Heute ist aus einer abstrakten Debatte über Datenbroker ein konkreter deutscher Datenschutzfall geworden. BR und netzpolitik.org berichten, dass Polizeibehörden in mindestens zwei Bundesländern auf kommerziell verfügbare Daten zugegriffen haben. Für Mecklenburg-Vorpommern ist dabei mehr als nur ein allgemeiner Datenzukauf bestätigt: Nach der Recherche gehörten in der Vergangenheit auch Standortdaten aus der Werbeindustrie dazu. Dpa meldete am Dienstag, dass der Landesdatenschutzbeauftragte dort bereits eine Prüfung eingeleitet hat. Genau an diesem Punkt kippt das Thema vom politischen Aufregertitel in einen operativen Datenschutzfall.
Der Kern ist nicht bloß, dass irgendwo ein weiterer Datensatz gekauft wurde. Der Kern ist, dass Bewegungs- und Standortdaten aus Apps Erkenntnisse liefern können, die in ihrer Wirkung sehr nah an klassische Überwachungsinstrumente heranreichen. Wer Wohnort, Arbeitsweg, regelmäßige Aufenthaltsorte oder Kontaktmuster aus Werbedaten rekonstruieren kann, gewinnt ein Profil, das weit über harmlose Marketingmetriken hinausgeht. Genau deshalb ist der heutige Fall für DSGVOSCAN relevant: Er zeigt, wie schnell aus dem App-Tracking-Markt eine Schattenquelle für Ermittlungen werden kann.
Bestätigt ist mehr als nur ein Verdacht
Besonders belastbar ist die heutige Lage, weil sie nicht nur auf Hörensagen beruht. Netzpolitik.org dokumentiert, dass das Landeskriminalamt Brandenburg anlassbezogen auf Datenhändler oder andere Anbieter kommerziell erwerblicher Daten zurückgreift. Für Mecklenburg-Vorpommern wurde nach einer weiteren Presseanfrage präzisiert, dass zu den genutzten Daten auch Standortdaten der Werbeindustrie gehörten. Gleichzeitig hält die Recherche fest, dass Brandenburg gerade nicht offengelegt hat, ob dort ebenfalls Handy-Standortdaten genutzt wurden. Diese Unterscheidung ist wichtig. Der Fall darf nicht breiter behauptet werden, als er belegt ist. Aber genau in der sauberen Fassung bleibt er stark genug: Mindestens ein deutsches Landeskriminalamt hat kommerzielle Standortdaten aus dem Werbemarkt genutzt, ein weiteres räumt den Rückgriff auf Datenhändler ein.
Hinzu kommt die Reaktion der Aufsicht. Laut dpa bestätigte die Datenschutzbehörde in Mecklenburg-Vorpommern, dass eine Prüfung läuft. Netzpolitik.org berichtet außerdem, dass keine der angefragten Landesdatenschutzbehörden eine konkrete Rechtsgrundlage für den Einsatz kommerzieller Standortdaten durch die Polizei benannt habe. Der Münchner Strafrechtler Mark Zöller bewertet die Praxis nach jetzigem Stand als rechtswidrig. Das ist keine Nebenbemerkung, sondern der eigentliche Sprengsatz des Falls: Wenn Behörden Daten kaufen, die in der Sache ähnlich tiefe Einblicke erlauben wie eine Funkzellenabfrage, stellt sich sofort die Frage, ob damit gerichtliche Kontrollmechanismen faktisch umgangen werden.
Warum der Fall weit über Polizeiarbeit hinausreicht
Für Unternehmen ist die heutige Geschichte nicht bloß ein Thema für Innenpolitik oder Grundrechtsdebatten. Sie zeigt vor allem, dass der Standortdatenhandel längst nicht mehr im Marketing-Silo bleibt. Schon im Dezember 2025 hatte Heise berichtet, dass die Bundesregierung den Bezug personenbezogener Daten von kommerziellen Datenhändlern im Einzelfall für angemessen halten kann und diese Einkäufe nicht einmal systematisch erfasst werden. Die heutige Recherche schiebt diese abstrakte Linie nun in eine praktisch überprüfbare Wirklichkeit hinein. Was in App-SDKs, Adtech-Ketten oder Real-Time-Bidding-Systemen anfällt, kann am Ende eben nicht nur bei Werbenetzwerken oder Datenhändlern liegen, sondern in Ermittlungszusammenhängen relevant werden.
Damit verändert sich auch die Risikobewertung auf Unternehmensseite. Wer Standortdaten erhebt, einkauft, anreichert oder über Drittdienste mitlaufen lässt, muss sich nicht mehr nur fragen, ob die Einwilligung für personalisierte Werbung sauber dokumentiert ist. Die größere Frage lautet, ob überhaupt beherrscht wird, wohin diese Daten nachgelagert fließen, wer sie weiterverkauft und in welchen Kontexten sie später auftauchen können. Der heutige Fall macht sichtbar, dass aus einem scheinbar normalen App- oder Adtech-Tracking ein Datensatz werden kann, der für staatliche oder halb-staatliche Informationsgewinnung attraktiv ist. Genau das macht Zweckbindung, Datensparsamkeit und Vendor-Governance wieder zu Vorstandsthemen.
Was Unternehmen jetzt konkret prüfen sollten
Die operative Lehre aus dem heutigen Fall ist unangenehm klar. Erstens sollten Unternehmen, die Apps betreiben oder mobile SDKs einsetzen, ihre Standortdatenflüsse nicht länger als rein funktionales Produktdetail behandeln. Wenn ein Dienst Standortdaten nur für Komfortfunktionen oder grobe Personalisierung braucht, muss sauber geprüft werden, ob Umfang, Frequenz und Weitergabe überhaupt verhältnismäßig sind. Zweitens gehört jede Einwilligungslogik rund um Standortdaten auf den Prüfstand. Wenn Nutzerinnen und Nutzer nicht wirklich verstehen, dass ihre Bewegungsdaten in Handelsketten geraten können, trägt eine formale Checkbox das Risiko nicht ernsthaft ab. Drittens müssen Einkaufs-, Datenschutz- und Security-Teams ihre Dienstleisterlisten zusammenziehen: Wer verarbeitet mobile Daten, wer verkauft sie weiter, welche Subprozessoren hängen dahinter und welche vertraglichen oder technischen Schranken gibt es gegen eine Weitervermarktung?
Der heutige Fall wird politisch noch weiterlaufen. Für DSGVOSCAN ist aber schon jetzt klar, warum er berichtenswert ist: Nicht weil irgendwo wieder abstrakt über Überwachung gestritten wird, sondern weil eine aktuelle Recherche mit bestätigten Behördenangaben zeigt, wie schnell aus App-Standortdaten ein Ermittlungswerkzeug werden kann. Wenn Polizeibehörden auf Databroker zurückgreifen und Datenschutzaufsichten gleichzeitig keine tragfähige Rechtsgrundlage erkennen, ist das keine Randnotiz. Es ist ein Warnsignal für jede Organisation, die mobile Daten erhebt und darauf vertraut, dass der Markt diese Informationen schon in einem harmlosen Werbekreislauf halten wird.
Bildquelle: Pexels
