Die US-amerikanische Federal Trade Commission (FTC) gab am Montag bekannt, dass sie eine Klage gegen den Datenbroker Kochava Inc. wegen des Verkaufs von Geolokalisierungsdaten von „Hunderten Millionen mobiler Geräte“ eingereicht hat, die zur Verfolgung der Bewegungen von Personen verwendet werden könnten, darunter die zu und von sensiblen Orten. Insbesondere sagte die FTC, die Daten könnten die Besuche von Menschen an Orten wie Kliniken für reproduktive Gesundheit, häuslicher Gewalt oder Obdachlosenunterkünften, Suchtheilungszentren und Gotteshäusern aufdecken.
Diese persönlichen und privaten Informationen könnten Menschen „Drohungen von Stigmatisierung, Stalking, Diskriminierung, Arbeitsplatzverlust und sogar körperlicher Gewalt“ aussetzen, erklärte die FTC in eine Pressemitteilung.
Die Klage zielt darauf ab, die Datenerfassungspraktiken von Kochava mit sensiblen Geolokalisierungsdaten zu stoppen und fordert das Unternehmen auf, die bereits erfassten Daten zu löschen.
Seine Ankunft signalisiert außerdem, dass die FTC gegen mobile Datenbroker vorgeht, deren Unternehmen auf das Sammeln und Weiterverkaufen von Daten von den Smartphones der Verbraucher angewiesen sind – eine langjährige Branchenpraxis, die zahlreiche Auswirkungen auf den Datenschutz hat, den betroffenen Endbenutzern jedoch oft unbekannt ist. Der Schritt folgt auch einem deutlichen Umdenken bei der Nachverfolgung durch Apple. das sein mobiles Betriebssystem aktualisiert hat um es den Verbrauchern zu ermöglichen, sich von einigen Datenerfassungspraktiken pro App abzumelden.
Vor kurzem begann das US House Oversight Committee zu untersuchen, wie die Geschäftspraktiken von Periodenverfolgungs-Apps und Datenbrokern die privaten Gesundheitsdaten der Verbraucher in der Ära nach Roe v. Wade möglicherweise als Waffe nutzen könnten, berichtete Tech.
Das in Idaho ansässige Unternehmen Kochava ist kein bekannter Name, hat aber eine beträchtliche Präsenz in der Datenerfassungsbranche. Das Unternehmen ist ein Standortdatenmakler, der genaue Geolokalisierungsdaten von den Smartphones der Verbraucher bereitstellt und auch Daten von anderen Maklern kauft, um sie an Kunden weiterzuverkaufen. Diese Daten-Feeds werden häufig von Kunden verwendet, die Dinge wie den Laufverkehr in lokalen Geschäften oder anderen Standorten analysieren möchten. Diese Daten selbst sind hochpräzise – sie enthalten Dinge wie zeitgestempelte Breiten- und Längenkoordinaten, die den genauen Standort von Mobilgeräten anzeigen, die zusätzlich mit einer eindeutigen Kennung wie einer Geräte-ID sowie anderen Informationen wie einer IP-Adresse oder einem Gerätetyp verknüpft sind und mehr.
Diese Geräte-ID oder mobile Werbe-ID ist eine eindeutige Kennung, die dem mobilen Gerät eines Verbrauchers zugewiesen wird, um Vermarkter zu unterstützen, die beim Endbenutzer werben möchten. Obwohl Verbraucher diese ID jederzeit zurücksetzen können, müssen sie dies wissen und verstehen, wo in den Einstellungen ihres Geräts diese Option verfügbar ist.
Laut Kochavas eigener Produktbeschreibung, die in den Beschwerden der FTC zitiert wird, bietet das Unternehmen seinen Kunden „rohe Breiten-/Längengraddaten mit einem Volumen von über 94 Milliarden Geotransaktionen pro Monat, 125 Millionen aktiven Benutzern pro Monat und durchschnittlich 35 Millionen aktiven Benutzern pro Tag Beobachtung von mehr als 90 täglichen Transaktionen pro Gerät.“ Es verkauft seine Daten-Feeds auf Abonnementbasis auf öffentlich zugänglichen Websites, einschließlich auf dem AWS Marketplace, bis Juni 2022. Um auf den Feed zugreifen zu können, benötigt ein Käufer ein kostenloses AWS-Konto und 25.000 USD für das Abonnement des Kochava-Standortdaten-Feeds. Eine Datenprobe mit über 327 Millionen Zeilen und 11 Spalten mit Daten zu mehr als 61,8 Millionen einzelnen Mobilgeräten war ebenfalls verfügbar.
Diese Daten sind laut FTC nicht anonymisiert und können verwendet werden, um den Benutzer oder Besitzer des Mobilgeräts zu identifizieren. Dies ist möglich, weil andere Datenbroker speziell Dienste verkaufen, die diese mobilen Werbe-IDs mit Offline-Informationen wie Verbrauchernamen und Wohnadressen abgleichen.
Neben der Möglichkeit, Verbraucher zu verfolgen, die sensible Orte besuchen, stellte die FTC fest, dass die Daten verwendet werden könnten, um Rückschlüsse auf die LGBTQ+-Identifikation eines Verbrauchers oder Besuche anderer medizinischer Einrichtungen zu ziehen, die über diejenigen hinausgehen, die reproduktive Pflege anbieten. Es könnte auch verwendet werden, um diese Aktivität mit der Privatadresse einer Person zu verknüpfen.
Und angesichts der Umkehrung von Roe v. Wade weist die FTC darauf hin, dass diese Daten nicht nur dazu verwendet werden könnten, Personen zu identifizieren, die Kliniken für reproduktive Gesundheit aufsuchen, sondern auch medizinisches Fachpersonal, das Abtreibungsdienste durchführt oder bei der Durchführung unterstützt. Dies war das Thema der jüngsten Berichterstattung von Das Motherboard von VICE, aber es hatte sich auf einen anderen Datenbroker namens SafeGraph konzentriert. Der Broker stimmte im Juli zusammen mit Placer.ai zu, den Verkauf von Standortdaten von Personen, die Abtreibungskliniken besuchen, nach Senator Warren und 13 weiteren Senatoren einzustellen schrieb an die Unternehmen, um Antworten zu ihren Datenerfassungspraktiken zu erbitten, und forderte sie auf, den Verkauf von Daten im Zusammenhang mit Besuchen in Abtreibungskliniken einzustellen.
Im selben Monat sagte Google, es würde automatisch den Standortverlauf von „besonders persönlichen“ Orten aus den Konten der Benutzer entfernen, darunter Abtreibungskliniken, Unterkünfte, Suchtbehandlungszentren und andere. Es riet seinen Fitbit-Benutzern auch, wie sie ihre Protokolle manuell löschen können.
Die FTC beabsichtigt, Kochava aufgrund zahlreicher Verstöße gegen das FTC-Gesetz strafrechtlich zu verfolgen, darunter solche, die den unlauteren Verkauf sensibler Daten und Verbraucherschäden betreffen. Es strebt eine dauerhafte einstweilige Verfügung an, um künftige Verstöße zu verhindern, sowie weitere vom Gericht festgelegte Abhilfemaßnahmen.
„Wo Verbraucher medizinische Versorgung suchen, Beratung erhalten oder ihren Glauben feiern, sind private Informationen, die nicht an den Meistbietenden verkauft werden sollten“, sagte Samuel Levine, Direktor des Verbraucherschutzbüros der FTC, in a Aussage. „Die FTC bringt Kochava vor Gericht, um die Privatsphäre der Menschen zu schützen und den Verkauf ihrer sensiblen Geolokalisierungsinformationen zu stoppen.“
Die Abstimmung der Kommission zur Genehmigung der Einreichung der Beschwerde gegen Kochava war 4-1, wobei Kommissar Noah Joshua Phillips der einzige war, der mit Nein stimmte.
Die Nachricht von dieser jüngsten Aktion ist nicht überraschend. Die Agentur hatte warnte Unternehmen im Juli Es plante, das Gesetz über die illegale Nutzung und Weitergabe sensibler Verbraucherdaten durchzusetzen, und sagte diesen Monat, dass dies der Fall sei Erforschen neuer Regeln das würde weiter gegen Unternehmen vorgehen, die „Informationen über Menschen sammeln, analysieren und davon profitieren“.
Dies ist jedoch auch nicht die erste Maßnahme der FTC, die sich direkt an ein Unternehmen richtet, das an der Erfassung sensibler Daten beteiligt ist. Im vergangenen Jahr war die FTC gegen die Fertilitäts-Tracking-App Flo vorgegangen, weil sie sensible Daten an Dritte weitergegeben hatte. Die App erhielt keine Geldstrafe, war aber bemerkenswert, weil die Regulierungsbehörde zum ersten Mal die Benachrichtigung über eine Datenschutzklage dieser Art angeordnet hatte.
Kochava sagte, es werde seine Erklärung heute um 14:30 Uhr EDT veröffentlichen. Wir werden dann mit seiner Antwort aktualisieren.
„Das Sammeln unseres Standortverhaltens ist zu einem wichtigen Mittel geworden, mit dem Apps, Mobilfunkanbieter und andere „Location Intelligence“-Unternehmen unsere Informationen monetarisieren“, bemerkte Jeff Chester, Executive Director bei Digital Rights and Consumer Protection Advocate Zentrum für digitale Demokratie, in einer Erklärung nach der Ankündigung der FTC. „Die FTC sagt, dass Informationen über die Orte, die wir besuchen, sensible Daten sind und nicht so verwendet werden können, wie es das Überwachungsmarketinggeschäft erwartet. Mit einer überparteilichen Abstimmung, die die Klage unterstützt, zeigt die heutige Kommissionsklage, dass Datenschutz ein Schlüsselthema für beide Parteien ist. Es macht die Daten- und Plattformindustrie darauf aufmerksam, dass sie einen ernsthaften Kampf vor sich hat“, sagte er.