Google hat meine Telefonnummer weitergegeben

 (danq.me)
1 Punkte von GN⁺ 2025-05-27 | 1 Kommentare | Auf WhatsApp teilen
  • Kürzlich riefen Nutzer von Three Rings den Autor wiederholt an. Bei der Ursachenforschung stellte sich heraus, dass in den Google-Suchergebnissen die private Handynummer des Autors angezeigt wurde.
  • Diese Nummer war früher im Rahmen von Googles Identitätsprüfung eingereicht worden und wurde ohne Zustimmung dem Google Business Profile in den Suchergebnissen hinzugefügt.
  • Der Autor entfernte die Nummer sofort aus dem Business-Profil und stoppte so die Anzeige, erhielt jedoch keine Erklärung für die Änderung.
  • Nachdem es zuletzt auch bei einer anderen Bank zu einem Datenschutzvorfall gekommen war, wächst das Misstrauen gegenüber der Schwierigkeit, personenbezogene Daten zu schützen.
  • Der Fall zeigt die Bedeutung der Zustimmung der Nutzer und zugleich, dass Nutzerfehler oder unbedacht erteilte Einwilligungen die Offenlegung von PII beschleunigen können.

Überblick über den Vorfall

  • Anfang dieses Monats erhielt der Autor einen Anruf von einem Nutzer der von ihm gegründeten Freiwilligen-Management-Software Three Rings.
  • Telefonischen Support gab es offiziell nicht, allerdings hatte der Autor in der Vergangenheit häufig selbst Nutzer zurückgerufen.
  • Deshalb hielt er es für möglich, dass einige Nutzer seine private Handynummer gespeichert hatten.

Wiederholte Anrufe und aufkommende Fragen

  • Nachdem im selben Monat der dritte ähnliche Anruf einging, begann der Autor zu vermuten, dass seine Nummer irgendwo öffentlich gemacht worden war.
  • Als beim vierten Anruf der anrufende Nutzer den Namen seiner Organisation nicht nennen konnte, fragte der Autor, woher die Nummer stamme.
  • Die Antwort lautete: "Wenn man bei Google nach 'Three Rings login' sucht, erscheint sie".

Offenlegung persönlicher Daten über Google-Suchergebnisse

  • Eine eigene Suche bestätigte, dass im Google Business Profile von Three Rings CIC die private Kontaktinformation des Autors angegeben war.
  • Jeder konnte über die Schaltfläche „Anrufen“ direkt seine private Nummer wählen.
  • Da der Autor Google im Alltag kaum nutzt, hätte er davon ohne den Hinweis anderer wohl nichts erfahren.

Googles Umgang mit personenbezogenen Daten

  • Der Autor hatte die betreffende Nummer früher zwar im Rahmen von Googles Verifizierungsprozess angegeben, einer Veröffentlichung jedoch nicht zugestimmt.
  • Google begann offenbar kürzlich, die Nummer eigenmächtig im Google Business Profile anzuzeigen; der genaue Zeitpunkt und die Ursache bleiben unklar.
  • Nachdem der Autor die Nummer aus dem Business-Profil gelöscht hatte, wurde die Anzeige sofort beendet.
  • Gleichzeitig verschwand aber auch die Meldung "Telefonnummer wurde von Google aktualisiert", sodass sich der Grund und die Umstände der Änderung nicht mehr nachvollziehen ließen.

Jüngster Fall bei einem anderen Finanzinstitut und wachsende Verunsicherung

  • Im vergangenen Monat hatte eine Bank (Halifax) versehentlich Informationen zu einem Kreditvertrag an eine Person geschickt, die nichts mit dem Autor zu tun hatte.
  • Nach zwei aufeinanderfolgenden Datenschutzvorfällen fragte sich der Autor, ob er womöglich selbst versehentlich ein Zustimmungs-Popup bestätigt hatte.
  • Er macht sich darüber lustig, wie schwer Datenschutzhinweise in Wirklichkeit zu verstehen sind und wie leicht man gedankenlos auf „Ich stimme zu“ klickt.

Zusammenfassung und Implikationen

  • Der Fall zeigt, dass es bei jedem zu unerwarteten Eingriffen in die Privatsphäre kommen kann.
  • Er unterstreicht erneut die Frage des Vertrauens der Nutzer in den Umgang großer Plattformen wie Google oder Finanzinstitute mit personenbezogenen Daten und deren Veröffentlichung.
  • Durch Nutzerfehler, Unachtsamkeit oder eine eigenmächtige Systemsynchronisierung bleibt das Risiko bestehen, dass PII (personenbezogene identifizierbare Informationen) offengelegt wird.
  • Es besteht weiterhin eine Kluft zwischen der Bedeutung von Einwilligung und der tatsächlichen Datenverarbeitungspraxis.
  • IT-Unternehmen und Nutzer brauchen transparentere und verständlichere Hinweise, um personenbezogene Daten sicher zu verwalten.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-05-27
Hacker-News-Kommentare

  • Es wird darauf hingewiesen, dass die Telefonnummer auf der Website öffentlich zugänglich ist und dieselbe Nummer auch im Google-Play-Entwicklerprofil erscheint. Die Meinung dazu ist, dass beide Profile Informationen zeigen, die offenbar vom Betroffenen selbst veröffentlicht wurden. Wenn man dieselbe Nummer privat und geschäftlich verwendet, sei dieses Ergebnis naheliegend. Zunächst habe es so gewirkt, als habe Google die Nummer fälschlich von privat auf öffentlich umgestellt, aber es wird erklärt, dass Google Play eine Telefonnummer verlangt, unter der Kunden Kontakt aufnehmen können.

    • Der Verfasser meldet sich selbst zu Wort und sagt, auf der Website sollte keine Telefonnummer stehen, und er könne dort auch keine finden. Er bedauert, dass die Nummer im Google-Play-Entwicklerprofil sichtbar war, und bedankt sich für den Hinweis.

  • Jemand berichtet, früher ein Samsung-Smartphone gekauft zu haben, das bei Anrufen von unbekannten Nummern den Namen der Person anzeigte. Vermutlich stammten diese Informationen aus einer Datenbank mit den Kontakten anderer Nutzer. Eines Tages habe ein Nachbar angerufen, der nicht im Adressbuch gespeichert war, und es wurde „Name GRINDER“ angezeigt, weil ein anderer Nutzer ihn offenbar so gespeichert hatte. Der Nachbar war in der Gegend geoutet, arbeitete aber im Vertrieb eines Immobilienunternehmens und war über diese Preisgabe von Informationen äußerst verärgert. Außerdem wird erklärt, dass die Person diese App seit sieben Jahren nicht mehr benutzt.

    • Reaktion darauf, dass kaum zu glauben sei, dass so etwas tatsächlich passiert ist. Das wirke gefährlich genug, dass man sich noch weitaus schlimmere Situationen vorstellen könne.

    • Ergänzend der Hinweis, dass auf manchen Samsung-Handys truecaller oder callapp vorinstalliert seien und solche Situationen verursachen könnten.

  • Jemand schildert aus den Niederlanden die Erfahrung, dass Google die Firmentelefonnummer anhand der Handelskammer-Registrierungsnummer aktualisiert habe. Das Unternehmen bietet keinen Telefonsupport an, muss aber gesetzlich eine Telefonnummer in den Registrierungsdaten führen. Deshalb wurde eine VoIP-Nummer eingetragen, die sofort auf die Mailbox geht und per Ansage mitteilt, dass kein Telefonsupport angeboten wird. Obwohl die Nummer aus dem Google-Business-Profil entfernt wurde, fügt Google sie gelegentlich automatisch wieder hinzu.

  • Es wird vermutet, dass jemand eine Telefonnummer, über die er verfügt, einfach zum Unternehmensprofil hinzugefügt haben könnte, weil er sie für nützlich hielt.

    • Es wird betont, dass im Screenshot ausdrücklich steht: „Die Nummer wurde von Google aktualisiert“, also nicht von einem Nutzer eingetragen wurde.

    • Die Meinung dazu ist, dass es ein schwerer Fehler wäre, wenn normale Nutzer Telefonnummern in Business-Profilen beliebig ändern könnten und Google sie ohne Zustimmung des Nummerninhabers sofort veröffentlicht.

  • Jemand berichtet von einer ähnlichen Erfahrung mit einem Anruf um 2 Uhr nachts. Früher habe die Person bei einer alten Firma einen Recruiting-Dienst verwaltet und für ein eigenes Projekt eine Stellenanzeige für Python-Entwickler veröffentlicht, wobei sich die Anzeige der Kontaktinformationen nicht deaktivieren ließ. Deshalb habe morgens gegen 5 Uhr mehrfach eine unbekannte Person angerufen und gefragt, wie man Programmierer werde. An den ersten Anruf erinnere man sich noch, weil man überrascht gewesen sei und sogar nützliche Ratschläge gegeben habe. Heute nutzt die Person vorsorglich vier verschiedene Telefonnummern für privat, beruflich und andere Zwecke, um sich gegen solche Datenschutzprobleme zu schützen.

    • Als angemerkt wird, dass die Anrufe merkwürdigerweise immer nur um 5 Uhr morgens kamen, weist jemand darauf hin, dass sie möglicherweise aus derselben Region kamen und es wegen der Zeitverschiebung dort der normale Arbeitsbeginn war.

  • Es wird erklärt, welche Schäden entstehen, wenn Google nicht verklagt wird. In Deutschland habe lieferando (Takeaway.com-Gruppe) massenhaft Domains nach dem Muster „Restaurantname-Stadt.de“ registriert, die auf das eigene Callcenter weiterleiten, und außerdem Google-Business-Einträge auf sich umgestellt. Danach habe man Restaurantbesitzer angerufen und unter Druck Verträge verlangt mit der Behauptung, man könne das Restaurant bei Google sonst nicht finden. Auch Kunden, die über das Callcenter bestellen wollten, hätten falsche Auskünfte erhalten, was dem Geschäft erheblich schade. Es heißt, dass mehr als 130.000 solcher Strohmann-Domains betrieben worden seien, und die Person habe früher dabei geholfen, einen Datensatz für betroffene Restaurantbesitzer bereitzustellen. Weil der Schaden pro Einzelfall aber nicht groß genug sei, lohnten sich Klagen kaum, und anders als in den USA gebe es zudem keine Sammelklagen, wodurch das Thema juristisch nicht groß werde. Google kenne diese Lage und entziehe sich durch seine Konzernstruktur der Verantwortung.

    • Es wird erwähnt, dass eine ähnliche Methode schon vor 15 Jahren auf BlackHatWorld weit verbreitet gewesen sei, und ironisch angemerkt, dass sie nun von VC-Firmen genutzt werde.

    • Ein Einwand lautet, das sei weniger ein Google-Problem als vielmehr das Problem, dass ein Unternehmen mit solchen Erpressungsmethoden Klagen entgeht.

    • Es wird gefragt, ob man bei Google Maps wirklich schon durch bloße Registrierung einer Domain jedes beliebige Unternehmen leicht übernehmen könne oder ob Google kein gesondertes Verfahren für Eigentumsstreitigkeiten habe.

    • Jemand fragt, ob es in deutschen Medien einen ordentlich recherchierten Artikel zu diesem Fall gebe.

    • Es wird betont, wie beängstigend es sei, dass das von Google geschaffene Ökosystem so leicht als Waffe gegen kleine Unternehmen eingesetzt werden könne.

  • Es wird darauf hingewiesen, dass die im Haupttext präsentierte Erklärung möglicherweise nicht die passendste ist. Allein in den Kommentaren gebe es mindestens drei alternative Erklärungen. Vorgeschlagen wird, die tatsächlichen bei Google gespeicherten Daten per Takeout anzufordern, um zu sehen, welche Informationen vorliegen und wofür sie verwendet werden.

    • Dagegen wird eingewandt, dass Google für Business Profile kein Takeout anbiete. Unternehmen fielen zudem oft nicht unter den Schutz von Datenschutzgesetzen wie der DSGVO, weshalb große Firmen wie Google Komfortfunktionen wie Datenexport häufig gar nicht bereitstellten.

  • Jemand berichtet, dass im Google Play Store die private Mobilnummer öffentlich geworden sei. Nachdem über einen Monat lang vergeblich versucht worden sei, eine geschäftliche Nummer zu verifizieren, und gleichzeitig mit Kontosperrung gedroht wurde, habe die Person schließlich notgedrungen die eigene private Nummer eingetragen.

    • Ein unabhängiger App-Publisher mit ähnlicher Erfahrung sagt, es sei unangenehm gewesen, dass die eigene Telefonnummer neben der App öffentlich sichtbar war, obwohl man gar keinen Kundensupport anbiete. Solche Richtlinien benachteiligten nur Indie-App-Entwickler. Deshalb habe man sich entschieden, die App aus dem Store zu nehmen.

  • Es wird darauf hingewiesen, dass jeder per Google Search die Telefonnummer eines Unternehmens ändern könne. Das klinge erstaunlich, sei aber tatsächlich so: Beispiel für die Änderung der Telefonnummer von Three Rings CIC

    • Es wird erklärt, dass jeder Google-Maps-Nutzer Bearbeitungsvorschläge einreichen könne, die eingereichten Informationen aber vor der Übernahme überprüft würden. Man könne unter anderem Geschäftsschließungen, Adressänderungen und geänderte Öffnungszeiten melden. Das sei sogar für Bushaltestellen, Bahnhöfe und historische Orte möglich. Dieses System basiere auf „Crowdsourcing“. Dazu werden auch die Hinweise zu Google Business Profile und der Link zur Registrierung eines Business-Profils geteilt.

  • Jemand merkt an, dass die Nummer im Bild des Haupttexts zwar unkenntlich gemacht wurde, die Ziffern aber trotzdem noch lesbar seien.

    • Der Blogbetreiber antwortet selbst, dass im tatsächlichen Screenshot eine von Ofcom offiziell reservierte „fiktive Nummer für Dramenproduktionen“ verwendet worden sei, sodass kein Sicherheitsproblem bestehe. Offizielle Telefonnummern für Dramenproduktionen

    • Es wird erwähnt, dass die Unschärfe so schwach sei, dass die Nummer weiterhin lesbar bleibe, und als Beispiel wird angeführt, dass Bilder heute selbst bei starker Verpixelung durch KI und andere Techniken oft weitgehend rekonstruiert werden können: Beispielbild

    • Jemand erkennt daran, dass es sich bei der Nummer selbst um die fiktive Nummer 07700 987654 handelt.

    • Es wird darauf hingewiesen, dass ein einfacher Blur-Effekt zum Schutz sensibler Informationen nicht ausreicht und Fachleute sicherere Methoden zum Schwärzen empfehlen. Gerade in diesem Bild sei die Nummer sogar ohne besondere Technik leicht zu erkennen. Falls der Grund für die Unschärfe Identitätsschutz gewesen sei, solle das Bild sofort ersetzt werden.

    • Es wird die Sorge geäußert, dass KI-Crawler inzwischen auch Text in Bildern extrahieren und Datensätze erstellen, sodass selbst Bilder mit halbherziger Unschärfe in LLM-Daten landen könnten.