Stellen Sie sich vor, es gäbe ein verstecktes System, das jeden Ihrer Anrufe aufzeichnet und bewertet. Das klingt wie eine Folge von Black Mirror und erinnert vielleicht an das umstrittene chinesische Sozialkreditsystem. Aber überraschenderweise ist die Hälfte der weltweiten Handynutzer:innen bereits Teil eines solchen Systems, und viele davon sind Europäer, die glauben, dass Ihre Privatsphäre geschützt ist.

Wie Profiling funktioniert und warum es so problematisch ist

NOYB, eine Gruppe, die sich für den Schutz der Privatsphäre einsetzt, hat Klage gegen das US-Unternehmen TeleSign, den belgischen Telekommunikationsanbieter BICS und dessen Muttergesellschaft Proximus eingereicht. Sie werfen diesen Unternehmen vor, unerlaubt Profile von Milliarden von Telefonnutzer:innen zu erstellen, um ihnen einen „Reputations-“ oder „Vertrauenswert“ zuzuweisen.

Dieser Wert kann sich auf Ihren Zugang zu Online-Diensten auswirken: Wenn Ihr Wert schlecht ist, kann Ihnen der Zugriff auf bestimmte Online-Plattformen verwehrt werden, oder es werden zusätzliche Kontrollen durchgeführt, die diejenigen mit einem besseren Wert nicht durchlaufen müssen. Diese Einschränkungen werden von den Partnern von TeleSign auferlegt, zu denen auch Microsoft, TikTok, Skype, LinkedIn und SalesForce gehören sollen. Also, wer sind BICS und TeleSign und was machen sie genau?

BICS ist ein belgischer Telekom-Gigant, der Netze von Mobilfunkanbietern in über 200 Ländern miteinander verbindet. Auf diese Weise erhält BICS Zugang zu den persönlichen Daten von Milliarden Kunden. BICS erfährt, wie oft die Menschen telefonieren, wie lange sie telefonieren, wie lange sie ihr Telefon nicht benutzen, wo sie sich aufhalten und wann und von wem sie Anrufe erhalten. Diese Daten werden dann an TeleSign weitergegeben, das Telefonnummern „Reputationswerte“ zuweist und diese Daten als Betrugspräventionstool, Intelligence API, verkauft. Pro Monat verifiziert TeleSign nach eigenen Angaben „über fünf Milliarden Telefonnummern“, was „der Hälfte der weltweiten Mobilfunknutzer:innen“ entspricht, und „gibt einen entscheidenden Einblick in die restlichen Milliarden“.

Und das Problem? Telefonnutzer:innen, die ihren Mobilfunkanbietern ihre Daten anvertrauen, sind sich dieser Sache nicht bewusst.

In der Klage wird darauf hingewiesen, dass das System auch deshalb problematisch ist, weil TeleSign unter die US-Überwachungsgesetze fällt. Dies bedeutet, dass die US-Regierung auf die Daten zugreifen kann. Die Übermittlung europäischer persönlicher Daten über den Atlantik ist ohne ein gültiges Datenübertragungsabkommen zwischen der EU und den USA technisch gesehen illegal. Das alte Abkommen, das sogenannte Privacy Shield, wurde 2020 aufgegeben, weil die US-Gesetze als zu aufdringlich eingeschätzt wurden und der bestehende Datenschutz in den USA nicht mit den DSGVO-Standards in der EU übereinstimmte. Aufgrund des entstandenen Rechtsvakuums müssen viele große Tech-Unternehmen wie Meta mit hohen Geldstrafen rechnen, wenn sie weiterhin europäische Nutzerdaten in die USA übermitteln. Anfang Juli einigten sich die EU und die USA schließlich auf die Details eines Abkommens, das die DSGVO ersetzen soll. Allerdings ist dessen Schicksal noch ungewiss, da es wahrscheinlich rechtliche Herausforderungen geben wird.

Was für Daten greift TeleSign ab, um einen Reputationswert zu bestimmen?

Wie der Reputationswert genau berechnet wird, ist nicht bekannt. Auf seiner Website behauptet TeleSign, dass der Reputationswert anhand verschiedener Faktoren bewertet wird, aber die genaue Methodik ist geschützt. Laut TeleSign werden u. a. Daten und Analysen von Telefonnummern, Daten von Organisationen, die es ermöglichen zu überprüfen, ob eine Telefonnummer zu einem bekannten Betrüger gehört, Muster in der Telefonnutzung, die Häufigkeit der Nutzung (die auch auf Betrug hindeuten kann, z. B. wenn sie alle paar Minuten genutzt wird) und Vorhersagen durch maschinelles Lernen verwendet, um Telefonnummern einen Wert zuzuweisen.

Da die Methodik proprietär ist, gibt es keine Möglichkeit zu erfahren, wie sich diese Dinge zu einer hohen oder niedrigen Vertrauensbewertung summieren. Benutzer:innen können TeleSign um eine Kopie ihrer Daten bitten, und einige haben festgestellt, dass sie eine „mittel-niedrige“ Risikobewertung erhalten haben.

Während die Nutzer:innen ihre Daten von TeleSign bekommen können, scheinen die Mobilfunkanbieter nicht zu wissen, dass ihre Kundendaten an TeleSign gesendet werden, so der Bericht von NOYB.

Kurz gesagt: Ihr Zugang zu einem bestimmten Online-Dienst kann aufgrund eines undurchsichtigen, privat betriebenen Bewertungssystems blockiert werden, das Sie anhand einer willkürlichen Reihe von Kriterien bewertet und im Hintergrund ohne Ihr Wissen arbeitet.

Rechtsgrundlage: Was sagen BICS und TeleSign?

Die Datenschutz-Grundverordnung (DSGVO) nennt sechs rechtmäßige Gründe für die Verarbeitung persönlicher Daten, nämlich Einwilligung, Vertrag, lebenswichtige Interessen, öffentliche Verpflichtung und berechtigte Interessen. Der letztgenannte Grund ist der flexibelste und erlaubt es Unternehmen, Daten zu verwenden, ohne die Nutzer:innen direkt zu fragen. OpenAI beispielsweise verwendet „berechtigte Interessen“ als Vorwand, um öffentlich zugängliche persönliche Daten zu sammeln und für das Training von KI-Modellen wie GPT zu nutzen, das ChatGPT betreibt. Diese Rechtfertigung ist höchst fragwürdig, und die Gewohnheit von OpenAI, persönliche und andere Daten aus dem Internet zu sammeln, hat zu einer wachsenden Zahl von Klagen geführt, in denen dem Unternehmen vorgeworfen wird, von der Verletzung der Privatsphäre zu profitieren.

Sowohl BICS als auch TeleSign berufen sich auf „berechtigte Interessen“, insbesondere die Aufdeckung oder Verhinderung von Betrug, als Rechtsgrundlage für die Datenverarbeitung.

Quelle: TeleSigns Datenschutzrichtlinie

In einem Gespräch mit der belgischen Zeitung Le Soir im vergangenen Jahr erklärte Proximus, dem sowohl BICS als auch TeleSign gehören, dass alle übertragenen Daten „Ende-zu-Ende-verschlüsselt“ sind, während Telefonnummern „maskiert werden, um die Identifizierung von Personen zu verhindern“. Was den Umgang mit Datenschutzrisiken angeht, die sich aus dem Datenversand in die USA ergeben, wo es bis heute kein Bundesgesetz zum Schutz der Privatsphäre gibt, so hat das Unternehmen nach eigenen Angaben „zusätzliche Maßnahmen ergriffen, um die Identifizierung von Personen zu verhindern, falls die Daten in die Hände einer Behörde gelangen oder es zu einem Datenschutzverstoß kommt“. Wie diese Unternehmen jedoch sicherstellen, dass die Daten nicht in die falschen Hände geraten, ist unklar.

In der Klage wird behauptet, dass die Aktivitäten von BICS und TeleSign über die Verhinderung von Betrug hinausgehen und unverhältnismäßig sind und vor allem der Umsatzgenerierung dienen. BICS hat die Nutzer:innen nie über die Datenverarbeitung informiert, was einen möglichen Verstoß gegen seine Transparenzverpflichtung gemäß Artikel 14 der DSGVO darstellt.

Kommt da etwas bekannt vor?

Das TeleSign-System bewertet im Wesentlichen Ihre Reputation, d. h. Ihre Vertrauenswürdigkeit, auf der Grundlage Ihres Telefonverhaltens. In gewisser Weise erinnert ein solches System an das chinesische Sozialkreditsystem, da beide Systeme die Vertrauenswürdigkeit anhand von Verhaltensdaten bewerten und Personen aufgrund dieser Daten belohnen oder bestrafen können. Dies sollte bei datenschutzbewussten Nutzer:innen die Warnglocken läuten lassen.
Natürlich wäre es übertrieben, die Aktivitäten von TeleSign und BICS mit denen der chinesischen Regierung gleichzusetzen. Erstens, weil Chinas Sozialkreditsystem eine Regierungspolitik und kein kommerzielles Produkt ist. Zweitens ist es viel weitreichender, da es voraussetzt, dass Menschen auf der Grundlage einer Vielzahl ihrer Online- und Offline-Aktivitäten verfolgt und bewertet werden.

Wie das Bewertungssystem Sie schädigen kann

Trotz der Zusicherungen von Proximus, BICS und TeleSign sind die Daten bei diesen Unternehmen nicht sicher. Es besteht die eindeutige Gefahr, dass die Daten in den USA verarbeitet werden, wo die Datenschutzgesetze schwach sind, während die Schutzmaßnahmen, die in dem neu vorgeschlagenen Übertragungsabkommen zwischen den USA und der EU vorgeschlagen werden, noch einer rechtlichen Anfechtung widerstehen müssen. Die gesammelten Daten könnten auch durch einen Verstoß oder ein Leck aufgedeckt werden, was zu Identitätsdiebstählen führen könnte. Zudem, und das ist vielleicht das Wichtigste, kann das System Mobilfunknutzer:innen Dienste auf der Grundlage ihrer Reputationswerte verweigern, die ohne ihr Wissen und ihre Zustimmung berechnet werden und die sie nicht korrigieren, löschen oder bestreiten können, einfach weil man von ihrer Existenz nicht weiß.

Was kann man tun?

Dank NOYB, das diese Praxis aufgedeckt hat, werden mehr Menschen davon erfahren und ihr Recht wahrnehmen, ihre Daten bei TeleSign anzufordern, zu ändern und zu löschen. Dies kann über ein entsprechendes Formular auf der Website von TeleSign erfolgen. Laut der Datenschutzrichtlinie ist es möglich, dem Verkauf und der Weitergabe von persönlichen Daten zu widersprechen, auch für Profiling-Zwecke.

Quelle: TeleSigns Datenschutzrichtlinie

Damit Sie nicht von TeleSign oder ähnlichen Unternehmen profiliert werden, wird allgemein empfohlen, mehrere Telefonnummern für verschiedene Zwecke zu verwenden oder für Online-Dienste eine virtuelle Nummer anstelle Ihrer echten Nummer zu nutzen. Wenn Sie z. B. Kaltakquise betreiben, sollten Sie dafür eine separate Telefonnummer verwenden, damit Sie nicht für einen Betrüger gehalten werden und Ihnen der Zugang zu bestimmten Diensten verweigert wird.

Außerdem ist es sinnvoll, sich über die Datenschutzgesetze zu informieren, von denen Sie profitieren können, indem Sie z. B. die von Unternehmen über Sie gespeicherten Daten erfragen und deren Löschung beantragen. Sie können auch andere Maßnahmen ergreifen, um Ihre Privatsphäre zu schützen, z. B. die VPN-Funktion, die Beschränkung der persönlichen Informationen, die Sie im Internet weitergeben, und die Vorsicht bei den App-Berechtigungen. Diese Schritte werden die telefonische Profilerstellung nicht direkt verhindern, aber sie werden Ihrem Surfen eine gewisse zusätzliche Ebene der Privatsphäre verleihen.