Behörden hatten auch Zugriff auf Daten bei Instagram, Facebook und Twitter

Nach Informationen der American Civil Liberties Union of California (ACLU of California) haben auch Facebook, Twitter und Instagram den Behörden Zugriff auf Nutzerdaten gegeben, wenn auch indirekt. Es wurde dem Unternehmen Geofeedia entsprechend privilegierter Zugriff auf verschiedene Datenquellen der Unternehmen gegeben. Diesen Zugriff nutzt das Unternehmen für sein Social-Media-Monitoring, das sie wiederum ihren Kunden als Service verkaufen.

Lesenswert
Yahoo: Wurden nicht nur Mails gescannt?

Zu diesen Kunden gehören u.a. Strafverfolgungsbehörden, denen der Service auch gezielt als Tool zur Überwachung von Aktivisten und Demonstranten angeboten wurde – und das mit einigem Erfolg. Da in allen Feeds auch die teilweise mit den Posts, Fotos und Check-Ins verknüpften Ortsinformationen enthalten waren, eine durchaus interessante Datenquelle. Schließlich kann es ja aus Sicht der Polizei nicht schaden, zu wissen, an welchen Demonstrationen sich bestimmte Aktivisten beteiligt haben oder welche Personen regelmäßig gemeinsam an bestimmten Orten sind. Es dürfte für Sicherheitsbehörden aber auch von Interesse sein, ob Nutzer bestimmten politischen Gruppen nahestehen (könnten) oder sich für bestimmte Themen engagieren.

Laut ACLU hatte Geofeedia auf folgende Informationen Zugriff:

• Instagram had provided Geofeedia access to the Instagram API, a stream of public Instagram user posts. This data feed included any location data associated with the posts by users. Instagram terminated this access on September 19, 2016.
• Facebook had provided Geofeedia with access to a data feed called the Topic Feed API, which is supposed to be a tool for media companies and brand purposes, and which allowed Geofeedia to obtain a ranked feed of public posts from Facebook that mention a specific topic, including hashtags, events, or specific places. Facebook terminated this access on September 19, 2016.
• Twitter did not provide access to its “Firehose,” but has an agreement, via a subsidiary, to provide Geofeedia with searchable access to its database of public tweets. In February, Twitter added additional contract terms to try to further safeguard against surveillance. But our records show that as recently as July 11th, Geofeedia was still touting its product as a tool to monitor protests. After learning of this, Twitter sent Geofeedia a cease and desist letter.

Was man diesen Unternehmen aber zugute halten muss: Sie haben nach Anfrage der ACLU den Zugriff auf die Daten für Geofeedia drastisch reduziert oder gleich ganz abgedreht. Trotzdem hat die ACLU noch einiges zu kritisieren, vor allem das Fehlen bzw. die Nichtdurchsetzung von Nutzungsbedingungen der Netzwerke, die die Verwendung der gesammelten Daten für Überwachungszwecke untersagen. Denn trotz der entsprechenden Regeln bei Facebook und Twitter, die eine solche Verwendung der Daten untersagen, konnte Geofeedia offensichtlich recht lange den Datenstrom für genau dieses Zwecke verwenden.

Daher fordert die ACLU von den Betreibern sozialer Netzwerke auch einige Verbesserungen:

1. Kein Zugriff auf Daten für Entwickler von Überwachungstools: Wer gezielt Überwachungstools entwickelt oder Strafverfolgungsbehörden als Kunden hat und die Nutzung des eigenen Produkts für Überwachungszwecke erlaubt (einschließlich einem Monitoring z.B. nach politischen, religiösen oder sozialen Ansichten, Herkunft, Bewegung, Aktivitäten usw.), sollen von Netzwerkbetreibern keinen Zugriff auf Daten erhalten.
2. Klar, öffentliche und transparente Nutzungsbedingungen, die Entwicklern unmissverständlich untersagen, gesammelte Daten für Überwachungszwecke einzusetzen. Dabei soll auch ganz klar geregelt sein, wie diese Regeln durchgesetzt werden und welche Konsequenzen ein Verstoss hätte.
3. Die Entwickler sollen entsprechend kontrolliert werden, sowohl über technische Maßnahmen als auch über Kontrollen durch Menschen, um schnell potentielle Verstösse gegen diese Nutzungsbedingungen zu identifizieren und entsprechend zu reagieren.

Natürlich kämen die Behörden in bestimmten Fällen auch per Gerichtsbeschluss an die Daten, die sie hier eingekauft haben. Jedoch stellen Gerichte immer noch eine gewisse Hürde dar, manchmal hat man den Eindruck, dass diese Hürde nicht sonderlich hoch ist, aber sie ist vorhanden. Durch den Einkauf solcher Daten zur Überwachung muss eine Behörde keinen Grund mehr haben (oder ihn sich ausdenken), um darin zu stöbern, sie zu filtern und auszuwerten, sie müssen nur das nötige Geld auf den Tisch legen. Eine Kontrolle solcher Maßnahmen durch Gerichte – und sei sie noch so oberflächlich – findet dabei dann natürlich gar nicht mehr statt.

Natürlich kann man argumentieren, dass es sich ja um Daten handeln würde, die von den Nutzern selbst öffentlich gemacht wurden und wer Daten heute öffentlich macht, der muss damit rechnen, dass diese gesammelt und ausgewertet werden, ein Problem mit dem Datenschutz läge hier also nicht vor. Und das stimmt natürlich, aber es liegt ein Problem mit dem Rechtsstaat und dem Verständnis von einem Rechtsstaat vor: Es gibt Gründe, warum bestimmte Regeln geschaffen wurden, wie ein Staat gegen seine Bürger ermitteln und vorgehen darf und eben nicht alles darf, was gerade technisch möglich ist.

Bei Geofeedia sieht man das alles natürlich ein wenig anders, laut Spiegel Online sei man dort der Meinung ein Unternehmen zu sein, das die „Bürgerrechte und -freiheiten schützt“. Man habe auch klare Grundsätze, die es Kunden des Unternehmen untersagten, zu „versuchen, Einzelpersonen unangemessen auf Grundlage der Rasse, ethnischen Zugehörigkeit, Religion, sexuellen Orientierung oder politischen Überzeugungen und anderer Faktoren zu identifizieren“. Aber man müsse angesichts der technischen Entwicklung natürlich ständig weiter daran arbeiten die Bürgerrechte zu schützen und da wolle man in Zukunft auch die ACLU mit einbeziehen.