US-Polizei nutzt gekaufte Standortdaten von Handy-Apps

psi. Dieser Gastbeitrag wurde von netzpolitik.org produziert und am 2. September 2022 publiziert. Infosperber publiziert ihn im Rahmen der Creative Commons-Lizenz BY-NC-SA 4.0 von netzpolitik.org.

Etwa zwei Dutzend Polizeidienststellen und Behörden in den USA nutzen ein Ermittlungswerkzeug, mit dem sie einzelne Endgeräte teils ohne richterlichen Beschluss verfolgen können. Die Daten stammen von gewöhnlichen Apps, die auf den Smartphones von Bürger:innen installiert sind – etwa Navi-Apps wie Waze, eine App von Starbucks und viele andere. Dies geht aus Untersuchungen der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) und von Associated Press (AP) hervor.

Die EFF schreibt, dass das bisher weitgehend unbekannte Unternehmen Fog Data Science LLC den Strafverfolgungsbehörden einen einfachen Zugriff auf die genaue und kontinuierliche Geolokalisierung von hunderten Millionen ahnungsloser US-Amerikaner:innen geben würde. Dabei kauft das Unternehmen nach Informationen der EFF bei Datenbrokern Milliarden von Datenpunkten, die von etwa 250 Millionen Geräten aus den USA stammen. Normalerweise sind diese Daten vor allem für die Werbewirtschaft interessant.

Anhand dieser Datenpunkte lassen sich die Aufenthaltsorte von Millionen Amerikaner:innen anhand ihrer Advertizing ID bestimmen. Diese Dienstleistung verkauft Fog Data Science dann an Polizeibehörden im ganzen Land, zu einem günstigen Preis, der schon bei 7.500 Dollar pro Jahr beginnen kann. Die Behörden können aufgrund der Daten teilweise über Jahre die Bewegungen einzelner Personen nachvollziehen. Gleichzeitig können sie im Ermittlungstool nachsehen, welche Geräte zu welchem Zeitpunkt in einem bestimmten Gebiet waren. Eine Art Funkzellenabfrage ohne Funkzellenabfrage. Wie das alles funktioniert, lässt sich im Anleitungsheft von «Fog Reveal» (PDF) nachvollziehen, das Vice Motherboard veröffentlicht und beschrieben hat.

EFF: «Schwerer Angriff auf Grundrechte»

Fog verlangt von den Behörden für seine Dienstleistungen keine richterliche Anordnung. Die Bürgerrechtsorganisation geht davon aus, dass das Vorgehen illegal ist, weil es gegen das Vierte Amendement der US-Verfassung verstosse.

Die Nutzung des Tools sei ein schwerer Angriff auf die Grundrechte in den Vereinigten Staaten, so die EFF: 

Mit einem Mausklick kann die Polizei die Geräte jeder Person sehen, die an einer Demonstration teilgenommen hat, sie nach Hause verfolgen, ermitteln, wo sie schläft, und Menschen, die ihr verfassungsmässig geschütztes Recht auf Protest ausüben, noch mehr Überwachung, Schikanen und Repressalien aussetzen. Die Polizei kann beispielsweise auch Personen verfolgen, deren Geräte sich im Büro eines Anwalts für Einwanderungsfragen, in einer Frauenklinik oder in einer psychiatrischen Einrichtung befunden haben. Die Polizei könnte dieses Instrument leicht und nahezu unkontrolliert einsetzen, um geheime Verabredungen zwischen einem Journalisten und seiner Informantin zu überwachen.

Polizeibehörden und Fog Data Science selbst sagen, dass «Fog Reveal» keine persönlichen Daten, sondern nur die Advertizing ID bereitstelle. Sie beschreiben die Daten als «anonymisiert». Doch gerade mit Hilfe von Daten mit Ortsbezug lassen sich unter Umständen Menschen re-identifizieren. So spricht auch in der AP-Recherche ein Polizeivertreter davon, dass «Fog Reveal» dabei helfen könne, Gerätebesitzer:innen zu ermitteln.

Standortdaten ausser Kontrolle

Aus Apps gewonnene Daten und ihr Verkauf sind ein zunehmendes Datenschutzrisiko weltweit. Schon 2020 zeichnete der norwegische Journalist Martin Gundersen in einer grossen Recherche nach, wie seine Daten aus Apps über Umwege in die Hände eines Datenbrokers gerieten, der mit US-Polizeibehörden zusammenarbeitet. Bekannt wurde auch ein Fall, in dem ein rechter katholischer Newsletterdienst aus solchen Daten ableitet, dass ein Vertreter der US-Bischofskonferenz die Männer-Dating-App Grindr nutzte. In Gerichtsverfahren kam zudem heraus, dass ein Datenbroker vollkommen die Kontrolle darüber verloren haben, wohin seine Daten gelangen.