Das israelische Unternehmen Cobwebs Technologies hat eine digitale Überwachungsmaschine geschaffen, die längst unkontrolliert läuft. Penlink, die Nachfolgefirma nach der Fusion im Juli 2023, vertreibt die Webloc-Plattform nun an Hunderte von Behördennutzer weltweit. Die Funktionsweise ist beängstigend simpel: Das System kauft Positionsdaten und Geräteidentifikatoren von mobilen Apps und Werbetreibenden auf, um damit Bewegungsprofile zu erstellen. Jedes Gerät, jede Bewegung — bis zu drei Jahre in der Vergangenheit.
Der Umfang ist atemberaubend. Unter den US-Kunden befinden sich die Einwanderungsbehörde ICE, das Verteidigungsministerium, lokale Polizeibehörden in Los Angeles, Dallas und Baltimore, sowie kleinere Städte und Counties. Doch auch international ist die Reichweite enorm: Ungarn, El Salvador und weitere Länder nutzen die Technologie. Besonders problematisch ist dabei die fehlende richterliche Kontrolle — eine Recherche der Plattform 404 Media zeigt, dass Webloc gezielt ohne Warrants eingesetzt wird.
Die Citizen Lab-Forscher beschreiben Webloc als Addon zur Social-Media-Analyse-Software Tangles. Die Plattform greift auf einen ständig aktualisierten Datenstrom von bis zu 500 Millionen Mobilgeräten zu und kombiniert Standortdaten mit persönlichen Profildaten. Interessanterweise wurde Cobwebs Technologies bereits 2021 von Meta deplatformiert, nachdem das Unternehmen etwa 200 Fake-Accounts betrieben hatte, um Aktivisten, Oppositionspolitiker und Regierungsbeamte in Hongkong und Mexiko auszuspionieren.
Die Infrastruktur ist global verteilt: 219 aktive Server wurden identifiziert, die meisten in den USA (126) und den Niederlanden (32), aber auch acht in Deutschland, acht in Hongkong und sieben im Vereinigten Königreich. Das bedeutet, dass deutsche Daten möglicherweise auch auf deutschen Servern verarbeitet werden — ein Verstoß gegen europäische Datenschutzstandards.
Penlink bestreitet die Vorwürfe und behauptet, die Befunde beruhten auf ungenauen Informationen oder Missverständnissen. Das Unternehmen betont seine Einhaltung von US-Datenschutzgesetzen. Doch dies wirft nur neue Fragen auf: Die USA haben einen schwächeren Datenschutz als die EU, und die bloße Einhaltung lokaler Gesetze rechtfertigt nicht die Massenüberwachung.
Die Citizen Lab folgert besorgniserregend: “Unsere Recherche zeigt, dass aufdringliche und rechtlich fragwürdige werbegestützte Überwachung durch Militär-, Geheimdienst- und Polizeibehörden bis hinunter zu lokalen Polizeistellen in mehreren Ländern der Welt praktiziert wird.” Dies ist ein Weckruf für Regulatoren und Datenschützer: Die Grauzone zwischen Sicherheit und Massenüberwachung wird immer breiter.