Sunrise schickt sensible Kundendaten in die Türkei

Wer als Sunrise-Kunde ein Problem hat, landet oft bei Call-Centern in der Türkei. Der Kommunikationskonzern hält das für unbedenklich, obwohl der Datenschutzbeauftragte warnt und Mitarbeiter und Sicherheitsbehörden weitgehenden Zugriff auf Schweizer Daten haben.

Sunrise betreibt zwei Call Center in der Türkei. Der türkische Staat behält sich vor, auf Daten von im Ausland lebenden Türken zuzugreifen.

(Bild: Nils Fisch)

Wer als Sunrise-Kunde ein Problem hat, landet oft bei Call-Centern in der Türkei. Der Kommunikationskonzern hält das für unbedenklich, obwohl der Datenschutzbeauftragte warnt und Mitarbeiter und Sicherheitsbehörden weitgehenden Zugriff auf Schweizer Daten haben.

Die Stimme ist freundlich, sie spricht ein akzentfreies Hochdeutsch, sie erledigt das Anliegen rasch und unkompliziert. Sie tut das im Namen des Schweizer Kommunikationsunternehmens Sunrise. Sie tut das aber nicht in der Schweiz, sie arbeitet in Izmir oder Istanbul. 

In den beiden türkischen Grossstädten befinden sich Call-Center des zweitgrössten Mobilfunkanbieters der Schweiz. 3,3 Millionen Kundenbeziehungen unterhält Sunrise nach eigenen Angaben, aber kaum einer dieser Kunden dürfte wissen, dass er bei Problemen mit Rechnungen oder der Technik mitunter am Bosporus landet. Die Call-Center in der Türkei hält Sunrise vor seinen Kunden gut versteckt. 

Dabei warten dort 300 Mitarbeiter beim Sunrise-Partner «Competence Call Center» (CCC) auf Anrufe von Sunrise-Kunden, das bestätigt das Unternehmen auf Anfrage. Der Wiener Konzern CCC hat sich darauf spezialisiert, für alle möglichen Branchen Call-Center zu betreiben, oft an Billigstandorten in Osteuropa – oder in der Türkei. Attraktiv macht die Türkei nicht nur das tiefe Lohnniveau, sondern auch, dass viele Arbeitskräfte bereit stehen, die in Deutschland oder der Schweiz gelebt haben und deshalb einwandfrei Deutsch sprechen.

Massiver Ausbau seit 2011

Seit 2011 hat Sunrise Stück für Stück seine Dienstleistungen in der Türkei ausgebaut. Auch in letzter Zeit noch, obwohl sich die Lage im Land dramatisch verändert hat und politische Gegner der türkischen Regierung unter Recep Tayyip Erdogan mittlerweile systematisch verfolgt werden.

Davon betroffen sind auch türkische Staatsbürger, die in der Schweiz leben. Wie wichtig Adressdaten von Erdogankritikern sein können, zeigt der Fall des Basler Sicherheitsassistenten, der zurzeit suspendiert ist, weil ihm vorgeworfen wird, sich unrechtmässig Personendaten beschafft zu haben. Der Mann steht im Verdacht, im Auftrag Erdogan-naher Kreise gehandelt zu haben.

Dass der türkische Sicherheitsapparat genau über hier wohnhafte Landsleute Bescheid weiss, zeigen jüngste Verhaftungen von Basler Kurden – darunter ein Doppelbürger – nach ihrer Landung in Istanbul. Sollten in dieser Situation sensible persönliche Daten nicht möglichst weit weg von den Häschern der Erdogan-Regierung gesichert und betreut werden?

Laufende Untersuchung

Sunrise rechtfertigt die Auslagerung in die Türkei mit der hohen Auslastung der Call-Center in Prilly und Zürich: «Diese Lösung ermöglicht es uns, flexibel zu reagieren und auch in Spitzenzeiten genügend Kapazitäten zur Verfügung stellen zu können», erklärt Sunrise-Sprecherin Therese Wenger auf Anfrage. Fälle von externem Hacking seien bislang nicht aufgetreten, allerdings laufe eine Untersuchung wegen einer möglichen Datenschutzverletzung.

Nach Informationen der TagesWoche ist es Mitarbeitern in der Türkei möglich, eine Vielzahl sensibler Kundendaten einzusehen und abzufotografieren. Entsprechende Belege liegen vor. So lassen sich nicht nur Adressen herausfinden, sondern unter Umständen auch Beziehungsnetze der Kunden nachzeichnen.

Sunrise sieht trotzdem wenig Anfälligkeit für Missbrauch. Sunrise ist gemäss Fernmeldegesetz dazu verpflichtet, Schweizer Standards auch auf ausgelagerte Bereiche anzuwenden. Darüber hinaus, so Sprecherin Wenger, habe Sunrise Ende 2014 als erste und einzige Telekommunikationsanbieterin der Schweiz die international anerkannte Zertifizierung nach ISO 27001 erhalten. Diese beziehe sich sowohl auf Zugriffsrechte, die technische Infrastruktur als auch auf die betrieblichen Abläufe im Zusammenhang mit Kundendaten und erstrecke sich auf das gesamte Unternehmen. Mitarbeitern sei die Handybenützung während der Arbeitszeit untersagt und es bestehe keine Möglichkeit, USB Sticks oder Drucker zu verwenden.

Erhebliche Zweifel

Für Ursula Widmer, Lehrbeauftragte für Informatikrecht an der Uni Bern und auf Datensicherheit spezialisierte Rechtsanwältin, ist die Zertifizierung nur ein Baustein zur vollständigen Datensicherheit:

«ISO 27001 ist eine der Massnahmen, jedoch ist es bestimmt noch nicht ausreichend, um die Datensicherheit zu gewährleisten. So ist beispielsweise auch beim Transfer oder der Speicherung der Daten die Datensicherheit (wie zum Beispiel Verschlüsselung nach dem Stand der Technik) einzuhalten.»

Der Eidgenössische Datenschutzbeauftragte hegt ebenfalls Zweifel:

«Gemäss unserer Einschätzung, die sich mit derjenigen der EU deckt, verfügt die Türkei nicht über ein angemessenes Datenschutzniveau. Sunrise als Auftraggeber muss sicherstellen, dass die Daten der Kunden ausschliesslich zum vorgegebenen und vertraglich vereinbarten Zweck verwendet werden.»

Voller Zugriff für den Geheimdienst 

Die Frage ist, inwiefern Sunrise das überhaupt kann. Denn klandestin operierende Mitarbeiter sind nicht die einzige Bedrohung für Schweizer Kundendaten. Vor gut einem Jahr verabschiedete die Regierung Erdogan ein neues Datenschutzgesetz. Das Regelwerk gilt nicht nur für Türken, die in ihrer Heimat leben, sondern betrifft laut Gesetzestext auch türkische Bürger im Ausland, etwa in der Schweiz.

Das Gesetz hat in oppositionellen Kreisen zu starker Beunruhigung geführt. Denn es erlaubt Polizei, Staatsanwaltschaft und Geheimdiensten den Zugriff auf praktisch alle persönliche Daten. Diese dürfen nicht nur bei laufenden Untersuchungen abgegriffen werden, sondern bereits, wenn die Möglichkeit besteht, ein Verbrechen könne begangen werden.

Erinnerungen an Orwells 1984

In den Augen des Abgeordneten Cemal Okan Yüksel ein Freipass für Erdogans Verfolgungsapparat. Yüksel gehört der Oppositionspartei CHP an. Er wird im IT-Fachblatt «Computer Weekly» wie folgt zitiert:

«Dieses Gesetz ist die Verkörperung von Orwells 1984. Es wird zu einem totalitären Regime führen. Bürger werden sich vor dem Staat nackt ausziehen müssen.»

Während Sunrise dank seiner Verträge und Sicherheitsbestimmungen die Daten seiner Kunden in der Türkei sicher wähnt, meiden andere Telekommunikationsanbieter das Land. Auf Anfrage erklären sowohl Salt, Swisscom und UPC, keine Call-Center in der Türkei zu betreiben. 

Konversation

    1. Herr Marsson, wahrscheinlich sind auch Sie betroffen. Wenn Sie jemals mit einem Sunrise Kunden telefoniert haben, dann sind die Daten zu diesem Gespräch – inklusive Ihrer Telefonnummer – bei Sunrise verfügbar. Der Bericht macht darüber zwar keine konkrete Aussage, aber es ist zu befürchten, dass auch Gesprächsdaten bei den Mitarbeitern in den türkischen Callcentern verfügbar sind.

      Zum Antworten anmelden Danke Empfehlen (0 ) Antworten
  1. Schon nach Schweizer Gesetzgebung müssen die Verbindungsdaten ja über ein halbes (oder doch ganzes?) Jahr aufbewahrt werden, womit natürlich Vieles nachgezeichnet werden kann. Wenn diese Daten dann beim Mitarbeiter auf dem Bildschirm erscheinen, dann ist klar, dass „Geheimnis“ in dem Zusammenhang mehr als ein Fremdwort ist.

    Wenn dann noch die dazugehörige MP3-Datei daneben liegt (neue Übertragungstechnologie auch beim Festnetz), dann muss sich der Bürger mit Abziebildchen kenntlich machen, da sonst ob seiner Durchsichtigkeit sogar die Vögel dagegen fliegen würden.

    Die Sensibilität von Sunrise scheint diesbezüglich gegfen Null zu tendieren.
    Vielleicht doch Aldisuisse?

    Zum Antworten anmelden Danke Empfehlen (0 ) Antworten
  2. Vielen Dank, Herr Beck, für Ihren Bericht über die Bekanntgabe von Kundendaten von Sunrise an Dienstleister in der Türkei.

    Die Bekanntgabe von persönlichen Daten an Stellen in der Türkei ist ein unglaublicher Vertrauensbruch. Offensichtlich fehlt bei den Entscheidern von Sunrise jeder Sinn für die Sensibilität solcher Daten, und es fehlt ihnen jeder Sinn für die Missbräuche durch repressive Diktaturen. Ich habe einen Vertrag mit Sunrise, den kündige ich gleich morgen.

    Zum Antworten anmelden Danke Empfehlen (0 ) Antworten
  3. Richtig – die Verbindungsdatem müssen 6 Monate aufbewahrt werden. Sie können mittels richterlichem Beschluss den Strafverfolgungsbehörden zur Verfügung gestellt werden. Aber sicher nicht durch einen x beliebigen Sunrise Mitarbeiter oder gar externem Callcenter.

    Zum Antworten anmelden Danke Empfehlen (0 ) Antworten
Alle Kommentare anzeigen (9)

Nächster Artikel