Ihre Daten zur geplanten Elternschaft werden gesammelt, analysiert und verkauft

Seit der Aufhebung der Rechtssache Roe vs. Wade durch den Obersten Gerichtshof im Juni sind Standortdatenfirmen, App-Entwickler und Online-Anbieter von Abtreibungspillen einer verstärkten Prüfung durch den Kongress ausgesetzt, weil sie mit sensiblen Benutzerdaten handeln, die darauf hinweisen könnten, wann jemand eine Abtreibung anstrebt.

Das Markup hat herausgefunden, dass das Standortdatenunternehmen INRIX, das aggregierte Fahrzeug-, Verkehrs- und Parkdaten sammelt, analysiert und verkauft, Planned Parenthood-Kliniken in sein INRIX IQ Location Analytics-Dashboard einbezieht.

Mithilfe einer kostenlosen Testversion des Produkts konnte The Markup mindestens 71 Planned Parenthood-Kliniken in Dutzenden von Bundesstaaten ausfindig machen.

INRIX ist ein großes, etabliertes Unternehmen für Mobilitätsdaten, das seit 17 Jahren im Geschäft ist. Zu seinen Kunden zählen die US Federal Highway Administration, Microsoft, das Los Angeles Department of Transportation, BMW, Zillow und IBM.

Die Ergebnisse des Markups basieren auf jüngsten Berichten von Motherboard, in denen zwei weitere Standortdatenfirmen identifiziert wurden – Safegraph und Placer.AI –, die ebenfalls Besucherdaten von Planned Parenthood in ihre ähnlichen Dashboard-Produkte einbezogen haben. Beide Unternehmen haben diese Daten inzwischen entfernt.

Mark Daymond, CTO und Datenschutzbeauftragter bei INRIX, teilte The Markup in einer E-Mail mit: „INRIX erhält anonymisierte Daten, anonymisiert sie weiter und aggregiert diese Daten dann.“ Die Identität einzelner Personen ist für unser Geschäft irrelevant.“

In der kostenlosen Version des Location Analytics-Dashboards von INRIX werden für jede Klinik nur die Adresse, die Öffnungszeiten und die durchschnittliche tägliche Verkehrsdichte auf den umliegenden Straßen pro Jahr aufgeführt. In der kostenpflichtigen Version werden in der Datenbank detailliertere Statistiken für ausgewählte Sehenswürdigkeiten angezeigt, einschließlich demografischer und ethnischer Aufschlüsselungen der Besucher, Besucherzahlen nach Stunde und Tag, aggregierte Heatmaps der Herkunfts- und Zielorte der Besucher sowie Fahrzeiten zum und vom Unternehmensstandort.

Die Standorte von Planned Parenthood blieben im INRIX-Dashboard erhalten, nachdem wir das Unternehmen kontaktiert hatten, und waren noch Stunden vor der Veröffentlichung dieser Geschichte dort. Planned Parenthood reagierte nicht sofort auf eine Bitte um Stellungnahme.

Daymond sagte, der Ansatz von INRIX, die Details auf den Karten einzuschränken, schütze Benutzer vor der Identifizierung.

„Location Analytics zeigt Ergebnisse nur bis zur Ebene der Volkszählungsblockgruppe an. Wir beziehen Daten von verschiedenen Kartenanbietern, deren Informationen kommerziell erhältlich sind“, sagte er.

Da sich die Rechtslandschaft seit der Einführung restriktiverer Abtreibungsgesetze in der Rechtssache Dobbs gegen Jackson rasant verändert hat, sind Menschen, die den Eingriff anstreben, einem erhöhten Risiko für ihre Privatsphäre ausgesetzt, und viele Technologieunternehmen haben eifrig darauf reagiert.

Anti-Abtreibungsaktivisten haben von der Standortdatenindustrie entwickelte Tools wie Geofencing genutzt, um Patienten, die eine Abtreibung anstreben, mit gezielter Werbung davon abzuhalten. Jetzt steht mehr auf dem Spiel, da neun Staaten das Verfahren unter Strafe gestellt haben.

Kontrolle durch den Kongress

Einige demokratische Gesetzgeber fordern Maßnahmen. Nach Berichten von Motherboard schickten 14 demokratische Senatoren Briefe an die Standortdatenunternehmen Safegraph und Placer.AI, in denen sie Einzelheiten zu ihrer Datenerfassung forderten und sie aufforderten, die Einbeziehung von Abtreibungskliniken einzustellen.

Safegraph und Placer.AI haben die Kliniken und andere sensible Standorte nach den Motherboard-Berichten aus ihren Datenbanken entfernt. Am 1. Juli hat Google zugesagt, die Standortdaten von Besuchern zu löschen , wenn ein Nutzer einen Abtreibungsanbieter, ein Fruchtbarkeitszentrum oder einen anderen sensiblen Ort besucht.

Letzte Woche kontaktierte der Aufsichtsausschuss des Repräsentantenhauses die Standortdatenunternehmen Placer.AI, Safegraph, Babel Street, Standortdaten und alle Datenpartnerschaften im Rahmen einer Untersuchung zum Datenschutz von Patientendaten im Bereich Abtreibung und reproduktive Gesundheit.

„Dies ist ein großartiges Beispiel dafür, wie umfassende Datenschutzgesetze eingeführt werden müssen, die die Sammlung dieser Art von Daten einschränken, die durch Fingerabdrücke, deren Identifizierung und den Verkauf dieser Art von Verhaltensdaten oder Identifizierungsdaten an andere als Waffe gegen Benutzer eingesetzt werden können.“ „Das will es, ob die Strafverfolgungsbehörden oder nicht“, sagte Daly Barnett, Mitarbeitertechnologe bei der Electronic Frontier Foundation.

Standortanalyse-Dashboards

INRIX, ein Privatunternehmen mit Sitz in Kirkland, Washington, bietet Park-, Verkehrs- und aggregierte Standortdaten für Transportunternehmen, Automobilhersteller und Softwareentwickler.

In einer Broschüre zu seinem Produkt „Vehicle Trips“ rühmt sich das Unternehmen damit, dass seine Daten „ über 150 Millionen anonyme Fahrten“ und 36 Milliarden „Echtzeit-Datenpunkte“ jeden Tag erfassen und alle drei Sekunden aktualisiert werden.

Standortdatenunternehmen wie INRIX, Placer.AI und Safegraph bieten ähnliche Produkte an: ein benutzerfreundliches Dashboard, mit dem Benutzer schnell den Fuß- und Fahrzeugverkehr zu Millionen von Einzelhandelsunternehmen analysieren und Muster bei Besuchen anhand von Diagrammen, Karten und Vergleichstools hervorheben können konkurrierende Unternehmen.

Einer der Beispielorte, die The Markup erkunden konnte, war ein Hühnchen-Sandwich-Restaurant in New Jersey.

Solche Daten sind für Stadtplaner, Einzelhandelsunternehmen sowie Gewerbeimmobilien- und Private-Equity-Unternehmen äußerst wertvoll.

Die Daten, die diesen aggregierten Erkenntnissen zugrunde liegen, stammen aus mehreren Quellen, darunter Mobiltelefon-Apps , vernetzte Fahrzeuge, Verkehrssensoren und von anderen Maklern erworbene Daten.

Während es harmlos erscheint, die Gesamtzahl der Besucher eines Hühnchen-Sandwich-Ladens zu verfolgen, ändern sich die Datenschutzrisiken drastisch, wenn Menschen eine Abtreibung anstreben.

Einige Standortdatenunternehmen haben die Risiken erkannt, die mit der Einbeziehung sensibler Standorte wie Arztpraxen und Gotteshäuser verbunden sind.

Beispielsweise veröffentlicht das Location-Intelligence-Unternehmen Cuebiq eine öffentliche Richtlinie zu „ sensiblen Points of Interest “, in der die Arten von Standorten definiert werden, die es ausschließt, um die Privatsphäre der Benutzer in seinen Datensätzen zu schützen.

Datenpartner

In der Datenschutzrichtlinie von INRIX heißt es, dass das Unternehmen personenbezogene Daten von Drittquellen erhebt, darunter „Datenbroker, von denen wir Daten erwerben, um die von uns erfassten Daten zu ergänzen“, die Identität eines seiner Partner wird jedoch nicht offengelegt.

Die Daten, die dem von uns verwendeten Dashboard zugrunde liegen, enthalten Hinweise auf die Quelle der POI-Daten (Points of Interest) von INRIX.

Wir haben beobachtet, dass die Autovervollständigungsfunktion auf dem Dashboard von INRIX einen Aufruf an die API für das Standortdatenunternehmen HERE durchführt , das Standortergebnisse für eine durch die Kartenkoordinaten angegebene Grenze bereitstellt.

Es scheint auch eine von HERE bereitgestellte eindeutige ID für jeden Standort in den Daten zu geben.

HERE-Sprecher Kasey Farrar teilte The Markup in einer E-Mail mit, dass das Unternehmen „… strenge ‚Privacy by Design‘-Datenpraktiken mit strengen Geschäftsbedingungen für die Datennutzung durch Kunden anwendet.“ HERE erhebt keine Herkunfts-Ziel-Daten von Einzelpersonen.“

Farrar verwies auf die „ Datenschutz-Charta“ des Unternehmens, in der einige der spezifischen Maßnahmen zum Schutz der Privatsphäre der Benutzer aufgeführt sind.

Auch die Unternehmensbewertungsseite Yelp taucht in den POI-Daten auf. Yelp wird als „Anbieter“ in den Daten aufgeführt, die das Dashboard von INRIX versorgen.

Yelp-Sprecherin Julianne Rowe sagte, dass das Unternehmen keine Partnerschaft mit INRIX habe und dass Unternehmen „Yelp-Inhalte und -Daten über unsere kostenlose API oder von einem zugelassenen Partner erhalten können“.

Sie wies darauf hin, dass der Standort, die Öffnungszeiten und die Kontaktinformationen des Unternehmens alle öffentlich zugänglich seien, auch auf der Website von Planned Parenthood.

Den Planned Parenthood-Standorten, die wir auf INRIX gefunden haben, sind mehrere Kategorien zugeordnet. Zu den Kategorien gehörten „Medizinische Dienste/Kliniken“, „Krankenhäuser oder Gesundheitseinrichtungen“ und „Verbraucherdienste“.

Obwohl die meisten Daten, die wir auf dem Dashboard von INRIX sehen konnten, aggregiert zu sein schienen, bestehen für die Benutzer dennoch Risiken.

Viele Unternehmen in der milliardenschweren Standortdatenbranche betonen, dass die Privatsphäre der Benutzer geschützt ist, da sie nur aggregierte Daten verkaufen, beispielsweise eine bestimmte Anzahl von Personen, die ein bestimmtes Unternehmen in einer bestimmten Woche besuchen.

Daymond sagte, INRIX verkaufe keine Daten, die an einzelne Benutzer gebunden seien. „INRIX ist kein Datenbroker…. Wir speichern keine persönlichen Identifikatoren, die auf eine Person zurückgeführt werden können, um sicherzustellen, dass keine personenbezogenen Daten entdeckt werden.“

Zur branchenweiten Nutzung aggregierter Daten zum Schutz der Privatsphäre der Nutzer sagte Barnett von EFF, dass selbst aggregierte Daten Risiken für die Privatsphäre der Nutzer bergen und Einzelpersonen unter bestimmten Umständen dennoch identifiziert werden können .

Daymond von INRIX sagte: „Unsere Nutzungsbedingungen verbieten unseren Kunden ausdrücklich, unsere Produkte in einer Weise zu verwenden, die gegen Gesetze und Vorschriften verstößt.“

Während Unternehmensstandort und Besucherverkehr harmlos erscheinen mögen, kommt es laut Barnett auf den Kontext an. „Diese scheinbar … im Vakuum beobachteten, harmlosen Datensätze existieren im Vakuum nicht. Sie können auch zusammen geschneit werden.“

Geschrieben von Jon Keegan

Auch hier veröffentlicht

Foto von Alina Grubnyak auf Unsplash