Dem Unternehmen TeleSign wird von der österreichischen Bürgerrechtsorganisation Noyb („none of your business“) vorgeworfen heimlich Profile von Milliarden Handynutzern weltweit erstellt zu haben.
Doch wer ist TeleSign überhaupt und woher hat das Unternehmen die Daten?
TeleSign ist ein in Kalifornien ansässiges Unternehmen, das insbesondere eine Risikobewertungs-API anbietet, die Telefonnummernattribute analysiert, um Unternehmen bei der sicheren Kundenregistrierung und Kontosicherheit zu unterstützen. So soll nach Aussage des Unternehmens Betrug bekämpft werden. Dazu schätzt TeleSign Mobilfunknutzer mit einem statistischen Wert zwischen 0 und 300 Punkten ein und bildet einen so genannten „Reputation Score“ für jede Handynummer. Diese „Reputation Scores“ werden dann an namhafte Unternehmen wie Amazon, TikTok, Microsoft und Salesforce verkauft, welche anhand der Bewertungen entscheiden können, ob sie Nutzern die Anmeldung auf ihren Plattformen gestatten oder zusätzliche Sicherheitsmaßnahmen wie eine SMS-Verifizierung verlangen.
Die zum Bilden der Scores benötigten Daten soll TeleSign unzulässigerweise von der belgischen Telekommunikationsplattform Belgacom International Carrier Services (BICS), einem weltweit führenden Anbieter von Kommunikationsdiensten, bezogen haben. BICS ermöglicht Telefonanrufe, Roaming und Datenflüsse zwischen verschiedenen Kommunikationsnetzen und -diensten weltweit. Mobilfunkanbieter können ihre Netze über den Service von BICS verbinden, ohne direkte Vereinbarungen untereinander treffen zu müssen. Etwa die Hälfte der weltweiten Mobiltelefonnutzer haben laut der Datenschutzorganisation Noyb bereits Daten über Services von BICS gesendet. Dabei erhält BICS detaillierte Informationen über die Nutzer, wie unter anderem die Regelmäßigkeit abgeschlossener Anrufe, die Anrufdauer, langfristige Inaktivität, Reichweitenaktivität oder den erfolgreich eingehenden Datenverkehr.
Die Datenverarbeitung sei allerdings ohne Kenntnis der betroffenen Handynutzer erfolgt.
Wie kam das heraus?
Im März 2022 deckte die belgische Zeitung „Le Soir“ erstmals auf, dass Telefonanbieter diese Daten an BICS übermitteln, um Verbindungen mit anderen Mobilfunkanbietern zu gewährleisten, BICS die Daten dann heimlich an TeleSign weitergibt und TeleSign daraus Nutzerscores erstellt und diese an interessierte Unternehmen verkauft.
Da die Nutzer der Verwendung ihrer Daten zu diesem Zweck weder zugestimmt haben, noch informiert wurden, stellten daraufhin zahlreiche Mobilfunknutzer Auskunftsersuchen nach der DSGVO bei ihrem nationalen Mobilfunkanbieter, BICS und TeleSign, um zu erfahren, was mit ihren Daten gemacht wurde.
Überraschenderweise führte laut Noyb keiner der angefragten Netzbetreiber TeleSign als Empfänger auf oder wusste, dass Nutzerdaten über BICS an TeleSign gesendet wurden. Gleichzeitig habe TeleSign selbst bestätigt, über die entsprechenden Daten zu verfügen.
Beschwerde wegen Datenschutzverstößen
Noyb hat nun eine Beschwerde bei der belgischen Datenschutzbehörde eingereicht, welche für die BICS- und TeleSign-Muttergesellschaft „Proximus“ zuständig ist, und fordert eine umgehende Beendigung dieser Praktiken.
Danach stehe die beschriebene (heimliche) Datenverarbeitung bezüglich mehrerer Gesichtspunkte nicht im Einklang mit dem Datenschutzrecht der EU.
Fehlende Rechtsgrundlage
TeleSign verarbeite die Daten zum einen ohne eine gültige Rechtsgrundlage. Laut TeleSign seien Betrugsprävention und Schutz vor Spamming, Phishing, Werbemissbrauch, gefälschten Konten, unrechtmäßigen Kontoübernahmen und anderen Angriffen berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO und die Datenverarbeitung damit zulässig.
Hiergegen führt die Noyb in ihrer Beschwerde aus, dass es zwar Situationen gebe, in denen personenbezogene Daten zu Sicherheitszwecken verwendet werden können, hier aber in jedem Fall keine Verhältnismäßigkeit gegeben sei. TeleSign selbst bestätigt, dass sie mehr als fünf Milliarden Telefonnummern pro Monat überprüft, was der Hälfte der weltweiten Mobilfunkteilnehmer entspricht. Die systematische und massenhafte Übermittlung aller Nutzerdaten, deren Kommunikation über das BICS läuft, sei jedenfalls nicht zulässig. Zudem sei der Scoring-Dienst von TeleSign nicht dazu bestimmt, Betrug aufzudecken und zu verhindern, dass Endnutzer geschädigt werden, sondern um erhebliche Einnahmen dadurch zu erzielen unter dem Deckmantel der „Betrugsprävention“ eine Lösung an Kunden zu verkaufen, die keine Betreiber elektronischer Kommunikationsdienste sind.
Unzulässiges Profiling
Noyb spricht sich auch gegen die automatisierte Profilbildung aus. TeleSign verwendet nach eigenen Angaben einen Algorithmus, um automatisch eine Bewertung der betroffenen Nutzer vorzunehmen, auf deren Grundlage der Zugang zu den Diensten der Kunden von TeleSign verweigert werden kann. Es handele sich also um unrechtmäßige automatisierte Entscheidungen im Sinne des Art. 22 DSGVO.
Nichteinhaltung der Informationspflichten
Dieses Profiling anhand von unzulässig erhaltener Daten sei noch alarmierender, wenn man bedenke, dass keiner der Nutzer darüber informiert wurde. Demnach liege insbesondere auch ein Verstoß gegen die Informationspflichten der Art. 13 ff DSGVO und gegen das Transparenzgebot vor.
Auch die betroffenen Käufer der Daten, darunter Microsoft, TikTok und Salesforce, müssen sich nun dem Vorwurf stellen die erhaltenen Daten ebenfalls zu verwenden, ohne die Betroffenen darüber zu informieren.
Die Situation wird weiterhin von Datenschutzaktivisten genau beobachtet werden.