Webloc und Werbetracking als Überwachungsinfrastruktur: Wie Behörden Standortdaten kaufen – und was Nutzer tun können
Jedes Mal, wenn eine App Werbung lädt, passiert im Hintergrund mehr als eine Auktion um Werbeplätze. Nutzerdaten wandern durch ein verzweigtes System aus Werbetechnologie-Unternehmen, Datenbrokern und Käufern. Am Ende dieser Kette stehen manchmal keine Werber, sondern Behörden. Das zeigt eine aktuelle Analyse der kanadischen Forschungsgruppe Citizen Lab, die das Überwachungssystem Webloc untersucht hat.
Webloc wurde vom israelischen Unternehmen Cobwebs Technologies entwickelt und wird heute vom US-Konzern Penlink vertrieben. Die Software zapft die Datenströme der Werbeindustrie an, sogenannte Ad-Tech-Daten, und wandelt sie in ein Instrument zur Bewegungsanalyse um. Die Grundlage dafür liefern zwei Quellen: In Apps eingebettete Tracking-Software (SDKs) und das Real-Time Bidding, also das Echtzeit-Auktionssystem, über das digitale Werbeplätze sekundengenau versteigert werden. Bei jeder dieser Auktionen fließen Nutzerdaten an eine Vielzahl von Unternehmen. Der Einzelne merkt davon nichts.
Laut Citizen Lab verarbeitet Webloc Standortdaten von bis zu 500 Millionen Mobilgeräten gleichzeitig. Die Daten umfassen GPS-Koordinaten, Bewegungsprofile, Gerätekennungen und Nutzungsgewohnheiten. Sie lassen sich bis zu drei Jahre rückwirkend auswerten. Das bedeutet: Wer heute erfasst wird, kann auch für vergangene Zeiträume analysiert werden, inklusive Wohnort, Arbeitsstelle, sozialem Umfeld und täglichen Routinen. Das Argument der Anonymisierung, das die Werbeindustrie regelmäßig vorbringt, hält der Praxis nicht stand. Durch Verknüpfung von Bewegungsmustern lässt sich ein scheinbar anonymes Gerät in vielen Fällen einer konkreten Person zuordnen.
Wer kauft diese Daten? Die Liste ist lang. In den USA zählen ICE, das Heimatschutzministerium DHS, das Militär und verschiedene Polizeibehörden zu den dokumentierten Nutzern. Aus Europa ist Ungarn bekannt, in El Salvador nutzt die Nationalpolizei vergleichbare Technologien. In Großbritannien verweigerten 39 Polizeibehörden jede Aussage darüber, ob sie Webloc einsetzen. Diese Zurückhaltung ist kein Zufall, sie ist ein Problem. Die DSGVO schreibt eigentlich klare Regeln für den Umgang mit Standortdaten vor, doch viele Behörden umgehen richterliche Kontrollmechanismen, indem sie Daten schlicht auf dem freien Markt kaufen, statt klassische Ermittlungsmaßnahmen zu beantragen.
Besonders beunruhigend ist die dokumentierte Ausweitung des Einsatzbereichs. Was ursprünglich für die Terrorismusbekämpfung gedacht war, kommt inzwischen auch bei Diebstahl, Einbruch und der Beobachtung von Protesten zum Einsatz. Citizen Lab bezeichnet diesen Prozess als Mission Creep: Hochinvasive Werkzeuge werden schrittweise normalisiert und auf immer alltäglichere Sachverhalte angewandt.
Was können Nutzer konkret tun? Vollständiger Schutz ist nicht möglich, aber Einschränkung schon. Auf dem Smartphone helfen deaktiviertes App-Tracking, restriktive Standortfreigaben und regelmäßig überprüfte Berechtigungen. Sowohl iOS als auch Android bieten dafür die nötigen Einstellungen. Auf Netzwerkebene blockieren DNS-Dienste wie AdGuard, NextDNS oder Control D Tracking-Anfragen, bevor sie das Gerät verlassen. Für technisch versierte Nutzer gehen Werkzeuge wie Pi-hole, Shizuku oder datenschutzorientierte Android-Varianten wie GrapheneOS noch einen Schritt weiter. Der Aufwand steigt mit dem Schutzniveau, aber schon einfache Maßnahmen entziehen Systemen wie Webloc einen Teil ihrer Datengrundlage.
Schmidtis Blog zu Deiner bevorzugten Quelle bei Google hinzufügen
Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!
