Im Herbst 2017 kam es bei der Swisscom zu einem Datenleck. Sie hatte einer Genfer Marketingfirma Zugang zu Kundendaten gewährt. Diese gab die Daten einer Unterauftragnehmerin in Tunesien weiter. Dort wurden während zweier Monate die Namen, Geburtsdaten, Telefonnummern und Adressen von fast 900 000 Swisscom-Kunden gestohlen. Laut dem Telekomunternehmen griffen Unbekannte «über eine französische IP-Adresse auf diese Kundenangaben» zu. Die Swisscom reichte Strafanzeige ein. Diese ist noch hängig.
Seit Anfang Oktober 2017 wusste die Swisscom von diesem Datenleck. Doch an den Eidgenössischen Datenschutzbeauftragten gelangte sie erst nach zweieinhalb Monaten.
Die Swisscom befürchtete einen Reputationsschaden
Dokumente, die das Westschweizer Radio und Fernsehen vor Bundesgericht erstritten hat, zeigen nun, wie die Swisscom die Krise bewältigen wollte – durch Vertuschen. Ein paar Auszüge aus internen Mails und Aktennotizen:
Die Swisscom teilt am 22. Dezember 2017 dem Datenschutzbeauftragten telefonisch mit, sie wolle «mit der Information der Betroffenen noch zuwarten». Dieser fordert hingegen einen «transparenten Umgang».
Trotzdem entscheidet der Swisscom-Verwaltungsrat Anfang 2018, «den Vorfall weder öffentlich zu kommunizieren, noch die betroffenen Personen zu informieren». Er befürchtet einen «Wirbel» und einen «erheblichen Reputationsschaden».
Der Datenschutzbeauftragte hält im Januar 2018 abermals fest, «eine Information der betroffenen Personen» sei «unumgänglich». Das verlange das Gesetz.
Ende Januar 2018 will die Swisscom endlich informieren – an einer Medienkonferenz und per Medienmitteilung. Dabei will sie «die getroffenen Massnahmen in den Vordergrund» stellen und «das Datenleck nur beiläufig» thematisieren. «Nicht erwähnt werden soll, dass der Diebstahl wahrscheinlich in Tunesien stattgefunden hat.»
Die Medienkonferenz wird verschoben, weil es bei der Swisscom zu Netzausfällen kommt. Der «Fall Tunesien» wäre wohl eine schlechte Nachricht zu viel gewesen.
Die Swisscom und der Datenschutzbeauftragte vereinbaren «eine koordinierte Kommunikationsstrategie» und schicken einander Entwürfe ihrer Medienmitteilungen zu. Die Swisscom macht im Überarbeitungsmodus Vorschläge. Der Datenschutzbeauftragte berücksichtigt sie so weit, als er «diese als korrekt und mit der Rolle als Aufsichtsbehörde vereinbar» erachtet.
Betroffene wurden nie direkt informiert
Am 7. Februar 2018, vier Monate nach Entdecken des Datenlecks, führt die Swisscom die Medienkonferenz durch. In der Medienmitteilung steht: «Aus Transparenzgründen ist es Swisscom ein Anliegen, die Kunden über die missbräuchliche Verwendung der Zugriffsrechte des Vertriebspartners zu informieren.» Kein Wort von Tunesien. Auch wurden von den fast 900 000 Betroffenen nur gerade 700 Festnetzkunden und ein paar ausgewählte Geschäftskunden direkt informiert.
«Entscheidend ist, ob und wie am Schluss kommuniziert wird», teilt die Swisscom saldo mit: Und: Bei Datenlecks bestehe «keine Meldepflicht» gegenüber den Behörden. Silvia Böhlen, Sprecherin des Datenschutzbeaufragten, bestätigt das. Aber: «Wir vertreten die Ansicht, dass eine Information der Betroffenen nötig ist, damit diese ihre Rechte ausüben können.»
