Wie unsere Bewegungsdaten bei Geheimdiensten landen

Fachbeitrag

Haben Sie nicht manchmal auch das Gefühl, dass Ihr Smartphone alles über Sie weiß? Dass es nicht nur Ihre letzten Einkäufe kennt, sondern auch Ihre geheimen Vorlieben oder Ihre Schwächen? Dann haben Sie Recht! Von uns allen gibt es unzählige Standort- und Bewegungsdaten, so dass dieses kleine Gerät Sie besser kennt als Sie sich selbst und zu jeder Zeit weiß, wo Sie sich gerade befinden. Darüber freuen sich neben der Welt des Marketings auch die Geheimdienste.

Datenmissbrauch ohne Ende

Zugegeben, dass mit personenbezogenen Daten Schindluder getrieben wird oder die Daten bei irgendwelchen dubiosen Unternehmen landen, dürfte heutzutage eigentlich niemanden mehr schocken. Selbst der eigentlich größte Datenskandal der jüngeren Vergangenheit um den Whistleblower Edward Snowden hat insgesamt für deutlich weniger Aufruhr gesorgt als erwartet. Datenmissbrauch und -skandale werden häufig einfach nur noch hingenommen. Denn gerade die kleinen Helfer namens Apps, welche wir alles auf unseren Mobiltelefonen haben, sind unglaublich vielseitig, wenn es darum geht, unsere Daten, die wir meist nur zu gerne verbreiten, zu sammeln, zu verbinden oder anderweitig zur Profilbildung zu nutzen.

Der norwegische Journalist Martin Gundersen, welcher für die staatliche Rundfunkanstalt NRK tätig ist, war Anfang 2020 Teil eines Teams, welches mit relativer Leichtigkeit einen weiteren Datenskandal aufgedeckt hat. Zusammen mit seinem Team dokumentierte er, wie mehr als 8.300 Mobiltelefone während ihres Aufenthalts z. B. in Krankenhäusern oder Frauenhäusern durch ein britisches Unternehmen geortet wurden. Für die Summe von umgerechnet gerade einmal 3.300 EUR erhielten Gundersen und sein Team Zugang zu Standort- und Bewegungsdaten von mehreren zehntausend überwiegend norwegischen Staatsbürgern. Auf diese Weise ließen sich die Bewegungen all dieser Menschen teilweise minutengenau zurückverfolgen.

Ich habe doch nichts zu verbergen!

Eine erschreckende Vorstellung? Definitiv! Aber das ist leider kein Einzelfall. Völlig zu Recht werden personenbezogene Daten schon seit geraumer Zeit als Öl des 21. Jahrhundert bezeichnet. Erst kürzlich wurde bekannt, dass das US-Militär Standortdaten einer muslimischen Gebetsapplikation gekauft hat und auf diese Weise die Standortdaten der Benutzer an militärische Geheimdienste gesendet worden sind. Da diese App offenbar über 98 Mio. mal heruntergeladen worden ist, muss es sich dabei um eine wahres (Daten-)Schlaraffenland gehandelt haben.

Natürlich kann man jetzt damit argumentieren, dass man nichts zu befürchten habe. Denn schließlich haben wir ja nichts zu verbergen, oder? Doch, haben wir! Und zwar unsere Privatsphäre. Eigentlich sollte es eine Selbstverständlichkeit sein, dass man selber darüber entscheiden kann, welche Informationen man über sich preisgibt oder eben nicht. Doch genau hier liegt das Problem. Oftmals wissen wir gar nicht, wann, wie oft und vor allem welche Daten außerhalb unserer Kontrolle geraten. Auch das gerne geäußerte Argument, das sei doch alles gar nicht so schlimm, die Daten würden doch höchstens für Werbung verwendet, greift leider etwas zu kurz.

Überwachung, wohin man schaut

Eine ständige Überwachung kann verheerende Folgen haben, zumindest dann, wenn wir uns dessen bewusst sind. Unsere Verhaltensweise ändert sich, da wir – wenn auch vielleicht nur unterbewusst – penibel darauf achten, was wir tun und wohin wir gehen. Bei seinen Recherchen stieß Gundersen unter anderem auf das US-amerikanische Tech-Unternehmen Venntel. Er entschloss sich daher, den Spieß einmal umzudrehen und machte seinen Auskunftsanspruch nach Art. 15 DSGVO geltend. Nachdem Gundersen durch Venntel gebeten wurde einige Adressen zu bestätigen, welche er kürzlich besucht hatte, erhielt Gundersen als Antwort einen interessanten E-Mail-Anhang. Dieser enthielt vor allem Informationen darüber, wo sich Gundersen im Zeitraum von ca. einem halben Jahr aufgehalten hatte. Sage und schreibe über 75.000 Standorte konnten auf die Weise nachvollzogen werden.

Venntel teilte zudem mit, dass man diese Informationen an ihre Kunden weitergegeben hätte. Diese Kunden wiederum könnten die Informationen für Zwecke wie die Bundesgesetzgebung und die nationale Sicherheit verwenden. Kaum zu glauben, oder? Damit wird jeder denkbaren Art von Missbrauch Tür und Tor geöffnet. Wer genau diese Kunden sind, wollte Venntel überraschenderweise nicht preisgeben. Ein Schelm, wer Böses dabei denkt.

Weit verzweigtes Netzwerk

Venntel teilte ebenfalls mit, dass man einen Großteil der Daten vom Mutterkonzern Gravy Analytics erhalten habe. Dieses Unternehmen sammelt Unmengen von Daten, um die Zielgruppenansprache für Werbung zu verbessern. Das klingt also schon einmal sehr vertrauenswürdig. Von Gravy Analytics erhielt Gundersen die Rückmeldung, dass die Herkunft des Großteils der erhaltenen Daten nicht bekannt sei. Im Rahmen seiner Recherchen stieß Gundersen auch noch auf weitere Datenkraken, u. a. auf Unternehmen in den USA, in Frankreich oder der Slowakei. Offenbar stammte ein nicht unerheblicher Teil der Daten, welche Venntel erhalten hatte, von einem slowakischen Unternehmen namens Sygic, welches mehr als 70 Apps entwickelt hat.

Gundersen wollte es daher ganz genau wissen. Er installierte zwei Apps des Anbieters Sygic. Dabei sollte er lediglich seine Zustimmung für die Personalisierung seiner Werbeerfahrung erteilen. Von einer Weitergabe seiner personenbezogenen Daten Dritte, insbesondere nicht an Gravy Analytics oder an deren Tochtergesellschaften, war nicht die Rede. Doch genau dies ist offenbar geschehen. Dies stellt natürlich einen klaren Verstoß gegen elementare Prinzipien des Datenschutzes dar, insbesondere gegen die Gebote der Transparenz sowie der Zweckbindung. Besonders perfide stellt sich hier die Zusammenarbeit innerhalb dieses Netzwerkes dar. Die intransparenten Datenschutzbestimmungen waren untereinander weitgehend abgestimmt, so dass zumindest der Anschein einer rechtmäßigen Datenweitergabe geweckt worden ist. Zudem ist die Nachvollziehbarkeit deutlich erschwert, da sich Unternehmen regelmäßig weigern, vollumfängliche Auskünfte zu erteilen.

Illegale Datenübermittlung an Geheimdienste

Und so können unsere Daten früher oder später bei Geheimdiensten landen. Das Problem der intransparenten Datenübermittlung ist nicht neu. Vor allem die Rolle der Geheimdienste und eine (legale) Datenübermittlung sind immer wieder Gegenstand öffentlicher Diskussionen. Der Digital Rights Group sind fragwürdige Datenübermittlungen im Allgemeinen schon seit geraumer Zeit ein Dorn im Auge. Die Gruppe ist ein Teil der BEUC, dem Europäischen Verbraucherverband. Die BEUC wurde 1962 gegründet und hat es sich zur Aufgabe gemacht, die Rechte der Verbraucher – also auch im Datenschutz – in Europa zu stärken.

Der Leiter der Digital Rights Group, David Martin, geht davon aus, dass Teile des Werbesystems aus einem

„fast schon systemischen Bruch der DSGVO“ aufgebaut worden sind.“

Zwar habe die DSGVO gute und sinnvolle Vorgaben gemacht, es sei allerdings immer noch zu einfach, diese bindenden Vorschriften zu umgehen. Der österreichische Datenschutzforscher und -aktivist Wolfie Christl untersucht seit einigen Jahren, wie Unternehmen unsere Daten nutzen. Auch er hat massive Versäumnisse bei der Verfolgung evidenter Datenschutzverstöße festgestellt. Aus seiner Sicht gebe es nur eine Konsequenz:

„Ohne massive Bußgelder und Datenverarbeitungsverbote wird es keine Veränderung geben. Die EU-Mitgliedsstaaten und die EU-Kommission müssen handeln!“

Datenschutzbehörden sind überfordert

Einfacher gesagt als getan! Von der „Arbeit“ der Unternehmen profitieren natürlich auch die Geheimdienste, welche sich nur zu gerne an den Datensammlungen bedienen. Es ist sicherlich zutreffend, dass die Datenschutzmühlen in Europa auch nach über zwei Jahren DSGVO immer noch recht langsam mahlen. Das mag auf der einen Seite für manche Unternehmen vorteilhaft sein, weil sie oft nicht allzu viel zu befürchten habe. Auf der anderen Seite hat ein solcher Umgang mit unseren Daten allerdings gravierende Konsequenzen für unsere Privatsphäre.

Und wie löst man nun das Problem? Sicherlich wäre es erstrebenswert, wenn die europäischen Datenschutzbehörden sich so aufstellen würden, dass eine effektive Verfolgung von Datenschutzverstößen möglich ist. Ob dies in naher Zukunft tatsächlich passiert oder ob dies doch nur ein frommer Wunsch bleibt, wird die Zeit zeigen. Allerdings kann auch jeder Einzelne etwas dazu beitragen, die Datensammelwut zu begrenzen. So sollte sich vielleicht jeder einmal fragen, wie viel wir wirklich von uns preisgeben wollen in all den sozialen Netzwerken oder ob wir wirklich jede App benötigen, die unser Leben scheinbar erleichtert. Das Zauberwort heißt auch hier wie so oft Sensibilisierung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.