Bericht von VICE.com:
https://www.vice.com/en/article/m7vymn/cdc-tracked-phones-location-data-curfews
Aus neu veröffentlichten Dokumenten geht hervor, dass die CDC die Verwendung von Telefonstandortdaten zur Überwachung von Schulen und Kirchen plante und die Daten auch für viele andere Zwecke als COVID-19 verwenden wollte.
Die Zentren für Krankheitskontrolle und -prävention (CDC) kauften Zugang zu Standortdaten, die von Millionen von Telefonen in den Vereinigten Staaten gesammelt wurden, um die Einhaltung von Ausgangssperren zu analysieren, die Besuchsmuster von K-12-Schulen zu verfolgen und speziell die Wirksamkeit der Politik in der Navajo-Nation zu überwachen, wie aus CDC-Dokumenten hervorgeht, die Motherboard vorliegen. Aus den Dokumenten geht auch hervor, dass die CDC COVID-19 zwar als Grund für einen schnelleren Zugang zu den Daten anführte, diese aber auch für allgemeinere Zwecke der CDC nutzen wollte.
Bei Standortdaten handelt es sich um Informationen über den Standort eines Geräts, die aus dem Telefon stammen und Aufschluss darüber geben können, wo eine Person wohnt, arbeitet und wo sie sich aufgehalten hat. Die Art von Daten, die die CDC gekauft hat, war aggregiert – d. h. sie wurde entwickelt, um Trends zu verfolgen, die sich aus den Bewegungen von Personengruppen ergeben -, aber Forscher haben wiederholt Bedenken geäußert, wie Standortdaten deanonymisiert und zur Verfolgung bestimmter Personen verwendet werden können.
Die Dokumente enthüllen den weitreichenden Plan, den die CDC letztes Jahr hatte, um Standortdaten von einem höchst umstrittenen Datenbroker zu verwenden. SafeGraph, das Unternehmen, dem die CDC 420.000 Dollar für den Zugang zu den Daten eines Jahres gezahlt hat, zählt Peter Thiel und den ehemaligen Leiter des saudischen Geheimdienstes zu seinen Investoren. Google hat das Unternehmen im Juni aus dem Play Store verbannt.
Arbeiten Sie in der Branche für Standortdaten? Wir würden uns freuen, von Ihnen zu hören. Wenn Sie ein Telefon oder einen Computer benutzen, der nicht zur Arbeit gehört, können Sie Joseph Cox sicher über Signal unter +44 20 8133 5190, Wickr unter josephcox, OTR-Chat unter jfcox@jabber.ccc.de oder per E-Mail unter joseph.cox@vice.com erreichen.
Die CDC nutzte die Daten für die Überwachung von Ausgangssperren. In den Dokumenten heißt es, dass die Daten von SafeGraph „für die laufenden Maßnahmen von entscheidender Bedeutung waren, wie z. B. die stündliche Überwachung der Aktivitäten in Ausgangssperren oder die detaillierte Zählung der Besuche in den teilnehmenden Apotheken für die Impfstoffüberwachung“. Die Dokumente stammen aus dem Jahr 2021.
Zach Edwards, ein Cybersecurity-Forscher, der den Datenmarktplatz genau verfolgt, sagte Motherboard in einem Online-Chat, nachdem er die Dokumente durchgesehen hatte: „Die CDC scheint absichtlich eine offene Liste von Anwendungsfällen erstellt zu haben, die die Überwachung von Ausgangssperren, Besuche von Nachbarn, Besuche in Kirchen, Schulen und Apotheken sowie eine Vielzahl von Analysen mit diesen Daten umfasst, die sich speziell auf ‚Gewalt‘ konzentrieren.“ (Das Dokument macht nicht bei Kirchen halt; es erwähnt „Orte der Anbetung“).
Motherboard erhielt die Dokumente durch eine Anfrage nach dem Freedom of Information Act (FOIA) bei der CDC.
Die Dokumente enthalten eine lange Liste dessen, was die CDC als 21 verschiedene „potenzielle CDC-Nutzungsfälle für Daten“ beschreibt. Dazu gehören:
„Verfolgung von Mustern der Besucher von K-12-Schulen nach Schule und Vergleich mit 2019; Vergleich mit epi-Metriken [Environmental Performance Index], wenn möglich.“
„Untersuchung der Korrelation von Daten zu Mobilitätsmustern und dem Anstieg der COVID-19-Fälle […] Bewegungseinschränkungen (Grenzschließungen, überregionale und nächtliche Ausgangssperren), um die Einhaltung zu zeigen.“ „Untersuchung der Wirksamkeit der öffentlichen Politik in [der] Navajo Nation„.
Zu Beginn der Pandemie wurden die Standortdaten von Mobiltelefonen als ein potenziell nützliches Instrument angesehen. Mehrere Medienorganisationen, darunter die New York Times, nutzten die von den Unternehmen der Branche bereitgestellten Standortdaten, um zu zeigen, wohin die Menschen reisten, sobald die Sperren aufgehoben wurden, oder um hervorzuheben, dass ärmere Gemeinden nicht in der Lage waren, sich so weit wie die reicheren zu schützen.
Die COVID-19-Pandemie als Ganzes war ein Brennpunkt in einem breiteren Kulturkampf, in dem Konservative und Anti-Impf-Gruppen gegen staatliche Masken und Impfvorschriften protestierten. Sie haben auch eine besondere Paranoia zum Ausdruck gebracht, dass Impfpässe als Verfolgungs- oder Überwachungsinstrument eingesetzt werden könnten, indem sie die Verweigerung von Impfungen als eine Frage der bürgerlichen Freiheiten darstellen. Robert F. Kennedy Jr.’s Children’s Health Defense, eine der einflussreichsten und finanzstärksten Anti-Impf-Gruppen in den USA, hat Befürchtungen geäußert, dass digitale Impfpässe zur Überwachung der Bürger eingesetzt werden könnten. Der QAnon-Promotor Dustin Nemos schrieb im Dezember auf Telegram, dass Impfpässe „ein trojanisches Pferd sind, das dazu benutzt wird, eine völlig neue Art von kontrollierter und überwachter Gesellschaft zu schaffen, in der die Freiheit, die wir heute genießen, eine ferne Erinnerung sein wird.“
Vor diesem aufgeheizten Hintergrund dürfte die Verwendung von Handy-Standortdaten für eine Vielzahl von Verfolgungsmaßnahmen umstritten sein, selbst wenn sie dazu dient, besser über die Ausbreitung der Pandemie informiert zu sein oder die Politik zu informieren. Es ist auch wahrscheinlich, dass die Impfgegner damit einen realen Datenpunkt erhalten, an dem sie ihre düsteren Warnungen festmachen können.
In den Beschaffungsunterlagen heißt es: „Dies ist eine dringende COVID-19-PR [Beschaffungsanfrage]“, und es wird um eine Beschleunigung der Beschaffung gebeten.
Einige der Anwendungsfälle sind jedoch nicht ausdrücklich mit der COVID-19-Pandemie verbunden. In einem heißt es: „Recherchieren Sie interessante Punkte für körperliche Aktivität und die Prävention chronischer Krankheiten, wie z. B. Besuche in Parks, Fitnessstudios oder Unternehmen für Gewichtsmanagement.
In einem weiteren Abschnitt des Dokuments wird die Verwendung der Standortdaten für nicht COVID-19-bezogene Programme erläutert.
„CDC plant auch, die Mobilitätsdaten und -dienste, die durch diese Akquisition erworben wurden, zur Unterstützung von nicht COVID-19-bezogenen Programmbereichen und Prioritäten im Bereich der öffentlichen Gesundheit in der gesamten Behörde zu nutzen, einschließlich, aber nicht beschränkt auf Reisen zu Parks und Grünflächen, körperliche Aktivität und Reisemodus sowie Bevölkerungsmigration vor, während und nach Naturkatastrophen“, heißt es dort. „Die im Rahmen dieses Vertrags gewonnenen Mobilitätsdaten werden für die gesamte CDC zur Verfügung stehen und zahlreiche Prioritäten der CDC unterstützen.“
Die CDC reagierte nicht auf mehrere E-Mails, in denen sie um eine Stellungnahme dazu bat, für welche Anwendungsfälle sie die SafeGraph-Daten einsetzt.
SafeGraph ist Teil der Ballonortungsindustrie und hat bereits Datensätze mit 18 Millionen Mobiltelefonen aus den Vereinigten Staaten zur Verfügung gestellt. In den Dokumenten heißt es, dass es sich bei diesem Erwerb um Daten handelt, die geografisch repräsentativ sind, d. h. von mindestens 20 Millionen aktiven Handynutzern pro Tag in den Vereinigten Staaten stammen.
In der Regel bitten oder bezahlen die Unternehmen dieser Branche App-Entwickler, einen Code zur Erfassung von Standortdaten in ihre Apps einzubauen. Die Standortdaten werden dann an Unternehmen weitergegeben, die die rohen Standortdaten direkt weiterverkaufen oder in Produkte verpacken können.
SafeGraph vertreibt beides. Auf der Seite der entwickelten Produkte hat SafeGraph mehrere verschiedene Produkte. Bei „Places“ geht es um Points of Interest (POIs), z. B. wo sich bestimmte Geschäfte oder Gebäude befinden. „Patterns“ basiert auf den Standortdaten von Mobiltelefonen, die zeigen können, wie lange sich Menschen an einem Ort aufhalten und „woher sie kommen“ und „wohin sie sonst noch gehen“, heißt es auf der Website von SafeGraph. Seit kurzem bietet SafeGraph unter dem Produkt „Spend“ auch aggregierte Transaktionsdaten an, aus denen hervorgeht, wie viel die Verbraucher typischerweise an bestimmten Orten ausgeben.
SafeGraph verkauft seine Produkte an eine Vielzahl von Branchen, wie z. B. die Immobilien-, Versicherungs- und Werbebranche. Diese Produkte enthalten aggregierte Daten über Bewegungen und Ausgaben, nicht aber über den Standort bestimmter Geräte. Motherboard hat zuvor einen Satz SafeGraph-Standortdaten für 200 US-Dollar gekauft.
Die Daten waren aggregiert, d. h., sie sollten nicht die Bewegungen bestimmter Geräte und damit Personen aufzeigen, aber Edwards sagte damals: „Meiner Meinung nach liegen die SafeGraph-Daten weit jenseits aller sicheren Schwellenwerte [bezüglich der Anonymität].“ Edwards verwies auf ein Suchergebnis im Datenportal von SafeGraph, das Daten zu einer bestimmten Arztpraxis anzeigte und zeigte, wie fein abgestimmt die Daten des Unternehmens sein können. Theoretisch könnte ein Angreifer diese Daten nutzen, um zu versuchen, die spezifischen Nutzer zu enttarnen, was, wie Forscher wiederholt gezeigt haben, möglich ist.
In January 2019, the Illinois Department of Transportation bought such data from SafeGraph that related to over 5 million phones, activist organization the Electronic Frontier Foundation (EFF) previously found.
The CDC documents show that the agency bought access to SafeGraph’s “U.S. Core Place Data,” “Weekly Patterns Data,” and “Neighborhood Patterns Data. That last product includes information such as home dwelling time, and is aggregated by state and census block.
“SafeGraph offers visitor data at the Census Block Group level that allows for extremely accurate insights related to age, gender, race, citizenship status, income, and more,” one of the CDC documents reads.
Sowohl SafeGraph als auch die CDC haben bereits früher über ihre Partnerschaft gesprochen, allerdings nicht in der Ausführlichkeit, wie sie in den Dokumenten zu finden ist. Die CDC veröffentlichte im September 2020 eine Studie, in der untersucht wurde, ob Menschen im ganzen Land die Anweisung befolgten, zu Hause zu bleiben, und die offenbar Daten von SafeGraph verwendete.
SafeGraph schrieb in einem Blogbeitrag im April 2020: „Um unseren Teil im Kampf gegen die COVID-19-Gesundheitskrise – und ihre verheerenden Auswirkungen auf die Weltwirtschaft – beizutragen, haben wir beschlossen, unser Programm weiter auszubauen und unsere Fußverkehrsdaten gemeinnützigen Organisationen und Regierungsbehörden auf lokaler, bundesstaatlicher und föderaler Ebene kostenlos zur Verfügung zu stellen.“
Mehrere Unternehmen für Standortdaten haben ihre Daten als potenziellen Beitrag zur Bekämpfung der Pandemie während ihres Höhepunkts in den Vereinigten Staaten angepriesen und Daten für Regierungs- und Medienorganisationen zur Verfügung gestellt.
Ein Jahr später kaufte die CDC den Zugang zu den Daten, weil SafeGraph sie nicht mehr kostenlos zur Verfügung stellen wollte, heißt es in den Dokumenten. Die Datennutzungsvereinbarung für die als Sachleistung zur Verfügung gestellten Daten sollte am 31. März 2021 auslaufen, heißt es in den Dokumenten weiter. Der Zugang zu den Daten sei im Zuge der Öffnung der USA nach wie vor wichtig, argumentiert die CDC in den Dokumenten.
„Die CDC hat ein Interesse daran, weiterhin Zugang zu diesen Mobilitätsdaten zu haben, wenn sich das Land wieder öffnet. Diese Daten werden von mehreren Teams/Gruppen in der Reaktion verwendet und haben zu tieferen Einsichten in die Pandemie geführt, da sie das menschliche Verhalten betreffen“, heißt es in einem Abschnitt.
Forscher der EFF haben separat Dokumente über den Kauf ähnlicher Standortdatenprodukte durch die CDC von einem Unternehmen namens Cubeiq sowie die SafeGraph-Dokumente erhalten. Die EFF teilte diese Dokumente mit Motherboard. Aus ihnen geht hervor, dass die CDC wegen COVID-19 ebenfalls darum bat, den Kauf der Daten von Cubeiq zu beschleunigen, und beabsichtigte, sie für andere Zwecke als COVID-19 zu verwenden. In den Dokumenten wurden auch die gleichen potenziellen Verwendungszwecke für die Daten von Cubeiq aufgeführt wie in den SafeGraph-Dokumenten.
Google hat SafeGraph im Juni aus seinem Google Play Store verbannt. Dies bedeutete, dass alle App-Entwickler, die den Code von SafeGraph verwendeten, diesen aus ihren Apps entfernen mussten, oder sie mussten damit rechnen, dass ihre App aus dem Store entfernt wurde. Es ist nicht ganz klar, wie wirksam dieses Verbot war: SafeGraph hat zuvor erklärt, dass es Standortdaten über Veraset erhält, ein Spin-Off-Unternehmen, das mit den App-Entwicklern zusammenarbeitet.
SafeGraph reagierte nicht auf mehrere Bitten bezüglich einer Stellungnahme.
