Aufruf zum Handeln: Das KYC-Regime der FCC muss gestoppt werden

• Der Zugang zu Telefondiensten in den USA sollte als grundlegende Kommunikationsinfrastruktur behandelt werden, doch die Prüfung von KYC-Regeln durch die FCC könnte dazu führen, dass normale Nutzer vor Abschluss oder Verlängerung eines Telekommunikationsdienstes Identitätsdaten angeben müssen
• Die FCC prüft Maßnahmen einschließlich der Verifizierung von Name, Adresse, amtlich ausgestelltem Ausweis und alternativer Telefonnummer; wie bei KYC-Praktiken im Finanzsektor lassen sich entschlossene Kriminelle dadurch wegen Lecks personenbezogener Identifikationsdaten und eines Marktes für Dokumentenhandel nicht zuverlässig stoppen
• Prepaid-Handys und Burner Phones sind nicht nur Werkzeuge für Kriminelle, sondern ein wichtiges Mittel zum Schutz der Privatsphäre für Überlebende häuslicher Gewalt, Whistleblower, Journalisten, Demonstranten und Menschen, die Vergeltung vermeiden wollen
• Die Prüfung von Abgleichen mit Listen von Strafverfolgungsbehörden, einer Aufbewahrungspflicht von Datensätzen für 4 Jahre nach Ende der Kundenbeziehung und Sanktionen von 2.500 Dollar pro Anruf könnte Telekommunikationsanbieter dazu bringen, sich für übermäßige Verifizierung, übermäßige Speicherung und übermäßige Ablehnung zu entscheiden
• Die Angelegenheit ist noch keine endgültige Regelung; die FCC nimmt bis zum 25. Juni 2026 Stellungnahmen und bis zum 27. Juli 2026 Erwiderungen entgegen, sodass noch die Möglichkeit besteht, sich gegen verpflichtendes KYC für normale Telefonnutzer zu wenden

Das Robocall-Problem und die KYC-Prüfung

• Robocalls, Betrugsanrufe, Rufnummernspoofing, falsche Garantiehinweise, gefälschte Bankbenachrichtigungen und automatisierter politischer Spam untergraben das Vertrauen in das Telefonsystem und schaden Zeit, Geld und Sicherheit der Amerikaner
• Das Problem illegaler Anrufe ist real, aber die Lösung darf keine flächendeckende Identitätsprüfung für alle normalen Nutzer sein
• Unter dem Vorwand der Robocall-Bekämpfung prüft die FCC Know Your Customer-Regeln, die Telefonanbietern die Erhebung von Identitätsdaten ihrer Nutzer auferlegen würden
• Am 30. April 2026 verabschiedete die FCC ein Further Notice of Proposed Rulemaking, das sich mit einer Verschärfung der KYC-Anforderungen für Sprachdiensteanbieter befasst
• Zu den geprüften Maßnahmen gehört eine Verpflichtung zur Verifizierung von Name, Adresse, amtlich ausgestelltem Ausweis und alternativer Telefonnummer eines Kunden vor Aktivierung des Dienstes
• Das Vorhaben wurde vom Vorsitzenden Brendan Carr sowie den Kommissaren Gomez und Trusty gebilligt

Warum KYC Kriminelle nicht zuverlässig stoppt

• Der Zugang zum Telefon sollte als grundlegende Infrastruktur behandelt werden, nicht als Privileg unter Identitätsvorbehalt
• Das Risiko besteht nicht darin, dass die FCC Robocall-Betrüger bestrafen will, sondern darin, Millionen unschuldiger Nutzer in Telekommunikations-Identitätsdatenbanken aufzunehmen, um Kriminellen das Leben schwerer zu machen
• Trotz KYC-Anforderungen im Finanzsystem findet Geldwäsche über regulierte Kanäle weiterhin statt
• Kriminelle haben in der Regel keine großen Schwierigkeiten, die für das Bestehen von KYC-Prüfungen nötigen Dokumente bereitzustellen
• Da personenbezogene Identifikationsdaten fortlaufend abfließen und Märkte für den Handel mit solchen Daten existieren, ist der Kauf neuer Identitäten und zugehöriger Dokumente günstig

Burner Phones sind wichtige Werkzeuge

• Die FCC prüft, ob KYC-Anforderungen für Prepaid- und Postpaid-Tarife unterschiedlich sein sollten, welche Informationen Mobilfunkanbieter von Prepaid-SIM-Kunden erheben und ob KYC auch für bei Drittanbietern gekaufte Prepaid-Dienste gelten sollte
• Dieser Streitpunkt betrifft den Kern der Burner-Phone-Frage, und Prepaid-Handys sind nicht nur Requisiten für Filmkriminelle
• Prepaid-Handys können eine Lebensader sein für Überlebende häuslicher Gewalt, Arbeitnehmer, die Fehlverhalten am Arbeitsplatz melden, Journalisten zum Schutz ihrer Quellen, Demonstranten, die Vergeltung vermeiden wollen, und Menschen, die nicht jedes Kommunikationskonto mit einem amtlichen Ausweis verknüpfen möchten
• Der leitende Politik-Analyst der ACLU, Jay Stanley, warnte, dass diese Regelsetzung Menschen die Möglichkeit nehmen könnte, Burner Phones zu beschaffen, und einkommensschwachen Menschen, Opfern häuslicher Gewalt und privatsphärebewussten Personen schaden könnte
• Anonyme oder pseudonyme Kommunikation ist nicht von Natur aus verdächtiges Verhalten

• KYC-freie Telefone als Sicherheits- und Privatsphäre-Strategie

  • Telefonservices ohne KYC werden seit vielen Jahren als Strategie zum Schutz von Sicherheit und Privatsphäre genutzt
  • Wer verdächtigt werden könnte, Zugang zu einer erheblichen Menge Bitcoin zu haben, braucht starke Privatsphäre, um sich vor Wrench-Angriffen zu schützen
  • Diese Bedrohung ist nicht bloß theoretisch; Hunderte von Bitcoinern wurden körperlich angegriffen, und es gibt Fälle von Swatting und Erpressung

Risiken einer Struktur aus Überwachung, Speicherung und Sanktionen

• Der stärker abschreckende Teil des FCC-Vorschlags geht über die übliche Sammlung von Ausweisdaten hinaus
• Im Zusammenhang mit risikobasierten KYC-Unterschieden prüft die FCC sogar, ob Anbieter Listen von Strafverfolgungsbehörden über Terroristen, Terrororganisationen und „Kriminelle“ abgleichen sollten
• Solche Listen können Fehlalarme, die intransparente Aufnahme Unschuldiger und die Möglichkeit schaffen, dass der Zugang zu grundlegender Kommunikationsinfrastruktur ohne Verurteilung oder ein sinnvolles rechtsstaatliches Verfahren verweigert wird
• Auch wenn die FCC dies nicht als endgültige Entscheidung, sondern als Frage behandelt, ist es eine gefährliche Frage für eine Telekom-Regulierungsbehörde, sie zu normalisieren

• Langfristige Speicherung und Zweckausweitung

  • Die FCC prüft eine Vorgabe, KYC-Informationen und Support-Aufzeichnungen 4 Jahre nach Ende der Kundenbeziehung aufzubewahren
  • Das Risiko endet nicht mit der Kündigung des Dienstes; Identitätsdaten könnten noch jahrelang in Datenbanken der Telekommunikationsanbieter verbleiben
  • Zurückbleibende Informationen können Verstößen, Missbrauch, Vorladungen, Verkauf und Zweckausweitung ausgesetzt sein
  • Die FCC prüft, ob verschärfte KYC-Regeln auch Ermittlungen zu anderen Straftaten als illegalen Anrufen helfen könnten, darunter organisierte Kriminalität, Menschenhandel, Spionage, Einflussoperationen und andere nationale Sicherheitsbedenken
  • Wenn Telekommunikationsanbieter Kunden verifizieren, speichern, erneut verifizieren und überprüfen müssen, wird das Telefonsystem eher zu einem Engpass als zu einem offenen Kommunikationsnetz

• Sanktionsstruktur pro Anruf

  • Die FCC prüft einen Ansatz, bei dem KYC-Verstöße pro Anruf bewertet werden
  • Die FCC schlägt konkret eine Grundstrafe von 2.500 Dollar pro Anruf vor
  • Wenn die Strafe für zu geringe Überprüfung mit dem Anrufvolumen steigen kann, könnten Anbieter sich zum eigenen Schutz für übermäßige Verifizierung, übermäßige Speicherung und übermäßige Ablehnung entscheiden
  • Die sicherste Entscheidung für Unternehmen könnte dann nicht diejenige sein, die die Privatsphäre der Verbraucher schützt, sondern diejenige, die massiv in sie eingreift

Privatsphäre ist kein Verbrechen

• In einer freien Gesellschaft sollte es nicht nötig sein, dass Bürger ständig darum kämpfen müssen, ihre Privatsphäre zu bewahren
• Wenn die Regierung Bürgerrechte durch Überwachung, Datenspeicherung und die Verweigerung des Zugangs zu essenziellen Kommunikationsmitteln schwächen will, muss sie diese Rechtfertigung belegen
• Wer Kommunikationskanäle kontrollieren will, muss Netzwerknutzer identifizieren können, um ungewollte Sprecher zum Schweigen zu bringen
• Die FCC kann auf großvolumige kommerzielle Anrufer, nachlässige Anbieter, Infrastruktur für Rufnummernspoofing, SIM-box-Missbrauch und wiederholt bösartige Akteure zielen, ohne von allen normalen Nutzern die Vorlage von Identitätsdokumenten zum Erhalt einer Telefonnummer zu verlangen
• Die FCC kann die Durchsetzung gegen Telekommunikationsanbieter verschärfen, die illegalen Anrufverkehr wissentlich ermöglichen
• Für Massenversender können enge, risikobasierte Sorgfaltspflichten eingeführt werden
• Ein Modell, bei dem alle Telefonnutzer vor jeder Kommunikation beweisen müssen, wer sie sind, sollte vermieden werden
• Durchschnittliche Bürger wollen nicht, dass der Staat Listen von Menschen erstellt, die völlig normale Aktivitäten ausüben
• Niemand will eine Situation, in der „Verbraucherschutz“ zu Überwachung wird, Privatsphäre als Schlupfloch behandelt wird und Regeln gegen Robocalls stillschweigend die letzte praktische Möglichkeit beenden, ohne staatliche Erlaubnis Zugang zum Telefon zu erhalten

Wie KYC reale Risiken erhöht

• KYC könnte auch „Kill Your Customer“ genannt werden, weil schon die Erhebung sensibler personenbezogener Identifikationsdaten Kunden in Gefahr bringt
• KYC-Regime haben über viele Jahre hinweg massive Datenlecks verursacht und die Verlässlichkeit von KYC untergraben, weil Kriminelle leicht neue Dokumente erhalten können, mit denen sie KYC-Prüfungen unter gestohlenen Identitäten umgehen
• Bei Telefondiensten kann KYC die Sicherheit von Konten aktiv verschlechtern, indem es Konten mit Identitäten verknüpft
• Wenn Kriminelle genügend personenbezogene Identifikationsdaten beschaffen, können sie sich bei Telekommunikationsanbietern leichter als Opfer ausgeben und versuchen, deren Nummern auf von ihnen kontrollierte SIMs zu übertragen
• Dieses Problem des SIM Swapping oder SIM Hijacking besteht seit mehr als einem Jahrzehnt und wird schlimmer, je mehr Bereiche des Lebens digitalisiert werden
• Ein erheblicher Teil wichtiger Online-Konten ist an Telefonnummern und E-Mail-Adressen gebunden

• Typischer Angriffsweg beim SIM Hijacking

  • Kriminelle übernehmen die Telefonnummer des Opfers
  • Mit der Telefonnummer setzen sie den Zugang zum primären E-Mail-Konto des Opfers zurück
  • Mit E-Mail-Konto und Telefonnummer setzen sie den Zugang zu Finanzkonten zurück
  • KYC wird mit dem Anspruch eingeführt, Kriminelle zu stoppen, ist in der Praxis jedoch eher Sicherheitstheater, das Privatsphäre und Sicherheit schwächt, statt Verbraucher vor böswilligen Akteuren zu schützen
  • Ein kaputtes System sollte nicht auf noch mehr Lebensbereiche ausgeweitet werden

Es ist noch nicht zu spät

• Diese Angelegenheit ist noch keine endgültige Regelung
• Die FCC bittet im Federal Register um Stellungnahmen zu dieser vorgeschlagenen Änderung
• Frist für Stellungnahmen ist der 25. Juni 2026, Frist für Erwiderungen der 27. Juli 2026
• Es ist möglich, bei der FCC eine öffentliche Stellungnahme gegen verpflichtende KYC-Identitätsprüfungen einzureichen
• Stellungnahmen können über dieses FCC-Formular eingereicht werden
• FCC-Stellungnahmen sind öffentlich; man sollte daher davon ausgehen, dass personenbezogene Informationen im Text oder in Anhängen online öffentlich einsehbar werden können
• Es sollten keine personenbezogenen Daten enthalten sein, die nicht sicher wären, wenn sie weltweit veröffentlicht würden

Kernaussagen des vorgeschlagenen Stellungnahmeschreibens

• Ablehnung von FCC-Regeln, nach denen normale Telefonnutzer und Prepaid-Kunden als Bedingung für den Erwerb oder die Verlängerung eines Telefondienstes amtlich ausgestellte Identifikationsnummern, Identitätsdokumente, reale Adressen, alternative Telefonnummern oder ähnliche personenbezogene Daten angeben müssten
• Robocalls und Betrugsanrufe sind ein ernstes Problem, aber die verpflichtende Erhebung von Identitätsdaten aller Nutzer ist zu weit gefasst, greift in die Privatsphäre ein und dürfte Nutzern schaden, die rechtmäßig Privatsphäre benötigen
• Zu den potenziell betroffenen Nutzern gehören Überlebende häuslicher Gewalt, Journalisten, Whistleblower, einkommensschwache Bürger, politische Organisatoren und Menschen, die mit Vergeltung oder Stalking konfrontiert sind
• Die FCC sollte Anforderungen ablehnen, nach denen vor Bereitstellung eines Dienstes Überwachungslisten von Strafverfolgungsbehörden oder Listen von „Kriminellen“ abgeglichen werden müssen
• Der Zugang zu grundlegender Kommunikationsinfrastruktur darf nicht von intransparenten Listen, missbrauchsanfälligen und fehleranfälligen Screening-Systemen oder Verfahren mit mangelnder Transparenz abhängen
• Die FCC sollte auch die mehrjährige Speicherung von KYC-Daten normaler Kunden ablehnen
• Wenn Identitätsdaten und Support-Aufzeichnungen aufbewahrt werden, nachdem ein Kunde den Dienst verlassen hat, entstehen unnötige Risiken von Verstößen, Missbrauch und Überwachung
• Die FCC sollte eng und evidenzbasiert gegen großvolumige illegale Anrufer, missbräuchliches Rufnummernspoofing, SIM-box-Betreiber und Anbieter vorgehen, die illegalen Verkehr absichtlich oder leichtfertig ermöglichen
• Neue Regeln sollten zielgerichtet sein, die Privatsphäre schützen, die Datenerhebung minimieren und den Zugang legitimer Nutzer zu Prepaid- und privatsphärefreundlichen Telefondiensten erhalten
• Telefondienste dürfen nicht zu einem Identitätskontrollpunkt werden
• Amerikaner, die sich über die fortlaufende Aushöhlung der Privatsphäre sorgen, sollten jetzt ihre Stimme erheben