Ihr Handy verrät mehr als Ihren Standort

Die verräterischsten Daten auf Ihrem Handy sind womöglich nicht Nachrichten, Fotos oder Suchanfragen. Es kann die stille Spur der Orte sein, an denen Ihr Gerät gewesen ist: Wohnung, Arbeitsplatz, Apotheke, Praxis, Schule, Gebetsraum, Beratungsstelle.

Genau darin liegt die unbequeme Lehre aus dem Fall FTC gegen Kochava. Im Mai 2026 kündigte die Federal Trade Commission eine vorgeschlagene Anordnung an, die Kochava und der Tochtergesellschaft Collective Data Solutions verbieten würde, sensible Standortdaten ohne ausdrückliche, aktive Einwilligung zu verkaufen oder offenzulegen (FTC, May 2026). Für europäische Leser klingt das vertraut, weil Einwilligung auch im Datenschutzrecht der EU ein zentraler Begriff ist. Der Fall zeigt jedoch, warum die praktische Frage härter ist: Wer versteht wirklich, wohin ein Standortsignal nach dem ersten App-Klick wandert?

Das Risiko besteht nicht darin, dass ein Werbenetzwerk weiß, Sie seien in der Nähe eines Cafés gewesen. Gefährlich wird es, wenn wiederholte Signale aus gewöhnlicher Bewegung Rückschlüsse auf Gesundheit, Religion, Schutzbedürftigkeit oder private Beziehungen erlauben.

Datenhändler verkaufen Kontext, keine Koordinaten

Ein einzelner Längen- und Breitengrad wirkt in einer Tabelle harmlos. Kommen Uhrzeit, Wiederholung und Gebäude in der Umgebung hinzu, beginnt der Punkt zu sprechen.

In ihrer ursprünglichen Klage aus dem Jahr 2022 warf die FTC Kochava vor, präzise mobile Standortdaten könnten Menschen zu Kliniken für reproduktive Gesundheit, Gebetsstätten, Einrichtungen zur Suchtbehandlung, Frauenhäusern und anderen sensiblen Orten verfolgen (FTC, 2022). Der entscheidende Punkt war nicht bloß, dass sich ein Gerät bewegt. Entscheidend war, was diese Bewegung nahelegt.

Darum ist diese Geschichte enger als die große Debatte über Datenbroker. Die Makroperspektive sagt: Persönliche Daten werden gekauft und verkauft. Der Kochava-Fall zeigt den Mechanismus im Alltag. Ein Handy-Ping kann zu einem Etikett werden.

Wenn ein Gerät nachts an einer Adresse liegt, morgens bei einer Schule auftaucht und dienstags am Nachmittag regelmäßig nahe einer Klinik erscheint, braucht ein Händler nicht zwingend Ihren Namen, um Risiko zu erzeugen. Das Muster kann auf Haushalt, Arbeitgeber oder soziales Umfeld zurückgeführt werden.

Einwilligung ist der eigentliche Konflikt

Die zentrale Formulierung der FTC lautet affirmative express consent, also ausdrücklich bestätigte Einwilligung. Sensible Standortdaten sollen nicht verkauft oder weitergegeben werden, nur weil irgendwo zuvor eine vage Berechtigung akzeptiert wurde.

Viele Nutzer denken bei Standortfreigabe an eine einfache App-Entscheidung: immer, nie oder nur bei Nutzung. Die Realität der Werbe- und Analytikbranche ist komplizierter. Signale können durch Software Development Kits, Werbenetzwerke, Analysepartner und Wiederverkaufskanäle laufen, die für die Person mit dem Telefon unsichtbar bleiben.

Ein ähnliches Problem verborgener Ebenen beschreibt The Hidden Trap Inside AI Browser Agents, dort geht es um Anweisungen, die in Webseiten versteckt sind. Bei Standortdaten ist die verborgene Ebene kommerziell: Wer bekommt das Signal, nachdem die App es erhalten hat?

Die Anordnung gegen Kochava betrifft daher nicht nur ein Unternehmen. Sie signalisiert, dass Aufsichtsbehörden sensible Standortdaten als eigene Schadenskategorie behandeln.

Anonym heißt nicht harmlos

Das schwächste Datenschutzversprechen in diesem Feld lautet: Wir entfernen die offensichtlichen Kennungen, also ist das Problem gelöst.

Standortdaten lassen sich jedoch besonders schwer anonymisieren, weil Routinen wie Fingerabdrücke wirken. Die meisten Menschen schlafen an einem Ort, arbeiten an einem anderen und besuchen eine überschaubare Zahl von Läden, Praxen, Schulen, Wohnungen und sozialen Orten. Auch ohne Namen kann eine dauerhafte Gerätespur den Kreis möglicher Personen schnell verengen.

Ein Datenhändler kann also Schaden anrichten, ohne ein Dossier mit Ihrer Identität zu veröffentlichen. Die sensible Schlussfolgerung genügt oft. Ein Besuchsmuster in der Nähe eines Therapiezentrums, eines Schutzhauses oder einer religiösen Einrichtung kann bedeutsam sein, selbst wenn der Datensatz die Person nur Gerät 8F3A nennt.

Sicherheitsteams kennen dieses Prinzip: Langweilige Metadaten können der eigentliche Bruch sein. Dasselbe Muster steckt in AI security panic is missing the boring breach. Bei mobiler Ortung sind die Metadaten die Geschichte.

Was Sie vor der nächsten Berechtigung prüfen sollten

Niemand kann jeden nachgelagerten Käufer im Werbemarkt persönlich prüfen. Dennoch lässt sich die Weitergabe erschweren.

Beginnen Sie mit Apps, die dauerhafte Standortfreigabe verlangen. Karten, Wetter, Lieferdienste, Mobilität und Fitness können nachvollziehbare Gründe haben. Eine Gutschein-App, ein Gelegenheitsspiel oder ein Wallpaper-Tool verdient mehr Skepsis. Wenn die Kernfunktion keinen dauerhaften Standort braucht, verweigern Sie ihn.

Prüfen Sie außerdem, ob Ihr Telefon ungefähre statt präzise Standortfreigabe erlaubt. Das behebt Wiederverkaufskanäle nicht, verringert aber die Sensibilität des Rohmaterials. Datenschutzlabels und Einwilligungsdialoge sollten Sie als Startpunkt verstehen, nicht als Garantie.

Das berührt auch Vertrauen. Wie in AI content is losing the authenticity test beschrieben, bricht der Vertrag mit Nutzern, wenn die Erklärung erst nach der Datenerhebung kommt.

Der Fall Kochava macht diesen Vertrag konkret. Ihr Handy muss Ihr Privatleben nicht gestehen. Manchmal reicht es, zu zeigen, wo es gewesen ist.

Weiterlesen:

• Ihre Bewegungsdaten sind billig. Genau das ist das Problem.
• Das versteckte Risiko in KI-Konnektoren