Datenschutzbeschwerde: TeleSign erstellt heimlich Profile von Handynutzern

Die Schufa lässt grüßen: Das US-Unternehmen TeleSign ist eine Auskunftei, die Mobilfunknutzer mit einem statistischen Wert zwischen 0 und 300 Punkten einschätzt und diesen "Reputationsscore" an Kunden wie Amazon, TikTok, Microsoft oder Salesforce weiterverkauft. Die österreichische Bürgerrechtsorganisation Noyb wirft der Firma vor, dazu heimlich Profile von Millionen Handynutzern weltweit zu erstellen und Daten von der Telekommunikationsplattform Belgacom International Carrier Services (BICS) zu beziehen. Sie hat daher Beschwerde bei der belgischen Datenschutzbehörde eingereicht, die für die BICS- und TeleSign-Muttergesellschaft Proximus zuständig ist.

Den Deal zwischen BICS und der Scoring-Firma deckte die belgische Zeitung "Le Soir" im März 2022 auf. TeleSign verifiziert demnach über fünf Milliarden individuelle Telefonnummern pro Monat, was der Hälfte der weltweiten Mobilfunknutzer entspricht. Geschäftspartner des Unternehmens können anhand der übermittelten Punktzahl entscheiden, ob sie potenziellen Endnutzern überhaupt die Anmeldung bei einer Plattform erlauben oder etwa zuerst zumindest eine SMS-Verifizierung verlangen. Die BICS-Daten helfen bei der Kategorisierung der User: Die Vermittlungsplattform ermöglicht Telefongespräche, Roaming und Datenflüsse zwischen verschiedenen Kommunikationsnetzen und -diensten in diversen Teilen der Welt. BICS erhält dabei Einblicke etwa in die Art und Dauer von Anrufen oder längere Inaktivität.

"Nicht mit dem EU-Datenschutzrecht vereinbar"?

Mehrere Mobilfunknutzer stellten nach dem Zeitungsbericht ein Auskunftsersuchen nach der Datenschutz-Grundverordnung (DSGVO), um eine Kopie ihrer Daten von TeleSign, BICS und ihrem nationalen Mobilfunkanbieter zu erhalten. Überraschenderweise führte laut Noyb keiner der angefragten Netzbetreiber TeleSign als Empfänger auf. Dass Nutzerdaten über BICS an die US-Firma gehen, sei ihnen ebenfalls unbekannt gewesen. Gleichzeitig habe TeleSign selbst bestätigt, dass es die entsprechende Telefonnummer habe. Das Unternehmen teilte auch eine damit verknüpfte "Risikoeinschätzung" mit, beispielsweise "mittel bis niedrig".

Für den Noyb-Gründer Max Schrems deuten die Antworten von BICS und TeleSign darauf hin, "dass dieses Geschäftsmodell nicht mit dem EU-Datenschutzrecht vereinbar ist". Es gebe zwar Situationen, in denen personenbezogene Informationen ohne Zustimmung etwa zu Sicherheitszwecken verwendet werden könnten. Die heimliche Verwendung von Telekommunikationsdaten der Hälfte aller Mobiltelefonnutzer weltweit gehe aber deutlich zu weit. Die belgische Datenschutzbehörde sollte den Datentransfer an TeleSign stoppen. Sie könnte eine Geldstrafe von bis zu 236 Millionen Euro verhängen, was 4 Prozent des weltweiten Umsatzes der Proximus-Gruppe entspricht.

TeleSign setzt nach Angaben auf der eigenen Webseite Maschinenlernen und andere Formen Künstlicher Intelligenz ein, um etwa die großen Datenmengen, die es von BICS erhält, zu analysieren und den "Vertrauensindex" für jede Telefonnummer zu erstellen. Noyb moniert, dass dies auch noch in den USA erfolge, wo die Sicherheitsbehörden ebenfalls auf die personenbezogenen Daten von TeleSign zugreifen könnten. Die Datenschutzaktivisten haben auch eine Vorlage für Auskunftsersuchen an die Firma als Word-Datei online gestellt, damit interessierte Handynutzer selbst herausfinden können, ob sie betroffen sind.

(axk)