In einem wichtigen Schritt hat die US Federal Trade Commission (FTC) einem Datenhändler untersagt, sensible Standortdaten ohne ausdrückliche Zustimmung der Nutzer:innen zu verkaufen.

„Mit dem erstmaligen Verbot der Nutzung und des Verkaufs sensibler Standortdaten setzt die FTC ihre wichtige Arbeit zum Schutz der Amerikaner:innen vor aufdringlichen Datenverkäufern und unkontrollierter Überwachung durch Unternehmen fort“, so der FTC‑Sprecher.

Der Händler, dem die zweifelhafte Ehre zuteilwurde, der erste zu sein, der auf diese Weise von der amerikanischen Regulierungsbehörde bestraft wurde, ist X‑Mode Social und sein Nachfolger Outlogic.

The Notorious One

Denjenigen, die die Nachrichten zum Thema Datenschutz zumindest in den letzten Jahren verfolgt haben, könnte der Name des Händlers bekannt vorkommen. X-Mode Social erlangte erstmals im November 2020 Berühmtheit, als es zusammen mit dem US-Militär zum unwahrscheinlichen Co‑Star im Motherboard-Bericht von VICE wurde. Der Bericht enthüllte, dass eine muslimische App mit fast 100 Millionen Downloads granulare Standortdaten an X‑Mode sendete, das diese Daten wiederum mit Auftragnehmern der US‑Regierung, einschließlich des US‑Militärs, teilte. Die Nachricht sorgte damals für große Aufregung, woraufhin die muslimische App den in sie eingebauten Code von X‑Mode entfernte, der für die Übermittlung der Daten an den Broker verantwortlich war. Die Reaktionen waren so heftig, dass Apple und Google in einer seltenen gemeinsamen Aktion App-Entwickler aufforderten, den X‑Mode-Code aus ihren Apps zu entfernen.

Wenn es abwärts geht, ist eine beliebte Strategie für Unternehmen, deren Ruf in Gefahr ist, sich einen neuen Namen zu geben — ein Beispiel dafür ist Meta (ehemals Facebook). So wurde X‑Mode nach der Übernahme durch Digital Envoy im August 2021 in Outlogic umbenannt.

Der schlechte Ruf und die Ächtung durch die beiden großen App‑Plattformen waren für Outlogic offenbar nicht Motivation genug, um Schutzmaßnahmen zu ergreifen, damit so etwas in Zukunft nicht mehr passieren kann. Laut der FTC‑Beschwerde die sich auf mutmaßliche Verstöße des Händlers bis 2021 bezieht hatte X‑Mode/Outlogic „bis Mai 2023 (!) keine Richtlinien zur Entfernung sensibler Standorte aus den von ihm verkauften Rohdaten“.

Was genau hat X‑Mode/Outlogic getan, um in den Augen der US‑Regierung diese beispiellose Strafe zu verdienen?

Datensammlung auf Steroiden

In ihrer Beschwerde wirft die FTC X‑Mode Social und seinem Nachfolger eine ganze Reihe von Verstößen gegen den Datenschutz vor. Einige dieser Verstöße sind ungeheuerlicher als andere. Die meisten der mutmaßlichen Verstöße von X‑Mode Social rühren daher, dass das Unternehmen über sein SDK (Software Development Kit) sensible Standortdaten von mehr als 300 Apps gesammelt hat.

Die Regulierungsbehörde erklärt, dass X-Mode App‑Herstellern einen Anreiz bietet, das SDK in ihre Apps zu integrieren, „indem es den App‑Entwicklern passive Einnahmen für jedes mobile Gerät eines Verbrauchers verspricht, das dem SDK die Erfassung von Standortdaten ermöglicht“. SDKs sind Teile des Codes, die es der App ermöglichen, wichtige Aufgaben wie die Standortbestimmung durchzuführen. Der Vorteil für Entwickler, die SDKs von Drittanbietern in ihre Apps einbetten, besteht darin, dass sie die Funktionen nicht von Grund auf neu entwickeln müssen. Zusammen mit der Möglichkeit, ein passives Einkommen zu erzielen, ist das ein Angebot, das man nur schwer ausschlagen kann. Die Entwickler der 300 Apps, darunter Fitnesstracker, Spiele und religiöse Apps, taten dies nicht.

Darüber hinaus sammelte der Datenhändler auch Daten aus seinen eigenen Apps Drunk Mode und Walk Against Humanity. Außerdem kaufte er Daten von anderen Datenhändlern und Aggregatoren. Alles in allem hat X-Mode eine recht gute Ernte an Standortdaten eingefahren. Nach Angaben der FTC hat der Datenhändler „mehr als 10 Milliarden Standortdatenpunkte aus der ganzen Welt gesammelt“ und rühmt sich damit, dass diese „zu 70% auf 20 Meter oder weniger genau sind“.

Welche Daten wurden gesammelt und an wen wurden sie verkauft?

Das X-Mode-SDK, über das der Großteil der sensiblen Standortdaten in die Hände des Händlers gelangte, hatte uneingeschränkten Zugang zu den Standortdaten, die von den Betriebssystemen der Endgeräte der Nutzer generiert wurden. Das SDK erhielt die „genauen Längen- und Breitengrade sowie einen Zeitstempel“ und übermittelte diese Informationen zusammen mit einer eindeutigen Kennung für das Mobilgerät, der sogenannten Mobile Advertiser ID (oder MAID), an die Server von X-Mode.

Dieser Datensatz könnte möglicherweise sensible Informationen über die Nutzer:innen preisgeben, z. B. über ihre Besuche in Krankenhäusern, Gotteshäusern, Suchtbehandlungszentren und Apotheken. Die FTC war der Ansicht, dass X-Mode sich keine Gedanken über den möglichen Schaden machte, der durch die Offenlegung oder den Missbrauch dieser Informationen entstehen könnte, da das Unternehmen angeblich „keine Richtlinien oder Verfahren zur Entfernung sensibler Standorte aus den von ihm verkauften Rohdatensätzen“ hatte.

X-Mode bot nicht nur die rohen Standortdaten jedem an, der sie kaufen wollte, sondern analysierte die Daten auch, um „Zielgruppensegmente“ auf der Grundlage einer Reihe von Merkmalen, einschließlich sehr sensibler Merkmale, zu erstellen. In einem Fall bot X-Mode einem privaten klinischen Forschungsunternehmen maßgeschneiderte Zielgruppensegmente auf der Grundlage der Besuche von Personen bei verschiedenen Ärzten in Columbus, Ohio, an. Zur Auswahl standen Patienten aus den Bereichen Kardiologie, Endokrinologie und Gastroenterologie.

Wenn es nicht schon schlimm genug ist, dass ein privates klinisches Forschungsunternehmen Empfänger von Gesundheitsdaten ist, die Sie wahrscheinlich lieber geheim halten würden (und in diesem Fall sollten Sie sich Sorgen machen), dann enthält der Bericht der FTC noch mehr erschütternde Enthüllungen. Einige der Daten landeten bei „staatlichen Auftragnehmern“, die sie „für Zwecke der nationalen Sicherheit“ verwenden würden. Nirgendwo, weder in den Datenschutzerklärungen der Apps von Drittanbietern, die sein SDK nutzten, noch in denen seiner eigenen Apps, hatte X-Mode diese seltsame Tatsache erwähnt.

Unter den Käufern der Standortdaten von X-Mode waren mindestens zwei Unternehmen, die die Daten unter Verletzung ihrer Verträge mit X-Mode an andere Unternehmen weiterverkauft haben. In diesem Fall ist es praktisch unmöglich, die Unternehmen zurückzuverfolgen, die die Daten erhalten haben, da dies möglicherweise nicht einmal der endgültige Bestimmungsort der Daten ist. Ein weiteres Problem besteht darin, dass alle diese Drittfirmen nicht an die wenigen Einschränkungen gebunden sind, die X-Mode für die Nutzung der Daten festgelegt hat.

Wie können diese Daten helfen, Sie zu identifizieren?

Da X-Mode die Daten seinen Käufern in roher, nicht anonymisierter Form zur Verfügung stellt, wäre es ein Kinderspiel, die meisten einzelnen Nutzer:innen zu identifizieren. Kennt man die dauerhafte Gerätekennung (MAID) in Verbindung mit einer Vielzahl von Zeitstempeln, braucht man keinen Sherlock Holmes, um aus dem nächtlichen Aufenthaltsort des Handys auf den Wohnort des Nutzers zu schließen.

Ganz zu schweigen von der Möglichkeit, diese Daten mit Informationen aus Offline-Quellen wie öffentlichen Dokumenten, Telefonbüchern und sozialen Medien zu ergänzen — ein Cross-Matching-Service, der von vielen Datenhändlern angeboten wird.

Anwendung und Risiken: Von nationaler Sicherheit zu gezielter Werbung

Wie bereits erwähnt, könnten sich einige der möglichen Anwendungen dieser detaillierten Standortdaten auf die nationale Sicherheit beziehen. Dies kann von der Überwachung zur Verhinderung potenzieller Anschläge bis hin zur Einwanderungskontrolle reichen.

Weitaus beliebter ist jedoch die Verwendung für Werbezwecke. Werbetreibende sammeln diese Daten, um detaillierte Profile von Verbraucher:innen zu erstellen und sie mit hochrelevanter Werbung anzusprechen. Diese sind in der Regel besonders wirksam, wenn es darum geht, Menschen zum Geldausgeben zu bewegen.

Jedenfalls stellt der Verkauf dieser Daten, wie es die FTC ausdrückt, „einen ungerechtfertigten Eingriff in die privatesten Bereiche des Lebens der Verbraucher:innen dar und fügt ihnen erheblichen Schaden zu oder ist geeignet, ihnen erheblichen Schaden zuzufügen“. Dem kann kaum widersprochen werden.

Wir können die Entscheidung der FTC, gegen die Branche des Verkaufs von Standortdaten vorzugehen, nur begrüßen. Schade, dass es so lange gedauert hat. Unserer Meinung nach war dieser Schritt längst überfällig und der unkontrollierte Verkauf der sensibelsten Nutzerdaten hätte niemals erlaubt werden dürfen.

Andererseits hat die FTC den Verkauf solcher Daten nicht gänzlich verboten, sondern von der Zustimmung der Nutzer:innen abhängig gemacht. Und obwohl dies auf den ersten Blick logisch erscheinen mag — wenn die Nutzer:innen ihre sensiblen Daten einem Datenhändler oder einer App zur Verfügung stellen möchten, dann ist das ihr gutes Recht. Es ist vielleicht doch nicht so einfach, wie es scheint.

Wir gehen fest davon aus, dass Unternehmen wie X-Mode oder ein anderer berüchtigter Datenhändler, SafeGraph weiterhin mit den Nutzer:innen spielen und sie mit dunklen Mustern und irreführenden Hinweisen dazu bringen werden, ihre sensiblen Daten preiszugeben. Und wir müssen uns vor ihnen in Acht nehmen.