Massives Datenleck

Beliebte Apps geben Standortdaten von Millionen Nutzern weiter


15.01.2025 – 12:30 UhrLesedauer: 2 Min.

380 Millionen Standortdaten aus 137 Ländern: Ein neu aufgetauchter Datensatz enthüllt die Weitergabe von sensiblen Informationen. (Quelle: KI-generiert)

Ein massives Datenleck bei beliebten Smartphone-Apps enthüllt die Weitergabe von sensiblen Standortdaten. Fast 800.000 Nutzer in Deutschland sind betroffen.

Datenhändler haben Zugriff auf die Standortdaten von fast 800.000 Menschen aus Deutschland erhalten. Das zeigen gemeinsame Recherchen von „netzpolitik.org“, dem „Bayerischen Rundfunk“ und internationalen Medienpartnern. Die Daten stammen aus rund 40.000 verschiedenen Apps und umfassen insgesamt 380 Millionen Standortdaten aus 137 Ländern.

Besonders erschreckend: Unter den betroffenen Apps befinden sich einige der meistgenutzten Anwendungen in Deutschland. Wetter Online, Focus Online, Kleinanzeigen und FlightRadar24 übermitteln den Recherchen zufolge besonders präzise Standortdaten ihrer Anwender. Bei anderen populären Apps wie Tinder, Grindr oder Candy Crush werden zumindest ungefähre Standortdaten weitergegeben.

Der analysierte Datensatz stammt dem Bericht zufolge von dem US-amerikanischen Datenhändler Datastream Group und wurde als kostenlose Vorschau für potenzielle Kunden bereitgestellt. Die Daten ermöglichen es, die Bewegungen einzelner Nutzer genau nachzuverfolgen. So konnten die Redakteure etwa eine Frau aus Niederbayern identifizieren, deren Bewegungen zwischen ihrem Wohnhaus, einem Krankenhaus und einer Spezialklinik dokumentiert wurden.

Michael Will, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, bezeichnet die Erkenntnisse im Interview als „krassen Vertrauensbruch“. Er kündigt an, die Untersuchungsbefugnisse seiner Behörde „intensiv“ zu nutzen und verweist auf die Möglichkeit „beträchtlicher Bußgelder“.

Die Daten gelangen hauptsächlich über das sogenannte Real Time Bidding (RTB) an die Datenhändler. Bei diesem automatisierten System zur Platzierung von Online-Werbung werden Nutzerdaten in Echtzeit an Hunderte oder Tausende Firmen weitergeleitet. Wetter Online beispielsweise teilt laut eigenen Datenschutzbestimmungen Nutzerdaten mit mehr als 800 Partnerunternehmen weltweit.

Das Bundesministerium für Verbraucherschutz fordert angesichts der Enthüllungen einen „effektiven EU-weiten Schutz vor personalisierter Werbung“. Ziel sei es zu verhindern, dass App-Anbieter mehr Daten erheben, als für den Betrieb ihrer Apps notwendig ist.

Der Verbraucherzentrale Bundesverband (vzbv) kritisiert, dass sich der globale Online-Werbemarkt „jeglicher Kontrolle entzogen“ habe. Die Organisation spricht von „skrupellosen Datenhändlern“ und überforderten Aufsichtsbehörden.

Der Datensatz enthält neben den Standortdaten auch sogenannte Mobile Advertising IDs, die wie digitale Nummernschilder funktionieren und Nutzer eindeutig identifizierbar machen. Experten warnen, dass solche Daten nicht nur für Werbezwecke, sondern auch zur gezielten Überwachung genutzt werden können.

Die betroffenen App-Betreiber reagierten größtenteils nicht auf Anfragen von „BR“ und „netzpolitik.org“. Nur wenige Unternehmen wie die Dating-App Lovoo distanzierten sich von den Datenhändlern und gaben an, keine Geschäftsbeziehungen zu Datastream oder dem kürzlich gehackten US-Datenhändler Gravy Analytics zu unterhalten.

Die Pressestelle von web.de/GMX sagte t-online auf Nachfrage: „Wir haben nie mit der Datastream Group und Gravy Analytics zusammengearbeitet. Zudem haben die Apps von web.de und GMX keinen Zugriff auf Geolokalisierungsdaten der Nutzerinnen und Nutzer.“ Stattdessen würde der Abruf solcher Daten die Zustimmung der Nutzer im jeweiligen mobilen Betriebssystem erfordern. Und: „Weder die GMX noch die web.de App fordern genaue Geolokalisierungsdaten an oder sammeln sie.“

Aktie.
Die mobile Version verlassen