SPOTTING: Die amerikanische Firma hat Informationen über meinen Standort.
In meinem Telefon befinden sich 160 Anwendungen. Ich weiß nicht, was sie tun, aber ich habe beschlossen, es herauszufinden.
Ich hatte das Gefühl, dass diese Apps mich ausspionierten. Natürlich klopfen sie mich nicht ab, aber sie überwachen ständig, wo ich bin. Dass jeder meiner Schritte an jemanden weitergegeben wird: Wenn ich zum Lebensmittelgeschäft gehe, trinke oder mich mit Freunden unterhalte.
Ich weiß, dass es diejenigen gibt, die diese Informationen kaufen und verkaufen. Wie verfolgen sie uns und was wollen sie mit unseren Daten machen?
Um auf den Grund zu gehen, habe ich im Februar ein Experiment gestartet. Ich habe eine Reihe von Apps auf meinem Ersatztelefon installiert und sie dann überallhin mitgenommen.
Oder fast überall. Ich habe ihn zu Hause gelassen, als ich im April auf COVID-19 getestet wurde.
Leichtigkeit des Missbrauchs
Das Gefühl, beobachtet zu werden, wurde im Laufe der Jahre stärker und ich hatte Gründe dafür. In diesem Frühjahr war ich Teil des NRK-Teams (Norwegian Broadcasting Corporation), das dokumentierte, wie über 8.300 Mobiltelefone in Krankenhäusern oder Frauenhäusern verfolgt wurden.
Für NOK 35.000 (€ 3.300 / $ 4.000) erhielten wir Zugang zu Standortdaten, aus denen hervorgeht, wohin Zehntausende Norweger 2019 gereist sind.
Einer von ihnen war der 31-jährige Karl Björn Bernhardsen aus Stavanger. Die Informationen ermöglichten es uns, ihn anhand der Daten zu identifizieren, die nach Angaben des Datenanbieters anonymisiert wurden.
Als wir ihn anriefen, konnten wir ihm fast jeden Tag im Jahr 2019 sagen, wo er war. Zoo. Vorstellungsgespräch. Im Krankenhaus, wo er mehrere Tage als Vater seines ersten Kindes blieb.
Dann sagte uns Karl , dass jeder diese Informationen verwenden kann, wenn sie in die falschen Hände geraten.
Verrat
Uns wird oft gesagt, dass kommerzielles Tracking nicht so schlecht ist: "Es wird nur für Werbung verwendet." Aber es gibt viele andere, die sich für den digitalen Fußabdruck unserer Telefone interessieren.
In einem kürzlich veröffentlichten Beitrag von Vice Motherboard wurde festgestellt, dass das US-Militär Standortdaten kauft und dass die muslimische Gebets-App Benutzerstandortdaten an Verteidigungsunternehmen weitergibt.
"Es sieht aus wie ein Verrat", sagte der lokale Leiter des Rates für amerikanisch-islamische Beziehungen.
Im Jahr 2018 wurde der Besitzer eines geschlossenen Restaurants Kentucky Fried Chicken in einer Grenzstadt in Arizona festgenommen. Er wird verdächtigt, am Drogenschmuggel aus Mexiko durch einen Tunnel unter der US-Grenze beteiligt zu sein.
TUNNEL: Ein 180-Meter-Tunnel, der am mexikanischen Haus beginnt und am KFC-Restaurant endet.
Laut dem Wall Street Journal (WSJ) wurde das Verbrechen teilweise aufgeklärt, weil die US-amerikanische Einwanderungs- und Zollbehörde (ICE) kommerziell verteilte Standortdaten verwendet.
Aus einem Artikel im WSJ geht hervor, dass die kommerziellen Daten angeblich an die ICE-Deportationsabteilung weitergegeben wurden. Der US-Zoll- und Grenzschutz (CBP) hat auch Zugang zu "globalen" Standortdaten erhalten .
Es gibt einen Grund, warum NRK-Journalisten gebeten werden, sorgfältig zu überlegen, bevor sie das Telefon an eine vertrauliche Quelle weiterleiten. Behörden können auch ohne gerichtliche Genehmigung auf Informationen über ihren Standort zugreifen.
Wenn meine Standortdaten in die falschen Hände geraten, können dies auch andere Personen betreffen. Wir befürchten ständig, dass es möglich sein wird, zu ermitteln, wer vertraulich Informationen zur Verfügung gestellt hat.
Ich benötige Zugriff auf meine Daten
Das Unternehmen, das ICE mit Informationen über das Fast-Food-Restaurant versorgte, heißt Venntel. Nach Angaben des Unternehmens befindet es sich in einem Industriecluster in Virginia.
In der gleichen Gegend finden Sie bekannte Namen aus dem Verteidigungssektor, zum Beispiel Lockheed Martin, das Unternehmen, das die F-35 entwickelt hat, und den ehemaligen Arbeitgeber von Edward Snowden, Booz Allen Hamilton. Es reicht aus, eine 20-minütige Fahrt nach Osten zu machen, und Sie befinden sich in Langley, Virginia, wo sich das Hauptquartier der CIA befindet.
VERTEIDIGUNGS-CLUSTER: Venntel ist in diesem Gebäude im Virginia Industrial Cluster, USA, registriert.
Am 20. August bat ich um eine Kopie aller Informationen, die Venntel über mich hatte. Aufgrund der DSGVO 2018 sind alle Europäer dazu berechtigt.
Am nächsten Tag fragte mich die Rechtsabteilung von Venntel nach einigen Adressen, die ich kürzlich besucht hatte.
"Nach Erhalt dieser Informationen prüfen wir zunächst, ob sich die von Ihnen angegebene Werbetreibenden-ID in unserer Datenbank befindet", heißt es in der E-Mail.
Die Advertiser ID ist das, was jedes Smartphone hat. Diese ID ist der Schlüssel, um Telefonbenutzer über Zeit und Apps hinweg zu verfolgen. Telefonbesitzer können den einfachen Zugriff auf diese Kennung einschränken. jedoch tun es nur wenige .
Ich habe Venntel die Adresse meines Büros im NRK-Gebäude und meiner Wohnung in Oslo mitgeteilt.
Verkaufsdaten
Fast einen Monat später erhielt ich einen interessanten E-Mail-Anhang von Venntel. Es enthielt Informationen darüber, wo ich seit dem 15. Februar 75406 Mal gewesen war. Plötzlich hatte ich die Gelegenheit, jeden Schritt zu verfolgen - auf einem Spaziergang in einer Bar, bei der ich meine Großmutter in Südnorwegen besuchte.
PUNKTE: Das Foto links zeigt die Registrierung meiner Bewegungen in der Nähe meiner Wohnung. Auf dem Foto rechts sehen Sie eine Karte des NRK-Büros in Oslos Marienlyst. Im Laufe der Zeit hat sich an diesen Orten eine große Anzahl registrierter Standorte angesammelt.
Die Daten enthalten keine Telefonnummern oder Namen. Fast jeder konnte jedoch leicht herausfinden, dass dies meine Bewegungen sind. Eine einfache Suche bei Google und im Telefonbuch würde ergeben, dass Martin Gundersen in Sorgentfrigata in Oslo lebt und für NRK Marienlyst arbeitet.
Venntel teilte mir außerdem mit, dass meine Informationen an seine Kunden weitergegeben wurden. Ihre Kunden verwenden diese Informationen für Zwecke wie die Strafverfolgung des Bundes und die innere Sicherheit.
Wer diese Kunden sind, lehnte Venntel ab.
Ein streng gehütetes Geheimnis
Wie könnten meine Standortdaten bei Venntel in den USA landen? Keine der von mir installierten Apps erwähnte diese Firma. Nirgendwo, auch nicht in einer verwirrenden Datenschutzrichtlinie, die kaum jemand liest, bevor er auf OK klickt.
Venntel konnte mich darüber informieren, dass es meine Informationen von seiner Muttergesellschaft Gravy Analytics erhalten hatte und nur selten über die damit verbundenen Anwendungen Bescheid wusste.
Gravy Analytics ist ein Marketing Data Broker. Das Unternehmen sammelt riesige Mengen an Verbraucherdaten, um die Anzeigenausrichtung zu verbessern. Gravy Analytics behauptet auch, nichts über die Herkunft der meisten Daten zu wissen. Die Antwort auf die Zugriffsanfrage enthielt jedoch die Namen von zwei weiteren neuen Unternehmen: Predicio (Frankreich) und Complementics (USA).
Neue Zugriffsanfragen ergaben, dass einige der Standortdaten, die schließlich in Venntel landeten, vom slowakischen App-Entwickler Sygic stammten, der 70 Apps in seinem Portfolio hat.
Die Webseite des Entwicklers behauptet, dass seine beliebteste App 200 Millionen Benutzer hat.
Am 15. Februar habe ich zwei Sygic-Navigations-Apps installiert. Beide baten mich, den Bedingungen für die Personalisierung von Anzeigen zuzustimmen.
Wenn Sie zu den Menschen gehören, die kaum lesen, womit sie einverstanden sind, dann sind Sie nicht allein. Tatsächlich lesen nur sehr wenige Menschen die Nutzungsbedingungen für installierte Anwendungen und Dienste.
Ich klickte auf "Ich stimme zu". Seitdem wurde eine verbindliche Vereinbarung zwischen mir und dem Antrag getroffen.
Datenschutzgesetze verletzt
Es scheint, dass die Vereinbarung mit Sygic verletzt wurde, als Gravy Analytics die Daten erhielt. Gravy Analytics gibt in seiner Datenschutzrichtlinie an, dass meine persönlichen Daten in einer Reihe von Diensten für Partner und Kunden des Unternehmens verwendet werden dürfen. Gemäß ihrer eigenen Datenschutzrichtlinie gehören zu ihren Zielen unter anderem Betrugserkennung, Strafverfolgung und nationale Sicherheit.
Mit anderen Worten, Gravy Analytics hat meine Standortdaten an seine Tochtergesellschaft weitergegeben, die diese spezifischen Dienste anbietet.
Das bringt uns zurück zu meiner Vereinbarung mit Sygic am 15. Februar.
Ich habe mich mit drei Anwälten beraten, Malgorzata Agnieszka Sindecka, Lee Baygrave und Arve Feyen; Sie sind alle Datenschutzspezialisten. Sie glauben, dass die Möglichkeit, meine persönlichen Daten für Zwecke zu verwenden, für die ich nicht zugestimmt habe, einen eindeutigen Verstoß gegen die DSGVO darstellt, da dieses Gesetz strenge Einschränkungen und Anforderungen für die Verwendung personenbezogener Daten auferlegt.
STRENGE ANFORDERUNGEN: "Wenn sich herausstellt, dass Partner personenbezogene Daten für andere als die von Ihnen vereinbarten Zwecke verwenden, verlieren Sie Ihre Privatsphäre", sagt Sindetska.
Diese Verbreitung von Funktionen ist nicht akzeptabel. Laut dem außerordentlichen Professor der Rechtswissenschaftlichen Fakultät der Universität Bergen, Malgorzata Agnieszka Sindecka, untergräbt eine solche Praxis nicht nur das Prinzip der gezielten Beschränkungen, sondern auch die in der DSGVO festgelegten Prinzipien der Transparenz und Ehrlichkeit.
Lustige Wettervorhersage mit einer Spielerei
Darüber hinaus hat mich laut den Datendateien von Gravy Analytics und Venntel auch die Wetteranwendung Fu *** Weather überwacht. Aus der Beschreibung sollte die App die Wettervorhersage sarkastisch und ätzend darstellen. Wer möchte seine tägliche Wettervorhersage nicht mit einer Menge übler Sprache aufpeppen?
Bei der Installation der Anwendung im Herbst habe ich zugestimmt, dass meine Daten für Analysen und "Monetarisierung" verwendet werden können, d. H. Finanzierung des Antrags.
Dieselben drei Anwälte, die ich konsultiert habe, glauben, dass diese Vereinbarung nicht GDPR-konform ist, da daraus nicht klar ist, was unter "Monetarisierung" zu verstehen ist. Darüber hinaus stimmt die Sammlung von Analysen nicht mit allen Geschäftspraktiken von Venntel überein.
SCHLECHTE WETTERBEDINGUNGEN: Funny Weather empfiehlt nicht, den Kopf aus dem Fenster zu strecken, um das Wetter zu überprüfen, da dies Ihre Stimmung ruinieren kann.
Der Entwickler von Funny Weather, Lavius Fras, arbeitet nicht für ein großes Unternehmen. Er sagte, er kenne Venntel nicht, habe aber das Geschäftsmodell der Anwendung nicht versteckt.
"Die Tatsache, dass ich mit Unternehmen zusammenarbeite, die einige der Daten verwenden, auf die die App Zugriff hat, um Geld zu verdienen, ist nicht vertraulich", schrieb Lavius Fras mir in einer E-Mail.
Frase räumt ein, dass der Anhang klarer hätte sein können, welche Auswirkungen eine "Monetarisierung" haben kann. Er beabsichtigt, diesbezüglich Änderungen an der Datenschutzrichtlinie vorzunehmen, behauptet jedoch weiterhin, dass die Benutzer ordnungsgemäß informiert wurden.
Unfähigkeit zu verfolgen
Wie die Daten von Funny Weather zu Venntel gelangten, bleibt ein Rätsel, aber es ist wahrscheinlich, dass sie über das französische Unternehmen Predicio gingen, das als Vermittler in der Datenschutzrichtlinie der App aufgeführt ist.
Welche anderen Anwendungen Venntel Daten empfangen kann, ist ein streng gehütetes Geheimnis. Selbst die Besitzer mobiler Apps wissen nicht, woran sie beteiligt waren.
"Wir kennen Venntel nicht", sagte Zuzana Kasanova von Sygic, als ich fragte, wie meine Daten zum Unternehmen kamen.
Kasanova erklärte, dass meine Zustimmung gemäß der DSGVO rechtlich eingeholt wurde und dass die vertraglichen Partner ihres Unternehmens verpflichtet sind, meine Daten nur für Marketingzwecke zu verwenden.
„Aufgrund der von Ihnen bereitgestellten Informationen ist unklar, dass Sygic GPS Navigation die Quelle der Daten war, die Venntel über Sie erhalten hat. Wenn sich herausstellt, dass dies der Fall ist, verstößt dies gegen die Vereinbarungen, die wir mit unseren Partnern geschlossen haben. "
Die technische Analyse von NRK zeigt, dass die Daten von Sygic in Venntel gelandet sind. Beispielsweise ist die von Complementics für Daten von Sygic verwendete ID auch in Daten von Venntel enthalten.
Kasanova beantwortete nicht die Frage, welche Auswirkungen dies auf Sygics Partnerschaften mit Predicio oder Complementics haben wird.
Ein System, das auf Illegalität beruht
Mit der Einführung der DSGVO 2018 haben die Befürworter des Datenschutzes einen wichtigen Sieg errungen. Das gesamteuropäische Gesetz sollte eine strengere Überwachung von Unternehmen vorsehen, die mit Benutzerdaten handeln. Teile der digitalen Werbebranche haben sich jedoch nicht wesentlich verändert.
„Unternehmen versuchen, an alten Praktiken festzuhalten und sie als etwas anderes zu tarnen, aber im Kern sind sie gleich geblieben“, sagt David Martin aus Brüssel.
Er leitet die Abteilung für digitale Rechte bei BEUC, der Dachorganisation europäischer Verbraucherorganisationen. Laut Martin "basieren Teile des digitalen Werbesystems auf einem fast systematischen Verstoß gegen die DSGVO."
Er teilt die Meinung der meisten Befürworter des Datenschutzes: Die DSGVO ist theoretisch ausgezeichnet, in der Praxis weist sie jedoch schwerwiegende Mängel auf.
David Martin, BEUC.
Der österreichische Datenschutzaktivist und Forscher Wolfi Krystl untersucht seit vielen Jahren, wie Unternehmen unsere Daten nutzen. Kürzlich half er dem norwegischen Verbraucherrat mit dem Bericht "Außer Kontrolle", in dem viele potenzielle Datenschutzverletzungen im App-Ökosystem dokumentiert wurden.
„In den meisten Fällen ist es schwierig oder sogar unmöglich, die Bewegung personenbezogener Daten zwischen Anwendungen, Datenbrokern und ihren Kunden zu verfolgen“, sagt er.
Laut Krystle können oder wollen die EU-Datenschutzbehörden Verstöße gegen die DSGVO nicht beenden.
„Wir werden keine Änderungen sehen, ohne der Geldverarbeitung hohe Geldstrafen und Verbote aufzuerlegen. Die EU-Mitgliedstaaten und die EU-Kommission müssen handeln “, sagt er.
Die Frage ist, ob jemand es hören möchte. Und auch, wie einfach es sein wird, mutmaßliche Verstöße zu verfolgen. Arve Feyen, Partner der Anwaltskanzlei Føyen Torkildsen, ist der Ansicht, dass es schwierig ist, Unternehmen wie Venntel zu bestrafen, da sie keine Büros in Europa haben.
„Ich fürchte, dies erzeugt einen illusorischen Eindruck von der Anwendung der Regeln, aber in der Praxis ist es einfach unmöglich, rechtliche Schritte einzuleiten“, erklärt Feyen.
Digitales Fotoalbum
Es ist einige Monate her, seit ich mein Ersatztelefon in das Ullevålseter-Sporthotel gebracht habe, ein beliebter Ort in der Nordmark für Kaffee und Waffeln.
Auf meinem Bildschirm sehe ich die Punkte, die sich entlang der Waldwege schlängeln. Viele Cluster, in denen ich mich ausgeruht habe; wo ich schnell ging, sind sie seltener verstreut.
SNACK: Ich bin vom richtigen Weg gekommen. Dann blieb ich im Hof stehen und wurde etwas verwirrt. Dann fand ich rechts eine Holzbank. Insgesamt erfasst dieses Foto 36 Minuten vom Sonntag, dem 9. August.
Es war ein heißer Sonntag im Spätsommer. Bremsen schwärmten vor allem über den sumpfigen Gebieten.
Normalerweise vergessen wir die meisten Orte, an denen wir waren, und was wir dort gemacht haben. Ein paar Hinweise reichen jedoch aus, damit die Erinnerungen zurückkehren. Das Wiederherstellen meiner Schritte an diesem Sommersonntag war wie das Durchblättern eines alten Albums, jede Seite mit ihrer eigenen Geschichte.
Aber das Lustige ist, dass diese Daten, meine Bewegungen, von jemand anderem gespeichert werden.
Es ist sehr unangenehm, eigenen Schritten zu folgen, auch wenn sie nicht mit Liebesbeziehungen, geheimen Treffen oder heiklen Gesundheitsproblemen verbunden sind.
Die meisten von uns haben Momente in ihrem Leben, die wir nicht teilen möchten. Auch mit ihren Lieben, Chefs oder dem Staat.
Ich konnte den Datenfluss von mobilen Apps zu Venntel wiederherstellen, aber es gab noch viele unbeantwortete Fragen. Welche Venntel-Kunden haben Informationen über mich erhalten? Waren diese Unternehmen im Verteidigungssektor, im Geheimdienst oder beim FBI?
Antworten, die schwer zu bekommen sind
Gravy Analytics hat auf unsere mehrfachen Anfragen nicht reagiert. Ihre Tochtergesellschaft Venntel lehnte es ab, per Telefon oder E-Mail interviewt zu werden.
In einer kurzen Erklärung erklärt Venntel, dass meine Telefonbewegungen nicht von ICE oder CBP gesendet wurden. Sie schrieb auch, dass sie nichts mit den Anwendungsanbietern Sygic oder Lavius Fras zu tun habe. (NRK hat nie angegeben, dass sie einen direkten Link haben, hat jedoch dokumentiert, dass das Unternehmen Informationen aus diesen Anwendungen über Dritte erhält.)
"Wir werden keine weiteren Kommentare zu unseren Geschäftsbeziehungen oder zur Auslegung von Gesetzen hinterlassen", schrieb Venntel.
In einer Erklärung gegenüber NRK erklärte das US Border Protection (CBP), dass es nur eingeschränkten Zugang zu kommerziell verfügbaren Daten habe und dass es gemäß den einschlägigen Regeln und Vorschriften verwendet werde. (Der vollständige Text der Erklärung befindet sich am Ende des Artikels.)
Der Pressesprecher der CBP, Jason Givens, beantwortete keine weiteren Fragen zu den Einschränkungen der CBP beim Abrufen von Daten über europäische Bürger oder Telefone außerhalb der US-Grenzen.
Das FBI und ICE haben ebenfalls Vereinbarungen mit Venntel getroffen, aber sie beantworteten keine Fragen zur Fähigkeit des Unternehmens, Europäer innerhalb und außerhalb Europas zu verfolgen.
Als Predicio am 11. August auf die Zugriffsanfrage antwortete, erwähnte das Unternehmen von Februar bis Juli keine Venntel-Datenübertragungen. (Die Funny Weather App wurde am 10. August installiert.) Predicio antwortete nicht auf meine wiederholten Anfragen nach Interviews.
Walter Harrison, Mitbegründer von Complementics, gab an, dass meine Daten nur für Marketinganalysen verwendet wurden. Harrison wollte nicht an dem Interview teilnehmen und beantwortete keine Fragen zur Beziehung des Unternehmens zu Gravy Analytics. Als das Vice Motherboard Harrison nach Gravy Analytics fragte, sagte er, dass der Vertragspartner des Unternehmens "keine von Complementics erhaltenen Daten direkt oder indirekt an US-Geheimdienste, Einwanderungs- oder Strafverfolgungsbehörden weitergeben kann".
: , , . , . Venntel ( , , , ), Gravy Analytics ( , , , ), Sygic ( , ), Predicio ( , ), og Complementics ( , , ). .
« — . , . , , . , , „ “ 1974 , , , , . , ».
ICE
« (U.S. Immigration and Customs Enforcement, ICE) , . Venntel : FPDS. GDPR ICE Venntel».
CBP
«- (U.S. Customs and Border Protection, CBP) , . , , CBP .
CBP , , , . , CBP . CBP, , CBP , ».
Bei Servern, die für jeden Zweck gemietet werden, handelt es sich lediglich um virtuelle Server unseres Unternehmens.
Seit langem verwenden wir ausschließlich schnelle Server-Laufwerke von Intel und sparen keine Hardware - nur Markengeräte und die modernsten Lösungen auf dem Markt für die Bereitstellung von Diensten.
