Warum die US-Handelsaufsicht gegen Data Broker vorgeht

Das Jahr 2024 ist erst wenige Wochen jung, doch schon sind erste Datenschutzskandale in den Schlagzeilen. So ging das anhaltende Drama um die Datenpanne bei 23andMe weiter; dann wurde die Handelsplattform eines großes Finanzsoftwareunternehmen wegen unangemessener Nutzung privater Informationen geschlossen. In dieser Woche hat die US-Handelsaufsicht FTC einen bislang beispiellosen Schritt unternommen und einem Datenbroker erstmals den Verkauf von Standortdaten untersagt. Es signalisiert ein aggressiveres Vorgehen der politischen Entscheidungsträger bei dem Thema, in dem bislang die EU den Takt vorgibt. Für die Nutzer könnte es bedeuten, dass die Data Broker künftig weniger negative Auswirkungen auf ihre Privatsphäre haben.

Falls Sie mit dem Begriff Datenbroker oder Data Broker nicht vertraut sind: Sie bilden eine bereits große und stark wachsende Branche, die personenbezogene Daten sammelt, kauft und analysiert und sie an andere Unternehmen oder Gruppen weiter vertreibt. Die nutzen diese Informationen dann, um Botschaften und Werbung gezielt zu versenden oder ihre Produkte zu verkaufen. Zuletzt konnten Forscher nachweisen, dass diese Firmen sogar Daten über US-Militärangehörige und ihre Familien mit wenig Diskretion und für wenig Geld ins Ausland verkaufen. Die Forscher sagten damals, sie seien "schockiert" gewesen, wie leicht es war, sensible Daten über diese Personen zu erwerben.

Diese Unternehmen sind jedoch oft extrem schweigsam. Da es sich um eine recht neue Branche handelt, sind sie bislang nicht an eine Vielzahl von Vorschriften gebunden – zumindest in den USA. Es war interessant zu sehen, wie Gesetzgeber und andere staatliche Akteure in den vergangenen Jahren mit diesem Geschäftsmodell umgingen. Und seit der Oberste Gerichtshof der Vereinigten Staaten im Jahr 2022 das Recht auf Abtreibung auf Bundesebene aufgehoben hat, stehen diese Unternehmen unter besonderer Beobachtung. Nach der Entscheidung waren besonders viele Demokraten besorgt, dass Data Broker Informationen über Besuche an sensiblen Orten wie Arztpraxen oder Abtreibungskliniken erfassen und verkaufen könnten. Im Juli 2022 erließ Präsident Joe Biden dann eine Verfügung, mit der Bundesbehörden angewiesen wurden, den Schutz der Privatsphäre im Bereich der reproduktiven Medizin zu verbessern.

In Hunderten Apps enthalten

Am Dienstag gab die FTC nun bekannt, dass sie Outlogic, ehemals X-Mode Social, die Weitergabe und den Verkauf sensibler Daten von Nutzern verbietet. Dabei geht es insbesondere um präzise Standortdaten, mit denen die Besuche von Personen an Orten wie Arztpraxen aufgezeichnet wurden. Bedeutsamer noch: Das Unternehmen muss alle zuvor gesammelten Standortdaten löschen.

X-Mode gibt es seit 2013 und die Software wurde in Hunderte verschiedener Apps integriert, um Standortdaten von Millionen von Nutzern weltweit zu sammeln. Die neue FTC-Anordnung ist nicht das erste Mal, dass das Unternehmen in Schwierigkeiten gerät. Im Jahr 2020 enthüllte eine Untersuchung des US-Mediums Vice, dass die von X-Mode gesammelten Daten einer muslimischen Social-App an einen Auftragnehmer des US-Militärgeheimdienstes weitergegeben wurden.

Die Handelsaufsicht wirft dem Unternehmen vor, Geolokalisierungsdaten über sensible Standorte nicht adäquat abgesichert, die Privatsphäre der Verbraucher dabei verletzt und keine ausreichenden Schutzmaßnahmen für die Verwendung sensibler Informationen durch Dritte getroffen zu haben. In einer Erklärung teilte Outlogic mit, dass "kein Missbrauch von Standortdaten festgestellt" wurde und dass das Unternehmen seinen Kunden stets untersagt habe, "seine Daten mit sensiblen Orten wie Gesundheitseinrichtungen in Verbindung zu bringen". In der Ankündigung des Vergleiches mit der FTC sagte die Behördenvorsitzende Lina Khan, das erstmalige Verbot von Nutzung und Verkauf sensibler Standortdaten zeige, dass die FTC "ihre Arbeit zum Schutz der Amerikaner vor problematischen Datenbrokern und unkontrollierter Überwachung durch Unternehmen" fortsetzt.

Mehr Regulierung auch in den USA

Ein Experte ist überzeugt, dass dies ein Zeichen dafür sein könnte, was auf die Branche zukommen wird. "Die Maßnahme der FTC ist bedeutsam, weil sie dem Unternehmen den Verkauf von Daten über sensible Standorte untersagt und nicht nur Geldstrafen verhängt", sagt Justin Sherman, außerordentlicher Professor an der Sanford School of Public Policy der Duke University. Mit anderen Worten: Es geht hier um mehr als nur einen Denkzettel.

Sherman, der ein Forschungsprojekt über die Datensammlerbranche leitet und an der Forschungsarbeit über Daten von Militärangehörige beteiligt war, meint, dass dieser neue Schritt "auch deshalb bemerkenswert ist, weil sich die FTC darauf konzentriert, dass bestimmte Orte sensibler sind als andere". Der Gedanke, dass Menschen in verschiedenen Kontexten unterschiedliche Rechte auf Privatsphäre haben, ähnelt dem Argument, das die FTC in ihrer laufenden Klage gegen den Datenbroker Kochava vorbringt. Darin heißt es, die Firma identifiziere anonyme Nutzer ohne deren Zustimmung und verfolge sie über sensible Standorte hinweg.

Unabhängig davon, was die FTC als Nächstes unternimmt, werden die Datenbroker wahrscheinlich auch von anderer Seite wegen ihrer fragwürdigen Praktiken unter die Lupe genommen werden. Die Einigung mit Outlogic wird wahrscheinlich auch den Ruf nach einem energischeren Vorgehen des Gesetzgebers stärken. In einer Erklärung sagte das Büro von Senator Ron Wyden, das Vorgehen der FTC sei zwar ermutigend, "aber die Behörde sollte nicht einfach nur Datenmakler außer Betrieb setzen. Der US-Kongress muss strenge Datenschutzgesetze verabschieden, um die persönlichen Daten der Amerikaner zu schützen und zu verhindern, dass Regierungsbehörden die Gerichte umgehen, indem sie unsere Daten von Data Brokern kaufen."

(jle)