Mehr als 60 Namen stehen auf der Liste, die öffentlich im Netz verfügbar ist. Die meisten davon sollen zu Deutschen gehören. Daneben jeweils: das Geburtsdatum sowie die Nummer und das Ablaufdatum von Pass oder Personalausweis. Solche Daten gelten als besonders sensibel, weil sie sich für Identitätsdiebstahl einsetzen lassen. Sie zu verkaufen und online zu veröffentlichen, wo alle darauf zugreifen können, ist aus Sicht des Datenschutzes eine Katastrophe.

Hochgeladen wurde die Liste auf dem Portal eines Datenhändlers in der EU. Wir nennen Namen und Standort des Unternehmens hier nicht, weil die Liste nach wie vor ungeschützt im Netz steht. Es ist ein Marktplatz, mit dessen Hilfe andere Daten kaufen oder verkaufen können. Das Dokument mit den mehr als 60 Namen ist offenbar eine Art Gratis-Probe. Mit solchen Proben können sich Interessierte einen Eindruck von den Daten verschaffen – bevor sie mehr davon kaufen. Der Datenhändler verdient an jedem solchen Verkauf mit: einen Teil des Verkaufspreises behält er nach eigenen Angaben als Gebühr.

netzpolitik.org konnte mehrere Personen auf der Liste ausfindig machen. Sie leben etwa in Bayern oder Niedersachsen und bestätigen, dass ihre Daten und Ausweisnummern echt sind. Einige reagieren auf unsere Anfrage geschockt. Am Telefon sagt uns eine Betroffene: „Datenschutz, man hört schon öfter davon. Aber wenn man mal die eigenen Daten offen im Internet vor sich sieht, dann ist das ein anderes Gefühl.“

Ausweisdaten gehören zu den sensibelsten überhaupt, weil Menschen damit ihre Identität nachweisen. Interessant sind sie besonders für Kriminelle: Sie nutzen die erbeuteten Daten, um unter falschem Namen etwa kostenpflichtige Abos abzuschließen oder einzukaufen. Einer aktuellen Umfrage zufolge ist jede:r Zehnte Deutsche schon mal von Identitätsdiebstahl betroffen gewesen.

Datenhändler hüllt sich in Schweigen

Unsere Recherchen über die genaue Herkunft der sensiblen Daten kamen zu keinem eindeutigen Ergebnis. Das Unternehmen hinter der Plattform hat auf unsere über mehrere Wege gestellten Anfragen tagelang nicht reagiert. Die Angebotsseite für den Kauf der Daten ist zwar von der Website verschwunden, nachdem wir uns gemeldet haben. Das Dokument mit den Probedaten steht jedoch bis heute online.

Hinter der Plattform steht ein in der EU registriertes Unternehmen, das auch in der Datenschutzerklärung des Marktplatzes verzeichnet ist. Die beiden Gründer sind auch an anderen Stellen im Netz aktiv, etwa auf LinkedIn. Einer von ihnen betreibt einen eigenen Podcast. Falls wir von ihnen oder anderen Vertreter:innen des Unternehmens eine Antwort erhalten, werden wir den Artikel ergänzen.

Es gibt Hinweise, dass die Ausweisdaten über Fluggesellschaften ihren Weg ins Internet gefunden haben könnten. Als Verkäufer trat etwa ein Account mit dem Namen „Wizzair airlines“ auf. Wizz Air ist der Name einer ungarischen Billigflug-Gesellschaft. Allerdings können Menschen auf der Plattform ihren Accounts auch irreführende Namen geben. Lediglich eine funktionierende E-Mail-Adresse braucht man, um sich dort anzumelden. Auf unsere Anfragen hat Wizz Air bisher nicht reagiert.

Die Spur führt zu Billigfliegern

Man kann die Händler auf der Plattform direkt anschreiben, etwa um Fragen zu den Daten zu stellen. Das haben wir getan und den Account über ein Formular auf der Seite kontaktiert. Wir wollten etwa wissen, woher die Daten stammen, wie groß die Datensammlung ist und wie viel sie kosten soll.

Im Chat, der sich daraufhin öffnete, tauchte ein neuer Name auf: Plötzlich stand dort nicht mehr „Wizzair airlines“ sondern ein Männername. Der Name ist allerdings sehr häufig; eine Online-Suche nach einer Person mit diesem Namen ergab zahllose Treffer. Kurze Zeit später war das Angebot mit den Ausweisdaten von der Seite verschwunden, und der Name des Anbieters im Chat lautete nur noch: „aaaa bbbb“.

Es ist also möglich, dass Wizz Air nichts mit dem Angebot zu tun hat. Keine der von uns kontaktierten betroffenen Personen gab an, mit Wizz Air geflogen zu sein. Mindestens vier betroffene Personen sind nach eigenen Angaben jedoch mit einer anderen Billigflug-Linie gereist, und zwar der türkischen Linie Corendon.

Wer vergangene Woche auf der Plattform nach Wizz Air suchte, fand dort ein weiteres Angebot mit dem Logo von Corendon. Daten von mehr als 20.000 Passagier:innen aus anderen Ländern der EU stünden demnach zum Verkauf. Doch auch in diesem Fall gilt: Das Logo der Fluglinie hätte von einer beliebigen Person bei dem Datenhändler hochgeladen worden sein können. Corendon hat auf unsere Kontaktversuche bisher nicht reagiert. Wir werden die Antwort ergänzen, wenn wir eine erhalten.

Fluglinie in Schwierigkeiten

Corendon ist eine türkische Billigflug-Gesellschaft mit Sitz in Antalya. Die Linie fliegt seit 2005 Urlaubsziele auch von Deutschland aus an und war etwa Sponsor des 1. FC Nürnberg. In den vergangenen Jahren gab es Berichte über Zahlungsschwierigkeiten bei Corendon.

Als wir testweise einen eigenen Account auf der Plattform des Datenhändlers anlegten, konnten wir ihn frei benennen. Zur Anmeldung brauchten wir lediglich eine E-Mail-Adresse. Es kann also sein, dass die Namen der Fluglinien Wizz Air und Corendon von einer unbeteiligten Person verwendet wurden und dass die Fluglinien selbst nichts mit dem Angebot der Daten zu tun haben.

Auch wenn die Herkunft der Ausweisdaten weiterhin unklar ist, steht eines fest: Die Daten sind offenbar echt. Und sie wurden von einem Datenbroker in der EU offen zum Verkauf angeboten – inklusive einer frei im Netz verfügbaren Gratis-Probe. Potenziellen Kund:innen solche Sample-Datensätze anzubieten, ist in der Branche weit verbreitet, doch üblicherweise werden sie mit einem Passwort geschützt.

„Wahrscheinlich rechtswidrig“

Der Vorfall ist ein weiterer Einblick in das zwielichtige Geschäft von Datenhändlern. Ein undurchsichtiges Netzwerk aus tausenden Firmen kauft und verkauft personenbezogene Daten wie ganz normale Waren. Genutzt werden sie hauptsächlich für Werbung und das Scoring von Verbraucher:innen, doch auch Geheimdienste und Kriminelle bedienen sich der praktischen Datenquelle. Wo genau die Daten von Menschen landen und wofür sie eingesetzt werden, kann in diesem System niemand überblicken, auch nicht die Händler selbst.

Ob das Geschäftsmodell der Branche überhaupt in Einklang mit der Datenschutzgrundverordnung betrieben werden kann, ist umstritten. Falls überhaupt, dann ist der Verkauf von Daten nur mit der Einwilligung der Betroffenen möglich. Die Anforderungen an gültige Einwilligungen sind hoch. Verstößt das beschriebene Angebot mit den Ausweisdaten also gegen Gesetze?

„Der Verkauf solcher Datensätze ist wahrscheinlich rechtswidrig“, schreibt uns die auf Datenschutz spezialisierte Rechtsanwältin Elisabeth Niekrenz, die wir um eine Einschätzung gebeten haben. Zwar sei theoretisch denkbar, dass die Verantwortlichen Einwilligungen in den Verkauf der Kundendaten an Dritte eingeholt hätten. Allerdings müsse die Einwilligung informiert, freiwillig, für den bestimmten Fall und unmissverständlich abgegeben werden. „Dazu reicht auf keinen Fall ein Hinweis im Kleingedruckten“, so die Juristin von der Kanzlei Spirit Legal. „Ich bezweifle, dass Betroffene in den Verkauf derart sensibler Daten einwilligen, wenn sie über die Details informiert werden.“

Datenschutzbehörden sind alarmiert

Wir haben unter auch anderem die Aufsichtsbehörden in Bayern und Niedersachsen nach ihren Einschätzungen gefragt, weil wir Betroffene aus beiden Bundesländern im Probedatensatz identifizieren konnten. Beide Behörden betonen, dass sie sich ohne Prüfung nur grundsätzlich äußern können, nicht zum konkreten Fall.

Das Bayerische Landesamt für Datenschutzaufsicht teilt mit: „In einer Konstellation, wie der geschilderten – Kundendaten werden an einen Datenhändler weitergegeben, der diese wiederum zum Verkauf anbietet – können wir per se nicht erkennen, wodurch diese gerechtfertigt sein kann.“

Die Aufsichtsbehörde aus Niedersachsen wiederum betont, zumindest bestimmte Daten könnten weitergegeben werden, wenn die Betroffenen eingewilligt haben. Interessant sei, ob der Datenhändler über Nachweise für solche Einwilligungen verfügt. „Sollte das nicht der Fall sein, läge der Verdacht nahe, dass der Datenhändler die Daten auf unerklärliche, gegebenenfalls sogar auf unrechtmäßige Weise erlangt haben könnte.“

Wir haben auch die Aufsichtsbehörde in dem EU-Land informiert, in dem der Datenhändler seinen Sitz hat. Diese bedankte sich für den Hinweis, könne sich aber zu dem konkreten Fall nicht äußern, weil man „zu laufenden oder potenziellen Verfahren“ nicht öffentlich Stellung nehmen dürfe. Die Missachtung von Anforderungen an die Einwilligung können laut DSGVO Strafen von bis zu vier Prozent des jährlichen Umsatzes oder 20 Millionen Euro nach sich ziehen.

„Legale Verwendung durch Dritte kaum denkbar“

Für Ausweis- und Passdaten gelten zudem besonders strenge Regeln. „Mit Blick auf die Personalausweis- oder Reisepassnummern gelten zusätzliche Beschränkungen, sodass zweifelhaft ist, ob eine Einwilligung in den Verkauf solcher Daten überhaupt wirksam wäre“, sagt Rechtsanwältin Elisabeth Niekrenz. Das Personalausweisgesetz sehe nur wenige Zwecke vor, zu denen die Daten aus Personalausweisen überhaupt genutzt werden dürfen. „Legale Verwendungen der Personalausweis- oder Passnummern und Ablaufdaten durch Dritte sind kaum denkbar“, so die Juristin. „Am ehesten lassen sich diese Angaben zu Identitätsmissbräuchen nutzen.“

Das sieht auch der Wiener Überwachungsforscher Wolfie Christl so: „Reisepassnummern sind höchst sensible Daten mit hohem Missbrauchspotenzial für Identitätsdiebstahl und andere kriminelle Zwecke.“ Christl bezweifelt, dass die beteiligten Firmen eine Rechtsgrundlage für Weitergabe und Verkauf hatten. Er hofft, dass die die Datenschutz-Aufsichtsbehörden schnell eine Untersuchung einleiten.

Sollten die Behörden Ermittlungen aufnehmen, müsste der Datenhändler die rechtmäßigen Einwilligungen der Betroffenen nachweisen. Auf unsere Nachfragen kann sich keine der Personen, die wir im Datensatz gefunden haben, daran erinnern, in den Verkauf ihrer Daten eingewilligt zu haben. Im Gegenteil reagierten die Betroffenen überrascht bis geschockt, dass wir ihre Daten offen im Netz fanden. Mehrere Betroffene haben bereits angekündigt, Beschwerde bei ihren zuständigen Datenschutzbehörden einlegen zu wollen.

Betroffene haben vermutlich Anspruch auf Schadenersatz

Bei einem DSGVO-Verstoß drohen Unternehmen empfindliche Strafen. Sollte etwa eine Fluggesellschaft solche Daten selbst widerrechtlich verkauft haben, gilt das auch für sie. Denkbar wäre aber auch, dass die Daten auf anderem Wege – etwa durch ein Leck – in die Hände von Datenhändler:innen gelangt sind. Kriminelle könnten möglicherweise die Daten erbeutet oder Angestellte sie verkauft haben.

Da Ausweisdaten so sensibel sind, hätten in so einem Fall nicht nur die Datenschutzbehörden, sondern auch die Betroffenen informiert werden müssen, sagt Elisabeth Niekrenz. Die Anwältin weist darauf hin, dass Betroffene vermutlich Anspruch auf Schadenersatz haben – sowohl gegenüber dem Datenhändler als auch gegenüber der Datenquelle. Auch das Bayerische Landesamt für Datenschutzaufsicht betont, dass die Betroffenen die Firmen auf Schadenersatz verklagen könnten.

Wer seine eigenen Ausweisdaten im Netz findet – oder den Eindruck hat, dass andere personenbezogene Daten ohne Einwilligung verarbeitet wurden – kann sich bei einer Datenschutzbehörde beschweren. Erste Anlaufstelle ist jeweils die Datenschutzbehörde des eigenen Bundeslandes.