Bevor unser 24. Real-Life-Treffen startete, haben wir zu unserem alljährlichen Vorabend-Event „LOAD&Friends“ eingeladen. Dieses Mal haben wir uns über die Data Broker Files und zur ADINT-Debatte (ADINT = Advertisement Intelligence) ausgetauscht.
Zu Gast waren Rebecca Ciesielski, Reporterin im AI + Automation Lab des Bayerischen Rundfunks und Teil des Kern-Teams der Databroker Files, sowie Corbinian Ruckerbauer, Senior Policy Researcher im Programm Digital Rights, Surveillance and Democracy beim Thinktank Interface. Den Anlass gab die ARD-Dokumentation "Gefährliche Apps – Im Netz der Datenhändler" vom April 2026, die aus der Recherche zu den Databroker Files hervorgegangen ist.
Was die Databroker Files zeigen
Die Databroker Files sind eine seit Sommer 2024 laufende Recherche-Kooperation zwischen Bayerischem Rundfunk, netzpolitik.org und internationalen Partnern wie Le Monde und WIRED. Der Befund ist so simpel wie erschreckend: Datenhändler verkaufen die präzisen Standortdaten von Millionen Smartphones weltweit, also auch in Europa, ohne nennenswerte Hürden.
Das Recherche-Team hat sich die erste Charge von Daten ganz legal als Gratis-Kostprobe beschafft, über einen Berliner Marktplatz namens Datarade. 3,6 Milliarden Standortpunkte aus Deutschland, per beruflicher Mailadresse angefordert, ohne tiefere Prüfung zugeschickt. Einen zweiten, noch umfangreicheren internationalen Datensatz erhielt netzpolitik.org später eher aus Zufall, aus einem Missverständnis mit dem Datenhändler. Dieser Datensatz enthielt zusätzlich Informationen darüber, aus welchen Apps die Daten ursprünglich stammten. Inzwischen sind es über 13 Mrd. Datenpunkte aus über 140 Ländern.
Die Daten stammen aus ganz normalen Apps: Wetter, Navigation, Dating, Spiele. Wer einmal dem Einwilligungsdialog zustimmt, gibt seine Daten oft an hunderte Firmen gleichzeitig frei. Jeder Standortpunkt ist mit einer Mobile Advertising ID verknüpft, angeblich anonym, faktisch aber eine eindeutige Kennung. Daraus lassen sich Bewegungsprofile aufbauen: bis vor die Wohnungstür, zum Arbeitsplatz, zur Therapiepraxis.
Die ARD-Doku zeigt konkrete Bedrohungsszenarien: eine ägyptische Exiljournalistin in Berlin, die über ihre Mobilitätsdaten immer wieder aufgefunden und bedroht wird; hochrangige EU-Kommissions-Mitarbeitende in Brüssel, deren Standorte in den Datensätzen auftauchen; US-Politikerinnen und -Politiker, die darin ein Sicherheitsrisiko für amerikanische Agentinnen und Agenten in Europa sehen; ukrainische Soldaten an der Front, die ihre eigenen Stellungen in verkauften Datensätzen wiederfinden. Die Spur führt am Ende zu einem Händler in Florida.
Behörden als Käufer: ADINT und die Rechtslage
Wer glaubt, das sei ein Problem für Einzelpersonen oder für die Werbeindustrie, unterschätzt die zweite Dimension dieser Debatte. Dokumentierte Käufer von Standortdaten aus kommerziellen Quellen gibt es bereits: die USA (NSA, ICE, Pentagon, US-Militär), Norwegen (militärischer Nachrichtendienst) und die Niederlande (Nachrichtendienste). Die Belege stammen vor allem aus der großen Webloc-Recherche des Citizen Lab. Für Deutschland gibt es bislang keinen direkten Beleg, aber die Gesetzesbegründung zum BND-Gesetz (BNDG) nennt den „Ankauf von umfänglichen Werbedatenbanken" ausdrücklich als Beschaffungsmethode, die man legalisieren möchte.
Europol hat im Rahmen eines FOI-Verfahrens (FIO = Freedom of Information; vergleichbar mit Anfragen nach dem Informationsfreiheitsgesetz in Deutschland) des Citizen Lab bestätigt, Dokumente zu Webloc (einem Tool zur Nutzung von Standort- und Werbedaten zu Überwachungszwecken) zu besitzen, die Offenlegung aber verweigert. Bei vergleichbaren Produkten wie Babel Street oder Rayzone verneinte Europol eine entsprechende Dokumentation. Das ist kein Beweis, aber ein Indiz, das schwer zu ignorieren ist.
Auf der CPDP-Konferenz im Mai 2025 schilderte ein Europol-Datenschutzaufseher öffentlich, wie ein israelischer Anbieter seinem Haus ein Angebot unterbreitet hatte, mit Aussagen wie: „Wir werden infiltrieren, wir werden impersonifizieren, wir werden uns in das System hacken – was immer Sie brauchen." Das Datenschutzbüro stoppte die Beschaffung. Dass solche Angebote überhaupt eingehen, sagt einiges darüber aus, welchen Markt es hier gibt.
Ehemalige BND-Chefs haben in der öffentlichen Debatte das Bild der „Wachhunde an der Kette mit Maulkorb" geprägt, als die sich sich gerne selbst bezeichnen. Im Gegenteil argumentieren Forschende und Thinktanks, wie etwa Interface, dass Kontrollgremien, die formal existieren, strukturell zu wenig ausrichten können. Die Ausarbeitung des Wissenschaftlichen Dienstes des Bundestages vom November 2025 stellt grundlegende Fragen zur fehlenden Rechtsgrundlage für Datenkäufe durch Nachrichtendienste, Polizei und andere Behörden. In den Niederlanden und Großbritannien gibt es öffentliche Debatten zu ADINT (= Advertisement Intelligence). In Deutschland schweigt die Bundesregierung.
Die Schutzlücken in der DSGVO
Die DSGVO greift an den entscheidenden Stellen nicht bzw. konnte das Entstehen des Werbedatenmarkts zu fachfremden Zwecken nicht verhindern. Marktplätze wie Datarade vermitteln Daten, verarbeiten sie selbst aber nicht, und fallen damit laut Bekundungen einiger Datenschutzaufsichtsbehörden durch das Raster. Die Berliner Datenschutzbeauftragte Meike Kamp hat das im Sommer 2024 klar benannt. Die ehemalige Bundesdatenschutzbeauftragte Louisa Specht-Riemenschneider spricht von einer "Rechtsschutzlücke" und hat auch das Einwilligungsmodell scharf kommentiert: "Der Gesetzgeber weiß, dass die Einwilligung im Datenschutzrecht nicht funktioniert, und hält wider besseres Wissen an ihr fest."
Selbst wenn die DSGVO greifen würde: Der zentrale Händler hinter vielen dieser Datensätze, die Datastream Group, sitzt in Florida. Deutsche Aufsichtsbehörden haben dort kein Durchsetzungsmittel. Ein "stumpfes Schwert", wie Meike Kamp es formulierte.
Auf europäischer Ebene: Der angekündigte Digital Fairness Act von Ursula von der Leyen wird sich voraussichtlich auf manipulatives Design, AGB-Regulierung und Influencer-Marketing konzentrieren und nicht auf den Datenhandel selbst. Die E-Privacy-Verordnung scheiterte nach jahrelanger Lobbyarbeit. Die USA haben immerhin mit Bidens Executive Order vom Februar 2024 verboten, sensible Daten von US-Bürgerinnen und -Bürgern an bestimmte Länder zu verkaufen. Eine vergleichbare Regelung existiert in der EU jedoch nicht.
Anna Wegscheider von HateAid hat es auf den Punkt gebracht: „Für Betroffene von digitaler Gewalt ist das ein massives Sicherheitsrisiko." Stalker können diese Daten kaufen. Erpresser, autoritäre Regime im Ausland, organisierte Kriminalität ebenfalls. Die nachrichtendienstliche Dimension ist wichtig, aber sie darf nicht davon ablenken, dass dieser Markt auch für ganz gewöhnliche kriminelle Akteure offen steht. Und es braucht kein Darknet dafür. Eine berufliche Mailadresse reicht.
Die Databroker Files und die Debatte um ADINT machen deutlich, dass es hier nicht um ein Datenschutz-Detail oder einen Nischenfall geht. Es geht um Geschäftsmodelle, die für manche Menschen lebensgefährlich werden können und um einen politischen Rahmen, der auf diese Realität bisher keine überzeugende Antwort gefunden hat.
Drei Handlungsfelder zeichnen sich ab:
- Kurzfristig braucht es Durchsetzung: Aufsichtsbehörden müssen Marktplätze wie Datarade konsequent adressieren, auch wenn das bestehende Recht dafür Grenzen setzt.
- Mittelfristig müssen Lücken in der Rechtslage geschlossen werden, z.B. durch eine explizite Regulierung des Datenhandels, die Einwilligungsfiktionen überwindet und auch extraterritoriale Akteure erfasst.
- Langfristig steht die Frage im Raum, ob staatliche Akteure, die selbst von diesem Markt profitieren oder profitieren wollen, ein ernsthaftes Interesse an dessen Regulierung haben. Solange das unklar ist, wird auch der politische Druck zu gering bleiben.
Wir danken Rebecca Ciesielski und Corbinian Ruckerbauer herzlich für diesen erhellenden und diskussionsfreudigen Abend, der viele Fragen aufgeworfen hat und einige davon dringlicher gemacht hat, als sie vorher wirkten.
Weiterführende Quellen
ARD-Doku
- Doku "Gefährliche Apps - Im Netz der Datenhändler" in der ARD-Mediathek: https://www.ardmediathek.de/video/story/gefaehrliche-apps-im-netz-der-datenhaendler/br/Y3JpZDovL2JyLmRlL2Jyb2FkY2FzdC9hYmI2NzU1NC1kMWRjLTQxZWItODk0Yi1hZjZmN2QyNDEzZTdfb25saW5lYnJvYWRjYXN0
- Artikel bei netzpolitik zur ARD-Doku: https://netzpolitik.org/2026/grosse-ard-doku-achtung-datenhandel-lebensgefahr/
Texte und Recherchen
- Übersichtsseite zur Data Broker Files Recherche von netzpolitik: https://netzpolitik.org/databroker-files/
- Ausarbeitung des Wissenschaftlichen Dienstes des Deutschen Bundestages: https://www.bundestag.de/resource/blob/1134752/WD-3-065-25.pdf
- Report zum "Webloc"-Tool vom Citizen Lab: https://citizenlab.ca/research/analysis-of-penlinks-ad-based-geolocation-surveillance-tech/
Podcasts
- 11KM-Podcast zur Data Broker Files Recherche von netzpolitik und BR: https://www.ardsounds.de/episode/urn:ard:episode:e0e28475bf961c7b/
- Lawfare-Podcast zum Umgang mit Data Brokern in Kalifornien: https://www.lawfaremedia.org/article/lawfare-daily--cppa-s-tom-kemp-on-data-brokers--privacy--and-state-enforcement
- c't-Datenschutz-Podcast "Auslegungssache": https://www.heise.de/hintergrund/Auslegungssache-158-Die-Databroker-Files-11278730.html