Datenbroker verkauft Fluginformationen an US-Zoll und Einwanderungsbehörde

 (eff.org)
1 Punkte von GN⁺ 2025-07-15 | 1 Kommentare | Auf WhatsApp teilen
  • Datenbroker verkaufen persönliche flugbezogene Informationen an den US-Zoll (CBP) und die Einwanderungs- und Zollbehörde (ICE)
  • Kürzlich wurde aufgedeckt, dass die Airlines Reporting Corporation (ARC) Reisedaten von Reisenden sammelt und mit Regierungsbehörden teilt
  • Informationen werden ohne Zustimmung der Nutzer verkauft, was zu Problemen beim Schutz der Privatsphäre und zur Umgehung verfassungsmäßiger Rechte führt
  • Auch sensible Standortdaten, Internetnutzungsprotokolle und Versorgungsdaten werden in ähnlicher Weise gesammelt und an Strafverfolgungsbehörden weitergegeben
  • Um dieses Problem zu lösen, wächst der Bedarf an starker Datenschutzgesetzgebung wie dem Gesetz „Privacy First“ und dem „Fourth Amendment is Not For Sale Act“

Datenbroker und der Verkauf persönlicher Daten

  • Datenbroker nutzen seit Langem Schlupflöcher im Datenschutzrecht, um Informationen über Nutzer zu sammeln
  • Sie verkaufen sensible Daten wie Standortinformationen ohne unsere Zustimmung, zu ihren wichtigsten Kunden gehören Strafverfolgungsbehörden
  • Dieser Datenmarkt ist so aufgebaut, dass jeder mit dem Sammeln persönlicher Daten Geld verdienen kann, was ihn auch für Regierungsbehörden attraktiv macht, die Gesetze umgehen wollen

Der Fall ARC und der Verkauf von Flugdaten

  • Laut Enthüllungen von 404 Media und anderen Medien ist die Airlines Reporting Corporation (ARC) ein Datenbroker, der von mindestens acht großen US-Fluggesellschaften besessen und betrieben wird
  • Das Unternehmen sammelt bei United Airlines, American Airlines und anderen sensible Ticketdaten wie Passagierlisten, vollständige Reiseverläufe und Zahlungsinformationen und hat diese heimlich an den US-Zoll (CBP) verkauft
  • Datenbroker verwenden sogar Methoden zur Verschleierung der Datenquelle, um zu verhindern, dass Regierungsbehörden diese Quelle offenlegen
  • Dadurch erhält die Regierung ohne richterliche Verfahren wie Durchsuchungsbeschlüsse Zugang zu Informationen, und weil auch die Herkunft verborgen wird, entstehen Probleme durch Eingriffe in die Privatsphäre und die Umgehung von Rechten

Travel Intelligence Program (TIP) und seine Auswirkungen

  • Das Travel Intelligence Program (TIP) von ARC aggregiert mehr als eine Milliarde Flugreisedatensätze über einen Zeitraum von 39 Monaten in Vergangenheit und Zukunft
  • CBP erklärte in internen Berichten, solche Informationen seien notwendig, um die Identifizierung von Personen zu unterstützen, die für lokale Polizeibehörden und Staatspolizeien von Interesse sind
  • In einer Situation, in der in den USA die Einwanderungsdurchsetzung sowie unangemessene Kontrollen und Durchsuchungen zunehmen, wächst jedoch das Risiko, dass diese Informationen auch unschuldige Reisende unter Verdacht geraten lassen

Der Einfluss von ARC und die Beteiligung der Fluggesellschaften

  • Über ARC werden mehr als 54 % der weltweiten Fluginformationen verarbeitet, und mehr als 200 Fluggesellschaften sind an diesem Netzwerk beteiligt
  • Im Vorstand sitzen zahlreiche Vertreter US-amerikanischer und internationaler Fluggesellschaften wie JetBlue, Delta, Lufthansa, Air France und Air Canada
  • Indem sie Strafverfolgungsbehörden massenhaft sensible Informationen verkaufen, zeigen die Fluggesellschaften ein Verhalten, bei dem Einnahmen Vorrang vor der Privatsphäre von Personen haben
  • Erst kürzlich wurde bekannt, dass auch ICE Reise- und Personendaten von ARC gekauft hat

Auswirkungen und aktueller Stand der Eingriffe in die Privatsphäre

  • Freie Mobilität ist ein Kern demokratischer Gesellschaften, doch Datenbroker wie ARC schaffen im Verborgenen ein Umfeld, in dem Reiseverläufe nachverfolgt werden können
  • Während in den USA derzeit verstärkt über mögliche rechtliche Nachteile aufgrund von Nationalität, Religion oder politischer Haltung diskutiert wird, birgt die Nutzung von ARC-Daten das Risiko des Missbrauchs staatlicher Macht
  • Datenbroker verkaufen neben Fluginformationen auch Smartphone-Standortdaten, Daten aus dem Internet-Backbone und Versorgungsaufzeichnungen, wodurch sich das Ausmaß der Eingriffe in die Privatsphäre weiter ausweitet

Politische Forderungen und Lösungsansätze

  • Zu einem Zeitpunkt, an dem staatliche Stellen zunehmend Maßnahmen ergreifen, die Freiheit und Rechte etwa an Grenzen schwächen, sorgen solche *** großflächige Datensammlung und -verkäufe für noch größere Besorgnis***
  • Der Fall ARC schärft das Bewusstsein für die Notwendigkeit von Gesetzen mit Datenschutz an erster Stelle wie „Privacy First“ sowie für die gesetzliche Verankerung des Prinzips der Datenminimierung bei der Verarbeitung durch Unternehmen
  • Zudem wird die Verabschiedung des „Fourth Amendment is Not For Sale Act“ gefordert, damit Strafverfolgungsbehörden die Informationsbeschaffung ohne richterlichen Beschluss durch den Kauf von Daten bei Datenbrokern nicht umgehen können
  • Schließlich gilt auch eine Regulierung wie die Registrierung von Datenbrokern und mehr Transparenz als dringende Aufgabe

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-07-15
Hacker-News-Kommentare

  • Vielen ist nicht klar, wie einfach sich solche Datenmodelle auch ohne privilegierten First-Party-Zugriff auf Daten bauen lassen. Ein Prototyp, den ich 2012 gebaut habe, zeigte, dass sich die Flughistorie der meisten Menschen allein mit Social-Media- oder Werbedaten in großem Maßstab präzise nachverfolgen lässt. Das war schon vor sehr langer Zeit möglich. Grob gesagt filtert man in einem Entity-Graphen raumzeitliche Kanten mit weniger als 300 km/h oder weniger als 200 km Distanz heraus. Mit diesem Kriterium ließ sich abschätzen, ob jemand „ein Flugzeug bestiegen“ hat, und auch Abflug- und Zielort konnten bestimmt werden. Verknüpft man diese Kanten mit öffentlichen Flugdaten oder Wartungs-IoT-Daten von Jet-Triebwerken, kann man sie sogar bestimmten Flügen zuordnen. Die meisten übersehen, wie gewöhnliche industrielle IoT-Daten genutzt werden können, um Beziehungen in ganz anderen Bereichen abzuleiten. Selten gab es Fälle, in denen mehrere Flüge gleichzeitig möglich waren, aber wenn man frühere Flugverläufe heranzog und die Hauptairline auswählte, die die Person in der Vergangenheit genutzt hatte, passte es fast immer perfekt. Es war beeindruckend effektiv und brauchte weder First-Party-Daten der Airlines noch komplexe Analysen. Letztlich sind Zeit und Raum der Primärschlüssel der realen Welt

    • Wenn ich die Erklärung höre, man habe „mögliche Flugrouten herausgefiltert“, dann liegt das Kernproblem letztlich darin, wer überhaupt von Anfang an über diese Raumzeitdaten verfügt. Das ist am Ende kaum etwas anderes als zu sagen: „Wenn ich deine Kreditkartentransaktionen habe, weiß ich, wann du wo in welchem Laden warst.“ Das ist gruselig, aber das wirklich Ernste ist, dass solcher Datenzugang überhaupt möglich ist. Wenn jemand ohnehin die grobe Position einer Person über den ganzen Tagesverlauf hinweg kennt, dann sind die Raumzeitdaten selbst viel wertvoller als der einzelne Flugverlauf

    • Interessant finde ich, dass Menschen sich Sorgen machen, jemand könne allerlei personenbezogene Daten sammeln und missbrauchen, aber meistens besteht die tatsächliche Nutzung dieser Informationen nur darin, noch mehr personalisierte Werbung anzuzeigen

    • Wo bekommt man überhaupt so etwas wie „Wartungs-IoT-Daten von Jet-Triebwerken“ her?

    • Vermutlich braucht ICE solche Daten, um nachzuverfolgen, wann eine bestimmte Person welche Stadt oder welches Land besucht hat

  • Es ist interessant, ARC einfach nur als „Datenbroker“ zu bezeichnen. Tatsächlich fungieren ARC und IATA als Clearingstellen für Airline-Ticketzahlungen und übernehmen außerdem die Pflege und Aufsicht über zugehörige Branchensysteme. Die Transaktionsdaten fließen ihnen also ursprünglich ohnehin zu, und sie erzielen Einnahmen, indem sie diese verkaufen. Das ist aber kein Modell wie bei anderen Datenbrokern, die Daten extern einsammeln und weiterverkaufen, sondern sie besitzen die First-Party-Daten selbst. Die grundlegende Frage ist, ob der Verkauf oder das Teilen solcher sensiblen, nicht anonymisierten Daten überhaupt erlaubt sein sollte, aber es sind in jedem Fall grundlegende Primärdaten. Der Link mit einer Gesamterklärung zur Struktur der Airline Reporting Corporation ist ebenfalls lesenswert

    • Diese Erklärung widerspricht dem im Artikel behandelten Kernpunkt nicht wirklich

  • Das Volumen und der Umfang der von Brokern verkauften Daten sind weit größer, als man sich vorstellt. Selbst wenn man es sich schlimm ausmalt, ist die Realität noch zehnmal schlimmer

    • Ein Kollege von mir hat einmal gezielt Bannerwerbung für eine bestimmte Person geschaltet und den Text eingeblendet: „Ich hab dir doch gesagt, dass ich sogar das kann, Kumpel!“ — als Wirksamkeitsdemo. Normale Menschen haben fast keine Ahnung, wie viel Werbefirmen und Datenbroker über sie wissen

    • Als ich um 2014 herum mit Recruitern arbeitete, sah ich Tools, die Informationen über Menschen aus LinkedIn, Yelp, Twitter, GitHub, Eventbrite usw. zusammenkratzten. Schon damals war es möglich, so umfassende Informationen zu sammeln, dass sich mehr als zehn Jahre Historie nachvollziehen ließen. In Zusammenarbeit mit Firmen wie Palantir könnte der Staat vermutlich sogar Stilanalysen oder psychologische Analysen von Reddit-Posts durchführen

    • Ich habe eine Idee für ein Kunstprojekt, das solche Datenprofile braucht. Kann jemand gute Quellen empfehlen, wo man so etwas günstig kaufen kann? Das Projekt ist so groß angelegt, dass ich nicht weiß, wo ich anfangen soll

    • Als jemand, der in dieser Branche arbeitet, fühlt es sich in Wirklichkeit eher „1000-mal schlimmer“ an

    • Ich glaube, die meisten HN-Nutzer verstehen die tatsächlichen Zustände in der Branche kaum. Man müsste die Richtung wohl grundsätzlich anders ansetzen. Die meisten denken höchstens, dass Google ihre persönlichen Daten verkauft, aber tatsächlich ist die Datenbranche viel lockerer reguliert. Es ist zum Beispiel so einfach, dass man praktisch anrufen und sagen kann: „Bitte ziehen Sie mir die Kreditkartentransaktionen des 35-jährigen Zahnarztes aus der Nachbarschaft, nur für diese eine Person, in diesem gewünschten Format, bis morgen“

  • Es ist erstaunlich, wie gut der Datenmarkt verborgen ist. Unzählige Großunternehmen extrahieren und handeln täglich mit Daten, aber trotz des lauten Trends zur „Dezentralisierung“ gibt es keine wirklich offenen Datenmarktplätze. Ich habe mir immer gewünscht, dass ein Modell entsteht, in dem auch offene Verhaltensdaten gekauft und verkauft werden können, und dass Menschen tatsächlich nicht mehr bloß „Produkte“ sind, sondern Unternehmen Daten liefern und dafür bezahlt werden

    • Eigentlich scheint es gar nicht so verborgen zu sein. 2021 gab es jemanden, der wegen eines 50 Jahre alten Grolls zum Haus einer anderen Person ging, und auf dem CCTV-Material war zu sehen, dass er einen PeopleFinders-Ordner dabeihatte. Erstaunlich ist, dass sogar Behörden solche Daten verkaufen

    • Statt sich aus diesem Geschäftsmodell noch mehr herauszuholen, sollte man es meiner Meinung nach einfach komplett schließen und stoppen

  • Ich verstehe nicht, warum CBP und ICE Informationen bei Datenbrokern kaufen müssen. TSA scannt doch ohnehin die Bordkarten aller Menschen

    • Vermutlich unterliegt der Zugriff auf von der TSA gesammelte Daten strengen Regeln und Verfahren, während der Kauf derselben oder ähnlicher Informationen bei einem Broker fast keine besonderen Voraussetzungen hat. Außerdem kann die Datenquelle nicht die TSA sein, sondern Airlines, Zahlungsdienstleister und andere. Die Qualität von Brokerdaten ist schwer zu garantieren, aber die Verfahren sind viel einfacher

    • Als ich bei einer Bundesbehörde gearbeitet habe, musste ich selbst für das Sammeln öffentlicher Tweets begründen, warum das nötig ist, welche personenbezogenen Daten gespeichert werden, wie lange sie aufbewahrt werden und wie sie gelöscht werden sollen, und mir dafür direkt eine Genehmigung holen. Dinge, die Privatpersonen am Wochenende tun können, erfordern innerhalb des Staates massive Genehmigungen. Und wenn man dann noch Daten einer anderen Behörde anfordern will? Das ist politisch noch viel heikler, als man sich vorstellen würde. Selbst bei kooperierenden Behörden ist das nicht einfach, und mir wurde sogar geraten, solche Anfragen in Meetings mit anderen Behörden lieber gar nicht anzusprechen, weil das nur unnötige Spannungen erzeugt. Kauft man die Daten dagegen bei einem Broker, fällt all diese Komplexität weg

    • Vermutlich liegt es auch daran, dass die TSA Genehmigungen nicht einfach großzügig verteilt. Das ähnelt dem Fall, dass die Polizei für Handy-Daten einen Durchsuchungsbeschluss braucht, ein Mobilfunkanbieter aber Live-Standortdaten an Dritte verkauft und die Polizei sie dann kaufen kann. Referenzlink

    • Der Staat nutzt Unternehmen, um Gesetze und Verfassung zu umgehen, und Unternehmen nutzen den Staat, um Regulierung zu umgehen. Ein uraltes Muster

    • Abgesehen von regulatorischen und rechtlichen Gründen ist es innerhalb einer Organisation schwieriger und teurer, praktikable Datenströme aufzubauen und zwischen Abteilungen abzustimmen, als sie von Brokern zu kaufen, die bereits auf Kuratierung, Verwaltung und Vertrieb von Daten optimiert sind. So absurd es klingt: Selbst wenn man einen Aufpreis zahlt, sind Brokerdaten am Ende bequemer und verlässlicher. Das Technikteam der TSA hat keinen Anreiz, Daten mit Metadaten zu versehen und sogar SLAs dafür zu pflegen. Datenbroker haben diesen Anreiz immer

  • yaelwrites/Big-Ass-Data-Broker-Opt-Out-List ist eine gute Liste, um mit dem Opt-out bei Datenbrokern zu beginnen. ARC, das im Artikel erwähnt wird, steht dort nach heutigem Stand allerdings nicht drauf

  • Etwas abseits des Themas, aber mich würde interessieren, ob jemand grobe Schätzungen dazu kennt, wie viel normale Unternehmen damit tatsächlich verdienen, Verbraucherdaten und Verhaltensmuster zu verkaufen — also Firmen außerhalb des Werbebereichs

  • Vor etwa zwei Monaten gab es auf HN schon eine verwandte Diskussion und einen weiteren Thread

  • An diesem Fall ist interessant, dass bösartige Broker in der Vergangenheit oft keinen operativen Sitz in der EU hatten und deshalb GDPR-Bußgelder ignorieren konnten oder das Risiko einfach in Kauf nahmen, wenn die Arbitragegewinne größer waren, wie etwa bei Clearview. Für Unternehmen wie Airlines mit geringen Margen im Kerngeschäft und hohen globalen Umsätzen ist ein GDPR-Verstoß aber viel gravierender. Wenn die Airline der Datenverantwortliche ist, könnte schon die Bereitstellung an Broker rechtswidrig sein, und wegen der starken EU-Exponierung wäre es schwer, Bußgeldern zu entgehen. Im Extremfall könnte ein Mitgliedstaat sogar das Flugzeug selbst beschlagnahmen oder ein vollständiges Flugverbot anstreben. Deutschland hat tatsächlich einmal das Flugzeug eines thailändischen Kronprinzen beschlagnahmt. Passender Artikellink

    • Airlines wirken zwar wie die Hauptdatenquelle, tatsächlich sind die Quellen aber äußerst vielfältig. In Bordkarten-Barcodes steckt enorm viel Information, und sie ist nicht verschlüsselt, sondern nur kodiert, man muss sie also nur auslesen. Barcode-Reader werden von vielen Anbietern hergestellt und verkauft, und es gibt viele Orte am Flughafen, an denen Bordkarten gescannt werden: Check-in, Gepäck, Duty Free, Lounge usw. Die erfassten Informationen lassen sich auf viele Arten sammeln. Auch Passscanner sind günstig zu bekommen und werden in Flughafenläden oder bei Mietwagenfirmen häufig genutzt. In letzter Zeit kommt dazu, dass man wegen Gesichtserkennung oft sogar ohne Bordkarten- oder Passkontrolle einsteigen kann. Auch Begleitdaten wie Uber-Buchungsinformationen lassen sich kombinieren. Detaillierter Link zum Barcode-Thema

  • Ich frage mich, welche Informationen ich gegen Bezahlung von Datenbrokern über mich selbst und andere bekommen kann. Weiß jemand, wie man an solche Datenbroker herankommt?