Kampf den Datenhändlern: Privacy International legt Beschwerden ein

Die Datenschutzgrundverordnung soll die Rechte von Individuen stärken und dem Missbrauch persönlicher Informationen Einhalt gebieten. Von alleine werden die Behörden aber selten tätig. Gerade große Datenhändler mit Profilen über Milliarden Menschen agieren bislang unbehelligt. Eine Digital-NGO strengt deshalb nun Aufsichtsverfahren gegen einige der größten Datensünder an.

Der Handel mit persönlichen Daten, Profilen und Analysen von Individuen ist inzwischen ein Milliardenmarkt. Privacy International will diese Branche zur Verantwortung ziehen. – Alle Rechte vorbehalten Privacy International

Sie kennen alle, doch kaum jemand kennt sie: Datenhändler wie Acxiom und Oracle horten Informationen über Milliarden Menschen weltweit und verkaufen sie an alle, die dafür zahlen. Ohne das Geschäft dieser unbekannten Riesen würde der Datenkapitalismus in seiner heutigen Form nicht funktionieren. Auch Millionen Deutsche stecken in ihren Datenbanken – ohne ihre Erlaubnis gegeben zu haben oder Bescheid zu wissen. Die britische Nichtregierungsorganisation Privacy International (PI) hat heute bei Datenschutzbehörden Beschwerde gegen sieben Größen dieser Branche eingelegt.

Die digitale Grundrechtsorganisation wirft insgesamt sieben Firmen vor, gegen die Datenschutzgrundverordnung zu verstoßen. Sie alle sammeln in großem Stil persönliche Daten aus unterschiedlichsten Quellen und führen diese in individuellen Profilen zusammen. So fließen Informationen aus allen Lebensbereichen zu einem umfassenden Bild zusammen: Online- und Offline-Einkaufsverhalten, Einkommenssituation, Browserverläufe, Hobbies und Interessen, Beruf, Gesundheit, Sozialleben. Dabei handeln die Firmen nicht nur mit den gesammelten Daten, sondern auch mit den Schlüssen, die sie daraus über ihre Datensubjekte ziehen: Lebenssituation, Persönlichkeit, Kreditwürdigkeit. Zu den Kunden gehören andere Unternehmen, Einzelpersonen und Regierungen – ein Milliardengeschäft.

Während mit Acxiom und Oracle zwei allgemeine Datenhändler zu den beklagten Unternehmen gehören, sind die anderen fünf in den Bereichen Werbung und Kreditscoring tätig: Criteo, Quantcast und Tapad sind darauf spezialisiert, Systeme und Informationen für das Zuschneiden von Online-Werbung zu liefern, sogenannten Ad-Tech-Firmen (Werbetechnologie-Firmen). Equifax und Experian sind als Kreditauskunfteien tätig und berechnen aus ihren Daten Vertrauenswerte über Verbraucher. Sie können beispielsweise darüber entscheiden, ob und zu welchen Konditionen Menschen einen Kredit bekommen. PI-Juristin Ailidh Callander erklärt, dass Ziel der Kampagne sei es, diese mächtige und undurchsichtige Branche zu Verantwortung zu ziehen:

Die Branche basiert auf der Ausbeutung persönlicher Daten. Die meisten Menschen haben wahrscheinlich noch nie von diesen Unternehmen gehört, und doch sammeln sie so viele Daten wie möglich über uns und erstellen komplexe Profile über unser Leben. Die DSGVO setzt dem Missbrauch personenbezogener Daten klare Grenzen und gibt den Regulierungsbehörden Zähne – jetzt ist an der Zeit, sie zu nutzen, um diese Unternehmen zur Rechenschaft zu ziehen

Keine valide Rechtsgrundlage

Privacy International hat nun offizielle Beschwerden bei den Aufsichtsbehörden Großbritanniens, Irlands und Frankreichs eingelegt, weil die Profilbildung und der Datenhandel der Firmen gegen die seit Mai 2018 wirksame Datenschutzgrundverordnung (DSGVO) verstoße. Die Nichtregierungsorganisation wirft den Unternehmen unter anderem vor, gegen die Grundsätze des Datenschutzes zu verstoßen: Transparenz, Fairness, Zweckbindung, Datenminimierung, Richtigkeit, Integrität und Vertraulichkeit.

Außerdem hätten die Unternehmen keine valide Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten, insbesondere für den Zweck der Profilbildung: Dort, wo die Unternehmen sich darauf berufen, eine Einwilligung der Betroffenen zu haben, können sie laut Privacy International weder nachweisen, wie diese Einwilligung zustande gekommen ist, noch, dass die Betroffenen sie freiwillig und nach ausreichender und klarer Information gegeben haben. Wo die Datenhändler sich auf eine andere Rechtgrundlage berufen, ihr „legitimes Interesse“ an der Sammlung und Verarbeitung der Daten, hätten sie nicht wie vorgeschrieben eine Abwägung mit Folgen für die Betroffenen vorgenommen, sondern ihr kommerzielles Interesse einfach höher gewertet.

Besonders eklatant sei der Regelbruch in Hinblick auf besonders geschützte Daten wie die zu politischen Meinungen, weltanschaulichen Überzeugungen, Gesundheit oder der sexuellen Orientierung. Außerdem sei es für Betroffene nur schwer möglich, gegenüber den Databrokern ihre Rechte auf Auskunft, Zugang und Löschung wahrzunehmen, die ihnen die Datenschutzgrundverordnung garantiert.

Die PI-Kampagne geht deshalb über die Beschwerden bei den Aufsichtsbehörden hinaus. Privacy International stellt die beschuldigten Firmen in kurzen Videos vor, bietet ein Quiz, mit dem man prüfen kann, ob eigene Daten bei den Databrokern gelandet sein könnten und dokumentiert anschaulich, wie sie selbst das Auskunftsrecht genutzt haben, um den Datenhändlern auf die Schliche zu kommen. Außerdem stellt die Organisation Musterschreiben für Löschbitten bereit, mit denen sich Menschen an die Datenhändler wenden können. Die Briefe sind zwar auf englisch verfasst, können selbstverständlich aber auch von Menschen in Deutschland genutzt werden.

Die DSGVO macht’s möglich

Mit ihrer Beschwerde nutzt die NGO eine mit der Datenschutzgrundverordnung neu geschaffene Möglichkeit zur kollektiven Durchsetzung des Datenschutzes. Der Verordnung zufolge dürfen Organisationen oder Verbände ohne Gewinnerzielungsabsicht nämlich in Vertretung für Betroffene Aufsichtsverfahren anstrengen. Weil die Behörden selbst nicht dafür ausgestattet sind, Unternehmen im großen Stil eigenständig zu prüfen, sind solche Beschwerden aus der Zivilgesellschaft besonders wichtig.

Der Fall ist auch für deutsche Behörden interessant und könnte im Rahmen der neuen internationalen Kooperationsmechanismen der DSGVO gemeinsam bearbeitet werden. Schließlich verarbeiten die beklagten Firmen auch Daten von Millionen Menschen in Deutschland und haben Niederlassungen in der Bundesrepublik.

Bereits kurz nach Wirksamwerden der DSGVO hatte die österreichische Organisation None of Your Business Beschwerde gegen Google und Facebook eingelegt. Nach der neuen Verordnung drohen Unternehmen bei systematischen und wiederholten Verstößen Strafen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes.

Undurchsichtige Branche

Grundlage des Vorgehens gegen die Datenfirmen sind Informationen, die Privacy International aus mehr als 50 Datenauskunftsanfragen, aus dem Marketingmaterial und den Datenschutzerklärungen der Unternehmen gewonnen hat. Was man über das rechtswidrige Verhalten der Firmen weiß, sei demnach nur die Spitze des Eisberges, erklärt die NGO. Mit der Aktion verbinde sich auch die Hoffnung, dass die zuständigen Aufsichtsbehörden im Zuge ihrer Ermittlungen tiefere Einblicke erhalten.

Ein umfassender Bericht der US-Federal Trade Commission über das Databroker-Business [PDF] kam 2014 zu dem Schluss, dass die Datenhändler Informationen über nahezu jeden US-Amerikaner verfügen. Ähnliches gilt für Deutschland: Ein anderer Datenhändler, VisualDNA, warb bis vor kurzem noch damit, Profile von 60 Millionen deutschen Internetnutzern im Repertoire zu haben. Fast alle Firmen, deren Geschäftsmodell auf Online-Werbung basiert, arbeiten mit den Datenhändlern zusammen. Auch Social-Media-Firmen wie Google, Facebook, Snapchat und Twitter, die fleißig selbst Daten sammeln, kaufen von Datenhändlern weitere Informationen hinzu. Damit vervollständigen sie ihre Profile und versuchen nachzuvollziehen, ob der Klick auf eine von ihnen ausgespielte Werbung am Ende auch zu einem Einkauf geführt hat.

Dabei ist für Verbraucher laut Federal Trade Commission nicht ansatzweise nachvollziehbar, wer was über sie weiß. Ende 2016 sorgte hierzulande eine Recherche des NDR für Aufsehen, bei der Journalisten in gekauften Datensätzen ganze Browserverläufe von Bundestagsmitarbeitern, Richtern und Polizisten entdeckten. Vor wenigen Wochen zeigte der MDR in einer Recherche, wie leicht es ist, mithilfe von Databrokern Informationen über die sexuelle Orientierung von Menschen zu bekommen, deren E-Mailadresse man hat. Der Wiener Privacy-Forscher Wolfie Christl beschreibt in einem Report von 2017 ausführlich, wie das Entstehen dieser ausschließlich von ökonomischen Zielen geleiteten Branche zu einer Datenumwelt geführt habe, „in der Individuen kontinuierlich überwacht und evaluiert, kategorisiert und eingruppiert, bewertet und klassifiziert, gezählt und nummeriert“ werden.

Frederike Kaltheuner, die das Databroker-Projekt bei Privacy International verantwortet, fordert Medien, Wissenschaft und Zivilgesellschaft auf, der Branche weiter auf den Zahn zu fühlen:

Die Welt wird von Unternehmen und Regierungen mit dem Ziel neugestaltet, Daten nutzen können. Ohne dringliche und ununterbrochene Maßnahmen werden Daten auf eine Weise verwendet, die sich die Menschen heute nicht einmal mehr vorstellen können, um unsere Leben zu definieren und zu manipulieren – ohne dass wir verstehen, warum dies geschieht und ohne dass wir in der Lage sind, effektiv zurückzuschlagen. Wir ermutigen Journalisten, Wissenschaftler, Verbraucherorganisationen und die Zivilgesellschaft im weiteren Sinne, diese Branchen stärker zur Rechenschaft zu ziehen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

19 Ergänzungen

  1. Wie kann man da helfen und weiter Druck aufbauen? Ist es sinnvoll, selbst eine Auskunft bei den Unternehmen zu erbeten, oder kann man sich da in irgendeiner Form „anhängen“?

      1. @netzpolitik.org

        Auch wenn das inkl. Tippfehler nett gemacht ist, ist das Werbung für einen kostenpflichtigen Service der „NPHO Services Ltd. & Co. KG“ aus Berlin:

        „Vergütungsvereinbarung: Es entstehen Gebühren für die Dienstleistung, auf die im Rahmen der Bestellung explizit hingewiesen wird und die Bestandteil des Vertragsschlusses sind.“

        „Kosten für den Antrag gemäß §34 BDSG bzw. Art. 15 DSGVO einmalig nur EUR 14,90“

          1. Ok, jetzt ist das zumindest für andere klargestellt und niemand bezahlt versehentlich € 14,90 für eine eigentlich kostenlose Auskunft. § 34 BDSG ist sowieso Unsinn …

  2. Vielleicht so?
    Kann das bitte jemand klären?

    Bei genutzten Banken schriftlich den Verzicht auf eine Kreditlinie (Dispo o.ä.?) beantragen und bestätigen lassen.

    Dann eine Auskunft bei diversen Auskunfteien einholen.
    Meines Wissens basiert die sogenannte „Schufa-Klausel“ bzw. der Score darauf, dass damit das Kreditausfallrisiko „berechnet“ werden soll.

    Wenn aber kein Kredit gewährt werden kann, weil man darauf schriftlich verzichtet hat,
    so dürfte das Argument des Kreditausfallrisikos ins Leere laufen, oder?

  3. Ohne Zustimmung zur „Schufa-Klausel“ weigern sich die Banken meist, weitere Dienstleistungen (Kontoeröffnung usw.) zu erbringen; d.h. erst einmal der Klausel zustimmen.

    Nach einer gewissen Zeit dann schriftlich vereinbaren, dass die Dienstleistungen nur auf Guthabenbasis stattfinden sollen.
    Man verzichtet damit auf einen anfänglich vereinbarten und meist überteuerten Kreditrahmen (Überziehung o.ä) und stellt die Bank damit auch von der Einlösungspflicht frei, wenn das Konto keine Deckung aufweist.

    Somit besteht für diese guthabengeführten Konten auch kein Kreditausfallrisiko!

    Solche Bankverbindungen müsste man dann gem. DSGVO auch bei den Auskünfteien löschen können, weil die Geschäftsgrundlage Kreditausfallrisiko dafür fehlt.

    1. Wenn du Spaß daran hast.
      Viele kleine Volksbanken melden ohnehin nicht an die Schufa. Die haben natürlich oft keine schönen bunten Webportale. Wäre aber sicher eine deutlich einfacherer Alternative.
      Mal abgesehen davon: Die Existenz eines Bankkontos ist für die Schufa-Werte wohl ziemlich egal.

  4. Klasse, tolle Initiative. Damit bekommt die DSGVO noch mal eine neue, revolutionäre Rolle.
    Ich wünsche dem Datenschutz viel Erfolg. Trotzdem, immer das Machbare im Auge behalten.

  5. Sorry, ich finde es aber schon ethisch/moralisch merkwürdig bis zweifelhaft, wenn just in dem Moment, in dem sozusagen zum Protest gegen Datenhändler aufgerufen wird, ein Stellenangebot der Bertelsmann Stiftung prominent platziert wird!

    Die Bertelsmann Stiftung, sorry die Unternehmenstochter ARVATO, ist u.a. eine der größten Auskunfteien.
    https://de.wikipedia.org/wiki/Arvato#Leistungen

    Sie managed viele große Onlineshops:
    Freitag, 07.02.2014, 15:14
    Die Bertelsmann-Tochter Arvato hat den Spezialisten für Online-Modeshops Netrada gekauft.
    https://www.focus.de/finanzen/news/wirtschaftsticker/maerkte-bertelsmann-tochter-arvato-uebernimmt-online-shop-dienstleister_id_3599087.html

    Fast vergessen: Man managed auch die „Landesregierung NRW“
    Technische Betreuung des ServiceCenters / Broschürendienstes
    Arvato Direct Services GmbH
    An der Autobahn 2
    33333 Gütersloh
    http://www.arvato.com
    https://www.land.nrw/de/impressum-0

    1. Danke für die verlinkten Quellen – auch wenn Du sie selbst ganz offensichtlich nicht gelesen hast.
      Peinlich, peinlich.

      „Arvato geht zurück auf den Druck- und Industriebereich von Bertelsmann, den heutigen Namen führt das Unternehmen seit 1999.“

      Mit der Bertelsmann *Stiftung* hat das schon gleich gar nichts zu tun.

      Stellenanzeigen, die neben Blogartikeln eingeblendet werden noch weniger. Wenn das mein Blog wäre, würde ich derartig schlecht gemachte Kommentare umgehend entfernen. Die Korrektur verschwendet doppelt so viel Zeit wie das Erstellen dieses Unflats.

    2. @ach-was: Mal abgesehen von a’s Hinweis, dass das Algorithmenprojekt der Bertelsmann Stiftung nicht das gleiche wie Arvato ist: Was bitte ist dein Argument?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.