Eine gemeinsame Recherche von netzpolitik.org, Bayerischem Rundfunk und internationalen Partnern deckt die Weiterverbreitung von alarmierend genauen Standortdaten von Millionen App-Nutzern durch Databrokern auf. Der US-Datenhändler Datastream Group (nun Datasys) benennt in einem Anwaltsschreiben Eskimi, eine litauische Werbefirma, als Quelle dieser Daten. Eskimi weist die Verbindung zurück, doch die Recherche liefert Hinweise, die diese Darstellung in Frage stellen. Daten aus dem Datensatz lassen Rückschlüsse auf die Bewegungsprofile von Privatpersonen und sogar auf den Zugang zu Militärstützpunkten und Geheimdienstgebäuden zu. Die Recherchen ergänzen die Databrok Files und zeigen erstmals eine potenzielle Datenausgangsquelle in der EU.

Diese Recherche entstand in Kooperation mit folgenden Medien: Bayerischer Rundfunk, BNR Nieuwsradio (Niederlande), Le Monde (Frankreich), NRK (Norwegen), SRF/RTS (Schweiz), WIRED und 404 Media ( USA ). Sie ist zugleich Teil einer Vernetzung von Recherchen zu den sogenannten „ Databrok Files “, die seit einem Jahr von netzpolitik.org und dem Bayerischen Rundfunk durchgeführt werden. Seit Herbst wird die Recherche nun gemeinsam mit internationalen Partnern fortgesetzt.

Im Mittelpunkt stehen Datensätze des US-Databrokers Datastream Group, der inzwischen als Datasys firmiert. Eine Antwort könnte der Datenhändler nun selbst geliefert haben – in einem Anwaltsschreiben an einen US-Senator. Das Schreiben versucht, die Standortdaten als harmlos darzustellen und benennt einen angeblichen Verantwortlichen: Demnach habe die Datastream Group die Daten von „Eskimi.com“ erhalten. Eskimi ist eine litauische Werbefirma – ausgerechnet ein Unternehmen aus der EU. Eskimi soll demnach die Quelle sein für unseren Datensatz mit rund 3,6 Milliarden Standortdaten und rund 11 Millionen Werbe-IDs, über den wir im letzten Jahr berichtet haben. Darin fanden wir nicht nur die Standortdaten für detaillierte Bewegungsprofile von Privatpersonen, sondern auch von Menschen mit Zugang zu Militärstützpunkten und Gebäuden von Geheimdiensten. Anhand der Werbe-IDs lassen sich die Einträge in solchen Datensätzen einzelnen Handys zuordnen; oftmals führten Häufungen von Standortdaten zu den Privatadressen und Arbeitsplätzen der Betroffenen. In einer Antwort auf unsere Presseanfrage dementiert Eskimi-Chef Vytautas Paukstys die Verbindung zur Datastream Group. Aus dem Englischen übersetzt schreibt er: Eskimi beteiligt sich nicht am Handel mit Daten. Jegliche Behauptungen, die Eskimi als Datenhändler darstellen, sind irreführend. Eskimi unterhält keine und hat niemals eine geschäftliche Beziehung zu Datasys/Datastream Group unterhalten. Unsere Recherche liefert jedoch Hinweise, die diese Darstellung in Frage stellen. So könnten die Daten über eine andere Firma mit engen Verbindungen zu Eskimi geflossen sein – aber eins nach dem anderen.Eskimi ist in der Werbebranche kein Unbekannter. Das Unternehmen bietet zahlreiche Dienstleistungen an: Es vermarktet etwa Werbeplätze in Apps und auf Websites oder steuert digitale Werbekampagnen für Kund*innen. Auf seiner Website schmückt sich das Unternehmen mit dem Slogan „Your trusted advertising partner“. Auch für Google ist Eskimi kein Fremder. Wie der Konzern auf Anfrage mitteilt, ist Eskimi ein „autorisierter Käufer“. Das heißt, das Unternehmen darf Googles Infrastruktur für Auktionen zur Verbreitung von Online-Werbung nutzen. Laut Google müssen sich autorisierte Käufer an Richtlinien halten; es sei etwa verboten, Daten aus dem Real Time Bidding außerhalb von Werbezwecken zu nutzen oder gar zu verkaufen. Das werde in regelmäßigen Audits geprüft. Ob Google in Bezug auf Eskimi aktiv werden wolle, ließ der Konzern unbeantwortet. Eskimi ist zudem Mitglied im IAB Europe, einem Branchenverband, der die Einhaltung von Datenschutzbestimmungen in der Werbewirtschaft vertritt. Das Unternehmen trägt das „TCF“ – das „Transparency and Consent Framework“ – auf seiner Website prominently an. Das TCF ist eine zentrale Infrastruktur, über die Adtech-Firmen in Europa die Einwilligungen ihrer Nutzer*innen in die Verarbeitung ihrer Daten einholen und verwalten. Die Rechtswirksamkeit des TCF in dieser Form ist allerdings umstritten. Dennoch genießen Werbefirmen mithilfe des TCF das Vertrauen zahlreicher Apps und Websites, wenn sie auf die Daten ihrer Nutzer*innen zugreifen. Unsere Presseanfrage hat IAB Europe nicht beantwortet.Die Spur zu Eskimi ergänzt die Recherchen zu den Databroker Files um ein wichtiges Puzzlestück. Wir konnten bisher über den US-Datenhändler berichten, von dem wir die Daten erhielten, und über deren Nutzer*innen Daten bei Databrokern kursieren. Grundlage war ein weiterer Datensatz mit rund 380 Millionen Standortdaten aus 137 Ländern, verknüpft mit Werbe-IDs und rund 40.000 Apps. Zumindest für einige Apps aus diesem Datensatz lagen erneut genaue Standortdaten vor, darunter Deutschlands populärste Wetter-App, Wetter Online. Welchen Weg die Daten genau zurückgelegt hatten, war jedoch nach wie vor unklar. Und wir können mit Eskimi erstmals eine Firma in der EU benennen, die mutmaßlich in großem Stil Daten von Handy-Nutzer*innen sammelt – und auch weiterverkauft. Die angebliche Verbindung zu Eskimi hat die Datastream Group selbst per Anwaltsschreiben offengelegt.Der Brief stammt von einer Kanzlei, die sich im Auftrag des Datenhändlers Datastream zu Wort meldet. Adressiert ist er an den US-amerikanischen Senator Ronald Wyden, dessen Büro ihn mit der Recherche-Gruppe geteilt hat. In Deutschland in den Fokus rückte, forderte Wyden erneut Konsequenzen. In ihrem Anwaltsschreiben erklärte sich die Datastream Group schließlich gegenüber dem Senator. Der Brief ist auf den 20. November datiert und nennt ausdrücklich den am Tag Datastream stellte Netzpolitik eine einzelne anonymisierte Datenprobe zur Verfügung, die es auf legale Weise von einem angesehenen Drittanbieter, Eskimi.com, bezogen hatte.





Datenschutz Databrok Files Standortdaten Eskimi Datastream Group Werbebranche Online-Werbung Transparenz Consent Framework TCF EU USA

