Fast die Hälfte der Millionen Kund:innen von T-Mobile in den USA waren vor einem Jahr Opfer eines riesigen Datenverlustes. Die Deutsche Telekom als Mutterkonzern verletzt seitdem ihre selbst auferlegten Verpflichtungen zum Datenschutz.
Mit mehr als 100 Millionen Kund:innen in den USA verfügt T-Mobile über gewaltige Mengen von persönlichen Daten. Als Tochtergesellschaft der Deutschen Telekom könnte es sich sogar um die größte Datenmenge eines Unternehmens handeln, dessen Mutterkonzern seinen Sitz in der Europäischen Union hat. Darauf macht der Digitalaktivist und Reiseblogger Edward Hasbrouck aus Kalifornien in seinem jüngsten Eintrag aufmerksam.
Allerdings ist T-Mobile USA weit weniger auskunftsfreudig als die Deutsche Telekom, die beispielsweise dem damaligen Grünen-Abgeordneten Malte Spitz vor elf Jahren umfangreiche Bewegungsdaten herausgeben musste – allerdings erst nach einer Einigung im Rahmen einer Klage. Nach Vorbild von Spitz hatte auch Hasbrouck bei der US-Firma gefragt, welche Informationen über ihn gespeichert sind. Die Firma verweigert aber eine Antwort und verbittet sich inzwischen weitere Anfragen des Bloggers.
Auch Sozialversicherungsnummer und Führerscheindaten abgeflossen
Vor fast genau einem Jahr bestätigte T-Mobile Berichte, wonach Hacker:innen persönliche Daten von über 40 Millionen aktuellen oder ehemaligen Konten für Pre- und Postpaid-Dienste gestohlen haben. Hierbei soll es sich um Vor- und Nachnamen, Geburtsdatum, Sozialversicherungsnummer, Ausweis- und Führerscheindaten gehandelt haben.
Später habe die Firma festgestellt, dass weitere 7,8 Millionen Konten betroffen gewesen seien. Dabei wurden nach Angaben des Unternehmens auch „Telefonnummern sowie IMEI- und IMSI-Informationen“ kompromittiert. Doch dabei blieb es nicht.
Im Verlauf der Untersuchung entdeckte T-Mobile nach eigenen Angaben weitere 5,3 Millionen Datensätze von Kund:innen, auf die „illegal zugegriffen wurde“. Bei diesen Konten seien aber keine Informationen aus Ausweisen erbeutet worden. Man habe aber „weiterhin keinen Hinweis darauf, dass die in einer der gestohlenen Dateien enthaltenen Daten Finanzinformationen, Kreditkarteninformationen, Lastschriften oder andere Zahlungsinformationen von Kunden enthielten“, schreibt T-Mobile auf ihrer Webseite.
Mitteilung erst nach zwei Monaten
Unter den betroffenen Kund:innen war auch Hasbrouck, eine entsprechende Benachrichtigung über den Hack erhielt der Blogger aber erst im Oktober des vergangenen Jahres. Demnach habe T-Mobile „festgestellt, dass ein unbefugter Zugriff auf Ihre personenbezogenen Daten stattgefunden hat, einschließlich Ihres Namens, Ihrer Führerschein-/ID-Informationen, Ihres Geburtsdatums und Ihrer Sozialversicherungsnummer“.
Jedoch ergreife T-Mobile „weiterhin Maßnahmen, um alle gefährdeten Personen vor diesem Cyberangriff zu schützen“, heißt es auf der Webseite der Firma. Hierzu gehörten „Mitteilungen an Millionen von Kunden und andere betroffene Personen“.
Allerdings will T-Mobile nicht angeben, welche Daten überhaupt zu ihren Kund:innen gespeichert werden und somit abgeflossen sein könnten. Das musste auch der Blogger Hasbrouck erfahren, der die Bedrohung durch den Hack einschätzen und den Schaden durch diese Datenschutzverletzung mindern wollte. Zudem hat Hasbrouck keine Ahnung, wie die Firma an seine Führerscheindaten oder die Sozialversicherungsnummer gekommen sein könnte und warum diese über ein Jahrzehnt aufbewahrt werden.
Deutsche Telekom will Anteil auf über 50 Prozent steigern
Derzeit hält die Deutsche Telekom eine Mehrheitsbeteiligung von 48,8 Prozent an dem US-Konzern T-Mobile. Nach einem Bericht von Reuters von vergangener Woche soll dies auf über 50 Prozent gesteigert werden. Dem Vorstandsvorsitzenden Timotheus Höttges zufolge sei dies „derzeit unser wichtigstes strategisches Projekt“. Über indirekte Beteiligungen verfügt das deutsche Unternehmen nach einer eigenen Aufstellung sogar schon jetzt über einen Anteil von 64,78 Prozent an der US-Tochter.
Mit einer derart starken Beteiligung müsste das US-Unternehmen auch die von der deutschen Telekom-Gruppe propagierten Richtlinien zu Transparenz und Datenschutz einhalten, meint Edward Hasbrouck. Denn diese Regeln gelten für alle Unternehmen der Telekom-Gruppe weltweit. „Wir ermöglichen unseren Kunden den Zugang zu den vielfältigen Möglichleiten [sic] dieser Welt. Als vertrauenswürdiger Partner begleiten wir sie auf diesem Weg – und sorgen auch dafür, dass niemand zurückbleibt“, wirbt die Deutsche Telekom für ihre Marke. Dies gelte „in Deutschland, unserem Heimatmarkt, und in rund 50 Ländern dieser Erde“.
Ihre Grundsätze für die Datenverarbeitung hat das weltweit tätige Unternehmen in einer „Binding Corporate Rules Privacy“ festgelegt. §22 dieser Regeln bestimmt beispielsweise das Recht auf Auskunft für alle Kund:innen der Telekom-Gruppe. „Betroffene Personen“ haben demnach das Recht, „sich jederzeit an jedes Unternehmen, das ihre Daten verarbeitet, zu wenden“ und Informationen zu allen über sie gespeicherten personenbezogenen Informationen zu verlangen.
Verbindliche Unternehmensregeln ein Schwindel
Allerdings weigert sich die Muttergesellschaft, Hasbrouck in den Vereinigten Staaten zu seinem Recht auf Auskunft zu verhelfen. Die Deutsche Telekom sei nicht in der Lage, ihre US-Tochter zur Einhaltung der eigentlich verbindlichen Datenschutzregeln zu bewegen. Das in Deutschland ansässige Unternehmen will ebenso wie T-Mobile künftig keine weiteren Anfragen Hasbroucks beantworten.
„Diese Aktionen scheinen sowohl gegen US-amerikanische als auch gegen deutsche Gesetze gegen Vertragsbruch, Wahrheit in der Werbung und Betrug zu verstoßen“, schreibt Hasbrouck in seinem Blogpost. Auch die Umsetzung der EU-Datenschutzgrundverordnung stehe damit infrage.
Es handele sich um einen Test für die Anwendbarkeit der europäischen Datenschutzvorschriften auf die US-Tochtergesellschaften von in der EU ansässigen Unternehmen, so Hasbrouck. Im Falle der Telekom-Gruppe hätten sich die verbindlichen Unternehmensregeln jedoch als Schwindel entpuppt. Eine Bitte von netzpolitik.org um Stellungnahme zu dieser Einordnung ließ die Deutsche Telekom unbeantwortet.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires