Hintergrund
Die Irish Data Protection Commission (DPC) berichtete am 06.10.2025 über Maßnahmen gegen einen in einer TV-Recherche genannten Datenhändler. Im September 2025 veröffentlichte RTÉ in seiner Sendung Prime Time einen Bericht zu einer verdeckten Untersuchung in einem Unternehmen. Mitarbeiter gaben sich als eine Datenanalyse Firma aus. Sie gelangten so an Datensets, die Bewegungen von etwa 64.000 irischen Smartphones über zwei Wochen aufzeichneten. Darunter auch Bewegungsdaten die von wichtigen Einrichtungen wie Gefängnissen, Militärbasen und Parlamentsgebäuden zu Wohnadressen führten. Über Broker wurden diese Daten im digitalen Werbe und Marketingumfeld weiterverkauft.
Untersuchung durch die DPC & Maßnahmen
RTÉ machte die Datenschutzbehörde hierauf aufmerksam. Darauf folgten Durchsuchungen in Büros einer irischen Firma zur Sicherung der Daten. Auf Anordnung der DPC musste die Firma alle Dienste, die Standorte irischer Nutzer betreffen für mindestens 28 Tage aussetzen. In Zuge dessen wurden in einer gemeinsamen Untersuchung der Datenschutzbehörden in anderen EU-Staaten ebenfalls zwei weitere Firmen durchsucht. Die DPC gab an, dass weitere Maßnahmen in Abhängigkeit weiterer Untersuchungsergebnisse folgen würden. Durch das große Öffentliche Interesse werden auch während der noch laufenden Untersuchung Informationen geteilt. Die DPC stellte klar, dass sowohl der Datenhandel als solches als auch die Nutzung der Daten für das Real-Time Bidding (RTB) untersucht würden, denn gleichwohl Datenhandel grundsätzlich in bestimmten Grenzen erlaubt sein kann, dürften im RTB-Verfahren keine konkreten Standortdaten von Nutzern an Dritte weitergegeben werden.
Was versteht man unter Datenhandel
Unter Datenhandel versteht man den kommerziellen Austausch von Daten zwischen Unternehmen oder Organisationen. Dies kann verschiedene Arten von Daten je nach Kontext betreffen. Die Daten fungieren hierbei als eine Ware mit einem wirtschaftlichen Wert. Ein Beispiel für die gehandelten Daten sind personenbezogene Daten wie Namen, Adressen, Telefonnummern und Standortdaten. Es kann sich aber auch um Verhaltensdaten (z.B. Kaufhistorie, App-Nutzung) oder aggregierte Daten (z.B. Statistiken über Kundengruppen, Trends) oder auch Industriedaten (z.B. Produktionszahlen) handeln.
Im ersten Schritt erhebt ein Unternehmen diese Kundendaten selbst (z.B. App-Anbieter) und verkauft diese an Datenhändler (sog. Data Brokers). Dies sind Firmen, die diese Daten sammeln, analysieren und danach an Dritte weiterverkaufen. Die Käufer sind zum Beispiel Marketingfirmen, Werbenetzwerke, Versicherungen oder Forschungseinrichtungen. Sie nutzen diese Daten beispielsweise für personalisierte Werbung oder Risikobewertungen von potenziellen Kunden. Durch diesen Handel ergibt sich inzwischen ein milliardenschwerer Umsatz.
Es stellt sich allerdings die Frage, ob dies überhaupt mit unseren Datenschutzbestimmungen einher gehen kann. Gerade hinsichtlich der Rechtsgrundlage und den Grundprinzipien der Datenschutz-Grundverordnung (DS-GVO) wie der Zweckbindung. Personenbezogene Daten sind nach der DS-GVO alle Informationen, die eine natürliche Person identifizieren oder identifizierbar machen Art. 4 Nr. 1 DS-GVO. Für eine zulässige Verarbeitung von personenbezogenen Daten wird eine Rechtsgrundlage benötigt.
Rechtsgrundlage für den Datenhandel
Datenverkäufe beruhen häufig auf der Behauptung, die Betroffenen hätten gem. Art. 6 Abs. 1 lit. a DS-GVO eingewilligt. Für eine Einwilligung bedarf es allerdings, dass der Betroffene über die erhobenen Daten, den Empfänger und vor allem den Zweck informiert wurde. Bei dem Vorgang des Datenhandels sind zum Zeitpunkt der Datenerhebung allerdings weder der verfolgte Zweck festgelegt noch gibt es schon einen konkreten Empfänger, da es an den Dritthändler erst nach dem Zusammenstellen von vielen Daten weiterverkauft wird. Daher erfolgt der gesamte Ablauf des Datenhandels in mehreren Zwischenschritten und somit ist die konkrete Einwilligung, selbst wenn der Nutzer diese in den App-Nutzungsbedingungen zugestimmt hat, unwirksam. Es bedürfte also hierzu eine neue konkrete Einwilligung des Nutzers für den Dritthändler.
Eine weitere Möglichkeit für eine Rechtsgrundlage bietet das berechtigte Interesse Art. 6 Abs.1 lit. f DS-GVO. Hierzu muss in jedem Einzelfall eine Interessenabwägung durchgeführt werden. Ob ein berechtigtes Interesse beim Datenhandel besteht, ist allerdings fragwürdig, da es sich gerade bei zum Beispiel Standortdaten um sehr sensible Daten handelt. Ein berechtigtes Interesse setzt ebenfalls voraus, dass der Betroffene über die Verarbeitung seiner Daten aufgeklärt wird, und die Möglichkeit hat Widerspruch einzulegen. Dies stellt ebenfalls ein Problem dar, da betroffenen Personen häufig gar nicht wissen wer ihre Daten für welchen Zweck verarbeitet.
Ein großes datenschutzrechtliches Problem im Datenhandel stellt vor allem auch eine Regulierungslücke bei den Datenmarktplätzen da. Diese verarbeiten die personenbezogenen Daten nicht selbst sondern stellen nur die Verbindungen für den Handel her. Es bedürfe hier Grundpflichten für die Datenmarktplätze gegen offensichtliche Verstöße vorzugehen.
Real-Time Bidding
Unter Real-Time Bidding (RTB) wird ein Verfahren im digitalen Marketing verstanden. Bei diesem werden automatisch in Echtzeit nutzerprofilbasierte Werbeplätze verkauft. Wenn Nutzer also eine App oder Website aufrufen, werden durch Werbetreibende innerhalb von Millisekunden die einzelnen Anzeigeplätze der Website angeboten und versteigert. Die Nutzer kriegen dann die Werbung des Höchstbietenden angezeigt. Dieses Verfahren ereignet sich innerhalb der Zeit, in der sich die Website oder App nach dem Aufrufen öffnet. Bevor allerdings die Werbung dann geschaltet wird, bedarf es einer Einwilligung des Nutzers. Hierfür werden häufig Cookie-Banner genutzt.
Reaktion auf den Skandal
Auf die Enthüllungen bezüglich des unerlaubten Datenhandels folgten unterschiedliche Reaktionen. Der Premierminister von Irland riet der Bevölkerung Standortdienste von Apps kritisch zu betrachten. Zudem forderte Ivana Bacik, Vorsitzende der Labour-Partei, die Regierung auf, zu erklären, ob sie noch Vertrauen in die Datenschutzkommission (DPC) hat.
Datenschutzrechtliche und sicherheitspolitische Aspekte
Dieser Skandal betrifft einige Datenschutz und Sicherheitsrechtliche Aspekte, wie:
- Persönlichkeitsrechte: Da durch Standortdaten Rückschlüsse auf den Aufenthaltsort, persönliche Verhaltensmuster und tägliche Gewohnheiten möglich sind, gelten diese als besonders sensibel und stellen einen großen Eingriff in die Privatsphäre dar.
- Datenschutzrechtlich: Es fehlt eine legitime Rechtsgrundlage für die Verarbeitung und den Verkauf der genauen Standortdaten.
- Sicherheitsrisiken: Die aufgezeichneten Bewegungen durch geschützte Orte wie beispielsweise Gefängnisse oder Militärstandorte könnten für Spionage, Erpressung und Überwachung genutzt werden.
Handlungsempfehlungen
Der Verkauf von Standortdaten in Irland zeigt, wie risikoreich die Datenverarbeitung sein kann. Unternehmen sollten sich daher rechtlich und organisatorisch absichern, um Risiken vorzubeugen:
- Datenschutz-Compliance in der Lieferkette sicherstellen: Unternehmen sollten systematisch prüfen, ob ihre Dienstleister und Datenlieferanten datenschutzkonform handeln. Dies umfasst insbesondere Nachweise zur Rechtsgrundlage, Informationspflichten und technische Schutzmaßnahmen. Verträge mit Datenanbietern sollten nur nach vorheriger Prüfung und Dokumentation geschlossen werden.
- Risikoanalyse für den Erwerb und Einsatz externer Daten durchführen: Vor dem Kauf oder der Nutzung von extern erhobenen Daten – insbesondere Standortdaten – sollte eine Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) geprüft werden. Diese hilft, Risiken wie Re-Identifizierbarkeit, Zweckänderungen oder Datenmissbrauch frühzeitig zu erkennen und zu steuern.
- Technische Begrenzung der Datennutzung umsetzen: Es sollten Mechanismen etabliert werden, die den Zugriff auf Standortdaten technisch einschränken (z. B. Pseudonymisierung, Geofencing, verkürzte Speicherfristen). So lässt sich verhindern, dass Daten übermäßig detailliert oder länger als erforderlich verarbeitet werden.
- Einwilligungsmanagement und Transparenzprozesse stärken: Unternehmen sollten sicherstellen, dass Einwilligungen für standortbasierte Dienste eindeutig, freiwillig und zweckgebunden erteilt werden. Betroffene müssen klar erkennen können, ob ihre Daten weitergegeben oder kommerziell genutzt werden. Consent-Management-Systeme sollten regelmäßig überprüft und an neue rechtliche oder technische Anforderungen angepasst werden.
- Interne Sensibilisierung und Schulung: Regelmäßige Awareness-Programme sind erforderlich, um Beschäftigte für die Risiken des Datenhandels zu sensibilisieren. Dies betrifft insbesondere Marketing-, IT- und Produktentwicklungsteams, die mit Tracking- und Analysetools arbeiten.
- Notfall- und Prüfmechanismen etablieren: Unternehmen sollten interne Prozesse festlegen, wie im Verdachtsfall unzulässiger Datenverarbeitung (z. B. durch externe Anbieter) reagiert wird. Dazu zählen Meldewege, Prüfprotokolle und Kommunikationspläne gegenüber Aufsichtsbehörden.
- Strategische Positionierung im Umgang mit Datenethik: Über die reine Rechtskonformität hinaus sollte eine unternehmensweite Datenethik-Policy etabliert werden. Diese regelt, welche Arten von Daten – insbesondere besonders sensible wie Standortdaten – aus ethischen Gründen nicht vermarktet oder verwendet werden dürfen. So lässt sich langfristig Vertrauen bei Kunden und Geschäftspartnern aufbauen.
Fazit
Es lässt sich erkennen, dass mangelnde Transparenz für betroffene Personen bei der Nutzung von Websites oder Apps schwerwiegende Folgen haben kann. Umso wichtiger ist es, dass Unternehmen verantwortungsvoll und gesetzeskonform Daten verarbeiten. Die Verarbeitung, der Handel und die Weitergabe von Daten muss bei Unternehmen immer auf einer eindeutigen rechtlichen Grundlage verübt werden. Wie es in dem irischen Fall des Handels mit Standortdaten weitergeht, steht noch aus.
