News vom 29.08.2021

Das Märchen von den anonymen Standortdaten

Ein Artikel von , veröffentlicht am 29.08.2021
hkeita / iStock

Viele Apps fragen den Standort ab, zum Beispiel, um das Wetter oder Geschäfte in der Nähe anzuzeigen. Doch dabei bleibt es häufig nicht. Eine Recherche aus Dänemark zeigt: Datenhändler sammeln Standortdaten von Mobilgeräten oft über Jahre hinweg. Einzelne Personen sind darin leicht identifizierbar.

Der dänische Fernsehsender TV2 wollte es wissen: Kann man die Standortdaten von Personen, die mit einem Smartphone in der Tasche herumlaufen, einfach so kaufen? Und kann man darin einzelne Personen identifizieren? Die Antwort aus dem eindrücklichen Bericht, der im Juli erschienen ist, lautet: Ja, man kann.

Die Journalist*innen beauftragten das Medien- und Analyseunternehmen Kaas & Mulvad damit, einen Datensatz von dem Datenhändler Huq Industries zu erwerben. Die Firma mit Sitz in London, UK, bietet sogenannte Footfall-Daten an. Damit sind Daten gemeint, die abbilden, wie sich Personen in einem bestimmten Gebiet bewegen.

Laut dem TV2-Bericht verfügt Huq über Standortdaten von mindestens 60.673 dänischen Mobiltelefonen, die mehrere Jahre in die Vergangenheit reichen. Sie werden von dem Unternehmen direkt aus Smartphone-Apps gesammelt.

Für eine Stichprobe legte der Sender etwa 36.000 dänische Kronen auf den Tisch, das sind umgerechnet knapp 4.850 Euro. Dafür erhielten die Käufer Daten aus den Jahren 2020 und 2019 (jeweils das zweite Halbjahr) mit insgesamt 129 Millionen Datensätzen.

Wie Huq Daten aus Apps sammelt

Huq bekommt die Rohdaten von sogenannten „Partnern“. Das sind zum Beispiel App-Anbieter. Diese bauen einen Software-Baustein (ein sogenanntes SDK) von Huq Industries in ihre App ein, der den GPS-Standort des Nutzergerätes direkt an Huq Industries weitergibt.

Die Firma bezahlt die Partner für diese Datenlieferung. Huq Industries bereitet die Rohdaten auf und verkauft sie an Geschäftskunden. In dem Datensatz, den die Journalisten von TV2 analysierten, befanden sich Daten aus 576 verschiedenen Apps.

Standortdaten sind nicht anonym

Der Datenhändler Huq verpflichtet seine Partner, in der eigenen Datenschutzerklärung über die Zusammenarbeit zu informieren, und schreibt dazu folgende Formulierung vor:

We collect the following information: Operating System, Date & time, Latitude, Longitude, Accuracy (GPS), SSID (network), BSSID (network), Bundle ID, Device Model, Device Manufacturer, Carrier Code (Android only), Carrier Name, Sim Code, Country, and Locale. In addition to helping us to measure the usage of our app this information is shared with Huq and its customers for their business purposes, which consist of the creation of anonymised reports, market research and trend analyses. Data shared with Huq does not contain information from which users can be identified by name and we will not provide additional information that enables Huq to identify you.

Interessant ist dabei vor allem der letzte Satz, der sinngemäß bedeutet: Daten, die mit Huq geteilt werden, enthalten keine Informationen, mit deren Hilfe Nutzer*innen namentlich identifiziert werden können und wir liefern keine zusätzlichen Informationen, mit denen Sie identifiziert werden könnten.

Die meisten Apps, bei denen wir im Rahmen einer Kurzrecherche mit unserem Analyse-Tool AppChecker eine Verbindung zu Huq feststellen konnten, führen besagten Satz in der Datenschutzerklärung auf.

Diese Apps binden Software von Huq Industries ein

Auch in den Tests von unserem AppChecker tauchen zahlreiche Apps auf, die das SDK von Huq Industries einbinden oder im dynamischen Test Verbindung zu Servern der Firma aufnehmen. Eine Liste aller Apps finden Sie hier.

In den aktuellen Tests konnten wir keine Weitergabe von GPS- und BSSID-Daten nachweisen. Das ist allerdings keine Garantie dafür, dass dies nicht trotzdem geschieht. Unser Detektor findet schon sehr viele Daten, an manchen Verschlüsselungstechnologien beißt er sich aber noch die Zähne aus.

Das Problem: Der Satz stimmt nicht. Das zeigt die Recherche von TV2. Da jeder Datenpunkt einen Standort, eine Uhrzeit und eine Geräte-ID enthält, lassen sich mit ein wenig Analyse die Standortverläufe einzelner Geräte herausfiltern. Solche Verläufe sind sehr leicht zu deanonymisieren. Man muss nur schauen, wo sich ein Handy nachts befindet, um zu erschließen, wo der oder die Besitzer*in höchstwahrscheinlich wohnt.

Genau das haben die Journalisten von TV2 getan. Eine der identifizierten Personen, die bereit war, über ihren Standortverlauf zu sprechen, ist der 66-jährige Rentner Otto Jensen. Er lieferte vermutlich über eine Wetter-App seine Standortdaten an Huq Industries – und zwar über Monate hinweg durchschnittlich jede Minute. Er war sich dessen nicht bewusst, wie er gegenüber TV2 sagte, und formulierte ein starkes Unwohlsein angesichts dieses Eingriffs in seine Privatsphäre.

Wie leicht Personen in angeblich anonymen Standortdaten identifiziert werden können, wurde schon viele Male gezeigt. Lesenswert hierzu sind zum Beispiel die Reportagen von Martin Gundersen oder Vice-Redakteur Joseph Cox. Wissenschaftliche Grundlagen gibt es bei Montjoye et Al. 2013.

Was aus dem Standortverlauf ablesbar ist

Anhand der Huq-Daten konnten die Journalist*innen die Aktivitäten von Jensen exakt nachverfolgen: Wann er verreiste, wo er tankte, in welchen Hotels er übernachtete und wann er sich im Krankenhaus aufhielt. Im Fall von Otto Jensen war das eine sehr unangenehme Überraschung, hatte aber keine schlimmen Konsequenzen. Das ist nicht immer so. Längst werden kommerziell verfügbare Daten auch gezielt gegen einzelne Personen eingesetzt.

So berichtete die US-Zeitung Washington Post erst im Juli dieses Jahres über den Fall des katholischen Priesters Jeffrey Burrill, der seinen Posten räumen musste, nachdem ihm die katholische Nachrichtenseite „National Catholic Reporter“ Verstöße gegen den Zölibat vorwarf.

Die Informationen darüber stammten aus Standortdaten der App Grindr, einer Dating-App für schwule, bisexuelle und transsexuelle Männer. Der Priester hatte die App auf seinem Handy installiert. Das Nachrichtenportal hatte Datensätze von Grindr beschafft und darin die Aufenthalte des Priesters in Schwulenbars nachverfolgt.

Dänische Aufsichtsbehörde ermittelt

Weil die dänische Datenschutzbehörde Datatilsynet in dem Fall inzwischen ermittelt, hat sich Huq Industries zu dem Fall ausführlich geäußert. Das Unternehmen räumt ein, Standortdaten aus Apps zu sammeln, aber natürlich nur nach ausdrücklicher Einwilligung.

Nach unserer Recherche stimmt das weitgehend. Alle uns bekannten Apps, die mit Huq Industries zusammenarbeiten, schalten ein nicht übersehbares Pop-up mit viel Text, in dem klar steht, das Standortdaten aus der App weitergegeben werden.

Aber im Ernst: Wissen Sie noch, wann Sie in welcher App zu welcher Datenerhebung eine Einwilligung erteilt haben? Und würden Sie aus einem Hinweis-Fenster schließen, dass als Konsequenz ein Fernsehsender Ihren Standortverlauf der vergangenen Jahre rekonstruieren kann?

Das Modell „Einwilligung“ ist gescheitert

Es ist an der Zeit, einzugestehen, dass die Abfrage der Zustimmung zur Datenverarbeitung ihren Zweck ganz einfach nicht erfüllt. Die Einwilligung war eigentlich als Werkzeug gedacht, um persönliche Daten zu schützen. Für Nutzer*innen, so die Idee, sollte sie eine Warnwirkung haben: Bevor ich zu etwas zustimme, muss ich mich genau informieren und lehne eventuell ab. Dementsprechend sparsam würden Anbieter*innen mit Einwilligungen umgehen, so die Annahme. Sie sollte nur eine letzte Möglichkeit darstellen, um unbedingt erwünschte Angebote zu ermöglichen.

Doch das Gegenteil ist eingetreten. Die Verpflichtung, bei bestimmten Datenerhebungen eine Einwilligung einzuholen, führte nicht dazu, solche Daten dann eben nicht zu sammeln. Stattdessen werden Nutzer*innen so lange mit Einwilligungsanfragen bombardiert, bis sie alles abnicken. Die Warnwirkung ist damit nicht mehr gegeben.

Aus diesem Grund machen wir bei der Bewertung von Apps, die wir mit unserem Analyse-Tool AppChecker analysieren, keine Kompromisse: Wer unnötige oder sensible Daten abgreift, erhält bei uns einen schlechten Privacy Score – mit oder ohne Einwilligung. Empfehlungen bekommen bei uns nur Apps, die keine oder nur sehr wenige Daten sammeln.

Was der AppChecker kann und wie er funktioniert, erklären wir diesem Video auf YouTube.
Kennen Sie schon unseren Newsletter? Einmal im Monat schicken wir Ihnen aktuelle mobilsicher-Lesetipps direkt ins Postfach. Hier geht's zur Anmeldung.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Video-Chat Jami kurz vorgestellt

Der Video-Chat Jami ist kostenlos, die Software quelloffen. Gespräche zu zweit und in Gruppen sind standardmäßig Ende-zu-Ende-verschlüsselt. Anbieter ist eine kanadische Firma, die den Dienst gemeinsam mit Freiwilligen entwickelt.

Mehr
Ratgeber 

Frisch getestet: Wolt: Essenslieferung (Android)

Die Apps der neuen Lebensmittel-Lieferdienste sind oft Privatsphäre-Katastrophen. Auch auf die Wolt-App sollten Datenschutzfreund*innen lieber verzichten: Im Test gab sie Standort und Werbe-ID an die Marketingfirma Riskified weiter und kontaktierte noch sieben weitere Drittanbieter.

Mehr
Ratgeber 

Passwortsperre für Google Drive bei iOS einrichten

Auch Nutzer von Apples iOS bewahren sensible Daten auf Google Drive auf, die geschützt werden sollten. Dafür lässt sich auf dem iPhone oder iPad ein Sicherheitscode vorschalten. Wir zeigen, wie man die vierstellige Zahlenkombination einrichtet oder ändert.

Mehr
YouTube-Video 

Wrapper: Facebook ohne Facebook-Apps

Facebook verlangt von seinen mobilen Nutzern, das soziale Netzwerk und den Messenger einzeln als Apps zu installieren. Diese Apps kosten jedoch viel Akku und lesen viele Nutzerdaten aus. Wer eine Alternative sucht, die mehr Komfort bietet als die Browser-Version, kann sogenannte „Wrapper“ einsetzen.

Ansehen