Datenschutzhinweis – Maßnahmen zur Betrugsprävention auf unserem Netzwerk und über unsere Dienste

1. Allgemeiner Anwendungsbereich

Dieser Datenschutzhinweis gilt für die Verarbeitungstätigkeiten von Proximus (nachfolgend: „wir“, „uns“), wenn wir personenbezogene Daten von Kunden oder Endnutzern verarbeiten, um Betrug zu verhindern und zu bekämpfen, wie etwa Phishing, unerwünschte Anrufe, FluBot, Signalisierungsmissbrauch und E Mail Spam.

Mit diesem Datenschutzhinweis möchten wir Sie transparent über diese Verarbeitungstätigkeiten informieren, bei denen wir als Verantwortlicher für die Verarbeitung („Datenverantwortlicher“) auftreten. Darüber hinaus haben wir eine spezielle Datenschutzrichtlinie ausgearbeitet, die ausschließlich der Betrugsprävention auf unserem Netzwerk und über bestimmte Dienste – wie z. B. unseren E Mail Dienst – gewidmet ist. Um die hier enthaltenen Informationen zu ergänzen und zu verstehen, wie wir Ihre Daten in anderen Situationen verarbeiten, verweisen wir auf unseren allgemeinen Datenschutzhinweis.

Wir können diesen Datenschutzhinweis von Zeit zu Zeit durch die Veröffentlichung einer neuen Version anpassen. Das Datum der aktuellen Version ist oben angegeben („Zuletzt geändert“). Dies kann erforderlich sein, wenn wir Änderungen vornehmen, die sich auf die Verarbeitung personenbezogener Daten auswirken können, oder wenn dies zur Einhaltung geltender Datenschutzvorschriften notwendig ist.

2. Wer sind wir und wie können Sie uns kontaktieren?

Die Dienste werden angeboten von Proximus AG öffentlichen belgischen Rechts (König Albert II Allee 27, 1030 Brüssel).

Wenn Sie Fragen zur Verarbeitung Ihrer personenbezogenen Daten haben, können Sie den Datenschutzbeauftragten von Proximus kontaktieren.

Wie erreichen Sie den Datenschutzbeauftragten von Proximus?

E-mail : privacy@proximus.com

Adresse: König Albert II Allee 27, 1030 Brüssel

Webformular

3. Wie verarbeiten wir Ihre personenbezogenen Daten?

3.1. Maßnahmen zur Bekämpfung betrügerischer Nachrichten über mobile Textnachrichten (SMS/MMS)

Hintergrund und Bedeutung

In den letzten Jahren hat Proximus einen erheblichen Anstieg von sogenannten Smishing Angriffen festgestellt. Smishing ist eine Form des Phishings, die über mobile Textnachrichten durchgeführt wird.

Kriminelle fälschen SMS Nachrichten und geben vor, von einer Person oder einer Finanzinstitution zu stammen, der der Empfänger vertraut (z. B. einer Bank), um ihn dazu zu bewegen, Handlungen vorzunehmen, die zur Offenlegung sensibler Informationen führen. Erfolgreiche Smishing Angriffe können zu finanziellen Verlusten, einer schlechten Kundenerfahrung und Verletzungen der Privatsphäre von Abonnenten führen.

Angreifer, denen es gelingt, Smartphones zu kompromittieren, können Handlungen im Namen des Endnutzers ausführen und Daten von dem Gerät exfiltrieren. Mit anderen Worten: Erlangen diese Angreifer Zugriff auf Ihr Smartphone, können sie sich als Sie ausgeben und Daten stehlen. Neben den Auswirkungen auf Kunden stellen Smishing Angriffe zudem ein Risiko für die betriebliche Verfügbarkeit und Leistungsfähigkeit der Messaging Plattformen von Proximus oder anderer damit verbundener Systeme dar.

Zur Bekämpfung von Smishing und anderen auf SMS und MMS basierten Betrugsformen hat Proximus seine Fähigkeiten zur Erkennung und Blockierung betrügerischer Textnachrichten erweitert, indem Algorithmen entwickelt und eingesetzt werden, die Entscheidungsprozesse unterstützen und automatisieren. Dies bedeutet, dass Sie bestimmte für Sie bestimmte Nachrichten möglicherweise nicht erhalten, da diese als Smishing Angriffe identifiziert wurden. Im Rahmen ihres Cybersicherheitsprogramms hat Proximus daher eine neue Anti Smishing Plattform eingerichtet, die folgende Ziele verfolgt:

  • Schutz mobiler Abonnenten vor verschiedenen Arten von Smishing Angriffen, bei denen Personen zur Preisgabe personenbezogener Informationen verleitet werden, die anschließend von Betrügern missbraucht werden, um unbefugten Zugriff z. B. auf Bankkonten oder Zahlungskartendaten zu erlangen;
  • Schutz der mobilen Endgeräte der Proximus Abonnenten vor der Kompromittierung durch mobile Schadsoftware, die zur Exfiltration personenbezogener Daten genutzt werden kann;
  • Schutz der Telekommunikationsinfrastruktur von Proximus vor Denial of Service Angriffen (DoS), die darauf abzielen, Dienste für Millionen von Nutzern zu stören, indem die für die Telekommunikation erforderliche Infrastruktur angegriffen wird.

Welche Kategorien personenbezogener Daten nutzen wir?

Aufgrund jüngster gesetzlicher Änderungen in Belgien und je nach anwendbarer Rechtsvorschrift sind wir verpflichtet oder berechtigt, bestimmte Daten zur Betrugsbekämpfung zu verarbeiten. Dazu gehören Verkehrs und Standortdaten, technische Kennungen, Informationen zu Nutzungsvolumina sowie der Inhalt von Nachrichten.

Was ist die Quelle der personenbezogenen Daten?

Die personenbezogenen Daten werden im Rahmen der Nutzung unseres Mobilfunkdienstes erhoben.

Zu welchen Zwecken werden Ihre personenbezogenen Daten verarbeitet?

Zur Bekämpfung von Betrug, der über Nachrichten unter Verwendung von Telefonnummern begangen wird.

Was rechtfertigt diese Verarbeitung (Rechtsgrundlage von Proximus)?

Grundsätzlich ist Proximus gesetzlich verpflichtet, Betrug auf ihrem Netzwerk zu bekämpfen (Artikel 121/8 des belgischen Gesetzes über die elektronische Kommunikation). Zudem besteht eine gesetzliche Verpflichtung zur Verarbeitung bestimmter Kategorien von Verkehrsdaten zu diesem Zweck (Artikel 122 § 4 desselben Gesetzes).

Zusätzlich zu diesen gesetzlichen Verpflichtungen erlaubt das belgische Gesetz über die elektronische Kommunikation allen Telekommunikationsbetreibern die Verarbeitung weiterer Kategorien personenbezogener Daten zur Bekämpfung spezifischer Betrugsfälle. In diesem Zusammenhang verfügt Proximus über ein berechtigtes Interesse, insbesondere zur Verhinderung von Betrug durch Nachrichten mittels Telefonnummern (wie SMS oder MMS), gemäß Artikel 125 § 1 Nr. 7 des belgischen Gesetzes über die elektronische Kommunikation.

Mit wem teilen wir diese Daten?

  • Innerhalb von Proximus: Ihre Daten werden ausschließlich von Proximus Mitarbeitern verarbeitet, die mit der Betrugsbekämpfung betraut sind.
  • Externe Auftragsverarbeiter: Zur Unterstützung bei der Betrugsbekämpfung greift Proximus auf bestimmte Auftragsverarbeiter für IT oder technische Unterstützungsleistungen zurück, darunter Mavenir Systems LTD. Mit diesen wurden schriftliche Vereinbarungen zum Schutz Ihrer personenbezogenen Daten abgeschlossen.
  • Behördliche Stellen: In bestimmten Fällen können das BIPT oder andere zuständige Behörden Zugang zu Daten im Zusammenhang mit elektronischer Kommunikation verlangen. Dieser Zugang ist jedoch streng begrenzt:
    • Bei bestätigten Smishing Fällen können bestimmte Informationen (z. B. erkannte schädliche Domains) an das Zentrum für Cybersicherheit Belgien (CCB) weitergegeben werden;
    • Anfragen des BIPT werden nur in spezifischen Fällen beantwortet und ausschließlich anhand eines Screenshots, der den Nachrichteninhalt im Zusammenhang mit bestätigten Smishing Fällen enthält.

Der Schutz Ihrer Privatsphäre hat für uns höchste Priorität, und jede Datenweitergabe erfolgt streng im Einklang mit den gesetzlichen Vorgaben.

Übertragen wir Ihre Daten außerhalb des EWR?

Proximus arbeitet für die SMS Betrugsprävention ausschließlich mit Partnern zusammen, die im Europäischen Wirtschaftsraum ansässig sind. Aufgrund der internationalen Natur von Telekommunikationsdiensten können jedoch in bestimmten Situationen Daten außerhalb des EWR verarbeitet werden, ohne dass dies notwendigerweise als internationale Übermittlung personenbezogener Daten im Sinne der DSGVO gilt.

Wenn Sie internationale SMS senden oder empfangen oder sich außerhalb des EWR aufhalten (z. B. beim Roaming), werden technische Informationen über Ihre Kommunikation von ausländischen Netzen und Betreibern verarbeitet. Dies ist technisch notwendig, um die Zustellung Ihrer Nachricht zu ermöglichen.

Wie lange verarbeiten wir diese Daten?

Die Daten werden für 30 Tage aufbewahrt (sofern keine gesetzliche Verpflichtung eine längere Aufbewahrung verlangt), um mögliche Beschwerden und gegebenenfalls Untersuchungen durch Proximus zu ermöglichen.

Aggregierte Statistiken werden maximal 12 Monate lang aufbewahrt.

3.2. Maßnahmen zur Bekämpfung betrügerischer Anrufe

In den letzten Jahren hat Proximus einen deutlichen Anstieg des Telekommunikationsbetrugs festgestellt, insbesondere des Betrugs über Sprachanrufe. Diese Art von Betrug umfasst verschiedene böswillige Aktivitäten, die über Telefonanrufe durchgeführt werden und häufig zu finanziellen Verlusten, einer schlechten Kundenerfahrung und Verletzungen der Privatsphäre von Abonnenten führen.

Betrüger sind äußerst einfallsreich und bedienen sich einer Vielzahl von Methoden, um Personen zu täuschen. Einige Beispiele für Anrufbetrug sind:

  1. Identitätsbetrug (Impersonation Scams): Betrüger geben sich als eine vertrauenswürdige Person aus, etwa als Bankmitarbeiter oder Regierungsvertreter. Sie behaupten beispielsweise, es gebe ein Problem mit Ihrem Konto, und fordern Sie auf, persönliche Informationen preiszugeben oder Geld zu überweisen.
  2. Betrug durch falschen technischen Support: Betrüger geben sich als Mitarbeiter des technischen Supports bekannter Unternehmen aus. Sie behaupten, es gebe ein Problem mit Ihrem Computer oder Internetdienst, und fordern Sie auf, Software herunterzuladen, die ihnen Fernzugriff auf Ihr Gerät ermöglicht.
  3. Rufnummernmissbrauch (Number Spoofing): Die angezeigte Rufnummer scheint vertraut oder legitim zu sein, tatsächlich handelt es sich aber um einen Betrüger, der technische Mittel einsetzt, um seine echte Nummer zu verschleiern. Dies erleichtert es, Opfer zur Preisgabe sensibler Daten zu verleiten.
  4. Notfallbetrug: Ein Betrüger gibt sich als Familienmitglied oder Freund in einer vermeintlichen Notsituation aus, etwa weil er gestrandet ist oder rechtliche Probleme hat, und setzt das Opfer unter Druck, schnell Geld zu überweisen. Dabei kann sogar generative KI eingesetzt werden, um Stimmen zu imitieren.
  5. Wangiri Betrug: Bei dieser Betrugsmasche erhalten Sie einen verpassten Anruf von einer unbekannten internationalen Nummer. Wenn Sie zurückrufen, werden Sie mit einer Premium Rufnummer verbunden, was hohe Kosten verursacht. Betrüger können lange vorab aufgezeichnete Nachrichten abspielen, um den Anruf künstlich zu verlängern.
  6. International Revenue Share Fraud (IRSF): Diese komplexe Betrugsform besteht darin, den Verkehr zu internationalen Premium Rufnummern künstlich zu erhöhen. Betrüger arbeiten häufig mit Telekommunikationsbetreibern und Anbietern von Mehrwertdiensten zusammen, um ein hohes Gesprächsvolumen zu erzeugen und an den Terminierungsentgelten mitzuverdienen.

Um der zunehmenden Telekommunikationsbetrugsproblematik zu begegnen, hat Proximus fortschrittliche Sicherheitsmaßnahmen in ihren Kommunikationssystemen implementiert. Diese Maßnahmen dienen dazu, verschiedene Formen von Anrufbetrug in Echtzeit zu erkennen und zu verhindern.

Welche Kategorien personenbezogener Daten nutzen wir?

Nach belgischem Recht, insbesondere dem Gesetz vom 13. Juni 2005 über die elektronische Kommunikation, sind wir berechtigt (und in bestimmten Fällen verpflichtet), bestimmte Kategorien von Daten zum Zweck der Betrugsbekämpfung zu verarbeiten. Dazu können Verkehrs und Standortdaten, technische Kennungen sowie Informationen zu Nutzungsvolumina gehören. Dies umfasst jedoch nicht das Abhören oder Abfangen des Kommunikationsinhalts.

Was ist die Quelle der personenbezogenen Daten?

Die personenbezogenen Daten werden im Rahmen der Nutzung unseres Netzes erhoben.

Zu welchen Zwecken werden Ihre personenbezogenen Daten verarbeitet?

Zur Bekämpfung von Betrug, der über Anrufe begangen wird.

Was rechtfertigt diese Verarbeitung (Rechtsgrundlage von Proximus)?

Grundsätzlich ist Proximus gesetzlich verpflichtet, Betrug auf ihrem Netzwerk zu bekämpfen (Artikel 121/8 des belgischen Gesetzes über die elektronische Kommunikation). Darüber hinaus ist Proximus verpflichtet, bestimmte Kategorien von Verkehrsdaten zu diesem Zweck zu verarbeiten (Artikel 122 § 4 desselben Gesetzes).

Zusätzlich erlauben die Bestimmungen des belgischen Gesetzes über die elektronische Kommunikation allen Telekommunikationsbetreibern, weitere Kategorien personenbezogener Daten zur Bekämpfung spezifischer Betrugsfälle zu verarbeiten. In diesem Fall stützt sich Proximus auf ein berechtigtes Interesse, insbesondere zur Verhinderung von Betrug durch Sprachanrufe, gemäß Artikel 125 § 1 Nr. 7 des genannten Gesetzes.

Mit wem teilen wir diese Daten?

  • Innerhalb von Proximus: Die Verarbeitung Ihrer personenbezogenen Daten zur Betrugsbekämpfung erfolgt überwiegend automatisiert, um den menschlichen Zugriff auf das strikt Notwendige zu beschränken. Falls eine manuelle Intervention erforderlich ist, haben nur eine begrenzte Anzahl autorisierter Proximus Mitarbeiter Zugriff auf Ihre Daten.
  • Externe Auftragsverarbeiter: Proximus greift zur Unterstützung auf bestimmte Auftragsverarbeiter für IT oder technische Dienstleistungen zurück, darunter Mavenir Systems LTD. Mit diesen wurden schriftliche Vereinbarungen zum Schutz Ihrer personenbezogenen Daten geschlossen.

Der Schutz Ihrer Privatsphäre hat für uns oberste Priorität, und jede Datenweitergabe erfolgt streng im Einklang mit dem geltenden Recht.

Übertragen wir Ihre Daten außerhalb des EWR?

Proximus arbeitet ausschließlich mit Partnern innerhalb des Europäischen Wirtschaftsraums für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Betrugsprävention bei Anrufen. Aufgrund der internationalen Natur von Telekommunikationsdiensten kann es jedoch vorkommen, dass bestimmte Daten in spezifischen Situationen außerhalb des EWR verarbeitet werden, ohne zwangsläufig als internationale Übermittlung im Sinne der DSGVO zu gelten.

Wenn Sie einen internationalen Anruf tätigen oder empfangen oder sich außerhalb des EWR aufhalten (z. B. beim Roaming), werden technische Kommunikationsdaten von ausländischen Netzwerken verarbeitet. Dies ist technisch bedingt und notwendig, um die Verbindung herzustellen.

Wie lange verarbeiten wir diese Daten?

Die Daten werden für 30 Tage gespeichert (sofern keine längere gesetzliche Aufbewahrungsfrist besteht), um mögliche Beschwerden und gegebenenfalls Untersuchungen durch Proximus zu ermöglichen.

Aggregierte Statistiken werden für 12 Monate aufbewahrt, um den jährlichen Berichtspflichten von Proximus gegenüber dem BIPT nachzukommen.

3.3. Maßnahmen zur Bekämpfung betrügerischer E Mails

Phishing Angriffe haben in den letzten Jahren erheblich zugenommen. Cyberkriminelle geben sich als vertrauenswürdige Organisationen (z. B. Banken) aus, um Personen zur Preisgabe sensibler Informationen zu verleiten. Solche Betrugsfälle können zu finanziellen Verlusten, Identitätsdiebstahl und Datenschutzverletzungen führen.

Hacker, die Zugriff auf E Mail Konten erhalten, können diese missbrauchen, um weitere betrügerische Nachrichten zu versenden und personenbezogene Daten zu stehlen. Dies gefährdet sowohl unsere Kunden als auch die Zuverlässigkeit des E Mail Dienstes von Proximus.

Proximus verstärkt daher ihre Maßnahmen zur Erkennung und Blockierung solcher betrügerischer E Mails. Ziel ist es, private Abonnenten vor Betrug zu schützen und zu verhindern, dass kompromittierte Proximus Postfächer zur Verbreitung betrügerischer Nachrichten genutzt werden.

Ohne diese Maßnahmen könnten Betrüger Nutzer mit großen Mengen betrügerischer E Mails überfluten, wodurch es schwieriger würde, legitime Nachrichten zu erkennen. Zudem bestünde die Gefahr, dass Proximus Mailserver auf sogenannte „Blacklists“ gesetzt werden, was zur Blockierung oder Verzögerung legitimer E Mails führen könnte.

Wie Proximus Sie schützt

Zur Bekämpfung dieser Bedrohungen hat Proximus ihre Fähigkeiten zur Erkennung und Blockierung betrügerischer E Mails mithilfe fortschrittlicher Algorithmen verbessert. Dies ermöglicht es uns:

  • Abonnenten vor Phishing Angriffen zu schützen, bei denen persönliche oder finanzielle Informationen erlangt werden sollen;
  • Malware Infektionen zu verhindern, die Daten stehlen oder Geräte kompromittieren können;
  • unsere E Mail Infrastruktur vor Cyberangriffen zu schützen, die den Dienst für zahlreiche Nutzer beeinträchtigen könnten.

Bestimmte als Phishing identifizierte E Mails können daher blockiert werden, bevor sie Ihr Postfach erreichen.

Welche Kategorien personenbezogener Daten nutzen wir?

Aufgrund jüngster gesetzlicher Änderungen in Belgien und abhängig von der anwendbaren Rechtsgrundlage sind wir verpflichtet oder berechtigt, bestimmte Daten zur Betrugsbekämpfung zu verarbeiten. Dazu gehören Verkehrs und Standortdaten, technische Kennungen, Informationen zu Nutzungsvolumina sowie der Inhalt von Nachrichten.

Was ist die Quelle der personenbezogenen Daten?

Die personenbezogenen Daten werden im Rahmen der Nutzung unseres E Mail Dienstes erhoben.

Zu welchen Zwecken werden Ihre personenbezogenen Daten verarbeitet?

Zur Erkennung und Verhinderung von Betrug in E Mails, die über Proximus Postfächer gesendet oder empfangen werden.

Was rechtfertigt diese Verarbeitung (Rechtsgrundlage von Proximus)?

Proximus ist gesetzlich verpflichtet, geeignete Maßnahmen zur Bekämpfung von Betrug auf ihrem Netzwerk und ihren Diensten zu ergreifen (Artikel 121/8 des belgischen Gesetzes über die elektronische Kommunikation). Zudem besteht eine Verpflichtung zur Verarbeitung bestimmter Kategorien von Verkehrsdaten zu diesem Zweck (Artikel 122 § 4).

Darüber hinaus erlaubt das belgische Gesetz über die elektronische Kommunikation die Verarbeitung weiterer Kategorien personenbezogener Daten zur Bekämpfung spezifischer Betrugsfälle. In diesem Zusammenhang stützt sich Proximus auf ein berechtigtes Interesse, um die ordnungsgemäße Erbringung des E Mail Dienstes sicherzustellen (vgl. Artikel 125 § 1 Nr. 2).

Mit wem teilen wir diese Daten?

  • Innerhalb von Proximus: Die Verarbeitung erfolgt überwiegend automatisiert, um den menschlichen Zugriff auf das strikt Notwendige zu beschränken. Erforderliche manuelle Eingriffe erfolgen ausschließlich durch autorisierte Mitarbeiter.
  • Externe Auftragsverarbeiter: Proximus nutzt externe Auftragsverarbeiter für IT oder technische Unterstützungsleistungen, darunter Mavenir Systems LTD, mit denen entsprechende Datenschutzvereinbarungen bestehen.

Alle Datenweitergaben erfolgen unter strikter Beachtung der geltenden gesetzlichen Vorgaben.

Übertragen wir Ihre Daten außerhalb des EWR?

Für die E Mail Betrugsprävention arbeitet Proximus hauptsächlich mit EU ansässigen Niederlassungen ihrer Sicherheitspartner, darunter Vade und Cisco, die in Ländern mit einem Angemessenheitsbeschluss der Europäischen Kommission ansässig sind.

In begrenzten Ausnahmefällen und aufgrund der technischen Funktionsweisen bestimmten Tools kann ein sehr kleiner, verbleibender Teil personenbezogener Daten außerhalb des EWR verarbeitet werden. Proximus trifft angemessene technische und organisatorische Maßnahmen, um solche Datenübermittlungen auf ein striktes Minimum zu begrenzen.

Darüber hinaus kann es aufgrund der internationalen Natur elektronischer Kommunikationsdienste zu bestimmten Verarbeitungen außerhalb des EWR kommen, ohne dass dies notwendigerweise als internationale Datenübermittlung im Sinne der DSGVO gilt.

Wie lange verarbeiten wir diese Daten?

Die Daten werden für 30 Tage gespeichert (sofern keine gesetzliche Aufbewahrungspflicht etwas anderes vorschreibt), um Beschwerden oder Untersuchungen zu ermöglichen.

Aggregierte Statistiken werden für 12 Monate aufbewahrt.

4. Automatisierte Analyse

Zur Verhinderung von Betrug setzt Proximus automatisierte Systeme ein, die technische Informationen analysieren und als betrügerisch identifizierte Kommunikation automatisch blockieren können. Proximus geht davon aus, dass diese Maßnahmen keine rechtlichen oder ähnlich erheblichen Auswirkungen im Sinne von Artikel 22 DSGVO haben. Sollte dies dennoch anders ausgelegt werden, bleiben diese Maßnahmen nach belgischem Recht für Zwecke der Betrugsprävention zulässig. In jedem Fall ergreift Proximus Maßnahmen, um mögliche Auswirkungen auf betroffene Personen so gering wie möglich zu halten.

5. Rechte der betroffenen Personen

Nach den Datenschutzvorschriften stehen Ihnen verschiedene Rechte zu, darunter das Recht auf Auskunft über Ihre personenbezogenen Daten, das Recht auf Berichtigung sowie – in bestimmten Fällen – das Recht auf Widerspruch oder Einschränkung der Verarbeitung. Darüber hinaus haben Sie das Recht, eine Beschwerde bei der belgischen Datenschutzbehörde einzureichen.

Für einen vollständigen Überblick über Ihre Rechte und deren Ausübung verweisen wir auf unseren allgemeinen Datenschutzhinweis, in dem diese Rechte näher erläutert werden.