Die US-Grenzschutzbehörde Customs and Border Protection (CBP) hat systematisch Standortdaten aus Alltags-Apps genutzt, die aus dem Real-Time-Bidding-System (RTB) der Online-Werbeindustrie stammen. Das belegt ein internes Dokument des Department of Homeland Security (DHS), das die Investigativ-Plattform 404 Media per Informationsfreiheitsanfrage veröffentlicht hat.
Bei dem 404 Media vorliegenden Dokument handelt es sich um eine sogenannte Privacy Threshold Analysis – eine Datenschutz-Bewertung, die das DHS bei der Einführung neuer Technologien durchführen muss. Darin heißt es wörtlich: „RTB-sourced location data is recorded when an advertisement is served.“ In der Vergangenheit gab es schon mehrere Fälle, bei denen Standortdaten verkauft wurden und so unter anderem Klinikbesuche offenlegten.
Daten aus Candy Crush, Tinder und MyFitnessPal
Beim Real-Time-Bidding findet bei jeder Werbeeinblendung in einer App eine automatische Auktion statt, bei der Werbetreibende um Anzeigenplätze bieten. Dabei werden Gerädedaten einschließlich des Standorts übertragen. Überwachungsfirmen können diesen Prozess beobachten und die Daten abschöpfen – für die Nutzer unsichtbar.
Die Standortdaten werden über sogenannte Advertising IDs (AdIDs) einem Gerät zugeordnet. Diese eindeutigen Kennungen, die Apple und Google für personalisierte Werbung eingeführt haben, enthalten zwar keine Namen oder Telefonnummern, ermöglichen aber ein präzises Bewegungstracking über längere Zeiträume.
404 Media konnte solche Datenströme unter anderem auf Candy Crush, Tinder, Grindr, Tumblr und MyFitnessPal zurückführen. Die App-Entwickler wissen in vielen Fällen nicht, dass ihre Anwendungen als Datenquelle dienen, da die Erfassung über die eingebettete Werbeinfrastruktur läuft.
CBP bezeichnete die Nutzung als Pilotprojekt, das von 2019 bis 2021 lief und bei der Analyse grenzüberschreitender Kriminalität helfen sollte. Eine spätere Untersuchung des DHS-Generalinspekteurs kam jedoch zu dem Ergebnis, dass CBP, die Einwanderungsbehörde ICE und der Secret Service die Daten illegal für operative Zwecke einsetzten. Ein CBP-Beamter soll das System genutzt haben, um Kollegen ohne dienstlichen Anlass zu überwachen.
Bereits 2020 hatte das Wall Street Journal erstmals über den Kauf kommerzieller Standortdaten durch CBP und ICE berichtet. Die FTC untersagte dem Datenanbieter Venntel später den Verkauf von Standortdaten, die ohne ausreichende Einwilligung erhoben worden waren.
ICE kauft weiter Standortdaten
Trotz der dokumentierten Verstöße setzen US-Behörden den Einkauf fort. ICE erwarb demnach ein System namens „Webloc“, welches ganze Stadtviertel nach Mobiltelefonen scannen und Geräte bis zu mutmaßlichen Wohnadressen zurückverfolgen kann. In öffentlichen Beschaffungsdokumenten sucht die Behörde zudem aktiv nach weiteren Ad-Tech-Datenquellen.
Dass solche Werkzeuge auch für besonders sensible Zwecke einsetzbar sind, zeigte ein früherer Bericht von 404 Media: Demnach lassen sich damit auch Besuche an Abtreibungskliniken nachverfolgen. Ein richterlicher Beschluss ist dafür nicht erforderlich, da die Daten frei auf dem Markt erhältlich sind.
70 Abgeordnete fordern neue Untersuchung
Rund 70 US-Abgeordnete um Senator Ron Wyden haben den DHS-Generalinspekteur kürzlich in einem gemeinsamen Schreiben zu einer erneuten Untersuchung aufgefordert. Eine 2023 ausgesprochene Empfehlung, verbindliche Richtlinien für den Umgang mit kommerziellen Standortdaten zu schaffen, sei bis heute nicht umgesetzt.
„Indem sie sich weigern, Überwachungsunternehmen und zwielichtige Datenbroker auszuschließen, arbeiten die großen Tech-Unternehmen effektiv mit der gesetzlosen Gewalt- und Terrorkampagne der ICE zusammen“, sagte Wyden gegenüber 404 Media. ICE blockiere zudem Aufklärungsbemühungen des Kongresses: Eine angesetzte Anhörung zum Webloc-Kauf sei einen Tag vorher ohne Begründung abgesagt worden.
(vza)
English (US) ·