Überwachungsfirma nutzte Daten von sozialen Medien, um Proteste zu dokumentieren

Eine US-Überwachungsfirma hatte privilegierten Zugang zu Facebook, Instagram und Twitter. Und der wurde genutzt, um Dienstleistungen für Ermittlungsbehörden anzubieten, die über soziale Medien und in Echtzeit lokale Proteste überwacht haben.

Die #blacklivesmatter – Bewegung steht in den USA unter besonderer Beobachtung. CC BY-NC-ND 2.0, via flickr/Chris Wieland

Die kalifornische Sektion der US-Bürgerrechtsorganisation ACLU hat Dokumente befreit, die dokumentieren, dass die Firma Geofeedia privilegierten Zugang zu den Echtzeit-Datenbanken von Instagram, Facebook und Twitter hatte. Damit konnte das Unternehmen Überwachungsdienstleistungen bauen und verkaufen: Facebook, Instagram, and Twitter Provided Data Access for a Surveillance Product Marketed to Target Activists of Color.

Geofeedia hatte sich privilegierte Entwickler-Zugänge für die APIs gekauft und baute aus den Informationen Produkte, die auch dazu genutzt wurden, damit Ermittlungsbehörden in Echtzeit (lokale) Proteste im Blick haben konnten. 500 Ermittlungsbehörden gehören laut dem Unternehmen zum Kundenstamm.

Bei Instagram hatte Geofeedia über die API Zugriff auf den Stream öffentlicher Postings inklusive Standortdaten. Instagram hat dem Unternehmen den Zugang im September gesperrt. Ebenfalls bis September hatte Geofeedia Zugang zur Facebook Topic Feed API, einem Werkzeug für Medien- und Werbeunternehmen. Damit kann man Feeds von öffentlichen Postings inklusive Hashtags, Events oder spezifischen Orten erstellen. Bei Twitter soll Geofeedia über einen Dienstleister Zugriff auf die Datenbank eines öffentlichen Dienstes gehabt haben, den Twitter gesperrt haben will.

Interessant sind die Vorschläge der ACLU, was die Unternehmen jetzt tun können, um zukünftig eine Nutzung der Daten für Überwachungstechnologien zu behindern:

  • No Data Access for Developers of Surveillance Tools: Social media companies should not provide data access to developers who have law enforcement clients and allow their product to be used for surveillance, including the monitoring of information about the political, religious, social views, racial background, locations, associations or activities of any individual or group of individuals.
  • Clear, Public & Transparent Policies: Social media companies should adopt clear, public, and transparent policies to prohibit developers from exploiting user data for surveillance purposes. The companies should publicly explain these policies, how they will be enforced, and the consequences of such violations. These policies should also appear prominently in specific materials and agreements with developers.
  • Oversight of Developers: Social media companies should institute both human and technical auditing mechanisms designed to effectively identify potential violations of this policy, both by the developers and end users, and take swift action for violations.

8 Ergänzungen

  1. So wurde aus dem „könnte“, an das keiner der Facebook-/Google-/Twitter-Abhängigen glauben wollte, ein „selbstverständlich“. Aber diejenigen, die davor gewarnt haben, wurden als technologiefeindlich bezeichnet, als Opfer der German Angst oder als Aluhutträger. Schon klar!

    So traurig!

  2. Wie kann man denn Dokumente „befreien“? Für mich klingt das ein bisschen nach dem Protest-Pathos, den man oft auf Kundgebungen zu hören bekommt. Darunter leidet leider die Sachlichkeit des Artikels, die ich bei netzpolitik.org so sehr schätze.

  3. Im Mai hatte Twitter bereits Dataminr, einer Firma die dem CIA-Konglomerat zugerechnet wird, die API zugedreht.

    Vice hat sich die Haushaltsberichte britischer Polizeibehörden angesehen und festgestellt, dass dort die ähnliche Software „RepKnight“ eingesetzt wird. Die werben unverhohlen mit der Verfolgung von AktivistInnen, wenn diese dem Ruf von Unternehmen schaden:

    Auch die Polizeiagentur Europol nutzt Software zur Geolokalisierung von NutzerInnen sozialer Netzwerke. Sie werden bei den „Soforthilfeteams“ EMRT geführt, die unter anderem bei terroristischen Anschlägen 24/7 entsandt werden können. Beim November-Anschlag in Paris 2015 wurden auf diese Weise über 350 aktive Accounts in der Nähe des Tatortes festgestellt. Es ist aber unbekannt, welche Anwendungen Europol nutzt. Auch wenn das deutsche Bundesinnenministerium dort Poweruser ist, kann man derartige Auskünfte nicht über die Bundesregierung abfragen.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.