News vom 29.08.2021

Das Märchen von den anonymen Standortdaten

Ein Artikel von , veröffentlicht am 29.08.2021
hkeita / iStock

Viele Apps fragen den Standort ab, zum Beispiel, um das Wetter oder Geschäfte in der Nähe anzuzeigen. Doch dabei bleibt es häufig nicht. Eine Recherche aus Dänemark zeigt: Datenhändler sammeln Standortdaten von Mobilgeräten oft über Jahre hinweg. Einzelne Personen sind darin leicht identifizierbar.

Der dänische Fernsehsender TV2 wollte es wissen: Kann man die Standortdaten von Personen, die mit einem Smartphone in der Tasche herumlaufen, einfach so kaufen? Und kann man darin einzelne Personen identifizieren? Die Antwort aus dem eindrücklichen Bericht, der im Juli erschienen ist, lautet: Ja, man kann.

Die Journalist*innen beauftragten das Medien- und Analyseunternehmen Kaas & Mulvad damit, einen Datensatz von dem Datenhändler Huq Industries zu erwerben. Die Firma mit Sitz in London, UK, bietet sogenannte Footfall-Daten an. Damit sind Daten gemeint, die abbilden, wie sich Personen in einem bestimmten Gebiet bewegen.

Laut dem TV2-Bericht verfügt Huq über Standortdaten von mindestens 60.673 dänischen Mobiltelefonen, die mehrere Jahre in die Vergangenheit reichen. Sie werden von dem Unternehmen direkt aus Smartphone-Apps gesammelt.

Für eine Stichprobe legte der Sender etwa 36.000 dänische Kronen auf den Tisch, das sind umgerechnet knapp 4.850 Euro. Dafür erhielten die Käufer Daten aus den Jahren 2020 und 2019 (jeweils das zweite Halbjahr) mit insgesamt 129 Millionen Datensätzen.

Wie Huq Daten aus Apps sammelt

Huq bekommt die Rohdaten von sogenannten „Partnern“. Das sind zum Beispiel App-Anbieter. Diese bauen einen Software-Baustein (ein sogenanntes SDK) von Huq Industries in ihre App ein, der den GPS-Standort des Nutzergerätes direkt an Huq Industries weitergibt.

Die Firma bezahlt die Partner für diese Datenlieferung. Huq Industries bereitet die Rohdaten auf und verkauft sie an Geschäftskunden. In dem Datensatz, den die Journalisten von TV2 analysierten, befanden sich Daten aus 576 verschiedenen Apps.

Standortdaten sind nicht anonym

Der Datenhändler Huq verpflichtet seine Partner, in der eigenen Datenschutzerklärung über die Zusammenarbeit zu informieren, und schreibt dazu folgende Formulierung vor:

We collect the following information: Operating System, Date & time, Latitude, Longitude, Accuracy (GPS), SSID (network), BSSID (network), Bundle ID, Device Model, Device Manufacturer, Carrier Code (Android only), Carrier Name, Sim Code, Country, and Locale. In addition to helping us to measure the usage of our app this information is shared with Huq and its customers for their business purposes, which consist of the creation of anonymised reports, market research and trend analyses. Data shared with Huq does not contain information from which users can be identified by name and we will not provide additional information that enables Huq to identify you.

Interessant ist dabei vor allem der letzte Satz, der sinngemäß bedeutet: Daten, die mit Huq geteilt werden, enthalten keine Informationen, mit deren Hilfe Nutzer*innen namentlich identifiziert werden können und wir liefern keine zusätzlichen Informationen, mit denen Sie identifiziert werden könnten.

Die meisten Apps, bei denen wir im Rahmen einer Kurzrecherche mit unserem Analyse-Tool AppChecker eine Verbindung zu Huq feststellen konnten, führen besagten Satz in der Datenschutzerklärung auf.

Diese Apps binden Software von Huq Industries ein

Auch in den Tests von unserem AppChecker tauchen zahlreiche Apps auf, die das SDK von Huq Industries einbinden oder im dynamischen Test Verbindung zu Servern der Firma aufnehmen. Eine Liste aller Apps finden Sie hier.

In den aktuellen Tests konnten wir keine Weitergabe von GPS- und BSSID-Daten nachweisen. Das ist allerdings keine Garantie dafür, dass dies nicht trotzdem geschieht. Unser Detektor findet schon sehr viele Daten, an manchen Verschlüsselungstechnologien beißt er sich aber noch die Zähne aus.

Das Problem: Der Satz stimmt nicht. Das zeigt die Recherche von TV2. Da jeder Datenpunkt einen Standort, eine Uhrzeit und eine Geräte-ID enthält, lassen sich mit ein wenig Analyse die Standortverläufe einzelner Geräte herausfiltern. Solche Verläufe sind sehr leicht zu deanonymisieren. Man muss nur schauen, wo sich ein Handy nachts befindet, um zu erschließen, wo der oder die Besitzer*in höchstwahrscheinlich wohnt.

Genau das haben die Journalisten von TV2 getan. Eine der identifizierten Personen, die bereit war, über ihren Standortverlauf zu sprechen, ist der 66-jährige Rentner Otto Jensen. Er lieferte vermutlich über eine Wetter-App seine Standortdaten an Huq Industries – und zwar über Monate hinweg durchschnittlich jede Minute. Er war sich dessen nicht bewusst, wie er gegenüber TV2 sagte, und formulierte ein starkes Unwohlsein angesichts dieses Eingriffs in seine Privatsphäre.

Wie leicht Personen in angeblich anonymen Standortdaten identifiziert werden können, wurde schon viele Male gezeigt. Lesenswert hierzu sind zum Beispiel die Reportagen von Martin Gundersen oder Vice-Redakteur Joseph Cox. Wissenschaftliche Grundlagen gibt es bei Montjoye et Al. 2013.

Was aus dem Standortverlauf ablesbar ist

Anhand der Huq-Daten konnten die Journalist*innen die Aktivitäten von Jensen exakt nachverfolgen: Wann er verreiste, wo er tankte, in welchen Hotels er übernachtete und wann er sich im Krankenhaus aufhielt. Im Fall von Otto Jensen war das eine sehr unangenehme Überraschung, hatte aber keine schlimmen Konsequenzen. Das ist nicht immer so. Längst werden kommerziell verfügbare Daten auch gezielt gegen einzelne Personen eingesetzt.

So berichtete die US-Zeitung Washington Post erst im Juli dieses Jahres über den Fall des katholischen Priesters Jeffrey Burrill, der seinen Posten räumen musste, nachdem ihm die katholische Nachrichtenseite „National Catholic Reporter“ Verstöße gegen den Zölibat vorwarf.

Die Informationen darüber stammten aus Standortdaten der App Grindr, einer Dating-App für schwule, bisexuelle und transsexuelle Männer. Der Priester hatte die App auf seinem Handy installiert. Das Nachrichtenportal hatte Datensätze von Grindr beschafft und darin die Aufenthalte des Priesters in Schwulenbars nachverfolgt.

Dänische Aufsichtsbehörde ermittelt

Weil die dänische Datenschutzbehörde Datatilsynet in dem Fall inzwischen ermittelt, hat sich Huq Industries zu dem Fall ausführlich geäußert. Das Unternehmen räumt ein, Standortdaten aus Apps zu sammeln, aber natürlich nur nach ausdrücklicher Einwilligung.

Nach unserer Recherche stimmt das weitgehend. Alle uns bekannten Apps, die mit Huq Industries zusammenarbeiten, schalten ein nicht übersehbares Pop-up mit viel Text, in dem klar steht, das Standortdaten aus der App weitergegeben werden.

Aber im Ernst: Wissen Sie noch, wann Sie in welcher App zu welcher Datenerhebung eine Einwilligung erteilt haben? Und würden Sie aus einem Hinweis-Fenster schließen, dass als Konsequenz ein Fernsehsender Ihren Standortverlauf der vergangenen Jahre rekonstruieren kann?

Das Modell „Einwilligung“ ist gescheitert

Es ist an der Zeit, einzugestehen, dass die Abfrage der Zustimmung zur Datenverarbeitung ihren Zweck ganz einfach nicht erfüllt. Die Einwilligung war eigentlich als Werkzeug gedacht, um persönliche Daten zu schützen. Für Nutzer*innen, so die Idee, sollte sie eine Warnwirkung haben: Bevor ich zu etwas zustimme, muss ich mich genau informieren und lehne eventuell ab. Dementsprechend sparsam würden Anbieter*innen mit Einwilligungen umgehen, so die Annahme. Sie sollte nur eine letzte Möglichkeit darstellen, um unbedingt erwünschte Angebote zu ermöglichen.

Doch das Gegenteil ist eingetreten. Die Verpflichtung, bei bestimmten Datenerhebungen eine Einwilligung einzuholen, führte nicht dazu, solche Daten dann eben nicht zu sammeln. Stattdessen werden Nutzer*innen so lange mit Einwilligungsanfragen bombardiert, bis sie alles abnicken. Die Warnwirkung ist damit nicht mehr gegeben.

Aus diesem Grund machen wir bei der Bewertung von Apps, die wir mit unserem Analyse-Tool AppChecker analysieren, keine Kompromisse: Wer unnötige oder sensible Daten abgreift, erhält bei uns einen schlechten Privacy Score – mit oder ohne Einwilligung. Empfehlungen bekommen bei uns nur Apps, die keine oder nur sehr wenige Daten sammeln.

Was der AppChecker kann und wie er funktioniert, erklären wir diesem Video auf YouTube.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Soll ich annehmen? Android-App gegen Spam-Anrufe

Sie bekommen lästige Anrufe von Werbefirmen Spammern und Robocallern? Die App mit dem Namen "Soll ich annehmen?" setzt auf den Schwarm: Jeder Nutzer kann Spam-Nummern melden und so die gemeinsame Datenbank ausbauen. Die eigene Nummer oder Adressbücher tastet die App nicht an.

Mehr
Ratgeber 

Virenscanner für Android-Geräte

Sicherheits-Apps, die vor Schadprogrammen wie Trojanern oder Würmern schützen sollen, gibt es nicht nur für den PC, sondern auch für Smartphone und Tablet. Ihr Nutzen ist jedoch umstritten. Wir erklären, was diese Produkte leisten können und wo sie an ihre Grenzen stoßen.

Mehr
Ratgeber 

Googles Play-Store: Zahlen, Fakten, Tipps

Der App-Store von Google ist auf fast allen Android-Geräten vorinstalliert. Mit mehr als drei Millionen Apps bietet er die größte Auswahl für Android. Welche Apps im Store zu finden sind und welche weit oben in der Liste erscheinen, bestimmt allein Google.

Mehr
Ratgeber 

Sicher ins neue Jahr: 4 Tipps fürs iPhone

Überprüfen, was Ihr iPhone unbemerkt im Hintergrund tut - das wollten Sie schon lange mal? Der Start ins Jahr 2021 ist ein guter Anlass! Mit unseren vier Tipps sind die wichtigsten Punkte schnell abgehakt.

Mehr