Fast 50 Millionen US-Konten betroffenTelekom-Gruppe verschweigt Informationen über gehackte Personendaten

Fast die Hälfte der Millionen Kund:innen von T-Mobile in den USA waren vor einem Jahr Opfer eines riesigen Datenverlustes. Ein Betroffener aus den USA erhebt auch Vorwürfe an die Deutsche Telekom. Der Mutterkonzern sagt, er könne T-Mobile US nicht zu den konzerninternen Datenschutzrichtlinien verpflichten.

Der Text "Life is for sharing" auf Magenta-Hintergrund, vor dem eine Helix abgebildet ist.
War so nicht gemeint: Das Motto der weltweit tätigen Telekom-Gruppe. Telekom

Mit mehr als 100 Millionen Kund:innen in den USA verfügt T-Mobile über gewaltige Mengen von persönlichen Daten. Als Tochtergesellschaft der Deutschen Telekom könnte es sich sogar um die größte Datenmenge eines Unternehmens handeln, dessen Mutterkonzern seinen Sitz in der Europäischen Union hat. Darauf macht der Digitalaktivist und Reiseblogger Edward Hasbrouck aus Kalifornien in seinem jüngsten Eintrag aufmerksam.

Allerdings ist T-Mobile USA weit weniger auskunftsfreudig als die Deutsche Telekom, die beispielsweise dem damaligen Grünen-Abgeordneten Malte Spitz vor elf Jahren umfangreiche Bewegungsdaten herausgeben musste – allerdings erst nach einer Einigung im Rahmen einer Klage. Nach Vorbild von Spitz hatte auch Hasbrouck bei der US-Firma gefragt, welche Informationen über ihn gespeichert sind. Die Firma verweigert aber eine Antwort und verbittet sich inzwischen weitere Anfragen des Bloggers.

Auch Sozialversicherungsnummer und Führerscheindaten abgeflossen

Vor fast genau einem Jahr bestätigte T-Mobile Berichte, wonach Hacker:innen persönliche Daten von über 40 Millionen aktuellen oder ehemaligen Konten für Pre- und Postpaid-Dienste gestohlen haben. Hierbei soll es sich um Vor- und Nachnamen, Geburtsdatum, Sozialversicherungsnummer, Ausweis- und Führerscheindaten gehandelt haben.

Später habe die Firma festgestellt, dass weitere 7,8 Millionen Konten betroffen gewesen seien. Dabei wurden nach Angaben des Unternehmens auch „Telefonnummern sowie IMEI- und IMSI-Informationen“ kompromittiert. Doch dabei blieb es nicht.

Im Verlauf der Untersuchung entdeckte T-Mobile nach eigenen Angaben weitere 5,3 Millionen Datensätze von Kund:innen, auf die „illegal zugegriffen wurde“. Bei diesen Konten seien aber keine Informationen aus Ausweisen erbeutet worden. Man habe aber „weiterhin keinen Hinweis darauf, dass die in einer der gestohlenen Dateien enthaltenen Daten Finanzinformationen, Kreditkarteninformationen, Lastschriften oder andere Zahlungsinformationen von Kunden enthielten“, schreibt T-Mobile auf ihrer Webseite.

Mitteilung erst nach zwei Monaten

Unter den betroffenen Kund:innen war auch Hasbrouck, eine entsprechende Benachrichtigung über den Hack erhielt der Blogger aber erst im Oktober des vergangenen Jahres. Demnach habe T-Mobile „festgestellt, dass ein unbefugter Zugriff auf Ihre personenbezogenen Daten stattgefunden hat, einschließlich Ihres Namens, Ihrer Führerschein-/ID-Informationen, Ihres Geburtsdatums und Ihrer Sozialversicherungsnummer“.

Jedoch ergreife T-Mobile „weiterhin Maßnahmen, um alle gefährdeten Personen vor diesem Cyberangriff zu schützen“, heißt es auf der Webseite der Firma. Hierzu gehörten „Mitteilungen an Millionen von Kunden und andere betroffene Personen“.

Allerdings will T-Mobile nicht angeben, welche Daten überhaupt zu ihren Kund:innen gespeichert werden und somit abgeflossen sein könnten. Das musste auch der Blogger Hasbrouck erfahren, der die Bedrohung durch den Hack einschätzen und den Schaden durch diese Datenschutzverletzung mindern wollte. Zudem hat Hasbrouck keine Ahnung, wie die Firma an seine Führerscheindaten oder die Sozialversicherungsnummer gekommen sein könnte und warum diese über ein Jahrzehnt aufbewahrt werden.

Deutsche Telekom will Anteil auf über 50 Prozent steigern

Derzeit hält die Deutsche Telekom eine Mehrheitsbeteiligung von 48,8 Prozent an dem US-Konzern T-Mobile. Nach einem Bericht von Reuters von vergangener Woche soll dies auf über 50 Prozent gesteigert werden. Dem Vorstandsvorsitzenden Timotheus Höttges zufolge sei dies „derzeit unser wichtigstes strategisches Projekt“. Über indirekte Beteiligungen verfügt das deutsche Unternehmen nach einer eigenen Aufstellung sogar schon jetzt über einen Anteil von 64,78 Prozent an der US-Tochter.

Mit einer derart starken Beteiligung müsse das US-Unternehmen auch die von der deutschen Telekom-Gruppe propagierten Richtlinien zu Transparenz und Datenschutz einhalten, meint Edward Hasbrouck. „Wir ermöglichen unseren Kunden den Zugang zu den vielfältigen Möglichleiten [sic] dieser Welt. Als vertrauenswürdiger Partner begleiten wir sie auf diesem Weg – und sorgen auch dafür, dass niemand zurückbleibt“, wirbt die Deutsche Telekom für ihre Marke. Dies gelte „in Deutschland, unserem Heimatmarkt, und in rund 50 Ländern dieser Erde“.

Unternehmensregeln zum Datenschutz nicht für T-Mobile US

Die Deutsche Telekom weist in einer Stellungnahme darauf hin, dass die konzerninternen Richtlinien zum Datenschutz (Binding Corporate Rules Privacy) nur für diejenigen Unternehmen des Konzerns Deutsche Telekom verbindlich sind, „die sich ihnen angeschlossen und rechtsverbindlich in Kraft gesetzt haben“. „Also dann, wenn nationale oder regionale Gesetze sowie rechtliche Rahmenbedingungen in dem jeweiligen Land das in Kraftsetzen ermöglichen und das Unternehmen sie dann umsetzt.“ Die T-Mobile US habe das nicht getan.

§ 22 dieser Regeln bestimmt beispielsweise das Recht auf Auskunft für alle Kund:innen der Telekom-Gruppe. „Betroffene Personen“ haben demnach das Recht, „sich jederzeit an jedes Unternehmen, das ihre Daten verarbeitet, zu wenden“ und Informationen zu allen über sie gespeicherten personenbezogenen Informationen zu verlangen.

Warum T-Mobile US sich nicht den Binding Corporate Rules Privacy anschloss und die Deutsche Telekom das nicht forcieren könne, begründet die Deutsche Telekom mit dem Aktienrecht. „Aktionäre einer börsennotierten Gesellschaft dürfen der Gesellschaft keine Weisung erteilen, ebenso gilt das für den Aufsichtsrat. Die Gesellschaft wird ausschließlich vom Vorstand geführt, der sich dabei an den Interessen der Gesellschaft zu orientieren hat“, so die Telekom in einer Stellungnahme. Daher sei es auch untersagt, Interessen der Deutschen Telekom „über etwa entsandte Vorstandsmitglieder durchzusetzen“.

T-Mobile US halte sich bei der Auskunftserteilung an die geltenden nationalen und regionalen Gesetze und Vorgaben. Das Unternehmen wende für das gesamte US-Unternehmen den California Customer Privacy Act an, so die Deutsche Telekom. Dies gelte als „schärfstes Datenschutzgesetz der USA“.

Hasbrouck wirft der Muttergesellschaft vor, sich zu weigern, ihm in den Vereinigten Staaten zu seinem Recht auf Auskunft zu verhelfen. Die Deutsche Telekom sagt, sie sei nicht in der Lage, ihre US-Tochter zur Einhaltung der konzerninternen Datenschutzregeln zu bewegen. Das in Deutschland ansässige Unternehmen will ebenso wie T-Mobile künftig keine weiteren Anfragen Hasbroucks beantworten.

Die Deutsche Telekom schreibt, man habe Hasbrouck die Gründe „stets ausführlich, umfassend und transparent dargelegt“. „Da die Gesetzeslage unverändert ist, ergibt sich auch keine Änderung in dem Sachverhalt“, so die Deutsche Telekom. „Somit haben unsere bereits adressierten umfangreichen Antworten an Herrn Hasbrouck Gültigkeit. Dies haben wir Herrn Hasbrouck freundlich und verbindlich mitgeteilt.“

„Diese Aktionen scheinen sowohl gegen US-amerikanische als auch gegen deutsche Gesetze gegen Vertragsbruch, Wahrheit in der Werbung und Betrug zu verstoßen“, schreibt Hasbrouck in seinem Blogpost. Auch die Umsetzung der EU-Datenschutzgrundverordnung stehe damit infrage.

Es handele sich um einen Test für die Anwendbarkeit der europäischen Datenschutzvorschriften auf die US-Tochtergesellschaften von in der EU ansässigen Unternehmen, so Hasbrouck. Im Falle der Telekom-Gruppe hätten sich die verbindlichen Unternehmensregeln jedoch als Schwindel entpuppt.

Update (17. August): Offenbar erreichte unsere Bitte per E-Mail um Stellungnahme vom 15. August aus noch ungeklärten Gründen die Deutsche Telekom nicht vor Veröffentlichung des Artikels. Die Deutsche Telekom wandte sich nach der Veröffentlichung mit Statements an uns. Wir haben diese an den entsprechenden Stellen des Artikels eingefügt und geändert und die Passage entfernt, in der wir gesagt haben, die Deutsche Telekom habe nicht reagiert.

4 Ergänzungen

  1. Der Reiseblogger Edward Hasbrouck hat erst im Oktober von dem Hack erfahren, in Deutschland war man bereits 2 Monate vorher im August informiert:
    https://www.tagesschau.de/wirtschaft/unternehmen/t-mobile-us-hackerangriff-101.html

    > Mit einer derart starken Beteiligung müsste das US-Unternehmen auch die von der
    > deutschen Telekom-Gruppe propagierten Richtlinien zu Transparenz und
    > Datenschutz einhalten, meint Edward Hasbrouck.
    Es ist also doch nur eine Meinung eines Bloggers und keine juristische Feststellung? Eine Meinung hat jeder, aber ob derjenige damit recht hat, ist doch die Frage.

    Ich verstehe den Artikel nicht, was ist hier die Nachricht?

  2. Nach vorsichtiger Durchsicht des Blogartikels von Hr. Hasbrouck lege ich das unter: „Sturm im Wasserglas“ und auch „Ich lese meinen Vertrag aber anders“ ab.

    Die Überschrift „Telekom-Gruppe verschweigt Informationen über gehackte Personendaten“ finde ich auch etwas knallig, weil (wenn man ein bisschen den Hintergrund gelesen hat) die unschöne Wahrheit eher bei „TMO US ist ein unorganisierter Haufen, der nicht mal genau weiß, wo welche Kundendaten gespeichert worden sind“ liegt.

    Eins sollte aber klar sein: Auskunftsanspruch geht immer nur an den Vertragspartner und wenn das ein US Unternehmen ist, empfehle ich einen langen Atem oder die Einschaltung einer Gruppe wie der EFF.

    Und dann könnte man sich auch noch Gedanken darüber machen, auf was unlängst pluralistic.net hinweiste (https://pluralistic.net/2022/08/12/regulatory-uncapture/#conscious-uncoupling)

    „The public-private surveillance partnership is very old, and it’s key to monopolists‘ strategy. It took 69 years to break up AT&T, because every time trustbusters came close, America’s cops and spies and military would spring into action, insisting that the Bell System was America’s „national champion,“ needed to defend it from foreign enemies. The Pentagon rescued Ma Bell from breakup in the 50s by claiming that the Korean War couldn’t be won without AT&T’s help“

    1. Ich stimme vollkommen zu, dass die Überschrift „knallig“ ist, m.E. sogar in die Irre leitend. Die Überschrift sollte sich nicht auf die Telekom Gruppe beziehen, sondern nur auf das US Unternehmen.
      Es geht um Ansprüche gegen ein US Unternehmen, welches aufgrund einer Beteiligung von unter 50% nicht voll in den Konzern integriert ist und daher auch nicht den konzernweiten Datenschutzregelungen unterliegt. Das ist normal und der Datenschutz wird hier keine Besonderheit sein.
      Viele Behauptungen zu Schwindel, Vertragsbruch und Anwendbarkeit der DSGVO aber ohne Argumente. Die einzige Aussage ist m.E., dass man sich nicht darauf verlassen kann, dass ein US Unternehmen, dass unter einer deutschen Marke auftritt, auch tatsächlich zu 100% dem deutschen Unternehmen gehört und entsprechende Regelungen anwendet.
      Das soll aber nicht das Fehlverhalten des US-Unternehmens beschönigen.

  3. „Dabei wurden nach Angaben des Unternehmens auch „Telefonnummern sowie IMEI- und IMSI-Informationen“ kompromittiert.“

    Vielleicht vergleiche ich jetzt Äpfel mit Birnen, aber ich erinnere mich:

    „Abstract—We investigate what data iOS on an iPhone shares
    with Apple and what data Google Android on a Pixel phone
    shares with Google. We find that even when minimally configured
    and the handset is idle both iOS and Google Android share
    data with Apple/Google on average every 4.5 mins. The phone
    IMEI, hardware serial number, SIM serial number and IMSI,
    handset phone number etc are shared with Apple and Google.
    Both iOS and Google Android transmit telemetry, despite the
    user explicitly opting out of this. When a SIM is inserted both
    iOS and Google Android send details to Apple/Google. iOS sends
    the MAC addresses of nearby devices, e.g. other handsets and
    the home gateway, to Apple together with their GPS location.
    Users have no opt out from this and currently there are few, if
    any, realistic options for preventing this data sharing.“

    s.: https://www.scss.tcd.ie/doug.leith/apple_google.pdf

    Was machen die mit den Infos? Ist das wirklich notwendig?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.