USA: Millionenstrafen für Verkauf von Mobilfunk-Standortdaten
Alle großen US-Mobilfunker haben ihre Kunden verraten und jahrelang deren Standortdaten verkauft. Jetzt sollen sie Strafe zahlen – für ein paar Monate.
T-Mobile USA, AT&T, Verizon und Sprint haben die Standortdaten ihrer Mobilfunkkunden verkauft, ohne die Zustimmung der Kunden einzuholen. Das sollten bitte die Käufer der Daten tun. Die haben aber den Zugriff auf die Daten weiterverkauft und es ihren Käufern überlassen, mittels Mausklick zu behaupten, sie hätten die vorgeschriebenen Zustimmungen der Betroffenen eingeholt. Dutzende Firmen haben zugegriffen und sich über automatische Schnittstellen (API) bedient. Jetzt sollen die Netzbetreiber Strafe zahlen, aber nur für einen Bruchteil der Zeit.
Entsprechende Strafbescheide [1] hat die US-Regulierungsbehörde FCC (Federal Communications Commission) am Montag veröffentlicht. Offiziell wurden die Ortungsdienste für biedere Zwecke beworben, etwa um eigene, verlorene Geräte wiederzufinden, oder Handynutzung in Gefängnissen aufzuspüren. Tatsächlich haben Kopfgeldjäger, Geheimdienste, Privatdetektive, diverse Unternehmen und auch Polizeibehörden illegal Amerikaner überwacht. Dabei ist die Standortabfrage seit 2007 nur mit Zustimmung des Betroffenen oder mit richterlicher Genehmigung oder in bestimmten Notfällen zulässig.
Ein Sheriff wurde deswegen zu sechs Monaten Gefängnis verurteilt. Er hatte stets angeklickt, dass seine Abfragen legal seien. Dazu lud er beliebige Dokumente hoch, beispielsweise eine Autoversicherungspolizze oder einzelne Seiten aus einem Polizeihandbuch, aber nicht die notwendigen richterlichen Genehmigungen, weil er die nicht bekommen hätte. Überprüft hat seine Abfragen niemand – und das ganz bewusst. Die LBS-Firma, bei der der Sheriff den Überwachungszugriff gekauft hat, meint, es sei Aufgabe des Sheriffs selbst, seine Einhaltung der Vorschriften zu überprüfen.
T-Mobile soll nun gut 80 Millionen US-Dollar Strafe zahlen, AT&T mehr als 57 Millionen, Verizon knapp 47 Millionen und Sprint über zwölf Millionen Dollar. In Summe sind das rund 196 Millionen Dollar. Die bestraften Netzbetreiber werden die Strafen wohl vor Gericht bekämpfen.
Eigenartige Berechnung
Merkwürdig ist die Berechnungsweise der Strafen. Die Behörde zählt nicht die Zahl der Betroffenen, sondern die Zahl der direkten Käufer der Standortdaten (sogenannte Aggregatoren) sowie deren Kunden (sogenannte Location Based Services, LBS). Beispielsweise bei T-Mobile waren das 81.
Diese Zahl multipliziert die Behörde mit 2.500 US-Dollar pro Tag, an denen die LBS-Firmen direkten API-Zugriff hatten – allerdings nicht für den gesamten Zeitraum der Rechtsverletzung, denn von Rechts wegen darf die Behörde nur ein Jahr rückwirkend ab Verfahrenseröffnung strafen. Aber sie zieht auch nicht ein Jahr heran, sondern den 9. Juni 2018. Das ist 30 Tage nach einem Bericht der New York Times [2] über die Anklage gegen den erwähnten Sheriff.
Die FCC erachtet demnach nur das Verhalten der Netzbetreiber ab 30 Tagen nach diesem Bericht für strafwürdig. Die Netzbetreiber haben noch bis zu zehn Monate nach dem Zeitungsbericht die Standortdaten ihrer Kunden verkauft. Hinzu kommen ein Basisbetrag von 40.000 Dollar pro LBS-Partner sowie ein Aufschlag von 50 bis 100 Prozent, je nach dem wie verwerflich sich der Netzbetreiber in den Augen der Behörde nach Aufdeckung durch die New York Times verhalten hat.
Republikaner sind jetzt gegen Strafen
Eingeleitet hat die FCC das Verfahren noch unter US-Präsident Donald Trump, damals auch mit Zustimmung der republikanischen Mehrheit in der FCC. Inzwischen haben die Demokraten dort eine 3:2 Mehrheit, und nun sind die Republikaner plötzlich gegen die Strafbescheide. Einer der beiden vertritt die obskure These, dass der Verkauf der Standortdaten völlig legal sei, außer wenn der Nutzer gerade telefoniert. Und überhaupt hätte eine andere Behörde das Verfahren führen sollen. Der andere Republikaner in der FCC meint, es läge nur ein einzelner Rechtsverstoß pro Netzbetreiber vor, die Berechnung nach Tagen und einkaufenden Firmen sei unzulässig. Die Behörde hätte gar keine Strafen verhängen und sich stattdessen von den Netzbetreiber versprechen lassen sollen, in Zukunft brav zu sein.
Zwar geben die Netzbetreiber an, den Verkauf der Standortdaten inzwischen eingestellt zu haben. Das heißt aber nicht, dass die LBS-Anbieter erwerbslos geworden sind. Heute werden die Standortdaten heimlich bei allerlei Smartphone-Apps geerntet [3] und verkauft, gerne auch an Behörden, die solche Daten selbst nicht erheben dürften, wie beispielsweise die NSA (National Security Agency). In geringerem Umfang werden WLAN-Hotspots, Bluetooth-Beacons und IMSI-Catcher eingesetzt, um Standortdaten von Mobiltelefonen und anderen Geräten zu erfassen.
Treppenwitz: Der US-Geheimdienst NSA warnt selbst seit mindestens vier Jahren vor der Gefahr der Standortüberwachung von Mobilfunk-Nutzern für die Nationale Sicherheit. Dennoch fehlt den USA bis heute ein umfassendes Datenschutzgesetz.
- Strafbescheide gegen die vier Netzbetreiber, Stellungnahmen dreier FC-Commissioner [4], FCC 24-40, FCC 24-41, FCC 24-42, FCC 24-43
(ds [5])
URL dieses Artikels:
https://www.heise.de/-9703107
Links in diesem Artikel:
[1] https://www.fcc.gov/document/fcc-fines-largest-wireless-carriers-sharing-location-data
[2] https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html
[3] https://www.heise.de/news/Massenueberwachung-zum-Sparpreis-US-Polizei-kann-Bewegungsprofile-analysieren-7251554.html
[4] https://www.fcc.gov/document/fcc-fines-largest-wireless-carriers-sharing-location-data
[5] mailto:ds@heise.de
Copyright © 2024 Heise Medien