Fünf Milliarden Datensätze soll Telesign monatlich verarbeiten – damit müsste jeder zweite Smartphonebesitzer der Welt von diesem gesetzeswidrigen Datentransfer betroffen sein.
YAHYA ARHAB

Mit dem sogenannten Trust Score bewertet die Firma Telesign seit Jahren Nutzerdaten, die sie mit diesem Mehr an Information an Kunden wie Tiktok, Microsoft oder Salesforce verkauft. Dieser in die Millionen gehende Prozess erfolgt ohne das Einverständnis oder gar das Wissen ebendieser Nutzer. 

Die österreichische Datenschutz-NGO Noyb hat deshalb Beschwerde gegen Telesign eingereicht, da der US-Konzern laut Noyb gegen EU-Recht verstößt. Sehr wahrscheinlich ist auch, dass unter den Millionen von betroffenen Smartphonenutzern auch Daten von zahlreichen Österreicherinnen und Österreichern gehandelt wurden.

Woher die Daten kommen

Erhalten soll Telesign die Daten von der belgischen Firma BICS. Diese bietet einen weltweit führenden Kommunikationsdienst an, der Telefonanrufe, Roaming und Datenflüsse zwischen verschiedenen Kommunikationsnetzen und -diensten in verschiedenen Teilen der Welt ermöglicht. Der Dienst ist deshalb so beliebt, da Mobilfunker, anstatt direkte Vereinbarungen untereinander treffen zu müssen, ihre Netze über den Service von BICS verbinden können.

Bei der Verarbeitung von Telefonkundendaten erhält BICS detaillierte Informationen, beispielsweise über die Regelmäßigkeit abgeschlossener Anrufe, die Anrufdauer, eine langfristige Inaktivität, Reichweitenaktivität oder den erfolgreichen eingehenden Datenverkehr. Noyb geht davon aus, dass etwa die Hälfte der weltweiten Mobiltelefonnutzer schon Daten über Services von BICS geschickt hat.

"Vertrauensbewertung"

Seit März 2022 weiß man dank einer Aufdeckerstory der belgischen Tageszeitung "Le Soir", dass die US-Firma Telesign Daten von BICS erhält. Auch dass die erhaltenen Daten einen Trust Score von null bis 300 erhalten, wurde damals bekannt. Basierend auf dieser Wertung entscheiden die Kunden von Telesign etwa, ob sich ein Nutzer für bestimmte Anwendungen direkt einloggen kann oder aber eine zusätzliche Verifizierung via SMS verlangt wird.

Einer der Beweise für die Weitergabe von Daten an Telesign hat Noyb unter anderem von diversen Smartphonenutzern erhalten. Diese haben von ihrem Recht Gebrauch gemacht und bei Telesign, BICS und ihrem eigenen Mobilfunkanbieter nachgefragt, welche Daten über sie verfügbar sind. Auffällig war, dass keiner der Mobilfunker Telesign als Empfänger der Daten gelistet hatte oder davon wusste, dass Telesign diese Daten erhalten hatte. Telesign wiederum bestätigte, dass das Unternehmen sehr wohl Daten zu vielen Nutzern hatte und diese auch mit dem Trust Score verbunden habe, beispielsweise als "mittel bis niedrig" einstufte. 

Nutzerinnen und Nutzer fragten bei Telesign nach, ob ihre Daten vorhanden seien, und die US-Firma bestätigte mehrfach diesen Verdacht.
Noyb

Laut Noyb verifiziert Telesign pro Monat rund fünf Milliarden einzigartige Telefonnummern, was in etwa der Hälfte der Mobilfunknutzerinnen und -nutzer weltweit entspricht. "Ihr Telefonanbieter leitet die Daten wahrscheinlich an BICS weiter, und so gelangen sie zu Telesign. Telesign erstellt dann eine 'Vertrauensbewertung' über Sie und verkauft diese Daten an Dritte wie Microsoft, Salesforce oder Tiktok – ohne dass jemand darüber informiert wird oder seine Einwilligung erteilt."

Auf der eigenen Website gibt Telesign an, KI für die Verarbeitung der unglaublichen Datenmengen einzusetzen. All das geschieht in den USA, wo auch US-Behörden auf diese persönlichen Daten von Telesign zugreifen können.

In einer Grafik versucht Noyb den Prozess der Datenweitergabe zu visualisieren.
Noyb

Verstoß gegen geltendes Recht

Natürlich gebe es Ausnahmen, bei denen persönliche Daten aus Sicherheitsgründen auch ohne Zustimmung ausgewertet werden dürfen, sagt Noyb, die geheime Nutzung von Telekommunikationsdaten aus einem solch großen Pool an Menschen sei aber in keiner Weise konform mit geltendem Datenschutzrecht der EU.

Noyb hat deshalb Beschwerde gegen Telesign eingebracht. Diese verlangt den sofortigen Stopp des Datentransfers. Zudem kann die belgische Datenschutzorganisation DPA eine Strafe von bis zu 236 Millionen Euro verhängen, was in etwa vier Prozent des weltweiten Umsatzes der Proximus-Gruppe entspricht, der sowohl BICS als auch Telesign gehören. 

Die österreichische NGO hat zudem ein Template erstellt, um unkompliziert selbst bei Telesign anfragen zu können, ob die Firma die eigenen Daten hortet. Dort finden sich die Mailadresse von Telesign und ein vorgeschlagener Text, dem man nur noch die eigene E-Mail-Adresse, die Telefonnummer und den Namen anfügen muss. (aam, 23.6.2023)