“Zu Ihrer Sicherheit benötigen wir Ihre Handynummer.” Diesen Satz lesen Sie auf fast jeder Plattform, die Sie um eine Nummer bittet. Aber ist Sicherheit wirklich der Hauptgrund? Eine Analyse der Datenschutz-Grundverordnung, der Technologiepraktiken der größten Plattformen und der wirtschaftlichen Logik dahinter zeigt: Die Antwort ist komplizierter — und interessanter — als die offizielle Begründung vermuten lässt.
TL;DR: Plattformen wollen Ihre Handynummer aus mehreren Gründen gleichzeitig: Spam-Kontrolle, Nutzeridentifizierung, Datensynchronisation und — in manchen Fällen — kommerzieller Datenverwertung. Die “Sicherheits”-Kommunikation ist oft nur einer von mehreren Beweggründen. Wer die echten Gründe kennt, kann informierter entscheiden, wann eine virtuelle Nummer die bessere Wahl ist.
Der offizielle Grund: Spam-Prävention und Identitätsverifizierung
Die ehrlichste offizielle Begründung für die Pflicht zur Handynummer ist: Spam-Kontrolle. Eine Telefonnummer kostet echtes Geld — Prepaid-Karten, SIM-Karten, Vertragsnummern. Das erhöht die “Kosten” einer Fake-Registrierung erheblich.
Eine E-Mail-Adresse kann man in Sekunden anlegen — hunderte davon, vollständig automatisiert. Eine Handynummer ist teurer: Sie kostet mindestens den Preis einer Prepaid-SIM oder eines Vertragstarifs. Wer Tausende Fake-Konten anlegen will, muss Tausende Nummern beschaffen — das ist signifikant aufwendiger als Tausende Wegwerf-E-Mail-Adressen.
Google erklärte in seiner Entwicklerdokumentation, dass das Verknüpfen einer Handynummer die Rate von Fake-Konten um über 90% reduziert. Das ist ein echter Sicherheitsvorteil — nicht nur Rhetorik. Facebook berichtete in seinem 2023 Community Standards Enforcement Report, dass Konten ohne verifizierte Telefonnummer mit höherer Wahrscheinlichkeit in Spam-Aktivitäten involviert sind.
Das klingt überzeugend — und tatsächlich ist dieser Teil korrekt. Telefonnummern machen Massenregistrierungen teurer und damit unattraktiver für Spam-Betreiber.
Aber das ist nur die halbe Geschichte.
Der zweite Grund: Kontoidentifizierung über Geräte hinweg
Hinter der Spam-Prävention steckt ein subtilerer, aber bedeutsamerer Grund: Personenidentifizierung. Plattformen müssen sicherstellen, dass ein Nutzer mit mehreren Geräten, Browsern oder App-Versionen immer dieselbe Person bleibt — und nicht mehrere verschiedene Personas erstellt.
Die Telefonnummer erfüllt diese Funktion besser als jedes andere Mittel. E-Mail-Adressen kann man unbegrenzt viele anlegen. Geräte wechseln Nutzer. IP-Adressen sind nicht stabil. Aber eine Handynummer — besonders in einem Vertragstarif — ist relativ stabil und eindeutig mit einer Person verknüpft.
Das erklärt, warum viele Plattformen die Nummer selbst dann behalten, wenn der Nutzer sie später in den Einstellungen “entfernt”. Die Nummer ist im internen System als früherer Identifikator gespeichert — für eventuelle Betrugs-Rückverfolgung, aber auch für Cross-Device-Matching.
Wie Cross-Device-Tracking mit Telefonnummern funktioniert
Wenn Sie auf Plattform A Ihre Nummer angeben und auf Plattform B dieselbe Nummer nutzen, können Plattformen — sofern sie Daten teilen oder dieselbe Werbetechnologie nutzen — Ihr Profil über Plattformgrenzen hinweg verbinden. Die Telefonnummer wird zum universellen Identifier, der plattformübergreifend funktioniert.
Facebook hat seit 2018 Werbetargeting-Methoden implementiert, die auf hochgeladenen Kontaktdaten (inklusive Telefonnummern) basieren. Die Funktion heißt “Custom Audiences” und ermöglicht es Unternehmen, ihre Kundenlisten direkt gegen Facebook-Profile zu matchen. Wenn Ihr Supermarkt Ihre Nummer kennt und Sie dieselbe Nummer bei Facebook angegeben haben, kann der Supermarkt Sie dort mit Werbung ansprechen — ohne dass Sie diesem Schritt je explizit zugestimmt haben.
Die EU-Kommission hat diese Praktiken 2023 als Teil der DSA-Umsetzung (Digital Services Act) kritisch untersucht. Ergebnis: Striktere Anforderungen an Transparenz und Einwilligung — aber das Targeting-System bleibt grundsätzlich bestehen.
Der dritte Grund: Zwei-Faktor-Authentifizierung — echte Sicherheit, aber mit Haken
SMS-basierte Zwei-Faktor-Authentifizierung (2FA) ist ein echter Sicherheitsgewinn. Das NIST (National Institute of Standards and Technology) hat schon 2016 SMS-2FA als weniger sicher eingestuft als App-basierte Authenticatoren — aber “weniger sicher” bedeutet nicht “wertlos”.
Für die Masse der Nutzer, die ohne 2FA komplett ungesichert sind, ist SMS-2FA eine signifikante Verbesserung. Meta, Google und Twitter begründen die Nummeranfrage teilweise damit.
Der Haken: SMS-2FA ist nur einer von mehreren 2FA-Mechanismen. Plattformen könnten TOTP (Authenticator-Apps) als einzige Option anbieten — ohne Telefonnummern. Sie tun es nicht, weil SMS den niedrigsten Reibungswiderstand hat und damit die höchste Adoptionsrate erreicht. Eine E-Mail-Eingabe ist sofortig; eine App-Installation ist eine Hürde.
Es fällt auf, dass Plattformen, die behaupten, die Nummer “nur für Sicherheit” zu nutzen, häufig die Option, die Nummer nach der Einrichtung der App-basierten 2FA zu entfernen, bewusst verstecken oder kompliziert machen. Das deutet darauf hin, dass die Sicherheits-Begründung nicht der einzige Beweggrund ist.
Bekannte Schwachstellen von SMS-2FA:
- SIM-Swap-Angriffe: Kriminelle bringen Carrier dazu, die Nummer auf eine neue SIM zu portieren
- SS7-Angriffe: Auf Carrier-Ebene werden SMS abgefangen
- Social Engineering: Support-Mitarbeiter werden manipuliert, um Nummern zu übertragen
Diese Schwachstellen sind bekannt — und trotzdem setzen Plattformen weiterhin auf SMS-2FA als primäre Option. Das ist ein Indiz dafür, dass der Hauptzweck nicht ausschließlich in der Sicherheit liegt.
Der vierte Grund: Regulatorische Compliance und Identitätspflicht
In einigen Sektoren ist die Telefonnummer keine unternehmerische Wahl, sondern regulatorische Pflicht.
Finanzdienstleistungen (KYC): Banken, Krypto-Börsen und Zahlungsdienstleister unterliegen dem Know Your Customer-Gesetz (KYC). Die Identitätsverifizierung schließt in vielen Ländern eine Telefonnummer ein. Hier ist die Nummer tatsächlich aus Compliance-Gründen notwendig — und virtuelle Nummern sind für solche Dienste oft nicht geeignet.
Altersverifizierung: Dienste für Erwachsene oder mit Altersbeschränkungen nutzen Telefonnummern als Teil des Altersverifizierungs-Prozesses — insbesondere in Deutschland, wo die Jugendschutz-Regulierung streng ist.
Telekommunikationsrecht: In bestimmten Ländern müssen Plattformen, die Kommunikationsfunktionen anbieten, Nutzerdaten vorhalten. Das schließt Telefonnummern ein.
Diese regulatorischen Gründe sind legitim und nicht hinterfragbar. Für alles andere gilt: Die Plattform hat eine Wahl, ob sie eine Nummer verlangt — und diese Wahl ist oft wirtschaftlicher Natur.
Der fünfte Grund: Datenverwertung — der am wenigsten kommunizierte Aspekt
Die Telefonnummer ist ein wertvoller Datenpunkt. Werbetechnologie-Unternehmen nutzen Telefonnummern als universellen Identifier — weil sie stabiler sind als Cookies, geräteübergreifend funktionieren und mit Offline-Kundendaten verknüpfbar sind.
Meta erkannte in seiner Datenschutzrichtlinie (bis zur DSA-Verschärfung 2023) explizit an, dass hochgeladene Telefonnummern für Werbezwecke genutzt werden. Google nutzt Telefonnummern für Account-übergreifendes Targeting. Das Geschäftsmodell der meisten werbefinanzierten Plattformen basiert auf präzisem Nutzer-Profiling — und Telefonnummern sind dafür ein erstklassiges Instrument.
Der Wert einer verifizierten Telefonnummer im Programmatic Advertising-Markt wurde in einer Analyse von eMarketer (2024) auf durchschnittlich 2,50–8,00 US-Dollar pro Jahr geschätzt — je nach Markt und Datenverfügbarkeit. Bei 3 Milliarden WhatsApp-Nutzern ergibt das einen theoretischen Wert von 7,5 bis 24 Milliarden Dollar an Nummern-Datenpunkten allein für eine einzige Plattform.
Dieser wirtschaftliche Hintergrund erklärt, warum Plattformen so hartnäckig auf Telefonnummern bestehen, selbst wenn sicherere 2FA-Alternativen wie TOTP existieren — und warum die Nummer so schwer zu “löschen” ist, nachdem sie einmal angegeben wurde.
Was sagt die DSGVO dazu?
Die Datenschutz-Grundverordnung setzt klare Grenzen. Art. 5 DSGVO fordert “Datenminimierung” — Plattformen dürfen nur Daten erheben, die für den angegebenen Zweck notwendig sind. Eine Telefonnummer für einen Blog-Kommentar-Dienst ist kaum begründbar. Für eine Krypto-Börse mit KYC-Pflicht schon.
Der Europäische Datenschutzausschuss (EDPB) hat in mehreren Leitlinien klargestellt, dass Telefonnummern als Pflichtfeld nur dann zulässig sind, wenn sie für den Dienst tatsächlich notwendig sind — nicht nur “hilfreich für die Sicherheit”.
In der Praxis werden diese Grenzen aber selten aktiv durchgesetzt. Datenschutzbehörden haben begrenzte Kapazitäten, und Plattformen formulieren ihre Begründungen sorgfältig, um im rechtlichen Grauerbereich zu bleiben.
Ihre DSGVO-Rechte in diesem Kontext:
- Auskunftsrecht (Art. 15): Sie können verlangen zu erfahren, wie Ihre Nummer gespeichert und genutzt wird
- Recht auf Löschung (Art. 17): Sie können die Löschung Ihrer Nummer beantragen — die Plattform muss reagieren
- Recht auf Einschränkung (Art. 18): Sie können verlangen, dass Ihre Nummer nicht für Werbezwecke genutzt wird
- Widerspruchsrecht (Art. 21): Sie können der Verarbeitung für Direktmarketing widersprechen
Diese Rechte sind real, aber deren Durchsetzung ist aufwendig. Eine virtuelle Nummer für Registrierungen, denen du nicht vollständig vertraust, ist der pragmatischste Schutz.
Ein Blick auf verschiedene Plattformtypen
Nicht alle Plattformen verlangen Nummern aus denselben Gründen. Eine Kategorisierung hilft:
Social-Media-Plattformen (Meta, TikTok, Twitter/X): Die Hauptgründe sind Spam-Kontrolle und Nutzeridentifizierung. Der Datenverwertungsaspekt ist real — diese Plattformen leben von Werbung, und Telefonnummern verbessern Targeting-Präzision erheblich.
Messaging-Dienste (WhatsApp, Telegram, Signal): Die Nummer ist hier technisch notwendig — die Nummer IS der Account-Identifier. Es gibt keine Alternative. Telegram hat jedoch gezeigt, dass Pseudonyme-Systeme (Benutzernamen ohne Nummernanzeige) möglich sind.
E-Commerce-Plattformen (Amazon, eBay): Spam-Prävention steht im Vordergrund. Falsche Verkäuferkonten schaden dem Marktplatz direkt. Die Datenverwertung ist geringer als bei Social-Media.
Kryptobörsen (Binance, Coinbase): Regulatorische KYC-Pflicht. Die Nummer ist Teil der Identitätsverifizierung nach Anti-Geldwäsche-Gesetzen (AML). Hier ist die Nummernanfrage legitim und gesetzlich vorgeschrieben.
Gaming-Plattformen (Steam, Xbox): Spam-Kontrolle und Betrugsverhinderung. Seltener kommerziell motiviert.
Kleine Apps und Dienste: Oft SDK-basiert. Die App selbst nutzt die Nummer für 2FA, aber eingebettete SDKs (von Facebook, Google, etc.) können Daten weitergeben.
Wann ist die Angabe der echten Nummer sinnvoll?
Die Analyse zeigt: Nicht alle Anfragen nach einer Handynummer sind gleich. Es gibt legitime und weniger legitime Gründe.
Echte Nummer sinnvoll bei:
- Bankkonten und Finanzdienstleistungen (KYC-Pflicht)
- Staatlichen Diensten und Behörden (ELSTER, Bürgerservices)
- Krankenversicherungen und Arzttermin-Diensten
- Diensten, bei denen du dauerhaft erreichbar sein musst
- Konten, für die du maximale Sicherheit (inkl. SMS-Wiederherstellung) willst
- Diensten, bei denen du dem Datenschutz vollständig vertraust
Virtuelle Nummer sinnvoll bei:
- Social-Media-Registrierungen ohne KYC-Pflicht
- Online-Shops und E-Commerce-Plattformen
- Newsletter und Gewinnspiele
- App-Downloads mit optionaler Nummeranfrage
- Dienste, bei denen du den Datenschutzpraktiken nicht vollständig vertraust
- Accounts, die du nur vorübergehend nutzen möchtest
- Registrierungen bei Diensten aus anderen Ländern
- Tests neuer Dienste
Die Zukunft der Telefonnummern-Pflicht
Der Druck auf Plattformen steigt. Der Digital Services Act (DSA) der EU verpflichtet große Plattformen seit 2024 zu mehr Transparenz über Datennutzung und Algorithmen. Der Digital Markets Act (DMA) schränkt Datenpraktiken von “Gatekeepern” wie Google, Meta und Apple ein.
Gleichzeitig gibt es technologische Entwicklungen hin zu passwortlosen Logins (Passkeys), die Telefonnummern als Sicherheitsfaktor ersetzen können. Apple und Google pushen Passkeys aktiv — ein System, das auf kryptographischen Schlüsseln basiert und keine Telefonnummern benötigt. Wenn Passkeys die Mainstream-Adoption erreichen, könnte die Telefonnummer als Pflichtfeld für die meisten Dienste an Bedeutung verlieren.
Dezentrale Identitätssysteme (DID — Decentralized Identifiers) bieten eine weitere Alternative: Nutzer verifizieren ihre Identität ohne Weitergabe persönlicher Daten an Plattformen. Diese Technologie ist noch nicht im Mainstream — aber die Richtung ist klar.
Bis diese Alternativen etabliert sind: Die informierte Entscheidung, wann man die echte Nummer und wann eine virtuelle Nummer angibt, ist die praktischste Schutzmaßnahme.
SMSCode bietet SIM-basierte virtuelle Nummern aus über 200 Ländern ab 0,29€. Für alle Registrierungen, bei denen die echte Nummer nicht wirklich notwendig ist.
Praktische Strategien: Wann die echte Nummer schützen?
Das Wissen über die wahren Gründe der Nummeranfragen führt zu einer praktischen Frage: Wie treffe ich die richtige Entscheidung für jeden Dienst?
Ein einfaches Entscheidungsrahmen:
Vertrauensstufe 1: Vollständiges Vertrauen — echte Nummer sinnvoll
Banken und Finanzinstitute mit gesetzlicher KYC-Pflicht, staatliche Dienste und Behörden, Arbeitgeber und offiziell regulierte Dienste, Gesundheitsportale und Arzttermin-Systeme.
Bei diesen Diensten ist die Nummernanfrage regulatorisch begründet oder für die dauerhafte Erreichbarkeit notwendig. Die echte Nummer ist hier die einzig sinnvolle Option.
Vertrauensstufe 2: Mittleres Vertrauen — Abwägung je nach Situation
Etablierte E-Commerce-Plattformen (Amazon, eBay), großen Kommunikationsdienste (WhatsApp, Telegram), Gaming-Plattformen und Software-Abos.
Hier kann die echte Nummer verwendet werden, wenn du dem Dienst dauerhaft vertraust — oder eine virtuelle Nummer, wenn du Datenschutz priorisierst.
Vertrauensstufe 3: Geringes Vertrauen — virtuelle Nummer empfohlen
Unbekannte Apps und neue Dienste, die du nur kurz testen willst, Gewinnspiele und Aktionsportale, Dienste ohne klare Datenschutzerklärung, internationale Plattformen ohne EU-Datenschutzstandard.
Bei diesen Diensten ist die virtuelle Nummer die klare Empfehlung — die echte Nummer hat hier nichts zu suchen.
Die Datenleck-Perspektive: Warum die Nummer schützen?
Eine letzte Perspektive, die den praktischen Nutzen virtueller Nummern unterstreicht:
Datenlecks sind keine Seltenheit — sie sind Normalität. Jedes Jahr werden Millionen von Nutzerdatensätzen gestohlen und verkauft. Die durchschnittliche Benachrichtigungszeit nach einem Datenleck beträgt laut IBM Security Report 2024 197 Tage — fast sieben Monate, in denen Ihre Daten im Darknet kursieren könnten, ohne dass Sie es wissen.
Wenn Ihre echte Handynummer in einem Leck auftaucht, kann sie für SIM-Swap-Angriffe, Phishing-SMS, Spam-Anrufe und gezielte Werbung genutzt werden. Der Schaden ist dauerhaft — Sie können die Nummer nicht “zurückziehen”.
Eine virtuelle Nummer in einem Datenleck ist dagegen wertlos: Sie ist temporär, gehört keiner Person eindeutig, und kann einfach aufgegeben werden. Der Schaden ist minimal.
Das ist der fundamentale Schutzwert virtueller Nummern jenseits der Datenschutz-Philosophie: pragmatische Schadensbegrenzung im Fall eines — statistisch wahrscheinlichen — Datenlecks.
FAQ
Können Plattformen erkennen, dass ich eine virtuelle Nummer verwendet habe?
Ja, manche können das — durch Carrier-Lookup-Dienste, die Nummern als “mobile”, “landline” oder “voip” klassifizieren. SMSCode verwendet SIM-basierte Nummern, die als “mobile” eingestuft werden und damit deutlich schwerer von echten Mobilfunknummern zu unterscheiden sind als reine VoIP-Nummern.
Darf ich bei der DSGVO-Auskunft fragen, wie meine Nummer genutzt wird?
Ja, das ist ein explizites DSGVO-Recht (Art. 15). Sie können von jeder Plattform, bei der Sie registriert sind, innerhalb von 30 Tagen eine vollständige Auskunft über gespeicherte Daten, Verwendungszwecke und Weitergabe an Dritte verlangen. Die Plattform muss antworten — schriftlich, vollständig, in verständlicher Sprache.
Warum verlangen auch kleine Apps meine Telefonnummer?
Kleine Apps nutzen oft Software-Entwicklungs-Kits (SDKs) großer Datenbroker — zum Beispiel von Facebook oder Google —, die Telefonnummern für Cross-Platform-Profiling sammeln. Die App selbst nutzt die Nummer vielleicht wirklich nur für 2FA. Aber die eingebetteten SDKs können diese Information an ihre Mutterplattformen weitergeben, oft ohne dass der App-Entwickler das explizit einrichtet — es ist Standardverhalten des SDKs.
Kann ich eine einmal angegebene Nummer wirklich löschen lassen?
Sie können einen Löschungsantrag nach Art. 17 DSGVO stellen. Die Plattform muss reagieren. In der Praxis werden Nummern aus aktiven Profilen entfernt, aber historische Daten in Backup-Systemen oder bei Weitergabe an Dritte sind schwerer zu löschen. Das ist ein strukturelles Problem der nachträglichen Datenlöschung — der einfachste Schutz ist, die echte Nummer von Anfang an nicht preiszugeben.
Warum akzeptieren manche Dienste keine virtuellen Nummern?
Weil sie einen echten Identitäts-Anker wollen, nicht nur eine Kontaktnummer. Bei Diensten mit KYC-Pflicht (Banken, Kryptobörsen mit vollständiger Verifizierung) ist eine verifizierte, persönliche Mobilfunknummer Teil der Identitätsverifizierung. Eine virtuelle Nummer erfüllt diesen Zweck nicht — sie ist legitim für Datenschutz, aber nicht als KYC-Instrument geeignet.
Wie erkenne ich, ob eine Plattform meine Nummer für Werbezwecke nutzt?
Lesen Sie die Datenschutzerklärung — genauer: den Abschnitt “Zwecke der Datenverarbeitung”. Wenn dort “Werbung”, “Targeting” oder “Drittpartner” erwähnt werden, nutzt die Plattform Ihre Daten kommerziell. Auch die Liste der “Datenempfänger” ist aufschlussreich: Lange Listen mit Werbetechnologie-Partnern sind ein deutliches Zeichen. Alternativ: Nutzen Sie ein Tool wie “Privacy Policies Simplified” oder ähnliche Browser-Extensions, die Datenschutzerklärungen auswerten.
Was passiert, wenn ich WhatsApp eine falsche Nummer angebe?
WhatsApp verifiziert Nummern per SMS — eine falsche Nummer führt einfach dazu, dass du den Verifizierungscode nicht bekommst. Es gibt keine strafrechtlichen Konsequenzen für die Angabe einer anderen Nummer als der eigenen. Das ist der Unterschied zwischen einer “falschen” Nummer (die du erfindest) und einer “fremden” Nummer (die jemand anderem gehört) — letzteres wäre problematisch, ersteres ist schlicht nutzlos. Eine virtuelle Nummer ist weder falsch noch fremd — sie gehört dir für die Sitzungsdauer.