«Dieses Gespräch kann zu Schulungszwecken aufgezeichnet werden»: Wer den Kundendienst einer Firma anruft, hört nicht selten diese Mitteilung. Was viele nicht wissen: Oft sind es spezialisierte Firmen, die im Auftrag von Unternehmen die Telefongespräche aufzeichnen. So zum Beispiel die Schweizer Firma NTH mit Sitz in Bern. NTH zeichnet täglich tausende Telefongespräche von Kundinnen und Kunden aus dem In- und Ausland auf. Doch solche Aufnahmen seien bis vor kurzem via Browser verfügbar gewesen, sagt ein IT-Sicherheitsexperte, der anonym bleiben will. Er zeigt «Kassensturz» und «SRF Investigativ», wo er diese Daten entdeckte. Dabei musste er weder ein Passwort hacken noch irgendein Sicherheitssystem umgehen.
«Klarer Verstoss gegen das Datenschutzgesetz»
Der IT-Sicherheitsexperte zeigt ein Protokoll mit Telefonnummern: Wer auf welche Nummer anrief, mit Datum, Zeitangabe und der jeweiligen Aufnahme. Beispiel: Eine Person, die bei einem Kreuzworträtsel einer Gratiszeitung mitmachte. Nebst Lösungswort spricht sie ihren Namen, Vornamen, die genaue Adresse und ihre Telefonnummer aufs Band. Ein weiteres Beispiel: Eine ältere Frau, die sich bei einem Kundendienst beschwert, weil sie teure SMS auf ihr Handy erhält. Auch sie sagt Name, Wohnort und Handynummer. Solche Personendaten seien zu tausenden verfügbar, erklärt der Informant.
Ungesicherte Daten im Internet, das sei «ein klarer Verstoss gegen das Datenschutzgesetz», sagt Ursula Sury, Professorin für Datenschutzrecht an der Hochschule Luzern. Wer Aufnahmen im Internet speichere, sei verpflichtet, alles zu tun, dass diese sicher seien.
«Sicher heisst: Den Zugriff von aussen richtig schützen, aber es muss natürlich auch im Innern dieser Unternehmung so geschützt sein, dass nur die Berechtigten zugreifen können.»
Doch damit nicht genug. Darunter sind auch Aufnahmen von sehr persönlichen Beratungsgesprächen der spirituellen Lebensberatung von Shiva Spirit TV. Brisant: Bei diesen Gesprächen wird nicht angekündigt, dass das Gespräch aufgezeichnet wird. Das sei sogar strafbar, sagt Professorin für Datenschutzrecht Ursula Sury. NTH schreibt, es liege in der Verantwortung «der Dienstanbieter wie Shiva Spirit TV, Gesprächsteilnehmende über die Möglichkeit der Gesprächsaufnahme zu informieren». Shiva Spirit TV sagt, sie hätten gar keine Kenntnisse von solchen Aufnahmen.
Sicherheitslücke «seit mehreren Monaten»
Man nehme den Datenschutz und jede Gefährdung ihrer Daten sehr ernst, schreibt NTH dem «Kassensturz», sie hätten eine Fehleinstellung im System gehabt: «Dies ist ein Fehler, der so nicht hätte passieren dürfen. Wir haben den Fehler auch sofort, nachdem er uns zur Kenntnis gelangt ist, behoben und die gefundene Sicherheitslücke geschlossen.» Nachprüfungen hätten ergeben, dass die Aufnahmen «niemandem ausser den recherchierenden SRF-Journalisten und Ihrem ‹IT-Experten› zur Kenntnis gelangt» seien, schreibt NTH. Man habe eine Taskforce eingesetzt, damit «sich solche Vorfälle nicht wiederholen». Fakt ist: Die Sicherheitslücke habe seit mindestens mehreren Monaten bestanden, sagt der IT-Experte. Eine solch gravierende Schwachstelle dürfe nicht passieren, insbesondere nicht bei einer IT-Firma.
Und weiter: «Die Firma hat hochsensible Daten und speichert diese auf einem Server ab, bei welchem NTH keine Sekunde investiert hat, um zu prüfen, ob dieser überhaupt sicher ist.» Ein solcher Check sei eigentlich Routine und ein solches Leck leicht erkennbar.
