AIO APEX
Privacy & Data

Die Datenbroker-Branche steht endlich vor echter Regulierung – Was das für Sie bedeutet

Teilen:
Die Datenbroker-Branche steht endlich vor echter Regulierung – Was das für Sie bedeutet

Die 300-Milliarden-Dollar-Industrie, die Ihr Leben ohne zu fragen gehandelt hat

Datenbroker – Unternehmen, die persönliche Daten kaufen, bündeln und verkaufen, ohne dass die Betroffenen davon wissen – betreiben seit Jahrzehnten eine 300-Milliarden-Dollar-Industrie praktisch ohne Rechenschaftspflicht. Das änderte sich 2024 und 2025. Die FTC erließ ihre erste durchsetzbare Datenbroker-Regel, Kaliforniens Delete Act (SB 362) trat im Januar 2026 in Kraft, und die EU-Aufsichtsbehörden verhängten eine 150-Millionen-Euro-Strafe gegen ein französisches Werbenetzwerk, weil es Standortdaten ohne GDPR-Einwilligung verkauft hatte. Die Ära des folgenlosen Handels mit persönlichen Daten geht zu Ende – aber nicht schnell genug und nicht ohne Schlupflöcher.

Was Datenbroker tatsächlich mit Ihren Informationen tun

Das Geschäftsmodell ist einfach: Daten aus allen verfügbaren Quellen sammeln, zu umfassenden Profilen zusammenführen und den Zugang zu diesen Profilen an Werbetreibende, Versicherungen, Arbeitgeber, Strafverfolgungsbehörden und politische Kampagnen verkaufen. Die Eingangsdaten sind weit umfangreicher, als die meisten Menschen glauben.

  • Öffentliche Aufzeichnungen: Grundstückseigentum, Gerichtsakten, Wählerregistrierungen, Berufslizenzen
  • Treueprogramme: Kaufhistorie von Händler-Kundenkarten, die auf Einkommen, Gesundheitszustand und Lebensstil schließen lässt
  • App-SDKs: Mobile Apps integrieren Drittanbieter-Code, der Standortdaten und Gerätekennungen sammelt – oft mit einer Einwilligung, die in einer 40-seitigen Nutzungsbedingung versteckt ist
  • Kreditkartentransaktionsdaten: Von Zahlungsabwicklern aggregiert verkauft, die Ausgabemuster über verschiedene Händler hinweg offenlegen
  • Standort-Pings: GPS-Koordinaten von Wetter-Apps, Navigationswerkzeugen und mobilen Spielen, mit Zeitstempel versehen und unbegrenzt gespeichert

Ein typisches Datenbroker-Profil eines erwachsenen Amerikaners enthält: vollständigen Namen, aktuelle und frühere Adressen, Telefonnummern (auch nicht-öffentliche), geschätztes Haushaltseinkommen, aus Spendenaufzeichnungen abgeleitete politische Zugehörigkeit und aus Käufen von verschreibungspflichtigen Medikamenten, Mobilitätshilfen oder bestimmten Lebensmitteln abgeleitete Gesundheitszustände. Diese Profile werden kontinuierlich aktualisiert und an jeden verkauft, der bereit ist zu zahlen.

Die wichtigsten Akteure und wer sie nutzt

Der Datenbroker-Markt wird von einer Handvoll großer Unternehmen dominiert, jedes mit einer anderen Spezialisierung:

  • Acxiom / LiveRamp: Acxiom unterhält Profile von etwa 2,5 Milliarden Menschen weltweit. LiveRamp, seine Tochtergesellschaft, ist die dominierende Plattform zur "Identitätsauflösung" – sie verknüpft Offline-Daten mit digitalen Werbe-IDs, sodass Marken Einzelpersonen geräteübergreifend ansprechen können. Hauptkunden: Konsumgüterunternehmen und Einzelhandelswerbetreibende.
  • Experian: Bekannt als Kreditauskunftei, verkauft die Marketing-Services-Abteilung von Experian Verhaltens- und demografische Daten, die völlig getrennt von den Kreditdateien sind. Es liefert Daten für Direktmailing-Kampagnen, Versicherungszeichnungsmodelle und die gezielte Ansprache von Finanzprodukten.
  • LexisNexis Risk Solutions: Konzentriert sich auf Identitätsprüfung, Betrugserkennung und Hintergrundchecks. Seine Daten werden von Banken, Versicherungen und Regierungsbehörden einschließlich der Strafverfolgungsbehörden genutzt – eine Pipeline, die erhebliche Prüfung durch die ACLU auf sich gezogen hat.
  • Oracle Data Cloud (jetzt Teil von Oracle Advertising): Aggregiert Kaufdaten von Einzelhändlern und Mediennutzungsdaten von Verlagen. Bedient hauptsächlich große Unternehmenswerbekampagnen. Oracle kündigte 2024 unter regulatorischem Druck an, sein Drittanbieter-Datengeschäft auslaufen zu lassen, obwohl die Erstparteien-Partnerschaften fortgesetzt werden.
  • Epsilon: Im Besitz der französischen Werbegruppe Publicis, betreibt Epsilon den CORE ID-Identitätsgraphen und konzentriert sich auf Treueprogrammdaten. Wichtige Kundenbasis umfasst Automobilhersteller, Finanzdienstleister und Telekommunikationsunternehmen.
  • Spokeo und BeenVerified: Verbraucherorientierte "Personensuch"-Broker. Jeder kann 20–30 $/Monat zahlen, um Adressen, Telefonnummern, Verwandte und den beruflichen Werdegang einer beliebigen Person mit Namen nachzuschlagen. Diese Dienste werden häufig bei Stalking-Fällen genutzt, eine Tatsache, die in mehreren Beschwerden von Generalstaatsanwälten dokumentiert ist.

Kaliforniens Delete Act (SB 362): Das bedeutendste US-Datenschutzgesetz, von dem Sie noch nichts gehört haben

Der im Oktober 2023 unterzeichnete California Delete Act trat im Januar 2026 in Kraft. Er verlangt von jedem Datenbroker, der bei der California Privacy Protection Agency (CPPA) registriert ist, Löschungsanträge zu erfüllen, die über eine einzige, zentrale Opt-Out-Mechanik eingereicht werden – das bedeutet, Verbraucher können ihre Daten mit einer einzigen Übermittlung von allen erfassten Brokern löschen lassen, anstatt Hunderte einzelner Opt-Out-Portale durchlaufen zu müssen.

Das Gesetz gilt für jedes Unternehmen, das "wissentlich die persönlichen Daten eines Verbrauchers sammelt und an Dritte verkauft, zu dem das Unternehmen keine direkte Beziehung hat." Dies erfasst den Großteil der Branche. Allerdings sind die Ausnahmen erheblich:

  • Kreditauskunfteien, die unter dem Fair Credit Reporting Act (Equifax, Experian, TransUnion) tätig sind, sind weitgehend ausgenommen
  • Hintergrundcheck-Unternehmen mit legitimen Geschäftszwecken – Beschäftigungsscreening, Mieterüberprüfung – behalten weitreichende Ausnahmen
  • Finanzinstitute, die unter den Gramm-Leach-Bliley Act fallen, sind für Daten, die in Finanzprodukten verwendet werden, ausgenommen

Die CPPA ist verpflichtet, den zentralen Löschungsmechanismus aufzubauen, mit Durchsetzung ab 2026. Bußgelder bei Nichteinhaltung betragen bis zu 200 $ pro Verbraucher pro Tag, was für große Broker mit Millionen von Profilen ein erhebliches finanzielles Risiko darstellt.

FTC-Durchsetzung: Der Kochava-Fall und der X-Mode-Vergleich

Die Federal Trade Commission hat jahrelang Berichte über Datenbroker veröffentlicht, ohne Durchsetzungsbefugnis. Das änderte sich unter der Befugnis für unlautere Praktiken gemäß Section 5 des FTC Act, und die Behörde begann, den Verkauf von Standortdaten als inhärent schädlich zu behandeln.

Im Jahr 2022 verklagte die FTC Kochava, eine mobile Analysefirma, weil sie präzise Standortdaten verkaufte, die verwendet werden konnten, um Personen zu identifizieren, die Abtreibungskliniken, Suchtbehandlungszentren und Frauenhäuser besuchten. Der Fall stellte fest, dass der Verkauf sensibler Standortdaten ohne Einwilligung eine "unlautere" Handelspraxis darstellt, unabhängig davon, ob Verbraucher der Datenerhebung in den Nutzungsbedingungen einer App technisch zugestimmt hatten. Das Verfahren ist Mitte 2026 noch anhängig.

Im Januar 2024 einigte sich die FTC mit X-Mode Social (umbenannt in Outlogic) auf einen Vergleich in Höhe von 4,95 Millionen Dollar – der erste Datenbroker-Vergleich in der FTC-Geschichte, der Standortdaten betraf. X-Mode hatte präzise Standortdaten an US-Militärauftragnehmer und Regierungsbehörden verkauft, darunter Daten, die religiöse Stätten, politische Kundgebungen und medizinische Einrichtungen identifizieren konnten. Der Vergleich verlangte die Löschung aller Daten und untersagte dem Unternehmen den Verkauf sensibler Standortinformationen ohne ausdrückliche Einwilligung.

Die FTC hat auch eine formelle Regelgebung vorgeschlagen, die Standortdaten und Gesundheitsdaten als kategorisch "sensibel" einstufen würde, was eine ausdrückliche Opt-in-Einwilligung vor der Erhebung oder dem Verkauf erfordert – ein weitaus höherer Standard als die derzeitige Branchenpraxis des "Opt-out-wenn-Sie-es-finden-können".

EU-Durchsetzung: GDPR Artikel 9 bekommt endlich Zähne

Die EU-Datenschutz-Grundverordnung verbietet seit 2018 nominell den Verkauf sensibler personenbezogener Daten ohne ausdrückliche Einwilligung. Die Durchsetzung verlief langsam bis 2024, als die Aufsichtsbehörden ihre Aufmerksamkeit auf die Lieferkette der Werbetechnologie verlagerten.

Die französische Datenschutzbehörde (CNIL) verhängte eine 150-Millionen-Euro-Strafe gegen ein französisches Werbenetzwerk, weil es Standortdaten von mobilen Apps an Werbetreibende verkauft hatte, ohne eine GDPR-konforme Einwilligung einzuholen. Der Fall drehte sich um die Auslegung von Artikel 9 – der Gesundheits-, politische, religiöse und biometrische Daten abdeckt – als anwendbar auf abgeleitete Merkmale aus Standortmustern, nicht nur auf direkt erhobene sensible Kategorien.

Die irische Datenschutzkommission (DPC), die aufgrund der irischen Hauptquartiere der Unternehmen die meisten EU-Aktivitäten des Silicon Valley überwacht, leitete Untersuchungen zu mobilen Werbe-SDKs ein, die in der EU tätig sind. Da die irische DPC in der Vergangenheit für ihre langsame Durchsetzung kritisiert wurde, stellen die Untersuchungen eine bedeutende Eskalation dar. GDPR-Strafen können bis zu 4 % des weltweiten Jahresumsatzes betragen, was für große Datenbroker ein existenzielles finanzielles Risiko darstellt.

Was das in der Praxis jetzt bedeutet

Die Regulierung hat eine messbare, aber unvollständige Wirkung auf die Branche. Datenbroker beginnen, Löschungsanträge aktiver zu erfüllen – nicht aus Gutwilligkeit, sondern weil CPPA-Prüfungen und FTC-Kontrollen die Nichteinhaltung teuer machen. Opt-Out-Portale, die zuvor physische Post und notariell beglaubigte Dokumente erforderten, sind jetzt online zugänglich.

Das grundlegende strukturelle Problem besteht jedoch fort: Löschung ist nicht dauerhaft. Datenbroker betreiben automatisierte Re-Scraping-Pipelines, die kontinuierlich aus öffentlichen Aufzeichnungen, App-SDKs und Datenpartnern schöpfen. Ein heute gelöschtes Profil kann innerhalb von 30–90 Tagen aus neuen Datenpunkten wieder aufgebaut werden. Aus diesem Grund erfordern Verbraucher-Löschdienste laufende Abonnements und keine einmaligen Bereinigungen.

Werkzeuge, um Ihre Daten tatsächlich zu entfernen

Drei Dienste dominieren den Markt für die Entfernung von Verbraucherdaten:

  • DeleteMe (129 $/Jahr für eine Person): Reicht manuell Opt-Out-Anträge bei 750+ Datenbrokern im Namen der Nutzer ein, mit vierteljährlicher Wiedervorlage, um wieder aufgetauchte Profile zu erfassen. Deckt Spokeo, BeenVerified, Whitepages, Intelius und die meisten großen Personensuch-Broker ab. Deckt keine Kreditauskunfteien ab.
  • Privacy Bee (197 $/Jahr): Breitere Abdeckung als DeleteMe, mit Angabe von 200+ zusätzlichen Broker-Seiten. Enthält eine Browsererweiterung, die Datenweitergabeanfragen in Echtzeit kennzeichnet. Die Effektivität wird mit etwa 60–80 % Entfernungserfolg angegeben – Profile bei einigen Brokern sind aufgrund gesetzlicher Ausnahmen technisch unmöglich zu löschen.
  • Kanary (99 $/Jahr): Konzentriert sich auf die Geschwindigkeit der Entfernung und bietet ein Dashboard, das anzeigt, welche Broker Profile zurückgegeben haben und den Entfernungsstatus. Kleinere Brokerliste als die Konkurrenz, aber schnellere erste Bereinigung.

Keiner dieser Dienste kann Ihre Daten von Kreditauskunfteien, Strafverfolgungsdatenbanken, Hintergrundcheck-Anbietern, die unter FCRA-Ausnahmen arbeiten, oder staatlichen öffentlichen Aufzeichnungen (Gerichtsakten, Grundbucheinträge, Wählerverzeichnisse) entfernen. Dafür müssten Sie die Versiegelung von Aufzeichnungen durch rechtliche Verfahren anstreben – teuer und gerichtsspezifisch.

Wohin sich die Branche entwickelt

Angesichts des regulatorischen Drucks steigen die größten Datenbroker nicht aus dem Geschäft aus – sie benennen ihre Produkte als "datenschutzfreundlich" um. Drei Strategien dominieren:

  • Zielgruppen-Targeting: Anstatt einzelne Profile zu verkaufen, verkaufen Broker den Zugang zu Zielgruppensegmenten, die durch Verhalten definiert sind – "Personen, die in den letzten 30 Tagen Autohäuser besucht haben" – ohne einzelne Identifikatoren preiszugeben. Googles Topics API, die Drittanbieter-Cookies in Chrome ersetzt hat, ist die sichtbarste Version dieses Ansatzes.
  • Erstparteien-Datenpartnerschaften: Broker positionieren sich als Vermittler zwischen Marken mit Erstparteien-Kundendaten und erleichtern den Zielgruppenabgleich ohne Datenübertragung. Epsilons Treuedatennetzwerk und LiveRamps Datenkollaborationsplattform arbeiten nach diesem Modell.
  • Clean Rooms: Datenschutzfreundliche Rechenumgebungen, in denen zwei Unternehmen überlappende Zielgruppen analysieren können, ohne dass eines die Rohdaten des anderen sieht. InfoSum und Habu (von LiveRamp übernommen) sind die führenden Anbieter. Clean Rooms sind technisch datenschutzfreundlicher, ermöglichen aber dennoch dieselben verhaltensorientierten Targeting-Ergebnisse – sie verschleiern den Mechanismus, nicht das Ergebnis.

Was Sie jetzt tun sollten

Regulierung bewegt sich langsam. Die praktischen Schritte, die Sie heute unternehmen

privacygdprdata-brokerspersonal-dataccpa
Teilen:
Die Datenbroker-Branche steht endlich vor echter Regulierung – Was das für Sie bedeutet | AIO APEX