Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

US-Datenhändler Rapleaf: Jeder kann NSA

Von

Handel mit Kundendaten: NSA-Software für jedermann Fotos

Haushaltseinkommen, Familienstand, Hobbys: Der US-Datenhändler Rapleaf liefert für Cent-Beträge umfassende Personenprofile zu einer E-Mail-Adresse - für jedermann. Der Test zeigt: Der Datenabgleich ist inzwischen so simpel, dass selbst technisch Unbedarfte NSA spielen können.

Die E-Mail-Adresse ist unser digitaler Fingerabdruck. Weil sie in der Regel mit vielen Online-Konten verknüpft ist, lässt sich mit ihr einiges über die dahinterstehende Person herausfinden. Der US-Geheimdienst NSA tut dies mit Hilfe der Software XKeyscore. Dort gibt man eine E-Mail-Adresse ein und bekommt schwuppdiwupp ein umfängliches Dossier geliefert.

Das kann ich ebenfalls, wenn auch in etwas bescheidenerem Umfang.

In den vergangenen Monaten haben wir gelernt, dass Geheimdienste sich einen feuchten Kehricht um Datenschutz scheren und so ziemlich alles über uns sammeln und speichern. Was dabei in den Hintergrund geraten ist: Die Privatwirtschaft setzt ganz ähnliche Technologien ein, und das bereits seit Jahren.

Um dies zu illustrieren, habe ich ein kleines Experiment durchgeführt. Ich wollte wissen, ob auch ich Personenprofile erstellen kann. Dazu habe ich in sozialen Netzwerken dazu aufgerufen, mir E-Mail-Adressen zur Verfügung zu stellen. Viele sind diesem Aufruf gefolgt und haben der Verwendung ihrer Daten zugestimmt.

Im nächsten Schritt lud ich die Adressen bei Rapleaf hoch. Die US-Firma gilt als die NSA unter den kommerziellen Datenhändlern. Rapleaf hat auf seinen Servern eigenen Angaben zufolge 1,1 Milliarden E-Mail-Adressen gespeichert. Diese Adressen reichert das Unternehmen, wie das im Branchenjargon heißt, mit weiteren Daten an. Verwendete Quellen sind unter anderem Einkaufshistorien, Aktivitäten in sozialen Netzwerken, Surfverhalten oder Grundbucheinträge.

Schnell und billig

Rapleaf ist komplett webbasiert. Zugangsbeschränkungen gibt es nicht. Jeder Interessierte kann beliebig viele E-Mail-Adressen mit der Datenbank abgleichen. Zu den Merkmalen, die Rapleaf für Adressen anbietet, gehören Geschlecht, Haushaltseinkommen, Familienstand, Kinder oder Ausbildung. Zudem kann man Hobbys oder persönliche Interessen (Kunst, Babyartikelkäufer, Haustiere) abfragen. Dafür muss man bezahlen, es kostet pro Adresse und Merkmal einen US-Cent.

Das Gros der von mir überprüften Adressen gehören deutschen Nutzern, und so ist die Ausbeute bei den meisten gering, da Rapleaf vor allem in den USA aktiv ist und vornehmlich dortige Datenbanken durchforstet, etwa das US-Wahlverzeichnis. Bei drei Viertel der untersuchten Adressen war das Geschlecht abrufbar, mitunter sind auch das Alter oder einzelne Merkmale vorhanden. Das Profil einer Amerikanerin, das ich abrief, war hingegen sehr umfänglich: Haushaltseinkommen, Kinder, Wert der Immobilie, Schulabschluss, Postleitzahl und vieles mehr.

Hervorragende Nutzerführung

Am meisten verblüffte mich jedoch, wie einfach es war, an all diese Kundendaten zu kommen. Es mag zynisch klingen, aber Rapleafs Usability ist hervorragend. Selbst ein IT-Depp wie ich kann damit mühelos Leute auschecken. Vor allem das Hin- und Herschieben von Datensätzen ist kinderleicht. Wenn man selbst einen Newsletter verwaltet, kann man sich zu den Adressen der Abonnenten bei Rapleaf umfassende Profile dazukaufen. Verwendet man eine Newsletter-Software wie Mailchimp, lassen sich die Adressen mit einem einzigen Klick hochladen und auswerten.

Nach deutschem Recht wäre all das nicht zulässig, jedenfalls nicht ohne ausdrückliche Einwilligung der Betroffenen. Das ergab eine Anfrage beim Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI). Dessen Sprecherin teilte mit, ihr sei Rapleaf zwar nicht bekannt. Das Ganze sei aber als "geschäftsmäßige Datenerhebung und Speicherung zum Zweck der Übermittlung" nach Paragraf 29 Bundesdatenschutzgesetz einzustufen. Erheben und Speichern der Daten wie auch die Übermittlung an Dritte stünden daher unter dem Vorbehalt, dass schutzwürdige Interessen der Betroffenen dem nicht entgegenstehen. Da Rapleaf jedoch heikle Daten wie Einkommen verkauft, kann man davon ausgehen, dass die Verwendung nach deutschem Recht problematisch ist. Rapleaf reagierte zunächst nicht auf eine Bitte um Stellungnahme. Die Firma ist seit Jahren im Geschäft, sie sammelte schon 2007 Daten und verkaufte sie an Unternehmen.

Man kann nicht mit Bestimmtheit sagen, dass hiesige Firmen dieses oder ähnliche Werkzeuge verwenden, da es offenbar keinerlei Kontrolle gibt. Ich habe mit einer deutschen Kreditkarte bezahlt und wurde nicht nach der Herkunft der Daten gefragt. Man kann vermuten, dass einige Unternehmen es tun, vielleicht sogar viele. Wenn man die nach deutschem und europäischem Recht fragwürdigen Datentransfers über eine Agentur oder direkt über die USA abwickelt, liegt das Risiko, erwischt zu werden, wohl nahe null.

Sicher scheint mir, dass uns Verbraucher niemand vor diesen kommerziellen Datendieben schützt. Und genau wie bei den Geheimdiensten gilt: Das Ausmaß der Schnüffelei und die vermutlich ziemlich entsetzliche Realität können wir nur erahnen. Beweisen lässt sie sich erst, wenn ein mutiger Whistleblower auspackt.

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 27 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. in welchen Grauzonen
felisconcolor 04.10.2013
arbeiten deutsche Datenkraken und Scoring Unternehmen? Allein die Tatsache das gewisse Geschäfte NUR mit Einwilligung einer Schufa Auskunft getätigt werden können halte ich für sehr bedenklich. Die Freiheit seiner Daten ist doch in Deutschland schon nicht gegeben, wie soll es dann wo anders aussehen. Und da jeder mit jedem handelt ist es für den Bürger nicht mehr nach zu vollziehen wo seine Daten überall sind. Und das war schon vor FB und anderen sozialen Netzen so.
2. optional
Gott 04.10.2013
Naja rapleaf automatisiert einfach einen Prozess, den jeder auch von Hand durchführen kann falls er weiß wie man google benutzt... So beeindruckend find ich das jetzt nicht.
3. stimmen die daten?
axelst 04.10.2013
die grosse Gefahr sehe ich in dem vertrauen er meisten Bürger in die Korrektheit dieser Daten. wie will denn ein datenkaeufer ueberpruefen, ob alles stimmt? der alte Film DAS NETZ zeigt zwar reißerisch aber doch plausibel wozu es führt wenn man blind den Informationen im Internet glaubt. die Gefahr ist also nicht nur dass unsere Daten im Netz sind, sondern auch, dass dort Falschinformation stehen kann und die Leute es glauben.
4.
mwroer 04.10.2013
Zitat von felisconcolorarbeiten deutsche Datenkraken und Scoring Unternehmen? Allein die Tatsache das gewisse Geschäfte NUR mit Einwilligung einer Schufa Auskunft getätigt werden können halte ich für sehr bedenklich. Die Freiheit seiner Daten ist doch in Deutschland schon nicht gegeben, wie soll es dann wo anders aussehen. Und da jeder mit jedem handelt ist es für den Bürger nicht mehr nach zu vollziehen wo seine Daten überall sind. Und das war schon vor FB und anderen sozialen Netzen so.
Warum? Wie anders soll ich mich als Unternehmer denn zumindest der grundlegenden Bonität meiner Kunden versichern? Ich halte es eher für bedenklich die Arbeitsplätze meiner Angestellten zu riskieren in dem ich mir Kunden einfange die entweder nicht zahlen können oder einfach eine miese Zahlungsmoral haben und erst nach der dritten Mahnung, Dafür gibt es die Schufa und Kreditreform und und und. Wenn Sie nicht wollen dass diese Daten an Dritte gegeben werden: Gehen Sie zu Firmen die keine Schufa-Auskunft verlangen. Die gibt es. Was meinen Sie mit 'Freiheit seiner Daten' und warum sollte die gegeben sein?
5. the American way...
incognito@spon 04.10.2013
Aktuell diskutieren wir mit amerikanischen Kollegen ein Projekt zum Kundenmanagement. Dabei kommt heraus, daß Amerikaner eine komplett unterschiedliche Mentalität im Umgang mit Kundendaten haben. Offensichtlich ist es wohl selbst den Kunden egal, daß ein Verkäufer die Kreditlinie eines Kunden kennt und diese fleißig ausschöpft. Dagegen sind sie äußerst sensibel, wenn man das Geschlecht eines Kunden mit "sex" beschreibt und nicht mit "gender". Zudem scheint es, daß erst einmal alles erlaubt ist, bis man auf die Finger geklopft bekommt. So hat wohl eine Kundin in Kalifornien vor Gericht erwirkt, daß Kundendaten erst nach einem Verkauf abgefragt werden. Gesetzgebung findet hier offensichtlich durch eine Rechtsanwaltsindustrie statt, welche absurde Vorschriften erwirkt, wie etwa den Hinweis, daß man keine lebenden Tiere in eine Mikrowelle stecken soll oder daß auf einem Pappbecher mit Kaffee darin den Hinweis "Vorsicht heiß" anbringen soll. Verbraucherschutz ist nicht in größeren Maßen zu erwarten, vielmehr ist im Gegensatz zu uns das Interesse der Wirtschaft, Umsätze zu maximieren. Basiert doch Amerikas Vormachtstellung auf wirtschaftlicher Stärke. Datenerhebung wird in Amerika nur dann kritisch gesehen, wenn sie mit dem Kommunismus in Verbindung gebracht wird. Also, wenn persönliche Daten in die Hände von Russen oder Chinesen geraten. Wenn die selben Daten in die Hände von Data Minern oder der NSA gelangen, ist dies für einen Amerikaner unverfänglich. So absurd dies klingt, dient dies doch der Erhaltung der "Freiheit" und der "Sicherheit".
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2013
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



König ist Kunde
Tom König leidet mit Ihnen: Er steht Schlange, hängt in der Warteschleife und erlebt jede Woche aufs Neue, was es in Deutschland heißt, Kunde zu sein. Unter dem Pseudonym Tom König berichten wir bei SPIEGEL ONLINE über die schlimmsten Servicedesaster, die unser Autor selbst erlebt hat oder die unseren Lesern widerfahren sind. Haben Sie auch eine Kundendienst-Katastrophe hinter sich? Dann schreiben Sie Tom König:

Anzeige
Facebook


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: