1 Punkte von GN⁺ 2024-04-30 | 1 Kommentare | Auf WhatsApp teilen
  • Die FCC hat gegen AT&T, Sprint, T-Mobile und Verizon Geldbußen von insgesamt fast 200 Millionen US-Dollar bestätigt, weil Zugriffsrechte auf die Echtzeit-Standortdaten von Kunden ohne deren Einwilligung an Dritte weitergegeben wurden
  • Die Telekommunikationsanbieter verkauften Zugriffsrechte auf Standortdaten an Aggregatoren, die diese wiederum an externe Anbieter standortbasierter Dienste weiterverkauften
  • Zwar war die Einholung der Kundeneinwilligung an nachgelagerte Empfänger delegiert, doch in vielen Fällen wurde keine wirksame Einwilligung eingeholt, und die Schutzmaßnahmen waren unzureichend
  • Die Geldbußen betragen mehr als 12 Millionen US-Dollar für Sprint, mehr als 80 Millionen US-Dollar für T-Mobile, mehr als 57 Millionen US-Dollar für AT&T und rund 47 Millionen US-Dollar für Verizon; Sprint und T-Mobile haben seit Beginn der Untersuchung fusioniert
  • Section 222 des Communications Act verlangt den Schutz von Kundendaten einschließlich Standortinformationen sowie eine ausdrückliche Einwilligung; dieselben Pflichten gelten auch bei der Weitergabe an Dritte

Struktur des Verkaufs von Standortdaten und Höhe der Geldbußen

  • Die FCC verhängte am 29. April 2024 Geldbußen gegen große US-Mobilfunkanbieter mit der Begründung, sie hätten Zugriffsrechte auf Standortdaten ihrer Kunden rechtswidrig weitergegeben
    • Sprint: mehr als 12 Millionen US-Dollar
    • T-Mobile: mehr als 80 Millionen US-Dollar
    • AT&T: mehr als 57 Millionen US-Dollar
    • Verizon: rund 47 Millionen US-Dollar
  • Jeder Anbieter verkaufte Zugriffsrechte auf Standortdaten von Kunden an Aggregatoren, die diese wiederum an externe Anbieter standortbasierter Dienste weiterverkauften
  • Die Anbieter versuchten, die Pflicht zur Einholung der Kundeneinwilligung an nachgelagerte Empfänger weiterzureichen, doch in vielen Fällen wurde keine wirksame Kundeneinwilligung eingeholt
  • Selbst nachdem ihnen bekannt geworden war, dass die Schutzmaßnahmen nicht wirksam waren, setzten die vier Anbieter ihre Programme zum Verkauf von Zugriffsrechten auf Standortdaten fort, ohne angemessene Maßnahmen zur Verhinderung unbefugten Zugriffs zu ergreifen
  • FCC Chairwoman Jessica Rosenworcel betonte, dass es sich dabei um sensible Informationen handelt, aus denen sich die Bewegungsprofile und die Identität von Kunden ableiten lassen

Anlass der Untersuchung und rechtliche Grundlage

  • Die Untersuchung begann 2018 aufgrund eines öffentlichen Schreibens von Senator Ron Wyden und der Berichterstattung über damit verbundene Anwendungsfälle
  • Laut den veröffentlichten Berichten konnte ein Sheriff in Missouri über einen von dem Anbieter von Gefängniskommunikationsdiensten Securus betriebenen Standortabfragedienst die Standorte mehrerer Personen verfolgen
  • Die FCC kam zu dem Schluss, dass die vier Anbieter selbst nach Kenntnis des unbefugten Zugriffs keine angemessenen Schutzmaßnahmen eingeführt hatten, um zu überprüfen, ob Anbieter standortbasierter Dienste tatsächlich die Einwilligung der Kunden einholten
  • Relevante Gesetze wie Section 222 des Communications Act verpflichten Telekommunikationsanbieter zu Folgendem
    • angemessene Maßnahmen zum Schutz bestimmter Kundendaten einschließlich Standortinformationen
    • Wahrung der Vertraulichkeit von Kundendaten
    • Einholung einer ausdrücklichen und aktiven Kundeneinwilligung vor Nutzung, Offenlegung oder Gewährung von Zugriff auf die Daten
    • Anwendung derselben Pflichten auch bei der Weitergabe von Kundendaten an Dritte

Bestätigung der Anordnungen und weitere Maßnahmen

  • Die aktuellen Forfeiture Orders bestätigen die im Februar 2020 erlassenen Notices of Apparent Liability
    • Die Geldbußen gegen AT&T und Sprint entsprechen denen in der NAL-Phase
    • Die Geldbußen gegen T-Mobile und Verizon wurden nach zusätzlicher Prüfung der mit der NAL-Antwort eingereichten Unterlagen reduziert
    • Das Gesetz erlaubt nach Erlass einer NAL keine Erhöhung der Einziehungsbeträge für bestimmte Verstöße
  • Zugehörige Anordnungen:
  • Die FCC Chairwoman richtete 2023 die Privacy and Data Protection Task Force ein; diese Einheit koordiniert innerhalb der Behörde Anforderungen in den Bereichen Regelsetzung, Durchsetzung und öffentliche Aufklärung zu Datenschutz und Datensicherheit
  • Die FCC erklärte, die aktuelle Mitteilung sei eine informelle Bekanntgabe der Maßnahmen der Kommission; die offizielle Maßnahme sei die Veröffentlichung des vollständigen Kommissionsbeschlusses

1 Kommentare

 
GN⁺ 2024-04-30
Hacker-News-Meinungen
  • Der Kern ist Transparenz. Nicht eine „Datenschutzerklärung“, sondern ich möchte sehen können, an wen ein Unternehmen meine Daten verkauft oder weitergegeben hat und welche Beschränkungen für diesen Verkauf galten.
    Das Konzept ist einfach: Wenn jemand meine Daten sammelt und anderen Akteuren zugänglich macht, muss er mich darüber informieren und es mir leicht machen, das einzusehen und zu blockieren. Wenn die Leute nur wüssten, was tatsächlich passiert, würde der Großteil des Missbrauchs personenbezogener Daten verschwinden.

    • Alles sollte Opt-in sein. Die Last sollte beim Unternehmen liegen, nach dem Motto: „Wir möchten Ihre Daten teilen, und wenn Sie zustimmen, haben Sie diese Vorteile.“
    • Das sollte auch Unternehmen wie Facebook einschließen, die Daten analysieren und tiefere Rückschlüsse über mich ziehen. Ich sollte das Recht haben, alle Schlussfolgerungen zu sehen, die aus meinen Daten über mich gezogen wurden, damit ich falsche Annahmen korrigieren oder auch mehr über mich selbst erfahren kann.
    • Wenn man die Forderung „Ich möchte sehen, an wen ein Unternehmen meine Daten verkauft oder weitergegeben hat und welche Beschränkungen für diesen Verkauf galten“ weiterdenkt, wäre ein Gesetz, das Unternehmen verpflichtet, bei jeder Weitergabe personenbezogener Daten eine Custody Chain zu führen, vermutlich vergleichsweise wenig umstritten.
      Besser wäre es zwar, den Handel mit personenbezogenen Daten ganz abzuschaffen, aber als erster Schritt wären „massive Geldstrafen für Unternehmen, die nicht exakt nachverfolgen, welche Akteure Nutzerdaten berührt haben“ denkbar.
    • Es muss auch Alternativen geben, die Menschen tatsächlich nutzen können. Natürlich kann auch eine Blockierfunktion funktionieren, wenn sie existiert.
    • Der Kern ist nicht Transparenz, sondern Überwachung und Machtlosigkeit.
  • 200 Millionen Dollar sind Kleingeld. Diese Telekommunikationsanbieter machen das seit langer Zeit, und es wird sich nichts ändern.
    Bestenfalls kommt eine Fußnote in die Datenschutzerklärung.

    • Die Frage ist, wie viel sie mit dem Verkauf verdient haben. Wenn 200 Millionen Dollar deshalb Kleingeld sind, weil sie 200 Milliarden Dollar verdient haben, ist das wenig relevant. Wenn die tatsächlichen Einnahmen deutlich unter 200 Millionen Dollar lagen, werden sie damit aufhören.
    • Genauer gesagt war es ein Drittanbieter namens Securus, der mit Mobilfunkanbietern Verträge zum Kauf von Standortdaten geschlossen und ein umfassendes Produkt angeboten hat, mit dem sich praktisch alle verfolgen ließen.
      Securus war ursprünglich ein Unternehmen, das vor allem im Umfeld von US-Gefangenen tätig war, sammelte dann aber Daten über alle und verpackte diese Fähigkeiten und Beziehungen als Service neu. Nach der FCC-Entscheidung scheint es inzwischen verschwunden zu sein, offenbar in einem unbeholfenen Versuch, weitere Klagen zu vermeiden.
      https://securustechnologies.tech/investigative/investigation...
      Technische Details zur Genauigkeit der Ortung gibt es noch nicht. Die Grenze, wo das Modem des Netzbetreibers endet und Firmware/Hardware beginnt, ist unscharf, möglicherweise mit Absicht. Dass Echtzeit-GPS-Koordinaten abgefragt werden konnten, ist unwahrscheinlich; sehr wahrscheinlich ist, dass anhand von Mobilfunkmasten die ASN abgefragt und ein ungefährer Bereich des Nutzerstandorts geliefert wurde.
    • Zufällig habe ich E-Mails bekommen, dass Verizon pro Leitung um 5 Dollar erhöht und das Internet bei ATT teurer wird.
      Die FCC kassierte 200 Millionen Dollar Strafe, aber es gibt keine Gefängnisstrafen, und von diesen 200 Millionen Dollar gehen 0 Dollar an die Menschen, deren Privatsphäre verletzt wurde. Am Ende ist es ein ganz normaler Montag, wie immer.
    • Nicht die Summe ist der Kern, sondern die Tatsache, dass sie eine Strafe bekommen haben.
      Aktionäre mögen keine Situation, in der es heißt: „Wir wurden dafür bestraft, haben trotzdem weitergemacht, und jetzt müssen wir schon wieder zahlen.“ Außerdem sehen Behörden, Gerichte und Geschworene die Verteidigung „Wir wussten es nicht“ skeptischer, wenn ein Unternehmen für dasselbe Verhalten in der Vergangenheit tatsächlich schon bestraft wurde.
  • Ich habe früher bei einem Hedgefonds gearbeitet, der jeden Monat Handy-Ping-Daten zu 125 Millionen Amerikanern gekauft hat.
    Alle möglichen Deep-Learning-Algorithmen analysierten Shopping, Lagerhäuser und andere Personenströme. Die Leute haben keine Ahnung, bis zu welchem Niveau private Investoren das verstehen. Es geht viel tiefer, als öffentliche Zahlen erkennen lassen, und einige der klügsten Menschen der Welt ziehen enorme Erkenntnisse aus den Alltagsgewohnheiten der Amerikaner. Praktisch jeder der Menschheit bekannte statistische Algorithmus wurde auf diese Daten angewendet.

    • Ging es darum, den „Markt“ zu analysieren, also wie normale Menschen konsumieren?
    • Ich frage mich, wie weit man inzwischen darin ist, unterschiedliche Datensätze zu verknüpfen und zu deanonymisieren.
      Nehmen wir zum Beispiel an, jemand kauft alles bar, nutzt eine Prepaid-SIM und ein Handy, bei denen sein Name nicht in der Kaufhistorie auftaucht, und führt nichts aus, was er nicht direkt aus den Quellen kompiliert hat. Wenn man etwa NixOS auf dem Handy verwendet, sind die eigenen Daten dann nutzlos genug, um nicht in solchen Datensätzen zu landen? Oder ist man inzwischen so daran gewöhnt, sehr viele Datenpunkte zu verknüpfen, dass selbst Barzahlung kaum noch etwas bringt?
  • Gemessen am kombinierten Tagesumsatz von T-Mobile, AT&T und Verizon dauert es etwa 9 Stunden, um 196 Millionen Dollar einzunehmen.
    Wenn man die kombinierten Tagesumsätze der drei Unternehmen mit 45,5 Millionen Dollar für T-Mobile, 125,6 Millionen Dollar für AT&T und 349,3 Millionen Dollar für Verizon annimmt, ergibt das insgesamt 520,4 Millionen Dollar. Teilt man das durch 24 Stunden, sind es 21,6 Millionen Dollar pro Stunde; teilt man die Strafe von 196 Millionen Dollar dadurch, kommt man auf etwa 9,07 Stunden.

    • Die Rechnung ist falsch. Wenn der Tagesumsatz 520,4 Millionen Dollar beträgt, braucht man für 196 Millionen Dollar Umsatz weniger als einen halben Tag.
      Interessanter wäre es, auf den Gewinn zu schauen, der der tatsächlichen Auswirkung näherkommt.
  • Allein die Formulierung, dass „Zugriffsrechte auf Standortinformationen von Kunden ohne Zustimmung weitergegeben wurden“, scheint nicht zu verhindern, dass Telekommunikationsanbieter in ihre EULAs oder Datenschutzerklärungen, die niemand liest, einfach „Weitergabe von Standortdaten“ aufnehmen und dann behaupten, nun hätten sie eine Einwilligung eingeholt, und weitermachen.
    Wenn nicht verlangt wird, eine separate Opt-out-Möglichkeit anzubieten, wirkt das langfristig wie eine temporäre Bremsschwelle, die letztlich nichts ändert.

    • Es braucht ein Gesetz, das das Problem selbst angeht. Zum Beispiel sollte die Erhebung von Standortdaten nur erlaubt sein, wenn die erhebende Stelle oder der Dienst sie ausdrücklich benötigt und direkt nutzt; Weitergabe oder Verkauf sollten verboten werden.
    • Im längeren Dokument wird das behandelt: https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
      Die Kommission hat anerkannt, dass allein eine vorherige Einwilligung zum Schutz von CPNI nicht ausreicht. Insbesondere Methoden wie „Pretexting“, bei denen sich jemand als bestimmter Kunde oder als befugte Person ausgibt, um rechtswidrig Kundendaten zu erhalten, können Anforderungen an eine vorherige Einwilligung umgehen.
    • Fraglich ist auch, ob der Telekommunikationsanbieter noch gesondert etwas tun muss, wenn eine Bank in einen Kreditkartenantrag eine Einwilligung zu Standortdaten aufnimmt.
      Es kann ein Zusatz wie „zur Betrugsprävention und/oder zu anderen Zwecken“ dabeistehen, muss aber nicht. Bei Versicherern ist es genauso. Ich habe solche Klauseln schon gesehen und bin überzeugt, dass die Daten von Mobilfunkanbietern bezogen werden.
  • Kaufen US-Strafverfolgungsbehörden nicht solche kommerziellen Daten, um den Weg über einen Durchsuchungsbeschluss zu umgehen?

    • Ja.
  • Wurde AT&T jemals dafür mit einer Geldbuße belegt, dass es der NSA erlaubt hat, den gesamten entschlüsselten Netzwerkdatenverkehr abzuhören? Das scheint deutlich schwerwiegender zu sein.
    https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...

    • Wenn die NSA Gebühren dafür verlangen würde, Backups der Laufwerke aller Menschen wiederherzustellen, könnte sie sich wohl selbst finanzieren.
    • In diesem Fall haben beide Parteien für rückwirkende Immunität gestimmt.
    • Man kann die Rechnung an die NSA schicken.
  • Verwandter Beitrag:
    Cape hat von A16Z und anderen 61 Mio. Dollar für einen Mobilfunkdienst eingesammelt, der keine personenbezogenen Daten nutzt.
    https://news.ycombinator.com/item?id=40080673
    https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
    https://www.cape.co/

  • Das sind zivilrechtliche Sanktionen. Ich frage mich, innerhalb welcher Grenzen die FCC agiert – oder, falls es keine Grenzen gibt, in welchem Rahmen.
    Hätte sie höhere Geldbußen verhängen können? Und ich frage mich auch, ob das Einfluss darauf hat, ob das DOJ strafrechtliche Schritte verfolgt.