Datenhändler in der Big-Data-Ökonomie: Das Geschäft der Datenbroker

Wer Serien streamt, online einkauft oder im Supermarkt mit Kreditkarte bezahlt, hinterlässt Spuren. Gut neun Jahre nach den Enthüllungen des Whistleblowers Edward Snowden ist das keine neue Erkenntnis, aber für viele Bürger offenbar noch immer kein Grund, sich nicht für ein paar Gutscheine in ihren Einkaufswagen schauen zu lassen. Nach dem Motto: Ich habe nichts zu verbergen!

Nun kann jeder Bürger selbst entscheiden, ob er für eine Packung Scheiblettenkäse seine Privatsphäre verscherbelt. Viele Nutzer wissen aber nicht, dass nicht nur Datenkraken wie Google, Facebook und Co Buch über ihr Konsumverhalten führen: Im Schlepptau der Big-Data-Ökonomie ist ein unregulierter Markt von Datenbrokern entstanden, die in großem Stil mit Daten handeln: Kreditkartendaten, Bonusprogramme, Kfz-Register.

Das Geschäftsmodell dieser Informationshändler besteht grob gesagt darin, Datensätze aufzukaufen und daraus detaillierte Verbraucherprofile zu erstellen, die dann an Werbefirmen oder Einzelhändler verkauft werden. Wenn eine Supermarktkette zum Beispiel weiß, dass SUV-Fahrer überdurchschnittlich viel Bio-Obst kaufen, kann der Händler personalisierte Anzeigen auf Smartphones ausspielen.

Früher kauften Datenbroker vor allem Adress- und Abo-Listen (etwa zu Abonnenten von Golfmagazinen) auf, um Zielgruppen zu bestimmen. Doch in Zeiten, in denen Verbraucher mit Smartphones und Kreditkarten einkaufen, können die Händler ganz andere Datenquellen anzapfen. Die US-Firma Acxiom, einer der größten Datenhändler weltweit, hat Profile von 2,5 Milliarden Konsumenten auf der Welt erstellt – mit bis zu 11.000 Datenpunkten pro Person. Name, Alter, Geschlecht, Einkommen, Krankheiten – die Datenbroker wissen alles.

Das Zeitalter der roten Ameisen

Am alten Firmensitz von Acxiom, einem Bürogebäude in Little Rock im US-Bundesstaat Arkansas, ratterten zeitweise mehr als 23.000 Server, die gigantische Datenmengen verarbeiteten. Mithilfe eines Klassifikationssystems werden aus den einzelnen Datenpunkten Kategorien von Käufertypen destilliert wie etwa „hypothekenfreier Jetset“, „Alleinflieger“ oder „sparsame Rentner“.

Diese sozioökonomischen Cluster geben unter anderem an, wie die jeweiligen Gruppen auf bestimmte Kommunikationsmittel reagieren. So springen die „sparsamen Rentner“ vor allem auf Post an, während die „Alleinflieger“ besonders rezeptiv für SMS sind. Diese „Kartierung des Verbrauchergenoms“, wie die New York Times das Data Mining einmal bezeichnet hat, ist für Werbetreibende eine wichtige Entscheidungsgrundlage bei der Frage, über welche Kanäle sie Zielgruppen erreichen.

Zum Portfolio der Datenbroker gehören aber nicht nur Marketingwerkzeuge, sondern auch Risikoscores, die eine Wahrscheinlichkeit indizieren, mit der jemand an Diabetes erkrankt oder zahlungsunfähig wird. Für Versicherungen und Banken sind dies wertvolle Informationen bei der Berechnung individueller Policen und Risikoaufschläge.

Laut einer Recherche der Investigativ-Plattform Pro Publica haben Krankenversicherungen in der Vergangenheit bereits Datensätze erworben, um anhand der Kaufhistorie und der Fernsehgewohnheiten ihrer Kunden die Tarife zu berechnen. Wer viel glotzt und isst, zahlt drauf.

Je mehr Daten zur Verfügung stehen, desto hochauflösender werden die Profile. Entsprechend hemmungs- und schrankenlos ist die Kommerzialisierung sensibler Nutzerdaten. So wurden in der Vergangenheit auch schon Listen von Vergewaltigungsopfern und HIV-Patienten verschachert, als wären es bloße Bestelllisten.

Standortdaten geben Hinweise auf Abtreibungen

Während Datenkraken wie Google oder Facebook im Fokus der Regulierungsbehörden stehen, konnten die Datenbroker lange weitgehend unbehelligt ihre Silos füllen. Doch seit dem Skandal um die mittlerweile abgewickelte Analysefirma Cambridge Analytica, die illegal Millionen Facebook-Profile für Wahlkampfteams ausgewertet hatte, schauen die Aufsichtsbehörden genauer auf die geheimen Geschäftspraktiken in der zweiten und dritten Reihe.

So hat die US-Verbraucherschutzbehörde FTC kürzlich Klage gegen den Datenhändler Kochava eingereicht, weil dieser Standortdaten von Millionen von mobilen Endgeräten verkauft haben soll. Diese Geodaten, so heißt es in der Anklageschrift, könnten dazu genutzt werden, Personen zu identifizieren und ihre Bewegungen an sensible Orte wie etwa Gotteshäuser, Obdachlosenunterkünfte oder Abtreibungskliniken nachzuverfolgen.

Das ist insofern brisant, als der Supreme Court im Juni das landesweite Recht auf Schwangerschaftsabbruch gekippt hat. Damit gelten die Regelungen der Bundesstaaten. Und in jenen 13 Bundesstaaten, in denen Abtreibung illegal ist (zum Beispiel Texas und Wisconsin), kann der Aufenthalt in der Nähe einer Abtreibungsklinik für schwangere Frauen zum strafrechtlichen Problem werden. In einigen Bundesstaaten wertet die Polizei bereits Websuchen nach Abtreibung aus.

Zwar hat Google angekündigt, die Standortdaten von Besuchern von Abtreibungskliniken zu löschen. Doch für die staatlichen Ermittler gibt es noch immer die Hintertür des behördlichen Auskunftsersuchens, über das sie Zugriff auf die Suchhistorie bekommen können. Darüber hinaus gibt es zahlreiche weitere Dienste wie etwa Spiele- oder Dating-Apps, die auf die Standortdaten ihrer Nutzer zugreifen können und die diese Daten weiterverkaufen.

Wenige tausend Dollar für Millionen Standortdaten

Nach Recherchen der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) verschicken Datenhändler gezielt Informationsmaterial an US-Behörden, in denen sehr offensiv mit der Datennutzung geworben wird. Für weniger als 10.000 Dollar sollen Behörden Zugang zu Millionen Standortdaten erwerben können.

Der Staat ist in diesem Geschäft ein verlässlicher Kunde. So hat das US-Militär zur Anti-Terror-Bekämpfung über einen Datenbroker Standortdaten einer muslimischen Gebets-App gekauft. Auch das FBI hat bereits Mobilfunkdaten von einem Datenbroker bezogen. Doch der Staat spielt hier ein gefährliches Spiel. So warnt die Duke University in einer Studie, dass der unregulierte Markt eine Bedrohung für die nationale Sicherheit darstelle: Es gebe kein Gesetz, das Datenbroker daran hindere, Informationen über US-Bürger ans Ausland zu verkaufen. Überdies bestünde die Gefahr von Hackerangriffen, wenn Datenhändler nicht ausreichend in Cybersicherheit investierten. Auch weil es praktisch keine Auskunfts- und Widerspruchsrechte gibt, sind die Bürger dem entfesselten Datenmarkt schutzlos ausgeliefert.

Wie tief der Datenhandel in die Privatsphäre eingreift, zeigt ein weiterer Fall aus den USA: Im Juli vergangenen Jahres musste ein hochrangiges Verwaltungsmitglied der amerikanischen Bischofskonferenz zurücktreten, nachdem eine katholische Nachrichtenseite einen Handy-Datensatz erhielt, der offenbarte, dass der Priester die Dating-App Grindr nutzte und in Schwulenbars verkehrte. Der Geistliche wurde zwangsgeoutet.

Die US-Rechtsprofessorin und Datenschutzexpertin Danielle Citron macht in ihrem aktuellen Buch „The Fight for Privacy“ deutlich, dass es beim Datenschutz nicht nur um Befindlichkeiten geht, sondern um elementare Grundrechte wie Freiheit und Würde. Sie fordert deshalb, dass die „intime Privatsphäre“ in den Katalog der Bürgerrechte aufgenommen wird.

Zwar haben in den USA einzelne Bundesstaaten wie Kalifornien eine Registrierungspflicht für Datenhändler eingeführt. Ein nationales Register gibt es aber immer noch nicht. Um von dubiosen Datenbrokern nicht verraten und verkauft zu werden, bleibt Nutzern am Ende nur eine Minimallösung: den Zugriff auf ihre Standortdaten zu verbieten.