Sie heißen Adsquare, Zeotap, Equifax oder Liveramp und wissen mehr über einen als man selbst. Data Broker vermengen Daten ihrer Firmenkunden mit durch Drittanbieter erhobenen und auf sogenannten Datenmarktplätzen gehandelten Informationen. Daraus generieren diese Firmen zum Beispiel Personas wie alleinerziehende Mutter oder Sportfan. Die können ihre Kunden wiederum für maßgeschneiderte Werbung und Zielgruppenansprache einkaufen und nutzen.
Was zuerst nach einem großen Skandal klingt, ist unter bestimmten Auflagen legal. Diese sind in der in Europa seit 2018 gültigen Datenschutzgrundverordnung (DSGVO) festgelegt. In der Praxis wird der Umgang mit der Erhebung, Verarbeitung und Verwendung von Nutzer:innendaten bislang oft schwammig interpretiert.
Das größte Schlupfloch: das sogenannte „berechtigte Interesse“. Demzufolge dürfen Unternehmen große Datenmengen erheben, wenn es einen gerechtfertigten Zweck gibt. Zum Beispiel, wenn es dem sicherheitstechnischen oder wirtschaftlichen Interesse der Firma dient oder notwendig für die Bereitstellung einer Dienstleistung ist. Im letzten Schritt muss diese Notwendigkeit gegen Persönlichkeits- oder andere Grundrechte abgewogen werden, was Unternehmen oft eher lax auslegen. Aber wie kommen diese Data Broker an die entsprechenden Daten?
Cookies als Tor zur Datenwelt
Hier kommen Cookies und Tracking-Pixel wie der von Meta ins Spiel. Wird dieser beispielsweise auf einer Internetseite hinterlegt, kann er sämtliche Interaktionen und auf der Seite eingegebene Daten erfassen und an Meta zur Verarbeitung und Anreicherung eines Nutzer:innenprofils weiterleiten. Dabei spricht man von sogenannten Off-Site-Daten, also solchen, die im vorliegenden Beispiel nicht direkt auf Facebook oder Instagram erfasst werden.
Auch andere Cookies tracken, wie Nutzer:innen mit Webseiten und Inhalten interagieren. Ist etwa das Anzeigen personalisierter Werbung im eigenen Google-Account nicht deaktiviert, kann der Mutterkonzern Alphabet über sein riesiges Werbenetzwerk Anzeigen passgenau auf die jeweiligen User:innen zuschneiden und ausspielen. Wer zum Beispiel nach günstigen Angeboten für Sportkleidung googelt, bekommt vielleicht Werbung für Laufschuhe, Nahrungsergänzungsmittel oder Fitnessstudios angezeigt. Mit Werbung hat die Google-Mutter 2024 rund 75 Prozent ihres Umsatzes gemacht, wie unsere Infografik zeigt.
Den meisten Umsatz macht Alphabet-Mutter Google mit Suchmaschinenwerbung. (Grafik: t3n)
Dank der durch die DSGVO vorgeschriebenen Consent-Banner, die alle Daten verarbeitenden Seitenanbieter implementieren müssen, haben Nutzer:innen in der Regel eine gewisse Handhabe, welche Daten sie an Unternehmen weitergeben. Und wer der Profilbildung widerspricht, wird nicht automatisch von Diensten wie der Google-Suche ausgesperrt.
Wenn zweckgebundene Daten für andere Zwecke genutzt werden
Etwas anders sieht es bei Apps aus, die ohne die Übermittlung bestimmter Daten schlicht nicht funktionieren. Dazu gehören zum Beispiel Wetter- oder Dating-Apps, bei denen der Standort an einen Server übermittelt und dort verarbeitet werden muss. Das kann zum Problem werden, wenn diese Daten mit anderen Informationen wie der geräteeigenen Werbe-ID verknüpft werden.
Dass das zur Bildung von Bewegungsprofilen führen kann, die im schlimmsten Fall sogar die nationale Sicherheit bedrohen, zeigt eine ausführliche Recherche von netzpolitik.org und dem Bayerischen Rundfunk aus dem vergangenen Jahr. Basis der sogenannten Data Broker Files ist eine „Kostprobe“ eines Datensatzes des Data Brokers Datastream aus den USA, die die Journalist:innen über den Berliner Datenmarktplatz Datarade erhalten. Darin finden sich alleine für Deutschland etwa vier Milliarden Standortdaten von rund elf Millionen Smartphones.
Datarade selbst kann für die Erhebung dieser Daten gemäß DSGVO laut Einschätzung der in den Data Broker Files zitierten Datenschutzbeauftragten nicht belangt werden, da die Firma nur Vermittler und nicht Verarbeiter der Daten ist. Auf der anderen Seite ist die Durchsetzung europäischen Rechts gegenüber US-Datenhändlern wie Datastream schwierig und selten von Erfolg gekrönt. Im Zweifel können Nutzer:innen nur eines tun: datenschutzfreundlichere Apps nutzen oder auf die entsprechenden Funktionen ganz verzichten.
Die Zukunft der Data Broker: Sicherer Hafen EU?
Denn klar ist: Wenn es gar keine persönlichen Daten gibt, die zu einer Profilbildung beitragen, und diese nicht unter verschiedenen Diensten ausgetauscht werden, haben es Data Broker schwer. Erste Gerichtsurteile zu diesen beiden Themenkomplexen betreffen nicht nur Datenhändler, sondern die gesamte Digitalwerbebranche.
In einem Verfahren zwischen dem österreichischen Datenschutzaktivisten Max Schrems und der EU-Dependance von Meta entscheidet der Europäische Gerichtshof im Oktober 2024, dass Meta nicht ohne weiteres sämtliche User:innendaten für Werbung benutzen darf.
Laut Urteil muss der Tech-Konzern dem Prinzip der Datenminimierung folgen Meta darf also nur die minimal notwendigen Daten für das Bereitstellen seiner Dienste erheben und verarbeiten. Darunter könnte beispielsweise die IP-Adresse oder eine Gerätekennung fallen, um Missbrauch und Betrug vorzubeugen. Diese dürften aber auch nur zweckgebunden verwendet und nicht für andere Zwecke genutzt oder weitergegeben werden.
Sensible Daten wie die sexuelle oder politische Orientierung von Nutzer:innen unterliegen laut des Europäischen Gerichtshof besonderem Schutz. Als Beispiel nennt das Gerichtsurteil den Fall, dass eine Person während eines öffentlichen Auftritts ihre sexuelle Orientierung bekannt gibt. Auch dann dürfte Meta diese Information nicht nutzen und mit Daten von seinen Plattformen anreichern, um personalisierte Werbung auszuspielen.
Schrems gegen Meta: Ein Urteil mit Strahlkraft
Das Urteil betrifft zwar nur eine Firma. Aber die ist so stark in das digitale Weltgeschehen eingebunden wie keine andere. Milliarden Menschen nutzen die sozialen Netzwerke Facebook und Instagram, Whatsapp ist laut aktueller Schätzungen von Datareportal der beliebteste Messenger weltweit. Entsprechend hat die Entscheidung des Gerichts eine starke Signalwirkung.
Empfehlungen der Redaktion
Besonders relevant wird das Urteil im Zusammenspiel mit einer Entscheidung des Landesgerichts Stuttgart aus dem Februar 2025. Darin folgert das Gericht, dass Meta auch dann noch eine direkte Einwilligung zur Datenspeicherung einholen muss, wenn ein:e Nutzer:in diese schon einem Drittanbieter wie einem Webseitenbetreiber gegenüber erteilt hat. Können diese keine zusätzliche Absicherungsebene einziehen, können Betroffene im Zweifel Schadensersatz verlangen.
Wie Nutzer:innen die Hoheit über ihre Daten zurückbekommen sollen
Statt die Sammlung und Speicherung von Daten generell zu verbieten, gibt es derzeit verstärkte Bemühungen, User:innen die Hoheit über ihre eigenen Daten zurückzugeben. In der Europäischen Union soll der EU Data Act, der im September 2025 in Kraft tritt, festlegen, dass Nutzer:innen selbst darüber entscheiden können, welche Daten von vernetzten Geräten wie Fitnesstrackern sie mit wem teilen.
Ein anderes Modell steht momentan in Brasilien auf dem Prüfstand. In einem Testlauf erhält eine ausgewählte Gruppe eine sogenannte Dwallet, in der bei Abschluss eines Darlehens sämtliche relevante Daten einfließen. Darauf zugreifen können zunächst nur die Wallet-Besitzer:innen selbst. Unternehmen können allerdings auf die Daten in dieser Dwallet bieten. Die Datenbesitzer:innen erlauben schließlich gegen Entlohnung Zugriff darauf.
Laut einer Analyse von Rest Of World könne dieser Vorstoß aber auch problematisch werden, da rund 30 Prozent der Brasilianer:innen praktisch Analphabeten seien und vielleicht nicht abschätzen könnten, was genau mit ihren Daten passiert und wie viel diese wirklich wert sind.
Datenschutz wird im KI-Zeitalter immer wichtiger
Die Frage danach, wie wir mit unseren Daten im Netz umgehen und worauf Dritte Zugriff haben, wird immer akuter. Dafür sorgen nicht zuletzt rasante technologische Neuerungen wie große Sprachmodelle. Denn diese saugen ganz ohne Consent-Banner massenweise Daten für ihr Training auf.
Für die Zukunft sind verschiedene Szenarien denkbar. Zum einen wäre eine stärkere gesetzliche Reglementierung möglich, auch über die EU hinaus. Die müsste aber auch seitens der Gerichte durchgesetzt werden. Außerdem müssten Nutzer:innen aktiver bei Anzeigen und Beschwerden werden.
Zum anderen könnte ein Modell wie in Brasilien, das gewisse Ähnlichkeiten mit Treueprogrammen aufweist, aber mehr Entscheidungsfreiheit für Nutzer:innen verspricht, etabliert werden. Damit würden User:innen zwar immer noch ihre Daten hergeben, aber dafür zumindest entlohnt werden – auch wenn sicher deutlich zu definieren wäre, was bestimmte Informationen wert sind.
Letzten Endes kommen aber sowohl die Wirtschaft als auch die Politik und die einzelnen Nutzer:innen nicht um die Beschäftigung mit persönlichen Daten im Netz herum. Mindestens muss einzelnen Personen mehr Verfügungsmacht darüber eingeräumt werden, wie mit ihren Daten umgesprungen wird. Denn momentan lohnt sich der Datenhandel nur für Data Broker und Informationsvermittler. Und das, obwohl diese Firmen ohne Nutzer:innen und ihre Klicks nicht existieren würden.
Dos and Don’ts bei der Passwortsicherheit
