US-Bundeskommunikationsbehörde FCC verhängt Geldbußen gegen große Mobilfunkanbieter wegen Weitergabe von Standortdaten

 (docs.fcc.gov)
1 Punkte von GN⁺ 2024-04-30 | 1 Kommentare | Auf WhatsApp teilen
  • Die FCC verhängt gegen AT&T, Sprint, T-Mobile und Verizon Geldbußen von insgesamt fast 200 Millionen US-Dollar, weil sie Standortinformationen illegal ohne Zustimmung der Kunden an Dritte weitergegeben haben
    • Sprint und T-Mobile fusionierten nach Beginn der Untersuchung und sehen sich Geldbußen von jeweils 12 Millionen US-Dollar und 80 Millionen US-Dollar gegenüber
    • Gegen AT&T wurden mehr als 57 Millionen US-Dollar, gegen Verizon rund 47 Millionen US-Dollar verhängt

Verstoß gegen die Pflicht zum Schutz von Kundendaten

  • Eine Untersuchung des FCC Enforcement Bureau ergab, dass jeder Anbieter den Zugang zu den Standortinformationen von Kunden an "Aggregatoren" verkaufte, die diesen Zugang wiederum an externe Anbieter standortbasierter Dienste weiterverkauften
  • Jeder Anbieter versuchte, die Pflicht zur Einholung der Kundenzustimmung auf nachgelagerte Empfänger der Standortdaten abzuwälzen, was bedeutete, dass in den meisten Fällen keine wirksame Kundenzustimmung eingeholt wurde
  • Dieses anfängliche Versäumnis wurde noch verschärft, als die Anbieter auch nach der Erkenntnis, dass die Sicherheitsvorkehrungen wirkungslos waren, weiterhin Zugang zu Standortinformationen verkauften, ohne angemessene Maßnahmen zum Schutz vor unbefugtem Zugriff zu ergreifen

Pflicht zum Schutz von Kundeninformationen nach Section 222 des Communications Act

  • Nach Gesetzen einschließlich Section 222 des Communications Act müssen Anbieter angemessene Maßnahmen ergreifen, um bestimmte Kundeninformationen einschließlich Standortdaten zu schützen
  • Außerdem müssen Anbieter die Vertraulichkeit von Kundeninformationen wahren und eine aktive sowie ausdrückliche Zustimmung der Kunden einholen, bevor sie diese Informationen verwenden, offenlegen oder Zugriff darauf gewähren
  • Diese Pflichten gelten in gleicher Weise auch dann, wenn Anbieter Kundeninformationen mit Dritten teilen

Aussagen von Loyaan A. Egal, Leiter des FCC Enforcement Bureau

  • "Der Schutz und die Nutzung sensibler personenbezogener Daten wie Standortinformationen sind unantastbar"
  • "Wenn sie in die falschen Hände geraten oder für böswillige Zwecke verwendet werden, bringen sie uns alle in Gefahr"
  • "Da ausländische feindliche Akteure und Cyberkriminelle der Beschaffung dieser Informationen Priorität eingeräumt haben, ist es die oberste Priorität des Enforcement Bureau sicherzustellen, dass Dienstanbieter angemessene Schutzvorkehrungen zum Schutz der Standortdaten ihrer Kunden treffen und eine wirksame Zustimmung für deren Nutzung einholen"

2020 erlassene Notices of Apparent Liability (NAL) im Februar nun endgültig bestätigt

  • Die heute bekannt gegebenen Forfeiture Orders bestätigen die im Februar 2020 gegen diese Anbieter erlassenen Forfeiture Orders endgültig
  • Die Höhe der Geldbußen gegen AT&T und Sprint blieb seit der NAL-Phase unverändert
  • Die Geldbußen gegen T-Mobile und Verizon wurden nach zusätzlicher Prüfung der Eingaben der Parteien zur NAL reduziert
  • Das Gesetz erlaubt nach Erlass einer NAL keine Erhöhung der Geldbußen für bestimmte Verstöße

Meinung von GN⁺

  • Dass die Mobilfunkanbieter sensible Standortdaten ihrer Kunden unbefugt offengelegt und nicht einmal angemessene Schutzvorkehrungen zu ihrer Verhinderung eingerichtet haben, ist ein sehr ernstes Problem. Das gilt umso mehr, weil ausländische feindliche Akteure und Cyberkriminelle gezielt an solchen Informationen interessiert sind
  • Allerdings wirkt diese Maßnahme deutlich verspätet. Offenbar wurden die Geldbußen bereits 2020 angekündigt, doch die endgültige Entscheidung fiel erst vier Jahre später, was problematisch erscheint. Beim Schutz von Kundendaten scheinen schnelle und harte Maßnahmen erforderlich zu sein
  • Andererseits könnten Geldbußen in dieser Höhe für Anbieter dieser Größenordnung keinen großen Schlag bedeuten. Um erneute Datenschutzverletzungen bei Kundendaten zu verhindern, könnten stärkere Sanktionsmittel nötig sein
  • Inländische Telekommunikationsanbieter sollten diesen Fall als Warnung verstehen, ihre Schutzvorkehrungen für Kundendaten weiter zu verstärken und die einschlägigen Vorschriften strikt einzuhalten. Besonders bei sensiblen Informationen wie Standortdaten ist noch größere Sorgfalt erforderlich

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-04-30
Hacker-News-Kommentare

Hier ist eine Zusammenfassung der wichtigsten Punkte aus den Hacker-News-Kommentaren, als Aufzählungsliste in Markdown formatiert:

  • Das Kernproblem ist Transparenz:

    • Nutzer wollen sehen, an wen Unternehmen ihre Informationen verkauft oder weitergegeben haben und welche Einschränkungen für diese Weitergabe gelten.
    • Wenn ein Unternehmen Nutzerdaten sammelt und einer anderen Partei Zugriff gewährt, sollte es die Nutzer informieren und es einfach machen, dies zu blockieren.
    • Der meiste Missbrauch persönlicher Daten würde verschwinden, wenn Menschen wüssten, dass er stattfindet.

  • Die Geldbuße von 200 Mio. US-Dollar ist für diese Mobilfunkanbieter unbedeutend:

    • Es würde bei den zusammengerechneten Tageseinnahmen von T-Mobile, AT&T und Verizon nur ungefähr 9 Stunden dauern, um 196 Millionen US-Dollar Umsatz zu erzielen.
    • Wahrscheinlich wird sich nichts ändern, außer dass der Datenschutzrichtlinie eine Fußnote hinzugefügt wird.

  • Bedenken hinsichtlich der Wirksamkeit der Maßnahmen der FCC:

    • Ohne ein separates Opt-out könnten die Anbieter einfach „Weitergabe von Standortdaten“ in die EULA/Datenschutzrichtlinie aufnehmen und mit der „Einwilligung“ weitermachen.
    • Das wirkt wie ein vorübergehendes Hindernis, das langfristig nichts ändert.

  • Positive Reaktionen auf das Vorgehen der FCC:

    • Einige freuen sich, dass die FCC handelt, und ermutigen sie, damit weiterzumachen.

  • Fragen dazu, ob Strafverfolgungsbehörden richterliche Anordnungen umgehen:

    • Es gibt Bedenken, dass US-Strafverfolgungsbehörden solche kommerziellen Daten kaufen könnten, um die Notwendigkeit einer richterlichen Anordnung zu umgehen.

  • Zugehöriges Startup bietet Mobilfunkdienst ohne persönliche Daten an:

    • Cape hat 61 Mio. US-Dollar von A16Z und anderen für einen Mobilfunkdienst eingesammelt, der keine persönlichen Daten nutzt.

  • Vergleich mit dem Überwachungsskandal um AT&T/NSA:

    • Manche fragen, ob jemals jemand mit einer Geldbuße belegt wurde, weil AT&T der NSA erlaubt hat, alle entschlüsselten Netzwerkdaten anzuzapfen, was noch schwerwiegender erscheint.

  • Fragen zu den Auswirkungen auf Aggregatoren für Standortdaten:

    • Einige sind neugierig, ob jemand, der Anbieter wie Zumigo, LocationSmart oder Microbilt nutzt, in diesem Zusammenhang schwächere Datensignale oder eine geringere Verfügbarkeit bemerkt hat.
    • Es wird erwartet, dass Tracking-Quellen weiterhin verfügbar sein werden, aber mit neuen „transparenteren“ Offenlegungen.

  • Die Frage, ob Google Fi Standortdaten von Nutzern verkauft:

    • Ein Kommentator fragt sich, ob Googles eigener Mobilfunkdienst Google Fi die Echtzeit-Standortdaten seiner Nutzer verkauft.