Ihre Bewegungsdaten sind billig. Genau das ist das Problem.

Ihr Smartphone sendet fortlaufend Signale, auch dann, wenn Sie glauben, gerade gar nichts zu tun. Noch vor dem Mittag hat es mehrfach Funkmasten kontaktiert, mit Apps kommuniziert und Werbenetzwerke bedient. Ein Teil dieser Signale wurde, so die jüngsten Recherchen in den USA, weiterverkauft. Einige Datensätze landeten sogar in Datenbanken, auf die Akteure mit Bezug zu China, Russland, Nordkorea und Iran rechtlich zugreifen können.

Das ist die Kernaussage eines Berichts des Joint Economic Committee des US-Kongresses, der nach der Recherche von CalMatters und The Markup veröffentlicht wurde. Demnach führten Datenpannen bei Equifax, Exactis, National Public Data und TransUnion dazu, dass mehr als 651 Millionen US-Bürgerinnen und US-Bürger betroffen waren. Der daraus abgeleitete Schaden durch Identitätsdiebstahl beläuft sich auf rund 21 Milliarden US-Dollar. Für ein deutsches Publikum ist der Fall amerikanisch. Das dahinterliegende Marktprinzip ist es nicht.

Der Schaden entstand nicht am Rand, sondern im Zentrum des Geschäfts

Gerade das unterscheidet diese Geschichte von der üblichen Erzählung über einen einzelnen Hack. Die betroffenen Unternehmen betrieben keine Verbraucher-App, die unglücklich kompromittiert wurde. Sie wurden angegriffen, weil sie Lagerhäuser für Informationen waren. Ihr Geschäftsmodell bestand darin, Daten aus Banken, Versicherungen, Treueprogrammen und Mobiltelefonen einzukaufen, neu zu kombinieren und als Profile weiterzuverkaufen.

Die Berechnung des Kongresses wirkt nüchtern, ist aber aufschlussreich. Die Mitarbeitenden gingen von einem mittleren Schaden von 200 US-Dollar pro betroffener Person aus und kombinierten diesen Wert mit dem Anteil der Opfer, die später Betrug meldeten. Equifax betraf 2017 rund 147 Millionen Menschen, Exactis 2018 etwa 230 Millionen, National Public Data 2023 rund 270 Millionen und TransUnion 2025 weitere 4 Millionen. Nach diesen Daten taucht der durchschnittliche erwachsene US-Bürger in mindestens drei dieser Lecks auf.

33 Firmen, die fast niemand kennt

Parallel dazu wertete das Electronic Privacy Information Center das kalifornische Register der Datenhändler aus. Das Ergebnis ist bemerkenswert: 33 in Kalifornien registrierte Broker gaben in offiziellen Unterlagen an, Daten an nichtamerikanische Akteure in Staaten verkauft oder weitergegeben zu haben, die Washington als ausländische Gegner einstuft. Fünf dieser 33 Firmen erklärten zudem, präzise Geolokalisierungsdaten zu erheben.

Warum ist gerade dieser Punkt so sensibel? Präzise Geolokalisierung bedeutet nicht bloß, dass ein Gerät in Berlin, Köln oder München war. Gemeint sind GPS-Koordinaten, aus denen sich ableiten lässt, ob jemand eine Kinderwunschklinik, einen Rüstungsstandort, eine Synagoge oder ein Frauenhaus betreten hat. Spätestens hier wird aus personalisierter Werbung ein sicherheitspolitisches Problem.

“Anonymisiert” klingt beruhigend, ist es aber oft nicht

Die Branche beruft sich gern darauf, Standortdaten seien de-identifiziert. Nach aktuellen Erkenntnissen ist das häufig nur formal richtig. Wenn ein Gerät jede Nacht an derselben Adresse ruht und werktags regelmäßig an einem zweiten Ort erscheint, reichen oft zwei Punkte, um den Menschen hinter dem Datensatz zu identifizieren.

Analysten von Lawfare haben beschrieben, wie ein ausländischer Nachrichtendienst kommerzielle Datenfeeds kaufen, ein sensibles Gelände digital eingrenzen und anschließend jedes Gerät verfolgen könnte, das diesen Bereich betreten hat. Damit verschiebt sich die Frage: Es geht nicht mehr nur um lästige Werbung oder einzelne Betrugsfälle, sondern um Bewegungsprofile mit nachrichtendienstlichem Wert.

Aufschlussreich ist auch der Preis. Der US-Bundesstaat Illinois kaufte zwei Jahre präziser Standortspuren von mehr als fünf Millionen Menschen für rund 50.000 US-Dollar. In heutiger europäischer Rechnung entspricht das ungefähr 42.700 Euro. Anders formuliert: Zwei Jahre Bewegungsdaten einer Großbevölkerung kosteten weniger als viele mittelgroße IT-Projekte.

Der Ausstieg ist absichtlich schwer gemacht

Besonders aufschlussreich ist deshalb das sogenannte Opt-out-Problem. Reporter von The Markup fanden Broker, die gesetzlich vorgeschriebene Widerspruchsseiten mit “no-index”-Code versteckten, damit sie über Google möglichst schwer auffindbar sind. Die Empfehlung des Ausschusses fiel entsprechend deutlich aus: Zumindest müssten Widerspruchsmöglichkeiten leicht zu finden und zu nutzen sein.

Auch die FTC hat bereits Schreiben an 13 Unternehmen verschickt, gestützt auf den Protecting Americans' Data from Foreign Adversaries Act, also jenes Gesetz von 2024, das den Verkauf sensibler US-Daten an von Gegnerstaaten kontrollierte Einheiten untersagt. Das Register legt jedoch nahe, dass die Praxis noch 2025 fortgesetzt wurde. Diese Infrastruktur hängt zudem mit anderen Märkten zusammen, etwa mit Lecks durch gestohlene Zugangsdaten und der Ökonomie des Browser-Fingerprinting.

Was Sie diese Woche konkret tun können

Vollständig entziehen lässt sich dieser Logik kaum jemand. Dennoch gibt es sinnvolle Schritte. Sie können über das kalifornische Register der Datenhändler einen Löschantrag stellen, auch wenn Sie nicht in Kalifornien wohnen, weil viele Unternehmen ihre Prozesse nicht nach Regionen aufspalten. Zudem sollten Sie die Werbe-ID Ihres Smartphones löschen oder deaktivieren. Genau sie hilft dabei, Standortsignale appübergreifend zusammenzuführen.

Praktisch ist außerdem ein einfacher Rhythmus: eine App pro Woche prüfen und den Zugriff auf “präzisen Standort” nach Möglichkeit auf einen ungefähren Standort reduzieren. Eine ähnliche Vorsicht begrenzt auch Risiken durch staatlich entwickelte Spyware, deren Eintrittspunkt oft überprivilegierte Apps sind. Der Kongress hat den unmittelbaren Schaden des Identitätsdiebstahls beziffert. Offen bleibt die größere Frage: Was ist es einem fremden Staat wert zu wissen, wer gestern wo gewesen ist?