Die US-amerikanische Federal Communications Commission gab am Montag bekannt, dass sie gegen die vier großen US-Mobilfunkanbieter eine Geldstrafe von insgesamt rund 200 Millionen US-Dollar verhängt, weil sie die Echtzeit-Standortdaten von Kunden ohne deren Zustimmung „illegal“ weitergegeben und verkauft haben.
Die Strafe von AT&T beträgt mehr als 57 Millionen US-Dollar, die von Verizon fast 47 Millionen US-Dollar, die von T-Mobile mehr als 80 Millionen US-Dollar und die von Sprint mehr als 12 Millionen US-Dollar. laut Mitteilung der FCC.
„Unsere Kommunikationsanbieter haben Zugriff auf einige der sensibelsten Informationen über uns. Diese Betreiber haben es versäumt, die ihnen anvertrauten Informationen zu schützen. Hier geht es um einige der sensibelsten Daten, die sich in ihrem Besitz befinden: Echtzeit-Standortinformationen der Kunden, die offenbaren, wohin sie gehen und wer sie sind“, sagte FCC-Vorsitzende Jessica Rosenworcel in der Ankündigung.
Die FCC sagte, ihr Ermittlungszweig, das Enforcement Bureau, sei zu dem Schluss gekommen, dass die vier Unternehmen den Zugang zu den Standortdaten ihrer Kunden an Drittunternehmen verkauft hätten, die die FCC „Aggregatoren“ nannte, die wiederum die Standortdaten an andere Unternehmen weiterverkauften. Durch diese Reihe von Verkäufen und Weiterverkäufen entstand praktisch ein ganzer grauer Markt für die historischen und Echtzeit-Standortdaten von Mobilfunkteilnehmern. Die meisten Kunden hatten keine Ahnung, dass es einen solchen Markt für ihre Daten überhaupt gab, geschweige denn stimmten sie dem Verkauf ihrer Daten zu.
Mobilfunkanbieter sind gesetzlich verpflichtet, „die Vertraulichkeit solcher Kundeninformationen zu wahren und die ausdrückliche Zustimmung des Kunden einzuholen, bevor sie solche Informationen verwenden, offenlegen oder den Zugriff darauf gewähren“, schrieb die FCC.
Die Geldstrafen werden Jahre verhängt, nachdem Untersuchungen von Nachrichtenorganisationen ergeben hatten, dass die vier Fluggesellschaften diese Art von Daten unter anderem an Strafverfolgungsbehörden und Kopfgeldjäger weitergaben.
Im Jahr 2018 Die New York Times berichtete dass Strafverfolgungs- und Justizvollzugsbeamte in den gesamten USA ein Unternehmen namens Securus Technologies nutzten, um die Standorte von Personen zu verfolgen. Die Lösung von Securus basierte auf „einem System, das typischerweise von Vermarktern und anderen Unternehmen verwendet wird, um Standortdaten von großen Mobilfunkanbietern zu erhalten“, schrieb die NYT.
Das folgende Jahr, eine Motherboard-Untersuchung enthüllte, dass Kopfgeldjäger für nur 300 US-Dollar den Standort jedes Mobilfunkkunden geolokalisieren könnten. „Diese Überwachungsmöglichkeiten werden manchmal über Mundpropaganda-Netzwerke verkauft“, sagt Joseph Cox von Motherboard, der jetzt bei 404 Medienschrieb damals.
Die FCC schrieb, dass die vier Fluggesellschaften trotz dieser öffentlichen Berichte keine Sicherheitsvorkehrungen getroffen hätten, „um sicherzustellen, dass die Dutzenden von standortbezogenen Dienstanbietern mit Zugriff auf die Standortinformationen ihrer Kunden tatsächlich die Zustimmung der Kunden einholten“, und die Daten weiterhin verkauften .
Alle vier Fluggesellschaften kritisierten die Entscheidung und erklärten, sie beabsichtigen, Berufung einzulegen.
T-Mobile-Sprecherin Tara Darrow sagte in einer Erklärung: „Dieses branchenweite Programm für standortbasierte Aggregatoren von Drittanbietern wurde vor mehr als fünf Jahren eingestellt, nachdem wir Maßnahmen ergriffen hatten, um sicherzustellen, dass wichtige Dienste wie Pannenhilfe, Betrugsschutz und Notfallmaßnahmen bereitgestellt werden.“ würde nicht gestört werden.“
Darrow sagte, dass T-Mobile, das 2020 mit Sprint fusionierte, gegen die Entscheidung Berufung einlegen werde.
„Wir nehmen unsere Verantwortung für die Sicherheit der Kundendaten sehr ernst und haben die Verpflichtung der FCC zum Schutz der Verbraucher stets unterstützt, aber diese Entscheidung ist falsch und die Geldstrafe ist überhöht.“ Wir beabsichtigen, dagegen vorzugehen“, heißt es in der Erklärung.
AT&T-Sprecher Alex Byers sagte ebenfalls, das Unternehmen werde Berufung einlegen und sagte, dass die Entscheidung der FCC „sowohl rechtlicher als auch faktischer Begründetheit entbehre“.
„Es macht uns zu Unrecht für die Verletzung unserer vertraglichen Einwilligungspflichten durch ein anderes Unternehmen verantwortlich, ignoriert die unmittelbaren Schritte, die wir ergriffen haben, um die Versäumnisse dieses Unternehmens zu beheben, und bestraft uns perverserweise dafür, dass wir lebensrettende Ortungsdienste wie medizinische Notfallwarnungen und Pannenhilfe unterstützen, die das Unternehmen geleistet hat.“ Die FCC selbst hat zuvor dazu ermutigt. Wir gehen davon aus, gegen die Anordnung Berufung einzulegen, nachdem wir eine rechtliche Prüfung durchgeführt haben“, sagte Byers in einer an Tech gesendeten Erklärung.
Verizon-Sprecher Rich Young sagte, dass „die Anordnung der FCC sowohl sachlich als auch rechtlich falsch ist und wir planen, gegen diese Entscheidung Berufung einzulegen.“
„Als sich in diesem Fall ein Krimineller unbefugten Zugriff auf Informationen zu einer sehr kleinen Anzahl von Kunden verschaffte, haben wir den Betrüger schnell und proaktiv ausgeschaltet, das Programm abgeschaltet und dafür gesorgt, dass so etwas nicht noch einmal passieren kann“, sagte der Aussage gelesen. „Denken Sie daran, dass die Anordnung der FCC ein altes Programm betrifft, das Verizon vor mehr als einem halben Jahrzehnt eingestellt hat. Dieses Programm erforderte eine positive Zustimmung des Kunden und sollte Dienste wie Pannenhilfe und medizinische Warnungen unterstützen.“