
Die Sprache des Datenschutzes: Was sind CPNI und warum sollten Sie sich dafür interessieren?
Kundeneigene Netzwerkinformationen (Customer Proprietary Network Information, CPNI) sind Daten, die durch die Aktivitäten von Mobilfunkteilnehmern erzeugt und von Telekommunikationsunternehmen gesammelt werden. Zu den CPNI gehören die Uhrzeit, das Datum, die Dauer und die Zielnummer eines Anrufs sowie einige Abonnementinformationen wie die Anzahl der Anschlüsse eines Kontos. Die Bezeichnung CPNI-Daten umfasst keine Finanzinformationen oder sensible persönliche Informationen wie Kreditkartendaten oder Sozialversicherungsnummern.
Zu einem früheren Zeitpunkt in unserer Serie haben wir über personenbezogene Daten (PII) gesprochen, die eine breitere Datenkategorie als CPNI darstellen. Zu den PII gehören Namen, Adressen, Telefonnummern, E-Mail-Adressen und andere Daten, die zur Identifizierung einer bestimmten Person oder eines bestimmten Geräts verwendet werden können. Es gibt keine Überschneidungen zwischen den formellen Bezeichnungen CPNI und PII, aber manchmal können CPNI zu PII werden. Dies ist der Fall, wenn die CPNI-Daten über eine Telefonnummer, Kontonummer oder andere Teilnehmerinformationen mit einer bestimmten Person verknüpft sind.
Ein Beispiel für eine Verletzung von CPNI und PII ist die von AT&T Anfang 2023 bekannt gegebene Datenschutzverletzung. Etwa 9 Millionen Kunden wurden benachrichtigt, dass bei einem AT&T-Anbieter ein Sicherheitsvorfall aufgetreten war, bei dem Vornamen, Mobilfunk-Kontonummern, Mobilfunk-Telefonnummern, E-Mail-Adressen, überfällige Beträge und Upgrade-Berechtigungen offengelegt wurden. Bei diesem Vorfall wurden keine sensiblen personenbezogenen Daten wie Zahlungsinformationen oder Sozialversicherungsnummern preisgegeben, aber es wurden Personen mit Kommunikationsmustern und anderen Daten in Verbindung gebracht.
Wie alle Datenbezeichnungen unterliegen auch CPNI einer Reihe von Vorschriften und Regeln, die im Laufe der Jahre als Reaktion auf die rasche Zunahme der Mobiltelefonnutzung und der CPNI-Daten verfeinert wurden. In den Vereinigten Staaten ist die Federal Communications Commission (FCC) die Behörde, die für die Durchsetzung dieser Vorschriften und die Information der Öffentlichkeit über ihre Rechte und Pflichten im Zusammenhang mit dem Schutz von CPNI-Daten zuständig ist. Diese Gesetze können sich ändern, daher sollten Sie die FCC-Website konsultieren, wenn Sie Fragen zu den aktuellen Vorschriften haben.
Ab März 2023 erlauben die CPNI-Bestimmungen den Anbietern, aggregierte Kundendaten für bestimmte Zwecke zu sammeln und weiterzugeben, z. B. für die Fehlersuche in Gebieten, in denen häufig Anrufe unterbrochen werden, oder für die Planung von Erweiterungen in Gebieten mit einer höheren Nachfrage als erwartet. Der Netzbetreiber kann personenbezogene CPNI-Daten verwenden, um maßgeschneiderte Dienste auf der Grundlage der Kontoaktivität eines Abonnenten zu vermarkten. Die Kunden müssen sich oft gegen diese Nutzung entscheiden, anstatt sich dafür zu entscheiden. Brian Krebs hat einen ausführlichen Artikel darüber verfasst, warum Sie die Weitergabe von Daten ablehnen sollten. Darin erfahren Sie auch, wie die Datenpanne eines Anbieters dazu geführt haben könnte, dass Kundendaten eines anderen Anbieters weitergegeben wurden. Ein erschreckender Punkt aus seinem Artikel unterstreicht die Tatsache, dass Abonnentendaten auf alle möglichen Arten zu Geld gemacht werden, selbst wenn es eine „Grauzone“ gibt:
„Das andere Problem bei der Weitergabe oder dem Verkauf Ihrer CPNI-Daten durch Unternehmen besteht darin, dass die Mobilfunkanbieter ihre Datenschutzrichtlinien jederzeit ändern können und davon ausgegangen wird, dass Sie mit diesen Änderungen einverstanden sind, solange Sie dessen Dienste weiterhin nutzen.
So sind beispielsweise Standortdaten von Ihrem drahtlosen Gerät definitiv CPNI, und dennoch haben bis vor kurzem alle großen Mobilfunkanbieter die Echtzeit-Standortdaten ihrer Kunden ohne Zustimmung der Kunden an dritte Datenhändler verkauft.“
Weitere Informationen zu dieser Aktivität und der Reaktion der FCC finden Sie unter KrebsonSecurity.
Einige US-Staaten haben strengere Vorschriften für CPNI. Arizona erfordert eine Zustimmung des Abonnenten, und Kalifornien verlangt umfassendere Informationen gegenüber Verbrauchern. (CenturyTel hat hier ein Beispiel).
Gehen Sie am besten davon aus, dass Sie die einzige Person sind, die am Schutz Ihrer Daten interessiert ist. Sie können wahrscheinlich nicht viel gegen Sicherheitsvorfälle wie die Datenschutzverletzung bei einem AT&T-Anbieter tun, aber Sie können Maßnahmen ergreifen, um Ihr Risiko zu verringern:
- Verwenden Sie ein einzigartiges, sicheres Passwort mit Multi-Faktor-Authentifizierung.
- Lehnen Sie alle von Ihrem Dienstanbieter angeforderten Aktivitäten der Weitergabe von CPNI-Daten ab.
- Vermeiden Sie die Nutzung öffentlicher WLAN-Netzwerke. Ein VPN über eine Mobilfunk- oder WLAN-Verbindung schützt Ihre Aktivitäten und die auf Ihrem Gerät gespeicherten Daten besser.
- Achten Sie auf Aktualisierungen der Datenschutzhinweise Ihrer Anbieter und handeln Sie entsprechend.
Die führenden Mobilfunkanbieter haben Informationen darüber veröffentlicht, wie Sie die Nutzung Ihrer Daten einschränken können:
- Verizon CPNI und Opt-out-Informationen
- T-Mobile Datenschutz und Opt-out-Informationen
- AT&T CPNI und Opt-out-Informationen
Hier finden Sie einige weitere Hinweise zum Schutz von CPNI:
- Datenschutz/Datensicherheit/Cybersecurity: Kundeneigene Netzwerkinformationen CPNI – FCC-Dokument über allgemeine Durchsetzungsbereiche
- Was versteht man unter kundeneigenen Netzwerkinformationen (CPNI)? – Artikel von TechTarget zur Netzwerkdefinition
- CPNI-Informationen – Die LCP Connect FAQ bietet eine gute Erklärung, wie CPNI verwendet wird, wenn Sie sich nicht abmelden.
Setzen Sie sich noch heute mit Ihrem Mobilfunkanbieter in Verbindung und lehnen Sie die Verwendung Ihrer CPNI ab. Es handelt sich um Ihre Daten und Sie können deren Verwendung einschränken. (Meistens)
Barracuda bietet eine umfassende Cybersecurity-Plattform zum Schutz von Unternehmen vor allen wichtigen Angriffsvektoren. Besuchen Sie unsere Website, um unsere Cybersecurity-Plattform zu erkunden.

Der Ransomware Insights Bericht 2025
Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit
Abonnieren Sie den Barracuda-Blog.
Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance
Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.