Die Recherchen von Netzpolitik und dem Bayerischen Rundfunk zum Unternehmen Datarade haben einen Teil der Digitalwirtschaft in den Fokus gerückt, der bisher vor allem im Hintergrund operierte: Datenhandel. Zentrale Akteure sind Datenhändler:innen (sog. Knowledge Brokers), deren Geschäftsmodell darin besteht mit (nicht-)/personenbezogenen Daten zu handeln. Datenhandel ist ein milliardenschwerer Teil der globalen digitalen Wirtschaft und kein neues Phänomen, jüngst geraten aber zu Recht die grundlegenden Probleme in den Blick. Das Geschäftsmodell der meisten Knowledge Dealer untergräbt datenschutzrechtliche Vorgaben, die Privatheit und Autonomie von Individuen und erzeugt strukturelle und ethische Probleme für demokratische Gesellschaften. Der Beitrag umreißt die rechtlichen Implikationen von Datenhandel im Hinblick auf die DSGVO, den DSA und die KI-VO.
Wer sind die beteiligten Akteure?
Datenhandel bezeichnet allgemein die Bereitstellung von personenbezogenen und nicht-personenbezogenen Daten gegen monetäre Bezahlung oder den Austausch von Gütern und Produkten. Knowledge Dealer sind Unternehmen, die ihre Haupteinnahmen durch den Verkauf von Daten über Individuen generieren, die diese nicht selbst bereitstellen. Knowledge Dealer beziehen ihre Daten aus unterschiedlichen Quellen: Sie kaufen von anderen Händler:innen, extrahieren diese Daten selbst über Webcrawler oder öffentlich zugängliche Quellen. Diese Transaktionen sind eine Sekundärnutzung von Daten und finden ohne die betroffenen Datensubjekte statt. Da Verbraucher:innen nur betroffen, aber nicht beteiligt sind, haben viele Menschen keine Kenntnis von Knowledge Brokern und ihren Geschäftsmodellen. Bekannte Firmen wie Google oder Meta fallen demnach nicht unter das Kernverständnis von Knowledge Brokern: Suchmaschinen und Soziale Netzwerke verkaufen zwar auch Daten, erheben diese aber bei ihren Nutzer:innen selbst. Knowledge Dealer hingegen agieren mittelbarer als Intermediäre und haben selbst keine Nutzer:innen, sondern Kund:innen, die Daten nicht erzeugen, sondern ankaufen.
Das vormals klare Verständnis von Knowledge Brokern (wie bspw. Adresshändler:innen) wird allerdings zunehmend komplexer, da viele Firmen nicht nur mit Daten handeln sondern auch zahlreiche andere Dienste anbieten. Die Firma Experian, eine der bekanntesten Knowledge Dealer und Kreditauskunftei bietet bspw. zugleich „Huge Knowledge Options“ an. Die Nachfrage nach Daten steigt auch durch die zunehmende Verbreitung extrem datenintensiver Technologien wie LLMs (Giant Language Fashions). Bereits jetzt wird darüber spekuliert, in welche Richtung sich der Datenhandelsmarkt entwickeln wird, wenn die Quellen zumindest faktisch öffentlich-zugänglicher Daten ausgeschöpft sind.
Strukturen des Datenökosystems
Knowledge Dealer agieren an der Schnittstelle zwischen verschiedenen Interessenpunkten und Akteuren im Datenökosystem und fungieren damit als unsichtbare Intermediäre. Sie haben zudem kein Interesse daran, von wem und für welche Zwecke die von ihnen verkauften Daten genutzt werden und verkaufen bspw. für Marketingzwecke erhobene Daten an Kreditauskunfteien, die diese für Creditscoring verwenden.
Datenhandel als florierender Geschäftszweig der globalen Digitalwirtschaft ist eine Facette der andauernden Datafizierung aller Lebensbereiche. Dadurch sind Knowledge Dealer untrennbar mit den Strukturen der globalen Datenwirtschaft verbunden, die im Kontext der Nutzung digitaler Kommunikationstechnologie massiv auf On-line-Monitoring beruht. Unabhängig von der rechtlichen Qualifikation von Daten als eigentumsfähige Güter, sind Daten unbestritten ein Wirtschaftsgut. Alle international erfolgreichen Digitalunternehmen betreiben aggressive Datenextraktionen gegenüber ihren Nutzer:innen. Das Geschäftsmodell der zentral betriebenen sozialen Netzwerke basiert auf der Finanzierung durch On-line-Werbung, die konkrete inhaltliche Ausrichtung der Apps und Webseiten ist dabei zweitrangig, es geht darum Nutzer:innen möglichst lange und aktiv auf der Plattform zu halten, um personenbezogene Daten zu extrahieren und generieren zu können. Optimiert wird dieses Ziel durch Actual-Time-Bidding bei dem Werbetreibende in einer automatisierten Auktion um die Probability bieten, eine Anzeige gezielt an eine bestimmte Internetnutzer:in zu richten.
Warum ist Datenhandel problematisch?
Trotz der undurchsichtigen und im Element schwer nachvollziehbaren Datenströme und Geschäftsmodelle, sind wiederholt rechtlich und ethisch problematische Transaktionen öffentlich geworden. Bspw. verkaufte eine US-amerikanische Firma mit Geschäftsbeziehungen zur US-Regierung Standortdaten im Umfeld von Abtreibungskliniken, die Firma LiveRamp hat ein „privates Bevölkerungsregister“ anhand von Kategorien wie „Depressionen, Brustkrebs“ erstellt; Datastream bot Journalist:innen 3,6 Milliarden Standortdaten aus Deutschland an – free of charge und als Anreiz ein Abonnement abzuschließen.
Datenhandel katalysiert die huge informationelle Machtasymmetrie im der digitalen Sphäre: Einzelne Unternehmen sind in der Lage huge Datenmengen zu akkumulieren und diese für ihre ökonomischen Zwecke zu nutzen. Verbraucher:innen ihrerseits können weder ihre eigenen Daten in vergleichbarer Weise kommerziell verwerten, noch wissen die betroffenen Personen in den meisten Fällen wer ihre Daten für welche Zwecke kommerzialisiert. Unregulierter Datenhandel befeuert diese Probleme durch unüberschaubare Transaktionsketten, die Verantwortlichkeiten verschleiern, Zweckbindung untergraben und Datensicherheit gefährden.
Das Missbrauchsrisiko der Konzentration extrem großer Datenmengen über ganze Bevölkerungen bei einzelnen Akteuren – staatlich oder privatwirtschaftlich – liegt auf der Hand. Kombiniert mit prädiktiver Analytik kann jedes Element dazu genutzt werden, Personen zu gruppieren und ihnen Eigenschaften zuzuschreiben die sie nicht einmal selbst kennen. Unabhängig davon, ob diese Zuschreibungen zutreffen oder nicht, geht ein massiver Kontrollverlust über die Selbstdarstellung und eine Beschneidung individueller Autonomie einher. Diskriminierungen sind zahlreich dokumentiert, die gezielte Verbreitung von Falschinformationen an ausgewählte Personengruppen vergiftet die gesellschaftliche Debatte. Verstärkt wird zudem eine Gefährdung der nationalen Sicherheit diskutiert. Denn wenig überraschend ermöglichen die immensen Datenbestände Vorhersagen über nahezu jede Individual und nehmen damit Mitarbeiter:innen von Regierungen, Geheimdiensten oder anderen sicherheitsrelevanten staatlichen Behörden nicht aus.
Datenschutzrecht und Vollzugsprobleme
Ausgehend von dem was über die Praktiken vieler Knowledge Dealer bekannt ist, erscheint vieles, was heute offenbar gängige Praxis ist, schlicht rechtswidrig. Dies gilt insbesondere hinsichtlich Einwilligung, Ermächtigungsgrundlagen und Zweckbindung. Auch die Vereinbarkeit mit datenschutzrechtlichen Grundprinzipien wie der Datenminimierung ist höchst fraglich.
Die DSGVO ist bei der Verarbeitung personenbezogener Daten einschlägig. Auch ein „Verschenken“ von Daten wie im Fall der Knowledge Commerce-Recherche ist eine rechtlich relevante Datenverarbeitung. Personenbezogene Daten nach dem Verständnis der DSGVO liegen dann vor, wenn eine Data über eine natürliche identifizierte oder identifizierbare Individual enthalten ist. Knowledge Dealer werden in der überwiegenden Mehrheit der Fälle personenbezogene Daten verarbeiten, da diese für die Nachnutzung zu Profiling-, Werbe- und Vorhersagezwecken besonders interessant sind. Für die Klassifikation als personenbezogenes Datum iSd. Artwork. 4 Nr. 1 DSGVO kommt es auch nicht darauf ab, ob die Zuschreibungen, wie die Zuordnung in eine bestimmte Altersklasse, die sexuelle Orientierung oder die Prädisposition für bestimmte Krankheiten faktisch korrekt sind oder nicht.
Die im Zuge der Datarade-Recherche übermittelten Standortdaten sind personenbezogene Daten unter Artwork. 4 Nr. 1 DSGVO, der ausführt: „als identifizierbar wird eine natürliche Individual angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten […].“ (so auch zum TC-String EuGH C- 604/22). Auch die Praxis der Recherche zeigte, dass Personen aufgrund ihrer Bewegungsmuster identifizierbar waren.
Wer personenbezogene Daten verarbeitet, benötigt nach der DSGVO eine Rechtsgrundlage. Die nach Artwork. 6 Abs. 1 DSGVO erforderliche Ermächtigungsgrundlage, sowie die ggf. zusätzlichen Anforderungen des Artwork. 9 Abs. 2 DSGVO, für die Verarbeitung besonderer Kategorien personenbezogener Daten ist in vielen Fällen des Datenhandels fraglich. Verantwortlich für Darlegung und Nachweis ist der jeweilige Knowledge Dealer nach Artwork. 5 Abs. 2 DSGVO.
Eine Einwilligung nach Artwork. 6 Abs. 1 a), 7 DSGVO wird in der Praxis nicht eingeholt, da die betroffenen Datensubjekte an den Transaktionen nicht beteiligt sind. Die Einwilligung gegenüber der Verantwortlichen, die Daten direkt von den Datensubjekten erhebt, z.B. Webseitenbetreiber:innen erstreckt sich nicht auf den unbegrenzten weiteren Verkauf dieser Daten an zu diesem Zeitpunkt noch nicht identifizierbare Dritte (zu den grundlegenden Problemen der Einwilligung im On-line-Kontext auch hier).
Es verbleibt die Rechtsgrundlage des legitimen Interesses, Artwork. 6 Abs. 1 f) DSGVO, die grundsätzlich bspw. für Direktwerbung einschlägig ist, vgl. Erwgr. 47 DSGVO. Danach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein und die Interessen der betroffenen Individual dürfen nicht überwiegen. Für die erforderliche Interessenabwägung sind u.a. das wirtschaftliche Interesse an der Verarbeitung, die vernünftigen Erwartungen der betroffenen Individual zu berücksichtigen und die Datenschutzprinzipien zu berücksichtigen.
Die Systematik der DSGVO und die Rechtsprechung des EuGH gehen nicht davon aus, dass Betroffene schlicht schutzlos gestellt werden, weil ubiquitäre Datenschutzverstöße im On-line-Bereich begangen werden. Betroffene müssen additionally nicht damit rechnen, dass ihre anderweitig erhobenen Daten an eine unüberschaubare Anzahl von Dritten zu ihnen nicht bekannten Zwecken weiterverkauft werden. Zwar genießen bspw. von den Betroffenen selbst öffentlich gemachte Daten einen geringeren Schutz; die erstellten Profile und Gruppierungen wurden aber von den Betroffenen gerade nicht selbst öffentlich gemacht. Dies führt zu der generellen Problematik der DSGVO und KI, da die Abgrenzung zu besonderen Kategorien personenbezogener Daten nach Artwork. 9 Abs. 1 DSGVO faktisch unmöglich wird, wenn Vorhersagemodelle Zuschreibungen jeglicher Artwork aus nicht-sensiblen Daten ableiten können (Artwork. 9 Abs. 1 DSGVO spricht von „hervorgehen“).
Bedenken bestehen zudem hinsichtlich der Zweckbindung, Artwork. 5 Abs. 1 b) DSGVO, die durch den mehrfachen Verkauf oder Weiterverarbeitung von Daten schlicht ausgehöhlt wird. In Bezug auf den Adresshandel sind verschiedene Datenschutzbeauftragte der Auffassung, dass dieser nicht mehr auf das legitime Interesse gestützt werden kann. Die maximale Intransparenz der Branche führt neben den strukturellen Problemen des Datenschutzrechts mit datenintensiven Digitaltechnologien zudem zu massiven Vollzugsproblemen, da schlicht zu wenig über die beteiligten Akteure und Handelsströme bekannt ist.
Regelungslücke Datenmarktplätze?
Der Fall Datarade ist nicht nur rechtspolitisch brisant, weil das Unternehmen Investitionen vom Excessive-Tech Gründerfonds erhielt, der wiederum zu über 50% vom BMWK finanziert wird, sondern offenbart auch eine Rechtsschutzlücke, die über die Vollzugsdefizite der DSGVO-Verstöße hinausgeht. Denn Datarade verarbeitet nach eigener Aussage die gehandelten Daten nicht selbst, sondern fungiert nur als Intermediär zwischen zwei Parteien, die ihrerseits ein Datenhandelsgeschäft abschließen möchten. Datarade ist damit ein Datenmarktplatz auf dem sich Geschäfte anbahnen können und zeichnet sich, wie viele andere Plattformen, für die konkreten Inhalte als nicht verantwortlich. Dies verdeutlicht einerseits den Bedarf, Infrastrukturen und nicht nur einzelne Datenverarbeitungsvorgänge regulatorisch in den Blick zu nehmen, andererseits die Schwierigkeiten dies konkret umzusetzen. Die Bereitstellung von Märkten ist legitim, es liegt in der Natur von Intermediären nicht jeden einzelnen Inhalt oder jede Transaktion kontrollieren zu können. Dennoch fehlt es überhaupt an Grundpflichten für Datenmarktplätze, gegen offensichtliche oder strukturelle Rechtsverstöße vorzugehen.
Spannend ist die Frage, ob Datenhandelsplätze unter den Digital Companies Act fallen und dadurch bestimmten Pflichten für Intermediäre unterliegen. Unabhängig davon, ob Datenhandelsplätze als Vermittlungsdienste iSd. Artwork. 3 g) DSA gelten können, zielen die Pflichten des DSA auf die Moderation von Inhalten zum Schutz von Verbraucher:innen und weniger auf die Vermittlung von Transaktionen im B2B Verhältnis. Eine allgemeine Verpflichtung zur Überwachung rechtswidriger Inhalte besteht zudem nach Artwork. 8 DSA nicht.
Die KI-VO adressiert wenig überraschend die Problematik des Datenhandels nicht, sondern reguliert KI-Systeme ab dem Zeitpunkt des Marktzugangs (mit der Ausnahme der Vorschriften zu KI-Reallaboren Artwork. 57 ff) und nicht die Akquise der notwendigen Trainingsdaten im Vorfeld. Wichtig ist dennoch, dass die KI-VO im Anhang III Hochrisiko-Einsatzkontexte definiert, die Diskriminierungsgefahren vorbeugen sollen, z.B. Creditscoring oder die Vergabe öffentlicher Leistungen. Die Qualitätsvorschriften für den Output von KI-Systemen lösen die vorgelagerte Problematik des Datenhandels für Privatheit und Datenschutz nicht.
Reformbedarf: Kalifornien als Vorbild?
In Kalifornien sieht das „Knowledge Dealer Registration Legislation“ umfangreiche Pflichten für Knowledge Dealer vor. Knowledge Dealer werden als „Unternehmen, das wissentlich personenbezogene Daten eines Verbrauchers, zu dem das Unternehmen keine direkte Beziehung unterhält, sammelt und an Dritte verkauft.“ definiert. Diese Unternehmen müssen sich bei der California Privateness Safety Company registrieren, zudem wurde ein One-Cease-Mechanismus erlassen, der Verbraucher:innen erlaubt, ihre gesamten personenbezogenen Daten mit einer Anfrage löschen zu lassen.
Eine Registrierungspflicht für Knowledge Dealer ist der erste Schritt, hinreichende Informationen und Transparenz zu schaffen, um in einem zweiten Schritt den Vollzug zu vereinfachen. Zudem würden Abgrenzungsfragen verklart werden. Aus Verbraucher:innensicht wird der Vollzug durch einen One-Cease-Mechanismus erheblich vereinfacht und entbindet von der mühseligen Durchsetzung einzelner Betroffenenrechte unter der DSGVO, die sich insbesondere aufgrund der Unkenntnis als schwierig gestaltet.
Schlusskritik
Im Kontext von Datarade werden nun viele Forderungen laut, den Datenmarkt stärker zu regulieren. Dies erscheint erfolgsversprechend, ist aber sehr kompliziert umzusetzen. Neben der Schaffung neuer Rechtsvorgaben bedarf es vor allem politischen Willens, mehr Ressourcen in behördliche Aufsichtsstrukturen zu investieren (Stichwort: irische Datenschutzbehörde). Die rechtspolitische Debatte hat zudem auch eine diskursanalytische Komponente: die beispiellose Lobbyarbeit rund um die KI-VO hat deutlich gezeigt, dass datenintensive, digitale Technologien weiterhin zu unkritisch mit Innovation gleichgesetzt werden, die zu Fortschritt, Wohlstand und Wachstum beitragen sollen und ohne die westliche Demokratien in einen vermeintlichen Rückstand geraten. Es handelt sich dabei aber nicht allein um technische Entwicklungen, von denen Gesellschaften generell profitieren, sondern um sozio-technische Machtverschiebungen, die inhärent mit den Geschäftsmodellen der beteiligten Akteure verwoben sind. Kein legitimes wirtschaftliches Interesse rechtfertigt die immense Datenmacht einer Handvoll international agierender Firmen, die sich strukturell Regulierungsvorgaben entziehen. Das Narrativ einer durchdigitalisierten Datengesellschaft wird durch bestimmte Techniken, wie nun generative KI, und den damit verbundenen Akteuren definiert und führt zu einer nahezu globalen Abhängigkeit von Produkten und Infrastrukturen einzelner Firmen, wie das CrowdStrike Fiasko vor einigen Wochen vor Augen geführt hat. Auch in Bezug auf Datenhandel ist daher eine kritische und informierte Debatte erforderlich, wie eine Datenwirtschaft gestaltet sein kann, die einen Ausgleich zwischen privaten und öffentlichen, demokratischen und gemeinschaftlichen Interessen geschaffen werden kann.