- Ein FTC-Mitarbeiterbericht stellt fest, dass große Social-Media- und Video-Streaming-Dienste Verbraucher umfassend überwacht haben, um personenbezogene Daten zu monetarisieren, und dass Schutzvorkehrungen für Kinder und Jugendliche unzureichend waren
- Die Untersuchung basiert auf den Antworten auf 6(b)-Anordnungen, die die FTC im Dezember 2020 an neun Unternehmen schickte, und umfasst Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit und WhatsApp
- Die betroffenen Unternehmen konnten Daten von Nutzern und Nichtnutzern sowie Informationen von Datenbrokern sammeln und speichern; ihre Praktiken zur Datenminimierung, Aufbewahrung und Löschung wurden als äußerst unzureichend bewertet
- Das Geschäftsmodell vieler Unternehmen war auf zielgerichtete Werbung ausgerichtet und förderte dadurch die massenhafte Datensammlung; Daten wurden mit Tracking-Technologien wie Pixeln sowie in automatisierten Systemen und KI verwendet, während Nutzer kaum Widerspruchsmöglichkeiten hatten
- Der FTC-Mitarbeiterbericht empfiehlt ein bundesweites Datenschutzgesetz, Richtlinien für Datenminimierung und Aufbewahrung, Beschränkungen beim Tracking sensibler Informationen, mehr Transparenz und strengere Prüfungen automatisierter Systeme sowie einen erweiterten Schutz für Kinder und Jugendliche mit COPPA als Mindeststandard
Untersuchungsgegenstand und Umfang des Berichts
- Der FTC-Mitarbeiterbericht untersucht die Praktiken zur Datenerhebung und Datennutzung großer Social-Media- und Video-Streaming-Dienste
- Der Mitarbeiterbericht basiert auf den Antworten von neun Unternehmen auf die im Dezember 2020 erlassenen 6(b)-Anordnungen
- Untersucht wurden die folgenden neun Unternehmen und Dienste
- Amazon.com, Inc.: Eigentümer der Gaming-Plattform Twitch
- Facebook, Inc.: heute Meta Platforms, Inc.
- YouTube LLC
- Twitter, Inc.: heute X Corp.
- Snap Inc.
- ByteDance Ltd.: Eigentümer der Video-Sharing-Plattform TikTok
- Discord Inc.
- Reddit, Inc.
- WhatsApp Inc.
- Die FTC-Anordnungen prüften, wie Unternehmen mit personenbezogenen und demografischen Informationen umgehen
- Erhebung, Nachverfolgung und Nutzung personenbezogener und demografischer Informationen
- Art und Weise, wie Verbrauchern Werbung und Inhalte angezeigt werden
- Ob und wie Algorithmen oder Datenanalysen auf personenbezogene und demografische Informationen angewendet werden
- Auswirkungen dieser Praktiken auf Kinder und Jugendliche
Probleme bei Datenerhebung und Aufbewahrung
- Die untersuchten Unternehmen sammelten in großem Umfang personenbezogene Daten von Verbrauchern und monetarisierten diese in Milliardenhöhe pro Jahr
- FTC-Vorsitzende Lina M. Khan erklärte, dass diese Überwachungspraktiken die Privatsphäre bedrohen und Menschen verschiedenen Schäden aussetzen können, von Identitätsdiebstahl bis hin zu Stalking
- Die Unternehmen konnten folgende Daten sammeln und auf unbestimmte Zeit speichern
- Nutzerdaten
- Daten von Nichtnutzern der Plattform
- Informationen von Datenbrokern
- Weitreichende Praktiken der Datenweitergabe verstärkten die Bedenken, ob die Kontrolle und Aufsicht über die Datenverarbeitung ausreichend sind
- Die Praktiken bei Datenerhebung, Datenminimierung und Aufbewahrung wurden als „woefully inadequate“ bewertet
- Einige Unternehmen reagierten zwar auf Löschanfragen von Nutzern, löschten aber nicht alle Nutzerdaten
Werbemodell und automatisierte Systeme
- Die Geschäftsmodelle vieler Unternehmen waren darauf ausgelegt, Nutzerdaten zu monetarisieren, insbesondere über zielgerichtete Werbung, die den Großteil ihrer Umsätze ausmachte
- Diese Anreize stehen im Konflikt mit der Privatsphäre der Nutzer und können zu noch umfangreicherer Datenerhebung führen
- Einige Unternehmen nutzten datenschutzverletzende Tracking-Technologien wie Pixel, um Werbung auf Basis von Vorlieben und Interessen der Nutzer zu ermöglichen
- Personenbezogene Daten von Nutzern und Nichtnutzern wurden in verschiedene automatisierte Systeme eingespeist
- Algorithmen
- Datenanalysen
- KI
- Nutzer und Nichtnutzer hatten kaum oder gar keine Möglichkeit, der Verwendung ihrer Daten in automatisierten Systemen zu widersprechen
- Die Verfahren zur Überwachung und Prüfung des Einsatzes automatisierter Systeme unterschieden sich von Unternehmen zu Unternehmen und waren weder konsistent noch ausreichend
Schutz von Kindern und Jugendlichen und COPPA-Fragen
- Social-Media- und Video-Streaming-Dienste wurden als unzureichend beim Schutz von Kindern und Jugendlichen auf ihren Plattformen bewertet
- Der Bericht verweist auf Studien, wonach Social Media und digitale Technologien negative Auswirkungen auf die psychische Gesundheit junger Nutzer haben
- Viele Unternehmen behaupteten, es gebe keine Kinder auf ihren Plattformen, weil ihre Dienste nicht auf Kinder ausgerichtet seien oder weil sie die Erstellung von Kinderkonten nicht erlaubten
- Der FTC-Mitarbeiterbericht wertet dies als offensichtlichen Versuch, sich der Verantwortung nach der Children’s Online Privacy Protection Act Rule zu entziehen
- Social-Media- und Video-Streaming-Dienste behandelten Jugendliche häufig wie erwachsene Nutzer
- Die meisten Unternehmen erlaubten Jugendlichen die Nutzung ihrer Plattformen ohne Kontobeschränkungen
Auswirkungen auf den Wettbewerb und Empfehlungen der FTC
- Die Datenpraktiken der Unternehmen können sich auch auf den Wettbewerb auswirken
- Unternehmen, die erhebliche Mengen an Nutzerdaten anhäufen, können Marktmacht erlangen, was wiederum zu schädlichen Praktiken führen kann, bei denen die Datensammlung Vorrang vor der Privatsphäre der Nutzer hat
- Wenn der Wettbewerb zwischen Social-Media- und Video-Streaming-Diensten eingeschränkt ist, verringern sich auch die Wahlmöglichkeiten der Verbraucher
- Der FTC-Mitarbeiterbericht empfiehlt politischen Entscheidungsträgern und Unternehmen Folgendes
- Der Kongress sollte ein umfassendes bundesweites Datenschutzgesetz verabschieden, das Überwachung begrenzt, grundlegende Schutzmaßnahmen schafft und Verbraucherrechte an ihren Daten festschreibt
- Unternehmen sollten die Datenerhebung begrenzen und konkrete, durchsetzbare Richtlinien für Datenminimierung und Aufbewahrung einführen
- Die Weitergabe von Daten an Dritte und verbundene Unternehmen einschränken und Verbraucherdaten löschen, die nicht mehr erforderlich sind
- Datenschutzrichtlinien sollten klar, einfach und für Verbraucher leicht verständlich sein
- Unternehmen sollten mit datenschutzverletzenden Werbe-Tracking-Technologien keine sensiblen Informationen erfassen
- Richtlinien und Praktiken für Werbe-Targeting auf Basis sensibler Kategorien sorgfältig überprüfen
- Den Mangel an Nutzerkontrolle und Transparenz darüber beheben, wie Daten in automatisierten Systemen verwendet werden
- Strengere Test- und Überwachungsstandards für automatisierte Systeme anwenden
- Die Realität von Kindern auf den Plattformen nicht ignorieren, COPPA als Mindestanforderung betrachten und zusätzliche Sicherheitsmaßnahmen bereitstellen
- Jugendliche sind keine Erwachsenen und sollten daher stärkeren Datenschutz erhalten
- Der Kongress sollte ein bundesweites Datenschutzgesetz verabschieden, das die von COPPA nicht abgedeckte Schutzlücke für Jugendliche über 13 Jahren schließt
- Die FTC-Kommission beschloss die Veröffentlichung des Mitarbeiterberichts mit 5:0
- Chair Khan sowie die Commissioners Alvaro Bedoya, Melissa Holyoak und Andrew N. Ferguson veröffentlichten jeweils gesonderte Stellungnahmen
1 Kommentare
Meinungen auf Hacker News
Es fehlt eine Möglichkeit, die Haftung von Unternehmen zu erhöhen, die falsch mit Nutzerdaten umgehen.
Es kann nicht sein, dass ich Monate später per Post über ein Datenleck informiert werde, in dem sogar meine Sozialversicherungsnummer enthalten war, und das Einzige, was ich tun kann, ist, bei mehreren Auskunfteien eine Kreditsperre einzurichten.
Nachdem ich öffentlich ein Burnout und einen Absturz durchgemacht hatte, half mir ein Freund, Teilzeit bei einem Kreditkarten-Zahlungsabwickler zu arbeiten. Vor etwa zwei Monaten ließ der Chef, während ich nicht da war, einen Uber-Fahrer eine E-Mail verschicken, weil etwas erledigt werden musste. Das Ergebnis war, dass die gesamte Kundendatenbank mit Bankkonten, Sozialversicherungsnummern, Namen, Adressen und Finanzdaten an einen Kunden geschickt wurde.
Das wurde 11 Tage lang verschwiegen. Als ich davon erfuhr, sagte ich: „Das ist eine große Sache, und abgesehen von PCI sind wir gesetzlich verpflichtet, die betroffenen Kunden innerhalb von 45 Tagen zu benachrichtigen.“ Der Chef sagte aber: „Das werde ich nicht tun.“ Also reichte ich meine Kündigung ein und bin wieder arbeitslos.
Ich habe versucht, das Richtige zu tun, und suche jetzt dringend einen Job, während die Verursacher so tun, als sei nichts passiert, obwohl möglicherweise der gesamte Kundenstamm kompromittiert wurde. Strafen wird es wohl auch keine geben, solange ich es nicht bei PCI melde. Und selbst wenn ich es melde, bekomme ich dafür keine Entschädigung.
Ich verstehe nicht, warum das Management überall ständig zwielichtige Dinge tut. Ich will doch nur unter ehrlichen Leuten mit Linux und Rechenzentren arbeiten.
Mein großes Nebenprojekt ist noch nicht reif genug, um es frühzeitig zu veröffentlichen, und eigentlich wollte ich keine VCs oder Investoren an Bord holen, aber jetzt denke ich über einen Kompromiss nach.
https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
Ich glaube, ohne eine unabhängige Regulierungsbehörde, die die gesamte Tech-Branche regulieren kann, wird das schwierig. So wie die FDA entscheidet, welche Medikamente und Inhaltsstoffe zugelassen werden, könnte es auch eine Behörde geben, die die Risiken von Funktionen von Tech-Unternehmen für die psychische Gesundheit der Menschen bewertet.
Allerdings wird es für die Entstehung einer solchen Behörde wahrscheinlich eine Tragödie brauchen, ähnlich wie bei den Gründen, aus denen die FDA ursprünglich geschaffen wurde.
https://www.fda.gov/about-fda/fda-history/milestones-us-food...
Dass man das erst jetzt ernst nimmt und über Gegenmaßnahmen nachdenkt, ist 15 Jahre zu spät, aber besser spät als nie.
Als Nächstes müssen die Auskunfteien richtig unter Kontrolle gebracht werden.
Ich habe nie zugestimmt, dass sie meine Daten besitzen, sie haben sie alle geleakt, und jetzt schicken sie mir auch noch unerwünschte Werbemails. Das ist völlig daneben.
Um meine Kreditwürdigkeit zu sperren, muss ich zwangsläufig mit diesen Unternehmen eine Beziehung eingehen; wenn nicht, bin ich ihrem Wohlwollen ausgeliefert, wem auch immer sie meine Informationen ohne meine Erlaubnis weitergeben. Das ist wirklich absurd.
Ich finde es merkwürdig, dass Unternehmen wie Meta und Google Hunderte Milliarden Dollar wert sind, weil sie herausgefunden haben, wie sie auf legale Weise Datenbanken mit Informationen über dich füllen können.
Zu einer anderen Zeit in der Geschichte hätte man das wohl Überwachung genannt, aber sie haben einen legalen Weg gefunden, und jetzt ist es Hunderte Milliarden Dollar wert.
Technisch gesehen ist es trivial, Daten aus der Ferne aufzuzeichnen, solange Zustimmung vorliegt. Es fühlt sich an, als hätten wir eine imaginäre Mauer namens Gesetz errichtet, dann Milliarden dafür ausgegeben, Wege um diese Mauer herum zu bauen, und setzen das dann mit wirtschaftlichem Wohlstand gleich. Die Beziehung zwischen Streamingdiensten und Filesharing ist ähnlich.
Ich verstehe nicht, warum soziale Medien ständig einfach als Datenbank bezeichnet werden.
Lina Khan legt sich derzeit ordentlich ins Zeug. Sie scheint sich tatsächlich um Menschenrechte im Internet zu kümmern.
Facebook und YouTube sind Verteidiger, die den Willen und die Fähigkeit haben, sensible Kundendaten zu schützen. Wenn man die AshleyMadison-Dokumentation sieht: Trotz arroganter Missachtung der Privatsphäre der Kunden gab es kaum Verantwortung.
Am verwundbarsten sind Verbraucher bei solchen kleinen, unverantwortlichen Anbietern.
Wenn Trump Präsident wird, wird er sie entlassen; und selbst wenn Harris gewinnt, fürchte ich, dass Harris Khan opfern könnte, falls die Republikaner den Senat kontrollieren und sie einen Verhandlungschip für Bestätigungen braucht.
2016, Schneier on Security: „Data is a Toxic Asset“: https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...
Dieser Teil ist besonders problematisch:
„Viele Unternehmen betrieben umfassendes Data Sharing, was ernsthafte Bedenken aufwirft, ob die Kontrolle und Aufsicht über die Datenverarbeitung dieser Unternehmen ausreichend ist.“
Der vollständige Bericht[0] ist lesenswert. Man sollte sich nicht nur die Zusammenfassung ansehen.
„Diese Feststellungen sollten jedoch nicht isoliert betrachtet werden. Sie ergeben sich aus Geschäftsmodellen, die sich bei den neun Unternehmen kaum unterscheiden: dem Abschöpfen von Daten für zielgerichtete Werbung, algorithmisches Design und den Verkauf an Dritte. Da es kaum sinnvolle Schutzmechanismen gibt, haben Unternehmen einen Anreiz, immer invasivere Erfassungsmethoden zu entwickeln.“
[0]: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
Überwachung breitet sich wie Krebs aus. Sie frisst jeden Datenpunkt mit der Begründung „wir brauchen das eben“, wächst immer weiter und bringt dich am Ende um.
Man sollte auch Autohersteller auf die Liste setzen, die mit Kameras und Mikrofonen im Innenraum von Autos überwachen.
Details: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...