Wer als Sunrise-Kunde ein Problem hat, landet oft bei Call-Centern in der Türkei. Der Kommunikationskonzern hält das für unbedenklich, obwohl der Datenschutzbeauftragte warnt und Mitarbeiter und Sicherheitsbehörden weitgehenden Zugriff auf Schweizer Daten haben.
Die Stimme ist freundlich, sie spricht ein akzentfreies Hochdeutsch, sie erledigt das Anliegen rasch und unkompliziert. Sie tut das im Namen des Schweizer Kommunikationsunternehmens Sunrise. Sie tut das aber nicht in der Schweiz, sie arbeitet in Izmir oder Istanbul.
In den beiden türkischen Grossstädten befinden sich Call-Center des zweitgrössten Mobilfunkanbieters der Schweiz. 3,3 Millionen Kundenbeziehungen unterhält Sunrise nach eigenen Angaben, aber kaum einer dieser Kunden dürfte wissen, dass er bei Problemen mit Rechnungen oder der Technik mitunter am Bosporus landet. Die Call-Center in der Türkei hält Sunrise vor seinen Kunden gut versteckt.
Dabei warten dort 300 Mitarbeiter beim Sunrise-Partner «Competence Call Center» (CCC) auf Anrufe von Sunrise-Kunden, das bestätigt das Unternehmen auf Anfrage. Der Wiener Konzern CCC hat sich darauf spezialisiert, für alle möglichen Branchen Call-Center zu betreiben, oft an Billigstandorten in Osteuropa – oder in der Türkei. Attraktiv macht die Türkei nicht nur das tiefe Lohnniveau, sondern auch, dass viele Arbeitskräfte bereit stehen, die in Deutschland oder der Schweiz gelebt haben und deshalb einwandfrei Deutsch sprechen.
Massiver Ausbau seit 2011
Seit 2011 hat Sunrise Stück für Stück seine Dienstleistungen in der Türkei ausgebaut. Auch in letzter Zeit noch, obwohl sich die Lage im Land dramatisch verändert hat und politische Gegner der türkischen Regierung unter Recep Tayyip Erdogan mittlerweile systematisch verfolgt werden.
Davon betroffen sind auch türkische Staatsbürger, die in der Schweiz leben. Wie wichtig Adressdaten von Erdogankritikern sein können, zeigt der Fall des Basler Sicherheitsassistenten, der zurzeit suspendiert ist, weil ihm vorgeworfen wird, sich unrechtmässig Personendaten beschafft zu haben. Der Mann steht im Verdacht, im Auftrag Erdogan-naher Kreise gehandelt zu haben.
Dass der türkische Sicherheitsapparat genau über hier wohnhafte Landsleute Bescheid weiss, zeigen jüngste Verhaftungen von Basler Kurden – darunter ein Doppelbürger – nach ihrer Landung in Istanbul. Sollten in dieser Situation sensible persönliche Daten nicht möglichst weit weg von den Häschern der Erdogan-Regierung gesichert und betreut werden?
Laufende Untersuchung
Sunrise rechtfertigt die Auslagerung in die Türkei mit der hohen Auslastung der Call-Center in Prilly und Zürich: «Diese Lösung ermöglicht es uns, flexibel zu reagieren und auch in Spitzenzeiten genügend Kapazitäten zur Verfügung stellen zu können», erklärt Sunrise-Sprecherin Therese Wenger auf Anfrage. Fälle von externem Hacking seien bislang nicht aufgetreten, allerdings laufe eine Untersuchung wegen einer möglichen Datenschutzverletzung.
Nach Informationen der TagesWoche ist es Mitarbeitern in der Türkei möglich, eine Vielzahl sensibler Kundendaten einzusehen und abzufotografieren. Entsprechende Belege liegen vor. So lassen sich nicht nur Adressen herausfinden, sondern unter Umständen auch Beziehungsnetze der Kunden nachzeichnen.
Sunrise sieht trotzdem wenig Anfälligkeit für Missbrauch. Sunrise ist gemäss Fernmeldegesetz dazu verpflichtet, Schweizer Standards auch auf ausgelagerte Bereiche anzuwenden. Darüber hinaus, so Sprecherin Wenger, habe Sunrise Ende 2014 als erste und einzige Telekommunikationsanbieterin der Schweiz die international anerkannte Zertifizierung nach ISO 27001 erhalten. Diese beziehe sich sowohl auf Zugriffsrechte, die technische Infrastruktur als auch auf die betrieblichen Abläufe im Zusammenhang mit Kundendaten und erstrecke sich auf das gesamte Unternehmen. Mitarbeitern sei die Handybenützung während der Arbeitszeit untersagt und es bestehe keine Möglichkeit, USB Sticks oder Drucker zu verwenden.
Erhebliche Zweifel
Für Ursula Widmer, Lehrbeauftragte für Informatikrecht an der Uni Bern und auf Datensicherheit spezialisierte Rechtsanwältin, ist die Zertifizierung nur ein Baustein zur vollständigen Datensicherheit:
«ISO 27001 ist eine der Massnahmen, jedoch ist es bestimmt noch nicht ausreichend, um die Datensicherheit zu gewährleisten. So ist beispielsweise auch beim Transfer oder der Speicherung der Daten die Datensicherheit (wie zum Beispiel Verschlüsselung nach dem Stand der Technik) einzuhalten.»
Der Eidgenössische Datenschutzbeauftragte hegt ebenfalls Zweifel:
«Gemäss unserer Einschätzung, die sich mit derjenigen der EU deckt, verfügt die Türkei nicht über ein angemessenes Datenschutzniveau. Sunrise als Auftraggeber muss sicherstellen, dass die Daten der Kunden ausschliesslich zum vorgegebenen und vertraglich vereinbarten Zweck verwendet werden.»
Voller Zugriff für den Geheimdienst
Die Frage ist, inwiefern Sunrise das überhaupt kann. Denn klandestin operierende Mitarbeiter sind nicht die einzige Bedrohung für Schweizer Kundendaten. Vor gut einem Jahr verabschiedete die Regierung Erdogan ein neues Datenschutzgesetz. Das Regelwerk gilt nicht nur für Türken, die in ihrer Heimat leben, sondern betrifft laut Gesetzestext auch türkische Bürger im Ausland, etwa in der Schweiz.
Das Gesetz hat in oppositionellen Kreisen zu starker Beunruhigung geführt. Denn es erlaubt Polizei, Staatsanwaltschaft und Geheimdiensten den Zugriff auf praktisch alle persönliche Daten. Diese dürfen nicht nur bei laufenden Untersuchungen abgegriffen werden, sondern bereits, wenn die Möglichkeit besteht, ein Verbrechen könne begangen werden.
Erinnerungen an Orwells 1984
In den Augen des Abgeordneten Cemal Okan Yüksel ein Freipass für Erdogans Verfolgungsapparat. Yüksel gehört der Oppositionspartei CHP an. Er wird im IT-Fachblatt «Computer Weekly» wie folgt zitiert:
«Dieses Gesetz ist die Verkörperung von Orwells 1984. Es wird zu einem totalitären Regime führen. Bürger werden sich vor dem Staat nackt ausziehen müssen.»
Während Sunrise dank seiner Verträge und Sicherheitsbestimmungen die Daten seiner Kunden in der Türkei sicher wähnt, meiden andere Telekommunikationsanbieter das Land. Auf Anfrage erklären sowohl Salt, Swisscom und UPC, keine Call-Center in der Türkei zu betreiben.