Die millionenfach genutzte Smartphone-App WetterOnline teilt die persönlichen Daten ihrer Nutzer:innen zu Werbezwecken mit hunderten Drittunternehmen. Darunter befanden sich bis vor wenigen Tagen auch höchst präzise Standortdaten, von denen z.B. der Wohnort und die Arbeitsstätte oder sogar der Besuch eines Militärstützpunkts abgeleitet werden können. Diese Daten sind auf Marktplätzen gelandet, wo sie zum Kauf angeboten werden. Nur die Nutzer:innen selbst erhalten ihre Daten nicht. WetterOnline verwehrt die Auskunft über verarbeite Daten mit der Behauptung, dass die Bearbeitung des gesezlichen Auskunftsrechts zu aufwendig sei. noyb reicht nun Beschwerde bei der zuständigen Datenschutzbehörde in Deutschland ein.
Präzise Standortdaten sind Sicherheitsrisiko. Eine Recherche von netzpolitik.org und weiteren internationalen Medien zeigte, dass beliebte Smartphone-Apps die Standortdaten mehrerer Hundert Millionen Europäer:innen mit Drittunternehmen teilen. Datenbroker führen in der Folge Daten aus zahlreichen Quellen zusammen und bauen so umfassende Datensammlungen auf. Was das ganze nochmal problematischer macht, ist, dass die Standortdaten auch die sogenannte Mobile Advertising ID (MAID) beinhalten. Dabei handelt es sich um eine Art Kennziffer zur Identifizierung von Nutzer:innen. Mithilfe all dieser Daten können einzelne Personen aus dem Datensatz herausgefiltert und auf den Meter genau geortet werden. Im nächsten Schritt können dann häufig besuchte Orte wie der Wohnort, die Arbeitsstätte, aber auch der Besuch einer Entzugsklinik oder einer Militärbasis abgeleitet werden. Wie netzpolitik.org anschaulich darstellt, kann die Verfügbarkeit solcher Informationen sogar ein nationales Sicherheitsrisiko darstellen.
Ingo Dachwitz, Journalist bei netzpolitik.org: „Unsere Databroker-Files-Recherchen zeigen, dass der Handel mit unseren Daten komplett außer Kontrolle ist. Kein Mensch kann mehr nachvollziehen, wo Daten über uns landen, die Smartphone-Apps angeblich nur zu Werbezwecken sammeln. Das wäre schon dann problematisch, wenn die Daten wirklich nur für personalisierte Werbung eingesetzt würden. In den falschen Händen, etwa von Geheimdiensten, Stalker:innen oder Nazis, werden sie zur echten Gefahr.“
Es regnet Daten – für Dritte. Dem Team von netzpolitik.org und seinen Kooperationspartnern gelang es, einen solchen Datensatz samt Informationen über den Ursprung der weiterverkauften Standortdaten zu ergattern. Dabei springt unter anderem die mehr als 100 Millionen mal heruntergeladene App WetterOnline ins Auge. Laut dem Datensatz, der netzpolitik.org vorliegt, hat diese an nur einem Tag und allein in Deutschland die genauen Standortdaten von zehntausenden Nutzer:innen gesammelt und an zahlreiche Drittunternehmen in der Werbebranche verschleudert. Eine zentrale Rolle dürfte dabei sogenanntes Real Time Bidding (RTB) spielen. Dabei werden innerhalb von Millisekunden Werbeplätze an den Höchstbietenden versteigert. Als Nebeneffekt landen außerdem die persönlichen Daten von anvisierten Nutzer:innen bei einer Vielzahl anderer Akteure im Werbe-Ökosystem. Im Falle von WetterOnline sind das laut Datenschutzerklärung mehr als 300 Unternehmen. Vor wenigen Tagen hat WetterOnline die Einwilligungserklärung und Datenschutzerklärung auf ihrer App allerdings angepasst. Dort wird nun angegeben, dass GPS-Standortdaten nicht mehr für Werbezwecke verwendet werden.
Die Grundrechte von Betroffenen beachten? Angeblich zu aufwendig. Um noch mehr über die online gehandelten Standortdaten herauszufinden, stellte der netzpolitik.org-Journalist Ingo Dachwitz ein Auskunftsbegehren bei WetterOnline – und wurde kurzerhand abgewiesen, da „eine umfassende Extraktion und Zusammenstellung all dieser Daten erhebliche technische, personelle und finanzielle Ressourcen” beanspruche. Dies stelle einen “unverhältnismäßigen Aufwand” dar - was jedoch keine Ausnahme nach der DSGVO bedeutet. In anderen Worten: WetterOnline hat offensichtlich kein Problem damit, die persönlichen Daten von Nutzer:innen an hunderte Drittfirmen zu schicken. Dass Betroffene ihr Grundrecht auf Datenschutz ausüben, scheint der App dafür zu weit zu gehen. Sie verweigert einfach die gesetzliche Auskunftspflicht.
Martin Baumann, Datenschutzjurist bei noyb: „Die DSGVO macht klar, dass betroffene Personen das Recht auf eine Kopie ihrer von einem Unternehmen verarbeiteten Daten haben. Eine Ausnahme für einen angeblich ‚unverhältnismäßig großen Aufwand‘ gibt es schlicht und ergreifend nicht. WetterOnline muss sich genauso an EU-Recht halten wie alle anderen Unternehmen.“
Beschwerde in Deutschland eingereicht. noyb hat nun im Namen des netzpolitik.org-Journalisten Ingo Dachwitz Beschwerde bei der Datenschutzbehörde Nordrhein-Westfalen eingereicht (WetterOnline hat seinen Sitz in Bonn). Wir fordern WetterOnline auf, insbesondere dem Auskunftsbegehren des Beschwerdeführers vollumfänglich nachzukommen und sowohl eine Kopie der verarbeiteten persönlichen Daten als auch Informationen über deren Empfänger bereitzustellen. Um ähnliche Verstöße in der Zukunft zu verhindern, schlägt noyb der zuständigen Behörde außerdem die Verhängung einer Verwaltungsstrafe vor.
