Wie funktioniert der Verkauf von persönlichen Daten und wie schützt man sich davor?

Was sind Datenhändler?

Datenhändler sind Unternehmen, die persönliche Informationen von Menschen sammeln, gut verpacken und an andere Unternehmen gegen Geld verkaufen. Andere Unternehmen kaufen diese Daten, weil sie sie für bessere Geschäftsentscheidungen benötigen.

Die Menschen, deren persönliche Daten verkauft werden, wissen oft nichts davon. In der Zwischenzeit entwickeln sich Datenhändler zu milliardenschweren Unternehmen.

Um dir einen Eindruck von der Größe dieser Unternehmen zu vermitteln:

• 2019 kaufte die Werbefirma Publicis den Datenhändler Epsilon für 4,4 Milliarden US-Dollar
• Acxiom hat einen Wert von 4 Milliarden US-Dollar
• ZoomInfo macht fast 500 Millionen US-Dollar pro Jahr

Das alles durch das Ernten, Verpacken und Verkaufen persönlicher Daten.

Und um dir einen Eindruck davon zu geben, wie gut sie in ihrem Geschäft sind, schau dir diese Geschichte einer Person an, die herausfinden wollte, wie einige Unternehmen im Internet seine Daten kannten.

Am Ende erfuhr er, dass sogar Facebook Daten von einem Datenhändler gekauft hatte. Ja, Facebook, das Unternehmen, von dem wir denken, dass es die besten Algorithmen für automatisierte Datenverarbeitung hat, hat Daten über seine Nutzer von Datenhändlern gekauft.

Datenhändler nehmen die Datenverarbeitung ernst. Acxiom beispielsweise verfügt über mehr als 23.000 Server, die Daten von mehr als 500 Millionen Menschen weltweit verarbeiten. Das sind etwa 7% der gesamten Weltbevölkerung.

Sie sind jedoch anderer Meinung und behaupten, Daten von 10% der Weltbevölkerung zu verarbeiten. Nur zwei Länder – China und Indien – haben mehr Einwohner als die Liste der Personen, deren persönliche Daten von Acxiom verarbeitet wurden.

Welche Arten von persönlichen Daten sammeln und verarbeiten sie?

Datenhändler sammeln und verarbeiten so ziemlich jede Art von Daten, die sie sammeln können. Was auch immer für sie von Nutzen ist. Acxiom verarbeitet 1500 Datenpunkte pro Person.

Neben den grundlegenden persönlichen Informationen wie Name, E-Mail-Adresse, Wohnadresse, Telefonnummer oder Sozialversicherungsnummer verarbeiten sie auch riesige Mengen an Daten, die mit Ihrem Verhalten zusammenhängen.

Das kann zum Beispiel Ihre politischen Ansichten, Ihre philosophischen Sichtweisen auf die Welt, Ihr Online-Kaufverhalten, Ihr Familienleben usw. beinhalten.

Wenn sie zum Beispiel Ihr Online-Kaufverhalten analysieren, betrachten sie möglicherweise mehrere Datenpunkte. Ein einfacher Online-Kauf eines T-Shirts kann ihnen zum Beispiel Informationen darüber liefern:

• Was du vor dem Kauf durchstöbert hast
• Kaufst du tagsüber, nachmittags oder spät in der Nacht
• Kaufst du an Wochentagen oder am Wochenende
• Wie oft du den Online-Shop vor dem Kauf besucht hast
• Hast du dir ähnliche Produkte angesehen oder nicht
• Welche Farbe und welches Muster das T-Shirt hatte
• Wenn Worte auf dem T-Shirt gedruckt waren, was bedeuten sie
• Wie könnten diese Worte mit deinen Weltanschauungen zusammenhängen
• Bedeuten diese Worte, dass du ledig, verheiratet bist oder Kinder hast
• Bedeuten diese Worte, dass du ein bestimmtes NBA-Team unterstützt
• Hast du dieselbe T-Shirt-Größe wie beim letzten Mal gekauft oder hast du zugenommen

Das sind zwar weniger als 1500 Datenpunkte, aber du verstehst die Idee.

Es ist beeindruckend. Und das nächste Mal wird dir von einem zufälligen Online-Unternehmen, das diese Daten gekauft hat, eine passende Werbung präsentiert.

Wie sammeln Datenhändler persönliche Daten?

Wie du vielleicht bereits weißt, ist allein dadurch, dass du online unterwegs bist, ein Teil deiner persönlichen Informationen bereits offen zugänglich. Wenn du nicht einer von ihnen bist, bist du ausgesetzt. Obwohl privates Surfen möglich ist, entscheiden sich nur sehr wenige Menschen dafür.

Wenn deine Daten preisgegeben werden, warten Datenhändler mit offenen Armen darauf.

Sie bekommen auf zwei Arten Zugriff auf deine Daten: Sie kaufen sie oder ernten sie selbst. Der Kauf von Daten ist selbsterklärend. Das Ernten erfolgt hauptsächlich durch Web-Scraping.

Web-Scraping

Web-Scraping ist eine Online-Aktivität, bei der jemand ein kleines Softwareprogramm oder ein Skript senden kann, das Daten von einer beliebigen Website im Internet extrahiert.

Also schicken Datenhändler Web-Scraper zu jeder Website, die persönliche Daten enthalten könnte. Sie sammeln die Daten und senden sie in einem zur Verarbeitung bereiten Format an den Datenhändler zurück. Dann beginnt die Verarbeitung. Sie ordnen viele Datenpunkte der Person zu und erstellen schließlich ein Profil der Person.

In den meisten Fällen sammeln sie die Daten durch Scraping von:

Öffentlichen Unterlagen. Deine Daten aus Gerichtsakten, Wählerverzeichnissen, Scheidungsunterlagen und städtischen, staatlichen oder bundesstaatlichen Unterlagen, die zumindest teilweise der Öffentlichkeit zugänglich sind. Datenhändler nutzen dies, um alles, was sie können, in ihren Datenbanken zu sammeln.

Soziale Netzwerkprofile. Sie zögern nicht, die öffentlichen Teile deiner Social-Media-Profile zu scrapen, wie z. B. deinen Namen, Telefonnummer, E-Mail-Adresse oder ähnliches.

Websites verbieten selten das Web-Scraping öffentlicher Daten von ihren Websites und untersagen fast immer das Web-Scraping in Mitgliederbereichen. Datenhändler nehmen das jedoch nicht ernst und machen trotzdem weiter, ungeachtet der Nutzungsbedingungen.

Wenn sie also einen Scraper zu LinkedIn schicken, würden sie neben dem Scraping öffentlicher Daten nicht zögern, auf nur für Mitglieder sichtbare Daten zuzugreifen und diese zu sammeln.

Ja, es verstößt gegen die Nutzungsbedingungen, aber sie kommen damit durch und machen weiter.

Scraping öffentlicher Datenverletzungen. Wenn persönliche Daten von einer Website durchsickern, haben Datenhändler Arbeit vor sich – sie schicken den Scraper direkt zur Unfallstelle, um das zu bekommen, was sie brauchen. Das kann auch sensible Daten beinhalten.

Andere Datenhändler. Es gibt ein lateinisches Sprichwort: „Ein Mann ist einem anderen Mann ein Wolf (Homo homini lupus est)“. Nun, ein Datenhändler ist kein Wolf für einen anderen Datenhändler. Sie durchforsten gegenseitig ihre Datenbanken, was nie zu rechtlichen Schritten führt.

Wenn also ein Datenhändler viele Datenpunkte über dich hat, ist es wahrscheinlich, dass auch viele andere früher oder später diese Daten erhalten – ohne deine Zustimmung und ohne dein Wissen.

Deine Daten von anderen Unternehmen kaufen

Wenn das Scrapen nicht ausreicht oder nicht möglich ist, zahlen Datenhändler die Daten aus eigener Tasche.

E-Mail-Listen-Aggregatoren. Es gibt Unternehmen, deren einziger Existenzgrund darin besteht, E-Mail-Adressen von Menschen auf Basis ihrer Interessen zu sammeln, sie zu segmentieren und die Daten basierend auf bestimmten Merkmalen der Nutzer zu verkaufen.

Zum Beispiel kannst du dich an sie wenden und eine E-Mail-Liste von Männern über 30 kaufen, die persönliche Finanz-Apps nutzen. Oder eine E-Mail-Liste von Menschen, die an Paläo-Diäten interessiert sind.

Einige Unternehmen kaufen diese Listen, aber auch Datenhändler tun dies.

Einfach andere Unternehmen, die deine Daten gesammelt haben. Viele Online-Unternehmen, die nicht beabsichtigt haben, Nutzerdaten zu verkaufen, verwalten sie für ihre eigenen Bedürfnisse. Wenn jedoch Datenhändler zur richtigen Zeit mit der richtigen Gelegenheit an sie herantreten, entscheiden sich einige von ihnen möglicherweise dafür, sie zu verkaufen.

Einige Gesetze schützen dich vor solchen Verkäufen, andere nicht. Kleiner Hinweis: Du akzeptierst die Nutzungsbedingungen, ohne sie weiter unten im Artikel zu lesen.

Wie kannst du dich schützen?

Datenhändler agieren im Wilden Westen, aber du kannst sie herausfordern, indem du deine Rechte als betroffene Person wahrnimmst. Du hast jedoch nur dann solche Rechte, wenn die geltenden Gesetze sie dir gewähren.

Zum Zeitpunkt der Veröffentlichung dieses Artikels schützen die DSGVO, der CCPA, Nevada NRS63, Brasilien LGPD, Kanada PIPEDA und einige andere Benutzer vor dem Verkauf ihrer Informationen.

Unter Berücksichtigung der zwei Haupttrends im Datenschutzrecht weltweit – Gesetze ähnlich der DSGVO und Regelungen identisch zum CCPA (nur US-Bundesstaatsgesetze) – gibt es zwei Hauptwege zum Schutz. Beide führen über die Zustimmung der Nutzer. Einer von ihnen erfordert sie; der andere nicht.

Schutz, bei dem Zustimmung erforderlich ist

Die Gesetze, die die Zustimmung zur Sammlung personenbezogener Daten der Nutzer erfordern, verlangen in der Regel auch die Zustimmung für den Verkauf dieser Daten. Zu diesen Gesetzen gehören die EU-DSGVO, Nicht-EU-europäische Länder, die Regelungen in Brasilien, Argentinien, Thailand, Südafrika, Dubai, Australien, Neuseeland, Japan, China, Russland und andere Länder, die in den letzten Jahren neue Datenschutzgesetze verabschiedet oder die alten aktualisiert haben.

Wenn Gesetze eine ausdrückliche Zustimmung für personenbezogene Daten, einschließlich Verkäufen, verlangen, bedeutet dies, dass der Datenverantwortliche den Nutzer in der Datenschutzerklärung darüber informieren muss, dass seine Daten verkauft werden. Wenn der Nutzer zustimmt, können sie das tun. Wenn der Nutzer nein sagt, darf der Verkauf nicht stattfinden.

Schritt-für-Schritt-Schutz

Gehe die folgenden Schritte durch:

1. Ermittle die anwendbaren Datenschutzgesetze. Faustregel: Sowohl die Gesetze, die am Standort des Unternehmens gelten, als auch die Gesetze, die an deinem Standort gelten, sind anwendbar. Wenn eine Zustimmung zur Verwendung/Verarbeitung von Daten erforderlich ist, gehe zu Schritt 2
2. Schau dir deren Datenschutzerklärung an. Finde heraus, was sie mit personenbezogenen Daten machen und für welche Zwecke. Achte genau darauf, mit welchen Parteien sie personenbezogene Daten teilen oder auf Abschnitte, die den Verkaufsprozess von Daten erklären, falls vorhanden.
3. Sende eine Anfrage als betroffene Person an den Datenverantwortlichen. Fordere Informationen darüber an:
   • Mit wem sie deine personenbezogenen Daten teilen und für welchen Zweck, und
   • Ob sie personenbezogene Daten verkaufen, einschließlich deiner Daten.

   Das sollte dir eine Vorstellung davon geben, was sie mit Daten machen. Es wäre jedoch hilfreich, wenn du darauf vorbereitet wärst, ein wenig zu kämpfen. Wenn du ein EU-Bürger bist und eine Anfrage als betroffene Person an ein US- oder indisches Unternehmen sendest, sind diese Unternehmen möglicherweise nicht DSGVO-konform.

   Das würde bedeuten, dass du ihnen erklären musst, dass die DSGVO für sie gilt, wenn sie mit EU-Nutzern interagieren, und sie sollten konform sein. Wenn sie deine Anfrage ignorieren, reiche eine Beschwerde bei deiner nationalen Datenschutzbehörde ein. Sie werden dafür sorgen, dass sie dir die angeforderten Informationen geben.

4. Ermittle, ob sie deine Daten verkaufen. Sobald du die angeforderten Informationen hast, ermittle, was sie damit gemacht haben, entweder selbst oder über die Datenschutzbehörde.
   Wenn sie es nicht verkaufen, endet es hier. Wenn sie es verkaufen, lies weiter.
5. Fordere sie auf, den Verkauf deiner Daten einzustellen. Das erklärt sich von selbst. Und egal, ob ihre Antwort positiv oder negativ ist, gehe weiter zu Schritt Nummer 6.
6. Reiche eine Beschwerde bei der Datenschutzbehörde ein. Wenn deine Daten ohne deine Zustimmung verkauft wurden und die DSGVO oder ein ähnliches Gesetz dich schützt, wurden deine Datenschutzrechte verletzt. Das erfordert eine Beschwerde bei der Datenschutzbehörde. Das Verfahren sollte in einer geldlichen DSGVO-Strafe für das Unternehmen, das deine Daten verkauft hat, resultieren.

Schutz, bei dem keine Zustimmung erforderlich ist

Eine Zustimmung ist nicht erforderlich, wenn:

1. Das anwendbare Gesetz keine ausdrückliche Zustimmung für die Verwendung oder den Verkauf von Daten verlangt, aber dir das Recht einräumt, dem Verkauf zu widersprechen. Das ist der Fall in Kalifornien, Nevada und Kanada. Virginia wird sich dieser Gruppe im Jahr 2023 anschließen. Einige andere US-Bundesstaaten könnten folgen, aber Kanada wird wahrscheinlich bald eine Zustimmung verlangen.
2. Das anwendbare Gesetz nicht existiert, veraltet ist oder keinen ausreichenden Schutz bietet. Dazu gehören die restlichen US-Bundesstaaten (außer Kalifornien, Nevada und bald Virginia), Indien, Indonesien und andere Länder, in denen kein Datenschutz oder veralteter Datenschutz besteht.

   Wenn das anwendbare Gesetz dir keinen persönlichen Datenschutz gewährt, gibt es keinen Weg, dich zu schützen. Du kannst den Datenhändler auffordern, deine Informationen zu löschen, aber sie können dir die Tür vor der Nase zuschlagen, wenn sie wollen. Also bist du auf dich allein gestellt.

Wenn das kalifornische CCPA oder das Nevada NRS603A in diesem speziellen Fall auf dich zutrifft, dann mache Folgendes:

1. Lies ihre Datenschutzerklärung. Überprüfe, ob darin etwas über den Verkauf von persönlichen Informationen erwähnt wird. Das Gesetz verpflichtet sie, einen Hinweis auf den Datenverkauf zu geben.

Unternehmen, die dieses Gesetz einhalten müssen, müssen Nutzern eine Benachrichtigung geben, dass sie persönliche Daten verkaufen, zusammen mit einem Link zur Datenschutzerklärung und einer Opt-out

2. Wenn das CCPA zutrifft, überprüfe, ob es bei der Ankunft auf der Website eine Verkaufsvon Daten-Hinweis gibt. Wenn es eine solche Benachrichtigung gibt, klicke auf die Opt-out-Schaltfläche, und sie dürfen deine Daten nie verkaufen.

   Wenn es dafür zu spät ist, lies weiter.
   

3. Überprüfe, ob es irgendwo auf der Website eine Opt-out-Schaltfläche/Link/Umschalter mit dem Text „Do Not Sell My Personal Information“ oder „Do Not Sell My Info“ gibt. Wenn das Unternehmen Daten verkauft, sind sie verpflichtet, einen solchen auf der Website zu haben. Es befindet sich normalerweise im Fußbereich der Website. Du kannst auch widersprechen und verhindern, dass deine Daten an einen Datenhändler verkauft werden.
   
4. Reiche eine Anfrage als betroffene Person ein, um zu erfahren. Frage sie, ob sie persönliche Informationen verkaufen und an wen sie diese verkaufen. Du musst möglicherweise deine Identität im Prozess überprüfen, weil sie Daten nicht einfach jedem geben sollten, der danach fragt.
5. Die Antwort auf deine Anfrage wird dir mitteilen, ob das Unternehmen Daten verkauft und, falls ja, an wen. Du wirst wissen, wo du als Nächstes suchen musst, wenn deine Daten verkauft wurden. In der Zwischenzeit kannst du dem Verkauf von Daten widersprechen und die Löschung aller Informationen über dich anfordern, die das Unternehmen besitzt.
6. Reiche eine Anfrage beim Datenhändler ein, um zu erfahren, was sie über dich haben.
7. Wenn sie Informationen über dich haben, reiche eine Anfrage ein, um deine Daten aus ihren Datenbanken löschen zu lassen und künftigen Verkäufen von persönlichen Daten zu widersprechen.
8. Wenn du von keinem Unternehmen, an das du eine Anfrage als betroffene Person gesendet hast, eine Antwort erhältst, beschwere dich beim Generalstaatsanwalt. Sie sind zuständig, um gegen nicht konforme Unternehmen vorzugehen.

Bonus Schritt: Schau dir Brand Yourself an. Es handelt sich um ein Unternehmen, das deine Daten in den Datenbanken der großen Datenhändler durchsucht – der Scan führt zu einem Bericht darüber, wo deine Daten gefunden wurden. Dann weißt du, wo du anfangen musst.

Andererseits, wenn das kanadische PIPEDA auf deinen Fall zutrifft, also du oder das betreffende Unternehmen kanadisch ist, vergewissere dich, dass du eine „negative Zustimmung“ gibst.

Das bedeutet, den Datenverantwortlichen zu kontaktieren und sie aufzufordern, den Verkauf deiner Daten an andere Parteien einzustellen. Zusätzlich kannst du eine Anfrage stellen, um herauszufinden, an wen deine Daten weitergegeben wurden, und dann von allen verlangen, dass sie deine persönlichen Informationen aus ihren Aufzeichnungen löschen.

Abschließende Worte

Es ist wahrscheinlich, dass deine Daten ohne dein Wissen und deine Zustimmung auf den Servern anderer Personen gespeichert sind. Und sie werden wahrscheinlich für Geld verkauft.

Wenn du damit zurechtkommst, kannst du einfach weiterleben. Aber wenn es dich beunruhigt, könnte es genau der richtige Zeitpunkt sein, um etwas zu unternehmen.