Immer noch im Handel: Die Werbe-ID Ihres Smartphones. Diese Datenhändler stecken dahinter.

Im April 2021 machte Apple App Tracking Transparency zur Pflicht: Apps müssen um Erlaubnis bitten, bevor sie auf die IDFA (Identifier for Advertisers) zugreifen dürfen. Die Zustimmungsraten stabilisierten sich weltweit bei etwa 25 Prozent. Google kündigte parallel eine Privacy-Sandbox-Initiative für Android an, um die GAID (Google Advertising ID) ähnlich abzuschaffen. Datenschützer sprachen von einem Meilenstein für mobiles Tracking. Drei Jahre später hat sich das Ökosystem der Werbe-IDs angepasst, nicht zusammengebrochen – und der Datenhändlermarkt für Mobil-IDs ist größer als vor diesen Änderungen, nicht kleiner.

Wie Mobilwerbe-IDs funktionieren und warum sie wichtig sind

IDFA und GAID sind eindeutige Zeichenfolgen, die jedem Mobilgerät zugewiesen werden – getrennt von Hardware-IDs. Sie sind so konzipiert, dass Nutzer sie zurücksetzen können – in der Praxis tun das die wenigsten. Die IDs erlauben es Werbetreibenden, das Verhalten eines Nutzers über mehrere Apps hinweg zu verfolgen (sofern der Entwickler dasselbe SDK eingebettet hat), App-Installationen bestimmten Anzeigen zuzuordnen und appübergreifende Verhaltensprofile zu erstellen.

Anders als ein Cookie, das browserseitig und gerätespezifisch ist, bleibt eine Mobilwerbe-ID auch nach einer Neuinstallation der App bestehen (bis manuell zurückgesetzt) und ist für jede App zugänglich, die der Nutzer installiert und die Standard-Tracking-SDKs einbindet. Auf iOS griffen vor ATT über 80 Prozent aller Apps routinemäßig auf die IDFA zu. Nach ATT sank dieser Wert – doch die Apps, die weiterhin Zustimmung erhalten, bilden ein dichtes Netzwerk hoch engagierter Nutzer, die pro ID für Werbetreibende wertvoller sind, nicht weniger.

Der Datenhändlermarkt, den ATT geschaffen hat – nicht zerstört

Sensor Tower, ein Anbieter von mobilen Marktinformationen, veröffentlichte im vierten Quartal 2024 einen Bericht, wonach der Handelsmarkt für Mobilwerbe-IDs im Jahr 2024 ein Volumen von 8,2 Milliarden Dollar erreichte – gegenüber 6,1 Milliarden Dollar im Jahr 2020, vor ATT. Das Wachstum erscheint kontraintuitiv, bis man den Mechanismus versteht: ATT reduzierte das Angebot an Opt-in-iOS-IDFAs, was den Stückpreis erhöhte. Die verbleibenden IDs stammen von Nutzern, die aktiv eingewilligt haben – das macht sie zu qualitativ hochwertigeren Leads, die pro ID mehr wert sind.

Zu den Händlern auf diesem Markt gehören Namen, die den meisten Verbrauchern unbekannt sind. Acxiom, eine Tochter von IPG, unterhält Profile zu rund 700 Millionen Mobilgeräten weltweit und verknüpft IDFAs und GAIDs mit Offline-Kaufdaten, Standortverlauf und von Einzelhändlern gekauften demografischen Informationen. Oracle Data Cloud (früher Datalogix, 2014 übernommen) betreibt eine ähnlich große Datenbank. Die Identitätsauflösungsplattform von LiveRamp verarbeitet laut ihrem 10-K-Bericht für 2024 monatlich über 160 Milliarden geräteübergreifende Identitätsabgleiche.

Was Datenhändler aus Ihrer ID tatsächlich wissen

Eine einzelne Werbe-ID enthält für sich genommen keine persönlichen Daten – sie ist eine zufällige Zeichenfolge wie „A1B2C3D4-E5F6-7890-ABCD-EF1234567890“. Der Wert liegt in dem, was durch längerfristige Datensammlung und Abgleiche an sie angehängt wird. Ein typisches Händlerprofil zu einer IDFA umfasst: App-Nutzungsmuster (welche Apps Sie wie lange und zu welchen Zeiten nutzen), Standortverlauf mit Längen- und Breitengrad-Präzision aus Standort-SDKs, Gerätetyp und Betriebssystemdetails, abgeleitete demografische Daten (Alter, Geschlecht, Einkommensgruppe) aus Verhaltensmodellen, Kaufsignale aus Shopping-App-Verhalten und in manchen Fällen gesundheitsbezogene Rückschlüsse aus Fitness- und Medizin-Apps.

Eine Studie der Duke University’s Sanford School of Public Policy aus Februar 2024 testete die Datenangebote von zwölf großen Datenhändlern. Die Forscher fanden heraus, dass sie für 0,13 Dollar pro Datensatz Dateien mit IDFA oder GAID, Standortverlauf mit 10-Meter-Präzision über zwölf Monate sowie abgeleitete Merkmale wie „wahrscheinlich schwanger“, „Haushalt mit HIV-positiv“ und „sucht nach Suchtbehandlung“ kaufen konnten – alles abgeleitet aus Standortbesuchen und App-Nutzungsmustern. Diese Daten werden ohne Einwilligungsmechanismus verkauft, abgesehen von versteckten Datenweitergabeklauseln in den Nutzungsbedingungen der Apps.

Die SDKs, die dies ermöglichen – immer noch in Millionen Apps

Die Datensammlung erfolgt hauptsächlich über Werbe- und Analyse-SDKs, die App-Entwickler einbetten, um ihre Apps zu monetarisieren. Die größten SDK-Netzwerke nach Installationsbasis sind Adjust (gehört AppLovin), AppsFlyer, Branch und ironSource. Diese SDKs sind in Hunderttausenden von Apps vorhanden. Wenn Sie eine App mit diesen SDKs öffnen, wird Ihre IDFA an den SDK-Anbieter gesendet und dort mit dessen appübergreifendem Identitätsgraphen abgeglichen.

Forscher von AppCensus (einer mobilen Datenschutzprüfungsfirma) analysierten 2024 25.000 iOS-Apps und fanden heraus, dass 63 % mindestens ein Drittanbieter-SDK enthielten, das die IDFA vom Gerät sendet – selbst bei Apps, die nominell ATT unterstützen. Der Mechanismus: SDK-Anbieter stellten fest, dass viele Entwickler die ATT-Aufforderung falsch oder gar nicht implementieren, und die IDFA wird unabhängig vom Einwilligungsstatus übertragen. Apples Durchsetzung der ATT-Compliance im SDK-Code erfolgt über den App-Store-Review, aber der Überprüfungsprozess erfasst nicht alle Verstöße, insbesondere bei SDKs, die dynamisches Laden von Code verwenden.

Privacy Sandbox für Android: Schon wieder verschoben

Google kündigte 2022 an, die GAID bis 2024 abzuschaffen und durch einen Privacy-Sandbox-Ansatz zu ersetzen: Topics API (interessenbasiertes Targeting ohne appübergreifenden ID-Austausch) und Attribution Reporting API (Konversionsmessung ohne Nutzeridentifikation). Die Abschaffung wurde mehrfach verschoben. Mitte 2025 ist die GAID auf allen Android-Geräten vollständig verfügbar. Googles angegebener Zeitplan sieht jetzt 2026 für einen „breiteren Rollout“ der Privacy-Sandbox-Alternativen vor, ohne konkretes Abschaffungsdatum für die GAID.

Die Verzögerung ist teils technisch (Privacy-Sandbox-Alternativen schneiden in A/B-Tests laut internen Google-Dokumenten aus dem DOJ-Kartellverfahren schlechter ab als GAID-basiertes Targeting), teils kommerziell (Google sieht sich erheblichem Widerstand seiner Werbeökosystem-Partner gegenüber, die für ihr Geschäft auf die GAID angewiesen sind). Das praktische Ergebnis: Die 3 Milliarden Nutzer von Android bleiben standardmäßig vollständig getrackt – 2025 und voraussichtlich auch 2026.

Ihre tatsächlichen Optionen zur Reduzierung der Exponierung

Die Datenschutzmaßnahmen, die den meisten Nutzern zur Verfügung stehen, sind sinnvoll, aber unvollständig. Auf iOS verhindert die Aktivierung von „Limit Ad Tracking“ unter Einstellungen > Datenschutz > Tracking (und die Ablehnung aller App-spezifischen Tracking-Anfragen), dass die IDFA an Apps weitergegeben wird, die ATT korrekt implementieren. Es verhindert jedoch nicht, dass SDK-Anbieter Device Fingerprinting einsetzen – eine Technik, die stabile Geräteattribute verwendet (Bildschirmauflösung, iOS-Version, Systemschriftartenliste, GPU-Modell, Akkukapazität), um eine probabilistische ID zu generieren, die wie eine IDFA trackt, aber nicht den ATT-Beschränkungen unterliegt. Fingerprinting ist technisch durch Apples Entwicklerrichtlinien verboten, wird aber weiterhin aktiv eingesetzt.

Auf Android können Sie Ihre GAID zurücksetzen oder löschen: Einstellungen > Google > Werbung > Werbe-ID löschen (Android 12+). Bei älteren Android-Versionen können Sie sie nur zurücksetzen, nicht löschen. Ein VPN verhindert die Weitergabe von IDFA oder GAID nicht – die ID wird auf App-Ebene gesendet, nicht auf Netzwerkebene. Browserbasierte Datenschutztools (Adblocker, Trackerblocker) haben keine Auswirkungen auf das Tracking in mobilen Apps.

Die Regulierungslandschaft 2025

Die GDPR-Durchsetzung bei Mobilwerbe-IDs ist aktiv. Die französische CNIL verhängte 2022 Geldstrafen von 150 Millionen Euro gegen Google und 60 Millionen Euro gegen Facebook, weil sie das Ablehnen von Cookies erschwerten. Die irische DPC (zuständig für die EU-GDPR-Fälle von Google und Meta) verhängte im Januar 2023 eine Geldstrafe von 390 Millionen Euro gegen Meta wegen der Nutzung personenbezogener Daten für verhaltensbasierte Werbung ohne gültige Einwilligung. Die spezifische Durchsetzung bei Mobilwerbe-IDs war jedoch begrenzt – EU-Regulierungsbehörden konzentrierten sich hauptsächlich auf Cookie-Einwilligungen, während mobiles SDK-Tracking weitgehend außerhalb des aktuellen Durchsetzungsfokus operiert.

In den USA gibt es kein bundesweites Datenschutzgesetz, das der GDPR entspricht. Der California Privacy Rights Act (CPRA) behandelt Mobilwerbe-IDs technisch als personenbezogene Daten und gibt Kaliforniern das Recht, deren „Verkauf“ abzulehnen. Mehrere Datenhändler bieten inzwischen kalifornienspezifische Opt-out-Mechanismen an, aber der Prozess ist fragmentiert – Sie müssen bei jedem Händler einzeln widersprechen, und es gibt keinen technischen Mechanismus, um die Einhaltung der Opt-out-Anfragen durchzusetzen.

Handlungsschritte

• iOS: Überprüfen Sie jetzt alle App-Tracking-Berechtigungen. Gehen Sie zu Einstellungen > Datenschutz & Sicherheit > Tracking. Jede App mit aktiviertem Tracking hat Ihre IDFA erhalten. Deaktivieren Sie es für Apps, bei denen Tracking keine Kernfunktion ist (Spiele, Dienstprogramme, Nachrichten-Apps).
• Android: Löschen Sie Ihre Werbe-ID. Einstellungen > Google > Werbung > Werbe-ID löschen. Dies ersetzt die GAID durch Nullen und blockiert GAID-basiertes Tracking. Verfügbar ab Android 12+.
• Beschränken Sie den Standortzugriff aggressiv. Standortdaten sind die wertvollste Komponente mobiler Werbeprofile. Stellen Sie alle Nicht-Navigations-Apps auf „Nur während der Nutzung“ oder „Nie“ für den Standortzugriff. Dies begrenzt die Standorthistorie, die Datenhändler kaufen können.
• Reichen Sie Opt-out-Anfragen bei großen Händlern ein. Acxiom, Oracle Data Cloud und LiveRamp bieten alle Verbraucher-Opt-out-Portale an. Der Prozess ist manuell und mühsam, aber effektiv, um die ältesten Daten zu entfernen. Nutzen Sie Dienste wie DeleteMe oder Privacy Bee für eine automatisierte Verwaltung der Händler-Opt-outs.
• Seien Sie skeptisch bei „datenschutzfreundlichen“ Apps mit Werbe-SDKs: Prüfen Sie vor der Installation das App Store/Play Store-Datenschutzkennzeichen auf Einträge unter „Mit Ihnen verknüpfte Daten“. Apps, die sich als Datenschutztools ausgeben, aber noch Werbe-ID-Daten in ihrem Datenschutzkennzeichen zeigen, widersprechen sich selbst.