Fog Data ScienceUS-Polizei nutzt gekaufte Daten von Handy-Apps

Von kommerziellen Handy-Apps gesammelte Standortdaten sind schon seit Jahren als Gefahr für die Privatsphäre bekannt. Jetzt kommt heraus, dass US-Polizeibehörden diese Daten für die Ermittlungsarbeit nutzen. Über das Tool eines kaum bekannten Unternehmens.

Karte mit Markern
Mit dem Ermittlungswerkzeug lassen sich einzelne Endgeräte anhand ihrer Werbe-ID nachverfolgen. (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com Thor Alvis

Etwa zwei Dutzend Polizeidienststellen und Behörden in den USA nutzen ein Ermittlungswerkzeug, mit dem sie einzelne Endgeräte teils ohne richterlichen Beschluss verfolgen können. Die Daten stammen von gewöhnlichen Apps, die auf den Smartphones von Bürger:innen installiert sind – etwa Navi-Apps wie Waze, eine App von Starbucks und viele andere. Dies geht aus Untersuchungen der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) und von Associated Press (AP) hervor.

Die EFF schreibt, dass das bisher weitgehend unbekannte Unternehmen Fog Data Science LLC den Strafverfolgungsbehörden einen einfachen Zugriff auf die genaue und kontinuierliche Geolokalisierung von hunderten Millionen ahnungsloser US-Amerikaner:innen geben würde. Dabei kauft das Unternehmen nach Informationen der EFF bei Datenbrokern Milliarden von Datenpunkten, die von etwa 250 Millionen Geräten aus den USA stammen. Normalerweise sind diese Daten vor allem für die Werbewirtschaft interessant.

Anhand dieser Datenpunkte lassen sich die Aufenthaltsorte von Millionen Amerikaner:innen anhand ihrer Advertizing ID bestimmen. Diese Dienstleistung verkauft Fog Data Science dann an Polizeibehörden im ganzen Land, zu einem günstigen Preis, der schon bei 7.500 Dollar pro Jahr beginnen kann. Die Behörden können aufgrund der Daten teilweise über Jahre die Bewegungen einzelner Personen nachvollziehen. Gleichzeitig können sie im Ermittlungstool nachsehen, welche Geräte zu welchem Zeitpunkt in einem bestimmten Gebiet waren. Eine Art Funkzellenabfrage ohne Funkzellenabfrage. Wie das alles funktioniert, lässt sich im Anleitungsheft von „Fog Reveal“ (PDF) nachvollziehen, das Vice Motherboard veröffentlicht und beschrieben hat.

EFF: „Schwerer Angriff auf Grundrechte“

Fog verlangt von den Behörden für seine Dienstleistungen keine richterliche Anordnung. Die Bürgerrechtsorganisation geht davon aus, dass das Vorgehen illegal ist, weil es gegen das Vierte Amendement der US-Verfassung verstoße.

Die Nutzung des Tools sei ein schwerer Angriff auf die Grundrechte in den Vereinigten Staaten, so die EFF: 

Mit einem Mausklick kann die Polizei die Geräte jeder Person sehen, die an einer Demonstration teilgenommen hat, sie nach Hause verfolgen, ermitteln, wo sie schläft, und Menschen, die ihr verfassungsmäßig geschütztes Recht auf Protest ausüben, noch mehr Überwachung, Schikanen und Repressalien aussetzen. Die Polizei kann beispielsweise auch Personen verfolgen, deren Geräte sich im Büro eines Anwalts für Einwanderungsfragen, in einer Frauenklinik oder in einer psychiatrischen Einrichtung befunden haben. Die Polizei könnte dieses Instrument leicht und nahezu unkontrolliert einsetzen, um geheime Verabredungen zwischen einem Journalisten und seiner Informantin zu überwachen.

Polizeibehörden und Fog Data Science selbst sagen, dass „Fog Reveal“ keine persönlichen Daten, sondern nur die Advertizing ID bereitstelle. Sie beschreiben die Daten als „anonymisiert“. Doch gerade mit Hilfe von Daten mit Ortsbezug lassen sich unter Umständen Menschen re-identifizieren. So spricht auch in der AP-Recherche ein Polizeivertreter davon, dass „Fog Reveal“ dabei helfen könne, Gerätebesitzer:innen zu ermitteln.

Standortdaten außer Kontrolle

Aus Apps gewonnene Daten und ihr Verkauf sind ein zunehmendes Datenschutzrisiko weltweit. Schon 2020 zeichnete der norwegische Journalist Martin Gundersen in einer großen Recherche nach, wie seine Daten aus Apps über Umwege in die Hände eines Datenbrokers gerieten, der mit US-Polizeibehörden zusammenarbeitet. Bekannt wurde auch ein Fall, in dem ein rechter katholischer Newsletterdienst aus solchen Daten ableitet, dass ein Vertreter der US-Bischofskonferenz die Männer-Dating-App Grindr nutzte. In Gerichtsverfahren kam zudem heraus, dass ein Datenbroker vollkommen die Kontrolle darüber verloren haben, wohin seine Daten gelangen.

10 Ergänzungen

  1. „Eine Art Funkzellenabfrage ohne Funkzellenabfrage.“ – in der Regel sind die Positionsdaten die der Werbewirschaft vorliegen aus GPS bezogen und um einiges genauer als Funkzellenabfragen.

    Und das schöne/perfide an der Stelle ist: Die Appnutzer haben zugestimmt, das ihre Positionsdaten weiterverarbeitet werden. Nur halt anders als erwartet.

    Und erstaunlich ist auch, das die Polizei viel Geld für Daten bezahlt, statt sie via richterlichem Beschluß zu beziehen.

    1. Naja, das hängt sicherlich von den Kosten ab. Richterliche Beschlüsse kosten zusätzlich noch ein bischen Zeit mehrerer Leute. Die Datenbank ermöglicht natürlich viel „bessere“ Recherche. Da ist ja gleich Netzwerkanalyse, Rastafahndung und jegliche Form des Bergbaus mit dabei.

      Ob das wohl ohne weiteres der Verfassung gegenüber standhalten wird?

  2. The company was developed by two former high-ranking Department of Homeland Security officials under former President George W. Bush. It relies on advertising identification numbers, which Fog officials say are culled from popular cellphone apps such as Waze, Starbucks and hundreds of others that target ads based on a person’s movements and interests, according to police emails. That information is then sold to companies like Fog.

    https://missoulian.com/news/national/tech-tool-offers-police-mass-surveillance-on-a-budget-its-raising-4th-amendment-questions/article_8ee05cd5-8355-590b-aab0-5339a677c09e.html

  3. Virginia-based Fog Data Science is the company behind Fog Reveal. The Associated Press reported Fog Reveal refers to a company called Venntel as its “data partner,” but neither company would clarify their relationship to the outlet. Motherboard has reported extensively on how Venntel sources global advertising data from its parent company Gravy Analytics. The data itself comes from apps installed on peoples’ smartphones; app developers often enter agreements to sell their users location information to third parties. Venntel then sells its own surveillance product to government agencies, including Customs and Border Protection.

    https://www.vice.com/en/article/v7v34a/fog-reveal-local-cops-phone-location-data-manual

  4. Green: Sehr gute Entscheidung, der ich nur beipflichten kann. Belassen wir es dabei, das Ding braucht man nicht wirklich – mir geht´s ausgezeichnet. Und hoffentlich auch anderen, die keins haben, denn man verpasst nichts.

    1. >> … mir geht´s ausgezeichnet. Und hoffentlich auch anderen, die keins haben, denn man verpasst nichts. <<
      Wohl wahr! Das Beste daran ist, man/frau ist für andere nicht mehr so einfach verfügbar. Ein Luxus, den sich nur Zeitgenossen leisten können, die selbst nicht mehr über andere verfügen wollen.

      1. Ritter Sport: Nun ja, wenn Sie mit „verfügbar“ sein „erreichbar sein“ meinen – das kann man auch ohne Smartfone. Nur stressfreier.
        Das von den Digitalkonzernen gewollte Suggestiv der Gleichsetzung dieser Begriffe sollte man ignorieren und differenzieren.
        Will heißen: Verfügbarkeit impliziert Macht, und die will ich nicht per Telekommunikation über andere ausüben und auch nicht, dass es andere über mich tun.
        Erreichbarkeit ist dagegen eine Frage des Stresslevels, den jeder für sich definieren muss.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.