FCC verhängt 200 Millionen Dollar Geldbußen gegen große US-Telekommunikationsanbieter wegen unerlaubter Weitergabe von Standortdaten
(docs.fcc.gov)- Die FCC hat gegen AT&T, Sprint, T-Mobile und Verizon Geldbußen von insgesamt fast 200 Millionen US-Dollar bestätigt, weil Zugriffsrechte auf die Echtzeit-Standortdaten von Kunden ohne deren Einwilligung an Dritte weitergegeben wurden
- Die Telekommunikationsanbieter verkauften Zugriffsrechte auf Standortdaten an Aggregatoren, die diese wiederum an externe Anbieter standortbasierter Dienste weiterverkauften
- Zwar war die Einholung der Kundeneinwilligung an nachgelagerte Empfänger delegiert, doch in vielen Fällen wurde keine wirksame Einwilligung eingeholt, und die Schutzmaßnahmen waren unzureichend
- Die Geldbußen betragen mehr als 12 Millionen US-Dollar für Sprint, mehr als 80 Millionen US-Dollar für T-Mobile, mehr als 57 Millionen US-Dollar für AT&T und rund 47 Millionen US-Dollar für Verizon; Sprint und T-Mobile haben seit Beginn der Untersuchung fusioniert
- Section 222 des Communications Act verlangt den Schutz von Kundendaten einschließlich Standortinformationen sowie eine ausdrückliche Einwilligung; dieselben Pflichten gelten auch bei der Weitergabe an Dritte
Struktur des Verkaufs von Standortdaten und Höhe der Geldbußen
- Die FCC verhängte am 29. April 2024 Geldbußen gegen große US-Mobilfunkanbieter mit der Begründung, sie hätten Zugriffsrechte auf Standortdaten ihrer Kunden rechtswidrig weitergegeben
- Sprint: mehr als 12 Millionen US-Dollar
- T-Mobile: mehr als 80 Millionen US-Dollar
- AT&T: mehr als 57 Millionen US-Dollar
- Verizon: rund 47 Millionen US-Dollar
- Jeder Anbieter verkaufte Zugriffsrechte auf Standortdaten von Kunden an Aggregatoren, die diese wiederum an externe Anbieter standortbasierter Dienste weiterverkauften
- Die Anbieter versuchten, die Pflicht zur Einholung der Kundeneinwilligung an nachgelagerte Empfänger weiterzureichen, doch in vielen Fällen wurde keine wirksame Kundeneinwilligung eingeholt
- Selbst nachdem ihnen bekannt geworden war, dass die Schutzmaßnahmen nicht wirksam waren, setzten die vier Anbieter ihre Programme zum Verkauf von Zugriffsrechten auf Standortdaten fort, ohne angemessene Maßnahmen zur Verhinderung unbefugten Zugriffs zu ergreifen
- FCC Chairwoman Jessica Rosenworcel betonte, dass es sich dabei um sensible Informationen handelt, aus denen sich die Bewegungsprofile und die Identität von Kunden ableiten lassen
Anlass der Untersuchung und rechtliche Grundlage
- Die Untersuchung begann 2018 aufgrund eines öffentlichen Schreibens von Senator Ron Wyden und der Berichterstattung über damit verbundene Anwendungsfälle
- Laut den veröffentlichten Berichten konnte ein Sheriff in Missouri über einen von dem Anbieter von Gefängniskommunikationsdiensten Securus betriebenen Standortabfragedienst die Standorte mehrerer Personen verfolgen
- Die FCC kam zu dem Schluss, dass die vier Anbieter selbst nach Kenntnis des unbefugten Zugriffs keine angemessenen Schutzmaßnahmen eingeführt hatten, um zu überprüfen, ob Anbieter standortbasierter Dienste tatsächlich die Einwilligung der Kunden einholten
- Relevante Gesetze wie Section 222 des Communications Act verpflichten Telekommunikationsanbieter zu Folgendem
- angemessene Maßnahmen zum Schutz bestimmter Kundendaten einschließlich Standortinformationen
- Wahrung der Vertraulichkeit von Kundendaten
- Einholung einer ausdrücklichen und aktiven Kundeneinwilligung vor Nutzung, Offenlegung oder Gewährung von Zugriff auf die Daten
- Anwendung derselben Pflichten auch bei der Weitergabe von Kundendaten an Dritte
Bestätigung der Anordnungen und weitere Maßnahmen
- Die aktuellen Forfeiture Orders bestätigen die im Februar 2020 erlassenen Notices of Apparent Liability
- Die Geldbußen gegen AT&T und Sprint entsprechen denen in der NAL-Phase
- Die Geldbußen gegen T-Mobile und Verizon wurden nach zusätzlicher Prüfung der mit der NAL-Antwort eingereichten Unterlagen reduziert
- Das Gesetz erlaubt nach Erlass einer NAL keine Erhöhung der Einziehungsbeträge für bestimmte Verstöße
- Zugehörige Anordnungen:
- Die FCC Chairwoman richtete 2023 die Privacy and Data Protection Task Force ein; diese Einheit koordiniert innerhalb der Behörde Anforderungen in den Bereichen Regelsetzung, Durchsetzung und öffentliche Aufklärung zu Datenschutz und Datensicherheit
- Die FCC erklärte, die aktuelle Mitteilung sei eine informelle Bekanntgabe der Maßnahmen der Kommission; die offizielle Maßnahme sei die Veröffentlichung des vollständigen Kommissionsbeschlusses
1 Kommentare
Hacker-News-Meinungen
Der Kern ist Transparenz. Nicht eine „Datenschutzerklärung“, sondern ich möchte sehen können, an wen ein Unternehmen meine Daten verkauft oder weitergegeben hat und welche Beschränkungen für diesen Verkauf galten.
Das Konzept ist einfach: Wenn jemand meine Daten sammelt und anderen Akteuren zugänglich macht, muss er mich darüber informieren und es mir leicht machen, das einzusehen und zu blockieren. Wenn die Leute nur wüssten, was tatsächlich passiert, würde der Großteil des Missbrauchs personenbezogener Daten verschwinden.
Besser wäre es zwar, den Handel mit personenbezogenen Daten ganz abzuschaffen, aber als erster Schritt wären „massive Geldstrafen für Unternehmen, die nicht exakt nachverfolgen, welche Akteure Nutzerdaten berührt haben“ denkbar.
200 Millionen Dollar sind Kleingeld. Diese Telekommunikationsanbieter machen das seit langer Zeit, und es wird sich nichts ändern.
Bestenfalls kommt eine Fußnote in die Datenschutzerklärung.
Securus war ursprünglich ein Unternehmen, das vor allem im Umfeld von US-Gefangenen tätig war, sammelte dann aber Daten über alle und verpackte diese Fähigkeiten und Beziehungen als Service neu. Nach der FCC-Entscheidung scheint es inzwischen verschwunden zu sein, offenbar in einem unbeholfenen Versuch, weitere Klagen zu vermeiden.
https://securustechnologies.tech/investigative/investigation...
Technische Details zur Genauigkeit der Ortung gibt es noch nicht. Die Grenze, wo das Modem des Netzbetreibers endet und Firmware/Hardware beginnt, ist unscharf, möglicherweise mit Absicht. Dass Echtzeit-GPS-Koordinaten abgefragt werden konnten, ist unwahrscheinlich; sehr wahrscheinlich ist, dass anhand von Mobilfunkmasten die ASN abgefragt und ein ungefährer Bereich des Nutzerstandorts geliefert wurde.
Die FCC kassierte 200 Millionen Dollar Strafe, aber es gibt keine Gefängnisstrafen, und von diesen 200 Millionen Dollar gehen 0 Dollar an die Menschen, deren Privatsphäre verletzt wurde. Am Ende ist es ein ganz normaler Montag, wie immer.
Aktionäre mögen keine Situation, in der es heißt: „Wir wurden dafür bestraft, haben trotzdem weitergemacht, und jetzt müssen wir schon wieder zahlen.“ Außerdem sehen Behörden, Gerichte und Geschworene die Verteidigung „Wir wussten es nicht“ skeptischer, wenn ein Unternehmen für dasselbe Verhalten in der Vergangenheit tatsächlich schon bestraft wurde.
Ich habe früher bei einem Hedgefonds gearbeitet, der jeden Monat Handy-Ping-Daten zu 125 Millionen Amerikanern gekauft hat.
Alle möglichen Deep-Learning-Algorithmen analysierten Shopping, Lagerhäuser und andere Personenströme. Die Leute haben keine Ahnung, bis zu welchem Niveau private Investoren das verstehen. Es geht viel tiefer, als öffentliche Zahlen erkennen lassen, und einige der klügsten Menschen der Welt ziehen enorme Erkenntnisse aus den Alltagsgewohnheiten der Amerikaner. Praktisch jeder der Menschheit bekannte statistische Algorithmus wurde auf diese Daten angewendet.
Nehmen wir zum Beispiel an, jemand kauft alles bar, nutzt eine Prepaid-SIM und ein Handy, bei denen sein Name nicht in der Kaufhistorie auftaucht, und führt nichts aus, was er nicht direkt aus den Quellen kompiliert hat. Wenn man etwa NixOS auf dem Handy verwendet, sind die eigenen Daten dann nutzlos genug, um nicht in solchen Datensätzen zu landen? Oder ist man inzwischen so daran gewöhnt, sehr viele Datenpunkte zu verknüpfen, dass selbst Barzahlung kaum noch etwas bringt?
Gemessen am kombinierten Tagesumsatz von T-Mobile, AT&T und Verizon dauert es etwa 9 Stunden, um 196 Millionen Dollar einzunehmen.
Wenn man die kombinierten Tagesumsätze der drei Unternehmen mit 45,5 Millionen Dollar für T-Mobile, 125,6 Millionen Dollar für AT&T und 349,3 Millionen Dollar für Verizon annimmt, ergibt das insgesamt 520,4 Millionen Dollar. Teilt man das durch 24 Stunden, sind es 21,6 Millionen Dollar pro Stunde; teilt man die Strafe von 196 Millionen Dollar dadurch, kommt man auf etwa 9,07 Stunden.
Interessanter wäre es, auf den Gewinn zu schauen, der der tatsächlichen Auswirkung näherkommt.
Allein die Formulierung, dass „Zugriffsrechte auf Standortinformationen von Kunden ohne Zustimmung weitergegeben wurden“, scheint nicht zu verhindern, dass Telekommunikationsanbieter in ihre EULAs oder Datenschutzerklärungen, die niemand liest, einfach „Weitergabe von Standortdaten“ aufnehmen und dann behaupten, nun hätten sie eine Einwilligung eingeholt, und weitermachen.
Wenn nicht verlangt wird, eine separate Opt-out-Möglichkeit anzubieten, wirkt das langfristig wie eine temporäre Bremsschwelle, die letztlich nichts ändert.
Die Kommission hat anerkannt, dass allein eine vorherige Einwilligung zum Schutz von CPNI nicht ausreicht. Insbesondere Methoden wie „Pretexting“, bei denen sich jemand als bestimmter Kunde oder als befugte Person ausgibt, um rechtswidrig Kundendaten zu erhalten, können Anforderungen an eine vorherige Einwilligung umgehen.
Es kann ein Zusatz wie „zur Betrugsprävention und/oder zu anderen Zwecken“ dabeistehen, muss aber nicht. Bei Versicherern ist es genauso. Ich habe solche Klauseln schon gesehen und bin überzeugt, dass die Daten von Mobilfunkanbietern bezogen werden.
Kaufen US-Strafverfolgungsbehörden nicht solche kommerziellen Daten, um den Weg über einen Durchsuchungsbeschluss zu umgehen?
Wurde AT&T jemals dafür mit einer Geldbuße belegt, dass es der NSA erlaubt hat, den gesamten entschlüsselten Netzwerkdatenverkehr abzuhören? Das scheint deutlich schwerwiegender zu sein.
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
Verwandter Beitrag:
Cape hat von A16Z und anderen 61 Mio. Dollar für einen Mobilfunkdienst eingesammelt, der keine personenbezogenen Daten nutzt.
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
Das sind zivilrechtliche Sanktionen. Ich frage mich, innerhalb welcher Grenzen die FCC agiert – oder, falls es keine Grenzen gibt, in welchem Rahmen.
Hätte sie höhere Geldbußen verhängen können? Und ich frage mich auch, ob das Einfluss darauf hat, ob das DOJ strafrechtliche Schritte verfolgt.