FTC verbietet Datenhändler Kochava den Verkauf von Standortdaten ohne Einwilligung

Zusammenfassung

Die US-Handelsaufsicht Federal Trade Commission (FTC) untersagt dem Datenhändler Kochava und seiner Tochtergesellschaft Collective Data Solutions (CDS) künftig, Standortdaten ohne ausdrückliche Einwilligung der Betroffenen zu verkaufen. Damit wird ein Verfahren beigelegt, das die Behörde vor knapp vier Jahren angestrengt hatte. Die FTC hatte das im US-Bundesstaat Idaho ansässige Unternehmen im August 2022 verklagt und ihm vorgeworfen, präzise Geolokalisierungsdaten von Hunderten Millionen Mobilgeräten gesammelt und verkauft zu haben. Über diese Daten konnten Kochavas Kunden die Bewegungen der Mobilnutzer zu und von sensiblen Orten nachverfolgen – darunter Einrichtungen für psychische Gesundheit und Suchtbehandlung, Kliniken für reproduktive Gesundheit, Gotteshäuser sowie Unterkünfte für Obdachlose und Opfer häuslicher Gewalt. Nach Darstellung der Kommission wussten die betroffenen Verbraucher nichts von der Weitergabe ihrer Daten und hatten ihr nicht zugestimmt, sodass sie sich gegen mögliche Folgen wie Stalking, Diskriminierung und körperliche Gewalt nicht wehren konnten. Mit dem nun vorgelegten Vergleich endet ein Streit, in dem Kochava seinerseits gegen die FTC geklagt hatte.

Laut der Klageschrift bot Kochava Kunden gegen eine Abonnementgebühr von 25.000 US-Dollar Zugang zu den Daten – über einen leicht zu bedienenden Datenstrom auf dem Marktplatz von Amazon Web Services (AWS). Das Unternehmen warb damit, „umfangreiche Geodaten zu Milliarden von Geräten weltweit" zu liefern.

Nach eigenen Angaben lieferte Kochavas Standortdaten-Feed „rohe Breiten- und Längengraddaten mit einem Volumen von rund 94 Milliarden Geo-Transaktionen pro Monat, 125 Millionen monatlich aktiven Nutzern und 35 Millionen täglich aktiven Nutzern" – im Schnitt mehr als 90 tägliche Transaktionen pro Gerät.

Kochava ging seinerseits gegen die FTC vor und warf der Behörde Kompetenzüberschreitung vor. Einen Tag vor Einreichung der Klage gegen die Verbraucherschutzbehörde kündigte das Unternehmen zudem „Privacy Block" an – einen „datenschutzorientierten Ansatz", um Standorte von Gesundheitsdiensten aus dem Kochava-Collective-Marktplatz auszuschließen und so die von der FTC benannten Datenschutzprobleme zu adressieren.

Nach der beim US-Bezirksgericht für den District of Idaho eingereichten Vergleichsvereinbarung dürfen Kochava und seine Tochtergesellschaft – die das Datenhandelsgeschäft inzwischen übernommen hat – präzise Standortdaten nur noch dann verkaufen, lizenzieren, übertragen oder offenlegen, wenn eine ausdrückliche Einwilligung vorliegt und die Daten zur Erbringung eines vom Verbraucher direkt angeforderten Dienstes genutzt werden.

Über das Verkaufsverbot hinaus müssen die Unternehmen ein Programm für sensible Standortdaten aufbauen, ein Prüfprogramm zur Verifizierung der Einwilligung von Zulieferern einrichten, Verbrauchern die Auskunft darüber ermöglichen, wer ihre Daten erhalten hat, und ihnen den Widerruf der Einwilligung erlauben. Außerdem müssen sie der FTC Vorfälle melden, wenn Dritte Standortdaten missbrauchen, und einen Zeitplan für die Aufbewahrung und Löschung von Daten festlegen. Die Vereinbarung erhält Gesetzeskraft, sobald der Bezirksrichter sie genehmigt.

Bereits im August 2022 hatte die FTC angekündigt, neue Regeln gegen Unternehmen zu prüfen, die kommerzielle Massenüberwachung betreiben und dabei Verbraucherdaten sammeln, auswerten und zu Geld machen. Einen Monat zuvor hatte die Kommission gewarnt, sie werde das Gesetz durchsetzen, falls Unternehmen sensible Verbraucherdaten unrechtmäßig weitergeben oder nutzen.

Zuletzt hatte die Behörde 2024 den Datenhändlern InMarket Media, Outlogic (vormals X-Mode Social), Gravy Analytics und Mobilewalla das Sammeln und Verkaufen von Standortdaten US-amerikanischer Bürger untersagt.

FTC verbietet Datenhändler Kochava den Verkauf von Standortdaten ohne Einwilligung

Ähnliche Artikel

Neueste Artikel