DatenschutzHackerangriffeCyberkriminalität

FTC zwingt Datenhändler Kochava zur Sperrung sensibler Standortdaten

Von CyberDeutsch Redaktion
FTC zwingt Datenhändler Kochava zur Sperrung sensibler Standortdaten
Zusammenfassung

Die US-Behörde Federal Trade Commission (FTC) hat sich auf einen Vergleich mit dem Datenhändler Kochava geeinigt, der das Unternehmen zur Einstellung des unrechtmäßigen Verkaufs hochsensibler Standortdaten verpflichtet. Kochava hatte über Jahre hinweg präzise Echtzeit-Geolokalisierungsdaten von Verbrauchern gesammelt und verkauft, einschließlich Informationen über Besuche in Gotteshäusern, Gesundheitskliniken sowie mobile Geräte-IDs und App-Nutzungsdaten – alles ohne explizite Zustimmung der betroffenen Personen. Der FTC-Klage von 2022 zufolge handelte es sich um unlautere und irreführende Geschäftspraktiken. Obwohl der Vergleich keine Geldstrafe vorsieht, markiert er einen seltenen Sieg der Biden-Regierung gegen Datenmissbrauch. Für deutsche Nutzer und Unternehmen ist dieser Fall von erheblicher Bedeutung, da er zeigt, wie aggressiv internationale Datenhändler vorgehen – ein Problem, das auch unter der europäischen Datenschutz-Grundverordnung (DSGVO) relevant ist. Deutsche Behörden und Unternehmen sollten ähnliche Praktiken im Blick behalten, denn solche Datenbroker operieren grenzüberschreitend und könnten auch hierzulande tätig sein. Der Fall unterstreicht die Notwendigkeit strengerer Regulierung und Kontrollen bei der Verarbeitung sensibler Standortdaten.

Der Fall Kochava, der bereits 2022 mit einer FTC-Klage begann, markiert einen seltenen Sieg für Verbraucherschützer gegen die datengetriebene Industrie. Die FTC unter Leitung von Lina Khan hatte lange gegen das Unternehmen gekämpft und legte nun eine Einigung vor, die umfangreiche Auflagen mit sich bringt — wenngleich überraschenderweise ohne Geldstrafe.

Kochava hatte über Jahre hinweg Standortdaten von Millionen von Nutzern gesammelt, häufig ohne deren Wissen. Die Daten stammten aus Software Development Kits (SDKs), die in mobilen Anwendungen eingebettet waren. Mit dieser Methode konnte das Unternehmen nahezu in Echtzeit verfolgen, wo sich Personen aufhielten — ein digitales Überwachungssystem mit erheblichem kommerziellen Wert. Der Datenhändler verkaufte diese Informationen an Marketingfirmen, Versicherer und andere Unternehmen, die damit Verbraucherverhalten vorhersagen und beeinflussen wollten.

Die nun durchgesetzte Einigung verpflichtet Kochava zu mehreren bedeutsamen Maßnahmen. Das Unternehmen muss ein Katalogisierungssystem für sensible Orte (Kirchen, Krankenhäuser, Abtreibungskliniken) etablieren und darf deren Standortdaten nicht mehr handeln. Ein neues Lieferantenkontrollprogramm soll überprüfen, ob Datenquellen eine legitime Zustimmung zur Datenerfassung erhalten haben. Verbraucher erhalten das Recht zu erfahren, an wen ihre Daten verkauft wurden, und können diese Transfers widerrufen. Besonders wichtig: Kochava muss eine feste Datenlöschfrist einführen — gesammelte Daten werden nach einem definierten Zeitplan automatisch gelöscht.

Bemerkenswert ist, dass Kochava bereits im November 2023 eine Klassenaktion-Regelung traf, in der es sich verpflichtete, mit dem Geolocation-Datenverkauf zu brechen. Die neue FTC-Einigung formalisiert diese Zusagen rechtlich und schafft durchsetzbare Kontrollmechanismen.

Für deutsche Unternehmen und Behörden liefert dieser Fall wichtige Lehren. Auch hierzulande operieren Datenmakler oft im rechtlichen Graubereich. Die DSGVO ist deutlicher als amerikanisches Recht — sie verbietet die Verarbeitung sensibler Daten praktisch ohne Einwilligung. Deutsche Unternehmen, die mit ähnlichen Praktiken experimentieren, riskieren teure Bußgeldverfahren des BfDI oder der Landesdatenschutzbehörden.

Ähnliche Artikel