Hamburg, San Francisco Die Sonne scheint, die Mitarbeiter grinsen, Timotheus Höttges gibt sich willig für Selfies her: Der Chef der Deutschen Telekom ist Ende vergangener Woche mit seinem halben Führungsteam nach Bellevue bei Seattle gereist, dem Sitz von T-Mobile US. Die Manager wollten sich vom Erfolg der wichtigsten Konzerntochter und deren Boss, Mike Sievert, inspirieren lassen.

Dabei passen einige Projekte des US-Mobilfunkanbieters, der jahrelang ein Regelbrecher-Image kultivierte, so gar nicht zu Strategie und Auftreten der Mutter aus Bonn. Intime Daten der Nutzer werden gezielt ausgewertet und an Werbekunden verkauft. Alle Nutzer, die nicht ausdrücklich widersprachen, wurden im Frühjahr vergangenen Jahres in ein Programm aufgenommen, das T-Mobile die Erfassung sensibelster Daten erlaubt.

Dabei wirbt die Telekom in der Heimat mit Datenschutz als Kernkompetenz. „Das Wertvollste, was unsere Kunden uns anvertrauen, sind ihre persönlichen Daten“, betont der Dax-Konzern in seinen Publikationen.

Die Vorgaben sind nicht auf Deutschland beschränkt. „Mit unserer weltweitagierenden Datenschutzorganisation ermöglichen wir, dass überall die gleichen hohen Standards für unsere Produkte und Services gelten“, sichert der Konzern zu. Und Höttges kritisiert in der Öffentlichkeit gern das zügellose Gebaren großer Tech-Konzerne, die ihre Milliardengewinne vor allem aus Einblicken in die Privatsphäre ihrer Nutzer generieren.

In den USA, dem wichtigsten Markt des Unternehmens, geht die Telekom jedoch ähnlich vor. Im vergangenen Jahr hat T-Mobile US fast zwei Drittel zum Konzernumsatz beigesteuert, der Kundenstamm legt stetig zu. Dank der guten Zahlen genießt die Tochter eine Menge Freiraum. Das Werbeprogramm zeigt die Kehrseite dieser Strategie.

T-Mobile hat als Netzbetreiber einen tiefen Einblick, wie aus den Werberichtlinien des Unternehmens hervorgeht. Prinzipiell kann ein Provider fast alles mitschneiden, was Kunden mit ihren Endgeräten im Internet tun.

Vieles davon wertet T-Mobile für sein Werbegeschäft auch wirklich aus. Es geht zum Beispiel um die Websites, die Kunden aufrufen, welche Apps sie verwenden oder Informationen über das Endgerät, das sie nutzen und wo sich die Kunden genau aufhalten. T-Mobile bezieht auch persönliche Daten aus Beständen externen Firmen ein, um Alter, Bildung und persönliche Präferenzen zuzuordnen, wie die Vertragskonditionen zeigen.

Die Informationen werden zwar anonymisiert zusammengefasst. Doch Datenschützer kritisieren, dass man die Identität der Nutzer letztlich doch ergründen kann, indem man Informationen aus verschiedenen Datenbanken kombiniert.

Vielen Führungskräften in Bonn und selbst Aufsichtsräten sind Existenz und Ausgestaltung dieses Angebots nicht bekannt. Selbst Höttges, der auch dem Verwaltungsrat von T-Mobile vorsitzt, kennt der Telekom zufolge zwar „den Kontext des Programmes“, aber nicht die Details.

Die Deutsche Telekom betont in einem schriftlichen Statement an das Handelsblatt, dass die US-Kunden die Möglichkeit gehabt hätten, der Teilnahme an dem Programm zu widersprechen. Nach deutschem Recht wäre so eine „opt-out“ genannte, nachträgliche Widerspruchsregelung indes nicht ausreichend. Die Telekom ficht das anscheinend nicht an: Man orientiere sich „an den lokalen Vorgaben und Regelungen“.

Die Aussage verwundert – und widerspricht offenbar den eigenen Regeln. So heißt es in der „Konzernrichtlinie Datenschutz“, dass diese „ein weltweit einheitliches und hohes Datenschutzniveau“ schaffe. Von Nutzern sei vor der Verarbeitung ihrer Daten eine „ausdrückliche“ und schriftliche Einwilligung einzuholen. Die Richtlinie gilt auch für vollkonsolidierte Tochterunternehmen wie T-Mobile US.

„Keine Bedenken“ im Beirat der Telekom

Ähnlich widersprüchlich geht es weiter. Eine Sprecherin von T-Mobile teilt auf Anfrage mit: „Die Deutsche Telekom war in den Aufbau des Werbeprogramms nicht eingebunden.“ Außerdem fänden die globalen Datenschutzregeln des Konzerns bei dem Werbeprogramm keine Anwendung. Das gelte auch für die Zuständigkeit des Datenschutzbeirates des Unternehmens.

Laut Telekom hat sich der Beirat, dem etwa Konzernchef Höttges oder der ehemalige Bundesdatenschutzbeauftragte Peter Schaar angehören, aber sehr wohl mit dem Werbeangebot beschäftigt. „Es gab keine Bedenken“, heißt es im schriftlichen Statement des Konzerns.

Wie riskant das Vorgehen von T-Mobile US aus Kundensicht sein kann, zeigte ein Vorfall, der sich wenige Monate nach Einführung des neuen Werbeprogramms ereignete: Der damals 21-jährige Hacker John Binns erbeutete von der Türkei aus die privaten Daten von rund 50 Millionen T-Mobile-Kunden. Darin: Namen, Adressen oder IMEI-Nummern, die das Telefon der Kunden eindeutig identifizieren.

Im „Wall Street Journal“, das Details des spektakulären Einbruchs Ende August öffentlich machte, kritisierte Binns die laxen Sicherheitsvorkehrungen der Telekom-Tochter.

„Wir haben das Thema mit Geld zugeschüttet“

Es war bereits der fünfte Datenskandal bei T-Mobile innerhalb von vier Jahren. Bis heute ist unklar, was genau mit den Informationen geschehen ist. In Bonn herrschte damals Alarmstimmung. Höttges machte in Bellevue Druck: Man solle das Thema endlich ernst nehmen.

Es sollen Folgekosten in Höhe von über 250 Millionen Dollar entstanden sein. Mögliche Schadenersatzzahlungen an klagende Kunden sind darin noch nicht eingerechnet. „Wir haben das Thema mit Geld zugeschüttet, damit Höttges als Chairman ruhig schlafen kann“, sagt eine Telekom-Führungskraft.

Die Aufräumarbeiten zogen sich hin. Zwischenzeitlich soll sogar der deutsche IT-Sicherheitschef Thomas Tschersich nach Bellevue gereist sein, um nach dem Rechten zu sehen und den Kollegen zu helfen. Erst im Dezember hat der T-Mobile-Verwaltungsrat demnach ein neues Sicherheitskonzept verabschiedet.

Die Telekom bestreitet in ihrem Statement, dass Tschersich nach Bellevue gereist ist. Zwischen Höttges und Sievert bestehe „Einigkeit, dass die Angelegenheit mit höchster Priorität zu behandeln ist“. T-Mobile habe mittlerweile „eine langfristige Partnerschaft mit einem der führenden Beratungsunternehmen in Sachen Cybersecurity geschlossen“. T-Mobile US gibt an, dass keine „Tracking- und Werbedaten“ von dem Hack betroffen gewesen waren.

Das Werbeprogramm lief damals indes weiter. Ein Insider, der es mitentwickelt hat, sagte dem Handelsblatt: „T-Mobile möchte gerne von den hohen Umsätzen im Werbegeschäft profitieren.“ Das System sei bewusst so angelegt, dass es fast alle Kunden erfasse. Nur wenige Verbraucher machten sich die Mühe, sich extra abzumelden.

Das Vorgehen entlarve die Inkonsequenz der Telekom, sagt Roger Entner, Gründer des Telekommunikationsspezialisten Recon Analytics. „Die Telekom kann nicht in Europa Datenschutz predigen und gleichzeitig in den USA die Daten ihrer Kunden sammeln und verkauften.“ Die US-Kunden zahlten ohnehin schon Dutzende Dollar im Monat für ihre Verträge, so Entner. Da sei es nicht angemessen, auch noch ihre privaten Daten zu monetarisieren.

T-Mobile nutzt eine Gesetzeslücke

Google oder Facebook, die ihr Werbegeschäft weitaus schamloser treiben, bieten ihren Nutzern im Gegenzug immerhin kostenlosen Zugriff auf nützliche Dienste. T-Mobile-Kunden haben jedoch kaum etwas von Sieverts Nebengeschäft. Sie „profitieren dabei von den Vorteilen auf ihre Bedürfnisse zugeschnittener Angebote“, heißt es bei der Telekom.

T-Mobile nutzt für das Werbeprogramm eine Gesetzeslücke. Zwar schränken US-Bundesgesetze die Nutzung von Informationen wie Rechnungsdaten von Netzbetreibern für Werbezwecke im Grunde stark ein. Die Regeln erstrecken sich aber nicht auf die vielen Daten, die über Smartphones generiert werden.

Das Vorgehen von T-Mobile sei Teil eines größeren Problems, sagt Adam Schwartz von der auf Datenrechte spezialisierten Nichtregierungsorganisation Electronic Frontier Foundation. Andere Netzbetreiber wie AT&T und Verizon hätten ähnliche Programme aufgelegt. „Viele Menschen wissen nicht, wie ihre Daten ausgewertet und verkauft werden. Da nutzt es wenig, ihnen nachträglich Möglichkeiten einzuräumen, diese Praxis einzuschränken“, sagt Schwartz.

Telekom-Chef Höttges hat derweil offenbar Gefallen an dem Angebot seiner US-Kollegen gefunden. Er überlege, „Teile des Programmes auch in Europa zur Anwendung zu bringen“, heißt es in dem Statement der Telekom. Dann natürlich „gemäß der deutschen Datenschutzregeln“.

