Handel mit Standortdaten – Wenn Privatsphäre verkauft wird

Fachbeitrag

Fast niemand kann sich noch einen Alltag ohne sein Smartphone vorstellen. Zu häufig hilft es seinen Nutzern in schier unlösbaren Situationen wie bei der Suche nach dem besten Pizzalieferant oder der Frage, ob man einen Regenschirm einpacken muss. Dass unser fleißiger Helfer dabei die meiste Zeit des Tages ungefragt Standortdaten sammelt, ist im Grunde nichts Neues und doch immer wieder beängstigend, wenn man sich den Umfang des Trackings genauer anschaut.

Detailliertes Profiling trotz „anonymer“ Daten

Die New York Times hat letzten Monat einen Artikel veröffentlicht, in dem sie den Umfang des Standortdaten-Trackings und des darauf fußenden Geschäftsfelds genauer analysiert und aufbereitet hat. Erschreckend ist hierbei einmal mehr, was für detaillierte Rückschlüsse man durch Auswertung von Standortdaten gewinnen kann, die von auf dem Smartphone installierten Apps gesammelt werden. Den Journalisten war es möglich, trotz nach Angaben der App-Anbieter anonymisierter Daten (gemeint war hier wohl eine Pseudonymisierung), einzelne Datenspuren den dazugehörigen Personen zuzuordnen. Diese gaben dem Team der Zeitung daraufhin ihr Einverständnis zur weiteren Auswertung und Veröffentlichung.

Anhand der Standortdaten, die innerhalb von 24 Stunden gesammelt wurden, konnte man relativ problemlos den Tagesablauf der Personen rekonstruieren. Dies umfasste bei einer der von den Journalisten identifizierten Personen den morgendlichen Weg von zu Hause zur Schule in der die betroffene Dame als Lehrerin arbeitet, am Nachmittag den Weg zurück in den Heimatort, in dem zunächst der Hautarzt aufgesucht wurde. An anderen Tagen sind ihre Besuche bei Weight Watchers, im Fitnessstudio, Wanderungen mit ihrem Hund in den Bergen sowie auch längere Besuche im Haus eines Bekannten, der zufälligerweise auch noch ihr Ex-Freund war, problemlos nachzuvollziehen. Hierbei war es durch regelmäßiges Senden des Standorts auch möglich, die jeweils genaue Aufenthaltsdauer zu bestimmen.

Das Geschäft mit den Daten

Hinter der umfassenden Erhebung und Auswertung der Standortdaten steht ein für bestimmte Branchen lukratives Geschäftsmodell. Denn die Daten werden üblicherweise von App-Betreibern erhoben, die diese dann an darauf spezialisierte Unternehmen verkaufen (Location data companies). Diese Unternehmen verkaufen, verwenden oder analysieren die Daten wiederum, um Werbeunternehmen, Einzelhandelsgeschäfte oder sogar Hedgefonds zu bedienen, die von einem tiefgehenden Einblick in das Nutzerverhalten profitieren möchten. Laut Informationen der New York Times wurden in den USA auf diese Weise im Jahr 2017 bis zu 200 Millionen mobile Endgeräte getrackt, was ca. der Hälfte der landesweit genutzten Geräte entspricht.

Keine umfassende Information der Nutzer

Die betroffenen Nutzer der Apps würden meist zudem nicht in ausreichender Weise über den genauen Umfang der Datenerhebung informiert. Meist würde zwar auf die Erhebung der Daten und die Möglichkeit der Deaktivierung hingewiesen, das Teilen und der Weiterverkauf der Daten meist jedoch verschwiegen.

Große Missbrauchsgefahr

Auch wenn die beteiligten Unternehmen laut des Artikels ein Interesse an den betroffenen Identitäten verneinen und lediglich mit dem Wissen zu den Gewohnheiten der Kunden Profit machen wollen. Die Gefahr, dass die immensen Datenmengen missbraucht werden, ist nicht von der Hand zu weisen. Trotz Pseudonymisierung der Daten ist es zumindest Mitarbeitern und Kunden der beteiligten Unternehmen stets möglich die Daten einer Person zuzuordnen. Es bleibt dabei zum Beispiel immer möglich einer bestimmten Person aktiv zu folgen oder durch Abgleich mit öffentlich zugänglichen Adressen herauszufinden zu welcher Person wahrscheinlich ein bestimmtes Bewegungsprofil gehört.

Verkauf von Mobilfunkdaten

Dass gerade in den USA die Gefahr einer ungewollten Überwachung durch Nutzen von erhobenen Standortdaten besteht, unterstreicht auch die Tatsache, dass es dort immer noch gelebter Alltag ist, dass Mobilfunkanbieter anderen Unternehmen ermöglichen auf die Aufenthaltsorte von im Mobilfunknetz eingebuchten Geräten zuzugreifen. Diese Unternehmen verkaufen die Informationen dann an Dritte. Dieses Modell eines „Datenschwarzmarktes“ ist mehr als bedenklich, im Land der unbegrenzten Datenverfügbarkeit aber auch total legal. Dies wird in der Folge gerne von selbsternannten Kopfgeldjägern und Privatdetektiven genutzt.

Auch in der EU besteht die Gefahr

Zwar beziehen sich die geschilderten Fälle ausschließlich auf die Situation in den USA, wo wie bereits festgestellt mehr oder weniger keine Regulierung von Datenflüssen stattfindet. In der EU werden durch die bestehenden Datenschutzregelungen andere Maßstäbe an die App-Hersteller und eine mögliche weitere Nutzung von Standortdaten gesetzt. Doch auch im Anwendungsbereich der DSGVO werden dieselben Apps genutzt und die Vergangenheit hat gezeigt, dass die Ausgestaltung vieler Anwendungen nicht den Vorgaben der DSGVO entspricht. Als Beispiel sei an dieser Stelle Google genannt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Internationaler Datenschutz

3 Kommentare zu diesem Beitrag

  1. … ein weiterer Beweis dafür, dass im Internet nichts umsonst ist, lediglich manchmal kostenfrei.

    Zumindest mein Smartphone gestattet es in den ‚Datenschutzeinstellungen‘ Ortungsdienste auszuschalten. Sofern ich nicht speziellen Bedarf für diesen Dienst habe sind die bei mir auch immer aus. Der ‚Preis‘, der dafür zu zahlen ist, ist Bequemlichkeit – man muss sich halt entscheiden, was einem wichtig ist.

    Ganz anders und m.E. datenschutzrechtlich bedenklich sieht die Sache aus, wenn mein Mobilfunkanbieter meine Standortdaten verkauft, selbst wenn dies pseudonymisiert erfolgt. Warum wird nicht anonymisiert? Vermutlich funktioniert das Geschäftsmodell dann nicht mehr!

  2. Gibt es eine Pflicht für Google offenzulegen, wer Userdaten bzw. Standortdaten erhält?
    Sind diese dann anonymisiert?
    Grüße Jörg Zimmermann

    • Grundsätzlich muss jede verantwortliche Stelle, die Daten verarbeitet (auch Google), bei Erhebung der Daten umfassend und transparent über den Zweck der Datenerhebung informieren. Ebenfalls muss dabei mindestens über die Kategorien von Empfängern informiert werden, wenn geplant ist die Daten an Dritte weiterzugeben. Wenn die konkreten Empfänger bei Erhebung der Daten schon bekannt sind, sollten auch diese angegeben werden.

      Anonymisierte Daten sind keine personenbezogene Daten iSd DSGVO. Ob Daten im Rahmen einer Verarbeitung anonymisiert werden ist eine Einzelfallfrage.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.