AuskunftsanfragenSo findest du heraus, was Datenhändler über dich gespeichert haben

Datenhändler wissen viel über uns, doch sie selbst arbeiten lieber im Schatten. Wer trotzdem herausfinden will, was sie gespeichert haben, kann sich auf die Datenschutzgrundverordnung berufen. Wir erklären, wie es geht.

Eine computergenerierte Grafik eines Mannes mit Brille, der wütend auf seinen LAptop schaut, um ihn umher fliegen kleine Zettel
Wer das Gefühl hat, dass etwas faul ist, kann sich beschweren. – CC0 netzpolitik.org mit Midjourney

Datenhändler sammeln haufenweise Informationen über uns, stecken uns in Kategorien und vermarkten mit diesem Wissen unsere Aufmerksamkeit gezielt an Werbetreibende. Wieviel Geld wir verdienen, was wir einkaufen, wo wir uns aufhalten, was für eine Persönlichkeit wir haben, all das werten sie aus. Zigtausende Label hat die Werbeindustrie für uns. Teilweise auch zu unserer Gesundheit, zur sexuellen Orientierung, zu Religion, Herkunft und politischen Überzeugungen.

Das alles zeigen wir in einer aktuellen Recherche. Wir decken auch auf, wie tief deutsche Firmen in das Netzwerk des Datenhandels eingebunden sind. Die Datenschutzgrundverordnung verhindert das bisher kaum, denn die Aufsichtsbehörden werden meist nur dann tätig, wenn es Beschwerden von Bürger:innen gibt. Doch wie soll man sich über Unternehmen beschweren, die man gar nicht kennt?

Das Geschäft der Datenhändler findet im Hintergrund statt. Sie kaufen und verwerten Daten, die andere einsammeln: Apps, Websites, Kreditkartenfirmen, Marktforschungsunternehmen und andere. Beispielsweise in Cookie-Banner willigen wir in diese Verarbeitung ein. Aber dass diese Einwilligungen gültig sind, daran gibt es große Zweifel.

Die Datenschutzgrundverordnung (DSGVO) bietet mit dem Recht auf Datenauskunft ein Werkzeug herauszufinden, was die Unternehmen über uns zu wissen glauben. Das kann zum einen interessant sein. Aber auch die Grundlage für eine Beschwerde bei Datenschutzbehörden, damit sie prüfen können, ob die Datenverarbeitung rechtmäßig ist.

1. So formulierst du eine Anfrage zur Datenauskunft nach Artikel 15 DSGVO
2. So erreichst du die Datenhändler
3. So findet du deine Cookie-IDs und Mobile Advertising IDs
4. So reichst du Beschwerde bei Datenschutzbehörden ein
5. So kannst du dich künftig besser schützen

1. So formulierst du eine Anfrage zur Datenauskunft nach Artikel 15 DSGVO

Das Auskunftsrecht betroffener Personen bei Datenverarbeitern ist in Artikel 15 der Datenschutzgrundverordnung geregelt. Unternehmen müssen auf Anfrage nicht nur mitteilen, ob sie Daten über uns gespeichert haben, sondern diese Daten auch herausrücken. Dazu haben sie in der Regel vier Wochen Zeit. Nur in Ausnahmefällen mit besonderem Aufwand kann diese Frist verlängert werden.

Hilfreich für die Auskunftsanfragen ist der deutsche Dienst datenanfragen.de. Das Projekt unterstützt Menschen mit einem Generator für Auskunftsanfragen.

Weitere gute Beispiele dafür, wie Auskunftsanfragen aussehen können, gibt es hier:

Ihr könnt den Großteil der Schreiben einfach kopieren und müsst nur an den entsprechenden Stellen eure Daten einsetzen. Ihr könnt auch bestimmte Aspekte ergänzen oder weglassen.

Wichtig: Die Unternehmen machen es uns teilweise schwer, an die eigenen Daten heranzukommen. Manchmal muss man dranbleiben, nachhaken, auf dem Auskunftsrecht bestehen oder damit drohen, die Datenschutzaufsichtsbehörden einzuschalten.

Erzählt uns gerne hier in den Kommentaren oder per Mail an ingo.dachwitz@netzpolitik.org von euren Erfahrungen mit Datenauskunftsanfragen bei Datenhandelsfirmen.

2. So erreichst du die Datenhändler

Das Netzwerk der Datenhandelsfirmen ist groß und unübersichtlich. Allein in unserer Recherche sind wir auf 93 Firmen gestoßen, die in der Liste der Firma Xandr aufgetaucht sind, darunter auch sieben deutsche Firmen. Hier findest du einige der Datenschutzadressen:

Adsqare (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@adsquare.com
Um Adsquare zu verbieten, in Zukunft Daten zu sammeln, das Formular unten auf der Seite ausfüllen.

DataXtrade (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@dataxtrade.com
Um DataXtrade zu verbieten, in Zukunft Daten zu sammeln, auf der Website „opt-out“ anklicken.

Emetriq (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: datenschutz@emetriq.com
Um Emetriq zu verbieten, in Zukunft Daten zu sammeln, auf der Website „opt-out“ anklicken.

Eyeota (USA):
Um bei Eyeota Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Eyeota zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.

Oracle (USA):
Um bei Oracle Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Oracle zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.

Liveramp (USA):
Um bei Liveramp Auskunft über deine gesammelten Daten zu bekommen, gesammelte Daten zu löschen und Liveramp zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Im Formular für Aukunft „Access My Information“ auswählen, für Opt-out „Objection Request” auswählen, für das Löschen von Daten „Other Privacy Inquiry” auswählen und im Kommentarkasten “Erasure Request” schreiben. Eine Mailadresse ist nicht auffindbar.

Nielsen Marketing Cloud (USA):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy.department@nielsen.com
Auskunft über deine gesammelten Daten über ein Formular auf der Website anfordern.
Für ein Opt-out Mailadresse auf der Website eintragen.

roq.ad (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: privacy@roq.ad
Für Opt-out auf der Website (unten) „Desktop“, „iOS Device“, „Windows Device“ oder „Android Device“ auswählen.

Semasio (Deutschland):
Auskunft über deine gesammelten Daten durch Angabe der Mailadresse auf der Website anfordern.
Für Opt-out auf der Website „opt-out“ anklicken. Eine Mailadresse ist nicht auffindbar.

The ADEX (Deutschland):
Auskunft über deine gesammelten Daten per Mail anfordern: legal@theadex.com
Für Opt-out auf der Website oder Plattform jeweils runterscrollen bis zum blauen „opt-out“-Button.

Xandr (USA):
Auskunft über deine gesammelten Daten durch das Formular auf der Website.
Für Opt-out auf der Website die jeweiligen Optionen anklicken. Eine Mailadresse ist nicht auffindbar.

Zeotap (Deutschland):
Um bei Zeotap Auskunft über deine gesammelten Daten zu bekommen und Zeotap zu verbieten, in Zukunft Daten zu sammeln, auf der Website das Formular ausfüllen. Eine Mailadresse ist nicht auffindbar.

3. So findet du Cookies in deinem Browser und deine Mobile Advertising IDs

Damit die Unternehmen dich in ihren Datenbanken finden können, musst du ihnen IDs mitschicken, unter denen sie sich gespeichert haben könnten. Die wohl wichtigste ist die Mobile Advertising ID. Eine Werbe-ID ist eine pseudonyme Benutzer*innen-ID, die einem mobilen Gerät vom Hersteller des Betriebssystems zugewiesen wird. Durch sie können Werbedienste Angebote personalisieren. Wie du sie findest, erklären wir hier.

Manche Anbieter wollen zudem die IDs von Cookies, die sie auf deinem Gerät speichern. Diese auszulesen ist allerdings für Laien allerdings sehr schwierig, wie die Datenschutzorganisation noyb bemängelt. Wo du die Cookies im Chrome- und im Firefox-Browser findest, erklären wir hier ebenfalls.

Sinnvoll ist es auch, deine Mailadresse und Telefonummer mitzuschicken. Manchmal fragen Unternehmen auch nach einer Kopie des Personalausweises oder sonstigen Möglichkeiten, um dich zu authentifizieren. Du darfst dabei deinen Personalausweis überwiegend schwärzen. Außerdem dürfen die Unternehmen diese Infos nicht weiterverwenden, darauf solltest du sie in deiner Anfrage hinweisen.

So findest du Mobile Advertising IDs bei Android

Adroid-Geräte haben eine Google-Werbe-ID. Diese findest du so:

  • Auf dem Gerät in die Google Einstellungen (Zahnrad-Symbol mit dem Google-G in der Mitte) gehen. (Nicht zu verwechseln mit den normalen Android-Einstellungen.)
  • Dort „Dienste“, dann „Anzeigen“/“Werbung“ anklicken.
  • Die Google Ad-ID ist dort unter „Meine Werbe-ID“ zu finden und kann auch dort gelöscht, zurückgesetzt oder deaktiviert werden.

So findest du Mobile Advertising IDs bei Apple/iOS

Apple/iOS-Geräte haben eine Apple Werbe-ID namens Identifier for Advertisers (IDFA). Diese ist standardmäßig versteckt, kann aber über eine Drittanbieterapp herausgefunden werden:

  • Beispielsweise über „My Device ID by AppsFlyer“ oder „adjust Insights“
  • Dort dann unter IDFA – Advertising ID
  • Damit die ID angezeigt werden kann, musst du App-Tracking für die App zwischenzeitlich erlauben
  • Achtung: Lösche die App wieder, nachdem du deine ID herausgefunden hast.

Die Apple-ID lässt sich nicht löschen oder zurücksetzen, allerdings kann man das Tracking verbieten. Das geht so:

  • Auf dem Gerät in die Einstellungen gehen.
  • Auf „Datenschutz“ und dann „Tracking“ klicken.
  • Dort gibt es einen Schieberegler, bei dem man Apps erlauben oder verbieten kann, Tracking anzufordern.

So findest du Cookies

Cookies findest du über deinen Webbrowser. Beim Besuch einer Website wird der Cookie des jeweiligen Dienstleisters dort gesetzt. Deswegen sind eventuell sehr viele verschiedene Cookie-IDs in deinem Webbrowser gespeichert.

So findest deine Cookies im Firefox-Browser

  • Starte Firefox und klicke oben rechts auf die Menüschaltfläche mit den drei Strichen.
  • Wähle „Hilfe“ und anschließend „Informationen zur Fehlerbehebung“.
  • Unter „Allgemeine Informationen“ klicke nun auf die Schaltfläche „Ordner öffnen“.
  • In diesem Ordner finden sich neben Lesezeichen und anderen Daten auch alle Cookies in einer einzelnen sqlite-Datei. Du brauchst dann ein Tool, um dir die Cookie-Datenbank anschauen zu können.

Einfacher ist es, Cookies von einzelnen Websites anzusehen:

  • Starte Firefox und klicke oben rechts auf die Menüschaltfläche mit den drei Strichen.
  • Wähle „Weitere Werkzeuge“ und anschließend „Werkzeuge für Webentwickler“.
  • Klicke auf „Webspeicher“, in der Seitenleiste findest du nun die Liste der Cookies

So findest deine Cookies im Chrome-Browser

  • Starte Chrome und klicke oben rechts neben der Adresszeile auf die Konfigurationsschaltfläche mit den drei Punkten.
  • Wähle im eingeblendeten Menü „Einstellungen“.
  • Klicke nun auf „Datenschutz und Sicherheit“.
  • Klicke anschließend auf „Cookies und andere Websitedaten“. Hier kannst du auch deine Einstellungen ändern, um Cookies zu blockieren.
  • Dann auf „Alle Websitedaten und Berechtigungen ansehen“ klicken.

Einfacher ist es auch hier, Cookies von einzelnen Websites anzusehen:

  • Starte Chrome und klicke oben rechts neben der Adresszeile auf die Konfigurationsschaltfläche mit den drei Punkten.
  • Wähle „Weitere Tools“ und anschließend „Entwicklertools“.
  • Klicke auf „>>“ und wähle „Application“, in der Seitenleiste findest du nun den Menüpunkt „Cookies“.

4. So reichst du Beschwerde bei Datenschutzbehörden ein

Falls du das Gefühl hast, dass etwas faul ist, solltest du die Datenschutzbehörden einschalten. Sie können prüfen, ob die Datenverarbeitung rechtmäßig ist und ob genug Schutzvorkehrungen getroffen wurden. Sie helfen dir auch, wenn ein Unternehmen nicht oder unvollständig auf deine Auskunftsanfrage reagiert.

In Deutschland hat jedes Bundesland seine eigene Datenschutzbehörde. Bei deutschen Unternehmen ist die Behörde zuständig, in deren Bundesland das betroffene Unternehmen sitzt. Es ist deshalb sinnvoll, sich direkt an die passende Behörde zu wenden. Bei internationalen Unternehmen wendest du dich am besten an die Behörde des Bundeslandes, in dem du wohnst.

Schildere in der E-Mail an die Behörde, über welches Unternehmen du dich beschweren möchtest und warum du denkst, dass es deine Datenschutzrechte verletzt hat. Das kann zum Beispiel so aussehen: „Laut Datenauskunftsanfrage nach Art. 15 DSGVO hat [Unternehmen XY] personenbezogene Daten von mir verarbeitet. Ich bezweifele, dass die Verarbeitung auf einer gültigen Rechtsgrundlage stattfindet. Eine Einwilligung, meine Daten an [Unternehmen XY] weiterzugeben, habe ich meines Wissens nach nicht gegeben.“

Leite den Behörden erstmal noch keine personenbezogenen Daten oder Schriftverkehr weiter, sondern beschreibe ihnen erstmal, welche Daten du ihnen als Belege zur Verfügung stellen kannst.

Eine Übersicht der Kontaktmöglichkeiten findest du auf der Website des Bundesdatenschutzbeauftragten.

5. So kannst du dich künftig besser schützen

Ein vollumfassender Schutz gegen Tracking ist schwer, die Datenindustrie arbeitet an immer neuen Mitteln und Wegen, Selbstschutz zu umgehen. Allerdings gibt es ein paar einfache Tricks, mit denen man einen relevanten Anteil des heutigen Tracking unterbinden kann.

Dazu zählt: Im Browser nach jeder Session automatisiert die Cookies löschen lassen. Auch die Datenschutzeinstellungen von Apps und Geräten können helfen. Bei Apple/iOS geht das inzwischen relativ einfach, indem man „App-Tracking“ unterbindet. Bei Android gibt es die Möglichkeit, wie oben beschrieben die Mobile Advertising ID zurückzusetzen oder ebenfalls ganz zu deaktivieren.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

    1. >> Das ist nur Symptombehandlung …

      Nein. Das ist Kampf, sein Recht durchzusetzten. Das Verursacht den Unternehmen Kosten und verteuert damit kommerzielle Überwachung. Kommerzielle Überwachung wird durch die Werbewirtschaft befeuert, und genau das muss für Unternehmen so teuer werden wie nur möglich.

      Darüber hinaus kann jede/r Einzelne sein Verhalten verändern und schädliche Konzerne beim Konsum vermeiden.

      Wer auf „grundsätzliche Fragen“ verweist, sollte seine persönlichen Fragen schon konkret benennen können. Bekanntlich haben Menschen durchaus unterschiedliche „grundsätzliche Fragen“.

      1. Frage 1: In wie weit lernen diese Unternehmen dann neue Informationen?
        Wenn ich eine ID mitschicke und meinen Ausweis-Namen, können sie diese Info doch kombinieren. Während ich vorher vielleicht nur eine ID war, die nur zu einem Cookiecontainer meines Browsers gehört, wüsste das Unternehmen jetzt wer ich bin. Mache ich das mehrfach, können sie dies verknüpfen.

        Frage 2: Kann man auch, nach DSGVO, ausschließlich Auskunft auf den Ausweis-Namen einfordern? Ohne ID oder Accountnamen. Also „Ich heiße so und so, welche Daten haben Sie? + Antrag auf Löschung aller Daten.“

        Danke für die Recherche und das ausführliche Aufschreiben.

  1. Danke! 10 Jahre nach Snowden braucht es wieder solche Artikel. Es scheint eine Generation ohne „Snowden-Bewusstsein“ nachgerückt zu sein, und bei anderen verblasst es immer mehr.

    Hier noch eine Ergänzung, wie man sich gegen (politisches) Microtargeting zur Wehr setzt:

    Während der Bundestagswahl 2021 bekamen viele Menschen Wahlwerbung digital zugespielt. Gewöhnt an Werbung haben sich viele wenig dabei gedacht, doch das war nicht legal. NOYB (Max Schrems) hat dagegen Beschwerden eingereicht (was medial bislang kaum beachtet wird, WARUM?):

    Beschwerde gegen die CDU
    Beschwerde gegen die AFD
    Beschwerde gegen die SPD
    Beschwerde gegen Bündnis 90/Die Grünen
    Beschwerde gegen DIE LINKE
    Beschwerde gegen die Oekologisch-Demokratische Partei

    https://noyb.eu/de/politisches-microtargeting-auf-facebook-ein-wahlversprechen-nur-fuer-dich

    Wer die PDFs liest, kann diese Beschwerden als hervorragende Mustervorlagen ansehen, wie man so etwas macht. Danke an Max Schrems für seine Pionierarbeit!

    Was mich erstaunt ist, dass es außer von NOYB keine (?) Muster-/Sammel-Klagen gegen die spionierende Werbewirtschaft gibt.

    Kanzleien der Republik! Damit könntet ihr auch mal Kohle machen! IT-Experten dafür bräuchtet ihr nicht lange suchen für solche Projekte.

  2. Völlig entziehen kann man sich, glaube ich, kaum. Aber anstelle der Datenauskunft, die extrem arbeits- und damit zeitaufwendig ist, kann man dafür sorgen, dass diese Daten gar nicht erst anfallen. Es ist zwar nervend immer wieder auszuwählen, welche Informationen eine Website erfassen darf, aber immerhin habe ich die Möglichkeit der Einschränkung. Seiten, die ohne Zustimmung nicht funktionieren, werden nicht gelesen.

    Die beschriebenen Wege an die Cookies heranzukommen sind wenig komfortabel. Unter Firefox nutze ich das Add-on „Cookie Quick Manager“, welches alle Sites/Domains, die dazugehörenden Cookies und deren Inhalt präsentiert. Für Chrome ist der „Awesome Cookie Manager“ eine Empfehlung wert.

  3. Tja, Beschwerde bei der Datenschutzaufsichtsbehörde, ob die da Interesse haben? Auf Ergebnis meiner Beschwerde warte ich nun anderthalb Jahre. Ihr habt da nachgefasst und darauf wurde meine Beschwerde bei der Behörde überhaupt gefunden und ich habe eine Bestätigungsmail für den Eingang erhalten. Aber mehr kam nicht. Wozu also so eine Behörde, wenn sie nicht arbeitet?

    Ich bezweifele, dass eine Kontaktaufnahme zu einer dieser Firmen zu einer Datenlöschung führen würde. Ich denke eher, der Kontakt wird als weitere Date gespeichert zu meinem Profil. Vielleicht als „Renitenter Privatsphären Aktivist“ oder ähnlich. Aber löschen? Daten? Nein, wer würde das Gold, dass er einmal geschürft hat einfach wegtun?

  4. Ich sehe das wie M. Wie bereits in einem nicht freigeschalteten Kommentar zur Schufa, in welchem ich das Löschen infrage gestellt habe, sehe ich keinen Grund die Daten zu löschen. Es kann ja niemand kontrollieren und Gesetze ändern sich inzwischen jeden Tag. Unsere Bundesregierungen mischen da letztlich auch fleißig mit. Impressumpflicht zum Beispiel, die keinem außer den Datensammlern nützt, Handelsregister, was einst nur offline öffentlich war und entsprechend zumindest ein paar Hürden aufwies, seit Jahren online und somit Geburtsdaten und Geburtsnamen für jederman einsehbar. Marken- und Patemtamt das gleiche. Meldest du eine Marke an, macht innerhalb weniger Tage ein Anwalt mit deinem Namen Kasse.

  5. Hört doch bitte mal auf, dieses Märchen zu verbreiten, dass die Landesdatenschutzbeauftragten irgendetwas täten, wenn man sich dort über ein Unternehmen beschwert. Ich warte trotz Nachhakens schon fast drei Jahre, dass meine Beschwerde bearbeitet wird. Und es ist auch nicht das erste
    Mal, dass eine Beschwerde von mir solange verschleppt wird, bis ich schließlich entnervt aufgebe.
    Die Landesdatenschutzbeauftragten sind die Hauptdarsteller in einer Schmierenkomödie, mit der uns die Politik vorgaukeln will, dass sich jemand um die Anliegen der Bürger kümmern würde. Und diese Schmierenkomödie sollte Netzpolitik nicht auch noch unterstützen.

    1. Deine Behauptungen sind falsch!

      So arbeiten die Datenschutzbeauftragtren der Länder:

      1. Wir prüfen Ihre Beschwerde, zunächst insbesondere auf ihre datenschutzrechtliche Relevanz.

      2. Wenn es für unsere Untersuchung erforderlich ist, wenden wir uns an die Stelle, der Sie den Datenschutzverstoß vorwerfen. Die Stellen, für die wir zuständig sind, sind verpflichtet, uns die erforderlichen Auskünfte zu erteilen und Kopien von Unterlagen zur Verfügung zu stellen.

      3. Wenn es erforderlich ist, wenden wir uns an andere Datenschutzaufsichtsbehörden – besonders bei einer Zusammenarbeit in grenzüberschreitenden Fällen.

      4. Wir setzen das Datenschutzrecht durch. Wir haben dazu verschiedene Untersuchungs- und Abhilfebefugnisse aus der DS-GVO und dem Datenschutzgesetz NRW. Weitere Informationen zu den Aufsichtsbefugnissen und Sanktionen nach der DS-GVO finden Sie im Kurzpapier Nr. 2 der Datenschutzkonferenz. Verstöße jedenfalls im nicht-öffentlichen Bereich können auch mit Geldbußen sanktioniert werden.

      5. Bei der Ausübung unseres Ermessens haben wir uns insbesondere am Verhältnismäßigkeitsgrundsatz zu orientieren. Ein Anspruch darauf, wie wir unsere Befugnisse ausüben und welche aufsichtsrechtlichen Maßnahmen wir ergreifen, besteht grundsätzlich nicht.

      6. Wir informieren Sie über den Fortgang und das Ergebnis unserer Untersuchung.

      1. Leider haben die alle viel zu wenig Personal.
        Da hilft: Beschwerden bei den Regierungsfraktionen im jeweiligen Landesparlament, die müssen mehr Personal genehmigen.

  6. /e/, zB auf dem Fairphone 4, und auf keinen Fall Google apps installieren. Dann gibt es auch keine Google Werbe ID.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.