gehashed übermittelt und dann überprüft unser Tool automatisch: Findet sich diese ID auch in dem Datensatz mit den 3,6 Milliarden Standortdaten, den wir jetzt als Testdatensatz bekommen haben? Das heißt, so können Leute auch erstmal rausfinden, bin ich jetzt eigentlich von dieser einen Recherche, von diesem einen Datensatz betroffen? Das ist natürlich nur ein kurzer Ausschnitt, aber wenn, dann gibt es auf jeden Fall die Möglichkeit, aktiv zu werden. Ich habe gerade eben schon gesagt, die Datenschutzbehörden werden aktiv, wenn sie Bürgerbeschwerden bekommen. Das heißt, wer in so einem Datensatz ist, den rufen wir auf, sich mit uns in Verbindung zu setzen. Wir können dann zusammen in die Daten und Apps gucken. Und das ist eine gute Grundlage, um Beschwerden bei Datenschutzbehörden zu stellen. Und ansonsten gibt es immer noch Organisationen wie NOYB, None of Your Business, eine Datenschutz-NGO aus Österreich, die sich auch sehr interessiert gezeigt hat und die auf unsere Recherche hin angekündigt haben, dass sie mindestens prüfen werden, rechtliche Schritte gegen die beteiligten Firmen einzulegen. Das heißt, man kann da auch als Individuum einiges tun, solange wir auf politische Lösungen warten. Oder man kann eben darauf hinwirken, dass es die politischen Lösungen gibt, um dieses Problem zu lösen.

Dann gab es noch einen Einwand, der sagt, dass ein Verbot diametral der Forderung nach einer Lösung der Einwilligungsproblematik entgegensteht. Und dass eine Einwilligungslösung die Wahl lässt und das Verbot dann aber eben nicht mehr die Wahl lässt, sich sozusagen freiwillig einkategorisieren zu lassen, um bessere Services zu bekommen. Die Frage ist, wie lässt sich das vereinbaren, insbesondere da die Personalisierung auch Vorteile hat und dass das Hauptproblem ist, dass es intransparent ist und der Autonomie der BürgerInnen doch besser geholfen wäre, wenn mit mehr Transparenz diese Möglichkeit bestünde. Zum Beispiel schlägt die Person Default-Einstellungen vor, in denen man das entsprechend ändern könnte. Die Frage richtet sich auch danach, wie man das im internationalen Bereich eigentlich lösen kann, weil man sich ja nicht isoliert auf nationalstaatlicher oder europäischer Ebene in einem Vakuum bewegt 

Man bewegt sich nicht in einem Vakuum, aber ich finde, die Europäische Union hat mit ihren mutigen Digitalregulierungsansätzen gezeigt, dass die EU groß genug ist und eben auch als Datenmarkt interessant genug ist, um Regeln zu setzen. Das heißt auf nationalstaatlicher Ebene, ja... aber ich denke, auf europäischer Ebene lässt sich das schon regeln. Tatsächlich würde ich sagen, ich habe auch lange Zeit gedacht, wir müssen nur endlich ermöglichen, dass die Einwilligung wirklich vernünftig umgesetzt wird. Aber ich glaube, es wird nicht funktionieren, es skaliert nicht. Niemand kann seine Datenschutzspuren überblicken. Selbst wenn wir nicht belogen werden würden, wenn diese Informationen nicht versteckt werden würden, wenn jetzt sozusagen die absolute Transparenz herrschen würde und man vielleicht auch die Möglichkeit hätte, mit einem Daten-Dashboard, wie sich das manche vorstellen, zentral die Einwilligungen managen zu können. Ich glaube nicht, dass das funktioniert. Niemand kann und will auch den ganzen Tag damit beschäftigt sein, zu überlegen, wo gehen eigentlich meine Daten hin, das nachzuvollziehen und dann darauf basierend mehr oder weniger informierte Entscheidungen zu treffen und zu sagen, hier stimme ich zu und hier nicht. Ich glaube, das ist ein Irrtum, das ist eine strukturelle Überforderung. Weil, auch das zeigt ja unsere Recherche, das hört ja spätestens dann auf, wenn diese Daten in den Verkauf gehen. Also niemand weiß, an wen diese Daten verkauft worden sind und an wen sie verkauft werden. Das heißt, spätestens dann ist ja Schluss mit der Transparenz. Oder an wen dann eine Privatperson die Daten verkauft hat oder an welchen Geheimdienst Daten weitergegeben werden. Deshalb glaube ich, die Einwilligungsproblematik lösen heißt, vielleicht nicht die Einwilligung als Tool gänzlich abzuschaffen, aber wir müssen als Gesellschaft Bereiche definieren, in denen wir sagen, hier ziehen wir eine rote Linie, das klammern wir aus. Und für den Bereich Online-Werbung: Die Tracking-Industrie hat jetzt lange Jahre gezeigt, dass sie nicht daran interessiert und nicht dazu in der Lage sind, sich zu begrenzen, weil es Geschäftsinteressen sind. Da hängt ja Geld dran. Die Tracking-Industrie, die Online-Werbe-Industrie ist eine hunderte Milliarden schwere Industrie. Und die werden sich nicht von alleine regulieren. Die werden sich auch weiter nicht an Regeln halten. Wir sehen das Katz-und-Maus-Spiel der letzten Jahre. Immer wenn neue Tools entwickelt worden sind, um sich zu schützen, sind neue andere Tools entwickelt worden, neue Tracking-Verfahren, Fingerprinting und so weiter. Deshalb, glaube ich, müssen wir als Gesellschaft rote Linien ziehen. Und das heißt nicht, dass wir die individuelle Entscheidungsfreiheit abschaffen, aber das Profiling, das Datensammeln, das Tracking, die Überwachung zu kommerziellen Zwecken, zu Werbezwecken, zum Zwecke des Datenhandels, das müssten wir gesellschaftlich verbieten, weil wir das Individuum sonst überfordern.

Und das war vielleicht auch die Antwort auf die Frage von Kurt, der vorher gefragt hatte, wie sichergestellt wird, dass diese Ad-Tech Transaktionen nicht nach der Transaktion weitergehandelt werden. Und das, wie du gerade gesagt hast, ist das eigentlich technisch schon nicht möglich. Selbst wenn die Unternehmen in Frage das ausschließen wollen würden und sicherstellen, dass die Daten nur zu diesem einen bestimmten Zweck an ein anderes Unternehmen weitergegeben werden, ist es technisch ja kaum möglich, das überhaupt sicherzustellen, wenn ich dich richtig verstehe.

Ja, genau.

Dann gibt es noch die Frage, ob auch Daten von Kindern gehandelt werden.

Also den Standortdaten konnten wir es jetzt natürlich nicht entnehmen. Da war dann kein Alter dabei. Und die Person muss mindestens ein Smartphone haben. Aber man hätte in den Daten auf jeden Fall auch sehen können, ob Leute mit kleinen Kindern gerade durch den Park gehen oder ähnliches. Man hat gesehen, wer wahrscheinlich mit dem Hund spazieren geht. Man kann dann sicherlich auch aus den Daten sehen, wer dann eine Runde mit einem kleinen Kind macht, zu einer immer bestimmten Uhrzeit. Aus der Xandr-Recherche letztes Jahr wissen wir, dass es da auch Segmente gab, die von Minderjährigen betroffen sind. Einerseits gab es in den demografischen Segmenten so was wie alleinerziehende Eltern, Eltern von Kleinkindern, Haushalt mit Kleinkindern. Und dann haben wir aber auch wirklich Kategorien, Segmente gesehen, die irgendwie 13- bis 18-Jährige umfasst haben, was unter DSGVO eh nochmal besonders schwierig ist. Aber ansonsten würde ich erstmal grundsätzlich davon ausgehen, dass Kinder, sobald sie digitale Geräte haben auch Teil der Datenerfassung sind.

Dann gibt es noch eine Frage zu einer technischen Schutzmaßnahme, und zwar die Einrichtung von einem Open-Source-Proxy, mit dem man dann ähnlich wie mit einem VPN, auf die Abfrage, „wer ist hier eigentlich gerade aktiv“ eine falsche Angabe gibt. Also wie wirksam sind zum Beispiel VPNs et cetera für solche Formen des Trackings?

Also für die Standortdaten, die von Apps erfasst werden, helfen VPNs, glaube ich, nicht. Bei dem, was über das Real-Time Bidding-System an Daten preisgegeben wird, die Bidstream-Daten, da kann es, glaube ich, schon helfen. Ich erinnere mich, vor ein paar Jahren mal geschrieben zu haben über ein Tool, das sozusagen Obfuscation versucht. Also immer falsch auf Dinge klickt, um dem Werbesystem falsche Interessen zu signalisieren. Das ist natürlich eine Maßnahme, die auf individueller Ebene helfen kann, aber die nicht unser strukturelles Problem löst.

Ich könnte noch mal einen Aspekt sagen, der mir gerade einfällt, über den wir jetzt noch nicht gesprochen haben. Und das ist, was man auch dazu sagen muss, bei aller Gefahr, die damit einhergeht und bei aller Invasivität, haben wir auch festgestellt, dass die Datenqualität durchaus auch schwankt. Das heißt, wir haben schon auch gesehen, da sind wahnsinnig viele Fehler drin. Wir haben bestimmte Bewegungsprofile gesehen, wo wir das gleiche Bewegungsprofil, aber zu unterschiedlichen Mobile Advertising IDs gesehen haben. Oder wo wir Leute angesprochen haben und gesagt haben „Sind das deine Daten, passt das?" und die gesagt haben „Ja, das stimmt, aber eigentlich zu einem anderen Datum oder an den und den Orten war ich nicht“. Das heißt, wir haben auch durchaus eine große Fehleranfälligkeit in diesen Daten. Das ist immer dieser Spagat, in dem sich diese Industrie bewegt. Sie versprechen einerseits perfektes Targeting und andererseits behaupten sie, dass es ja gar nicht so genau ist. Und diesen Spagat löst diese Industrie eigentlich nicht auf. Es schränkt natürlich überhaupt nicht die Bedeutung dieser Daten ein. Weil im Zweifelsfall ist es für die Werbetreibenden auch nicht so wichtig, ob die Einzelperson jetzt immer in genau der richtigen Kategorie ist, sondern es geht eben darum, dass das große, ganze Bild stimmt. Also wir haben natürlich auch die hohe Genauigkeit der Standortdaten gesehen. Wir konnten die Personen identifizieren, aber es gab immer auch wieder Fälle, wo die Datenqualität schlecht war. Das vielleicht noch einmal der Vollständigkeit halber.

Ich denke, das ist ein guter Punkt: Man kann sich nie darauf verlassen, dass die Daten tatsächlich präzise sind. Wenn man dann wiederum darüber nachdenkt, wenn Sicherheitsbehörden diese Daten kaufen und dann eventuell auch Anschlussmaßnahmen auf Grundlage solcher erhobener Daten getroffen werden, obwohl diese eben fehleranfällig sind.  Ich glaube deshalb, das war ein gutes Schlusswort.

Vielen lieben Dank, lieber Ingo, dass du dir die Zeit genommen hast und die vielen Fragen so sachkundig beantwortet hast. Vielen Dank auch an meine Kollegen Justus Römeth und Thorsten Wetzling, die mich bei der Vorbereitung und Durchführung der Veranstaltung unterstützt haben. Und zuletzt auch vielen Dank an alle Teilnehmenden, dass Sie sich so zahlreich zugeschaltet haben an einem doch noch sehr warmen Septemberabend. Und für die super Fragen vor allem, die die Diskussion bereichert haben. Wenn Sie gerne informiert bleiben wollen über unsere Arbeit bei interface und beim Team Digitale Grundrechte, Überwachung und Demokratie, dann melden Sie sich gerne für unseren Newsletter an. Wenn Sie das tun, dann bekommen Sie zum Beispiel in den nächsten Tagen schon unsere nächste Publikation, verfasst von meiner Kollegin Lilly Goll und mir zum Thema automatisierte Datenanalyse bei den Nachrichtendiensten.