Web Services of the Swiss Parliament

• Home
• Affairs
  • Types
  • States
  • Keywords
  • Descriptors
• Affair summaries
• Committees
• Cantons
• Councillors
  • Basic Details
  • Historic
• Councils
• Departments
  • Historic
• Factions
  • Historic
• Legislative periods
• Parties
  • Historic
• Sessions
• Votes
  • Affairs
  • Councillors

Warum gewichtet der Bund als Eigner der Swisscom eine umfassende, kundennahe Datenschutzpolitik nicht höher?

ShortId

18.1021

Id

20181021

Updated

28.07.2023 03:41

Language

de

Title

Warum gewichtet der Bund als Eigner der Swisscom eine umfassende, kundennahe Datenschutzpolitik nicht höher?

AdditionalIndexing

34;1236

1

PriorityCouncil1

Nationalrat

Texts

• <p>1. Swisscom untersteht dem Datenschutzgesetz (DSG, SR 235.1) und der Aufsicht des Eidgenössischen Datenschutzbeauftragten (Edöb). Aus der Tatsache, dass Swisscom von einem Datendiebstahl betroffen war, lässt sich nicht ableiten, dass Swisscom dem Datenschutz keine ausreichende Beachtung schenkt.</p><p>Der Bundesrat sieht keine Veranlassung, infolge dieses Vorfalls Massnahmen zu ergreifen. Der Bundesrat steuert Swisscom in seiner Funktion als Vertreter der Eigentümerinteressen des Bundes mittels strategischer Ziele. Für die Umsetzung dieser Ziele ist der Verwaltungsrat verantwortlich. Der Bundesrat greift nicht in die operative Geschäftsführung ein.</p><p>Eines der strategischen Ziele für Swisscom bezieht sich auf den "Ausbau und Betrieb einer zukunftsgerichteten Netz- und Informatikinfrastruktur unter Berücksichtigung der Marktbedürfnisse, der technologischen Entwicklung und der Sicherheit (insbesondere Gewährleistung des Fernmeldegeheimnisses und des Datenschutzes)" (BBl 2017 7867).</p><p>Der Bundesrat überprüft jährlich die Erreichung der strategischen Ziele durch Swisscom. In Bezug auf das obenerwähnte Ziel (Sicherheit) hielt er nach Würdigung aller ihm bekannten Fakten fest: "Der Schutz der Kundendaten vor unbefugtem Zugriff geniesst bei Swisscom hohe Priorität. Dennoch wurde Swisscom im Berichtsjahr Ziel eines umfangreichen Datendiebstahls, welcher die Kontaktangaben von rund 800 000 Kunden betraf. Die Täter entwendeten die Zugriffsberechtigungen eines Vertriebspartners. Obwohl es sich nach Massgabe des Datenschutzgesetzes um nicht besonders schützenswerte Daten handelte, verstärkte Swisscom das Schutzdispositiv. Aufgrund der vorliegenden Erkenntnisse kommt der Bundesrat zum Schluss, dass dieser Vorfall die Sicherheitsinteressen des Landes nicht tangierte" (Swisscom - Kurzbericht strategische Ziele 2017; <a href="http://www.uvek.admin.ch">www.uvek.admin.ch</a> &gt; Das UVEK &gt; Bundesnahe Betriebe &gt; Zielvorgaben und Zielerreichung).</p><p>2. Swisscom ist zur Einhaltung des Zweckbindungsprinzips verpflichtet, welches besagt, dass Personendaten - wozu auch die verschiedenen Kategorien von Randdaten zählen - nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Das Unternehmen darf die verschiedenen Arten von Randdaten also nicht zu einem beliebigen Zweck verwenden. Die Überwachungsaufträge werden auf verschiedenen Systemen abgewickelt: solchen, die ausschliesslich für die Überwachung benötigt werden, und solchen, die auch zum Betrieb und für die Verwaltung der Netzzugänge und Anschlüsse benützt werden. Die Systeme sind so geschützt, dass nur speziell geschultes und geeignetes Personal darauf Zugriff hat. Nach dem Bundesgerichtsurteil 1C_598/2016 vom 2. März 2018 können die Teilnehmer unter Berücksichtigung des Datenschutzes gegenüber Dritten die Randdaten herausverlangen.</p><p>3. Der Bundesrat hat zur Kenntnis genommen, dass Unbekannte sich unrechtmässig Zugang zu Adressdaten beschafft haben, die in der Kundendatenbank von Swisscom gespeichert waren. Der Bundesrat begrüsst, dass Swisscom den Edöb über diesen Vorfall informierte, obwohl dies vom Datenschutzgesetz nicht vorgeschrieben ist. Die Bestimmung von Art und Zeitpunkt der Information der betroffenen Kunden und der Öffentlichkeit lag im Ermessen von Swisscom. Generell gilt es in solchen Fällen abzuwägen zwischen dem Anspruch der betroffenen Kunden und der Öffentlichkeit auf Transparenz einerseits sowie dem Erfordernis, das Schutzdispositiv nicht zu kompromittieren, anderseits. Nach den dem Bundesrat vorliegenden Informationen hat Swisscom für die SMS-Abfrage im Zusammenhang mit diesem Vorfall keine Kosten in Rechnung gestellt.</p> Antwort des Bundesrates.
• <p>Die Swisscom ist leider kein Vorbild in Bezug auf Datenschutz. Sie ist Teil der Werbeallianz Admeira, welche personalisierte Werbung verkaufen will. Sie hat die Datenschutz-Bestimmungen vor einem Jahr aber so verändert, dass Kunden sich explizit wehren mussten, damit ihre Daten nicht Dritten weitergegeben würden. Und beim Anfang Jahr bekanntgewordenen Leck von Kundendaten hat die Swisscom nicht nur im Systemdesign offensichtlich versagt, sondern auch bei der Information der Kundinnen und Kunden, welche einerseits viel zu spät informiert wurden und dabei andererseits noch individuell sich via SMS erkundigen mussten, ob sie betroffen waren, statt aktiv informiert zu werden.</p><p>1. Ist der Bundesrat als Eigner der Swisscom bereit, sich für eine stärkere Beachtung des Datenschutzes durch die Swisscom einzusetzen? Welche konkreten Massnahmen hat er bereits unternommen, welche unternimmt er noch und bis wann?</p><p>2. Stellt der Bundesrat sicher, dass Kommunikations-Randdaten, welche nur wegen Büpf und NDG gespeichert werden müssen, für keinerlei andere Zwecke verwendet werden?</p><p>3. Wie beurteilt der Bundesrat das Vorgehen der Swisscom beim Anfang 2018 bekanntgewordenen Data Breach, insbesondere die um Monate verzögerte Information der Betroffenen, die fehlende aktive Information der Betroffenen und die Tatsache, dass die Kundinnen und Kunden beim Absenden des Auskunfts-SMS noch mit einer Warnung konfrontiert waren, es könnten dabei Kosten entstehen?</p>
• Warum gewichtet der Bund als Eigner der Swisscom eine umfassende, kundennahe Datenschutzpolitik nicht höher?

State

Erledigt

Related Affairs

Drafts

• Index

  0

  Texts

  • <p>1. Swisscom untersteht dem Datenschutzgesetz (DSG, SR 235.1) und der Aufsicht des Eidgenössischen Datenschutzbeauftragten (Edöb). Aus der Tatsache, dass Swisscom von einem Datendiebstahl betroffen war, lässt sich nicht ableiten, dass Swisscom dem Datenschutz keine ausreichende Beachtung schenkt.</p><p>Der Bundesrat sieht keine Veranlassung, infolge dieses Vorfalls Massnahmen zu ergreifen. Der Bundesrat steuert Swisscom in seiner Funktion als Vertreter der Eigentümerinteressen des Bundes mittels strategischer Ziele. Für die Umsetzung dieser Ziele ist der Verwaltungsrat verantwortlich. Der Bundesrat greift nicht in die operative Geschäftsführung ein.</p><p>Eines der strategischen Ziele für Swisscom bezieht sich auf den "Ausbau und Betrieb einer zukunftsgerichteten Netz- und Informatikinfrastruktur unter Berücksichtigung der Marktbedürfnisse, der technologischen Entwicklung und der Sicherheit (insbesondere Gewährleistung des Fernmeldegeheimnisses und des Datenschutzes)" (BBl 2017 7867).</p><p>Der Bundesrat überprüft jährlich die Erreichung der strategischen Ziele durch Swisscom. In Bezug auf das obenerwähnte Ziel (Sicherheit) hielt er nach Würdigung aller ihm bekannten Fakten fest: "Der Schutz der Kundendaten vor unbefugtem Zugriff geniesst bei Swisscom hohe Priorität. Dennoch wurde Swisscom im Berichtsjahr Ziel eines umfangreichen Datendiebstahls, welcher die Kontaktangaben von rund 800 000 Kunden betraf. Die Täter entwendeten die Zugriffsberechtigungen eines Vertriebspartners. Obwohl es sich nach Massgabe des Datenschutzgesetzes um nicht besonders schützenswerte Daten handelte, verstärkte Swisscom das Schutzdispositiv. Aufgrund der vorliegenden Erkenntnisse kommt der Bundesrat zum Schluss, dass dieser Vorfall die Sicherheitsinteressen des Landes nicht tangierte" (Swisscom - Kurzbericht strategische Ziele 2017; <a href="http://www.uvek.admin.ch">www.uvek.admin.ch</a> &gt; Das UVEK &gt; Bundesnahe Betriebe &gt; Zielvorgaben und Zielerreichung).</p><p>2. Swisscom ist zur Einhaltung des Zweckbindungsprinzips verpflichtet, welches besagt, dass Personendaten - wozu auch die verschiedenen Kategorien von Randdaten zählen - nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Das Unternehmen darf die verschiedenen Arten von Randdaten also nicht zu einem beliebigen Zweck verwenden. Die Überwachungsaufträge werden auf verschiedenen Systemen abgewickelt: solchen, die ausschliesslich für die Überwachung benötigt werden, und solchen, die auch zum Betrieb und für die Verwaltung der Netzzugänge und Anschlüsse benützt werden. Die Systeme sind so geschützt, dass nur speziell geschultes und geeignetes Personal darauf Zugriff hat. Nach dem Bundesgerichtsurteil 1C_598/2016 vom 2. März 2018 können die Teilnehmer unter Berücksichtigung des Datenschutzes gegenüber Dritten die Randdaten herausverlangen.</p><p>3. Der Bundesrat hat zur Kenntnis genommen, dass Unbekannte sich unrechtmässig Zugang zu Adressdaten beschafft haben, die in der Kundendatenbank von Swisscom gespeichert waren. Der Bundesrat begrüsst, dass Swisscom den Edöb über diesen Vorfall informierte, obwohl dies vom Datenschutzgesetz nicht vorgeschrieben ist. Die Bestimmung von Art und Zeitpunkt der Information der betroffenen Kunden und der Öffentlichkeit lag im Ermessen von Swisscom. Generell gilt es in solchen Fällen abzuwägen zwischen dem Anspruch der betroffenen Kunden und der Öffentlichkeit auf Transparenz einerseits sowie dem Erfordernis, das Schutzdispositiv nicht zu kompromittieren, anderseits. Nach den dem Bundesrat vorliegenden Informationen hat Swisscom für die SMS-Abfrage im Zusammenhang mit diesem Vorfall keine Kosten in Rechnung gestellt.</p> Antwort des Bundesrates.
  • <p>Die Swisscom ist leider kein Vorbild in Bezug auf Datenschutz. Sie ist Teil der Werbeallianz Admeira, welche personalisierte Werbung verkaufen will. Sie hat die Datenschutz-Bestimmungen vor einem Jahr aber so verändert, dass Kunden sich explizit wehren mussten, damit ihre Daten nicht Dritten weitergegeben würden. Und beim Anfang Jahr bekanntgewordenen Leck von Kundendaten hat die Swisscom nicht nur im Systemdesign offensichtlich versagt, sondern auch bei der Information der Kundinnen und Kunden, welche einerseits viel zu spät informiert wurden und dabei andererseits noch individuell sich via SMS erkundigen mussten, ob sie betroffen waren, statt aktiv informiert zu werden.</p><p>1. Ist der Bundesrat als Eigner der Swisscom bereit, sich für eine stärkere Beachtung des Datenschutzes durch die Swisscom einzusetzen? Welche konkreten Massnahmen hat er bereits unternommen, welche unternimmt er noch und bis wann?</p><p>2. Stellt der Bundesrat sicher, dass Kommunikations-Randdaten, welche nur wegen Büpf und NDG gespeichert werden müssen, für keinerlei andere Zwecke verwendet werden?</p><p>3. Wie beurteilt der Bundesrat das Vorgehen der Swisscom beim Anfang 2018 bekanntgewordenen Data Breach, insbesondere die um Monate verzögerte Information der Betroffenen, die fehlende aktive Information der Betroffenen und die Tatsache, dass die Kundinnen und Kunden beim Absenden des Auskunfts-SMS noch mit einer Warnung konfrontiert waren, es könnten dabei Kosten entstehen?</p>
  • Warum gewichtet der Bund als Eigner der Swisscom eine umfassende, kundennahe Datenschutzpolitik nicht höher?

Back to List