Ist SafeGraph eigentlich so „safe”? Daten über Kundinnen von Abtreibungskliniken wurden offengelegt

Sind Sie sicher, dass Ihre unschuldig aussehende Wetter-App Sie nicht auf dem Weg zu einem Arzttermin verfolgt? Na ja, vielleicht stimmt das, aber heutzutage können Sie schon nicht mehr so sicher sein. Nehmen wir an, dass Sie tatsächlich verfolgt werden, aber was folgt dann aus all diesen Daten? Sicherlich fallen sie nicht in die Hände von Dritten, die sie missbrauchen könnten. Oder ... warten Sie!

Als Teil einer journalistischen Untersuchung, die inmitten einer heftigen Debatte über Abtreibungsrechte in den USA durchgeführt wurde, hat die Online-Ausgabe „Motherboard” Geolocationsdaten der Besucher:innen von über 600 Standorten des amerikanischen Netzwerks „Planned Parenthood” erworben. Die Daten für eine Woche kosten Motherboard knapp über 160 Dollar. Anhand der erworbenen Daten konnte festgestellt werden, woher die Besucher:innen kamen, wie lange sie im Zentrum blieben und wohin sie nach ihrem Termin gingen.

Dieses wurde dank der SafeGraph-Dienste möglich — einem Unternehmen, das für den Massenverkauf von Standortdaten an die US-Gesundheitsbehörde (CDC) und an die New York Times bekannt ist.

Also, wie erhält SafeGraph Zugang zu den Standortdaten der Nutzer:innen? Die Antwort liegt auf der Hand. Das Unternehmen holt sich diese vertraulichen Informationen von den Apps, die sein Software Development Kit (SDK) verwenden. App-Entwickler lieben SDKs, weil sie ihnen das Leben erleichtern und es ihnen ermöglichen, die Kosten für die Entwicklung ihrer eigenen Funktionen (wie Standortverfolgung) von Grund auf zu senken. So ist der Fall mit SafeGraph SDK. Nehmen wir an, Sie haben das Geotracking in Ihrer Wetter-App aktiviert. Seien Sie versichert, dass das SafeGraph SDK diese Berechtigung auch übernimmt.

Nachdem SafeGraph den Apps geholfen hatte, den Standort zu lokalisieren und zu verfolgen, verpackte es diese Informationen neu und verkaufte sie als separates Produkt an jeden, der bereit war, dafür zu zahlen, und zwar offenbar für ein paar Cent.

Wie so oft in solchen Fällen wussten die Nutzer:innen höchstwahrscheinlich nichts von diesem System. Das SafeGraph SDK wurde nicht nur in Wetter-, Reise- und Sport-Apps integriert. Bei den meisten Kunden:innen handelte es sich um Foren, die ein breites Spektrum an Interessen abdecken, von Autos bis hin zu Psychologie und sogar plastischer Chirurgie.

Wenn Sie also einer solchen App die Erlaubnis zur Nutzung Ihres Standorts erteilen, könnte SafeGraph diese Daten ebenfalls erhalten. Beachten Sie, dass viele der beliebtesten Apps von SafeGraph mehr als 10.000 Mal heruntergeladen wurden. Zu den Top-Apps, die SafeGraph enthalten, gehören ein Basketball-Forum (RealGM Forum), ein Forum für Schusswaffenliebhaber (Ruger Forum), ein Off-Road-Reiseforum (SA 4x4 Community Forum), ein Diskussionsforum für Apple-Produkte (iMore Forums) — die Liste ist ziemlich lang.

Motherboard meldet, dass SafeGraph ihnen die Daten für eine Woche im April zur Verfügung gestellt hat. Dieses Produkt heißt Weekly Pattern. Auf seiner Website erklärt der SDK-Anbieter, dass „Weekly Patterns antwortet auf Fragen wie: Wie oft besuchen die Menschen den Ort? Wie lange sind sie schon dort? Woher kommen sie? Wo sind sie sonst noch zu Besuch?” Diese Neugierde ist echt alarmierend.

SafeGraph behauptet zwar, dass es auf „anonyme mobile Daten” zurückgreift und das Ergebnis eine demografische Aggregation ist, was bedeutet, dass die Identitäten der einzelnen Nutzer:innen geheim bleiben. Aber es gibt Bedenken, dass diese Daten immer noch auf bestimmte Nutzer:innen zurückgeführt werden können.

Es ist nicht das erste Mal, dass SafeGraph aus einem unschönen Grund die Aufmerksamkeit der Medien auf sich gezogen hat. Letztes Jahr wurde berichtet, dass Google eine Kampagne gegen den Anbieter startete und Entwicklern mit der Entfernung von Apps aus dem Google Play Store drohte, falls sie die Verwendung des SDK nicht innerhalb von 7 Tagen aufgeben würden.

Das gemeldete Verbot hat SafeGraph jedoch offensichtlich nicht davon abgehalten, seine Tätigkeit wie gewohnt fortzusetzen.

Die Untersuchung von Motherboard erfolgt inmitten der Veröffentlichung eines Entscheidungsentwurfs des Obersten Gerichtshofs der USA, der das Urteil Roe v. Wade aufhebt. Durch dieses Urteil wurde die Abtreibung 1973 landesweit legalisiert.

In der hitzigen politischen Debatte über Abtreibungsrechte in den USA können die Datenerhebungspraktiken von SafeGraph direkte Auswirkungen auf das Leben normaler Menschen haben. Darüber hinaus werden sich die Nutzer:innen nicht bewusst sein, dass ihre Standortdaten — deren Verwendung sie selbst den Apps erlaubt haben — in einem solchen Ausmaß missbraucht werden können.

Wir haben die möglichen Apps, die diese Methode der Datenerfassung nutzen, nur kurz gestreift. Das bedeutet nicht, dass Sie sich sicher fühlen können, wenn Sie die oben genannten Standorte nicht besuchen. Es kann möglich sein, anhand Ihrer Daten Informationen über alle Orte zu erhalten, die Sie häufig besuchen — die Technologie macht es möglich.

„Wie könnte man sich schützen?” Es gibt keinen Grund, paranoid zu werden und Ihr Telefon wegzuwerfen. Wir haben die Nutzer:innen schon immer dazu aufgerufen, ihren Apps nur die nötigsten Berechtigungen zu erteilen. Es ist komisch, wenn z. B. eine Wetter-App Ihren Anrufverlauf anfordert, nicht wahr? Und wenn die App diese Daten wirklich benötigt — und es gibt viele solcher Apps — dann müssen Sie sich schützen.

AdGuard blockiert derzeit die Sammlung von Daten durch SafeGraph SDK. Außerdem wird die Liste der Bedrohungen regelmäßig aktualisiert. Wir überwachen und blockieren ständig neue Bedrohungen der Privatsphäre der Nutzer:innen. Auf diese Weise begrenzen wir das Risiko, das von Datensammlern ausgeht.