Die Lücke im Kern der amerikanischen Überwachung
Im Jahr 2018 entschied der Supreme Court in Carpenter v. United States, dass die Regierung einen Durchsuchungsbeschluss einholen muss, bevor sie Standortdaten von Mobiltelefonen bei einem Netzbetreiber erhebt. Dies wurde weithin als wegweisendes Urteil zum Datenschutz gesehen - als Anerkennung, dass die digitalen Spuren, die wir hinterlassen, ein intimes Bild unseres Lebens offenbaren und dass die Schutzgarantien des Fourth Amendment auch für diese Spuren gelten.
Doch das Urteil hatte eine erhebliche Lücke: Es galt nur für Daten, die direkt von Netzbetreibern bezogen wurden. Daten, die von kommerziellen Datenbrokern gekauft werden - Unternehmen, die Standortinformationen aus Apps, Werbenetzwerken und Gerätesensoren bündeln -, fielen nicht darunter. Strafverfolgungsbehörden erkannten die Möglichkeit sofort, und in den Jahren seither haben FBI, das Department of Homeland Security, der IRS und andere Bundesbehörden stillschweigend Überwachungsprogramme auf dieser Lücke aufgebaut.
Bei einer Senatsanhörung in der vergangenen Woche machte FBI-Direktor Kash Patel diese Praxis offiziell und öffentlich. Unter Eid bestätigte er, dass das Büro kommerziell verfügbare Standortdaten kauft. "Wir kaufen kommerziell verfügbare Informationen, die mit der Verfassung und den Gesetzen im Rahmen des Electronic Communications Privacy Act vereinbar sind", sagte Patel vor den Senatoren, "und das hat uns einige wertvolle Erkenntnisse geliefert."
Was Datenbroker tatsächlich verkaufen
Um zu verstehen, warum das relevant ist, hilft es zu wissen, was kommerzielle Standortdaten tatsächlich enthalten. Datenbroker bündeln Standortinformationen aus den GPS-Chips in Smartphones, die vor allem über die Apps gesammelt werden, die wir installieren - Wetter-Apps, Spiele, Treueprogramme von Einzelhändlern -, die Standortberechtigungen anfordern und diese Daten dann an Zwischenhändler verkaufen. Ein Teil dieser Daten ist nominell anonymisiert, doch Forschende haben wiederholt gezeigt, dass Anonymisierung weitgehend kosmetisch ist: Bewegungsmuster sind so individuell, dass eine Re-Identifizierung problemlos möglich ist.
Die daraus entstehenden Datensätze können Standort-Pings mit Zeitstempeln enthalten, die auf wenige Meter genau sind, und sie werden alle paar Minuten aktualisiert, über Monate oder Jahre zurückreichend. Für eine Bundesbehörde, die solche Daten kauft, ist die praktische Wirkung nahezu nicht von einer fortlaufenden, warrantlosen Überwachung der physischen Standortgeschichte einer Person zu unterscheiden - außer dass die Behörde nicht zu einem Richter geht, sondern schlicht einen kommerziellen Kauf tätigt.
Patels Eingeständnis macht deutlich, dass das FBI dies als legitime Praxis betrachtet. Die rechtliche Begründung ist nach geltender Rechtsprechung technisch haltbar: Daten, die freiwillig an einen kommerziellen Dritten weitergegeben wurden, fallen unter die Third-Party-Doktrin, der zufolge solche Informationen keine vernünftige Erwartung auf Privatsphäre begründen. Diese Doktrin entstand in einer Ära von Festnetztelefonen und Kontoauszügen; sie auf Smartphone-Standortdaten anzuwenden, die jede Bewegung des Alltags einer Person nachverfolgen können, ist eine ganz andere Frage.
