Die kalifornische Datenschutzbehörde hat einen Datenbroker aus Texas mit einer Geldstrafe von 45.000 US-Dollar belegt und ihm den Verkauf von personenbezogenen Daten kalifornischer Bürger untersagt, nachdem er Daten von Alzheimer-Patienten verkauft hatte. Das texanische Unternehmen Rickenbacher Data LLC, das unter dem Namen Datamasters firmiert, kaufte und verkaufte laut der California Privacy Agency (CPPA) Namen, Adressen, Telefonnummern und E-Mail-Adressen von Menschen, die an schweren Gesundheitsproblemen litten.
Die endgültige Verfügung der CPPA gegen Datamasters besagt, dass das Unternehmen eine Datenbank mit 435.245 Postadressen von Alzheimer-Patienten unterhielt. Aber damit nicht genug. Ebenfalls zum Verkauf standen Datensätze von 2.317.141 blinden oder sehbehinderten Menschen und 133.142 Suchtkranken. Außerdem wurden Datensätze von 857.449 Menschen mit Blasenschwäche verkauft.
Gesundheitsbezogene Daten waren nicht die einzige Kategorie, mit der Datamasters handelte. Das Unternehmen verkaufte auch Informationen zu ethnischer Zugehörigkeit, darunter sogenannte „Hispanic-Listen” mit mehr als 20 Millionen Namen, sowie altersbasierte „Seniorenlisten” und Indikatoren für finanzielle Schwachstellen. So verkaufte es beispielsweise Daten von Personen mit hochverzinslichen Hypotheken.
Und wenn Käufer Daten zu anderen wahrscheinlichen Kundenmerkmalen und -handlungen wünschten, beispielsweise wer eher liberal oder eher rechtsgerichtet ist, könnte Ihnen das dank 3.370 „Verbraucher-Vorhersagemodellen“ ebenfalls geliefert werden, die Automobilpräferenzen, Finanzaktivitäten, Mediennutzung, politische Zugehörigkeit und gemeinnützige Aktivitäten umfassen.
Datamasters bietet den direkten Kauf von Datensätzen aus seiner nationalen Verbraucherdatenbank an, die nach eigenen Angaben 114 Millionen Haushalte und 231 Millionen Personen umfasst. Kunden können auch Abonnement-basierte Updates erwerben.
Die kalifornischen Aufsichtsbehörden begannen mit der Untersuchung von Datamasters, nachdem sie festgestellt hatten, dass das Unternehmen es versäumt hatte, sich gemäß dem kalifornischen Delete Act als Datenbroker in diesem Bundesstaat registrieren zu lassen. Das Gesetz schreibt seit dem 31. Januar 2025 vor, dass sich Datenbroker registrieren lassen müssen.
Das Unternehmen bestritt ursprünglich, dass es in Kalifornien geschäftlich tätig war oder Daten über Kalifornier besaß. Diese Behauptung wurde jedoch widerlegt, als die Aufsichtsbehörden auf der Website eine Excel-Tabelle mit 204.218 Datensätzen kalifornischer Studenten fanden.
Datamasters gab zunächst an, seine nationale Datenbank nicht überprüft zu haben, um die Daten von Kaliforniern zu entfernen. Nachdem das Unternehmen einen Anwalt hinzugezogen hatte, änderte es seine Aussage und behauptete, dass es tatsächlich die Daten von Kaliforniern aus dem Datensatz herausgefiltert habe. Das überzeugte die CPPA jedoch nicht.
Die Regulierungsbehörde räumte ein, dass Datamasters zwar versucht habe, die kalifornischen Datenschutzgesetze einzuhalten, dass jedoch
„Es fehlten ausreichende schriftliche Richtlinien und Verfahren, um die Einhaltung des Delete Act sicherzustellen.“
Die gegen Datamasters verhängte Geldstrafe berücksichtigt auch, dass das Unternehmen sich nicht in das Datenbroker-Register des Bundesstaates eingetragen hatte. Datenbroker, die sich nicht registrieren, müssen mit einer Geldstrafe von 200 Dollar pro Tag rechnen, und wenn sie Verbraucherdaten nicht löschen, wird eine Geldstrafe von 200 Dollar pro Verbraucher und Tag fällig.
Ab dem 1. Januar 2028 müssen in Kalifornien registrierte Datenbroker außerdem alle drei Jahre unabhängige Compliance-Audits durch Dritte durchführen lassen.
Warum der Verkauf besonders sensibler Kundendaten so gefährlich ist
„Die Geschichte lehrt uns, dass bestimmte Arten von Listen gefährlich sein können.“
Michael Macko, Leiter der Vollzugsabteilung der CPPA, wies darauf hin.
Untersuchungen haben ergeben, dass Alzheimer-Patienten besonders anfällig für finanzielle Ausbeutung sind. Wenn Sie glauben, dass Betrüger solche Listen nicht suchen, sollten Sie noch einmal darüber nachdenken: Es wurde festgestellt, dass Kriminelle in der Vergangenheit auf Daten von mindestens drei Datenbrokern zugegriffen haben. Es gibt zwar keine Hinweise darauf, dass Datamasters Daten wissentlich an Betrüger verkauft hat, aber es scheint einfach zu sein, Datenbroker-Listen zu kaufen.
Man muss auch kein Doktor sein, um zu erkennen, warum viele dieser Datensätze (die, wie gesagt, das Unternehmen über Menschen im ganzen Land speichert) im aktuellen politischen Klima der USA besonders sensibel sein könnten.
Hier gibt es auch ein umfassenderes Datenschutzproblem. Während viele Amerikaner davon ausgehen, dass das Bundesgesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) ihre Gesundheitsdaten schützt, gilt dieses Gesetz nur für Gesundheitsdienstleister. Erstaunlicherweise fallen Datenbroker nicht in seinen Geltungsbereich.
Was können Sie also tun, um sich zu schützen?
Ihre erste Anlaufstelle sollte das Datenschutzgesetz Ihres Bundesstaates sein. Kalifornien hat in diesem Jahr im Rahmen des Delete Act das System „Data Request and Opt-out Platform“ (DROP) eingeführt. Dabei handelt es sich um ein Opt-out-System für Einwohner Kaliforniens, mit dem sie alle Datenbroker im Register dazu veranlassen können, die über sie gespeicherten Daten zu löschen.
Wenn Sie nicht in einem Staat leben, der sensible Daten ernst nimmt, sind Ihre Möglichkeiten eher begrenzt. Sie könnten umziehen – vielleicht nach Europa, wo der Datenschutz wesentlich strenger ist.
Wir berichten nicht nur über den Datenschutz - wir helfen Ihnen, Ihre persönlichen Daten zu entfernen.
Cybersicherheitsrisiken sollten nie über eine Schlagzeile hinausgehen. Mit Malwarebytes Personal Data Removerkönnen Sie scannen, um herauszufinden, welche Websites Ihre persönlichen Informationen preisgeben, und diese sensiblen Daten dann aus dem Internet löschen.
