Data Brokers — Das unsichtbare Geschäft mit deinen Daten

01 — Was sind Data Brokers?

Das Geschäft, das du nicht siehst

Data Brokers — auf Deutsch Datenhändler oder Informationsmakler — sind Unternehmen, die persönliche Daten von Menschen sammeln, analysieren, aggregieren und an Dritte verkaufen oder lizenzieren. In den meisten Fällen wissen die Betroffenen weder davon, noch haben sie zugestimmt.[05][06]

Sie werden auch bezeichnet als Information Product Companies, Data Resellers, Data Suppliers oder Data Vendors. Das System ist für die meisten Menschen vollständig unsichtbar: Es gibt keine direkte Geschäftsbeziehung zwischen Broker und der Person, über die Daten gesammelt werden. Die Betroffenen sind das Produkt, nicht der Kunde.

5.000

Broker-Unternehmen weltweit (Schätzung 2025)

294–435 Mrd.

USD Marktgröße 2025 (je nach Studie)

+7–10%

Jährliches Marktwachstum (CAGR)

Quellen: [01][02][03][04]

Der Markt soll laut Prognosen bis 2030–2031 auf 448–617 Mrd. USD wachsen.[01][02] Zum Vergleich: Der Umsatz der gesamten deutschen Automobilindustrie lag 2024 bei rund 460 Mrd. EUR.

02 — Geschäftsmodell

Wie man Milliarden mit fremden Daten verdient

Data Brokers verdienen Geld auf mehrere Arten:[01][07][13]

Massenverkauf ganzer Datensätze — Firmen kaufen auf einmal Millionen Profile, z. B. alle Frauen zwischen 30 und 45 in Bayern mit Kindern
Abo-Direktzugang für Firmenkunden — wer zahlt, bekommt eine dauerhafte Live-Verbindung zur Datenbank und kann jederzeit aktuelle Profile abrufen (41 % des Markts, 2025)
Online-Datenmarktplätze — digitale Börsen, auf denen Datenpakete wie Waren angeboten und gehandelt werden; das am schnellsten wachsende Segment (+14 % pro Jahr)
Analytik-Dienstleistungen: ScoringScoringBerechnung einer Kennzahl, die deine Kreditwürdigkeit, dein Risikoprofil oder deinen Wert als Kunde ausdrückt. Bei der Schufa: 0–100%. Entscheidet über Kredite, Wohnungen, Handyverträge – oft ohne dein Wissen., Profilerstellung, Risikoberechnung
Nutzungsgebühren für dauerhafte Zugänge — ähnlich einem Software-Abo, nur dass man damit auf fremde Personendaten zugreift

Das Geschäftsmodell ist vertikal gestaffelt:

Erstanbieter (First-Party): Sammeln Daten direkt von dir — das sind Plattformen wie Facebook, Google oder Zalando, die dein Verhalten auf ihrer eigenen Seite aufzeichnen
Wiederverkäufer (Third-Party): Kaufen Daten von vielen Erstanbietern, kombinieren sie zu detaillierten Gesamtprofilen und verkaufen sie weiter — das sind die eigentlichen Datenhändler (z. B. Acxiom, Experian, Epsilon)
Personen-Suchmaschinen: Websites, auf denen jeder gegen Bezahlung nach einer bestimmten Person suchen kann und deren Adresse, Verwandte und Telefonnummern erhält (z. B. Spokeo, Intelius)

💰

Preisbeispiel aus der Praxis: Forscherin Joanna Moll kaufte 1 Million Online-Dating-Profile inklusive 5 Millionen Fotos und persönlicher Daten für weniger als 150 US-Dollar vom Broker USDate.[08][10]

03 — Welche Daten

Was Broker über dich wissen

Ein durchschnittliches Data-BrokerData BrokerUnternehmen, die persönliche Daten sammeln, zu Profilen zusammenführen und an Dritte verkaufen – ohne dass die betroffenen Personen davon wissen oder zugestimmt haben. Weltweit gibt es rund 5.000 solcher Firmen.-Profil enthält ca. 1.500 Datenpunkte pro Person. Acxiom beanspruchte 2023, Daten zu 2,5 Milliarden Menschen mit über 3.000 Datenpunkten pro Person zu besitzen.[07][08]

Basisinformationen

Name, Adresse, Telefonnummer, E-Mail, Geburtsdatum, Alter, Geschlecht, Sozialversicherungsnummer (USA), Ausweisnummern.

Demografische & sozioökonomische Daten

Familienstand, Haushaltsgröße, Kinder, Bildungsgrad, Beruf, Einkommen, Vermögen, Kreditwürdigkeit, Wohneigentum oder Mietstatus.

Verhaltens- & Kaufdaten

Kaufhistorie (Online & Offline über Kundenkarten), Surfverhalten, Suchhistorie, Konsumvorlieben, Markenaffinitäten, Abonnements, Spendenverhalten.

Standortdaten

GPS-Bewegungsprofile aus Werbe-SDKsSDKSoftware Development Kit – ein Programmier-Baukasten, den App-Entwickler in ihre Apps einbauen. Werbe-SDKs sammeln im Hintergrund Standortdaten, Geräteinformationen und Nutzungsverhalten und senden sie an Werbenetzwerke oder Data Broker. in Apps — häufig besuchte Orte wie Wohnung, Arbeit, Kirche, Arztpraxis, Schule.[09][12]

Gesundheits- & Lebensstildaten

Erschlossen aus Kaufdaten: übergroße Kleidung → Körperstatus, Erkrankungs-Tendenz. LexisNexis bietet ein Gesundheitsscoring-Produkt an, das erwartete Gesundheitskosten aus dem Konsumverhalten berechnet.[08]

Politische & religiöse Daten

Wahlregistrierung, Spendenhistorie, erschlossene Religionszugehörigkeit, politische Neigung.

Psychografische & Life-Event-Daten

Lebensereignisse: Hochzeit, Scheidung, Umzug, Nachwuchs, Studium, Jobwechsel. Persönlichkeitstypen, Interessen, Hobbys. Experian verkauft wöchentlich aktualisierte Listen mit „Namen werdender Eltern und Familien mit Neugeborenen".[08]

Zynische Kategorisierungen: Broker etikettieren Menschen mit Namen wie „American Royalty" (Experian, für wohlhabende Vorstadtfamilien), aber auch „X-tra Needy", „Meager Metro Means" oder „Small Town Shallow Pockets".[08] In Deutschland: „Gutverdiener", „Bio-Konsument", „Malle-Urlauber", „Magenkranker", „Migrationshintergrund".[62]

⚠️

Echte Daten vs. Schätzungen: Nicht alles, was Broker über dich speichern, stimmt. Sie unterscheiden zwischen Dingen, die sie wissen (du hast ein Produkt gekauft), und Dingen, die sie erraten (du kaufst Cholesterin-Ratgeber → also bist du wahrscheinlich krank). Diese Schlussfolgerungen können falsch sein — und trotzdem dein Profil prägen.[08][12]

04 — Datenquellen

Woher kommen die Daten?

Öffentliche Quellen

Wahlregistrierungen, Volkszählungsdaten, Grundbuchdaten, Gerichtsakten, KFZ-Zulassungen, Führerscheindatenbanken, Sterbeurkunden, Heiratsurkunden.

Kommerzielle Quellen

Einzelhändler und Loyalitätskartenprogramme — Datalogix verfügt über Daten zu über 1 Billion USD Konsumausgaben aus 1.400+ Marken. Dazu: Banken, Kreditinstitute, Versicherungen, Immobilienmakler, Vermieter, Telekomkonzerne.[08]

Digitale Quellen

Social-Media-Plattformen, Online-Quizze, Gewinnspiele, Umfragen, Werbenetzwerke & CookiesCookiesKleine Textdateien, die Websites in deinem Browser speichern. Drittanbieter-Cookies verfolgen dich über verschiedene Websites hinweg und senden dein Surfverhalten an Werbenetzwerke und Data Broker., Mobile Apps mit eingebetteten Werbe-SDKs — darunter Gebet-Apps und Dating-Apps, E-Commerce-Transaktionen.[09][12]

Datenkäufe von anderen Brokern

Broker kaufen auch untereinander — eine Datenkette entsteht, die praktisch nicht zurückverfolgbar ist. Acxiom, Experian und Epsilon verweigerten dem US-Senat gegenüber die Offenlegung ihrer konkreten Datenquellen oder Käufer.[14]

05 — Die Unternehmen

Die größten Datenhändler der Welt

Unternehmen	Jahresumsatz	Kerngeschäft
Experian	~9,7 Mrd. USD	KreditreportingKreditreportingDie systematische Sammlung und Auswertung von Finanzdaten über Verbraucher: Zahlungsverhalten, offene Kredite, Mahnverfahren. In den USA dominieren Experian, Equifax und TransUnion – in Deutschland die Schufa., Marketing
Equifax	~5,1 Mrd. USD	Kreditreporting, Analyse
Epsilon	~2,9 Mrd. USD	Marketing, Werbedaten
Acxiom / LiveRamp	~2,7 Mrd. USD	Konsumentendaten, Profiling
CoreLogic	~2,3 Mrd. USD	Immobilien, Versicherung

Schätzwerte ~2022–2024. Quellen: [07][15]

Acxiom / LiveRamp

USA · Konsumentendaten

Behauptet Daten zu 2,5 Mrd. Menschen mit 3.000+ Datenpunkten pro Person. Partner: Spotify, Meta, Hulu, Yahoo, Amazon Advertising.[07][08]

LexisNexis Risk Solutions

RELX Group, UK/USA · Juristische Datenbanken

Gilt als weltgrößte elektronische Datenbank für juristische und öffentliche Register. Verarbeitet über 270 Mio. Transaktionen pro Stunde. Gesundheitsscoring-Produkt: Berechnet Gesundheitsrisiken aus Konsumverhalten.[08]

Equifax — „The Work Number"

USA · Kreditreporting

Über 3 Mrd. Kreditdossiers an US-Kreditgeber. Tochter „The Work Number" besitzt detaillierte Gehalts- und Lohnzettelinfos von ~38 % aller beschäftigten Amerikaner.[18]

TransUnion

USA · Kreditreporting

Daten zu 96 % aller US-Erwachsenen. Mietprüfungen, Kreditscoring, Identitätsverifikation. 2025 „OneTru"-Plattform ausgerollt.[07]

Oracle Data Cloud

USA · KI-Konsumentenprofile

Verbindungen zu 80 Data-Broker-Unternehmen (selbst dokumentiert). KI-gestützte Konsumentenprofile für Werbetreibende, standortbasierte Marketing-Dienste.[07]

Venntel & X-Mode / Outlogic

USA · Standortdaten

Venntel spezialisiert auf Mobilgeräte-Standortdaten — bekannt dafür, Daten an das FBI verkauft zu haben. X-Mode/Outlogic 2024 von der zu einem Datensale-Verbot verurteilt, wegen Verkaufs von Protestierenden-Standortdaten.[17]

06 — Käufer

Wer kauft die Daten?

67 % der Unternehmen kaufen externe Daten für Kundentargeting (2025).[11][33]

Sektor	Verwendungszweck
Werbung & Marketing	Targeting, Segmentierung, personalisierte Werbung. Größter Sektor — alle großen Marken sowie Google, Meta, Amazon Advertising.
Banken & Versicherungen	Kreditwürdigkeitsprüfung, Betrugserkennung, Risikoabschätzung vor Vertragsabschluss. Auch Vermieter (Bonitätsprüfung vor Mietvertrag) und Arbeitgeber (Hintergrundcheck vor Einstellung).
Gesundheitssektor	Risikobewertung von Versicherten. Blue Cross Blue Shield of North Carolina kaufte Daten zu Konsumgewohnheiten von 3 Mio. eigenen Mitgliedern zur Gesundheitsrisikokalkulation.[08]
Immobilienwirtschaft	Hypothekengeber, Immobilienmakler (CoreLogic).
Andere Broker	Broker kaufen untereinander und kombinieren Datensätze.

07 — Behörden & Militär

Wenn der Staat deine Daten kauft

Dies ist eines der brisantesten Kapitel. US-Behörden nutzen den sogenannten „Data-Broker-LoopholeLoopholeEine rechtliche Lücke: Da kommerziell verkaufte Daten als „öffentlich verfügbar“ gelten, brauchen US-Behörden keinen Gerichtsbeschluss, um sie zu kaufen. So umgehen FBI, ICE und DHS den 4. Verfassungszusatz.": Da öffentlich verfügbare Daten keinen Gerichtsbeschluss erfordern, kaufen Behörden Daten von Brokern, um die im 4. Zusatzartikel4th AmendmentVierter Zusatzartikel der US-Verfassung: Schützt Bürger vor unangemessenen Durchsuchungen und Beschlagnahmungen. Für physische Durchsuchungen braucht die Polizei einen Gerichtsbeschluss – für Datenkäufe bei Brokern bisher nicht. der US-Verfassung verankerten Schutzrechte vor unzumutbaren Durchsuchungen zu umgehen.[17][20][22]

Behörde	Gekaufte Daten	Zweck
DHS / CBP	Mobiltelefon-Standortdaten	Verfolgung von Migranten
ICE	Standortdaten, Utility-Daten, Kennzeichenleserdaten	Abschiebungsoperationen
FBI	Standortdaten (Venntel), automatische Benachrichtigungen bei Social-Media-Aktivitäten bestimmter Personen (ZeroFox)	Strafverfolgung; untersuchte >1.000 Medien, Politiker, Religionsgruppen
DEA	Standortdaten	Drogenermittlungen
US Special Operations Command	Standortdaten	Militärische Geheimdienstoperationen
Defense Intelligence Agency	LexisNexis-Vertrag	Geheimdienstanalysen
US Navy	Sayari Analytics (Netzwerk-Analysedienst)	Verfolgung von Personen und Firmen, die gegen internationale Sanktionen verstoßen
DHS	Web of Science (weltgrößte Wissenschaftsdatenbank)	Identifikation und Überwachung ausländischer Forscher, die an US-Universitäten tätig sind

Quellen: [17][18][19][23][24]

Besonders brisante Fälle

Muslimische Gebets-Apps als Spionagequelle

2020–2021

US-Verteidigungsauftragnehmer kauften Standortdaten aus populären muslimischen Gebet- und Koran-Apps sowie Dating-Apps. Kongress-Mitglieder leiteten eine offizielle Anfrage ein. Islamische Gemeinschaften riefen zum Löschen der Apps auf.[17][23]

BLM-Proteste: Handy-Tracking von Demonstrierenden

2020

Mobiltelefon-Daten wurden verwendet, um Black-Lives-Matter-Protestierende zu verfolgen. Das FBI schloss kurz nach den Protesten einen neuen Vertrag mit einem Standortdaten-Broker ab.[17][21]

DHS überwacht ausländische Studierende (Proteste)

2025

DHS verwendete Standort- und Browserverläufe, um ausländische Studierende an US-Universitäten zu identifizieren und zu überwachen, die an Protesten teilnahmen.[21]

ICE überwacht US-Bürger die ICE kritisieren

2026

ICE nutzte kommerziell gekaufte Daten nicht nur zur Verfolgung von Immigranten, sondern auch zur Einschüchterung amerikanischer Bürger, die ICE-Praktiken öffentlich kritisierten.[21][22]

FBI-Dossiers auf 1.000+ Journalisten & Politiker

Januar 2026

Ein geheimer GAO-Bericht belegt, dass das FBI „Assessments" — vorermittlungsähnliche Maßnahmen unter Einsatz von Datenbanken und kommerziellen Daten — auf über 1.000 Nachrichtenorganisationen, Amtsträger und Religionsgemeinschaften durchgeführt hat, ohne Richtererlaubnis.[17][24]

ODNI — Zentraldatenbank aller Geheimdienste

Mai 2025

Das Office of the Director of National Intelligence arbeitet an einem zentralisierten Datenportal, das allen US-Geheimdiensten Zugang zu kommerziell erworbenen persönlichen Daten gibt — inklusive hochsensibler Informationen. Kritiker warnen, das Portal könnte Behörden erlauben, Protestierende anhand von Suchverläufen und Standortdaten zu identifizieren.[16]

Rechtslage: Das Fourth Amendment Is Not For Sale Act (FANFSA) passierte 2024 das US-Repräsentantenhaus und hätte einen Gerichtsbeschluss für Datenkäufe erfordert. Im Senat scheiterte es. Der Protecting Americans' Data from Foreign Adversaries Act (2024) wurde verabschiedet — verbietet aber nur den Verkauf bestimmter Daten an ausländische Feinde, nicht an US-Behörden.[20][32]

08 — Skandale & Leaks

Wenn Datenhändler gehackt werden

Laut Bericht des Joint Economic Committee des US-Kongresses (Februar 2026) kosteten allein vier Datenpannen durch Broker amerikanische Verbraucher geschätzt 20,9 Mrd. US-Dollar durch Identitätsdiebstahl.[25][26]

Unternehmen	Jahr	Betroffene	Daten
Equifax	2017	147,9 Mio.	Namen, SSN, Geburtsdaten, Adressen, Führerschein, Kreditkarten
Exactis	2018	230 Mio.	Telefon, E-Mail, Interessen, Kinder
National Public Data	2023/2024	270 Mio. (2,9 Mrd. Records)	Namen, Adressen, SSN, Geburtsdaten, Telefonnummern
TransUnion	2025	4,4 Mio.	Nicht vollständig dokumentiert
LexisNexis	März 2026	~3,9 Mio. DB-Records	Namen, Adressen, Regierungskonten (u. a. US-Bundesrichter, DoJ-Anwälte, SEC-Mitarbeiter). AWS-Fehlkonfiguration ausgenutzt. Bestätigt 4. März 2026.

Quellen: [25][26][30]

Equifax 2017 — Im Detail

Equifax Data Breach

Mai – Juli 2017

76 Tage unentdeckt. Ursache: Eine seit Monaten bekannte Sicherheitslücke in der verwendeten Software wurde nicht gestopft — und das Sicherheitszertifikat der Verbindungsverschlüsselung war abgelaufen, sodass der Angriff unbemerkt blieb. Täter: Vier Mitglieder der Volksbefreiungsarmee Chinas (angeklagt Februar 2020). Vermutetes Ziel: Aufbau von Geheimdienstdossiers über US-Regierungsangestellte.

Kosten für Equifax: 1,38 Mrd. USD (Sicherheitsupgrades + Vergleich). Vergleich mit FTC: 575 Mio. USD + kostenloser Kreditschutz für Betroffene. Besonderheit: Niemand aus den gestohlenen Daten ist bis heute nachweislich durch Identitätsdiebstahl geschädigt worden — China nutzte die Daten offenbar für nachrichtendienstliche Zwecke, nicht für Betrug.[27][29][31]

National Public Data 2024 — Im Detail

National Public Data / Jerico Pictures Inc.

2023/2024

Betreiber: Jerico Pictures Inc. (Hintergrundcheck-Dienst). Gestohlen: behauptet 2,9 Mrd. Datensätze — Realzahl ca. 270 Mio. betroffene Personen. Inhalt: Namen, aktuelle und frühere Adressen, SSN, Geburtsdaten, Telefonnummern. Folge: National Public Data meldete nach dem Leak Insolvenz an.[28]

09 — Regulierung

USA vs. Europa: Zwei Welten

🇺🇸 USA: Gesetzeslücken-Flickenteppich

Kein einheitliches Bundesdatenschutzgesetz

FCRA gilt nur für Kreditreporting-Zwecke

HIPAA greift nicht für Fitness-Apps oder Kaufdaten

Staatliche Gesetze uneinheitlich (Kalifornien führend)

FTC-Strafen symbolisch: 50.000–51.000 USD

FANFSA im Senat gescheitert

🇪🇺 Europa: DSGVO — starker Rahmen, lückenhafte Praxis

DSGVO reguliert nach Rollen (Controller, Processor)

Meiste Broker-Aktivitäten rechtlich problematisch bis illegal

Millionen-EUR-Strafen möglich (Meta: 1,2 Mrd. EUR)

Auskunfts-, Lösch- und Widerspruchsrechte

Durchsetzung gegen int. Broker lückenhaft

EU Data Act seit Sept. 2025 vollständig anwendbar

US-Bundesstaaten: Führende Gesetze

Staat	Gesetz	Kerninhalt
Kalifornien	Delete Act (2023) + SB 361 (2025)	Alle Broker müssen sich registrieren. Ab Januar 2026: eine einzige zentrale Löschanfrage reicht, um bei allen registrierten Brokern gleichzeitig gelöscht zu werden. Broker müssen das binnen 45 Tagen umsetzen.
Kalifornien	CCPACCPACalifornia Consumer Privacy Act – Kaliforniens Datenschutzgesetz seit 2020. Gibt Verbrauchern das Recht zu erfahren, welche Daten gesammelt werden, und deren Verkauf zu untersagen./CPRA (Verbraucherschutzgesetze)	Recht auf Auskunft, Recht auf Löschung, Recht auf Widerspruch gegen den Verkauf der eigenen Daten
Vermont	Data Broker Registration	Pflichtregistrierung + Offenlegung
Texas	Data Broker Law	Registrierungspflicht; AG-Ermittlung mit bis zu 1,4 Mrd. USD Strafen
Colorado	Privacy Act	Opt-Out-Rechte
Oregon	Consumer Privacy Act	Ähnlich wie CCPA

Quellen: [32][34][40]

Das Geschäftsmodell von Data Brokern ist in den meisten Fällen nicht DSGVO-konform — wegen grundlegender Probleme beim Einholen informierter Einwilligung.

— European Data Protection Law Review, 2023[35]

Neue EU-Rechtsentwicklungen 2025/2026

EU Data Act (vollständig anwendbar seit 12. Sept. 2025): Regelt, wer auf Daten von vernetzten Geräten (Smart-TV, Fitness-Tracker, Smart-Home) zugreifen darf und wie.[36][39]
Digital Omnibus (Nov. 2025): Die EU-Kommission schlägt vor, mehrere Datenschutzgesetze (DSGVO, Cookie-Regeln, Data Act) zu einem einfacheren Gesamtpaket zusammenzufassen; wird 2026 vom EU-Parlament beraten.[38]
Koordinierte EU-Datenschutzaktion 2026: Die europäischen Datenschutzbehörden prüfen gemeinsam, ob Broker ihren Pflichten nachkommen, Betroffene über die Datensammlung zu informieren — ein Thema, das Broker direkt trifft.[37]
Neue EU-Verfahrensregeln (Nov. 2025): Datenschutzbehörden verschiedener EU-Länder können künftig besser zusammenarbeiten, wenn ein Broker in mehreren Ländern aktiv ist.[36]

10 — Verbraucherschutz

Was du tun kannst — und was nicht

Direkt bei großen Brokern opt-outen

Acxiom: isapps.acxiom.com/optout/optout.aspx
LexisNexis: risk.lexisnexis.com/consumer-and-data-access-policies
Experian (Marketing): experian.com/privacy/opting_out
⚠️ Wer sich bei LexisNexis löschen lässt, riskiert, dass manche Sicherheitsfragen bei Bankkonten oder Behörden nicht mehr funktionieren — weil diese Dienste LexisNexis-Daten nutzen, um deine Identität zu prüfen.

Kalifornien DROP-Plattform (ab 1. Jan. 2026)

Einmalige zentrale Löschanfrage bei der California Privacy Protection Agency (CPPA). Gilt für alle registrierten Broker in Kalifornien. Broker müssen binnen 45 Tagen löschen und Neudaten alle 45 Tage entfernen.[34][40]

Bezahlte Opt-Out-Dienste

Bei über 4.000 Brokern ist manuelles Opt-Out praktisch unmöglich. Dienste wie DeleteMe, Cloaked (140+ Broker), OneRep, MyDataRemoval übernehmen das für ~100–200 USD/Jahr.[11][15]

Allgemeine Schutzmaßnahmen

Keine Online-Quizze oder Persönlichkeitstests ausfüllen (Datenernte). App-Berechtigungen einschränken, besonders Standort und Kontakte. Separate E-Mail für Anmeldungen nutzen. Alte Konten regelmäßig löschen. Keine Kundenkarten/Loyalty-Programme — oder auf Pseudonym-Basis nutzen.

Für EU-Bürger: DSGVO-Rechte einfordern

Art. 15 DSGVODSGVODatenschutz-Grundverordnung – das EU-Datenschutzgesetz seit 2018. Gibt dir das Recht auf Auskunft, Löschung, Berichtigung und Widerspruch gegen Datenverarbeitung. Verstöße: bis zu 4% des weltweiten Jahresumsatzes oder 20 Mio. Euro.: Auskunft über alle gespeicherten Daten (kostenlos, einmal jährlich)
Art. 17 DSGVO: Recht auf Löschung („Recht auf Vergessenwerden")
Art. 21 DSGVO: Widerspruch gegen Datenverarbeitung zu Werbezwecken
Art. 22 DSGVO: Schutz vor ausschließlich automatisierten Entscheidungen[41]

Grenzen des Opt-OutOpt-OutDas Recht, der Verarbeitung deiner Daten zu widersprechen. Klingt gut, funktioniert in der Praxis schlecht: Jeder Broker hat ein eigenes Verfahren, Daten kehren aus öffentlichen Quellen zurück, und Behörden kaufen trotz Opt-Out.: Opt-Out gilt oft nur für Marketing, nicht für Kreditreporting oder Risikobewertungen. Daten kehren zurück — Broker re-aggregieren ständig aus öffentlichen Quellen. (abgeleitete Daten) ist meist nicht löschbar. Behörden kaufen trotz Opt-Out — kein Schutz vor staatlicher Nutzung.[09][11]

11 — Deutschland im Fokus

Das deutsche Datenhändler-Ökosystem

Deutschland hat eine eigene, gewachsene Data-Broker-Industrie — aufgeteilt in zwei Kategorien: AuskunfteienAuskunfteiUnternehmen, die Bonitätsdaten über Verbraucher sammeln und an Banken, Vermieter und Händler verkaufen. In Deutschland: Schufa, Creditreform, CRIF, infoscore. Sie entscheiden mittelbar über Kredite, Wohnungen und Verträge. (Bonitätsdaten) und Adress-/Marketingdatenhändler (Konsumentenprofile für Werbung).[57]

Die großen Auskunfteien

Auskunfteien sind die mächtigsten Data Brokers in Deutschland. Sie entscheiden mittelbar darüber, ob jemand eine Wohnung bekommt, einen Mobilfunkvertrag abschließen kann oder einen Kredit erhält. Alle sind im Verband „Die Wirtschaftsauskunfteien e.V." organisiert.

SCHUFA Holding AG

Wiesbaden · Gegründet 1927 · Eigentümer: Kreditbanken, Sparkassen, private Banken

943 Mio. Einzeldaten zu 67,7 Mio. natürlichen Personen und 6 Mio. Unternehmen. 165 Mio. Auskünfte pro Jahr. Umsatz ~249 Mio. EUR (2021). Bei Verkaufsgesprächen 2021 auf ~2 Mrd. EUR bewertet.[58][59]

Was gespeichert wird: Bankkonten, Kreditkarten, Mobilfunkverträge, Ratenkredite, Zahlungsausfälle, Mahnverfahren, Inkasso, Insolvenzverfahren.

Datenfehler-Problem: Eine Stiftung-Warentest-Stichprobe (2010) ergab ~37 Mio. veraltete, 4,6 Mio. schlichtweg falsche Datensätze. Neuere Studien bestätigen hohe Fehlerquoten.[47]

PositivdatenPositivdatenDaten über reguläre Vertragsabschlüsse (Handyvertrag, Bankkonto) – im Gegensatz zu Negativdaten (Zahlungsausfälle, Mahnverfahren). Umstritten: Mobilfunkanbieter übermitteln Vertragsschlüsse ohne Einwilligung an die Schufa. Das LG München urteilte: rechtswidrig.-Kontroverse: Vodafone, Telekom, Telefónica/o2, Blau.de, Aldi Talk, Freenet übermitteln Vertragsschlüsse ohne Einwilligung der Betroffenen an die SCHUFA. Das Landgericht München urteilte: diese Übermittlung ist unzulässig.[60]

infoscore Consumer Data GmbH

Baden-Baden · 60 % Experian, 40 % Arvato (Bertelsmann)

Seit Anfang 2025 mit Creditreform Boniversum fusioniert (Handelsregistereintrag September 2025).[55] Über 40 Mio. Negativmerkmale zu ca. 7,6 Mio. Konsumenten. Partner: Deutsche Bahn, Nahverkehrsunternehmen, alle Bertelsmann-Konzernunternehmen.

Datenschutzkritik (NDR Info): Unbefugte konnten mit Name, Geburtsdatum, Adresse und einer Handynummer (nicht zwingend die eigene) sensible Daten von Millionen Verbrauchern abrufen — für knapp 20 EUR pro Abfrage. Der Datenschutzbeauftragte BW bezeichnete dies als „gravierenden Datenschutzverstoß".[55]

CRIF GmbH / CRIF Bürgel

Hamburg/München · Ital. Mutterkonzern CRIF

Entstanden aus Zusammenschluss Bürgel Wirtschaftsinformationen + CRIF. Eigene Angaben: Daten zu ~62 Mio. Personen. Arbeitet vorwiegend mit öffentlichen Daten und individueller Recherche auf Anfrage.[57]

Creditreform

Neuss · Verband der Vereine Creditreform e.V. · B2B-Fokus

Vor allem Unternehmensauskunftei. Speichert: Name, Firma, Anschrift, Familienstand, Beruf, Vermögen, Verbindlichkeiten, Zahlungsverhalten. Quellen: öffentliche Register, Internet, Presse, Forderungsmeldungen.[57]

Adress- und Marketingdatenhändler

Neben Auskunfteien gibt es eine zweite Kategorie: Unternehmen, die KonsumentenprofileProfilingDie automatisierte Erstellung detaillierter Persönlichkeitsprofile aus gesammelten Daten: Kaufverhalten, Einkommen, Gesundheit, politische Neigung. In der DSGVO als „Profiling“ definiert und reguliert – aber schwer durchzusetzen. für Direktmarketing verkaufen. Ihre Rechtmäßigkeit nach DSGVO ist hochumstritten.[61][63]

🏛️

Die Mehrheit der Landesdatenschutzbeauftragten hält kommerziellen Adresshandel zu Werbezwecken ohne Einwilligung für nicht DSGVO-konform. NRW weicht davon ab — was Datenschützer mit dem Umstand erklären, dass Bertelsmann (AZ Direct) und Deutsche Post (Post Direkt) ihren Sitz in NRW haben.[63]

AZ Direct GmbH

Gütersloh · Eigentümer: Bertelsmann Marketing Services

Bis zu 72 Mio. Konsumenten kanalübergreifend erreichbar, 37 Mio. Haushaltsadressen im Direktmailing. System AZ DIAS: Selektion nach Merkmalen für Mailing, E-Mail, Display, Social Media, Mobile, Retargeting.[64]
Skandal: -Beschwerde: AZ Direct soll Millionen Verbraucheradressen ohne Einwilligung an die Auskunftei CRIF verkauft haben.[61]

Deutsche Post Direkt GmbH

Bonn/Frankfurt · Eigentümer: Deutsche Post / DHL Group

44 Mio. Consumer-Adressen. Nutzt Postzustellungsdaten für Konsumentenprofilierung und Direktmarketing.[63]

Der SCHUFA-Scoring-Skandal und EuGH-Urteile

Das SCHUFA-Scoring-System war jahrelang vollständig intransparent: Weder Betroffene noch Gerichte wussten, wie der Score berechnet wird. Eine Kette von EuGH-Urteilen und deutschen Gerichtsurteilen hat das System erschüttert.[47][50]

-Urteil C-634/21 — SCHUFA Holding (Scoring)

7. Dez. 2023

Der Score gilt als „automatisierte Einzelentscheidung" im Sinne von . Wenn der Score maßgeblich über Vertragsabschlüsse entscheidet, ist das ohne weitere Schutzmaßnahmen verboten. Auslöser: Eine Frau erhielt wegen ihres niedrigen SCHUFA-Scores keinen Kredit, ohne zu wissen warum. SCHUFA reagierte mit Ankündigung eines neuen, transparenteren Scoring-Systems — der NextGen Score 1.0 ging am 17. März 2026 für Verbraucher live.[47][51][52][53]

EuGH-Urteil C-203/22 — Scoring-Algorithmus offenlegen

27. Feb. 2025

Auskunfteien müssen detaillierte Informationen über verwendete Daten und die Berechnungslogik offenlegen. Bloße Algorithmus-Übermittlung reicht nicht. Verbraucher haben das Recht zu verstehen, wie ihr Score funktioniert.[49][50]

LG Bayreuth: SCHUFA zahlt 3.000 EUR Schadensersatz

29. April 2025

Az. 31 O 593/24: SCHUFA muss Score offenlegen. 3.000 EUR Schadensersatz wegen intransparentem Scoring und mehrfachen Kreditablehnungen. Score-Erstellung ohne menschliche Kontrolle = Verstoß gegen Art. 22 DSGVO.[48]

LG Köln + OLG Köln: Scoring rechtswidrig, Löschfristen neu

März / April 2025

LG Köln (41 O 749/24): Automatisiertes SCHUFA-Scoring rechtswidrig, 1.000 EUR Schadensersatz. OLG Köln (15 U 249/24): Negativeinträge über bereits bezahlte Forderungen müssen unverzüglich gelöscht werden — pauschale 18-Monats- oder 3-Jahresfristen sind DSGVO-widrig. LG Aachen bestätigt: Private Auskunfteien dürfen maximal 6 Monate nach Tilgung speichern.[56]

Bundeskartellamt-Sektoruntersuchung

Das Bundeskartellamt untersuchte 2024 Bonitäts-Scoring beim Online-Shopping und stellte fest, dass das Scoring — für Verbraucher weitgehend unbemerkt — automatisch im Hintergrund abläuft und einen wesentlichen Teil des deutschen Online-Handels betrifft.[54]

Die Databroker Files — Deutschland und Europa

Die Databroker Files sind eine seit Sommer 2024 laufende Investigativrecherche von netzpolitik.org und dem Bayerischen Rundfunk sowie internationalen Partnern (WIRED, Le Monde, L'Echo, BNR). Auszeichnungen: Grimme Online Award 2024, Datenschutz Medienpreis 2024, European Press Prize 2025.[42]

Kernerkenntnis: Standortdaten, die Apps angeblich nur zu Werbezwecken erfassen, werden von Datenhändlern weltweit frei verkauft — auch als kostenlose „Appetithäppchen". Namen sind nicht enthalten, lassen sich aber durch Laien anhand der Standortdaten leicht zuordnen: Wohnort = Heimadresse, regelmäßig besuchte Orte = Arbeitsstätte, Arzt, usw.[42]

Deutschland: Bundesministerien, Militär, Geheimdienste trackbar

2024

Datensatz mit Kennungen von bis zu 11 Millionen deutschen Geräten. Bewegungsprofile von Mitarbeiter:innen bei Bundesministerien, Militär, Polizei und Geheimdiensten identifizierbar.[42][46]

Ramstein Air Base: US-Soldaten identifizierbar

2024

Im kostenlosen Probedatensatz allein 164.000 Datenpunkte von bis zu 1.275 Geräten auf der Ramstein Air Base. Bewegungsprofile ermöglichten Identifizierung von US-Soldaten und ihren Wohnorten. Dokumentierten laut US-Wehrrecht verbotene Bordellbesuche.[46]

WetterOnline-Fall

Januar 2025

Datensatz von 380 Mio. Standortdaten aus 137 Ländern (aus 40.000 Apps) — darunter WetterOnline, eine der meistgenutzten deutschen Apps. Datenschutzbehörde NRW intervenierte, besichtigte WetterOnline vor Ort und stellte datenschutzwidriges Verhalten fest. WetterOnline stellte die Praxis anschließend ab.[42]

EU-Sicherheitsskandal: NATO, EU-Kommission, Diplomatenadressen

November 2025

Auswertung von 278 Mio. Standortdaten aus Belgien aus wenigen Wochen 2024/2025. Im kostenlosen Vorschau-Datensatz allein: Hunderte EU-Kommissions-Angestellte im Berlaymont-Gebäude trackbar, Bewegungsprofile von EU-Parlamentsangestellten, 9.600 Standortpings im NATO-Hauptquartier Brüssel von 543 Geräten, Diplomatenadressen und Gewohnheiten rekonstruierbar.

EU-Kommission: „Wir sind besorgt." Axel Voss (CDU/EVP): „In der aktuellen geopolitischen Lage müssen wir das sehr ernst nehmen." Alexandra Geese (Grüne): „Europa muss groß angelegtes Datenprofiling verbieten." NATO: „Wir sind uns der allgemeinen Risiken bewusst" — konkrete Maßnahmen unbekannt. Eine interne EU-Rundemail warnte EU-Angestellte danach vor Tracking-Risiken.[43][44]

Bundesregierung macht Datenkauf zum Staatsgeheimnis

Dezember 2025

Auf die Frage von Abgeordneter Donata Vogtschmidt (FDP), ob deutsche Sicherheitsbehörden Daten von Datenhändlern kaufen, verweigerte die Bundesregierung bei den entscheidenden Fragen die Auskunft.[45]

Rechtliche Einschätzung des Wissenschaftlichen Dienstes des Bundestags: BKA und Bundespolizei fehlt eine Ermächtigungsgrundlage für den Datenkauf bei Brokern. Bei Geheimdiensten (BND, Verfassungsschutz, MAD) keine ausdrückliche Rechtsgrundlage gefunden — Kauf könnte in Einzelfällen unter sehr begrenzten Umständen gerechtfertigt sein.[45]

DSGVO in Deutschland: Theorie vs. Praxis

📖 Theorie: Starke Rechte

Art. 15: Auskunft über alle gespeicherten Daten (kostenlos, jährlich)

Art. 17: Recht auf Löschung

Art. 21: Widerspruch gegen Werbedatenverarbeitung

Art. 22: Schutz vor automatisierten Entscheidungen

🔧 Praxis: Systematische Lücken

DSGVO ist reaktiv: Behörden nur bei Beschwerde tätig

Opt-Out hinter versteckten Formularen begraben

Scoring-Algorithmen jahrelang intransparent trotz Art. 22

Positivdaten ohne Einwilligung an SCHUFA übermittelt

Adresshandel rechtlich weiterhin umstritten

Selbstauskunft: Deine Rechte einfordern

Auskunftei	Selbstauskunft (kostenlos, Art. 15 DSGVO)
SCHUFA	meineschufa.de — einmal jährlich kostenlos. ⚠️ Vorsicht: kostenpflichtige Variante ist optisch hervorgehoben!
infoscore	experian.de/selbstauskunft
CRIF Bürgel	crifbuergel.de/konsumenten/selbstauskunft
Creditreform	creditreform.de (für Unternehmer)

✅

Tipp: Seit November 2024 können Verbraucher ihre bonitätsrelevanten SCHUFA-Daten auch digital und kostenlos über bonify einsehen. Werbliche Werbe-Post reduzieren: Robinsonliste des DDV eintragen unter robinsonliste.de.[65]

Fazit

Data Brokers sind kein Randphänomen. Sie sind eine globale Industrie mit Hunderten Milliarden Umsatz, die in jede Lebenssituation eingreift — vom Kreditantrag über die Wohnungssuche bis zur Überwachung politischer Aktivisten. In Deutschland schützt die DSGVO theoretisch stark, aber erst durch EuGH-Urteile und gerichtlichen Druck werden Rechte real durchsetzbar.

Das Grundproblem bleibt: Das System ist designed, um unsichtbar zu sein. Die meisten Menschen wissen nicht, dass es existiert — geschweige denn, was über sie gespeichert ist. Die einfachste Gegenwehr ist Wissen.