Databroker Files: Wie unsere Telefone zum Spionagewerkzeug werden

Databrokerfilesparis

Aktuelle Enthüllungen, die französische, deutsche und internationale Journalist:innen im Dezember 2025 unter dem Titel Databroker Files veröffentlicht haben, zeigen ein Sicherheitsproblem von historischer Dimension. Sie belegen in krasser Form, wie Werbe- und Standortdaten, eigentlich für „personalisiertes Marketing“ erhoben, eingesetzt werden könnten, um Geheimdienstmitarbeiter, Militärangehörige und selbst das unmittelbare Umfeld von Präsident Emmanuel Macron bis an die private Haustür zu verfolgen. Damit ist nicht mehr nur die Privatsphäre Einzelner gefährdet – sondern die nationale und europäische Sicherheit insgesamt. Ein Musterbeispiel für den Irrtum über die vermeintlich „langweiligen Daten“ des Einzelnen.

Spuren, die alles verraten

Die Investigativredaktionen von Le Monde, Bayerischem Rundfunk und netzpolitik.org hatten Zugriff auf einen Datensatz mit fast einer Milliarde Standortpunkten von rund 16 Millionen Geräten allein in Frankreich. Diese Daten stammen weder aus einem Leak noch aus einem Hack – sondern aus ganz legal gehandelten Beständen sogenannter Databroker, die ihre Ware über Online-Marktplätze anbieten. Das Ganze ist schon seit längerem Thema, Netzpolitik.org hat zu den Ergebnissen der Recherche hier eine Übersicht bereit gestellt. Grundlage ist die Werbe-ID von Apple oder Google, ein digitales Kennzeichen, das jede Nutzerin und jeder Nutzer automatisch zugewiesen bekommt.

Die gesammelten IDs verbinden Millionen Koordinatenpunkte, die Apps regelmäßig an die Werbenetzwerke senden. Legt man sie auf eine Karte, entstehen Bewegungsprofile von erschreckender Präzision: Wer wann an welchen Orten war, welche Wege er zurücklegte, wann er schlief und wo er einkaufte. Die „Pseudonymisierung“ der IDs schützt die Identität kaum – wer eine Weile Datenpunkte analysiert, weiß, wer sich dahinter verbirgt.

Werbedaten als Spionagehilfe

Databrokerfiles paris

Was in erster Linie nach einem Datenschutzproblem klingt, entpuppt sich in den Databroker Files als reale Gefahr für staatliche Sicherheitsinteressen. Le Monde konnte im französischen Datensatz Telefone identifizieren, die sich regelmäßig in sensiblen Einrichtungen aufhielten: beim französischen Inlands- und Auslandsgeheimdienst DGSI und DGSE, auf Militärbasen in Villacoublay oder bei der atomar bewachten Ile-Longue. Besonders brisant: Ein Gerät ließ sich von den Kasernen der Republikanischen Garde über den Militärflugplatz bis in den Élysée-Palast und schließlich zu einer Privatadresse in einem Pariser Vorort nachverfolgen – die Spur gehörte mutmaßlich zu einem Mitglied des Personenschutzes des Präsidenten.

Auch in Deutschland finden sich Parallelen. Der Bayerische Rundfunk rekonstruierte anhand vergleichbarer Datensätze die Fahrten eines mutmaßlichen Mitarbeiters des Bundesnachrichtendienstes im oberbayerischen Bad Aibling. Selbst Aufenthalte in einem Gebäude, das durch die Snowden-Enthüllungen als Abhörstation der NSA bekannt wurde, waren sichtbar. Aus denselben Daten ließen sich Supermarkteinkäufe, Wochenendziele und Familienkonstellationen ableiten.

Versagen des europäischen Datenschutzes

Die Databroker-Recherchen führen in diesen Recherchen massiv vor Augen, dass die Datenschutz-Grundverordnung (DSGVO) an einer entscheidenden Stelle versagt hat: ihrer Durchsetzung. Zwar sind Standortdaten personenbezogen, doch Databroker operieren oft außerhalb der EU oder nutzen Grauzonen – sie bezeichnen die Informationen als pseudonym und damit angeblich „nicht personenbezogen“. So wandern intime Bewegungsdaten quer über den Globus, ohne dass Betroffene oder Behörden Einblick oder Kontrolle haben.

Die Databroker Files sind darum auch, juristisch betrachtet, weniger eine journalistische Sensation als ein Beweisstück: Sie illustrieren, dass die europäische Datenschutzordnung – allen voran die DSGVO – in wesentlichen Bereichen nicht mehr mit der technischen und ökonomischen Realität der Datenmärkte Schritt hält. Anhand realer Datensätze wird sichtbar, wie tief Standortdaten aus dem Adtech-Ökosystem in den Kernbereich staatlicher Sicherheitsvorsorge hineinreichen – bis in Nuklearbasen, Geheimdienstzentralen und die unmittelbare Entourage des französischen Präsidenten.​

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Systemische Schwachstelle

Diese Erkenntnisse sind weit mehr als eine Kuriosität. Sie belegen, dass sich die Sicherheitsarchitektur europäischer Staaten nicht mehr nur gegen feindliche Cyberangriffe oder „klassische” Spionage wappnen muss, sondern auch gegen die Infrastruktur privater Datensammler. Ob Geheimdienste, Militär oder Energieversorgung: Datensätze, die offen auf dem Werbemarkt zirkulieren, erlauben tiefe Einblicke in organisatorische Abläufe, Schichtwechsel und Bewegungsmuster von Personal in sensiblen Bereichen. Für fremde Nachrichtendienste oder die organisierte Kriminalität sind solche Informationen ein Geschenk – und sie wären mit geringem Aufwand, teilweise sogar kostenlos, zu beschaffen.

Laut Netzpolitik.org beschränken sich politische Reaktionen aber bislang wohl – wieder einmal – auf Appelle zur „Sensibilisierung“. Wer beruflich erreichbar bleiben muss, hat jedoch kaum eine Wahl, die eigenen Geräte „abzuschalten“. Effektiver Datenschutz kann vor dem Hintergrund dessen, was man hier liest, nicht länger individuelle Verantwortung bleiben – er bedarf regulatorischer und technischer Schranken auf Infrastrukturebene. Es wird also Zeit, dass die Gesetzgeber Datensammeln endlich als das verstehen, was es ist: ein Sicherheitsrisiko.

Risikofaktor ADINT

Die Recherchen machen plastisch, was die Fachliteratur seit Jahren beschreibt: Werbe-Tracking ist keine harmlose Optimierung von Bannerflächen, sondern eine Infrastruktur, die sich nahtlos für „Advertising‑based Intelligence“ (ADINT) instrumentalisieren lässt. Databroker aggregieren Standortdaten, die über Apps mit eingebundenen SDKs aus dem Alltag der Nutzerinnen und Nutzer abfließen: Wetter‑Apps, Navigationsdienste, Spiele, Dating‑Apps – alles, was Zugriff auf den Standort erhält und diesen an Werbenetzwerke funkt.​

Im Ergebnis entstehen Datensätze, in denen sich Werbe-IDs mit hoher räumlicher Auflösung (teilweise im 15‑Minuten‑Takt) durch sicherheitskritische Räume bewegen: DGSE‑Gelände, DGSI‑Standort, Luftwaffenstützpunkte mit Nuklearrolle, Kernkraftwerke, BND‑Außenstellen, Standorte der US‑Streitkräfte und die Sicherheitsbereiche des Élysée. Aus juristischer Sicht ist entscheidend: Die Re‑Identifizierbarkeit ergibt sich nicht aus „geheimen Zusatzinformationen“, sondern aus dem ganz banalen Abgleich von Routinen – Arbeitsplatz, Wohnadresse, wiederkehrende Wege. Der Verdienst der Recherchen rund um Databroker Files liegen damit vor allem darin, aufzuzeigen, dass „Pseudonymisierung“ im Adtech‑Kontext eine Schutzbehauptung ist, keine Schutzmaßnahme.​

DSGVO: normativ stark, operativ schwach

Eigentlich ist doch alles reguliert …

Formal ist das alles längst geregelt. Standortdaten sind personenbezogene Daten, die Verarbeitung zu Werbe‑ und Profilingzwecken bedarf einer informierten, freiwilligen Einwilligung, Profiling mit erheblichen Auswirkungen unterliegt den Schranken der Art. 22 DSGVO. Dass Databroker überhaupt in der Lage sind, Milliarden hochsensibler Datenpunkte als „Probe“ zu verschenken und Monatspakete mit Standortdaten über mehr als 150 Staaten anzubieten, zeigt vor allem eines: Die DSGVO scheitert dort, wo Akteure im Schatten agieren und sich auf Konstruktionen wie „pseudonymisierte Daten“ und „berechtigtes Interesse“ zurückziehen.​

Kopf-in-den-Sand-EU

Die Databroker Files zeichnen zugleich die politische Reaktionslinie nach. Die EU‑Kommission reagiert mit Rundmails und Hinweisen an Beschäftigte, sieht aber keinen unmittelbaren Bedarf für neue Spezialregulierung und verweist auf bessere Durchsetzung der bestehenden Regeln. Vertreter des Europäischen Parlaments demgegenüber – etwa Axel Voss oder Alexandra Geese – sprechen ausdrücklich von einer Bedrohung für die Sicherheit Europas und fordern ein Verbot des Handels mit besonders sensiblen Standortdaten, eine europaweite Registrierungspflicht für Databroker und eine Begrenzung von Tracking und Profiling für Werbezwecke.​

Digitaler Omnibus und EuGH

Brisant wird diese Gemengelage dann endgültig vor dem Hintergrund der aktuellen rechtspolitischen Entwicklungen. Sowohl der Entwurf der „Digital‑Omnibus“-Verordnung als auch die jüngere Rechtsprechung des EuGH zur Pseudonymisierung betonen einen relativen Personenbezug: Für den Empfänger pseudonymisierter Daten soll die DSGVO dann nicht mehr gelten, wenn er selbst keine „vernünftigerweise wahrscheinlichen“ Mittel zur Re‑Identifizierung hat.​ Überträgt man dieses Verständnis auf den Databroker‑Markt, entsteht eine gefährliche Asymmetrie:

  • Der ursprüngliche Verantwortliche kann sich auf Pseudonymisierung und „berechtigtes Interesse“ stützen und Daten großflächig weitergeben.
  • Der Databroker wiederum behauptet, keine realistische Re‑Identifizierungsmöglichkeit zu haben – obwohl seine gesamte Geschäftslogik darauf beruht, genau das Gegenteil zu tun, nämlich Profile zu bilden, Bewegungsmuster zu analysieren und Zielgruppen präzise adressierbar zu machen.
Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Warum das nicht verfängt? Die Databroker‑Files belegen, dass gerade die Empfänger – ob Werbekunde, Plattform oder potenziell auch staatliche Stellen – auf die Möglichkeit der Re‑Identifizierung setzen, sei es unmittelbar oder über Anreicherungen mit weiteren Datensätzen. Wenn der Gesetzgeber nun die Hürde für „personenbezogene Daten“ senkt, öffnet er der industriellen Nutzung solcher Pseudonymdaten Tür und Tor – und entzieht ihnen gerade jene Schutzwirkung, die die DSGVO ursprünglich entfalten sollte.​

Nationale Sicherheit als Argument gegen Tracking‑Ökonomie

Interessant ist, dass sich die Debatte damit verschiebt: Weg vom klassischen Spannungsfeld „Wirtschaft vs. Datenschutz“, hin zu einer genuin sicherheitspolitischen Perspektive. Parlamentarische Kontrollgremien, Sicherheitsbehörden und Verteidigungsexperten, die in den Databroker Files zu Wort kommen, sprechen offen von einem „extrem hohen“ Spionagerisiko und von „Einfallstoren“ für ausländische Nachrichtendienste und organisierte Kriminalität.​

Damit bekommt zugleich das altbekannte Schlagwort vom „Überwachungs­kapitalismus“ eine neue Qualität. Es geht nicht mehr nur um die Gefährdung individueller Freiheitsrechte, sondern um die operative Handlungsfähigkeit staatlicher Institutionen in hybriden Konflikten. Wer das Bewegungsprofil von Personenschützern, Nuklearspezialisten oder Geheimdienstanalysten kaufen kann, benötigt keine Zero‑Day‑Exploits, um Sicherheitsarchitekturen zu unterlaufen – ein Kreditkartenlimit genügt.​

Ein Thema für jeden

Auch wenn die Recherchen mit Beispielen aus der Welt der Geheimdienste und Präsidenten beginnen: Das zugrunde liegende System betrifft jede und jeden. Die selben Datencollectoren, die Macrons Sicherheitsbeamte tracken, speichern auch die Wege von Lehrerinnen, Ärzt:innen und Jugendlichen, die ihr Smartphone für Schulapps nutzen. Aus diesen Spuren lässt sich rekonstruieren, wer zur Therapie, in die Moschee oder zur politischen Versammlung geht.

Damit berührt der Databroker-Komplex nicht nur Fragen der IT-Sicherheit, sondern Grundrechte in ihrem Kern: Bewegungsfreiheit, Privatsphäre, informationelle Selbstbestimmung – alles, was die liberale Demokratie schützt. Wenn eine demokratische Gesellschaft zulässt, dass sich ihr sicherheitskritisches Personal über dieselben Werbenetzwerke orten lässt wie jeder gewöhnliche Nutzer, ist etwas aus dem Gleichgewicht geraten.

Die Databroker Files sind daher nicht einfach “ein weiterer Datenschutzskandal”: Das ökonomische Modell der totalen Datensammlung ist längst eine Frage der nationalen Sicherheit. Europa muss entscheiden, ob es diese Infrastruktur weiter toleriert – oder ob es den Preis für digitale Bequemlichkeit endlich ehrlich beziffert. An der Stelle mag man dann auch einmal überlegen, was das nicht nur für (fremde) Nachrichtendienste bedeutet, sondern speziell für Datenkraken wie Palantir, die möglicherweise originären Zugriff auf diese Daten in den USA erhalten könn(t)en.

Hessendata, Palantir und der digitale Ermittlungsstaat (Update)

Die Databroker Files liefern damit – zugespitzt formuliert – das Material für eine Neubewertung der Adtech‑Ökonomie aus Sicht des Sicherheitsrechts. Wer die Bedrohung ernst nimmt, kann das Thema Databroker nicht länger als Spezialproblem der „Privacy‑Nerds“ behandeln, sondern muss es als infrastrukturelle Schwachstelle in der Verteidigungsfähigkeit moderner Staaten begreifen. Aus juristisch‑regulatorischer Sicht drängen sich aus dieser Erkenntnis gleich mehrere Konsequenzen auf, die über „bessere Sensibilisierung“ deutlich hinausgehen:

  • Klare Qualifikation von Standort‑ und Werbedaten als besonders sensible Daten
    Standortdaten aus Mobilfunk‑ und App‑Kontext sollten normativ ähnlich wie Verkehrs‑ und Vorratsdaten behandelt werden, mit hohen Hürden für Verarbeitung, Weitergabe und Profilbildung. Eine „Entwertung“ durch Pseudonymisierungsargumente steht im Widerspruch zur empirisch belegten Re‑Identifizierbarkeit.​
  • Verbot oder drastische Einhegung des Handels mit bestimmten Datenkategorien
    Ein ausdrückliches Verbot des kommerziellen Handels mit granularen Standortdaten für andere Zwecke als eng begrenzte, transparent kontrollierte Anwendungsfälle (z. B. aggregierte Verkehrssteuerung) würde den Markt für ADINT erheblich austrocknen.​
  • Registrierungspflicht und Aufsicht für Databroker
    Databroker sollten als eigene, beaufsichtigte Akteurskategorie etabliert werden – mit Registrierungs‑, Transparenz‑ und Prüfpflichten analog zu regulierten Finanzintermediären. Ohne Kenntnis der handelnden Akteure bleibt jede Durchsetzung ins Leere gerichtet.​
  • Sicherheitsrechtliche Verankerung
    Schließlich ist eine Integration in das Sicherheits‑ und Nachrichtendienstrecht denkbar: Etwa in Form einer Pflicht zur Risikoanalyse der Nutzung kommerzieller Datenquellen durch Sicherheitsbehörden und eines expliziten Verbots, durch den Ankauf solcher Daten gezielt Grundrechtsgarantien zu umgehen, die für originär hoheitliche Datenerhebungen gelten würden.​
Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist ein renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug, Untreue bis zu Cybercrime – aber auch im Jugendstrafrecht und Sexualstrafrecht) sowie Spezialist im IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance). Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren und berät in komplexen Softwareprojekten. Er ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen) und publiziert fortlaufend.

Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist ein renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (insbesondere bei Wirtschaftskriminalität wie Geldwäsche, Betrug, Untreue bis zu Cybercrime – aber auch im Jugendstrafrecht und Sexualstrafrecht) sowie Spezialist im IT-Recht (Softwarerecht und KI, IT-Vertragsrecht und Compliance). Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren und berät in komplexen Softwareprojekten. Er ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen) und publiziert fortlaufend.

Erreichbarkeit:Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Anwaltskanzlei im Raum Aachen ist spezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht sowie IT-Recht.