Die US-Bundeshandelskommission (FTC) hat den Datenbroker Outlogic, der früher als X-Mode Social bekannt war, am Dienstag davon abgehalten, sensible Standortdaten mit Dritten zu teilen oder zu verkaufen. Dieses Verbot ist Teil einer Vereinbarung, die auf Anschuldigungen basiert, dass das Unternehmen „präzise Standortdaten verkauft hat, die zur Verfolgung von Besuchen an sensiblen Orten wie medizinischen und reproduktiven Gesundheitskliniken, religiösen Stätten und Einrichtungen für häusliche Gewalt verwendet werden könnten“.
Die vorgeschriebene Anordnung verlangt auch, dass sämtliche zuvor gesammelten Standortdaten gelöscht werden, es sei denn, es wurde die Zustimmung der Verbraucher eingeholt oder die Daten wurden anonymisiert oder als nicht sensitiv markiert. Des Weiteren muss das Unternehmen eine umfassende Liste sensibler Orte führen und ein umfassendes Datenschutzprogramm mit einem Datenaufbewahrungsplan entwickeln, um Missbrauch zu verhindern.
Die FTC wirft X-Mode Social und Outlogic vor, keine ausreichenden Sicherheitsvorkehrungen getroffen zu haben, um den Missbrauch solcher Daten durch nachgelagerte Kunden zu verhindern. Dies stellt das erste Verbot der Verwendung und des Verkaufs sensibler Standortdaten dar.
X-Mode, das 2020 erstmals Aufmerksamkeit erregte, als es Standortdaten an das US-Militär verkaufte, arbeitet damit, präzise Standortdaten anzubieten, die es von eigenen Apps und Apps von Drittanbietern sammelt, die seine Software Development Kit (SDK) in ihre Apps integrieren. Es wird auch gesagt, dass es Standortdaten von anderen Datenbrokern und Aggregatoren bezogen hat.
Nach den Enthüllungen 2020 forderten sowohl Apple als auch Google App-Entwickler auf, das SDK aus ihren Apps zu entfernen, andernfalls drohte ein Verbot in ihren jeweiligen App-Stores.
„Die rohen Standortdaten, die X-Mode/Outlogic verkauft hat, sind mit mobilen Werbekennungen verknüpft, die eindeutige Kennungen für jedes mobile Gerät sind“, so die FTC. „Diese rohen Standortdaten sind nicht anonymisiert und können ein mobiles Gerät eines Verbrauchers mit den besuchten Orten in Verbindung bringen.“
Die Behörde stellt weiter fest, dass das Unternehmen bis Mai 2023 keine Richtlinien hatte, um sensible Standorte aus den verkauften Standortdaten zu entfernen, was nicht nur die Privatsphäre der Nutzer gefährdete, sondern sie auch Diskriminierung, physischer Gewalt, emotionaler Belastung und anderen Schäden aussetzte.
Die FTC kritisiert außerdem X-Mode dafür, dass das Unternehmen nicht transparent gemacht hat, welche Entitäten die Daten erhalten würden, wenn ein Kunde eine Drittanbieter-App mit dem SDK verwendet, und dass es nicht sichergestellt hat, dass diese Apps eine informierte Zustimmung der Verbraucher eingeholt haben, um ihnen überhaupt den Zugriff auf ihre Standortinformationen zu gewähren.
Darüber hinaus wurde X-Mode vorgeworfen, nachlässig zu sein und Anfragen von einigen Android-Nutzern zur Deaktivierung der Verfolgung und personalisierter Werbung nicht zu berücksichtigen.
In einer Stellungnahme, die der Nachrichtenagentur Reuters zur Verfügung gestellt wurde, erklärte Outlogic, das Unternehmen sei nicht mit den „Auswirkungen“ der FTC-Erklärung einverstanden, und es sei keine Verletzung von Standortdaten festgestellt worden.
„Die FTC verdient Lob dafür, entschlossen gegen diesen undurchsichtigen Datenbroker vorzugehen, der den Amerikanern Standortdaten verkauft hat“, erklärte der US-Senator Ron Wyden in einer Stellungnahme, die The Hacker News mitgeteilt wurde.
„Ich habe 2020 herausgefunden, dass das Unternehmen den Amerikanern Standortdaten an militärische Kunden über Verteidigungsunternehmen verkauft hat. Obwohl das Vorgehen der FTC ermutigend ist, sollte die Behörde nicht den Datenbroker Whac-a-Mole spielen müssen. Der Kongress muss strenge Datenschutzgesetze verabschieden, um die persönlichen Informationen der Amerikaner zu schützen und zu verhindern, dass Regierungsbehörden unsere Daten von Datenbrokern kaufen, ohne Gerichte einzuschalten.“