Mobilfunkanbieter-Daten Im Schatten der Schufa
Ein Münchner Unternehmen sammelt Daten von Millionen Handynutzern. Wie schon bei dem ähnlichen Vorgehen der Schufa ist die Rechtsgrundlage fragwürdig. Die zuständige Aufsichtsbehörde ermittelt, die Auskunftei wehrt sich.
Es ist eine riesige Datensammlung, die nun die Aufsichtsbehörden auf den Plan gerufen hat. Ein Wettbewerber der Schufa, die Münchner Wirtschaftsauskunftei CRIF, speichert nach Recherchen von NDR und "Süddeutscher Zeitung" (SZ) seit Jahren die Vertragsdaten von Millionen Mobilfunkkunden der Unternehmen Telekom, Vodafone und Freenet - ohne Einwilligung und offenbar ohne, dass sie sich etwas zuschulden kommen lassen haben.
Eine Sprecherin des für CRIF zuständigen Bayerischen Landesamts für Datenschutz bestätigte NDR und SZ, dass die Behörde wegen der "Verarbeitung anlasslos übermittelter Vertragsdaten von Mobilfunk-Unternehmen" ein Verfahren führt.
Verbraucherschützer hatten wiederholt Befürchtungen geäußert, dass die Speicherung der Vertragsdaten unbescholtener Kunden intransparent sei und sie auch zum Nachteil der Betroffenen genutzt werden könnten. So werden im Fall der Auskunftei CRIF unter anderem die Bankverbindungen der Kunden übermittelt, ihre Mailadressen, ihr Vertragsbeginn und -ende.
Einen ähnlichen Datenpool bei Stromverträgen hatten Datenschützer vor drei Jahren untersagt. Anhand solcher Vertragsdaten lässt sich nämlich auch feststellen, welche Kunden besonders preisbewusst und deshalb wechselfreudig sind. Die Unternehmen könnten solche Menschen dann benachteiligen, indem ihnen keine oder nur teure Verträge angeboten werden könnten, stellten Verbraucherschützer fest.
Auch Schufa sammelt Nutzerdaten
Es ist nicht das erste Mal, dass die Mobilfunkunternehmen Streit mit Datenschützern haben. Bereits zuvor waren mehrere der großen Firmen in die Kritik geraten, weil sie in ähnlicher Weise ungefragt und jahrelang die Daten ihrer Kunden an Deutschlands größte Auskunftei, die Schufa, übermittelt hatten, die dort zur Ermittlung der Kreditwürdigkeit verwendet wurden.
Solche Informationen dürfen nach Ansicht der zuständigen Datenschützer jedoch nur dann an Auskunfteien wie die Schufa und CRIF weitergegeben werden, wenn ein Kunde seine Rechnung nicht bezahlt hat oder versucht hat zu betrügen. Das hatten die in der sogenannten Datenschutzkonferenz (DSK) versammelten Aufsichtsbehörden der Länder und des Bundes schon vor zwei Jahren in einem Beschluss klar festgestellt. Zahlreiche Mobilfunkanbieter hatten den Beschluss der Datenschützer jedoch weitgehend ignoriert.
Anbieter sehen sich im Recht
Hintergrund ist ein Streit, der seit Jahren schon schwelt - zwischen Datenschützern auf der einen und Wirtschaftsauskunfteien und Telekommunikationsunternehmen auf der anderen Seite. Die Datenschützer sagen an Auskunfteien und Telekom & Co. gerichtet: Ihr dürft nicht einfach ein Zentralregister aller Mobilfunkkunden einrichten, aus dem sich dann jedes Unternehmen bedienen kann.
Die Mobilfunkanbieter und die Auskunfteien halten dagegen: Solche Datenpools dienten lediglich der Betrugsprävention, schließlich sei Betrug ein großes Problem im Mobilfunksektor. Der Streit ging schließlich vor Gericht weiter.
Erste Urteile gegen Datensammlung
Erste Gerichtsurteile haben den Datenschützern nun recht gegeben. So hatte das Landgericht München im April dieses Jahres geurteilt, dass der Mobilfunkanbieter Telefónica O2 Vertragsdaten eines Kunden nicht ohne dessen Zustimmung an die Schufa hätte übermitteln dürfen. Der O2-Kunde hatte mit Unterstützung des Verbraucherzentrale Nordrhein-Westfalen geklagt.
Das Urteil ist noch nicht rechtskräftig, und doch sehen sich schon Verbraucherkanzleien ermutigt, eine Klagewelle loszutreten. Vor Kurzem hatten zwei Kölner Anwaltskanzleien angekündigt, dass sie im Auftrag von Handykunden in großem Stil gegen die Mobilfunkunternehmen vorgehen werden, weil diese rechtswidrig Daten an die Schufa weitergegeben hätten. Ende September wurden demnach die ersten Klagen bei Gerichten eingereicht, Tausende weitere sollen folgen.
Weiteres Unternehmen speichert Kundendaten
Nun also der Fall CRIF: Das Münchner Unternehmen steht, wie andere Wettbewerber auch, im Schatten der Schufa, der mit Abstand bekanntesten Wirtschaftsauskunftei des Landes, über deren Aktivitäten NDR und SZ wiederholt berichtet haben.
So konnte CRIF offenbar lange Zeit weitgehend unbemerkt einen Datenpool aufbauen, der erst jetzt näher untersucht wird. Unter der Bezeichnung "Telco Information Platform" (TIP) speichert CRIF zahlreiche Angaben zu Kunden von Telekom, Vodafone und Freenet.
Die Rede ist in solchen Fällen von "Positivdaten", ein Begriff, den Verbraucherschützer allerdings für irreführend halten. "Positivdaten" seien zwar ausschließlich Informationen, die im Grunde nichts Negatives enthalten wie unbezahlte Rechnungen oder gar Betrug.
Ob sich solche eigentlich neutralen Daten aber am Ende wirklich positiv für Verbraucher auswirkten, sei völlig unklar. Diese Daten werden jedenfalls laut der Datenschutzhinweise von CRIF auch für das Bonitätsscoring, also die Ermittlung der Kreditwürdigkeit von Kundinnen und Kunden verwendet.
"Nur auf Betrugsvermeidung zugeschnitten"
CRIF erklärte in einer schriftlichen Stellungnahme an NDR und SZ, bei der Plattform TIP handle sich um einen "geschlossenen Branchenpool", aus dem ein Mobilfunkunternehmen nur Daten abrufen könne, wenn es die seiner eigenen Kunden zuvor übermittelt habe - ein Modell, das auf Gegenseitigkeit basiert.
Der Pool sei zudem "nur auf Betrugsvermeidung zugeschnitten". Mithilfe der von den Mobilfunkfirmen gemeldeten Daten könne man schon im Vorfeld Betrug erkennen, zum Beispiel, wenn jemand ein falsches Alter angebe, falsche Angaben zu seiner Identität oder seiner Zahlungsfähigkeit mache
Eine "Mini-Schufa"?
Doch die zuständigen Datenschützer überzeugt diese Erklärung offenbar nicht. Branchenexperten sprechen gar davon, CRIF habe mit dem Datenpool klammheimlich eine Art "Mini-Schufa" für Telekom-Firmen aufgebaut - ein Vorwurf, den ein CRIF-Sprecher ausdrücklich nicht kommentieren wollte.
Doch auch die beteiligten Mobilfunkanbieter sehen sich um Recht. Es liege "kein übermäßiger Eingriff in das Persönlichkeitsrecht vor", so ein Sprecher der Telekom. Auch hier das Argument, das schon CRIF vorbrachte: Die an die Münchner Auskunftei übermittelten "Positivdaten" würden "ausschließlich zur Betrugsprävention eingesetzt". Ähnlich äußerte sich ein Vodafone-Sprecher: "Die Weitergabe dieser Positivdaten erfolgte vor allem zum Schutz vor Betrug und Datenmissbrauch durch Dritte."
Datenschützer sehen Verstoß
Das ist jedoch unzulässig, heißt es dagegen aus Kreisen der Datenschutzbehörden. Aus dem DSK-Beschluss von 2021 gehe deutlich hervor, dass auch eine vermeintliche Betrugsprävention kein Grund sei, Vertragsdaten ohne Einwilligung der Betroffenen an Schufa & Co. weiterzugeben.
Eine Sprecherin des ebenfalls am CRIF-Datenpool beteiligten Mobilfunkanbieters Freenet bezieht dennoch klar Stellung gegen die Behörden. Es existiere "keine rechtskräftige Entscheidung, nach der die Übermittlung von Bestandsdaten in einen solchen Datenpool rechtswidrig ist."
Die europäische Datenschutzgrundverordnung (DSGVO) sehe durchaus vor, dass Daten zur Betrugsverhinderung gespeichert werden dürften. "Die uns bekannte Sichtweise der DSK ist angesichts dessen für uns nicht nachvollziehbar, stellt auch nur eine Rechtsansicht zu diesem Komplex dar und kann unserer Ansicht nach einer noch anstehenden gerichtlichen Überprüfung nicht standhalten."
Weitere Klagen drohen
Trotzdem könnte den Mobilfunkanbietern nun weiterer Ärger drohen - nach den Klagen wegen der Weitergabe solche Vertragsdaten an den CRIF-Konkurrenten Schufa. Denn die Kölner Verbraucherkanzleien, die gegen Telekom, Vodafone & Co. in Sachen Schufa klagen, könnten bald auch schon CRIF ins Visier nehmen.
Wann die Untersuchung der bayerischen Datenschutzaufsicht angeschlossen sein wird, ist nach Informationen von NDR und SZ noch offen. Nicht unmöglich, dass am Ende auch in diesem Fall Gerichte entscheiden müssen.