USA: Datenhändler darf keine Standortdaten mehr verkaufen
Die US-Handelsaufsicht FTC hat dem Datenhändler X-Mode Social untersagt, “sensible Standortdaten” weiterzugeben und zu verkaufen. Auch das Nachfolgeunternehmen Outlogic ist von der Anordnung betroffen. Bereits gesammelte Daten muss die Firma löschen, teilte die Behörde am Dienstag mit.
Die FTC wirft dem Unternehmen vor, genaue Standortdaten verkauft zu haben, die mit den sogenannten Werbe-IDs von Smartphone-Betriebssystemen verknüpft waren. Mithilfe dieser Daten habe sich nachvollziehen lassen, welche Orte Personen aufgesucht haben. Auch der Besuch besonders sensibler Orte habe verfolgt werden können. Dazu zählt die Behörde beispielsweise Krankenhäuser und Kliniken für reproduktive Gesundheit, religiöse Stätten und Frauenhäuser.
Mindestens bis Mai 2023 habe es dabei keinerlei Richtlinien oder Verfahren gegeben, um solche Informationen aus den verkauften Daten zu entfernen.
“Standortdaten können nicht nur Aufschluss darüber geben, wo eine Person wohnt und mit wem sie Zeit verbringt, sondern beispielsweise auch darüber, welche medizinischen Behandlungen sie in Anspruch nimmt und wo sie ihre Religion ausübt”, erklärte die FTC-Vorsitzende Lina M. Khan. Es handle sich um das erste Verkaufsverbot für sensible Standortdaten.
Laut FTC sammelt X-Mode beziehungsweise Outlogic die Standortdaten vor allem über Apps von Drittanbietern. Diese können gegen Bezahlung ein Softwaremodul des Anbieters in ihre eigenen Apps integrieren. Den App-Entwicklern habe das Unternehmen ein Muster für eine Datenschutzerklärung zur Verfügung gestellt – mit der Verbraucherinnen und Verbraucher aber nicht vollständig darüber informiert wurden, welche Daten gesammelt und weitergegeben werden.
Das Unternehmen kauft zusätzlich auch Daten von anderen Datenhändlern hinzu und veräußert diese erneut.
Daten über Klinikbesuche
Die FTC wirft dem Unternehmen weiter vor, sogar bestimmte Informationen für Kunden zusammengestellt zu haben: In mindestens einem Fall habe ein privates Forschungsinstitut so Informationen über Personen erhalten, die bestimmte medizinische Einrichtungen sowie Apotheken in einer bestimmten Gegend in Columbus im Bundesstaat Ohio besucht hatten.
In den vergangenen Jahren war X-Mode Gegenstand mehrerer Medienrecherchen. So hatte das Online-Magazin Motherboard im Jahr 2020 beispielsweise berichtet, das Unternehmen sammle Standortdaten aus einer populären Gebets-App für Muslime. Über private Dienstleister seien die gesammelten Standortdaten auch an das US-Militär weiterverkauft worden.
Das Online-Magazin The Markup hatte außerdem berichtet, dass X-Mode in den Jahren 2018 und 2019 Standortdaten verkauft hat, die von mindestens 100 Apps gesammelt wurden. Darunter befanden sich beispielsweise Wetter-Apps, aber auch mehrere Dating-Apps – teils richteten sich diese explizit an bi- und homosexuelle Menschen.
FTC warnt vor Diskriminierung und Gewalt
Die FTC kritisiert, durch die verkauften Standortdaten sei die Privatsphäre von Verbraucherinnen und Verbrauchern verletzt worden. Darüber hinaus hätten Betroffene potenziell Opfer von Diskriminierung oder körperlicher Gewalt werden können.
So könnten die Standortdaten beispielsweise genutzt werden, um Menschen zu identifizieren, die eine Klinik für reproduktive Gesundheit besucht und dort möglicherweise eine Abtreibung haben vornehmen lassen. Dritten sei es mithilfe solcher Daten auch möglich, die Betroffenen bis zu ihrem Zuhause zu verfolgen.
Insbesondere nachdem der Oberste Gerichtshof der USA im Sommer 2022 das bisherige Abtreibungsrecht gekippt hatte, hatten Bürgerrechtler vermehrt gewarnt, Datensammlungen wie kommerziell erhältliche Standortdaten könnten von Strafverfolgern und Abtreibungsgegner verwendet werden, um Frauen zu verfolgen.
Bürgerrechtler kritisieren dabei schon lange, dass US-Behörden kommerziell erhältliche Standortdaten kaufen. In der Vergangenheit war etwa bekannt geworden, dass US-Einwanderungsbehörden Standortdaten gekauft haben, um Grenzübertritte aufzuspüren.
Und auch ein Bericht der US-Geheimdienstkoordinatorin Avril Haines und ihrer Behörde, des Office of the Director of National Intelligence (ODNI), aus dem Jahr 2022 hatte gezeigt, dass die US-Geheimdienste massenhaft Standortdaten und andere Informationen aus der Privatwirtschaft einkaufen. Auch die Marine, das Finanzministerium, das Verteidigungsministerium, die Bundespolizei FBI und die US-Küstenwache kaufen laut Bericht solche Daten.
Firma muss Daten löschen
Im Fall von X-Mode beziehungsweise Outlogic hat die FTC nun auch angewiesen, dass alle zuvor gesammelten Standortdaten gelöscht werden müssen – es sei denn, es kann noch die Zustimmung der Verbraucherinnen und Verbraucher eingeholt werden. Zudem muss das Unternehmen beim Zukauf von Standortdaten sicherstellen, dass die Betroffenen der Datensammlung zugestimmt haben.
Der demokratische US-Senator Ron Wyden hatte bereits in der Vergangenheit kritisiert, dass auch US-Behörden zu den Kunden von Datenhändlern zählen. Er begrüßte die Entscheidung der FTC nun, forderte aber zugleich strengere Datenschutzgesetze, um persönliche Daten besser zu schützen und zu verhindern, dass Behörden diese einkaufen.
Denn neben X-Mode gibt es zahlreiche weitere Datenhändler. In einem weiteren Fall geht die FTC gegen den Datenhändler Kochava vor. Die Behörde wirft Kochava vor, seinen Kunden individuelle Datensätze anzubieten, mit deren Hilfe bestimmte Nutzer von Smartphones identifiziert und verfolgt werden können. So lasse sich auch der Besuch “sensibler Orte” erkennen, etwa von Kliniken für reproduktive Gesundheit, Entzugskliniken und religiösen Orten. (js)