Apps werden auf Smartphones installiert, mal mehr mal weniger intensiv genutzt, vielleicht wieder aussortiert und durch andere Anwendungen mit ähnlichen Funktionen ersetzt. Was diese Apps mit den ihnen zur Verfügung gestellten Daten so alles anstellen, wissen vermutlich die wenigsten. So ging es auch dem norwegischen Journalisten Martin Grundersen.

160 Apps befinden sich auf seinem Handy und der Journalist beschloss, herauszufinden, was diese Apps so alles über ihn herausfanden, während er einkaufen war, sich mit Freunden traf oder einfach zu Hause rumsaß. Und vor allem wollte er eins wissen: Was passiert mit den Daten, die sie sammeln?

Für sein im Februar gestartetes Experiment installierte Grundersen viele der Apps auf einem Zweithandy, das er überall mit hinnehmen wollte –, seine Erfahrungen teilte er jetzt bei NRKbeta.

Wer liest eigentlich ausführlich das Kleingedruckte, in dem Apps um Freigaben für Standorte, Kontaktdaten oder ähnliches bitten? Am Ende wohl die Wenigsten, da es ja meisten nur darum gehen soll die User-Experience zu verbessern und vielleicht personalisierte Werbung ausspielen zu können. Klingt so weit harmlos genug. Wie frühere Recherchen von Grundersen allerdings ergaben, kommt es auch immer wieder vor, dass US-Behörden und das Militär gezielt kommerzielle Nutzerdaten aufkaufen.

Im Zuge diese Recherchen kam der Norweger auch immer wieder mit dem Unternehmen Venntel in Kontakt: ein in Washington, D. C., ansässiges Unternehmen, das von sich selbst behauptet. „die gemeinsamen Interessen durch technologische Innovation, zuverlässige Datenerhebung und geprüfte Ergebnisse“ zu unterstützen. Hier fragte Grundersen im Zuge seines Selbstversuchs mit dem Zweithandy im August seine Daten an. Diese Möglichkeit hat übrigens auf Grundlage der geltenden Datenschutzgrundverordnung jeder. Dazu benötigt Venntel lediglich eine sogenannte Advertizing-ID.

Einen Monat nach der Anfrage erhielt er eine Antwort. Über 75.000 Standortdaten wurden gesammelt. Fast jeder Schritt ließ sich auf den Meter genau zurückverfolgen. Obwohl keine Angaben zu Namen und Adressen gemacht wurden, lasse sich anhand der häufigen Besuche bestimmter Orte sehr schnell herausfinden, wo jemand wohnt, arbeitet oder Sport treibt. Das Unternehmen teilte Grundersen außerdem mit, dass seine Daten auch an Kunden weitergegeben wurden.

Der Journalist wurde jedoch stutzig, als er feststellte, dass in keiner der 160 von ihm installierten Apps der Name Venntel tauchte. Wie gelangte das Unternehmen also an all diese Daten? Die Spur führte zu der Mutterfirma von Venntel, einem Datenbroker namens Gravy Analytics. Wo genau Gravy Analytics die Daten her hatte, wollte man Grundersen im Detail nicht sagen, es fielen allerdings die Namen der französischen Firma Predicio und des US-Unternhemens Complementics. Außerdem fand Grundersen heraus, dass viele der Standortdaten von dem in der Slowakei ansässigen Unternehmen Sygic stammten. Von Sygic hatte er tatsächlich zwei Navigationsapps auf seinem Smartphone installiert und bei der Installation auch einer Personalisierung der ausgespielten Werbung zugestimmt, jedoch nicht, dass die dafür benötigten Daten am Ende bei Gravy Analytics landen. Laut befragten Anwälten ein klarer DSGVO-Verstoß.

Für Grundersen wurde so schnell klar, dass staatliche und kommerzielle Überwachung nicht mehr getrennt voneinander betrachtet werden sollten, da es staatlichen Behörden jederzeit möglich ist, jegliche Daten von kommerziellen Anbietern zu erwerben. Venntel behauptete zwar gegenüber Grundersen, dass sie seine Daten nicht an Behörden weitergegeben hätten. Allerdings ist auch bekannt, dass Venntel Verträge mit dem FBI, der US-Grenzschutzbehörde CBP und der Immigrationspolizei ICE abgeschlossen hat.