Wohnort, Arbeit, ausspioniert: Wie Standortdaten die Sicherheit Deutschlands gefährden

Dieser Artikel ist nominiert für den European Press Prize 2025 in der Kategorie Innovation. Ursprünglich veröffentlicht von Bayerischer Rundfunk/B24 und netzpolitik.org, Deutschland.

Diese Recherche des Bayerischen Rundfunks und netzpolitik.org zeigt, warum diese Daten gefährlich sind – für hochrangige Beamte, Militärangehörige und sogar für Geheimdienste.

Ein früher Dienstagmorgen irgendwo in Bayern. Eine Person steigt ins Auto und macht sich auf den Weg zur Arbeit. Die genaue Fahrtroute zeigen ihre Standortdaten, die uns vorliegen. Die Fahrt endet in einem gesicherten Areal, zu dem die meisten Menschen keinen Zutritt haben: Es ist ein Geheimdienststandort in Oberbayern.

Wie so oft stellt die Person ihr Fahrzeug auf einem Parkplatz der Mangfall-Kaserne in Bad Aibling ab.

Der ehemalige Bundeswehr-Standort ist im Bild gelb umrandet .

Heute ist dort eine öffentlich bekannte Außenstelle des Bundesnachrichtendienstes (BND).

Wie die Person heißt, steht nicht in den Daten. Wir können aber rekonstruieren, wo sie vermutlich wohnt - nämlich in dem Haus, in dem sie meistens ihre Nächte verbringt. Von dort haben wir Tausende Signale. Um die Person zu schützen, machen wir ihren Wohnort nicht öffentlich.

Dutzende Male können wir ihren Arbeitsweg nachverfolgen.

Unbefugte dürfen nicht auf das Gelände des deutschen Auslandsgeheimdienstes. Kaum jemand, der dort arbeitet, macht das öffentlich.

Doch wir sehen genau, dass die Person über die Einfahrt an der Texasstraße auf das BND-Gelände kommt.

Und wir sehen noch etwas: Die Person steuert immer wieder ein ganz bestimmtes Gebäude an. Dort häufen sich die Standortdaten, die als blaue Punkte eingezeichnet sind.

Die Standortinformationen stammen aus einem riesigen Datensatz, den wir, der Bayerische Rundfunk (BR) und netzpolitik.org, ausgewertet haben. Es sind lange Tabellen mit Koordinaten, sekundengenaue Zeitangaben und Gerätekennungen, sogenannten Werbe-IDs. Solche Zeichen- und Ziffernketten nutzt die Werbeindustrie, um gezielt Anzeigen auf den Handys bestimmter Personen auszuspielen. Man kann die Standortdaten jedoch auch für etwas anderes verwenden: Sieht man sich alle Standortdaten einer Werbe-ID an, erhält man das Bewegungsprofil einer Person.

Bewegungsprofile verraten intime Details

Solche Datensätze werden im Internet angeboten. Zum Beispiel auf einem Marktplatz mit Sitz in Berlin. Ein Händler, der dort aktiv ist, hat netzpolitik.org auf Anfrage einen kostenlosen Probedatensatz zukommen lassen - in der Hoffnung, einen neuen Kunden zu gewinnen. In den Daten: 3,6 Milliarden einzelne Standortinformationen aus Smartphone-Apps. Unsere Recherchen legen nahe, dass sich damit Bewegungsprofile von mehreren Millionen Menschen aus ganz Deutschland rekonstruieren lassen, die teilweise sehr detailliert sind.

Solche Bewegungsprofile verraten persönliche bis intime Details über Personen: Wo arbeiten sie? Wo wohnen sie? Wo gehen sie einkaufen? Übernachten sie auch mal woanders? Suchen sie Krankenhäuser auf? Psychiatrien oder Bordelle? Alles das haben wir in den Daten gefunden.

Der Grünen-Bundestagsabgeordnete Konstantin von Notz spricht im Interview mit BR und netzpolitik.org von einem Datenschutzproblem für alle Menschen in Deutschland, „die ein Mobiltelefon haben und sich unbeobachtet und ungestört in diesem Land bewegen können müssen.“ Von Notz ist Vorsitzender des Parlamentarischen Kontrollgremiums im Bundestag, das die deutschen Nachrichtendienste überwacht. Er sieht ein „relevantes Sicherheitsproblem“ und warnt, dass feindlich gesinnte Staaten solche Daten zu Spionagezwecken nutzen könnten.

Tatsächlich können wir mit Hilfe der Daten private Details über die Person herausfinden, die regelmäßig in das BND-Gelände in Bad Aibling fährt: ihre Familienverhältnisse, in welchen Supermärkten sie einkauft und wie sie ihre Wochenenden verbringt.

Wir können sogar sehen, wo genau auf dem Gelände sich die Person häufig aufhält – in einem Gebäude, das vor einigen Jahren weltweit für Schlagzeilen sorgte.

Die Person steuert immer wieder ein Gebäude an, das in den Dokumenten, die der Whistleblower Edward Snowden 2013 veröffentlichte, eine Rolle spielte: Ein Haus mit Metalldach und ohne Fenster, das BND-Leute „die Blechdose“ genannt haben sollen. Von hier aus, ging aus den Dokumenten hervor, hat der Auslandsgeheimdienst der USA, die NSA, das Internet überwacht.

Wir sehen in den Daten außerdem, dass sich die Person auch an anderen US-Militärstandorten in Deutschland und an einem anderen BND-Standort aufgehalten hat. Ihre Wohnadresse können wir mit dem US-Militär verknüpfen.

Beweisen können wir aus der Ferne nicht, dass die Person in Deutschland für den US-Geheimdienst NSA arbeitet, aber vieles deutet darauf hin. Wir fragen die US-Botschaft und den BND, ob sie in Bad Aibling immer noch kooperieren und ob ihnen bewusst ist, dass Standortdaten ein Einfallstor für Spionage sein können. Die Fragen bleiben jedoch unbeantwortet.

Wir recherchieren, ob auch andere sicherheitsrelevante Behörden betroffen sind. Und gleich der nächste Treffer.

Köln-Chorweiler: Hier ist der Hauptsitz des Bundesamts für Verfassungsschutz . Auf Satellitenbildern sieht das Gebäude aus wie eine Zick-Zack-Linie. Der Verfassungsschutz soll Deutschland beispielsweise vor Cyberangriffen, terroristischen Anschlägen und Spionage schützen.

Wie auch beim BND machen Mitarbeitende des Verfassungsschutzes ihren Arbeitgeber in der Regel nicht öffentlich.

Uns fällt auf: Innerhalb des Gebäudes finden wir nur relativ wenige Standortinformationen. Aber viele Datenpunkte liegen auf den Parkplätzen und an den Hauseingängen . Wir vermuten: Wer hier arbeitet, muss sein Smartphone am Eingang abgeben.

Wir folgen den Standortdaten einer Person, die regelmäßig vor dem Gebäude parkt. Über ihren Wohnort recherchieren wir ihren Namen sowie mehrere Social-Media-Profile. Wir kennen nun ihr ungefähres Alter, Bildungsabschluss, Familienkonstellation, Urlaubsfotos und Hobbys.

Das Bundesamt für Verfassungsschutz teilt auf Anfrage von BR und netzpolitik.org mit, es kenne die Gefahr durch Auswertungen von Standortdaten. Man treffe geeignete Maßnahmen zum Schutz seiner Mitarbeitenden und sensibilisiere diese über Sicherheitsrisiken im Zusammenhang mit der Verarbeitung von gewonnenen Standortdaten.

Tatsächlich bestätigt der Verfassungsschutz auch unsere Vermutung, dass private und dienstliche Smartphones in den Liegenschaften untersagt seien, heißt es weiter. Aber unsere Recherchen zeigen: Um die Wege der Mitarbeitenden bis in die eigene Wohnung zu verfolgen, reicht diese Sicherheitsmaßnahme nicht aus.

Spionagerisiko „extrem hoch“

„Wenn Sie wissen, wie Menschen sich verhalten und bewegen, dann sind sie ausspionierbar“, sagt Konstantin von Notz. „Dann können Sie Kontakte herstellen oder Zufallssituationen generieren, um mit Menschen ins Gespräch zu kommen, um sie am Ende anzuwerben oder zu bestechen oder was auch immer zu tun”, so der Grünen-Politiker. Sein Stellvertreter im Parlamentarischen Kontrollgremium, der Unions-Politiker Roderich Kiesewetter, hält das Spionagerisiko für „extrem hoch“. Deutschland stehe „im Mittelpunkt russischer, chinesischer und iranischer Einflussoperationen“. Durch kommerziell gehandelte Daten entstünden Einfallstore für Spionage durch ausländische Mächte und Kriminelle.

Zehntausende Fälle bei Militär und Polizei

Wir schauen uns systematisch weitere öffentlich bekannte, sicherheitsrelevante Orte in ganz Deutschland an – und das Bild ist überall ähnlich. Wir finden mutmaßlich mehrere Zehntausend Personen, die Zugang zu diesen Arealen hatten: beim Bundeskriminalamt (BKA), beim Kommando Spezialkräfte der Bundeswehr (KSK), an Standorten der Luftwaffe und des Heeres, in Bundesministerien, im Beschaffungsamt der Bundeswehr, bei der Eliteeinheit der Bundespolizei (GSG9), Rüstungsunternehmen, Einrichtungen des US-Militärs und vielen weiteren.

Fliegerhorst Büchel

38.474 Standortdaten von 189 Werbe-IDs

Der Fliegerhorst Büchel ist ein Standort der deutschen Luftwaffe. Hier sollen streng bewacht US-Atomwaffen stationiert sein. Offiziell werden Lagerstätten von Atomwaffen nicht bestätigt oder kommentiert.

Lucius D. Clay Kaserne, Wiesbaden

74.968 Standortdaten von 799 Werbe-IDs

Hauptquartier der US-Armee in Europa, bald auch NATO-Hauptquartier zur Unterstützung der Ukraine. Auch für Nachrichtendienste ist die Kaserne wichtig: Auf dem Gelände steht ein Aufklärungszentrum mehrerer US-Geheimdienste.

Kasernengelände Am Treptower Park, Berlin

4.639 Standortdaten von 693 Werbe-IDs

Ein Hotspot der Sicherheitsbehörden. Hier arbeiten Polizei und Nachrichtendienste zusammen. 40 Behörden allein im Gemeinsamen Terrorabwehrzentrum (GTAZ), darunter BKA, Verfassungsschutz, BND und Militärischer Abschirmdienst (MAD).

Truppenübungsplatz, Grafenwöhr

191.415 Standortdaten von 1.275 Werbe-IDs

In Grafenwöhr sind ungefähr 13.000 US-Militärs stationiert, dazu Bundeswehr und andere NATO-Streitkräfte. Im April nahmen BKA-Beamte zwei Deutsch-Russen fest, die hier für einen russischen Geheimdienst spioniert haben sollen.

Camp Kherson, Grafenwöhr

1.192 Standortdaten von 39 Werbe-IDs

Das Camp Kherson befindet sich innerhalb des Truppenübungsplatzes Grafenwöhr. Aktuell bildet die US-Armee hier ukrainische Soldatinnen und Soldaten an unterschiedlichsten Waffensystemen aus – unter anderem am Kampfpanzer „Abrams“.

Bundeswehr-Beschaffungsamt, Koblenz

7.356 Standortdaten von 220 Werbe-IDs

Das Amt ist für die Ausrüstung der Bundeswehr mit Waffen und anderem Material zuständig. Ein hier stationierter Offizier wurde im Mai zu dreieinhalb Jahren Haft wegen Spionage verurteilt. Er soll Informationen an Russland weitergegeben haben.

Bundesnachrichtendienst (BND), Pullach

990 Standortdaten von 108 Werbe-IDs

In Pullach ist der IT-Standort und die ehemalige Zentrale des BND. Ein früherer BND-Referatsleiter, der hier arbeitete, soll geheime Informationen an den russischen Geheimdienst FSB weitergegeben haben. Gegen ihn läuft ein Verfahren wegen Landesverrats.

Ramstein Air Base

164.223 Standortdaten von 1.964 Werbe-IDs

Der Militärflughafen in Rheinland-Pfalz ist der größte US-Standort außerhalb der USA. Ramstein gilt als Logistikdrehscheibe des amerikanischen Militärs in Europa und spielt eine zentrale Rolle in der NATO-Raketenabwehr.

Bundesnachrichtendienst (BND), Berlin

1.744 Standortdaten von 332 Werbe-IDs

Der 2019 fertiggestellte Gebäudekomplex ist die Zentrale des deutschen Auslandsnachrichtendienstes, in dem der Großteil des Personals arbeitet. Hier befindet sich auch das Zentrum für nachrichtendienstliche Aus- und Fortbildung.

Konrad-Adenauer-Kaserne, Köln

7.952 Standortdaten von 414 Werbe-IDs

Hier sitzt der Militärische Abschirmdienst (MAD), der Nachrichtendienst der Bundeswehr. Die Behörde soll verfassungsfeindliche Bestrebungen, Spionage- und Sabotageaktivitäten innerhalb der deutschen Armee aufdecken und verhindern.

Graf-Zeppelin-Kaserne, Calw

8.489 Standortdaten von 107 Werbe-IDs

Hier ist das Kommando Spezialkräfte (KSK) stationiert, die Eliteeinheit der Bundeswehr. Das KSK ist unter anderem ausgebildet, um Geiseln im Ausland zu befreien oder Zielpersonen festzusetzen. Normalerweise machen KSK-Soldatinnen und Soldaten ihre Tätigkeit nicht öffentlich.

Konfrontiert mit den Fällen, die in den Zuständigkeitsbereich ihrer eigenen Ministerien fallen, gaben das Innen- und das Verteidigungsministerium auf Anfrage an, ihre Beschäftigten regelmäßig für das Gefährdungspotenzial zu sensibilisieren. Dass fremde Nachrichtendienste kommerziell gehandelte Daten zu Spionagezwecken einsetzen, ist beiden Ministerien offenbar bekannt. Sie teilen auf Anfrage mit, fremde Nachrichtendienste nutzten generell alle verfügbaren Mittel, um Informationen zu erlangen, Einfluss auszuüben und eigene Interessen zu verfolgen. Dazu zählten auch der Ankauf und die Nutzung von im Internet verfügbaren Daten. Die US-Botschaft in Deutschland wollte Fragen zu den Fällen in ihrem Zuständigkeitsbereich nicht kommentieren.

Woher kommen die Daten?

Die Daten stammen von einem Datenhändler aus den USA, der sie auf einem Online-Marktplatz mit Sitz in Berlin zum Kauf anbietet. Der Internet-Marktplatz Datarade versteht sich als Vermittler zwischen Datenhändlern und Personen oder Firmen, die Daten kaufen wollen. Wer über Datarade Daten kaufen möchte, muss sich auf der Plattform registrieren. Sebastian Meineck von netzpolitik.org hat das getan, mit seinem echten Namen und der E-Mail-Adresse der Redaktion. Bald nach der Registrierung melden sich mehrere Händler mit Angeboten bei Meineck. Nach einem kurzen Telefonat schickt einer der Händler einen Downloadlink, der zu einem umfangreichen Datensatz führte. Netzpolitik.org hat diesen Datensatz mit BR Data/BR Recherche geteilt und gemeinsam ausgewertet. Die Online-Plattform Datarade und der Anbieter der Daten ließen Anfragen von BR und netzpolitik.org unbeantwortet.

Haben wir für die Daten bezahlt?

Nein. Obwohl der Datensatz 3,6 Milliarden Datenpunkte umfasst, handelt es sich um eine kostenlose Probe, um Anschauungsmaterial für ein Monatsabo, das der Händler gerne verkaufen würde. Die Daten sind für einen Zeitraum von rund acht Wochen Ende 2023 datiert. Stündlich aktualisiert würden die Standorte von Menschen aus über 150 Ländern etwas mehr als 14 000 Dollar im Monat kosten.

Warum werden solche Daten Im Internet angeboten?

Typischerweise kaufen Firmen diese Informationen, um personalisierte Werbung auf den Handys zu schalten. Ein Beispiel: Wer sich an einem Samstag in einem Möbelhaus aufgehalten hat, könnte dann gezielt Werbung für Einrichtungsgegenstände angezeigt bekommen.

Welche Apps sammeln die Daten?

Von welchen Apps die Daten stammen, erfahren wir nicht. Weder der Datenhändler noch Datarade haben auf unsere Fragen geantwortet. Andere Händler sprechen allgemein von Wetter-, Navigations-, Gaming- und Datings-Apps. Zu deren Entwicklern habe man gute Kontakte und beziehe die Daten direkt.

Je nach Einstellungen erlauben Smartphone-Betriebssysteme wie iOS und Android installierten Apps Positionsdaten zu sammeln und zu verschicken. Ob sie das nur tun, wenn man sie gerade benutzt oder auch, wenn sie im Hintergrund laufen, hängt vom Betriebssystem ab und davon, welche Zugriffsberechtigung Nutzerinnen und Nutzer der App gegeben haben.

Wie haben Personen reagiert, die wir im Datensatz gefunden haben?

BR und netzpolitik.org haben mehrere Personen kontaktiert, deren Bewegungsprofile in den Daten zu finden waren. Sie bestätigten, dass die Daten stimmen. Es gibt zwar kleinere Ungenauigkeiten, aber Urlaube, Arbeitswege, sogar Gassi-Runden mit dem Hund – all das lässt sich mit den Daten nachvollziehen. Alle zeigten sich überrascht, dass ihre Standortdaten von einem Datenhändler aus den USA zum Kauf angeboten werden. In der Europäische Datenschutzgrundverordnung (DSGVO) gibt es das Prinzip der Einwilligung: Apps dürfen Standortdaten nur dann an Dritte weitergeben, wenn Nutzerinnen und Nutzer dem nach der Installation zustimmen.

Warum wird dieser Datenhandel nicht unterbunden?

Datenhändler, die außerhalb der Europäischen Union agieren, sind für europäische Behörden nur schwer greifbar, sagt Louisa Specht-Riemenschneider, Professorin für Datenrecht und Datenschutz an der Universität Bonn und designierte Bundesdatenschutzbeauftragte. Aber auch gegen Handelsplätze wie den Berliner Datenmarktplatz Datarade könne derzeit nur schwer vorgegangen werden: „Der Datenmarktplatz ist ja im Prinzip ein Makler, der verarbeitet keine personenbezogenen Daten selbst. In gewissem Sinne ist das eine Regulierungslücke.“ Hier sei der Gesetzgeber dringend angehalten, Lösungen zu finden.

Nutzen auch deutsche Nachrichtendienste kommerziell verfügbare Daten?

Das wäre zumindest rechtlich möglich, sei aber viel zu wenig reguliert, meint Thorsten Wetzling von Interface, einer Berliner Denkfabrik, die sich auf die gesellschaftlichen Auswirkungen der Digitalisierung spezialisiert hat. Eine aktuelle Studie von Interface legt nahe, dass auch deutsche Nachrichtendienste kommerziell verfügbare Daten für ihre Zwecke nutzen. „Nachrichtendienste, egal welcher Nation, haben ein Interesse daran, möglichst viele Informationen zusammenzutragen“, sagt Wetzling. Bundesnachrichtendienst und Bundesamt für Verfassungsschutz äußerten sich auf Anfrage hierzu nicht. Im Interview mit BR und netzpolitik sagt Wetzling: „Diese Möglichkeit der Informationsbeschaffung per Kreditkarte ist eine, die viele nationale Sicherheitsrisiken birgt und tief in die Freiheits- und Grundrechte von Millionen von App-Nutzern eingreift, die wir alle sind.”

Wie kann man sich davor schützen, selbst in solchen Datensätzen zu landen?

Nutzerinnen und Nutzer können zwei Einstellungen in ihren Smartphones prüfen: die Standortfreigabe und die Werbe-ID. Eine Anleitung dafür gibt es bei BR24.