SG.hu
Nemzetbiztonsági kockázat az online reklámipar ellenőrizetlen adatkereskedelme
Az online reklámipar ellenőrizetlen adatkereskedelme milliók magánéletét és Németország nemzetbiztonságát fenyegeti - ez derül ki a netzpolitik.org és a Bayerischer Rundfunk által végzett kutatásból.
A netzpolitik.org és a Bayerischer Rundfunk megszereztek egy 3,6 milliárd németországi helymeghatározási adatot tartalmazó adatállományt. Az adatok mintegy 11 millió különböző eszközazonosítót tartalmaznak, és 2023 végére, mintegy két hónapos időszakra datálódnak. Az adatokból emberek millióinak mozgásprofilja derül ki, így például következtetéseket lehet levonni arról, hogy hol dolgoznak, hol laknak, hol vásárolnak vagy sétálnak, járnak-e kórházba, bölcsődébe vagy bordélyházba. Az újságírók egyszerű online kereséssel több embert is egyértelműen be tudtak azonosítani az adatok alapján, például azért, mert a telefonkönyvben szerepel a lakcímük, a közösségi médiában pedig a munkahelyük.
Az adatkészlet a Datastream Group adatkereskedő cégtől származik, amelynek székhelye az Egyesült Államokban, Floridában található. Ez azonban csak egy példa a személyes adatok globális kereskedelmére, mely mögött több ezer vállalat szinte áttekinthetetlen hálózata áll. Az adatokat ingyenes mintaként kapták meg az újságírók, amely előfizetési előzetesként szolgált volna. A kereskedő mintegy 14 000 dollárért a világ több millió okostelefonjáról származó friss helymeghatározási adatok folyamatos áramlását kínálja, szinte valós időben. Az adatkereskedővel egy Németországból működtetett adatpiacon keresztül vették fel a kapcsolatot. A Datarade nevet viseli, és berlini székhelyű.
A helymeghatározási adatok mobiltelefonos alkalmazásokból származnak, amelyek többek között reklámcélokra továbbítják a GPS-adatokat. A felhasználóknak általában egyszer bele kell egyezniük ebbe az alkalmazás adatvédelmi szabályzatában. Az ilyen helymeghatározási adatok általában népszerű időjárási, navigációs vagy társkereső alkalmazásokból származnak. Tehát ez egy globális probléma, az adatpiacon minden kontinensről, köztük más uniós országokból származó helymeghatározási adatok is szerepelnek. Ezeket számos kereskedő hirdeti.
Az adatkészlet tartalmazza azon személyek mozgási profilját, akik nyilvánvalóan a szövetségi minisztériumoknak, a német fegyveres erőknek, a biztonsági hatóságoknak és a hírszerző szolgálatoknak dolgoznak, és akik a nemzetbiztonság szempontjából relevánsak. A riportereknek sikerült például azonosítaniuk egy olyan vezető beosztású személyt, aki egy szövetségi minisztérium biztonsági kérdéseivel foglalkozik, valamint egy olyan személyt, aki a német titkosszolgálatnak dolgozik. Találtak mozgási profilokat a német hírszerző ügynökségek olyan helyszínein, ahol állítólag az amerikai NSA ügynökei is járnak-kelnek. Az ilyen adatokat külföldi hírszerző szolgálatok is megszerezhetik, és kémkedésre vagy szabotázsra használhatják - például katonai helyszínek felkutatására, célpontok felkutatására vagy ügynökök leleplezésére.
Jogi alapként az adatokat feldolgozó vállalatok általában az alkalmazás felhasználóinak az adatvédelmi előírásokban szereplő hozzájárulására támaszkodnak. Ezek gyakran rendelkeznek arról, hogy az adatokat továbbíthatják kereskedőknek. Az általános adatvédelmi rendelet (GDPR) szerint az ilyen hozzájárulás csak akkor érvényes, ha azt konkrét esetekre adják meg, és az érintettek tájékoztatást kapnak, és önkéntesen járnak el. Adatvédelmi szakértők szerint ezek a követelmények általában nem teljesülnek, az adatvédelmi rendelkezésekben ugyanis gyakran rejtve marad a több száz vállalatnak történő adattovábbításra való utalás, így a hozzájárulás aligha lehet tájékozott.
A német adatvédelmi hatóságok eddig nem foglalkoztak az adatkereskedelmi ágazattal, csak akkor válnak aktívvá, ha az érintett polgárok panaszt tesznek. Az ilyen panaszok azonban ritkák. A 3,6 milliárd helymeghatározó adat egy amerikai kiskereskedőtől származik és az adatvédelmi törvényt külföldön gyakran nehéz érvényesíteni. A berlini Datarade adatpiacra valószínűleg nem vonatkozik a GDPR - ezt a berlini adatvédelmi biztos állapította meg egy előzetes vizsgálatot követően. Ennek oka, hogy a vállalatnak magának kellene feldolgoznia az adatokat ahhoz, hogy a GDPR hatálya alá tartozzon. A piactér azonban csupán összekapcsolja az érdeklődőket és a kereskedőket, és jutalékot szed az eladásokért.
„Egy szabad társadalomban az ilyen érzékeny személyes adatoknak nem szabadna kereskedelmi céllal harmadik felek rendelkezésére állniuk” - írja a szövetségi fogyasztóvédelmi minisztérium (BMUV). „Ha az adatok egyszer már bekerültek a reklámcégekhez, a felhasználók elveszítenek minden kontrollt, és a visszaéléseket aligha lehet megakadályozni”. A szövetségi minisztérium ezért olyan szabályozást támogat, amely elősegíti „a következetes átállást olyan alternatív hirdetési modellekre”, amelyek nem igényelnek személyes adatokat.
A német Alkotmányvédelmi Hivatal székhelye Köln-Chorweilerben, a kék pöttyök a mobilok
"Számomra nem kérdés, hogy valamit tenni kell. Ez a helyzet ebben a formában elfogadhatatlan” - mondta Konstantin von Notz (Zöldek), a Bundestag tagja. Ő a szövetségi titkosszolgálatokat felügyelő parlamenti ellenőrző bizottság elnöke. Az ilyen adatok külső szolgálatok számára való hozzáférhetőségét „releváns biztonsági problémának” nevezi. „Ebben a konkrét esetben ez ellentmond a Német Szövetségi Köztársaság biztonsági érdekeinek. Ezeket az adatokat nem szabad ilyen formában összegyűjteni, majd nem szabad eladni”.
„Csak egy következtetés vonható le: az ilyen üzleti modelleket meg kell szüntetni” - mondja Martina Renner képviselő. "Véleményem szerint az adatkereskedelmet, különösen az ilyen érzékeny adatokkal való kereskedelmet be kell tiltani. Sürgősen szükségünk van az adatvédelem és a médiaszolgáltatások szabályozásának mélyreható megváltoztatására az EU-ban.” Roderich Kiesewetter (CDU) Bundestag-képviselő, a parlamenti ellenőrző bizottság elnökhelyettese szintén nagyobb védelmet követel. Az adatpiacok és az eladók szabályozását szeretné, "hogy az ilyen adatrekordokat ne használhassák fel külföldi ellenséges szolgálatok a hibrid hadviselés keretében”, valamint „hogy megvédjük polgárainkat a külföldi államok általi lehallgatástól”.
"A fogyasztók nyilvánvalóan ki vannak szolgáltatva a reklámiparnak” - mondja Ramona Pop, a Német Fogyasztóvédelmi Szervezetek Szövetségének elnöke. „Az európai jogalkotóknak végre fel kell ismerniük, hogy a személyes felhasználói adatok nem tartoznak a reklámipar kezébe, és jogi lépéseket kell tenniük. A reklámcélú nyomon követést és profilalkotást be kell tiltani.” A szövetségi adatvédelmi biztos, Louisa Specht-Riemenschneider „jogvédelmi résről” beszél az adatpiacokkal összefüggésben. Nincsenek szabályozva azok a szolgáltatások, amelyek maguk nem dolgoznak fel adatokat, hanem csak hozzájárulnak azok feldolgozásához, például azáltal, hogy kapcsolatot kezdeményeznek az adatkereskedők és a vevők között. "A jogalkotóknak sürgősen megoldást kell találniuk, például a szövetségi adatvédelmi törvényben.”
A német légierő Büchel légitámaszpontja, ahol amerikai nukleáris fegyvereket is tárolnak. Az adathalmazban itt 189 azonosító 38 474 helymeghatározási adata szerepel
„Az adatpiacot mindenképpen szigorúbban kell szabályozni” - követeli Thorsten Wetzling, aki az Interface agytrösztnél a megfigyeléssel és az állampolgári jogokkal foglalkozó kutatási területet vezeti. Szerinte a feladat az EU-ra hárul, amely a közelmúltbeli parlamenti választások után most szervezi át magát. "Reméljük, hogy az ilyen leleplezések felrázzák a lakosságot, a felügyeleti hatóságokat és a jogalkotókat is” - mondja Martin Baumann ügyvéd, a bécsi noyb adatvédelmi civil szervezet munkatársa. A szervezet jogi lépéseket is fontolgat az érintett cégek ellen. „Ez hatalmas biztonsági kockázatot jelent a digitális erőszak által érintettek számára” - írja Anna Wegscheider, a HateAid nonprofit szervezet jogásza. A zaklatók felhasználhatják az ilyen adatokat mások felkutatására.
A német kormány nyilvánvalóan tisztában van azzal, hogy külföldi hírszerző szolgálatok adatokat vásárolnak a kereskedőktől. A belügyminisztérium és a védelmi minisztérium szerint a külföldi hírszerző szolgálatok általában minden rendelkezésre álló eszközt felhasználnak. „Ebbe beletartozik az interneten elérhető adatok vásárlása és felhasználása is”. "Tisztában vagyunk a potenciális kockázattal, és nagyon valószínűnek tartjuk, hogy a Bundeswehr minden tagja, mint minden mobiltelefon-használó, ki van téve ennek a kockázatnak mind a magánéletében, mind a hivatásában” - írta a német Honvédelmi Minisztérium az újságírók megkeresésére.
Az illetékes minisztériumok nem nyilatkoztak arról, hogy a német hírszerző szolgálatok maguk is vásárolnak-e adatkereskedőktől. A védelmi minisztérium a Katonai Elhárító Szolgálattal kapcsolatban azt írta: az illetékes szövetségi hivatal „minden jogilag megengedett eszközt” felhasznál. Ismert tény, hogy az Egyesült Államok kormányzati szervei vásárolnak adatkereskedőktől származó információkat. Az Interface agytröszt nemrégiben készített tanulmánya arra a következtetésre jutott, hogy valószínűsíthető, hogy a német hírszerző szolgálatok is használnak ilyen forrást. Az, hogy a német szolgálatoknak van-e erre konkrét jogalapjuk, vitatott, legalábbis erre utal a német kormány által a BND reformja kapcsán megfogalmazott jogi indoklás. Ebben a reklámadatbázisokból történő adatvásárlást „általánosan hozzáférhető forrásokból” származó információszerzésként írják le.
A netzpolitik.org és a Bayerischer Rundfunk megszereztek egy 3,6 milliárd németországi helymeghatározási adatot tartalmazó adatállományt. Az adatok mintegy 11 millió különböző eszközazonosítót tartalmaznak, és 2023 végére, mintegy két hónapos időszakra datálódnak. Az adatokból emberek millióinak mozgásprofilja derül ki, így például következtetéseket lehet levonni arról, hogy hol dolgoznak, hol laknak, hol vásárolnak vagy sétálnak, járnak-e kórházba, bölcsődébe vagy bordélyházba. Az újságírók egyszerű online kereséssel több embert is egyértelműen be tudtak azonosítani az adatok alapján, például azért, mert a telefonkönyvben szerepel a lakcímük, a közösségi médiában pedig a munkahelyük.
Az adatkészlet a Datastream Group adatkereskedő cégtől származik, amelynek székhelye az Egyesült Államokban, Floridában található. Ez azonban csak egy példa a személyes adatok globális kereskedelmére, mely mögött több ezer vállalat szinte áttekinthetetlen hálózata áll. Az adatokat ingyenes mintaként kapták meg az újságírók, amely előfizetési előzetesként szolgált volna. A kereskedő mintegy 14 000 dollárért a világ több millió okostelefonjáról származó friss helymeghatározási adatok folyamatos áramlását kínálja, szinte valós időben. Az adatkereskedővel egy Németországból működtetett adatpiacon keresztül vették fel a kapcsolatot. A Datarade nevet viseli, és berlini székhelyű.
A helymeghatározási adatok mobiltelefonos alkalmazásokból származnak, amelyek többek között reklámcélokra továbbítják a GPS-adatokat. A felhasználóknak általában egyszer bele kell egyezniük ebbe az alkalmazás adatvédelmi szabályzatában. Az ilyen helymeghatározási adatok általában népszerű időjárási, navigációs vagy társkereső alkalmazásokból származnak. Tehát ez egy globális probléma, az adatpiacon minden kontinensről, köztük más uniós országokból származó helymeghatározási adatok is szerepelnek. Ezeket számos kereskedő hirdeti.
Az adatkészlet tartalmazza azon személyek mozgási profilját, akik nyilvánvalóan a szövetségi minisztériumoknak, a német fegyveres erőknek, a biztonsági hatóságoknak és a hírszerző szolgálatoknak dolgoznak, és akik a nemzetbiztonság szempontjából relevánsak. A riportereknek sikerült például azonosítaniuk egy olyan vezető beosztású személyt, aki egy szövetségi minisztérium biztonsági kérdéseivel foglalkozik, valamint egy olyan személyt, aki a német titkosszolgálatnak dolgozik. Találtak mozgási profilokat a német hírszerző ügynökségek olyan helyszínein, ahol állítólag az amerikai NSA ügynökei is járnak-kelnek. Az ilyen adatokat külföldi hírszerző szolgálatok is megszerezhetik, és kémkedésre vagy szabotázsra használhatják - például katonai helyszínek felkutatására, célpontok felkutatására vagy ügynökök leleplezésére.
Jogi alapként az adatokat feldolgozó vállalatok általában az alkalmazás felhasználóinak az adatvédelmi előírásokban szereplő hozzájárulására támaszkodnak. Ezek gyakran rendelkeznek arról, hogy az adatokat továbbíthatják kereskedőknek. Az általános adatvédelmi rendelet (GDPR) szerint az ilyen hozzájárulás csak akkor érvényes, ha azt konkrét esetekre adják meg, és az érintettek tájékoztatást kapnak, és önkéntesen járnak el. Adatvédelmi szakértők szerint ezek a követelmények általában nem teljesülnek, az adatvédelmi rendelkezésekben ugyanis gyakran rejtve marad a több száz vállalatnak történő adattovábbításra való utalás, így a hozzájárulás aligha lehet tájékozott.
A német adatvédelmi hatóságok eddig nem foglalkoztak az adatkereskedelmi ágazattal, csak akkor válnak aktívvá, ha az érintett polgárok panaszt tesznek. Az ilyen panaszok azonban ritkák. A 3,6 milliárd helymeghatározó adat egy amerikai kiskereskedőtől származik és az adatvédelmi törvényt külföldön gyakran nehéz érvényesíteni. A berlini Datarade adatpiacra valószínűleg nem vonatkozik a GDPR - ezt a berlini adatvédelmi biztos állapította meg egy előzetes vizsgálatot követően. Ennek oka, hogy a vállalatnak magának kellene feldolgoznia az adatokat ahhoz, hogy a GDPR hatálya alá tartozzon. A piactér azonban csupán összekapcsolja az érdeklődőket és a kereskedőket, és jutalékot szed az eladásokért.
„Egy szabad társadalomban az ilyen érzékeny személyes adatoknak nem szabadna kereskedelmi céllal harmadik felek rendelkezésére állniuk” - írja a szövetségi fogyasztóvédelmi minisztérium (BMUV). „Ha az adatok egyszer már bekerültek a reklámcégekhez, a felhasználók elveszítenek minden kontrollt, és a visszaéléseket aligha lehet megakadályozni”. A szövetségi minisztérium ezért olyan szabályozást támogat, amely elősegíti „a következetes átállást olyan alternatív hirdetési modellekre”, amelyek nem igényelnek személyes adatokat.
A német Alkotmányvédelmi Hivatal székhelye Köln-Chorweilerben, a kék pöttyök a mobilok
"Számomra nem kérdés, hogy valamit tenni kell. Ez a helyzet ebben a formában elfogadhatatlan” - mondta Konstantin von Notz (Zöldek), a Bundestag tagja. Ő a szövetségi titkosszolgálatokat felügyelő parlamenti ellenőrző bizottság elnöke. Az ilyen adatok külső szolgálatok számára való hozzáférhetőségét „releváns biztonsági problémának” nevezi. „Ebben a konkrét esetben ez ellentmond a Német Szövetségi Köztársaság biztonsági érdekeinek. Ezeket az adatokat nem szabad ilyen formában összegyűjteni, majd nem szabad eladni”.
„Csak egy következtetés vonható le: az ilyen üzleti modelleket meg kell szüntetni” - mondja Martina Renner képviselő. "Véleményem szerint az adatkereskedelmet, különösen az ilyen érzékeny adatokkal való kereskedelmet be kell tiltani. Sürgősen szükségünk van az adatvédelem és a médiaszolgáltatások szabályozásának mélyreható megváltoztatására az EU-ban.” Roderich Kiesewetter (CDU) Bundestag-képviselő, a parlamenti ellenőrző bizottság elnökhelyettese szintén nagyobb védelmet követel. Az adatpiacok és az eladók szabályozását szeretné, "hogy az ilyen adatrekordokat ne használhassák fel külföldi ellenséges szolgálatok a hibrid hadviselés keretében”, valamint „hogy megvédjük polgárainkat a külföldi államok általi lehallgatástól”.
"A fogyasztók nyilvánvalóan ki vannak szolgáltatva a reklámiparnak” - mondja Ramona Pop, a Német Fogyasztóvédelmi Szervezetek Szövetségének elnöke. „Az európai jogalkotóknak végre fel kell ismerniük, hogy a személyes felhasználói adatok nem tartoznak a reklámipar kezébe, és jogi lépéseket kell tenniük. A reklámcélú nyomon követést és profilalkotást be kell tiltani.” A szövetségi adatvédelmi biztos, Louisa Specht-Riemenschneider „jogvédelmi résről” beszél az adatpiacokkal összefüggésben. Nincsenek szabályozva azok a szolgáltatások, amelyek maguk nem dolgoznak fel adatokat, hanem csak hozzájárulnak azok feldolgozásához, például azáltal, hogy kapcsolatot kezdeményeznek az adatkereskedők és a vevők között. "A jogalkotóknak sürgősen megoldást kell találniuk, például a szövetségi adatvédelmi törvényben.”
A német légierő Büchel légitámaszpontja, ahol amerikai nukleáris fegyvereket is tárolnak. Az adathalmazban itt 189 azonosító 38 474 helymeghatározási adata szerepel
„Az adatpiacot mindenképpen szigorúbban kell szabályozni” - követeli Thorsten Wetzling, aki az Interface agytrösztnél a megfigyeléssel és az állampolgári jogokkal foglalkozó kutatási területet vezeti. Szerinte a feladat az EU-ra hárul, amely a közelmúltbeli parlamenti választások után most szervezi át magát. "Reméljük, hogy az ilyen leleplezések felrázzák a lakosságot, a felügyeleti hatóságokat és a jogalkotókat is” - mondja Martin Baumann ügyvéd, a bécsi noyb adatvédelmi civil szervezet munkatársa. A szervezet jogi lépéseket is fontolgat az érintett cégek ellen. „Ez hatalmas biztonsági kockázatot jelent a digitális erőszak által érintettek számára” - írja Anna Wegscheider, a HateAid nonprofit szervezet jogásza. A zaklatók felhasználhatják az ilyen adatokat mások felkutatására.
A német kormány nyilvánvalóan tisztában van azzal, hogy külföldi hírszerző szolgálatok adatokat vásárolnak a kereskedőktől. A belügyminisztérium és a védelmi minisztérium szerint a külföldi hírszerző szolgálatok általában minden rendelkezésre álló eszközt felhasználnak. „Ebbe beletartozik az interneten elérhető adatok vásárlása és felhasználása is”. "Tisztában vagyunk a potenciális kockázattal, és nagyon valószínűnek tartjuk, hogy a Bundeswehr minden tagja, mint minden mobiltelefon-használó, ki van téve ennek a kockázatnak mind a magánéletében, mind a hivatásában” - írta a német Honvédelmi Minisztérium az újságírók megkeresésére.
Az illetékes minisztériumok nem nyilatkoztak arról, hogy a német hírszerző szolgálatok maguk is vásárolnak-e adatkereskedőktől. A védelmi minisztérium a Katonai Elhárító Szolgálattal kapcsolatban azt írta: az illetékes szövetségi hivatal „minden jogilag megengedett eszközt” felhasznál. Ismert tény, hogy az Egyesült Államok kormányzati szervei vásárolnak adatkereskedőktől származó információkat. Az Interface agytröszt nemrégiben készített tanulmánya arra a következtetésre jutott, hogy valószínűsíthető, hogy a német hírszerző szolgálatok is használnak ilyen forrást. Az, hogy a német szolgálatoknak van-e erre konkrét jogalapjuk, vitatott, legalábbis erre utal a német kormány által a BND reformja kapcsán megfogalmazott jogi indoklás. Ebben a reklámadatbázisokból történő adatvásárlást „általánosan hozzáférhető forrásokból” származó információszerzésként írják le.