Ich halte mich eine ziemlich datenschutzbewusste Person, die sich alle Mühe gibt, Online-Tracking zu umgehen, und zum größten Teil Spam-Mails vermeidet. Aber als ich auf der Website eines Unternehmens, von dem ich noch nie gehört hatte, auf meine Privatadresse starrte, wusste ich, dass ich einen Fehler gemacht hatte.
Ein paar Tage bevor unsere Miete Ende April fällig war, erhielt mein Partner eine E-Mail vom Eigentümer unseres Wohnhauses über eine neue Möglichkeit, Miete zu zahlen und gleichzeitig Prämienpunkte zu sammeln, wie z. B. ein Treueprogramm. Es war ein gutes Angebot in einer Zeit, in der die Mieten Rekordhöhen erreichten, also klickte sie und es lud die Website des Mietprämienunternehmens Bilt Rewards und zeigte gut sichtbar ihren vollständigen Namen und unsere Wohnungsnummer an.
Das war schon ziemlich alarmierend. Unser Wohnhaus hatte ihre Informationen an Bilt weitergegeben und wir starrten sie jetzt auf seiner Website an. Ich habe nie die E-Mail erhalten, die mein Partner erhalten hat. Aber ich war neugierig, hatte Bilt auch meine Informationen?
Jedes Mal, wenn sie auf den Link in der E-Mail klickte, öffnete sich dieselbe personalisierte Bilt-Webseite mit ihrem Namen und ihrer Wohnungsnummer, da die Webseite ihre Informationen über eine API direkt von Bilts Servern abholte. (Eine API ermöglicht es zwei Dingen, über das Internet miteinander zu kommunizieren, in diesem Fall den Servern von Bilt, die unsere Informationen und seine Website speichern.) Sie können dies mit den Entwicklertools des Browsers sehen, es sind keine ausgefallenen Tricks erforderlich. Mit den Tools des Browsers konnten Sie auch sehen, dass die Website auch den Namen des Wohnhauses, in dem wir leben, abgerufen hat, obwohl er nicht auf Bilts Website angezeigt wurde.
Im besten Fall war dies ein grober Versuch, eine Anmeldeseite zu personalisieren, und im schlimmsten Fall war es ein Verstoß gegen unsere Privatadresse. Es war jedoch auch möglich, dieselben Informationen direkt von Bilts Servern abzurufen, indem nur ihre E-Mail-Adresse verwendet wurde – es war kein spezieller E-Mail-Link erforderlich – was, wie für viele von uns, deren E-Mail-Adressen öffentlich sind, leider nicht viel Rätselraten erfordern würde.
Ich habe meine E-Mail-Adresse eingegeben und die Seite hat meinen Namen, den Namen des Gebäudes und die Wohnungsnummer zurückgegeben, genau wie die Informationen meines Partners. Wie war es für ein Startup möglich, von dem ich bis zu diesem Zeitpunkt noch nichts gehört hatte, an meine Privatadresse zu gelangen und sie preiszugeben?
Ich bin einer von etwa 50 Millionen Mietern in den Vereinigten Staaten. Ich lebe mit meinem Partner und unseren beiden Katzen etwas außerhalb von New York City in einem Apartmentgebäude von Equity Residential, einem der größten Vermieter von Unternehmen in den USA mit mehr als 80.000 Mietwohnungen unter seiner Verwaltung. Schon damals ist Equity einer von etwa 20 Vermietern von Unternehmen, darunter Blackstone, AvalonBay und Starwood, die über zwei Millionen Haushalte bewirtschaften etwa 4 % aller Mietwohnungen in den USA.
Betreten Sie Bilt, eines von vielen Startups, die dank des jüngsten Booms im Bereich der Immobilientechnologie oder Proptech, wie es weithin bekannt ist, entstanden sind. Bilt wurde im Juni 2021 vom Unternehmer Ankur Jain gegründet und lässt Mieter bei jeder Mietzahlung Prämien verdienen. Durch Partnerschaften mit den meisten der größten Unternehmenseigentümer bietet Bilt sein Mietprämienprogramm jetzt mehr als zwei Millionen Mietwohnungen in den USA an, darunter auch Wohnungen wie meine, die sich im Besitz von Equity befinden.
Ich dachte zunächst, dass dies wie jede andere Geschichte von Datenschutzverletzungen ist, die ich in der Vergangenheit behandelt habe, und wollte wissen, wer sonst noch betroffen ist.
Mein erster Anruf galt einem Nachbarn im selben Gebäude, der, als er erfuhr, dass Bilts Website meine Adresse durchsickern ließ, sich bereit erklärte, nachzusehen, ob er ebenfalls betroffen war. Ich zückte meinen Laptop und wir gaben seine E-Mail-Adresse in Bilts API ein, die sofort seinen Namen, den Gebäudenamen und seine Wohnungsnummer zurückgab; sein Gesicht wechselte von Beklommenheit zu Entsetzen, so wie ich es früher am Tag getan hatte.
Mein zweiter Anruf galt Ken Munro, Gründer des britischen Cybersicherheitstestunternehmens Pen Test Partners, ein Name, den Sie vielleicht aus früheren Begegnungen mit undichten Onlinediensten wie Peloton-Fahrrädern, Smartphone-Apps und gelegentlichem Sexspielzeug kennen. Ohne mein Wissen hat einer seiner Kollegen in den USA eine Wohnung in meinem Gebäude und bestätigte mir, dass die Details seiner Privatadresse auch von der API offengelegt wurden.
Jetzt sind wir bei vier Personen, deren Informationen von Bilts undichter Website preisgegeben wurden, nur weil sie ihre E-Mail-Adresse kannten.
Ich kontaktierte Bilt, dessen Antwort nicht großartig war.
„Die API, die Sie unten gesendet haben, funktioniert wie vorgesehen“, antwortete Jain, jetzt CEO von Bilt. (Jain erklärte seine E-Mail als „off the record“, was erfordert, dass beide Parteien den Bedingungen im Voraus zustimmen. Ich sagte Jain, dass wir seine Antworten veröffentlichen würden, da es keine Möglichkeit gab, abzulehnen.)
„Die einzige Ausnahme hiervon sind eine Handvoll Gebäude, die von Equity Residential betrieben werden, wo sie Bilt noch nicht in ihr Portal für einheimische Einwohner integriert haben“, sagte Jain. „Angesichts der geringen Anzahl von Gebäuden traf Equity jedoch die Risikoentscheidung, E-Mail-Einladungen und Zielseiten kurzfristig mit einem eher manuellen Ansatz zu versenden. Für diese kleine Gruppe von Pilotgebäuden benötigen Zielseiten, die mit dieser API generiert wurden, nur E-Mail“, sagte er.
Jain sagte, dass die von der API zurückgegebenen Informationen „über jede Suche nach öffentlichen Aufzeichnungen allgemein und leicht verfügbar sind“ und dass „über diese API keine privaten Informationen offengelegt werden, die nicht über diese öffentlichen Aufzeichnungen verfügbar sind“. (Jain und ich werden zustimmen müssen, anderer Meinung zu sein, da ich meine Privatadresse bis zu diesem Zeitpunkt weitgehend vom Internet ferngehalten hatte – und auf jeden Fall ist es keine Rechtfertigung, dies zu tun, nur weil die persönlichen Daten einer Person an einem Ort veröffentlicht werden woanders öffentlich.)
Marty McKenna, Sprecher von Equity, sagte auf Anfrage: „Wir wenden dieses Verfahren bei einer begrenzten Anzahl von Gebäuden an, während wir unsere Integration mit Bilt abschließen. Wir stimmen nicht zu, dass dies ein Sicherheitsproblem ist“, sagte McKenna.
McKenna lehnte es wiederholt ab zu sagen, wie viele Equity-Gebäude Bewohner hatten, deren Informationen offengelegt wurden. Aber meine eigenen durchgesickerten Informationen haben Hinweise hinterlassen, die darauf hindeuten, dass es sich bei der Zahl um mindestens 21 Eigenkapitalgebäude handeln könnte, die sich auf Tausende von Mietern belaufen. Auf die Frage nach der Anzahl der Gebäude bestreitet McKenna die Zahl nicht.
Bilt hat seine undichte API schließlich am 26. Mai eingesteckt, fast einen Monat, nachdem ich zum ersten Mal Kontakt aufgenommen hatte.
Aber es war immer noch nicht klar, wie Bilt überhaupt an meine Informationen kam, ohne dass in meinem unterschriebenen Mietvertrag die Datenerfassung oder -weitergabe erwähnt wurde.
McKenna löste dieses Rätsel, indem er mir sagte: „Equity Residential teilt Informationen mit Dienstanbietern, um unseren Bewohnern Dienstleistungen anbieten zu können. Unsere Befugnis dazu liegt in unseren Nutzungsbedingungen und Datenschutzrichtlinien, die auf unserer Website verfügbar sind.“
Die kurze Antwort lautet ja, die Datenschutzrichtlinie auf der Website, die niemand zu lesen glaubt – und ich auch nicht dachte. Von dem Moment an, in dem Sie ein Equity-Gebäude betreten, ist es Datenschutz-Bestimmungen ermöglicht eine breite Palette von Datenerfassungen, einschließlich Offline-Erfassungen, wie z. B. die Daten, die über Sie erfasst werden, wenn Sie einen Mietvertrag für eine Wohnung unterzeichnen. Und die meisten dieser Daten können aus einer Vielzahl von Gründen an Drittunternehmen weitergegeben werden, z. B. um Dienstleistungen im Namen von Equity anzubieten. Unternehmen wie Bilt, so die Richtlinie, „können Zugang haben [to personally identifiable information] um diese Dienstleistungen für uns oder in unserem Namen zu erbringen.“
Und es ist nicht nur auf Equity beschränkt. Viele der anderen Vermieter von Unternehmen verwenden in ihren Datenschutzrichtlinien eine ähnliche allgemeine Sprache, die ihnen einen großen Spielraum bei der Erfassung, Verwendung und Weitergabe oder dem Verkauf Ihrer persönlichen Daten gibt.
AvalonBay, das 79.000 Wohnungen an der gesamten US-Ostküste besitzt, verwendet dieselbe Wort-für-Wort-Sprache in seine Datenschutzerklärung über die Weitergabe persönlicher Informationen über seine Mieter an Dritte, mit denen es zusammenarbeitet. Das können Wäschedienste, Parkplatzanbieter oder – wie Bilt – Mietzahlungsabwickler sein. Und die Zahl der Drittparteien mit Zugriff auf Ihre personenbezogenen Daten kann sich schnell summieren.
Erin McElroy, Assistenzprofessorin am Department of American Studies an der University of Texas at Austin, deren Forschung Proptech und Wohnen umfasst, sagte gegenüber Tech, dass Wohnen eher als Ware denn als Recht oder soziales Gut behandelt wird. Da Mieter zunehmend als Verbraucher betrachtet werden, wird vieles von dem, was eine Person möglicherweise erlebt, wenn sie ein bestimmtes Produkt oder eine bestimmte Dienstleistung nutzt, jetzt auch als Mieter erlebt. „Das ist strategisch und untrennbar mit der Korporatisierung und Finanzialisierung des Wohnungsbaus verbunden, dass Mieter sich sicherlich nicht als Verbraucher betrachten und das Kleingedruckte in ihren Mietverträgen lesen und sich vorstellen, dass so etwas passieren könnte“, sagte McElroy.
Einige Datenschutzrichtlinien gehen noch weiter. GID, die mehr als 86.000 Wohneinheiten besitzt, hat a Datenschutz-Bestimmungen die es ihm ausdrücklich erlaubt, umfangreiche Mengen an personenbezogenen Daten seiner Mieter an seine verbundenen Unternehmen, andere Verwaltungsgesellschaften und Datenbroker zu verkaufen, die Ihre Daten weiter sammeln, kombinieren und an andere verkaufen.
„Es ist sehr üblich, eine Datenschutzrichtlinie zu haben, die die Verwendung von Daten regelt“, sagte Lisa Sotto, Datenschutzanwältin und Partnerin bei Hunton Andrews Kurth, Tech in einem Telefonat. Sotto sagte, dass Datenschutzrichtlinien keine leeren Worte seien: „Sie werden von der Federal Trade Commission reguliert, und die FTC verbietet unlautere oder irreführende Handelspraktiken.“
Die FTC kann und tut dies manchmal auch gegen Unternehmen, die Daten missbrauchen oder schlechte Datensicherheitspraktiken anwenden, wie z. Wie Anwälte der Anwaltskanzlei Orrick schrieb: „Die Tatsache, dass Sie die Daten Ihrer Mieter verkaufen können, bedeutet nicht, dass Sie diese Daten verkaufen sollten.“
Es gibt jedoch keine Regeln, die die Weitergabe personenbezogener Daten eines Mieters speziell schützen.
Stattdessen ist es Sache jedes Staates, Gesetze zu erlassen. Nur eine Handvoll US-Bundesstaaten – Kalifornien, Connecticut, Colorado, Utah und Virginia – haben Datenschutzgesetze verabschiedet, die die Verbraucher in diesen Bundesstaaten schützen, sagte Sotto. Und zum Zeitpunkt des Schreibens ist nur das kalifornische Recht in Kraft.
Kalifornien war der erste US-Bundesstaat, der individuelle Datenschutzrechte erließ – ähnlich denen, die allen Europäern unter der DSGVO angeboten werden. Der California Consumer Privacy Act, kurz CCPA, trat im Januar 2020 in Kraft und gewährt den Kaliforniern das Recht auf Zugriff, Änderung und Löschung der Daten, die Unternehmen und Organisationen über sie sammeln. Der CCPA wurde datenhungrigen Unternehmen zu einem Dorn im Auge, weil das Gesetz sie dazu zwang, weitreichende Ausnahmen in ihre Datenschutzrichtlinien aufzunehmen, um den Kaliforniern das Recht zu geben, den Verkauf ihrer Daten an Dritte abzulehnen. Es erforderte auch oft, dass Unternehmen eine völlig separate Datenschutzrichtlinie für Einwohner Kaliforniens anbieten mussten, genau wie es die DSGVO Jahre zuvor getan hatte.
CCPA ist, wie die DSGVO, gelinde gesagt unvollkommen. Aber als erstes landesweites Datenschutzgesetz der USA hat es die Messlatte für andere Bundesstaaten gesetzt, denen sie folgen und sich im Idealfall im Laufe der Zeit verbessern können.
Virginia ist der nächste Bundesstaat mit einem Gesetz, das im Januar 2023 in Kraft treten soll. Kritiker haben die Gesetzesvorlage jedoch als „schwach“ bezeichnet, zusammen mit Berichten, dass der Text der Gesetzesvorlage war verfasst von Amazon- und Microsoft-Lobbyisten, die daran arbeiten, ihren Unternehmensinteressen zu dienen. Tech-Giganten unterstützen und drängen auf staatliche Datenschutzgesetze, wie die von Virginia, mit dem ultimatives Ziel, Bundesgesetzgebung zu veranlassen das würde schwächere pauschale Regeln in den USA schaffen, die das Flickenteppich der staatlichen Gesetze ersetzen würden – einschließlich Kaliforniens, wo die Regeln am strengsten sind.
Aber während ein Bruchteil der Amerikaner einigen Datenschutzgesetzen unterliegt, lebt die Mehrheit in Staaten, die wenig bis gar keinen Schutz vor der Weitergabe der Informationen einer Person haben.
„Es gibt wirklich einen Mangel an Rechtsvorschriften“, sagte McElroy. „Mieter erfahren in der Regel nichts darüber, welche Daten über sie erhoben werden. Sie haben nicht die Möglichkeit, zuzustimmen, und sie erhalten keinerlei Hinweise auf mögliche Schäden“, sagten sie.
Wäre ich in diese Wohnung gezogen, wenn ich gewusst hätte, dass mein Firmenvermieter meine personenbezogenen Daten an Dritte weitergeben würde, die wenig Wert darauf legen, sie zu schützen? Vielleicht nicht. Aber mit explodierende Mieten und trotz eines sich abzeichnenden globalen Wirtschaftsabschwungs Rekordgewinne von einigen der größten amerikanischen Unternehmensvermieter haben die Mieter möglicherweise keine große Wahl.
„Da der Wohnungsbau von diesen Konzernen weggefegt wird, gibt es in den meisten Städten eine Krise des bezahlbaren Wohnraums, und die Mieter können nicht zu wählerisch sein, wenn es darum geht, eine Mietwohnung zu finden“, sagte McElroy. „Oft sind Mieter gezwungen, auf die Suche nach einem Vermieter mit weniger missbräuchlichen Datenrichtlinien zu verzichten, nur weil es keine Optionen gibt.“
Wie also hat ein Technologie-Startup meine Privatadresse erhalten? Einfach und legal. Was das Auslaufen betrifft? Das ist einfach schlechte Sicherheit.
Mehr zu Tech: