Andreas Geissbühler steht auf einem Berggipfel im Emmental, als es über ihm rattert. Geissbühler zückt schnell sein Handy, öffnet eine App. «Ein Air Glacier!» ruft er und grinst zufrieden. Der Rentner liebt Flugzeuge und Helikopter, seit er klein ist. Und er liebt die App, die es ihm ermöglicht, den Flugverkehr in Echtzeit zu verfolgen: Flightradar24. Eine Liebe, die nun auf die Probe gestellt wird.
SRF hat Geissbühler kontaktiert, weil sein Bewegungsprofil im Internet zum Verkauf angeboten wird: Wo er wohnt, wo er kegeln geht, sogar sein Ausflug im September ins Verkehrshaus Luzern. Verraten haben ihn Apps auf seinem Handy. Apps wie Flightradar24. Geissbühler ist verblüfft: «Das macht schon ein ungutes Gefühl, wenn man weiss, dass irgendwer Daten von dir persönlich verwendet, ohne dass man weiss, wie es genau gebraucht wird.»
Gleich vier Apps hat Geissbühler auf dem Handy, die wohl seinen Standort weitergeben. Und er ist nicht alleine betroffen. Recherchen von SRF, Netzpolitik.org und weiteren Partnermedien zeigen das Ausmass des Handels von Standortdaten aus Handyapps. Von Millionen Geräten aus der Schweiz werden auf diese Art und Weise Standorte verraten. Rund 40’000 Apps wurden bislang identifiziert, welche Bewegungsprofile an Datenhändler weitergeben. Dort werden die Daten an Interessierte verkauft. SRF konnte mehrere Datensätze einsehen, das Missbrauchsrisiko ist enorm.
Zur Recherche-Kooperation
Box aufklappenBox zuklappen
Ein Kollektiv von internationalen Journalistinnen und Journalisten versucht, Licht in den umstrittenen Handel von sensiblen Standortdaten zu bringen. Im Zentrum sind Datensätze der US-amerikanischen Datenhändlerin Datastream Group (neu Datasys), welche dem deutschen Onlinemedium Netzpolitik.org übermittelt wurde. Teil des Kollektivs: SRF/RTS (Schweiz), 404 Media, WIRED (USA), Le Monde (Frankreich), NRK (Norwegen), BNR Nieuwsradio (Niederlande), Netzpolitik.org, Bayerischer Rundfunk/ARD (Deutschland).
Doch wie gelangen die teilweise präzisen Standortdaten von Apps wie Flightradar24 zu Datenhändlern? Neue Recherchen können jetzt erstmals einen Weg nachzeichnen, wie Standortdaten von Millionen von App-Nutzenden weltweit abfliessen. Die Spur führt nach Litauen.
Aus der Schweiz über Litauen zu Datenhändlern
Die Werbefirma Eskimi aus Litauen ist gross im digitalen Werbegeschäft: Sie hat weltweit acht Büros und ist Mitglied des internationalen Wirtschaftsverbandes der Onlinewerbebranche IAB. Als IAB-Mitglied geniesst Eskimi das Vertrauen zahlreicher Apps und Webseiten – zur Zeit der Recherche etwa die Webseiten von 20 Minuten, Blick, Watson, Le Matin, SBB oder der SBB Mobile App. Auf diesen und zehntausenden weiteren Portalen darf Eskimi als Partnerfirma die Daten der Nutzer sammeln und zu personalisierten Werbezwecken verwenden.
Doch nun legen Recherchen nahe, dass Eskimi diese Daten nicht nur für Werbung genutzt, sondern die Daten an Datenhändler wie die US-Firma Datastream Group weitergegeben haben soll. Dies behauptet ein anwaltliches Schreiben des Datenhändlers als Antwort auf eine Anfrage des US-Senators Ron Wyden. Darin schreibt deren Anwalt, dass die Datastream Group einen Teil ihrer Daten von Eskimi beziehen würde. Die Datastream Group bietet diese Daten dann auf Onlinemarktplätzen zahlreichen Interessenten zum Verkauf an.
Eskimi wäre der erste bekannte Fall einer europäischen Firma, die offenbar in grossem Stil Daten aus dem Werbeökosystem sammelt und mutmasslich weiterverkauft – mutmasslich ohne das Einverständnis der Nutzer. Eskimi dementiert die Anschuldigung. Man betreibe keinen Datenhandel und hätte keine Geschäftsbeziehung mit der Datastream Group.
Gefüttert mit Daten von Gratis-Apps
Nicht nur Schweizer Webseiten und Apps listen Eskimi als Partner auf. SRF liegt eine Liste von Tausenden von Apps vor, welche weltweit täglich Millionen von Datenpunkten mit Eskimi teilen. Gemäss Aussage des Datenhändlers Datastream Group landen diese dann im Verkaufsangebot von Datenhändlern. Das Recherchekollektiv hat einzelne Bewegungsprofile aus den Daten verifiziert und mit den dazugehörigen Personen gesprochen. Diese zeigten sich überrascht und sagten aus, zu einer solchen Verwendung nie zugestimmt zu haben.
Statements aller genannten Firmen
Box aufklappenBox zuklappen
Zusammenfassung der Statements, z.T. aus dem Englischen übersetzt:
Eskimi
«Eskimi beteiligt sich nicht an Datenhandel. Alle Verweise auf Eskimi als Datenhändlerin sind irreführend. Eskimi hat und hatte nie eine Geschäftsbeziehung mit Datasys/Datastream Group. [..] Wir haben die von Ihnen genannten Datenproben weder gesehen noch überprüft und können daher weder deren Herkunft noch Authentizität bestätigen. Es ist branchenüblich, kleine anonymisierte Zielgruppenproben, die nicht in Echtzeit vorliegen, aus Qualitätsgründen an potenzielle Partner weiterzugeben. Diese Proben dürfen nicht weitergegeben, verkauft oder auf andere Weise als für den ursprünglichen Zweck verwendet werden, nämlich zum Aufbau von Zielgruppen und zur Verbesserung der Werbeausrichtung.»
Datastream Group
«Auf Anfrage von Netzpolitik hat Datastream eine einzige anonymisierte Datenprobe bereitgestellt, die rechtmässig von einem seriösen Drittanbieter bezogen wurde und nicht zum Weiterverkauf bestimmt war. Die Quelle der Daten unterliegt einer gesetzlichen Geheimhaltungsvereinbarung. Jede Erwähnung der Quelle erfolgte privat als Reaktion auf eine Anfrage des US-Kongresses und war nicht öffentlich zugänglich. [..] Die von Netzpolitik angeforderte Probe bestand aus nicht vertraulichen, leicht verfügbaren, anonymisierten Standortdaten, die die Benutzer dem Anbieter über weit verbreitete mobile Apps zugänglich gemacht hatten. [..] Als Datenbroker handelte Datastream im normalen Geschäftsverlauf, indem es diese Datenprobe bereitstellte, und hat immer ethisch und angemessen gehandelt.»
Google
«Die Nutzerdatenrichtlinie von Google Play verpflichtet Entwickler, in ihren Datenschutzformularen genaue Informationen anzugeben. Wir arbeiten eng mit der Entwicklercommunity zusammen, um sicherzustellen, dass sie verstehen, wie wichtig es ist, genaue Informationen anzugeben, damit Nutzer fundierte Entscheidungen darüber treffen können, welche Apps sie verwenden. Wenn wir feststellen, dass ein Entwickler in seinem Datenschutzformular falsche Informationen angegeben hat und gegen die Richtlinie verstösst, fordern wir den Entwickler auf, das Problem zu beheben, um die Richtlinie einzuhalten. Nicht konforme Apps unterliegen Durchsetzungsmassnahmen. Nur Entwickler verfügen über alle erforderlichen Informationen, um ihre Datenschutzpraktiken im Abschnitt ‹Datensicherheit› ihrer Apps genau darzustellen. Nur Entwickler sind dafür verantwortlich, vollständige und genaue Angaben im Abschnitt ‹Datensicherheit› für ihre Apps zu machen.»
SBB
«Eskimi ist aktuell kein Werbepartner der SBB. Eskimi ist ein IAB-Anbieter (Vendor) und kann daher Cookies setzen, so auch auf sbb.ch. Die SBB übermittelt keine Kundendaten an Eskimi. Eskimi kann lediglich auf sbb.ch ein Cookie setzen. Bei Kundinnen und Kunden, die die Cookies nicht akzeptieren, werden auch keine Cookies gesetzt.
Die SBB gibt keine Kundendaten an Werbetreibende weiter. Drittanbieter können lediglich Werbeanzeigen auf sbb.ch ausspielen. Die SBB nutzt dafür den Ad-Server von Google. Die Daten fliessen dabei aber nicht von der SBB zu Google, sondern umgekehrt. Die SBB stellt dem Google Ad Server nur anonymisierte Kundendaten (keinen Rückschluss auf Einzelpersonen) zur Verfügung, und dies auch nur, wenn eine Einwilligung vorliegt. Das Einzige, was den Werbetreibenden übermittelt wird, ist das Standortland des Nutzers. Das ist bei Eskimi jedoch nicht der Fall, da sie über den Google Ad-Server für Werbung bei der SBB nicht freigeschaltet sind. Die Werbepartner werden regelmässig überprüft und Unternehmen, die nicht vertrauenswürdig sind, aussortiert. Aktuell wird zudem die Liste der IAB-Anbieter geprüft.»
Ringier
«Bei Blick.ch ist Eskimi aktuell zwar auf der Vendorenliste gelistet, aber nicht aktiv im Einsatz. Wir überprüfen Werbepartner anhand der IAB-Zertifizierung und überarbeiten unsere Vendorenliste laufend anhand der öffentlich zugänglichen Informationen. Geschäftspartnerschaften prüfen wir gemäss unseren internen Datenschutzvorgaben, dies inkludiert unter anderem auch Vorgaben zur Bearbeitung von Personendaten. Bei Blick.ch wird Eskimi bei der nächsten Bereinigung von der Vendorenliste entfernt. Die Überprüfung unserer Werbepartner erfolgt in regelmässigen Abständen.»
CH Media «Watson betreibt keine aktive Zusammenarbeit mit Eskimi. Eskimi ist ein registrierter Teilnehmer des europaweit anerkannten Transparency & Consent Frameworks (TCF) des Interactive Advertising Bureau (IAB). [..] Aufgrund der aktuellen Erkenntnisse durch die Recherche, hat Watson den Vendor Eskimi auf der Consent-Management-Plattform deaktiviert.»
Tamedia/20 Minuten/TX Group
«Weder Tamedia noch 20 Minuten haben eine direkte Vertragsbeziehung zu Eskimi. Eskimi ist auf der offiziellen Vendor List des IAB als möglicher Werbepartner gelistet. Tamedia hat Eskimi bereits vor längerer Zeit als Werbepartner deaktiviert. 20 Minuten hat Eskimi ebenfalls deaktiviert. Bei beiden Unternehmen ist Eskimi deshalb nicht mehr aktiv.»
WetterOnline und Flightradar24 haben auf mehrfache Anfragen nicht geantwortet.
Auf Anfrage schreibt Eskimi, man hätte die angesprochenen Daten nicht überprüft und könne deren Herkunft nicht bestätigen. Ausserdem sei es üblich, dass man kleine, anonymisierte Datenproben aus Qualitätsgründen an potenzielle Partner weitergeben würde. Solche Daten dürften nur für Werbezwecke verwendet werden. Auf Anfrage schreiben die Betreiber der Webseiten von Blick, Watson sowie die SBB, man hätte Eskimi zwar als potenzieller Partner auf der branchenüblichen IAB-Liste, es würde aber keine aktive Zusammenarbeit und damit ein Datenaustausch stattfinden. Tamedia schreibt, man habe Eskimi bereits vor längerer Zeit als Werbepartner deaktiviert. Bei 20 Minuten, Watson sowie Blick wird oder wurde Eskimi als Partner entfernt. Die SBB prüft eine Entfernung.
Datenerfassung mit Ankündigung
Im von SRF analysierten Datensatz finden sich mehrere tausend Apps, welche im App-Store transparent deklarieren, dass sie genaue Standortdaten sammeln und zu Werbezwecken an Dritte weitergeben. An Firmen wie Eskimi. Es ist ihr Geschäftsmodell. Darunter sind bekannte Apps wie WetterOnline.
Nach Recherche: Untersuchung gegen WetterOnline eingeleitet
Box aufklappenBox zuklappen
Die in der Schweiz sehr beliebte Gratis-App WetterOnline ist eine der Apps, deren Geschäftsmodell unter anderem auf dem Teilen von genauen Standortdaten basiert. Gemäss Analyse wurden von WetterOnline ausserordentlich viele metergenaue GPS-Koordinaten weitergegeben – und damit die genauen Bewegungsprofile von Hunderttausenden von Nutzenden verraten. Inzwischen hat die Datenschutzbeauftragte im deutschen Bundesland Nordrhehin-Westfalen, wo der Hersteller von WetterOnline beheimatet ist, eine Untersuchung eingeleitet. WetterOnline hat offenbar darauf reagiert und die Zahl der Partnerfirmen von 800 auf rund 300 gesenkt.
Wer solche Apps nutzt, willigt ein, dass der eigene Standort zu Werbezwecken geteilt werden darf. Allerdings ist das noch lange keine Einwilligung, dass der eigene Standort unkontrolliert an Dritte verkauft werden darf. Für Datenschutzrechtlerin Ursula Sury ist klar: Wenn die Nutzer nicht wüssten, dass ihre Bewegungsprofile auf Marktplätzen verkauft werden, und dazu auch nicht eingewilligt hätten, sei ein solcher Verkauf nicht legal.
SRF-Podcastserie: «Die Cookiefalle»
Das Potenzial für Missbrauch von solchen Daten ist gross. Wie der SRF-Podcast «Die Cookiefalle» zeigt, werden diese Daten auch von Geheimdiensten, Hackern oder Betrügern gekauft und eingesetzt.
Hunderte von Apps täuschen im Appstore
Ein Weg, um sich vor verräterischen Apps zu schützen, wäre, die Informationen in den Appstores zu lesen. Dort müssen App-Anbieter transparent machen, mit wem sie welche Daten teilen. Doch diesen Angaben ist leider nicht immer zu trauen.
EDÖB will mit neuem Leitfaden stärker durchgreifen
Box aufklappenBox zuklappen
Dem Datenwildwuchs auf Webseiten und Apps will der eidgenössischen Datenschützer EDÖB nun Einhalt gebieten. Ende Januar veröffentlichte die höchste Datenschutz-Behörde der Schweiz einen Leitfaden, der es in sich hat. Darin steht, dass der Handel mit Persönlichkeitsprofilen und Standortdaten zu Werbezwecken zur Kategorie «Profiling mit hohen Risiko» gehört und damit einer zusätzlichen, ausdrücklichen Einwilligung der Nutzer bedarf. Ausserdem müsse man gegebenenfalls eine Datenfolgeabschätzung machen lassen. Damit wird die Praxis unter dem neuen Recht geklärt.
Der EDÖB schreibt gegenüber SRF: «Geben User den von ihnen benützten Browsern wie Safari oder Chrome – entgegen deren Voreinstellung – unvorsichtiger Weise die Berechtigung, auf Standortdaten ihrer Mobiltelefone zuzugreifen, kann dies somit dazu führen, dass bei künftigen Webseitenbesuchen Bewegungsprofile mit weitereichenden Folgen für die Privatsphäre dieser User weitergegeben werden. Bezüglich des Einholens von Einwilligungen durch Anbieter von Apps und Betreiber von Webseiten, deren charakteristische Leistung keine Erhebung von profilbildenden Positionsdaten erfordert, stellt der EDÖB in der Schweiz generell Verbesserungsbedarf fest. Aus diesem Grund wird er nach Abschluss der erwähnten Sensibilisierung zum erst kürzlich publizierten Leitfaden bei den einschlägigen Branchen mit aufsichtsrechtlichen Mitteln auf dessen Umsetzung hinwirken.»
Eine Analyse von SRF deckt Hunderte von Gratis-Apps im Google Playstore auf, die auf der Hauptseite mit sogenannten Transparenz-Labels angeben, keine Standorte zu erheben oder mit Werbekunden zu teilen – und deren Daten trotzdem bei Datenhändlern gelandet sind. Darunter beliebte Messenger, VPN-Anbieter, Videoplayer, Wetter-, Bibel-, Koranapps. Da es sich bei den Angaben im Appstore von Google zum Selbstdeklarationen handelt, liegt der Verdacht nahe, dass diese Apps ihre Nutzenden täuschen und deren Daten trotzdem weitergeben. Auf Anfrage schreibt Google, man würde die Entwickler verpflichten, genaue Informationen anzugeben. Diese seien dafür verantwortlich, vollständige und genaue Angaben im Abschnitt «Datensicherheit» zu machen. Falls sie dies nicht tun würden, würde Google Massnahmen ergreifen.
Andreas Geissbühler ist enttäuscht. Denn eine dieser intransparenten Apps ist ausgerechnet Flightradar24. Dass der genaue Standort und andere Nutzerdaten an Werbepartner und Datenhändler weitergegeben wird – dazu findet sich auf der Hauptseite des Google Playstores, wo die App heruntergeladen werden kann, nichts. Stattdessen steht dort, es würden «Keine Daten [..] mit Drittunternehmen oder -organisationen geteilt». Für den Rentner und Flightradar-Fan Geissbühler ist das unsauber: «Seit Jahren nutze ich Flightradar auf jedem Handy. Aber dass die App meine Daten weitergibt oder verkauft, das habe ich nicht gewusst.» Er werde sich jetzt nach Alternativen umsehen.
Die maximale Anzahl an Codes für die angegebene Nummer ist erreicht. Es können keine weiteren Codes erstellt werden.
Mobilnummer ändern
An diese Nummer senden wir Ihnen einen Aktivierungscode.
Diese Mobilnummer wird bereits verwendet
E-Mail bestätigen
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Wir haben Ihnen ein E-Mail an die Adresse {* emailAddressData *} gesendet. Prüfen Sie bitte Ihr E-Mail-Postfach und bestätigen Sie Ihren Account über den erhaltenen Aktivierungslink.
Keine Nachricht erhalten?
Wenn Sie nach 10 Minuten kein E-Mail erhalten haben, prüfen Sie bitte Ihren SPAM-Ordner und die Angabe Ihrer E-Mail-Adresse.
Sie können sich nun im Artikel mit Ihrem neuen Passwort anmelden.
Ein neues Passwort erstellen
Wir haben den Code zum Passwort neusetzen nicht erkannt. Bitte geben Sie Ihre E-Mail-Adresse erneut ein, damit wir Ihnen einen neuen Link zuschicken können.
Ihr Account wurde deaktiviert und kann nicht weiter verwendet werden.
Wenn Sie sich erneut für die Kommentarfunktion registrieren möchten, melden Sie sich bitte beim Kundendienst von SRF.
