Interpellation Grin (09.4022): Sicherheitsrisiken bei im Ausland behandelten telefonischen Daten
Erledigt (19.03.2010)
Eingereichter Text
Da gewisse Risiken von Pakistan ausgehen, stelle ich dem Bundesrat folgende Fragen:
1. Werden Informationen verschlüsselt, bevor sie in Drittländer geschickt werden, sodass es nicht möglich ist, Personen und Daten miteinander in Verbindung zu bringen?
2. Wird der Datenschutz von den Telefongesellschaften garantiert? Wenn ja, wie?
3. Wenn Unbefugte sich Zugriff auf CRM-Daten verschaffen könnten: Welche Informationen könnten sie daraus ziehen?
Begründung
Telefongesellschaften lassen ihre CRM-Daten (Customer Relationship Management) im Ausland bearbeiten. Als CRM bezeichnet man “einen Prozess zur Bearbeitung aller Daten, die zur Identifikation der Kundinnen und Kunden, zur Erstellung von Informationsdatenbanken über die Kundschaft, zur Entwicklung von Kundenbeziehungen und zur Verbesserung des Firmen- und Produktimages bei der Kundschaft dienen”. CRM-Daten werden verwendet, um die Bedürfnisse der Kundinnen und Kunden zu definieren und ihnen massgeschneiderte Angebote machen zu können. Swisscom beispielsweise lässt ihre Daten in Pakistan bearbeiten.
<
h1>Stellungnahme des Bundesrats
<
h1>
Die vorliegende Interpellation hat generell die Bearbeitung von “telefonischen Daten” zum Inhalt. In der Begründung wird allerdings namentlich Swisscom erwähnt, welche ihre CRM-Daten in Pakistan bearbeiten lasse. Dem hält Swisscom auf Anfrage hin entgegen, dass sie keine CRM-Daten in Pakistan bearbeite. Einzig Wartungsarbeiten einer spezifischen Anwendung würden zurzeit noch in Pakistan ausgeführt, diese Arbeiten würden aber voraussichtlich im Laufe dieses Jahres wieder ausschliesslich durch Swisscom übernommen.
Die nachfolgenden Antworten auf die Fragen der Interpellation basieren auf Angaben der vier grössten Telekommunikationsunternehmen in der Schweiz, welche zusammen je nach Sektor bis zu 97 Prozent der Schweizer Kundinnen und Kunden bedienen. Daraus wird ersichtlich, dass sich diese Unternehmen gesetzeskonform verhalten. Der Bundesrat hat keine Anhaltspunkte dafür, dass andere Fernmeldedienstanbieterinnen die einschlägigen Datenschutzvorschriften nicht ebenfalls einhalten.
1. Vor der Übermittlung von Personendaten ins Ausland wird durch organisatorische und technische Massnahmen sichergestellt, dass das Datenschutzgesetz vom 19. Juni 1992 (DSG; SR 235.1) eingehalten wird. Insbesondere werden die Daten verschlüsselt und authentisiert, damit die Sicherheit der Datenübertragung gewährleistet werden kann. Je nach Anwendung werden die Inhalte der Daten auch anonymisiert. Eine Anonymisierung ist aber nicht immer möglich, z. B. wenn Name und Adresse für die Verarbeitung erforderlich sind. Weiter werden Datenschutzverträge abgeschlossen und organisatorische Massnahmen wie beispielsweise die Einschränkung des Zugangs zu den Daten und regelmässige Kontrollen getroffen.
2. Für die Bekanntgabe von Personendaten an Adressaten im Ausland müssen sich Inhaber von Datensammlungen, also auch die Fernmeldedienstanbieterinnen, insbesondere an Artikel 6 DSG halten. Demnach ist die Bekanntgabe von Daten ins Ausland namentlich nur dann erlaubt, wenn dort die Datenschutzgesetzgebung einen angemessenen Schutz gewährleistet. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) führt eine öffentliche Liste der Staaten, welche diesen Schutz gewährleisten.
Die Bekanntgabe von Personendaten an Adressaten in Staaten ohne angemessenen Schutz ist hingegen nur in bestimmten Fällen erlaubt. So ist die Bekanntgabe erlaubt, wenn ein Vertrag mit dem Empfänger der Daten im Ausland einen angemessenen Schutz sicherstellt. Die Bekanntgabe ist auch dann erlaubt, wenn sie zwischen Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfindet und die Beteiligten Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten.
Verkehrs- und Rechnungsdaten werden entweder nur in Länder versandt, welche gemäss Liste des Edöb einen angemessenen Datenschutz gewährleisten, oder nur an ausländische Unternehmen, mit welchen Verträge bestehen, welche den Datenschutz gewährleisten. Wenn allerdings Kunden in nicht sicheren Ländern telefonieren, fallen dort natürlich auch Verkehrsdaten an.
3. Sollten sich Unbefugte im Ausland Zugang zu persönlichen Daten verschaffen, so könnten sie nicht mehr Informationen daraus ziehen, als von der Schweiz ins Ausland übermittelt wurden. Je nach Bearbeitungsauftrag können folgende Daten dazugehören: Telefonnummern, Namen, Adressen, Rechnungsdaten, Telefonieverhalten, Angaben über via Internet benutzte Dienste. Es kann aber nicht ausgeschlossen werden, dass die obenerwähnten Daten von Fernmeldediensten mit Daten von anderen Dienstleistungsunternehmen kombiniert werden, z. B. mit Kreditkarten-Transaktionen, Internetdiensten zur Informationssuche, E‑Mail oder Chatdiensten. Kunden sollten darum bei allen heiklen Daten einen Dienstanbieter mit möglichst hohem Datenschutz wählen.