Im Alltag teilen wir viele Details mit unserem Smartphone. Dazu gehört etwa der Standort, den viele Apps regelmäßig abfragen, um ihre Dienste auf uns zu personalisieren. Doch wie ein Bericht von Netzpolitik zeigt, können diese Standortdaten auch zu einem Sicherheitsrisiko werden. Nämlich dann, wenn sie von Beamt:innen der EU stammen und aufgrund von GPS-Tracking ihre Bewegungsmuster, ihr Zuhause und ihren Arbeitsplatz offenlegen.

Die Daten, die dem Team von Netzpolitik vorliegen, stammen dabei von sogenannten Databrokern. Ihr Geschäft ist maßgeschneiderte Werbung mit eigentlich anonym erhobenen Daten. Über diese Dateneckpunkte lassen sich nämlich Werbeprofile von Menschen erstellen und an Unternehmen verkaufen, die eben für diese Gruppierungen Anzeigen ausspielen wollen. Die Databroker verschenken als Anreiz für Unternehmen erste Kostproben von solchen Datenpaketen. So soll Netzpolitik von mehreren Datenhändlern insgesamt 278 Millionen Handy-Standortdaten aus Belgien erhalten haben. Diese große Zahl der Datensätze soll schon in wenigen Wochen des Trackings zusammengekommen sein.

Belgien – oder genauer gesagt Brüssel – als Standort ist deshalb so interessant für die GPS-Daten, weil dort zahlreiche Beamt:innen der Europäischen Union im EU-Parlament, im EU-Rat und in der Europäischen Kommission arbeiten. Jedem Standort in den Daten ist eine Werbe-ID zugeordnet, mit der sich die speziellen Geräte verfolgen lassen. Dementsprechend lassen sich von den EU-Beamt:innen auch Bewegungsprofile erstellen.

Allein mit den kostenlosen Datenpaketen war es so möglich, hunderte Personen und deren smarte Geräte zu verfolgen, die für die besagten Behörden arbeiten. Im EU-Parlament gab es etwa 5.800 Standortdaten von 756 Geräten, während in der EU-Kommission 2.000 Standortdaten 264 Geräten zugeordnet werden konnten. Über die Daten war Netzpolitik in der Lage, fünf Privatadressen von EU-Beamt:innen auszumachen. Drei davon sollen eine besonders hohe Position bekleiden – in der Kommission, als Diplomat eines EU-Landes und für den Auswärtigen Dienst.

Die Adressen wurden anhand der Standortdaten und öffentlich einsehbarer Daten herausgefunden. Schließlich lassen sich über Apps wie Google Street View auch Klingelschilder ablesen. Auch über ein Telefonbuch oder das Impressum auf der Website der Person konnten die Daten genau zugeordnet werden. Alle bestätigten die herausgefundenen Adressen, wollten sich aber nicht genauer zu den Datenbroker-Daten äußern. Neben den hochrangigen Mitarbeiter:innen der EU konnte Netzpolitik eine Digitalaktivistin und einen Journalisten identifizieren und deren Adressen herausfinden.

Databroker versprechen nach diesem Vorgeschmack sogar noch mehr Daten für alle, die dafür bezahlen. So sollen immer wieder neue Standortdaten nachfließen – und diese dann auch deutlich aktueller ausfallen. Würden diese Daten in falsche Hände geraten, könnten sie auch von anderen Ländern und Geheimdiensten genutzt werden, um EU-Mitarbeiter:innen und andere Offizielle auszuspionieren.

Mit diesen Ergebnissen wurden auch die Verantwortlichen in der EU-Kommission und im Parlament konfrontiert. Sie zeigten sich besorgt und haben neue Richtlinien für ihre Mitarbeiter:innen herausgegeben, die den Umgang mit Werbetrackern auf Dienst-Smartphones und Privatgeräten regeln sollen. Während der Auswertung fiel Netzpolitik ebenfalls auf, dass auch Standortdaten von Nato-Mitarbeiter:innen im Datenpaket zu finden waren – genauer gesagt 9.600 Daten von 543 Geräten. Auf Nachfrage bestätigte die Nato, dass man sich der Risiken bewusst sei und betonte, dass die Identität der Mitarbeiter:innen Geheimsache bleiben muss, um ihre Sicherheit gewähren zu können. Man habe schon Maßnahmen ergriffen, um das Standort-Tracking künftig einzuschränken.