Was aus meiner Sicht passieren muss:

- Die österreichische Datenschutzbehörde muss eine Untersuchung einleiten

- Das BMI muss endlich offenlegen, wie Webloc genutzt wurde und wird, und auf welcher Rechtsgrundlage dies erfolgt

- Wenn nicht hinreichend, muss die Nutzung sofort gestoppt werden

Getrennt zu betrachten ist die Frage, ob das Innenministerium selbst bzw. der Verfassungschutz/DSN (der es mutmasslich nutzt) eine Rechtsgrundlage für die Nutzung der Daten haben.

Juristische ExpertInnen, mit denen ich gesprochen hab, bezweifeln, dass die bestehenden Rechtsgrundlagen in Österreich ausreichen, um diesen schweren Grundrechtseingriff zu rechtfertigen.

Warum ist Webloc illegal nach der DSGVO?

Niemand in der ganzen Datenlieferkette - hunderte oder tausende Apps, Zwischenhändler, der Webloc-Anbieter Penlink - hat eine gültige Einwilligung für den Zweck "Weitergabe für Überwachung durch Behörden".

Eine andere DSGVO-Rechtsgrundlage als die Einwilligung ist kaum denkbar.

Das Innenministerium setzt also ein Überwachungswerkzeug ein, das auf personenbezogenen Daten beruht, die von allen Beteiligten illegal verarbeitet bzw. weitergegeben werden.

Auch wenn Webloc "nur" zur Überwachung von Einzelnen genutzt wird, sammelt und analysiert es täglich Daten über Millionen Unbeteiligte.

Das ist anlasslose Massenüberwachung.

Diese komplett zweckentfremdete Nutzung von Werbedaten für staatliche Überwachung ist ein Dammbruch.

In den USA wird Webloc eingesetzt, um gerichtliche Kontrolle zu umgehen.

Webloc bietet laut unseren Recherchen Zugriff auf Daten über bis zu 500 Mio Menschen weltweit, bis zu 3 Jahre in die Vergangenheit.

Das System dient u.A. der Ortung von Personen und erstellt Bewegungsprofile. Das ermöglicht Rückschlüsse über Wohnort, Arbeitsplatz, Familie, Freunde und viele andere sensible Verhaltensweisen und Lebensbereiche.

Der Screenshot stammt aus einem geleakten Dokument und zeigt, wie das System eine Person tracked, die von Deutschland über Österreich nach Ungarn reist.

Wie funktioniert Webloc?

Die meisten Apps auf unseren Geräten schicken leider laufend Daten über unser Verhalten an Dritte, entweder über eingebaute Werbetracker (SDKs) oder über Online-Werbeauktionen (RTB). Manche schicken auch den Standort.

Webloc nutzt diese Werbedaten für Massenüberwachung.

Die Tabelle stammt aus unserer Studie und stellt die von Webloc erfassten personenbezogenen Daten dar - auf Basis unterschiedlicher Dokumente (z.T. geleaked), die wir für die Studie analysiert haben.

Sowohl meine Anfrage nach dem Informationsfreiheitsgesetz als auch eine parlamentarische Anfrage wurden pauschal mit dem Argument abgeschmettert, eine Auskunft gefährde die öffentliche Sicherheit.

Nun steht's schwarz auf weiß in einem öffentlichen Vergabedokument, warum auch immer das diesmal nicht redigiert wurde.

Bekannt gegeben wurde eine 2jährige Vertragsverlängerung für Tangles und Webloc ab Mai 2026.

Verlängerung bedeutet: Webloc war auch schon zuvor im Einsatz, vermutlich ab Ende 2024.

In den USA wird Webloc von der paramilitärischen Abschiebetruppe ICE genutzt, dazu von der Polizei in El Salvador und vom ungarischen Inlandsgeheimdienst.

Es gab schon länger den Verdacht, dass Webloc auch in AT eingesetzt wird. Wir wissen seit einem Jahr, dass das BMI seit 2024 das Socialmedia-Überwachungstool Tangles des US-Anbieters Penlink einsetzt.

Aus der Frage, ob auch das Zusatzmodul Webloc gekauft wurde, hat das Innenminsterium fast ein Jahr lang ein Staatsgeheimnis gemacht.

Worum gehts? Um die werbedatenbasierte Überwachungssoftware Webloc.

Ich hab kürzlich eine Studie geleitet, die ausgerechnet genau dieses System untersucht - im April veröffentlicht vom Citizen Lab an der Uni Toronto. Wir haben Ungarn als erstes EU-Land identifiziert, das Webloc einsetzt.

Nun also auch Österreich.'
https://citizenlab.ca/research/analysis-of-penlinks-ad-based-geolocation-surveillance-tech/