Das im US-Bundesstaat Virginia sitzende Unternehmen Anomaly Six kann heimlich Standortdaten von hunderten Millionen Mobilfunknutzern weltweit erheben und verkauft darauf basierende Bewegungsprofile an Kunden wie US-Behörden und Firmen. Die sensiblen persönlichen Informationen stammten von über 500 Apps, schreibt das Wall Street Journal (WSJ). Der im militärisch-industriellen Komplex verortete Betrieb habe dazu ein eigenes Software Development Kit (SDK) in einige der Mobilanwendungen integrieren können.

Name der betroffenen Apps unbekannt

Die spezielle Entwicklersoftware ermöglicht es Anomaly Six laut dem Bericht, die GPS-Koordinaten und andere Standortdaten auszulesen, wenn der Nutzer den betroffenen Apps prinzipiell eine Ortung für spezielle Zwecke gestattet. Die Betroffenen dürften dabei aber nicht informiert in eine Weitergabe und den Verkauf ihrer Bewegungsinformationen eingewilligt haben, was in der EU einem Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) gleichkäme.

Bei ihrem Bericht beruft sich die Zeitung auf Marketingdokumente der von zwei US-Militärveteranen gegründeten Firma sowie auf eine Präsentation der Dienste beim US-Senator Ron Wyden von den Demokraten. Das Unternehmen selbst teilte mit, man verarbeite und visualisiere Standortdaten von mehreren Quellen aus erster Hand für analytische Zwecke, um Kunden etwa Einblicke in Gruppen, Verhalten und Nutzungsmuster zu geben. Alle bezogenen Informationen seien kommerziell verfügbar, alle rechtlichen Anforderungen würden eingehalten.

Die konkreten Apps, von denen Anomaly Six Daten abgreift und die von der speziellen Tracking-Software unterwandert sind, konnte das WSJ nicht ausmachen. Die Firma habe sich geweigert, darüber Auskunft zu geben, und sich auf Verschwiegenheitsvereinbarungen berufen. Auch die betroffenen Betriebssysteme sind unbekannt.

Entwicklung "alarmierend"

App-Herausgeber erlauben es Drittanbietern oft gegen eine Gebühr, SDKs in ihre Anwendungen einzufügen. Der SDK-Hersteller verkauft dann die von der App abgegriffenen Verbraucherdaten, der Herausgeber erhält in der Regel einen Teil der Einnahmen. Für die Nutzer ist das Verfahren sehr undurchsichtig. Anomaly Six zeigt zudem auf der eigenen Webseite nur eine Kontaktadresse zu einem Video zu einem Flug über Wolken. Der Verweis etwa auf eine Datenschutzerklärung fehlt, obwohl dies in den USA etwa das von der DSGVO inspirierte kalifornische Datenschutzgesetz erfordern würde.

Mobilfunkdaten sind in den USA vergleichsweise schlecht geschützt. Zahlreiche Behörden gehen davon aus, dass sie einschlägige, oft von Firmen im Bereich ortsbezogener Werbung erhobene Messwerte rechtmäßig verarbeiten dürfen. Mehrere Strafverfolgungsbehörden sowie zahlreiche Militär- und Geheimdienststellen verwenden solche Daten. Ungewöhnlich ist bei Anomaly Six die enge Verbindung mit US-Sicherheitskreisen. Die NSA warnte jüngst aber auch Bedienstete in der Spionage-Community, mit Standortdaten arbeitende Dienste auf ihren Smartphones stark einzuschränken, da auch gegnerische Staaten daran Interesse hätten.

Laura Moy, Rechtsprofessorin an der Georgetown University, bezeichnete die Entwicklung als alarmierend. Vergleichbare Enthüllungen gebe es immer wieder. Nutzer hätten keine Ahnung davon, dass nach der Installation einer Wetter-App, eines Spiel oder einer anderen harmlos wirkenden Anwendung ihre Bewegungsprofile gesammelt und verkauft würden. Asif Khan, Gründer des Branchenverbands Location Based Marketing Association, räumte ein, dass mehr Transparenz nötig sei. Verbraucher sollten aufgeklärt werden, dass "diese Daten von der Regierung genutzt werden könnten".

