Realität der Exposition

Datenbroker: das Leck, für das Sie zahlen

Wer Ihre Daten sammelt, wie, warum es strukturell schwer zu stoppen ist, und was Sie vernünftigerweise tun können.

Veröffentlicht am 5. Dezember 2024 14 Min. Lesezeit Allgemein

Zuletzt überprüft: 14. Februar 2026

Datenserver in Reihen in einem Rechenzentrum

Ein US-amerikanischer Broker schickt mir eine „kostenlose” Probe über einen meiner Mandanten, um mich zu überzeugen, das vollständige Profil zu kaufen. Siebenundvierzig prädiktive Attribute, darunter ein Score „Scheidungswahrscheinlichkeit binnen 24 Monaten”, berechnet aus seinen E-Commerce-Käufen und der Häufigkeit seiner Fahrdienst-Fahrten. Der Mandant hatte nie jemandem erlaubt, seine Käufe zu analysieren. Niemand hatte ihn je um irgendetwas gebeten. Und der Broker stellte mir den Zugang zu seinem Privatleben in Rechnung, wie man eine Excel-Datei in Rechnung stellt.

Angle de lecture

Particulier RSSI / DSI

Die übliche Falle

„Ich nutze Facebook nicht, also weiß man nicht viel über mich.” Diesen Satz höre ich in Meetings mindestens einmal im Monat, und er ist falsch bis zu einem Grad, der jene aus der Fassung bringt, die ihn aussprechen. Nahezu alle Daten, die ein Datenbroker über Sie hält, kommen nicht aus den sozialen Netzwerken. Sie kommen von überall sonst: die Kundenkarte des Supermarkts, das Garantieformular, das Sie für Ihre Spülmaschine zurückgeschickt haben, die Wetter-App, die Ihre Geolokalisierung weiterverkauft, das Gewinnspiel, an dem Sie 2017 teilgenommen haben, das Handelsregister, der Telekommunikationsanbieter in bestimmten Rechtsräumen. Die sozialen Netzwerke sind der Baum. Die Broker beuten den ganzen Wald aus, und der Wald wächst weiter, selbst wenn Sie den Baum fällen.

Der zweite, raffiniertere Reflex besteht darin zu sagen: „Die DSGVO schützt mich, ich habe ein Auskunfts- und Löschungsrecht, also kann ich aufräumen.” Das ist auf dem Papier wahr und weitgehend illusorisch in der Praxis. Die DSGVO gibt Ihnen durchsetzbare Rechte gegenüber einem identifizierten Verantwortlichen. Doch die Brokerage-Industrie beruht gerade auf der Undurchsichtigkeit der Kette: Sie wissen nicht, wer Ihr Profil hält, also können Sie kein Recht gegen einen Akteur ausüben, den Sie nicht kennen. Und wenn Sie die Löschung bei einem erlangen, wird Ihr Profil drei Monate später aus einer Sekundärquelle wieder eingespeist, die der erste bereits weiterverkauft hatte. Sie leeren einen löchrigen Eimer.

Die dritte Falle ist kommerziell. Man verkauft Ihnen ein Abonnement für einen automatisierten Opt-out-Dienst — Incogni, DeleteMe, Optery — und lässt Sie glauben, dass das Abonnement das Thema abschließt. Diese Dienste haben einen echten Wert, ich komme ausführlich darauf zurück. Aber der Marketingdiskurs, der sie umgibt, pflegt genau dieselbe Fiktion wie jene, die ich in Ihre Daten sind längst öffentlich demontiere: die Idee, dass es einen „sauberen” Zustand gibt, zu dem man zurückkehren könnte. Dieser Zustand existiert nicht. Die richtige Rahmung ist nicht „meine Daten von den Brokern löschen”, ein unerreichbares Ziel, sondern „das ausnutzbare Rauschen reduzieren und akzeptieren, in einem dokumentierten Leck-Zustand zu leben”.

Wer die Akteure sind und was sie wirklich wissen

Die Industrie der Datenbrokerage ist alt, gewaltig und für die breite Öffentlichkeit unsichtbar. Der Referenzbericht der FTC von 2014 — bei den Zahlen veraltet, bei den Mechanismen zeitlos — erfasste bereits Broker, die über 700 Milliarden aggregierte Datenelemente hielten. Zehn Jahre später ist die Größenordnung explodiert, nicht geschrumpft.

An der Spitze die großen Aggregatoren. Acxiom, 2018 von LiveRamp übernommen, pflegt Profile zu rund 2,5 Milliarden Menschen, mit durchschnittlich knapp 1500 Attributen pro Profil. Experian kombiniert Kreditscoring und Brokerage. Oracle Data Cloud (ehemals Datalogix, dann BlueKai) war lange ein Werbe-Pivot, bevor Oracle 2022 seinen schrittweisen Abbau ankündigte — Beweis nebenbei, dass selbst die Giganten ihre Datenlinien neu konfigurieren, wenn der regulatorische Druck steigt. LexisNexis Risk Solutions beliefert Versicherung, Recht, öffentlichen Sektor. Epsilon und LiveRamp strukturieren das Cross-Device-Matching, das heißt die Fähigkeit, Ihre Identität zwischen Ihrem Telefon, Ihrem Computer und Ihrem vernetzten Fernseher wieder zusammenzufügen.

Darunter die Spezialisten. Die US-amerikanischen People-Search-Dienste — Spokeo, Whitepages, BeenVerified, Radaris —, die öffentliche Register und kommerzielle Daten aggregieren, um Berichte über jede beliebige Privatperson zu verkaufen, für 20 oder 30 Dollar das Stück. CoreLogic für Immobilien. Und der Nebel der europäischen Broker, diskreter, weil stärker der DSGVO ausgesetzt: Schober in Deutschland, diverse Akteure lokaler Data Management Platforms, die Zielgruppensegmente weiterverkaufen, ohne je in Ihrem Blickfeld zu erscheinen.

Was sie halten, ordnet sich in drei Schichten. Zuerst die deklarativen Daten: Name, aufeinanderfolgende Adressen, Telefone, E-Mails, Geburtsdatum, Haushaltszusammensetzung, Familienstand, Kinder, geschätztes Einkommen, abgeleitetes Vermögen, Immobilienbesitz. Dann die Verhaltensdaten: über die Kundenkarten und E-Commerce-Partnerschaften rekonstruierte Kaufhistorie, von Marketing-Pixeln erfasste Web-Navigation, ungefähre Geolokalisierung, weiterverkauft von mobilen Apps, die keinen funktionalen Grund haben, sie zu erheben, Mediennutzungsgewohnheiten. Schließlich die prädiktiven Scorings, und hier wird es unangenehm: Kaufwahrscheinlichkeit nach Kategorie, Finanzrisiko, Lebensphase (bevorstehender Umzug, Geburt, Renteneintritt), und ja, in bestimmten US-amerikanischen Katalogen Segmente, so eindringlich wie „kürzlich trauernde Person” oder „Haushalt in finanziellen Schwierigkeiten”.

Wie gelangen Ihre Daten dorthin? Über drei Kanäle. Die vertraglichen Quellen: Kundenkarten, banale Web-Formulare, kostenlose mobile Apps, Vielfliegerprogramme und Hotel-Treueprogramme, vorangekreuzte Kästchen, die niemand abwählt. Die Partnerschaften: Telekommunikationsanbieter, die aggregierte Metadaten je nach Rechtsraum weiterverkaufen, Zugangsanbieter, Kartenherausgeber, die Ausgaben-Aggregate weiterverkaufen. Die öffentlichen Quellen: Rechtsregister wie das Handelsregister und das Unternehmensregister, Wählerverzeichnisse je nach Land. Und eine vierte Kategorie, die kein seriöser Broker zugibt, die aber existiert: die unter dem Label „Data Enrichment” neu verpackten Leak-Datenbanken, wo aus Breaches stammende Dumps die legitimen Profile anreichern.

Einen Punkt hämmere ich im Auftrag ein: Der Wert eines Brokers liegt nicht im Rohdatum, das oft banal ist, sondern in der Identitätsauflösung. Ihre E-Mail-Adresse von 2012, Ihre Telefonnummer von 2019, Ihre aktuelle Postadresse und die Werbe-Kennung Ihres Telefons in einem einzigen einzigartigen Profil wieder zusammenzufügen, das ist das Handwerk. Ein isoliertes Datum ist nichts wert; der Graph, der sie verbindet, ist viel wert, weil er es erlaubt, Sie über die Dienste, die Geräte und die Zeit zu verfolgen. Aus diesem Grund bricht ein partielles Opt-out — Sie entfernen die E-Mail, lassen aber das Telefon — das Profil nicht: Es genügt ein noch gültiger Pivot-Identifikator, damit der Rest sich wieder zusammenfügt. Wenn Sie Ihre Exposition behandeln, denken Sie in Pivot-Identifikatoren (E-Mail, Telefon, Adresse) und nicht in isolierten Daten.

Der rechtliche Rahmen, oder warum es strukturell asymmetrisch ist

Das juristische Terrain erklärt, warum das Problem widerstandsfähig ist. In Europa gibt Ihnen die DSGVO ein Auskunftsrecht (Artikel 15) und ein Löschungsrecht (Artikel 17). Auf dem Papier ist das solide. In der Praxis ist Artikel 17 mit weitreichenden Ausnahmen versehen — berechtigtes Interesse des Verantwortlichen, gesetzliche Aufbewahrungspflichten, Archive — und vor allem setzt er voraus, dass Sie wissen, an wen Sie sich wenden müssen. Die europäischen Broker antworten, oft im Schneckentempo und am Rand der gesetzlichen Fristen. Die in Europa tätigen US-amerikanischen Broker antworten, wenn sie sich dazu gezwungen sehen, und der BfDI (Bundesbeauftragter für Datenschutz) sowie die Landesaufsichtsbehörden haben weder die Mittel noch die Jurisdiktion, sie alle zu verfolgen.

In den USA gibt es kein gleichwertiges Bundesgesetz. Die Landschaft ist ein Flickenteppich von Einzelstaaten. Der California Consumer Privacy Act (CCPA), verstärkt durch den CPRA, eröffnet ein Opt-out-Recht, und die kalifornische Behörde hat 2026 den Mechanismus DROP (Delete Request and Opt-out Platform) eingeführt, der eine einzige Löschungsanfrage erlaubt, die an alle im Bundesstaat registrierten Broker weitergegeben wird — ein echter struktureller Fortschritt. Vermont schreibt ein verpflichtendes Register der Datenbroker vor, was zumindest die Liste öffentlich macht. Andernorts in den USA ist der bundesweite Schutz nahezu null. Der Rest der Welt variiert von Grund auf: Brasilien (LGPD) ist an der DSGVO ausgerichtet, aber wenig durchgesetzt, China (PIPL) ist oberflächlich ausgerichtet mit einer anderen staatlichen Zielsetzung, und weite Zonen Asiens, Afrikas und Lateinamerikas bieten keinen praktischen Rechtsbehelf.

Die operative Folge ist eindeutig: Ihre Daten zirkulieren in Rechtsräumen, in denen Sie keinen Hebel haben, und die Löschung, die Sie in einem Rechtsraum erlangen, hat keine Wirkung in den anderen. Aus diesem Grund ist das richtige Ziel nicht die Löschung — illusorisch im weltweiten Maßstab — sondern die Reduktion des Durchsatzes in den Rechtsräumen, in denen Sie Zugriff haben, und das dokumentierte Akzeptieren des Rests.

Der richtige Ansatz: das Rauschen reduzieren, nicht die Null anvisieren

Der pragmatische Schwenk passt in einen Satz: Sie werden Ihre Daten nicht vom Markt löschen, Sie werden das Volumen frischer und ausnutzbarer Daten reduzieren, das hineingelangt, und Sie werden dort aufräumen, wo es rechtlich möglich ist. Es ist eine Logik des Durchsatzes, nicht der endgültigen Löschung.

Konkret funktionieren drei Hebel. Der erste ist das Opt-out bei den großen Aggregatoren, von Hand gemacht, einmal, ernsthaft. Acxiom, Experian, Oracle, LexisNexis, Epsilon bieten alle Abmeldeformulare an — oft vergraben, manchmal mühsam, aber real und durch den US-amerikanischen und europäischen regulatorischen Druck erzwungen. Den Kopf der Kette zu kappen, reduziert die Weiterverbreitung an die Sekundärakteure, die sich bei ihnen versorgen. In den USA sind das Register von Vermont und der DROP-Mechanismus der kalifornischen Behörde (CPPA), der seit 2026 eine zentralisierte Löschungsanfrage bei den registrierten Brokern erlaubt, strukturierende Einstiegspunkte selbst für einen Europäer, dessen Daten über US-amerikanische Plattformen transitiert sind.

Der zweite Hebel ist die Automatisierung per Abonnement, für die lange Schwanzkette der Dutzenden von Sekundärbrokern, die Sie nie einzeln behandeln würden. Das ist die Rolle von Incogni, DeleteMe, Optery. Seien wir ehrlich über das, was sie tun und nicht tun. Incogni (von Surfshark herausgegeben) deckt rund 180 bis 220 Broker ab, sendet automatisierte DSGVO- und CCPA-Anfragen, berührt weder die Leak-Datenbanken noch die öffentlichen Register, und kostet rund 7 bis 8 Euro pro Monat im Jahresabo. DeleteMe (Abine) stützt sich auf menschliche Bearbeiter, deckt rund dreißig überwiegend US-amerikanische Broker ab und stellt mehr in Rechnung. Optery beansprucht die breiteste Abdeckung (250+ Broker) mit erfreulicher Transparenz: Sie zeigen Ihnen, Profil für Profil, den Status jeder Anfrage und liefern Screenshots der gefundenen und dann gelöschten Exposition. Für einen Europäer erledigen Optery oder Incogni die Arbeit; DeleteMe ist vor allem für Profile mit starkem US-Fußabdruck relevant.

Der dritte Hebel ist die nicht delegierbare manuelle Arbeit, jene, die kein Abonnement an Ihrer Stelle erledigt: den Hahn an der Quelle zudrehen. Die Geolokalisierung in den Apps deaktivieren, die sie nicht brauchen, die Marketing-Freigaben der Kundenkarten widerrufen, die seit fünf Jahren ruhenden Konten schließen, die Weiterverkaufs-Kästchen systematisch ablehnen. Diese Arbeit reduziert den Fluss frischer Daten. Die Opt-outs behandeln den Bestand; die Hygiene-Disziplin behandelt den Fluss. Beides ist notwendig, und das Abonnement entbindet nicht von Zweitem.

Ein Wort zur Falle des Mittels, das schlimmer ist als das Übel: Manche People-Search-Broker bieten Ihnen eine Löschung an … gegen die Erstellung eines Kontos bei ihnen, mit Identitätsprüfung per amtlichem Ausweis. Sie geben ihnen dann mehr Daten, als sie hielten. Geben Sie niemals einem Broker einen Ausweis, um ein Opt-out auszuüben; die DSGVO verlangt eine verhältnismäßige Prüfung nur in begrenzten Fällen, und ein seriöser Broker begnügt sich mit einer Bestätigung per E-Mail.

Was das konkret bedeutet

Angle de lecture

Particulier RSSI / DSI

Für Sie als Privatperson

Sie haben vermutlich eine Datenspur bei Dutzenden von Brokern hinterlassen, die Sie nicht kennen, über zehn bis zwanzig Jahre angehäuft. Sie werden sie nicht verschwinden lassen. Sie werden das Rauschen reduzieren und die Versorgung kappen. Drei Prioritäten, diese Woche umsetzbar, für weniger als 200 Euro im Jahr.

Machen Sie das manuelle Opt-out der fünf großen Aggregatoren — Acxiom, Experian, Oracle, LexisNexis, Epsilon. Rechnen Sie mit anderthalb Stunden, Formular für Formular, mit einer Nachverfolgung der Bestätigungen in einer einfachen Tabelle. Es ist kostenlos und der Schritt mit dem besten Aufwand-Wirkung-Verhältnis, weil er den Kopf der Weiterverbreitungskette kappt.
Schließen Sie einen automatisierten Opt-out-Dienst ab für den langen Schwanz — Incogni oder Optery je nach Ihrer Preistoleranz, 100 bis 150 Euro pro Jahr. Sehen Sie es nicht als Lösung, sondern als wiederkehrendes Pflege-Abonnement: Es sendet die Anfragen vierteljährlich erneut, weil die Broker Sie wieder einspeisen. Prüfen Sie seinen Expositionsbericht einmal pro Quartal, zehn Minuten.
Drehen Sie den Hahn an der Quelle zu. Gehen Sie in den Einstellungen Ihres Telefons die Standortberechtigungen durch und kappen Sie sie für jede App, die sie nicht offensichtlich braucht. Wählen Sie die Marketing-Freigaben Ihrer Kundenkarten ab (Payback, IKEA Family, Douglas und die anderen). Schließen Sie die Konten, die Sie seit fünf Jahren nicht genutzt haben. Es ist kostenlos und es ist das, was verhindert, dass Ihre künftigen Daten den Markt versorgen.

Der Rest ist eine jährliche Disziplin, kein Sprint. Blockieren Sie einen halben Tag pro Jahr, um diese drei Schritte erneut durchzuspielen. Das genügt für 95 % der Profile.

Für Sie, CISO / IT-Leitung / Geschäftsführung

Die Broker sind der tote Winkel Ihres Datenschutzprogramms. Sie schützen, was Sie verarbeiten; sie beuten aus, was Ihre Mitarbeiter und Ihre Führungskräfte lecken lassen, ohne dass Sie den geringsten Zugriff haben. Drei Punkte, um diese Realität in Ihre Rahmung zu integrieren.

1. Die Exposition Ihrer Schlüsselpersonen über die Broker ist eine Eingangsgröße Ihres Threat Models, kein collaterales HR-Thema. Die Broker und die People-Search-Dienste erlauben es, für einige Dutzend Euro die Wohnadressen, persönlichen Nummern, Familienzusammensetzung und das geschätzte Vermögen Ihrer Führungskräfte zu rekonstruieren. Das ist der Treibstoff des gezielten Spear-Phishing und Social Engineering. Direkte Folge: Fügen Sie eine Zeile „Broker Exposure” zum jährlichen Expositionsaudit der Geschäftsführung und der sensiblen Funktionen (Recht, M&A, Finanzen, F&E) hinzu, ebenso wie einen Anwendungs-Pentest.

2. Ihre DSGVO-Compliance misst nicht Ihre tatsächliche Exposition. Eine perfekt konforme Organisation — aktuelles Verarbeitungsverzeichnis, benannter Datenschutzbeauftragter, NIS 2 im Gange — kann ihre gesamte Geschäftsführung bei einem Dutzend Broker verkäuflich haben. Das sind zwei verschiedene Dashboards. Direkte Folge: Unterscheiden Sie in der Governance ausdrücklich den Compliance-Indikator (rechtliche Abdeckung) und den operativen Expositionsindikator (was über Ihre Personen kaufbar ist). Dieses zweite Dashboard fehlt fast immer, oder schlimmer, es wird einer Marketinglösung anvertraut, die sich damit begnügt, öffentliche Daten umzuformatieren.

3. Sie können ein Broker-Monitoring auf Führungskräfteniveau für den Preis eines Beratertags finanzieren. Die Optery-/DeleteMe-Abonnements in der Version „Business” oder „Family” decken mehrere Identitäten für einige Hundert Euro pro Jahr und Person ab. Direkte Folge: Für eine Geschäftsführung von zehn Personen deckt ein Budget in der Größenordnung von 2 000 bis 4 000 Euro jährlich das automatisierte Opt-out und das Monitoring ab. Das ist marginal gegenüber Ihrer EDR-Linie, und es behandelt einen Vektor, den Ihre DLP und Ihr CASB überhaupt nicht sehen.

Fehler, die man ständig sieht

Ein Opt-out-Abonnement abschließen und das Thema für abgeschlossen halten. Das Opt-out behandelt den Bestand; ohne die Versorgung zu kappen (Geoloc, Kundenkarten, Formulare), zahlen Sie dafür, einen Eimer zu leeren, der sich fortlaufend füllt.
Einem Broker einen Ausweis geben, um die Löschung zu „beschleunigen”. Sie geben ihm mehr Daten, als er hielt. Ein legitimes Opt-out verlangt nie einen Reisepass.
Die großen Aggregatoren ignorieren und nur den langen Schwanz behandeln. Acxiom oder LexisNexis zu kappen, hat mehr Wirkung als zehn sekundäre People Searches abzumelden, die sich bei ihnen wieder versorgen.
Die europäischen und außerhalb der Reichweite liegenden Broker vergessen. Der US-Fokus der Dienste für die breite Masse lässt tote Winkel in Deutschland, in Frankreich und außerhalb der EU, wo manche Ihrer Daten ohne jeden praktischen Rechtsbehelf zirkulieren.
Löschung und Deindexierung verwechseln. Eine Google-Entfernung zu erlangen (Recht auf Vergessenwerden) löscht nichts beim Broker: Das Datum bleibt verkäuflich, es ist nur weniger sichtbar in einer Suche für die breite Masse.

Umsetzbare Checkliste

N1 Das manuelle Opt-out der 5 großen Aggregatoren machen (Acxiom, Experian, Oracle, LexisNexis, Epsilon) und jede Bestätigung nachverfolgen
N1 Einen dem Profil angepassten automatisierten Opt-out-Dienst abschließen (Incogni oder Optery für Europa, DeleteMe bei starkem US-Fußabdruck)
N2 Die Geolokalisierung der Apps deaktivieren, die keinen offensichtlichen funktionalen Bedarf haben
N2 Die Marketing-/Weiterverkaufs-Freigaben der Kundenkarten abwählen und die inaktiven Konten der letzten 5 Jahre schließen
N2 Niemals einem Broker einen Ausweis geben, um ein Opt-out auszuüben
N3 Für exponiertes Profil: einen US-amerikanischen People-Search-Bericht über sich selbst bestellen, um die tatsächliche Exposition zu messen
N3 Für Organisation: eine Zeile 'Broker Exposure' zum jährlichen Expositionsaudit der Geschäftsführung hinzufügen und die Wiederauftauchquote nach 90 Tagen verfolgen
N3 Für US-Profil: Löschungsanfrage über das Vermont-Register und den DROP-Mechanismus der kalifornischen CPPA

Zum Weiterlesen

Der FTC-Bericht von 2014, Data Brokers: A Call for Transparency and Accountability, bleibt die Referenzkartierung der Mechanismen der Industrie, auch wenn seine Zahlen gealtert sind. Um die regulatorische Entwicklung zu verfolgen, dokumentieren das Vermont-Register und der DROP-Mechanismus der kalifornischen Behörde (CPPA) im Klartext die Liste der registrierten Broker und die zentralisierten Löschungsverfahren — nützlich selbst aus Europa. Auf der praktischen DSGVO-Seite detaillieren der BfDI sowie die Verbraucher-Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) die Rechtsbehelfe in Sachen Werbung und Datenweiterverkauf. All diese Quellen finden Sie im Frontmatter. Für die strategische Gesamtrahmung siehe Ihre Daten sind längst öffentlich und, für die konkreten nachgelagerten Schritte, Das Expositionsaudit und Das Recht auf Vergessenwerden.

Quellen und weiterführende Literatur

FTC — Data Brokers: A Call for Transparency and Accountability (2014) [report]
Privacy Rights Clearinghouse — Data Brokers [official]
Vermont Data Broker Registry [official]
California Privacy Protection Agency — Delete Request (DROP) [official]
BfDI — Werbung und Adresshandel: Ihre Rechte [official]
BSI für Bürger — Datensparsamkeit und Tracking [official]