Quelle Image: https://www.golem.de/news/datenschutz-wie-ich-die-ueberwacher-in-meinem-smartphone-aufspuerte-2012-152829.html
Dieser Artikel ist eine Übersetzung. Das Original der norwegischen NRK ist hier zu finden.
Ich habe das Gefühl, dass Apps mich ausspionieren. Nicht, dass sie mich abhören, aber dass sie jederzeit verfolgen, wo ich bin. Dass jede meiner Bewegungen weitergegeben wird. Wenn ich Lebensmittel einkaufe, etwas trinke oder mich mit Freunden treffe. Ich weiß, dass es Leute gibt, die solche Informationen kaufen und verkaufen. Wie verfolgen sie uns, und was wollen sie mit unseren Daten?
Um dem auf den Grund zu gehen, habe ich im Februar ein Experiment gestartet. Ich installierte eine Menge Apps auf einem Ersatztelefon. Dieses Telefon hatte ich dann überall dabei. Oder fast. Ich ließ es zu Hause, als ich im April einen COVID-19-Test machte.
Es gibt einen guten Grund dafür, dass mein Gefühl, überwacht zu werden, im Laufe der Jahre zugenommen hat. In diesem Frühjahr war ich Teil eines Teams des norwegischen Rundfunksenders NRK, das dokumentierte, wie mehr als 8.300 Mobiltelefone geortet wurden, während sie in Krankenhäusern oder Frauenhäusern lagen.
Für die Summe von 35.000 Norwegischen Kronen (3.300 Euro / 4.000 US-Dollar) bekamen wir Zugang zu Standortdaten, die zeigten, wohin Zehntausende von Norwegern im Jahr 2019 gereist waren. Einer von ihnen war der 31-jährige Karl Bjarne Bernhardsen aus Stavanger. Die Informationen machten es uns leicht, ihn in den Daten zu identifizieren, die - laut Datenanbieter - anonymisiert worden waren.
Als wir ihn anriefen, konnten wir sagen, wo er sich im Jahr 2019 fast jeden Tag aufgehalten hatte. Im Zoo. Bei einem Vorstellungsgespräch. Im Krankenhaus, wo er als frischgebackener Vater mehrere Tage verbrachte. In den falschen Händen könnte das von jedem ausgenutzt werden, sagte uns Karl damals.
Es wird immer wieder gesagt, dass kommerzielle Überwachung nicht so beängstigend ist: "Das wird doch nur für Werbung benutzt." Aber es gibt inzwischen viele, die sich für die digitalen Abgase unserer Telefone interessieren.
Kürzlich deckte die Publikation Vice Motherboard auf, dass das US-Militär Standortdaten kauft und dass eine muslimische Gebets-App Standortdaten von Nutzern an militärische Auftragnehmer schickte. "Es fühlt sich wie ein Verrat an", war die Reaktion eines lokalen Leiters des Council on American-Islamic Relations
Im Jahr 2018 wurde der Besitzer eines verlassenen Kentucky-Fried-Chicken-Restaurants in einer Grenzstadt in Arizona verhaftet. Er soll in den Schmuggel von Drogen aus Mexiko durch einen Tunnel unter der US-Grenze verwickelt gewesen sein. Laut Wall Street Journal (WSJ) wurde die Operation zum Teil dadurch aufgedeckt, dass die US-Einwanderungs- und Zollbehörde (ICE) kommerziell verfügbare Standortdaten nutzte.
Schließlich wurden die kommerziellen Daten laut WSJ angeblich mit dem für Abschiebungen zuständigen ICE-Arm geteilt. Die U.S. Customs and Border Protection (CBP) hat ebenfalls Zugang zu "globalen" Standortdaten gekauft.
Journalisten im NRK werden gebeten, sich zweimal zu überlegen, ob sie ihr Telefon mitnehmen, wenn sie sich mit vertraulichen Quellen treffen, und das hat einen Grund. Die Behörden können Zugriff auf Informationen über unseren Aufenthaltsort erhalten, auch ohne gerichtliche Genehmigung.
Wenn meine Standortdaten in die falschen Hände geraten, kann das nicht nur für mich Konsequenzen haben, sondern auch für andere. Das ist eine ständige Angst - dass jemand, der mir etwas Vertrauliches erzählt hat, auffliegen könnte.
Die Firma, die ICE die Informationen über das Schnellrestaurant geliefert hat, heißt Venntel. Laut Firmenunterlagen ist sie in einem Industriecluster im Bundesstaat Virginia ansässig. In der Gegend finden sich bekannte Namen aus dem Verteidigungssektor wie Lockheed Martin - die Firma hinter dem F-35 Kampfflugzeug - und Booz Allen Hamilton, Edward Snowdens ehemaliger Arbeitgeber. Eine 20-minütige Fahrt in Richtung Osten bringt uns nach Langley, Virginia, wo sich das Hauptquartier der CIA befindet.
Am 20. August habe ich eine Kopie aller Informationen angefordert, die Venntel über mich hat. Alle Europäer haben das Recht dazu, aufgrund der 2018 verabschiedeten Datenschutz-Grundverordnung (DSGVO).
Am nächsten Tag bat mich die Rechtsabteilung von Venntel, einige Adressen zu bestätigen, die ich kürzlich besucht hatte. "Sobald wir diese Informationen haben, werden wir zunächst prüfen, ob die von Ihnen angegebene Advertiser ID in unserer Datenbank vorhanden ist", hieß es in der E-Mail.
Eine "Advertiser ID" ist etwas, das alle Smartphones haben. Diese ID ist der Schlüssel zur Nachverfolgung von Telefonbenutzern über die Zeit und über Apps hinweg. Telefonbesitzer können einschränken, wie einfach es ist, auf diese ID zuzugreifen, obwohl nur wenige dies tatsächlich tun. Ich habe Venntel die Adresse meines Büros in der NRK-Zentrale in Oslo und meiner Wohnung in Majorstuen in Oslo gegeben.
Fast einen Monat später erhielt ich einen interessanten E-Mail-Anhang von Venntel. Er enthielt Informationen darüber, wo ich seit dem 15. Februar 75.406 Mal gewesen war. Plötzlich konnte ich jeden meiner Schritte zurückverfolgen - auf einer Wanderung, bei einem Drink und beim Besuch meiner Großmutter in Südnorwegen.
Es gab keine Telefonnummern oder Namen in den Daten. Trotzdem wäre es für fast jeden ein Leichtes gewesen, herauszufinden, dass ich das bin. Eine einfache Suche in Google und im Telefonbuch würde zeigen, dass es einen Martin Gundersen gibt, der in Sorgenfrigata in Oslo wohnt und bei NRK Marienlyst arbeitet.
Venntel teilte mir auch mit, dass sie meine Informationen an ihre Kunden weitergegeben hatten. Ihre Kunden könnten diese Informationen für Zwecke wie die Strafverfolgung und die nationale Sicherheit verwenden. Wer diese Kunden waren, wollte Venntel nicht preisgeben.
Wie konnten meine Standortdaten bei Venntel in den USA landen? Keine der Apps, die ich installiert hatte, erwähnte dieses Unternehmen in irgendeiner Weise. Nirgends. Nicht einmal in den undurchdringlichen Datenschutzrichtlinien, die kaum jemand liest, bevor er auf "OK" klickt.
Venntel konnte mir mitteilen, dass sie meine Daten von ihrer Muttergesellschaft, Gravy Analytics, erworben hatten und dass sie nur in wenigen Fällen etwas mehr darüber wüssten, welche Apps beteiligt waren.
Gravy Analytics ist ein Datenbroker mit Marketing-Schwerpunkt. Sie sammeln riesige Mengen an Daten über Verbraucher, um das Ad-Targeting zu verbessern. Gravy Analytics behauptet auch, dass sie die Herkunft der meisten Daten nicht kennen. Aber die Antwort auf meine Anfrage nach einem Zugang enthielt die Namen von zwei neuen Unternehmen: Predicio in Frankreich und Complementics in den USA.
Eine neue Runde von Zugriffsanfragen deckte auf, dass einige der Standortdaten, die bei Venntel landeten, von einem slowakischen App-Entwickler namens Sygic stammen, der ein Portfolio von 70 verschiedenen Apps hat. Seine beliebteste App hat laut seiner Webseite angeblich mehr als 200 Millionen Nutzer.
Am 15. Februar habe ich zwei Navigations-Apps von Sygic installiert. Beide baten mich, einigen Bedingungen zur Personalisierung meiner Werbeerfahrung zuzustimmen. Wenn Sie zu denjenigen gehören, die kaum lesen, womit sie sich da einverstanden erklären, sind Sie nicht allein. Nur wenige lesen tatsächlich die Nutzungsbedingungen von Apps und Diensten, die sie installieren. "Ich stimme zu", drückte ich. Wir hatten nun eine verbindliche Vereinbarung getroffen, die App und ich.
Es scheint, dass die Vereinbarung mit Sygic gebrochen wurde, als Gravy Analytics die Daten erhielt. Gravy Analytics gab in ihren Datenschutzbestimmungen an, dass meine persönlichen Daten für eine Reihe von Dienstleistungen für Partner und Kunden verwendet werden könnten. Laut ihrer eigenen Datenschutzrichtlinie umfasste dies Zwecke wie Betrugserkennung, Strafverfolgung und nationale Sicherheit.
Mit anderen Worten: Gravy Analytics teilte meine Standortdaten mit ihrem Tochterunternehmen, das speziell diese Art von Diensten anbot. Das führt uns zurück zu meiner Vereinbarung, die ich am 15. Februar mit Sygic getroffen habe.
Ich habe mich mit drei Anwälten beraten, Malgorzata Agnieszka Cyndecka, Lee Bygrave und Arve Føyen, die alle Datenschutzspezialisten sind. Sie waren der Meinung, dass die Tatsache, dass meine persönlichen Daten für andere Zwecke verwendet werden könnten, als die, denen ich zugestimmt hatte, ein offensichtlicher Verstoß gegen die DSGVO ist. Denn die DSGVO setzt strenge Grenzen und Anforderungen für das, was tatsächlich mit unseren persönlichen Daten getan werden darf.
"Wenn sich herausstellt, dass Partner persönliche Informationen für andere Zwecke verwenden können als die, denen Sie zugestimmt haben, verlieren Sie Ihre Privatsphäre", sagt die außerordentliche Professorin an der juristischen Fakultät der Universität Bergen, Malgorzata Agnieszka Cyndecka. Dieses "function creep" sei inakzeptabel. Diese Praxis untergrabe nicht nur das Prinzip der Zweckbindung, sondern auch die Prinzipien der Transparenz und Fairness in der DSGVO.
Ich wurde auch von der Wetter-App Fu*** Weather getrackt, wie aus den Daten von Gravy Analytics und Venntel hervorgeht. Die App verspricht, das Wetter auf sarkastische, scharfzüngige Weise zu präsentieren. Denn wer möchte seine tägliche Vorhersage nicht lieber mit vielen Schimpfwörtern serviert bekommen?
Bei der Installation der App im Herbst dieses Jahres habe ich zugestimmt, dass meine Daten für die Analyse und "Monetarisierung", also die Finanzierung der App, verwendet werden dürfen.
Die drei Anwälte, die ich konsultiert habe, sind der Meinung, dass diese Vereinbarung nicht mit der DSGVO übereinstimmt, da zu unklar ist, was "Monetarisierung" eigentlich bedeutet. Auch der Begriff "Analyse" deckt nicht alle Geschäftspraktiken von Venntel ab.
Lawiusz Fras, der Entwickler hinter Funny Weather, hat kein großes Unternehmen im Rücken. Er sagt, er kenne Venntel nicht, gibt aber an, dass er offen über das Geschäftsmodell der App spricht. "Die Tatsache, dass ich mit Unternehmen zusammenarbeite, die einige Daten, auf die die App Zugriff hat, nutzen, um damit Geld zu verdienen, ist nicht vertraulich", schreibt mir Fras in einer E-Mail.
Fras gibt zu, dass die App klarer sein könnte, was "Monetarisierung" bedeutet. Er will dies in den Datenschutzbestimmungen nachholen, behauptet aber, dass die Nutzer ausreichend informiert wurden.
Wie die Daten von Funny Weather zu Venntel gelangt sind, bleibt ein Rätsel, aber es ist wahrscheinlich, dass sie über die französische Firma Predicio geflossen sind, da dieser Vermittler in den Datenschutzbestimmungen der App als Partner aufgeführt ist.
Von welchen anderen Apps Venntel Daten erhalten haben könnte, ist ein gut gehütetes Geheimnis. Nicht einmal die Leute hinter den mobilen Apps wussten, dass sie beteiligt sind. "Wir kennen die Firma Venntel nicht", antwortet die Pressesprecherin des App-Entwicklers Sygic, Zuzana Kacanova, auf meine Anfrage, wie meine Daten bei ihnen gelandet sind.
Kacanova behauptet, dass meine Zustimmung gemäß DSGVO rechtmäßig eingeholt worden sei und dass ihre Partner vertraglich verpflichtet seien, meine Daten nur für Marketingzwecke zu verwenden. "Basierend auf den von Ihnen zur Verfügung gestellten Informationen ist es nicht klar, dass die Quelle der Daten, die Venntel über Sie hat, Sygic GPS Navigation ist. Sollte sich dies als wahr herausstellen, ist dies ein Verstoß gegen die Verträge, die wir mit den jeweiligen Partnern haben."
Eine von NRK durchgeführte technische Analyse zeigt mehrere Details, die darauf hinweisen, dass Daten von Sygic bei Venntel gelandet sind. Zum Beispiel ist eine ID, die von Complementics für Daten von Sygic verwendet wurde, auch in den Daten von Venntel vorhanden. Kacanova antwortete nicht auf Fragen, welche Konsequenzen dies für ihre Partnerschaften mit Predicio oder Complementics haben wird.
Mit dem Inkrafttreten der DSGVO im Jahr 2018 hatten Datenschutzbefürworter einen wichtigen Sieg errungen. Die gemeinsame europäische Gesetzgebung sollte eine genauere Kontrolle von Unternehmen ermöglichen, die mit Nutzerdaten handeln. Doch Teile der digitalen Werbeindustrie haben sich nicht viel verändert.
"Sie versuchen, an alten Praktiken festzuhalten und sie als etwas anderes zu tarnen, sind aber im Kern immer noch dieselben", sagt David Martin aus seinem Wohnzimmer in Brüssel. Er leitet die Gruppe für digitale Rechte im BEUC, einem Dachverband für europäische Verbraucherorganisationen. Teile des digitalen Werbesystems seien "auf einem fast systematischen Verstoß" gegen die DSGVO aufgebaut, so Martin.
Er teilt damit die Ansicht der meisten Datenschutzbefürworter: In der Theorie ist die DSGVO großartig, aber in der Praxis hat sie schwerwiegende Defizite. Der österreichische Datenschutzforscher und -aktivist Wolfie Christl untersucht seit einigen Jahren, wie Unternehmen unsere Daten nutzen. Kürzlich unterstützte er den norwegischen Verbraucherrat mit Out of Control, einem Bericht, der verschiedene mögliche Datenschutzverletzungen im App-Ökosystem dokumentiert.
"In den meisten Fällen ist es schwierig oder unmöglich nachzuvollziehen, wie persönliche Daten zwischen Apps, Datenbrokern und deren Kunden fließen", sagt er. Für Christl hat es den Anschein, dass die Datenschutzbehörden in der EU entweder nicht in der Lage oder nicht willens sind, viele der Verstöße gegen die DSGVO zu unterbinden.
"Ohne massive Bußgelder und Verbote der Datenverarbeitung wird es keine Änderung geben. Die EU-Mitgliedsstaaten und die EU-Kommission müssen handeln", stellt er fest.
Die Frage ist, ob jemand bereit ist, zuzuhören. Und wie einfach es wäre, die angeblichen Verstöße zu verfolgen. Arve Føyen, Partner in der Anwaltskanzlei Føyen Torkildsen, meint, es sei schwierig, Unternehmen wie Venntel zu bestrafen, da sie keine Niederlassungen in Europa haben. "Ich befürchte, dass dadurch ein illusorischer Eindruck entsteht, dass die Regeln gelten - aber in der Praxis ist es einfach nicht möglich, rechtliche Schritte einzuleiten", erklärt Føyen.
Es sind einige Monate vergangen, seit ich mein Extra-Handy in die Sporthütte Ullevålseter mitgenommen habe - ein beliebter Ort für Kaffee und Waffeln im Wald von Nordmarka. Auf meinem Bildschirm sehe ich jetzt Punkte, die sich entlang von Waldwegen schlängeln. Einige ballen sich dort zusammen, wo ich eine Pause eingelegt habe. Wo ich zügig gelaufen bin, sind sie weiter voneinander entfernt. Es war ein heißer Spätsommersonntag. Die Pferdebremsen waren aktiv, besonders in den sumpfigen Abschnitten.
Wir neigen dazu, die meisten Orte zu vergessen, an denen wir gewesen sind und was wir dort gemacht haben. Dennoch reichen ein paar Hinweise aus, damit die Erinnerungen zurückkehren. Meine Schritte an diesem Sommersonntag zurückzuverfolgen, wurde wie das Blättern in einem alten Album, in dem jede Seite ihre eigene Geschichte enthält.
Das Komische ist, dass diese Daten von jemand anderem festgehalten werden. Meine Bewegungen. Es ist unheimlich, meinen eigenen Schritten zu folgen, auch wenn sie keine romantische Affäre, geheime Treffen oder peinliche Gesundheitsprobleme verraten. Die meisten von uns haben Momente in ihrem Leben, die sie nicht teilen wollen. Nicht einmal mit unseren engsten Vertrauten, unseren Chefs oder der Regierung.
Ich konnte den Datenfluss von mobilen Apps zu Venntel abbilden, aber ich habe immer noch eine Menge unbeantworteter Fragen. Welcher von Venntels Kunden hat die Informationen über mich erworben? Könnten es Unternehmen aus dem Verteidigungssektor, Geheimdienste oder das FBI sein?
Gravy Analytics hat auf unsere wiederholten Anfragen nicht reagiert. Die Tochtergesellschaft Venntel wollte weder telefonisch noch per E-Mail befragt werden.
In einer kurzen Stellungnahme behauptet Venntel, dass meine Telefonbewegungen nicht an ICE oder die United States Customs and Border Protection (CBP) weitergegeben wurden. Sie schreiben auch, dass sie keine Beziehung zu den App-Anbietern Sygic oder Lawiusz Fras haben. (NRK hat nie behauptet, dass sie eine direkte Beziehung haben, hat aber dokumentiert, dass das Unternehmen Informationen von diesen Apps über andere erhält.) "Wir werden uns nicht weiter zu unseren Geschäftsbeziehungen oder zur Auslegung von Gesetzen äußern", schreibt Venntel.
Die CBP erklärt in einem Statement gegenüber dem NRK, dass sie nur begrenzten Zugang zu den kommerziell verfügbaren Daten haben und diese im Einklang mit den relevanten Regeln und Vorschriften verwendet werden. (Die gesamte Erklärung finden Sie am Ende dieses Artikels.)
Der Pressesprecher der CBP, Jason Givens, antwortete nicht auf Nachfragen, welche Beschränkungen die CBP bei der Beschaffung von Daten über europäische Bürger oder Telefone, die sich außerhalb der US-Grenzzone befinden, hat.
FBI und ICE haben ebenfalls Verträge mit Venntel, aber sie haben nicht auf Fragen geantwortet, welche Möglichkeiten dies bietet, Europäer innerhalb und außerhalb Europas zu verfolgen.
Als Predicio am 11. August auf die Anfrage nach Zugang antwortete, erwähnten sie nichts über den Datenaustausch mit Venntel zwischen Februar und Juli. (Die Funny Weather-App wurde am 10. August installiert.) Predicio hat auf meine wiederholten Anfragen zu Interviews nicht reagiert.
Complementics-Mitbegründer Walter Harrison erklärt, dass meine Daten nur für Marketing-Analysen verwendet wurden. Harrison wollte nicht interviewt werden und beantwortete keine Fragen über die Beziehung zu Gravy Analytics. Als Vice Motherboard Harrison zu Gravy Analytics befragte, sagte dieser, dass sein Partner "sich vertraglich verpflichtet hat, keine Daten, die er von Complementics erhält, direkt oder indirekt an US-Regierungsgeheimdienste, Einwanderungsbehörden oder Strafverfolgungsbehörden weiterzugeben".
Zur Methodik: Der Artikel basiert auf einer Reihe von Subjektzugriffsanfragen, die an Unternehmen der Standortdatenbranche geschickt wurden. Die Anfragen basieren auf der von Michael Veale zur Verfügung gestellten Vorlage. Angehängt sind Teile der Antworten von Venntel (Erklärung, Metadaten, Beschreibung der Datenfelder, Daten), Gravy Analytics (Erklärung, Beschreibung der Datenfelder, Metadaten, Daten), Sygic (Erklärung, Daten), Predicio (Erklärung, Daten) und Complementics (Erklärung, Beschreibung der Datenfelder, Daten). Nur ein kleiner Teil der rohen Standortdaten wird freigegeben.
FBI: "Die Aufgabe des FBI ist es, das amerikanische Volk zu schützen und die Verfassung zu wahren. Diese Mission ist dual und simultan, nicht widersprüchlich, was bedeutet, dass ein Teil nicht auf Kosten des anderen gehen muss und darf. Alle Operationen des FBI werden in Übereinstimmung mit allen rechtlichen Anforderungen durchgeführt, einschließlich der Verfassung, dem Privacy Act von 1974, unserem Domestic Investigations Operations Guide, dem Justice Manual und den Standards, mit denen das amerikanische Volk vom FBI erwartet, dass es geschützt wird. Darüber hinaus unterliegen alle FBI-Operationen robusten Compliance-Mechanismen und der Aufsicht durch die drei Zweige der Regierung."
ICE: "U.S. Immigration and Customs Enforcement (ICE) hält sich an alle anwendbaren Datenschutzgesetze, -anleitungen und -richtlinien. Sie können die mit Venntel verbundenen Vertragsdokumente einsehen unter: FPDS. ICE untersteht Venntel in Bezug auf die Einhaltung der DSGVO."
CBP: "U.S. Customs and Border Protection kann Zugang zu kommerziell verfügbaren Informationen erhalten, die für seine Grenzsicherheitsmission relevant sind. In Übereinstimmung mit ihren Grenzsicherheits- und Strafverfolgungsbehörden hat die CBP einen begrenzten Zugang zu kommerziellen Telemetriedaten durch die Beschaffung einer begrenzten Anzahl von Lizenzen für eine vom Anbieter bereitgestellte Schnittstelle erworben.
Während die CBP Zugang zu Standortinformationen erhält, ist es wichtig zu beachten, dass diese Informationen keine Daten von Mobilfunkmasten enthalten, nicht in großen Mengen aufgenommen werden und nicht die Identität des einzelnen Benutzers enthalten. Vielmehr erhalten CBP-Beamte, Agenten und Analysten von Fall zu Fall Zugriff auf die Schnittstelle des Anbieters und können nur eine begrenzte Auswahl an anonymisierten Daten einsehen, die mit bestehenden Grenzsicherungs- oder Strafverfolgungsmaßnahmen vereinbar sind. Alle CBP-Operationen, bei denen kommerziell verfügbare Telemetriedaten verwendet werden können, werden im Rahmen der Verantwortung der CBP für die Durchsetzung des US-Gesetzes an der Grenze und in Übereinstimmung mit den relevanten rechtlichen, politischen und datenschutzrechtlichen Anforderungen durchgeführt."
