Daten-Monetarisierung — du bist nicht die Kundin, du bist die Ware
Werbe-finanzierte Plattformen verkaufen Aufmerksamkeit, Profile und Verhaltens-Vorhersagen an Dritte. Was dabei „dein Konto" heißt, ist in Wahrheit ein Datensatz, der an Werbe-Auktionen teilnimmt.
Wie sich das zeigt
- Real-Time-Bidding: bei jedem Werbe-Slot werden Standort, Geräte-ID, besuchte Seiten und vermutete Interessen an dutzende Bieter parallel übertragen — pro Page-View, milliardenfach pro Tag.
- Meta (Facebook/Instagram) — €1,2 Mrd. DSGVO-Strafe der irischen DPC 2023 für unzulässige Datenübertragung in die USA.
- Data-Broker wie Acxiom, LiveRamp, Oracle Advertising: pflegen Profile mit 500–1500 Attributen pro Person, weiterverkauft an Werbetreibende, Versicherer, Arbeitgeber, Vermieter.
- Standort-Daten: 2022 wurde dokumentiert, dass Apps wie Muslim Pro Bewegungs-Daten an US-Militär-Auftragnehmer verkauften — über SDK-Drittanbieter, ohne klares Wissen der Nutzer:innen.
Werbe-finanzierte Software hat ein strukturelles Problem: das Geschäft funktioniert nur, wenn so viel über die Nutzer:innen wie möglich bekannt ist. Profil-Tiefe ist der Preis-Hebel. Das ist nicht „Missbrauch”, das ist das Produkt.
Konkret heißt das: bei jedem Aufruf einer werbe-finanzierten Seite wird ein Datensatz an dutzende, manchmal hunderte Werbe-Anbieter parallel übertragen — Standort, Geräte-ID, Interessen, besuchte Themen. Der Irish Council for Civil Liberties hat das 2022 als „den größten je dokumentierten Daten-Vorfall der Geschichte” beschrieben, weil er nicht ein einzelner Leak ist, sondern die normale Funktionsweise eines ganzen Industriezweigs.
Dahinter steht eine zweite Schicht: Data-Broker. Firmen, die Profile aus zehntausenden Quellen aggregieren — Loyalitäts-Karten, App-SDKs, Hypothek-Anträge, Krankenversicherungs-Daten, Auto-Telematik — und sie mit 500 bis 1500 Attributen pro Person an Versicherer, Vermieter und Personalabteilungen weiterverkaufen. In den USA weitgehend legal, in der EU formal unter DSGVO, faktisch schwer durchzusetzen.
Daraus folgt für uns ein einfacher Test: jede Software-Architektur- Entscheidung muss die Frage beantworten, wer Zugriff auf den Klartext hat. Wenn die Antwort „der Anbieter, weil sonst das Geschäftsmodell nicht funktioniert” lautet, ist das nicht akzeptabel. Wenn die Antwort „nur die Nutzerin selbst, technisch” lautet — durch Zero-Knowledge-Vault, durch lokales Rechnen, durch Daten-Sparsamkeit — dann gilt es. Der Selbstkostenpreis-Wertesatz im Verein ist der Grund, warum wir uns diese Antwort leisten können: kein Werbe-Hebel zu drehen ist nur möglich, wenn man auch keinen braucht.
Quellen Dritter
Was wir hier behaupten, behaupten andere zuerst und mit eigenem Namen daneben. Datum dort, wo es belegbar ist.
- ICCL — „Europe's hidden security crisis: How RTB is the biggest data breach ever recorded" (2022) 2022-05-16
- EDPB — Bindender Beschluss gegen Meta IE (€1,2 Mrd., Schrems II) 2023-05-22
- US-FTC — Settlement gegen X-Mode/Outlogic für Standort-Daten-Verkauf 2024-01-09
- Shoshana Zuboff — „The Age of Surveillance Capitalism" (PublicAffairs 2019) 2019-01-15
Wie wir strukturell antworten
Lösungen, die diesen Problem adressieren. Keine Marketing-Versprechen, sondern Architektur-Entscheidungen mit Belegen im Code.
- Selbstkostenpreis statt Werbe-GeschäftsmodellWenn der Verein nicht von Werbe-Erlösen lebt, gibt es keinen ökonomischen Hebel, der irgendwann zu Tracking, Profiling oder Verkauf zwingen würde.
- BYOK-Vault — der Verein sieht den Klartext nichtDer einzige Anbieter, dem man Daten ohne Vertrauen anvertrauen kann, ist der, der sie technisch nicht sehen kann — auch wenn er wollte.
- DSGVO-Cascade-Löschung — „lösch mich" verschwindet wirklichLöschung ist nicht eine UI-Geste, sondern eine technische Operation, die durch alle Schichten propagiert werden muss — sonst ist sie eine Lüge.
Welche Grundsätze hier verletzt werden
Diagnose ohne Antwort ist Lamentation. Was wir baulich tun, steht im Lösungs-Hub.