„Location, Location, Location…“ was beim Immobilienkauf oft das wichtigste aller Kriterien ist, ist auch in unserem digitalen Leben von entscheidender Bedeutung: nämlich darüber, ob und zu welchem Grad unser Privatleben tatsächlich so privat ist, wie wir es gern hätten.

Wie Recherchen des Online-Magazins netzpolitik.org gemeinsam mit dem Bayerischen Rundfunk (wenig überraschend) zeigen, entstehen allein durch den Besitz von Smartphones mit diversen Apps und anderen digitalen Endgeräten massenhaft Standortdaten, die im Zeitakter der Informationsgesellschaft von erheblichem Wert für Unternehmen sind. Datenhändler haben diesen Markt längst erkannt und bieten für teils zehntausende Euro pro Monat Abos auf permanenten Datenfluss an. Im Klartext: Die Hersteller bzw. Betreiber von Apps auf mobilen Geräten wie auch die Anbieter der Geräte an sich sammeln ständig personenebezogene Daten der Nutzer und verkaufen diese für Unsummen am Markt. Auch alles nicht überraschend und der eine oder die andere wird jetzt wieder sagen: „Mir soch egal, was wollen die denn schon mit meinen Daten? Ich habe nichts zu verbergen.“ Meine übliche Antwort auf derartige Aussagen ist kurz: „Tatsächlich?“

Schauen wir uns die Situation einmal genauer an. Die Milliarden (!) von Standortdaten, die den Journalisten als Muster kostenfrei geliefert wurden, sind nicht nur unglaublich dicht, mit exakten Zeitangaben versehen und lassen so Tagesabläufe recht präzise rekonstruieren. Durch die Aggregation dieser Daten kann mit sehr hoher Sicherheit darauf geschlossen werden, um wen es sich beim Erzeuger der Daten handelt. Möglich machen dies umter anderem sog. Werbe-IDs, die zwar keinen Namen verraten, aber fest mit einem Endgerät verbunden sind. Und nun darf sich jeder fragen: wer außer mir selbst trägt mein Telefon mit sich herum? Genau. Keiner. Die Handy-Identifikation ist i.d.R. einer konkreten Person eindeutig zuordenbar.

Damit lassen sich – das haben die Recherchen eindrucksvoll nachgewiesen – beispielsweise Menschen identifizieren, die für Geheimdienste wie die NSA arbeiten. Ganz konkret mit Wohnort und Arbeitsplatz. Damit ist es unnötig, dass eine App den Namen der betreffenden Person kennt. Über einfachste Social Media Recherchen werden dann private Interessen, Familienangehörige, Tagesabläufe, Urlaubsziele, usw. rekonstruiert. Finde nur ich das einigermaßen beängstigend? Spione aller Welt lieben es!

Doch auch für Nicht-Geheimagenten sind solche Auswertungen alles andere als egal. Stellen wir und vor, wir wären ein Personalberater, unser Kunde ein Technologieunternehmen. Natürlich möchten wir gern wissen, wer in der Entwicklungsabteilung von Mitbewerbern tätig ist, wo die Person wohnt, welche Interessen sie hat, usw. Unser Kunde investiert sicher sehr gern die paar tausend Euro für die Datensammlung. Oder was ist mit höchst privaten Dingen, die Menschen erpressbar machen? Regelmäßige Besuche in speziellen „Etablissements“ beispielsweise. Oder Aufenthalte in Fachkliniken für Suchtkrankheiten, Facharztbesuche, usw. Die Möglichkeiten sind unendlich. Oder ganz banal: Wo lädt jemand sein Elektrofahrzeug? Dem könnte man doch als Mitbewerber schöne Angebote unterbreiten. Denn wer freut sich nicht über noch ein bisschen mehr Werbung im Briefkasten, in der Social Media-Timeline oder per Mail. Oder???

Das Zauberwort ist auch hier immer: Metadaten! Namen, Adressen oder Telefonnummern sind nicht erforderlich, um konkrete Personen auszuspäen. Denn die ergeben sich ganz von selbst aus dem Kontext.

Das Beste daran ist: diese Datensammlung ist in der Regel vollkommen legal. Die Nutzer willigen zumeist freiwillig in die Datensammlung ein, um „ein besseres Benutzererlebnis“ zu haben. Was auch immer das sein mag. Gesetze wie die Europäische Dateschutzgrundverordnung (DSGVO) greifen zumeist nicht, wenn Nutzer ihre Daten freiwillig herausgeben. Besonders erschreckend ist aber die Reaktion der Sicherheitsbehörden: „Problem bekannt, wir sensibilisieren unsere Mitarbeiter.“ Wie gut das klappt, zeigen die Recherchen deutlich. Nämlich gar nicht.

Und da ist sie wieder, die berühmte „Eigenverantwortung“ der Nutzer. Wie „gut“ diese verfängt, haben wir ja spätestens in der Pandemie gesehen. Es bleibt der Appell an alle Vernunftbegabten: Handy raus, Standortfreigaben prüfen und alles verbieten, was nicht nachvollziehbar und erforderlich erscheint.

Sprechen wir miteinander!

Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.

Der Autor

Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.

Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.