Inter­pel­la­ti­on Grin (09.4022): Sicher­heits­ri­si­ken bei im Aus­land behan­del­ten tele­fo­ni­schen Daten

Inter­pel­la­ti­on Grin (09.4022): Sicher­heits­ri­si­ken bei im Aus­land behan­del­ten tele­fo­ni­schen Daten
Erle­digt (19.03.2010)

Ein­ge­reich­ter Text

Da gewis­se Risi­ken von Paki­stan aus­ge­hen, stel­le ich dem Bun­des­rat fol­gen­de Fragen:

1. Wer­den Infor­ma­tio­nen ver­schlüs­selt, bevor sie in Dritt­län­der geschickt wer­den, sodass es nicht mög­lich ist, Per­so­nen und Daten mit­ein­an­der in Ver­bin­dung zu bringen?

2. Wird der Daten­schutz von den Tele­fon­ge­sell­schaf­ten garan­tiert? Wenn ja, wie?

3. Wenn Unbe­fug­te sich Zugriff auf CRM-Daten ver­schaf­fen könn­ten: Wel­che Infor­ma­tio­nen könn­ten sie dar­aus ziehen?

Begrün­dung

Tele­fon­ge­sell­schaf­ten las­sen ihre CRM-Daten (Custo­mer Rela­ti­ons­hip Manage­ment) im Aus­land bear­bei­ten. Als CRM bezeich­net man “einen Pro­zess zur Bear­bei­tung aller Daten, die zur Iden­ti­fi­ka­ti­on der Kun­din­nen und Kun­den, zur Erstel­lung von Infor­ma­ti­ons­da­ten­ban­ken über die Kund­schaft, zur Ent­wick­lung von Kun­den­be­zie­hun­gen und zur Ver­bes­se­rung des Fir­men- und Pro­duk­timages bei der Kund­schaft die­nen”. CRM-Daten wer­den ver­wen­det, um die Bedürf­nis­se der Kun­din­nen und Kun­den zu defi­nie­ren und ihnen mass­ge­schnei­der­te Ange­bo­te machen zu kön­nen. Swiss­com bei­spiels­wei­se lässt ihre Daten in Paki­stan bearbeiten.

<

h1>Stellungnahme des Bundesrats

<

h1>

Die vor­lie­gen­de Inter­pel­la­ti­on hat gene­rell die Bear­bei­tung von “tele­fo­ni­schen Daten” zum Inhalt. In der Begrün­dung wird aller­dings nament­lich Swiss­com erwähnt, wel­che ihre CRM-Daten in Paki­stan bear­bei­ten las­se. Dem hält Swiss­com auf Anfra­ge hin ent­ge­gen, dass sie kei­ne CRM-Daten in Paki­stan bear­bei­te. Ein­zig War­tungs­ar­bei­ten einer spe­zi­fi­schen Anwen­dung wür­den zur­zeit noch in Paki­stan aus­ge­führt, die­se Arbei­ten wür­den aber vor­aus­sicht­lich im Lau­fe die­ses Jah­res wie­der aus­schliess­lich durch Swiss­com übernommen.

Die nach­fol­gen­den Ant­wor­ten auf die Fra­gen der Inter­pel­la­ti­on basie­ren auf Anga­ben der vier gröss­ten Tele­kom­mu­ni­ka­ti­ons­un­ter­neh­men in der Schweiz, wel­che zusam­men je nach Sek­tor bis zu 97 Pro­zent der Schwei­zer Kun­din­nen und Kun­den bedie­nen. Dar­aus wird ersicht­lich, dass sich die­se Unter­neh­men geset­zes­kon­form ver­hal­ten. Der Bun­des­rat hat kei­ne Anhalts­punk­te dafür, dass ande­re Fern­mel­de­dien­st­an­bie­te­rin­nen die ein­schlä­gi­gen Daten­schutz­vor­schrif­ten nicht eben­falls einhalten.

1. Vor der Über­mitt­lung von Per­so­nen­da­ten ins Aus­land wird durch orga­ni­sa­to­ri­sche und tech­ni­sche Mass­nah­men sicher­ge­stellt, dass das Daten­schutz­ge­setz vom 19. Juni 1992 (DSG; SR 235.1) ein­ge­hal­ten wird. Ins­be­son­de­re wer­den die Daten ver­schlüs­selt und authen­ti­siert, damit die Sicher­heit der Daten­über­tra­gung gewähr­lei­stet wer­den kann. Je nach Anwen­dung wer­den die Inhal­te der Daten auch anony­mi­siert. Eine Anony­mi­sie­rung ist aber nicht immer mög­lich, z. B. wenn Name und Adres­se für die Ver­ar­bei­tung erfor­der­lich sind. Wei­ter wer­den Daten­schutz­ver­trä­ge abge­schlos­sen und orga­ni­sa­to­ri­sche Mass­nah­men wie bei­spiels­wei­se die Ein­schrän­kung des Zugangs zu den Daten und regel­mä­ssi­ge Kon­trol­len getroffen.

2. Für die Bekannt­ga­be von Per­so­nen­da­ten an Adres­sa­ten im Aus­land müs­sen sich Inha­ber von Daten­samm­lun­gen, also auch die Fern­mel­de­dien­st­an­bie­te­rin­nen, ins­be­son­de­re an Arti­kel 6 DSG hal­ten. Dem­nach ist die Bekannt­ga­be von Daten ins Aus­land nament­lich nur dann erlaubt, wenn dort die Daten­schutz­ge­setz­ge­bung einen ange­mes­se­nen Schutz gewähr­lei­stet. Der Eid­ge­nös­si­sche Daten­schutz- und Öffent­lich­keits­be­auf­trag­te (Edöb) führt eine öffent­li­che Liste der Staa­ten, wel­che die­sen Schutz gewährleisten.

Die Bekannt­ga­be von Per­so­nen­da­ten an Adres­sa­ten in Staa­ten ohne ange­mes­se­nen Schutz ist hin­ge­gen nur in bestimm­ten Fäl­len erlaubt. So ist die Bekannt­ga­be erlaubt, wenn ein Ver­trag mit dem Emp­fän­ger der Daten im Aus­land einen ange­mes­se­nen Schutz sicher­stellt. Die Bekannt­ga­be ist auch dann erlaubt, wenn sie zwi­schen Gesell­schaf­ten, die einer ein­heit­li­chen Lei­tung unter­ste­hen, statt­fin­det und die Betei­lig­ten Daten­schutz­re­geln unter­ste­hen, wel­che einen ange­mes­se­nen Schutz gewährleisten.

Ver­kehrs- und Rech­nungs­da­ten wer­den ent­we­der nur in Län­der ver­sandt, wel­che gemäss Liste des Edöb einen ange­mes­se­nen Daten­schutz gewähr­lei­sten, oder nur an aus­län­di­sche Unter­neh­men, mit wel­chen Ver­trä­ge bestehen, wel­che den Daten­schutz gewähr­lei­sten. Wenn aller­dings Kun­den in nicht siche­ren Län­dern tele­fo­nie­ren, fal­len dort natür­lich auch Ver­kehrs­da­ten an.

3. Soll­ten sich Unbe­fug­te im Aus­land Zugang zu per­sön­li­chen Daten ver­schaf­fen, so könn­ten sie nicht mehr Infor­ma­tio­nen dar­aus zie­hen, als von der Schweiz ins Aus­land über­mit­telt wur­den. Je nach Bear­bei­tungs­auf­trag kön­nen fol­gen­de Daten dazu­ge­hö­ren: Tele­fon­num­mern, Namen, Adres­sen, Rech­nungs­da­ten, Tele­fo­nie­ver­hal­ten, Anga­ben über via Inter­net benutz­te Dien­ste. Es kann aber nicht aus­ge­schlos­sen wer­den, dass die oben­er­wähn­ten Daten von Fern­mel­de­dien­sten mit Daten von ande­ren Dienst­lei­stungs­un­ter­neh­men kom­bi­niert wer­den, z. B. mit Kre­dit­kar­ten-Trans­ak­tio­nen, Inter­net­dien­sten zur Infor­ma­ti­ons­su­che, E‑Mail oder Chat­dien­sten. Kun­den soll­ten dar­um bei allen heik­len Daten einen Dienst­an­bie­ter mit mög­lichst hohem Daten­schutz wählen.