Datenschutz

Kenia: Daten von 11,5 Millionen Kunden eines Providers landen auf dem Schwarzmarkt

M-Pesa ist ein kenianisches System für bargeldloses Bezahlen. Dieses Geschäftsmodell des kenianischen Kommunikationsanbieters Safaricom ist auf der Weitergabe von Daten aufgebaut. Nun haben Angestellte des Providers zudem die persönlichen Informationen von 11,5 Millionen Nutzern geleakt. Der Fall landet vor Gericht.

So sieht die M-Pesa-App aus. CC-BY-SA 2.0 Fiona Graham / WorldRemit

Nun hat auch Kenia seinen Datenschutzskandal. Die Daten von 11,5 Millionen Kunden des Telekom-Anbieters Safaricom sind auf dem Schwarzmarkt gelandet. Das sind nicht nur Klarnamen, Mobilnummern und der Standort, wie man es von einem Mobilfunkanbieter erwarten würde. Hier geht es auch um Glücksspiel: genaue Transaktionen, auf welchen Plattformen ein Kunde wie viel gewettet hat.

Denn Safaricom ist auch Betreiber des in Kenia extrem erfolgreichen Systems M-Pesa für mobiles Bezahlen. An jeder Ecke, in jedem Kiosk findet man das System. An diesen Kiosken können Nutzerinnen Geld einzahlen. Dieses Guthaben können sie dann einfach per SMS weiter verschicken, zum Beispiel an Wettseiten.

Nachricht von „Mark“ und „Charles“

Die aktuelle Affäre beginnt, als sich am 18. Mai zwei Männer namens „Mark“ und „Charles“ bei einem Mann namens Benedict Kabugi Ndun’gu melden und ihm die Daten von 11,5 Millionen Glücksspielern anbieten. Er sucht in dem Datensatz, findet seine eigenen Daten – „ich habe gelegentlich meine Nummer zum Glücksspielen benutzt“ – und ist danach von der Echtheit überzeugt. Ndun’gu meldet sich über mehrere Wochen bei verschiedenen Polizeibehörden und sogar Safaricom selbst. Er wird hingehalten und angewiesen, den potenziellen Verkäufer bei der Stange zu halten. So stellt er zumindest selbst dar, in der Klage, die er jetzt gegen Safaricom eingereicht hat.

„Ich fand mich nun in einer gelinde gesagt einzigartigen Position, während ich auf Rückmeldung des Polizisten und von [Safaricom] wartete und mir alle möglichen Lügen ausdachte“, schreibt er in der Klageschrift gegen Safaricom. Ndun’gu wurde dann ohne Angaben von Gründen für eine Nacht verhaftet und half am nächsten Tag der Polizei trotzdem, in einer Sting-Operation die zwei Anbieter zu verhaften.

Diese führten die Polizei zur Quelle des Lecks: zwei hochrangigen Angestellten Safaricoms. Ein Gericht eröffnete dann das Verfahren gegen sie, allerdings mit einer kleinen Überraschung für Ndun’gu: „Dass Charles und Mark, die illegalerweise auf die Daten zugegriffen hatten, nicht angeklagt wurden und bis jetzt auch noch nicht angeklagt wurden, sondern als Zeugen aufgelistet sind.“

Stattdessen wurde Ndun’gu selbst erneut verhaftet und angeklagt. Laut Anklage soll er zwischen dem 1. Mai und dem 7. Juni versucht haben, Safaricom mit den den gestohlenen Daten zu erpressen.

Kenia ist stolz auf M-Pesa

Dieser Skandal ist nicht die Ausnahme, die bestätigt, wie gut der Datenschutz bei Safaricom sonst funktioniert. M-Pesa und das umgebende Ökosystem haben den laxen Umgang mit Daten institutionalisiert, könnten ohne nicht funktionieren.

M-Pesa wurde 2007 als System zum Begleichen von Mikrokrediten eingeführt, dann aber von Safaricom zu einem generellen System für bargeldloses Zahlen ausgebaut. Heute nutzen 20 Millionen Kenianer M-Pesa oder vergleichbare Systeme, das zeigt eine aktuelle Studie der Zentralbank und der NGO FSD Kenya. Mobiles Bezahlen ist in Kenia Chefsache, M-Pesa eine kenianische Erfolgsstory.

Im September 2016 besuchte Mark Zuckerberg Kenia, „um etwas über mobiles Bezahlen zu lernen“, wie er damals sagte, Kenia sei hier Weltmarktführer. Und nachdem Facebook diesen Monat seine eigene Währung Libra ankündigte, wurde spekuliert, ob die starke Kultur des mobilen Bezahlens in Kenia für Libra ein Vorteil sei oder ob M-Pesa als etablierte Lösung die Oberhand behalten würde.

Die Wunderwaffe gegen Armut

Von internationalen Medien wird M-Pesa seit Jahren gefeiert. „Warum führt Kenia die Welt beim mobilen Bezahlen an?“ titelte der Economist 2015, CNN widmete dem System zum zehnten Geburtstag 2017 eine jubelnde Biografie.

„Zugang zum kenianischen Mobilzahlungssystem M-Pesa erhöhte den Pro-Kopf-Verbrauch und half 194.000 Haushalten, oder zwei Prozent der kenianischen Haushalte, aus der Armut.“ Zu dem Schluss kommt eine Studie aus dem Jahr 2016, die schnell zum oft zitierten Kernstück der Argumentation wurde, dass Entwicklungshilfe auch profitabel sein kann.

Eine kleine Geschichte Safaricoms

Und das ist M-Pesa: Der Mutterkonzern Safaricom ist heute der profitabelste in Ostafrika. Die Firma stellt alleine vierzig Prozent des an der kenianischen Börse gehandelten Werts dar. Wenn es eine Definition von „Too big to fail“ gibt, dann ist das Safaricom für Kenia.

Die ehemalige Abteilung des staatlichen Anbieters für Post und Telekommunikation wurde 2008 teilprivatisiert. Heute hält der Staat 35 Prozent der Aktien, 25 Prozent werden an der Börse frei gehandelt und der Rest gehört direkt oder durch die Tochterfirma Vodacom dem britischen Konzern Vodafone. Im Finanzjahr 2018 wuchs der Umsatz, den Safaricom mit M-Pesa erzielte, auf 75 Milliarden Schilling (640 Millionen Euro), ein Drittel des Gesamtumsatzes. Aktionäre bekamen einen Bonus in gleicher Höhe ausgezahlt.

„Another False Messiah“

„Das zeigt, dass basierend auf den winzigen Transaktionen der Armen durch M-Pesa bedeutender Wert geschaffen wird, der aber größtenteils durch Dividendenzahlungen an ausländische Investoren in andere Länder weggezaubert wird“, schließen daraus die Autoren der Studie „Another False Messiah: The Rise and Rise of Fin-Tech in Africa“.

Die M-Pesa-vertreibt-die-Armut-Studie enthalte „eine überraschende Anzahl an Fehlern, Auslassungen, schlechter Logik und methodischen Fehlern“, kritisieren die Verfasser. Außerdem sei sie größtenteils von FSD Kenya und der Gates Foundation finanziert worden, die beide sehr an der Ausweitung des digitalen Finanzwesens interessiert seien. FSD Kenya? Ja, genau die NGO, die auch die FinAccess-Studie zur Verbreitung dieser Angebote in Kenia mit verantwortet.

Die Autoren von „Another False Messiah“ vergleichen das System M-Pesa mit der Ausbeutung der Armen in den USA vor der Finanzkrise 2008 durch Glücksspiel, Hypotheken und kurzfristige Kredite. Genau wie damals würden nun in Kenia Arme durch den „digitalen Raubbau“ von Transaktionsgebühren und Zinsen ausgenutzt.

Und in der Tat: Die Gebühren für das Abheben von M-Pesa als Bargeld können bei kleinen Beträgen bis zu 17 Prozent betragen. Wer den Mindestbetrag von 200 Schilling, rund 1,72 Euro, an einem Automaten abhebt, bezahlt umgerechnet 29 Cent als Gebühr.

Kreditwürdigkeit, ermittelt per Algorithmus

Zumindest überweisen darf man kleine Beträge kostenlos, bis zu dreimal am Tag. Das geht einfach per SMS. Der Haken: SMS sind nicht verschlüsselt und können deshalb einfach ausgelesen werden – und damit auch die darüber erledigten Überweisungen.

Genau das tut ein wichtiger Bestandteil des M-Pesa-Systems: Apps für Instantkredite. App installieren, Erlaubnis zum Nachrichten lesen geben, und schon hat der Nutzer Zugang zu Krediten. Mehr als acht Prozent der Erwachsenen in Kenia nutzen solche Instantkredit-Apps, vor drei Jahren waren es noch weniger als ein Prozent.

Zwei der populärsten dieser Apps, Tala und Branch, wurden 2017 in einem Report der NGO Privacy International untersucht. Beide wurden in Kalifornien für afrikanische und philippinische Nutzer:innen entwickelt. Beide brauchten Zugang zur getätigten Anrufen, Kontakten, Nachrichten und GPS-Standort.

Aus diesen Daten wird per Algorithmus ermittelt, ob ein Kredit genehmigt wird oder nicht. Tala wertete dabei auch aus, ob genug Nachrichten an unter „Mama“ gespeicherte Kontakte gesendet oder die Nummer oft genug angerufen wird: „Ihre Analyse hat ergeben, dass Personen, die ihre Familie regelmäßig anrufen, ihre Kredite vier Prozent wahrscheinlicher zurückzahlen.“ Branch benötigte Zugang zum Facebook-Account des Nutzers und wertete das Verhalten von Freunden und Freundinnen aus.

„How Tala Mobile is Using Phone Data To Revolutionize Microfinance“, betitelte Forbes ein Interview mit Talas Gründerin. „Wenn Datenschutz für die kenianischen Konsumenten wichtig wäre, würden wir ihn anbieten“, sagte ein Mitarbeiter der kenianischen Firma M-Kopa zu Privacy International. Diese Firma bietet Solarpaneele auf Raten an, ausgestattet mit SIM-Karten. Die übertragen an M-Kopa, wie viel Strom erzeugt wird und welches Programm auf dem angeschlossenen Fernseher läuft. Wenn die Raten nicht weiter bezahlt werden, schalten sie die Solarpaneele ab.

Schulden statt Bankkonten

Um den Erfolg und die Gefahr von M-Pesa zu verstehen, muss man noch zwei Fakten wissen. Erstens: Sechs von zehn Kenianern haben kein reguläres Bankkonto. Der häufigste Grund: Mangel an Ersparnissen. „Nur ein Fünftel der erwachsenen Bevölkerung wurde als finanziell gesund eingeschätzt“, so der schon erwähnte FinAccess-Bericht. Zweitens: Beinahe zehn Prozent von denen, die einen Kredit über eine solche App aufnehmen, können ihn nicht zurückzahlen. Bei traditionellen Bankkrediten sind es nur zwei Prozent. Eine nachhaltige finanzielle Entwicklung sieht anders aus, sagen auch die Autoren von „Another False Messiah“. Südafrika dient als abschreckendes Beispiel.

Dazu kommt noch ein weiteres Problem: das Glücksspiel. Denn das boomt in Kenia. Vor fünf Jahren war die Branche noch 2 Milliarden Schilling wert, jetzt sind es 200 Milliarden. Mehr als drei Viertel der Jugendlichen betreiben Glücksspiel, eine halbe Million konnte laut Regierungsstellen bereits einen Kredit nicht zurückzahlen. Dieser riesige Zuwachs wäre wohl ohne einfache Überweisungen und schnelle Kredite kaum möglich gewesen.

Datenschutzgesetz wird besprochen

Dass das ein potenzielles Imageproblem darstellen könnte, haben nun auch die Unternehmen erkannt. 13 Firmen haben sich deshalb letzte Woche zum ethischen Handeln bei der Kreditvergabe verpflichtet. Im Oktober letzten Jahres hatten sich bereits einige der Unternehmen, darunter Branch und Tala, gegen Teile eines kenianischen Datenschutzgesetzes ausgesprochen.

Dieses Gesetz durchläuft seit einem Jahr die kenianische Gesetzgebung. Ein aktueller Entwurf sieht vor, dass die Daten kenianischer Kunden nur auf kenianischen Servern gespeichert werden dürfen. Weiterhin hätten Kenianer das Recht auf Auskunft, wie ihre Daten gesammelt, gespeichert und verarbeitet werden, auch auf deren Löschung. Die Ähnlichkeiten zur DSGVO sind klar erkennbar. Auch ein Recht auf Vergessen und „Privacy by Default“ sind im Entwurf vorgesehen.

Für Safaricom besonders brisant: Kunden sollen alle Aufzeichnungen über mobile Transaktionen, zum Beispiel mit M-Pesa, auf andere Anbieter übertragen lassen können. Diese gibt es durchaus, bloß ist die Übermachtstellung von M-Pesa und Safaricom erdrückend, die Raten zur Überweisung an Kunden anderer Anbieter hoch. Beim mobilen Bezahlen beträgt M-Pesas Marktanteil 78 Prozent.

Der Entwurf sieht eine Gefängnisstrafe von bis zu zwei Jahren für Personen vor, die die Privatsphäre anderer verletzen. Er erwähnt aber keine Strafen für Firmen, die gegen die Regelungen verstoßen. Darüber soll eine „Beschwerdekommission“ entscheiden.

Marketing auf Wikipedia

Dass auch Safaricom an seinem Image interessiert ist, zeigt der Fall des Wikipediaeditors Githinji.mwai. „M-Pesa 1Tap is the faster way to pay with MPESA“, hatte der in Safaricoms Wikipediaartikel eingefügt. „With M-Pesa 1Tap, you simply tap, enter PIN to pay and go!“ Den Absatz unter der Überschrift „Kontroverse“ löschte er allerdings, genau wie im Artikel der Safaricom-Managerin Sylvia Mulinge. Dort löschte er die Erwähnung eines laufenden Gerichtsverfahrens: Mulinge war beschuldigt worden, achtlos eine Minderjährige überfahren und getötet zu haben. Seine Begründung für das Löschen: „Beschuldigungen sind nicht wahr.“

Inzwischen wurde Githinji.mwai verwarnt: Er solle bitte keine Artikel bearbeiten, zu denen eine persönliche Verbindung bestehe. Welche persönliche Verbindung? Githinji Mwai ist Mitarbeiter der kenianischen Marketingfirma Squad Digital, die unter anderem an Safaricoms „Das ist mein Kenia“-Kampagne arbeitete. Wikipediaeditoren dürfen für das Schreiben von Artikeln bezahlt werden, müssen dass allerdings offen erkenntlich machen und in ihrer Arbeit stets neutral bleiben. Githinji.mwai tat keins von beidem.

Klage fordert 115 Billionen

Im aktuellen Fall bestreitet der Kläger Ndung’gu nun vehement, Safaricom je mit den gestohlenen 11,5 Millionen Datensätzen erpresst zu haben. Er nimmt außerdem Anstoß daran, dass Safaricom bisher keinem der Betroffenen ein Mitteilung oder eine Entschuldigung zukommen ließ. Dagegen klagt Ndun’gu auf spektakuläre Weise: Er verlangt in seiner Anklageschrift 10 Millionen kenianische Schillinge für jeden der 11,5 Millionen Betroffenen. Insgesamt wären das 115 Billionen Schillinge – umgerechnet rund 990 Millionen Euro.

„Ich hoffe, dass das Gericht eine Entscheidung trifft, die sicherstellt, dass der Gigant, der der Antragsempfänger ist, die Frage des Datenschutzes mit der Ernsthaftigkeit behandelt, die sie verdient und dass ein Leck dieser Art nie wieder passiert“, heißt es in der Anklageschrift.

Eine Ergänzung
  1. Ein wirklich erhellender Artikel. Ich finde es gut das hier ein Artikel zu einem Thema erschienen ist, der sich nicht mit den netzpolitischer Belangen der „westlichen Hemisphäre“ beschäftigt, sondern digitale Realitäten in anderen Kulturräumen abbildet, hier am Beispiel des M-Pesa in Kenia. Der „Digitale Kolonialismus“, deren Ursachen, Phänomenen und Auswirkungen sollten stärker beobachtet und kritisiert werden.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.