Datenhaendler erklaert: Wie sie Ihre persoenlichen Informationen sammeln und verkaufen

Die meisten von uns haben diesen beunruhigenden Moment erlebt, wenn unsere Geraete zu viel zu wissen scheinen -- wenn eine beilaeufige Suche dazu fuehrt, dass uns tagelang verwandte Werbung durchs Internet verfolgt. Gezielte Werbung ist nicht nur laestig; sie kann aktiv schaedlich fuer die Demokratie, die psychische Gesundheit und die Privatsphaere sein. Sie wurde eingesetzt, um gezielt nach Rasse mit Wahldesinformation anzusprechen und um Kirchen durch Geofencing zu rekrutieren.

Was sind Datenhaendler?

Big-Tech-Unternehmen verdienen Pruefung wegen Datenschutzverletzungen, aber einige Unternehmen operieren fast vollstaendig ausserhalb des Rampenlichts, jenseits der meisten Regulierungen und unterhalb des Bewusstseins der meisten Internetnutzer.

Diese Unternehmen sind als Datenhaendler bekannt.

In Europa bieten Datenschutzgesetze sinnvollen Schutz. In den USA ist die regulatorische Landschaft weit weniger restriktiv, und Datenhaendler koennen bis zu 1.500 Datenpunkte ueber den durchschnittlichen amerikanischen Buerger ansammeln.

Datenhaendler (auch "Datenlieferanten", "Informationsbroker" oder "Datenanbieter" genannt) sammeln entweder persoenliche Daten direkt oder kaufen sie von Social-Media-Plattformen, Kreditkartenunternehmen und jeder Website, die Nutzerdaten erhebt oder weitergibt. Dies ist eine 200-Milliarden-Dollar-Branche mit ueber 4.000 Unternehmen, die weiterhin rasant waechst.

Diese Unternehmen reichen von Kreditauskunfteien wie Equifax, Experian und TransUnion ueber Personensuche-Seiten wie PeekYou, Pipl und Instant Checkmate bis hin zu weniger bekannten Unternehmen wie Acxiom, Cuebiq, CoreLogic, LiveRamp und Epsilon. Was sie alle gemeinsam haben, ist die Praxis, persoenliche Informationen zu sammeln und an andere Unternehmen weiterzuverkaufen oder zu teilen.

Wie ein WIRED-Reporter sie beschrieb, sind Datenhaendler "die unkontrollierten Mittelsmaenner des Ueberwachungskapitalismus" und eine "Bedrohung fuer die Demokratie."

Waehrend die meisten Datenhaendler relativ harmlose Listen wie "Formel-1-Enthusiast" oder "werdende Eltern" handeln, haben einige angeblich Listen verkauft, die als "Vergewaltigungsopfer", "Alkoholiker" und "Betroffene von erektiler Dysfunktion" kategorisiert waren.

Wie arbeiten Datenhaendler?

Im digitalen Bereich erfolgt der Grossteil der Datenerhebung ueber Drittanbieter-Cookies und Tracking-Skripte. Andere Unternehmen als die Website, die Sie besuchen, setzen Cookies, um Ihr Verhalten zu ueberwachen und diese Informationen zu verkaufen.

Nicht alle Drittanbieter-Skripte sind boesartig, und nicht alle Cookies sind schaedlich. Viele Websites benoetigen Cookies legitim fuer die Anmeldefunktionalitaet. Der entscheidende Unterschied ist, dass Tracking-Skripte von Datenhaendlern Ihnen nicht nur innerhalb einer einzelnen Seite folgen, sondern von Seite zu Seite ueber den Grossteil des Internets.

Betrachten Sie das Ausmass: Die New York Times traegt 10 Werbetracker und 17 Drittanbieter-Cookies. Adobes Seite hat 21 Werbetracker und 34 Drittanbieter-Cookies. Sogar Surfshark, ein VPN, das sich als datenschutzorientiert vermarktet, hat 9 Werbetracker und 3 Drittanbieter-Cookies. Sie koennen jede Seite mit The Markups Blacklight-Tool testen.

Datenhaendler sammeln Punkte wie IP-Adressen (die den physischen Standort verraten), Geraeteinformationen und Browsing-Interessen. Sie kombinieren dies mit anderen Daten, die sie ueber Sie haben, gruppieren Sie mit aehnlichen Profilen ("Veganer, wohnhaft in Los Angeles, Einkommen 65.000-90.000 $, ledig") und verkaufen diese Listen an Werbetreibende.

Die besonders invasiven Listen -- Menschen mit bestimmten Erkrankungen, sexuellen Praeferenzen, religioesen Ansichten oder politischen Zugehoerigkeiten -- koennen an praktisch jeden verkauft werden. Medizinische Informationen, die online gesucht werden, sind nicht durch HIPAA geschuetzt. HIPAA deckt nur Informationen ab, die mit Aerzten geteilt werden. Die Online-Suche nach "Abtreibung", "Krebsbehandlungen" oder "Therapeut in Seattle" generiert Daten, die voellig ungeschuetzt sind.

Mobile Apps koennen ebenfalls ohne Wissen der Nutzer Daten an Dritte und Haendler weitergeben, einschliesslich kostenloser Taschenlampen-Apps, die heimlich Standortdaten uebermitteln.

Rechtliche Grauzonen

Datenhaendler-Unternehmen operieren in rechtlichen Grauzonen. In Laendern mit strengen Datenschutzgesetzen moegen ihre Praktiken technisch illegal sein, bestehen aber dennoch fort. Die meisten Datenhaendler vergraben die Einwilligung zur Datenweitergabe tief in Nutzungsbedingungen und Kleingedrucktem.

Trotz der Vermarktung ihrer Praktiken als voellig legal muessen sich Datenhaendler regelmaessig mit rechtlichen Konsequenzen auseinandersetzen. 2021 wurde Epsilon vom Justizministerium auf 150 Millionen Dollar verklagt, weil es fast ein Jahrzehnt lang Betrugsmaschen gegen aeltere Menschen erleichtert hatte.

SafeGraph, ein ironisch benannter Standortdaten-Haendler, hat erst kuerzlich aufgehoert, den Kauf von Daten zu ermoeglichen, die zeigen, wie viele Menschen Planned-Parenthood-Standorte besucht haben. Sie haben auch vollstaendig disaggregierte Daten an die amerikanische Regierung verkauft.

Life360, von ueber 35 Millionen Menschen als Familiensicherheits-App genutzt, wurde entlarvt, weil es erhebliche Einnahmen durch den Verkauf praeziser Standortdaten generierte -- einschliesslich Daten von Kindern -- an Dutzende von Datenhaendlern.

Behauptungen zur De-Identifizierung klingen hohl. Eine Studie ergab, dass 99,98 % der Amerikaner mit jedem Datensatz von mindestens 15 demografischen Attributen re-identifiziert werden koennten. Je mehr Daten gesammelt werden, desto einfacher koennen Einzelpersonen herausgefiltert werden.

Warum Sie sich darum kuemmern sollten

Selbst wenn Sie das Gefuehl haben, nichts zu verbergen zu haben, hat nicht jeder das Privileg der Gleichgueltigkeit. Stalking-Opfer, Ueberlebende haeuslicher Gewalt und viele andere haben dringende Gruende, ihre Daten vor Kauf und Verkauf zu schuetzen. Doch in vielen Rechtsgebieten gibt es keine Bundesgesetze, die Datenhaendler zur Loeschung von Daten auf Anfrage verpflichten.

Dieses Daten-Oekosystem gibt Regierungen auch ein legales Schlupfloch um Durchsuchungsbeschluss-Anforderungen herum. Statt einen richterlichen Durchsuchungsbeschluss fuer Ueberwachungsdaten zu erhalten, koennen Behoerden diese einfach von Datenhaendlern kaufen -- voellig legal und ohne Wissen der betroffenen Person.

Sich schuetzen

Mehrere Schritte koennen Ihre Exposition reduzieren: Verwenden Sie datenschutzorientierte Browser wie Brave oder Firefox, nutzen Sie VPNs, lehnen Sie Cookie-Einwilligungen wo moeglich ab und passen Sie mobile Geraeteeinstellungen an, die Apps das Tracking von Aktivitaeten erlauben.

Aber die Last sollte nicht allein auf Einzelpersonen fallen. Digitaler Datenschutz sollte standardmaessig durch Gesetzgebung und Durchsetzung geschuetzt werden. In der EU schreibt die DSGVO Rechtsgrundlagen fuer die Datenverarbeitung vor, obwohl die Durchsetzung unvollkommen bleibt. Selbst DSGVO-Consent-Banner verwenden oft Dark Patterns, die das Ablehnen absichtlich erschweren.

Website-Betreiber koennen sofort handeln, indem sie Drittanbieter-Tracking-Skripte entfernen, die Daten an Haendler senden, und auf datenschutzorientierte Analytics-Tools umsteigen, die nur anonymisierte, aggregierte Daten erheben.

Laut Pew Research Center glauben etwa sechs von zehn Amerikanern, dass es unmoeglich ist, den Alltag zu bestreiten, ohne dass Daten von Unternehmen und Regierungen gesammelt werden.

Die Wirtschaft des modernen Internets basiert auf diesem Datenhandels-Modell. Deshalb sind so viele populaere Websites und soziale Netzwerke kostenlos: Sie generieren Milliarden aus Nutzerdaten. Je mehr Menschen verstehen, wie dieses System funktioniert, desto mehr Druck kann fuer bessere bundesweite Regulierung und den Schutz digitaler Datenschutzrechte ausgeuebt werden.