Aktuelle Enthüllungen, die französische, deutsche und internationale Journalisten im Dezember 2025 unter dem Titel Databroker Files veröffentlicht haben, zeigen ein Sicherheitsproblem von historischer Dimension: Sie belegen in krasser Form, wie Werbe- und Standortdaten, eigentlich für „personalisiertes Marketing“ erhoben, eingesetzt werden könnten, um Geheimdienstmitarbeiter, Militärangehörige und selbst das unmittelbare Umfeld von Präsident Emmanuel Macron bis an die private Haustür zu verfolgen.
Es geht nicht mehr nur um die Gefährdung der Privatsphäre Einzelner, sondern um die nationale und europäische Sicherheit insgesamt. Speziell durch ADINT. werden immer mehr Überwachungen möglich. und fernab der Öffentlichkeit hat sich hier ein für Geheimdienste und Ermittler. lohnendes Grenzgebiet Überwachungsmarktplatz gebildet. etabliert. Darin kann man auch ein Musterbeispiel für den Irrtum über die vermeintlich „langweiligen Daten“ des Einzelnen erkennen. Der Beitrag wurde im Februar 2026 nochmals aktualisiert.
Spuren, die alles verraten
Die Investigativredaktionen von Le Monde, Bayerischem Rundfunk und netzpolitik.org hatten Zugriff auf einen Datensatz mit fast einer Milliarde Standortpunkten von rund 16 Millionen Geräten allein in Frankreich. Diese Daten stammen weder aus einem Leak noch aus einem Hack – sondern aus ganz legal gehandelten Beständen sogenannter Databroker, die ihre Ware über Online-Marktplätze anbieten. Das Ganze ist schon seit längerem Thema, Netzpolitik.org hat zu den Ergebnissen der Recherche hier eine Übersicht bereit gestellt. Grundlage ist die Werbe-ID von Apple oder Google, ein digitales Kennzeichen, das jede Nutzerin und jeder Nutzer automatisch zugewiesen bekommt.
Die gesammelten IDs verbinden Millionen Koordinatenpunkte, die Apps regelmäßig an die Werbenetzwerke senden. Legt man sie auf eine Karte, entstehen Bewegungsprofile von erschreckender Präzision: Wer wann an welchen Orten war, welche Wege er zurücklegte, wann er schlief und wo er einkaufte. Die „Pseudonymisierung“ der IDs schützt die Identität kaum – wer eine Weile Datenpunkte analysiert, weiß, wer sich dahinter verbirgt.
Werbedaten als Spionagehilfe
Was in erster Linie nach einem Datenschutzproblem klingt, entpuppt sich in den Databroker Files als reale Gefahr für staatliche Sicherheitsinteressen. Le Monde konnte im französischen Datensatz Telefone identifizieren, die sich regelmäßig in sensiblen Einrichtungen aufhielten: beim französischen Inlands- und Auslandsgeheimdienst DGSI und DGSE, auf Militärbasen in Villacoublay oder bei der atomar bewachten Ile-Longue. Besonders brisant: Ein Gerät ließ sich von den Kasernen der Republikanischen Garde über den Militärflugplatz bis in den Élysée-Palast und schließlich zu einer Privatadresse in einem Pariser Vorort nachverfolgen – die Spur gehörte mutmaßlich zu einem Mitglied des Personenschutzes des Präsidenten.
Auch in Deutschland finden sich Parallelen. Der Bayerische Rundfunk rekonstruierte anhand vergleichbarer Datensätze die Fahrten eines mutmaßlichen Mitarbeiters des Bundesnachrichtendienstes im oberbayerischen Bad Aibling. Selbst Aufenthalte in einem Gebäude, das durch die Snowden-Enthüllungen als Abhörstation der NSA bekannt wurde, waren sichtbar. Aus denselben Daten ließen sich Supermarkteinkäufe, Wochenendziele und Familienkonstellationen ableiten.
ADINT: Versagen des europäischen Datenschutzes
Die Databroker-Recherchen führen in diesen Recherchen massiv vor Augen, dass die Datenschutz-Grundverordnung (DSGVO) an einer entscheidenden Stelle versagt hat: ihrer Durchsetzung. Zwar sind Standortdaten personenbezogen, doch Databroker operieren oft außerhalb der EU oder nutzen Grauzonen – sie bezeichnen die Informationen als pseudonym und damit angeblich „nicht personenbezogen“. So wandern intime Bewegungsdaten quer über den Globus, ohne dass Betroffene oder Behörden Einblick oder Kontrolle haben.
Die Databroker Files sind darum auch, juristisch betrachtet, weniger eine journalistische Sensation als ein Beweisstück: Sie illustrieren, dass die europäische Datenschutzordnung – allen voran die DSGVO – in wesentlichen Bereichen nicht mehr mit der technischen und ökonomischen Realität der Datenmärkte Schritt hält. Anhand realer Datensätze wird sichtbar, wie tief Standortdaten aus dem Adtech-Ökosystem in den Kernbereich staatlicher Sicherheitsvorsorge hineinreichen – bis in Nuklearbasen, Geheimdienstzentralen und die unmittelbare Entourage des französischen Präsidenten.
Systemische Schwachstelle
Diese Erkenntnisse zu ADINT sind weit mehr als eine Kuriosität: Sie belegen, dass sich die Sicherheitsarchitektur europäischer Staaten nicht mehr nur gegen feindliche Cyberangriffe oder „klassische” Spionage wappnen muss, sondern auch gegen die Infrastruktur privater Datensammler. Ob Geheimdienste, Militär oder Energieversorgung: Datensätze, die offen auf dem Werbemarkt zirkulieren, erlauben tiefe Einblicke in organisatorische Abläufe, Schichtwechsel und Bewegungsmuster von Personal in sensiblen Bereichen. Für fremde Nachrichtendienste oder die organisierte Kriminalität sind solche Informationen ein Geschenk – und sie wären mit geringem Aufwand, teilweise sogar kostenlos, zu beschaffen.
Laut Netzpolitik.org beschränken sich politische Reaktionen aber bislang wohl – wieder einmal – auf Appelle zur „Sensibilisierung“. Wer beruflich erreichbar bleiben muss, hat jedoch kaum eine Wahl, die eigenen Geräte „abzuschalten“. Effektiver Datenschutz kann vor dem Hintergrund dessen, was man hier liest, nicht länger individuelle Verantwortung bleiben – er bedarf regulatorischer und technischer Schranken auf Infrastrukturebene. Es wird also Zeit, dass die Gesetzgeber Datensammeln endlich als das verstehen, was es ist: ein Sicherheitsrisiko.
Risikofaktor ADINT
Die Recherchen machen plastisch, was die Fachliteratur seit Jahren beschreibt: Werbe‑Tracking ist keine harmlose Optimierung von Bannerflächen, sondern eine Infrastruktur, die sich nahtlos für „Advertising‑based Intelligence“ (ADINT) instrumentalisieren lässt. Databroker aggregieren Standortdaten, die über Apps mit eingebundenen SDKs aus dem Alltag der Nutzerinnen und Nutzer abfließen: Wetter‑Apps, Navigationsdienste, Spiele, Dating‑Apps – alles, was Zugriff auf den Standort erhält und diesen an Werbenetzwerke funkt.
Im Ergebnis entstehen nach neuen Berichten Datensätze, in denen sich Werbe‑IDs mit hoher räumlicher Auflösung (teilweise im Minutentakt) durch sicherheitskritische Räume bewegen: DGSE‑Gelände, DGSI‑Standort, Luftwaffenstützpunkte mit Nuklearrolle, Kernkraftwerke, BND‑Außenstellen, Standorte der US‑Streitkräfte und die Sicherheitsbereiche des Élysée. Zugleich zeigt der Markt, den Le Monde rekonstruiert, wie weit die Industrialisierung vorangeschritten ist: Rund ein Dutzend spezialisierter Anbieter verkaufen Adint‑Plattformen, die mit weltweiten Bewegungsprofilen seit 2019 werben, Updates im Abstand von zwei bis 24 Stunden versprechen und sich explizit an Strafverfolger und Nachrichtendienste richten. Aus juristischer Sicht ist entscheidend: Die Re‑Identifizierbarkeit ergibt sich nicht aus „geheimen Zusatzinformationen“, sondern aus dem ganz banalen Abgleich von Routinen – Arbeitsplatz, Wohnadresse, wiederkehrende Wege –, ergänzt um offene Datenlecks wie gehackte Kundendatenbanken, mit denen Werbe‑IDs massenhaft echten Identitäten zugeordnet werden können. Der Verdienst der Recherchen rund um Databroker Files liegt damit vor allem darin, aufzuzeigen, dass „Pseudonymisierung“ im Adtech‑Kontext eine Schutzbehauptung ist, keine Schutzmaßnahme: Anbieter brüsten sich damit, bis zu 95 % der Geräte eines Landes deanonymisieren zu können, während gleichzeitig eingeräumt wird, dass 80–85 % des Rohmaterials unbrauchbar sind und global nur etwa 10–15 % der Telefone tatsächlich stabil trackbar bleiben.
Diese Kombination aus fragwürdigem Rechtsrahmen, aggressiver Vermarktung („any device, any time, anywhere“) und technisch unzuverlässigen, aber hochgradig invasiven Produkten verschiebt den Einsatzschwerpunkt von ADINT weg von der klassischen Strafverfolgung hin zur strategischen Aufklärung: geeignet, um Muster, „weak signals“ und Ströme zu erkennen, weniger geeignet als beweissichere Grundlage für Individualmaßnahmen – und doch attraktiv genug, dass Behörden jährlich Millionenbeträge für den Zugriff auf ein System bezahlen, das letztlich auf der systematischen Zweckentfremdung von Werbedaten beruht.
DSGVO: normativ stark, operativ schwach
Eigentlich ist doch alles reguliert …
Formal ist das alles längst geregelt. Standortdaten sind personenbezogene Daten, die Verarbeitung zu Werbe‑ und Profilingzwecken bedarf einer informierten, freiwilligen Einwilligung, Profiling mit erheblichen Auswirkungen unterliegt den Schranken der Art. 22 DSGVO. Dass Databroker überhaupt in der Lage sind, Milliarden hochsensibler Datenpunkte als „Probe“ zu verschenken und Monatspakete mit Standortdaten über mehr als 150 Staaten anzubieten, zeigt vor allem eines: Die DSGVO scheitert dort, wo Akteure im Schatten agieren und sich auf Konstruktionen wie „pseudonymisierte Daten“ und „berechtigtes Interesse“ zurückziehen.
Kopf-in-den-Sand-EU
Die Databroker Files zeichnen zugleich die politische Reaktionslinie nach. Die EU‑Kommission reagiert mit Rundmails und Hinweisen an Beschäftigte, sieht aber keinen unmittelbaren Bedarf für neue Spezialregulierung und verweist auf bessere Durchsetzung der bestehenden Regeln. Vertreter des Europäischen Parlaments demgegenüber – etwa Axel Voss oder Alexandra Geese – sprechen ausdrücklich von einer Bedrohung für die Sicherheit Europas und fordern ein Verbot des Handels mit besonders sensiblen Standortdaten, eine europaweite Registrierungspflicht für Databroker und eine Begrenzung von Tracking und Profiling für Werbezwecke.
Und es geht noch weiter: Während Geheimdienste ADINT als diskretes Frühwarnsystem entdecken, haben klassisch repressive Behörden den Schritt in die operative Nutzung längst vollzogen: Die US‑Einwanderungsbehörde ICE investierte in den vergangenen Jahren Millionenbeträge in Analyseplattformen, die Werbe‑, Standort‑ und Social‑Media‑Daten zu detaillierten Bewegungs‑ und Risikoprofilen verknüpfen um die mit EU-Werten nicht vereinbare Abschiebepraxis durchzusetzen. Neben fest installierten Analysezentren kommen dabei speziell ausgerüstete Einsatzfahrzeuge zum Einsatz, die als mobile Lagezentralen dienen und – vergleichbar mit europäischen ADINT‑Plattformen – in Echtzeit auf kommerziell verfügbare Datenpools zugreifen können, um gesuchte Personen entlang ihrer digitalen Spur aufzuspüren. Bemerkenswert ist weniger die technische Raffinesse als die Verschiebung der Eingriffsschwelle: Statt klassischer Telekommunikationsüberwachung greift ICE mittels ADINT auf Daten zu, die ursprünglich für Werbung erhoben wurden, aber nun im Rahmen von Massendeportationsprogrammen zur Identifizierung, Lokalisierung und Priorisierung von Zielpersonen herangezogen werden – rechtlich flankiert durch das Argument, man bediene sich lediglich „frei verfügbarer“ Informationsquellen.
Digitaler Omnibus und EuGH
Brisant wird diese Gemengelage rund um ADINT dann endgültig vor dem Hintergrund der aktuellen rechtspolitischen Entwicklungen. Sowohl der Entwurf der „Digital‑Omnibus“-Verordnung als auch die jüngere Rechtsprechung des EuGH zur Pseudonymisierung betonen einen relativen Personenbezug: Für den Empfänger pseudonymisierter Daten soll die DSGVO dann nicht mehr gelten, wenn er selbst keine „vernünftigerweise wahrscheinlichen“ Mittel zur Re‑Identifizierung hat. Überträgt man dieses Verständnis auf den Databroker‑Markt, entsteht eine gefährliche Asymmetrie:
- Der ursprüngliche Verantwortliche kann sich auf Pseudonymisierung und „berechtigtes Interesse“ stützen und Daten großflächig weitergeben.
- Der Databroker wiederum behauptet, keine realistische Re‑Identifizierungsmöglichkeit zu haben – obwohl seine gesamte Geschäftslogik darauf beruht, genau das Gegenteil zu tun, nämlich Profile zu bilden, Bewegungsmuster zu analysieren und Zielgruppen präzise adressierbar zu machen.
Warum das nicht verfängt? Die Databroker‑Files belegen, dass gerade die Empfänger – ob Werbekunde, Plattform oder potenziell auch staatliche Stellen – auf die Möglichkeit der Re‑Identifizierung setzen, sei es unmittelbar oder über Anreicherungen mit weiteren Datensätzen. Wenn der Gesetzgeber nun die Hürde für „personenbezogene Daten“ senkt, öffnet er der industriellen Nutzung solcher Pseudonymdaten Tür und Tor – und entzieht ihnen gerade jene Schutzwirkung, die die DSGVO ursprünglich entfalten sollte.
Nationale Sicherheit als Argument gegen ADINT-Tracking‑Ökonomie
Interessant ist, dass sich die Debatte damit verschiebt: Weg vom klassischen Spannungsfeld „Wirtschaft vs. Datenschutz“, hin zu einer genuin sicherheitspolitischen Perspektive. Parlamentarische Kontrollgremien, Sicherheitsbehörden und Verteidigungsexperten, die in den Databroker Files zu Wort kommen, sprechen offen von einem „extrem hohen“ Spionagerisiko und von „Einfallstoren“ für ausländische Nachrichtendienste und organisierte Kriminalität.
Damit bekommt zugleich das altbekannte Schlagwort vom „Überwachungskapitalismus“ eine neue Qualität. Es geht nicht mehr nur um die Gefährdung individueller Freiheitsrechte, sondern um die operative Handlungsfähigkeit staatlicher Institutionen in hybriden Konflikten. Wer das Bewegungsprofil von Personenschützern, Nuklearspezialisten oder Geheimdienstanalysten kaufen kann, benötigt keine Zero‑Day‑Exploits, um Sicherheitsarchitekturen zu unterlaufen – ein Kreditkartenlimit genügt.
Digitale Beweismittel
Bei uns im Blog finden Sie eine Vielzahl von Beiträgen zu digitalen Beweismitteln, Rechtsanwalt Jens Ferner ist auf das Thema spezialisiert:
- Zugriffe der Polizei: WhatsApp-Nachrichten, Mails, TOR-Netzwerk, File-Carving, Predictive Policing und Kryptowährungen
- Zugriff auf Smartphones: Warum sind PINs gefährlich, wie arbeiten Ermittler und biometrische Merkmale dürfen erzwungen werden
- Digitale Beweismittel im deutschen Strafprozess
- Strafbarkeit wenn man sein Passwort nicht verrät?
- Foto von Fingerabdruck führt zu Encrochat-Nutzer
- Beiträge zu Encrochat
- Blackbox im PKW
- IT-Forensik: Welche Software nutzen Ermittler?
- Nachweis von Software-Urheberrechtsverletzung
- Wann ist eine Mail zugegangen?
- SIRIUS Report: Statistiken zur Verwendung digitaler Beweismittel in der EU
- EGMR zu digitalen Beweismitteln
- EUGH: Beweisverwertungsverbot bei mangelnder Verteidigung
- e-Evidence-Verordnung: Grenzüberschreitender Zugriff auf digitale Beweise in der EU ab 2026
Ein Thema für jeden
Auch wenn die Recherchen mit Beispielen aus der Welt der Geheimdienste und Präsidenten beginnen: Das zugrunde liegende ADINT-System betrifft jede und jeden. Die selben Datencollectoren, die Macrons Sicherheitsbeamte tracken, speichern auch die Wege von Lehrerinnen, Ärzt:innen und Jugendlichen, die ihr Smartphone für Schulapps nutzen. Aus diesen Spuren lässt sich rekonstruieren, wer zur Therapie, in die Moschee oder zur politischen Versammlung geht.
Damit berührt der Databroker-Komplex nicht nur Fragen der IT-Sicherheit, sondern Grundrechte in ihrem Kern: Bewegungsfreiheit, Privatsphäre, informationelle Selbstbestimmung – alles, was die liberale Demokratie schützt. Wenn eine demokratische Gesellschaft zulässt, dass sich ihr sicherheitskritisches Personal über dieselben Werbenetzwerke orten lässt wie jeder gewöhnliche Nutzer, ist etwas aus dem Gleichgewicht geraten.
Die Databroker Files sind daher nicht einfach „ein weiterer Datenschutzskandal“: Das ökonomische Modell der totalen Datensammlung samt ADINT ist längst eine Frage der nationalen Sicherheit. Europa muss entscheiden, ob es diese Infrastruktur weiter toleriert – oder ob es den Preis für digitale Bequemlichkeit endlich ehrlich beziffert. An der Stelle mag man dann auch einmal überlegen, was das nicht nur für (fremde) Nachrichtendienste bedeutet, sondern speziell für Datenkraken wie Palantir, die möglicherweise originären Zugriff auf diese Daten in den USA erhalten könn(t)en.
Die Databroker Files liefern damit – zugespitzt formuliert – das Material für eine Neubewertung der Adtech‑Ökonomie aus Sicht des Sicherheitsrechts. Wer die Bedrohung ernst nimmt, kann das Thema Databroker nicht länger als Spezialproblem der „Privacy‑Nerds“ behandeln, sondern muss es als infrastrukturelle Schwachstelle in der Verteidigungsfähigkeit moderner Staaten begreifen. Aus juristisch‑regulatorischer Sicht drängen sich aus dieser Erkenntnis gleich mehrere Konsequenzen auf, die über „bessere Sensibilisierung“ deutlich hinausgehen:
- Klare Qualifikation von Standort‑ und Werbedaten als besonders sensible Daten
Standortdaten aus Mobilfunk‑ und App‑Kontext sollten normativ ähnlich wie Verkehrs‑ und Vorratsdaten behandelt werden, mit hohen Hürden für Verarbeitung, Weitergabe und Profilbildung. Eine „Entwertung“ durch Pseudonymisierungsargumente steht im Widerspruch zur empirisch belegten Re‑Identifizierbarkeit. - Verbot oder drastische Einhegung des Handels mit bestimmten Datenkategorien
Ein ausdrückliches Verbot des kommerziellen Handels mit granularen Standortdaten für andere Zwecke als eng begrenzte, transparent kontrollierte Anwendungsfälle (z. B. aggregierte Verkehrssteuerung) würde den Markt für ADINT erheblich austrocknen. - Registrierungspflicht und Aufsicht für Databroker
Databroker sollten als eigene, beaufsichtigte Akteurskategorie etabliert werden – mit Registrierungs‑, Transparenz‑ und Prüfpflichten analog zu regulierten Finanzintermediären. Ohne Kenntnis der handelnden Akteure bleibt jede Durchsetzung ins Leere gerichtet. - Sicherheitsrechtliche Verankerung
Schließlich ist eine Integration in das Sicherheits‑ und Nachrichtendienstrecht denkbar: Etwa in Form einer Pflicht zur Risikoanalyse der Nutzung kommerzieller Datenquellen durch Sicherheitsbehörden und eines expliziten Verbots, durch den Ankauf solcher Daten gezielt Grundrechtsgarantien zu umgehen, die für originär hoheitliche Datenerhebungen gelten würden.
Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.
Erreichbarkeit: Erstkontakt per Mail oder Rückruf.
Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.
- KI-Agenten als Innentäter: Wie OpenClaw & Co. zum Haftungs- & Sicherheitsrisiko werden - 14. März 2026
- Retrograde Telegram-Überwachung als Quellen-TKÜ - 13. März 2026
- Cyber Resilience Act als Ende der analogen Fabrik - 11. März 2026
