Nicht zum ersten Mal in diesem Jahr sorgt die Swisscom im Umgang mit Kundendaten für Negativschlagzeilen. Im Juli wurde bekannt gegeben, dass man versehentlich persönliche Daten einiger hundert Kunden im Speicherdienst «MyCloud» unwiederbringlich gelöscht habe. Nun teilt das Unternehmen mit, dass 39 Mailadressen gefunden wurden, die falschen Mailkonten zugeordnet waren.
Bei Aboabschlüssen oder -änderungen sowie bei neuen Vertragsabschlüssen mit der Swisscom werden Kunden in der Regel dazu aufgefordert, eine E-Mailadresse zu hinterlegen. Um Werbemails in privaten Mailkonten zu vermeiden, verwendeten Kunden und auch vereinzelt deren Kundenberater Adressen, die vermeintlich nicht existierten. 39 dieser inexistenten «Wegwerf-Adressen» waren aber bereits von Nutzern registriert worden. So landeten 4000 E-Mails, die von der Swisscom an 600 Swisscom-Kunden gesendet wurden, bei falschen Empfängern.
Auch sehr sensible Daten betroffen
Die Swisscom entschuldigte sich bei den Betroffenen, die Gemüter dürften damit nicht beruhigt sein. Eine Kundin, die plötzlich die Rechnung einer ihr unbekannten Person im Posteingang vorfand, zeigte sich gegenüber SRF empört: «Ich bin schockiert, dass so etwas in der Schweiz bei einem Unternehmen wie der Swisscom passieren kann».
Swisscom gibt an, dass primär Marketingmaterialien, Bestellbestätigungen und Rechnungsinformationen – ohne Verbindungsdaten – an falsche Adressaten gelangten.
Datenschützer war informiert
Im März konfrontierte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Swisscom mit einer Bürgermeldung zur Datenpanne. Die Kunden und die Öffentlichkeit klärte man aber erst im August auf. Zu diesem langen Schweigen meint der Leiter des Direktionsbereichs Datenschutz Daniel Dzamko: «Es liegt in der Verantwortung der Swisscom ihre Kunden so rasch wie möglich zu informieren. Natürlich braucht auch die Swisscom eine gewisse Zeit, um den Sachverhalt zu klären und mögliche Massnahmen zu prüfen bevor sie kommunizieren kann.»
Handlungsempfehlungen wurden vom EDÖB keine abgegeben, denn die Sofortmassnahmen der Swisscom sind ausreichend. «Sollten wir später Informationen erhalten, dass es immer noch derartige Fälle gibt, würden wir die Situation neu überprüfen», erklärt Dzamko die weitere Vorgehensweise.
Die Swisscom reagiert auf das Mailchaos
Die Swisscom identifizierte schon im März alle falsch zugewiesenen Mailadressen. Seither stellte sie diesen Konten keine E-Mails mehr zu. In zwei Fällen bot die Swisscom den Besitzern solcher Mailkonten an, diese zurückzukaufen. «Das Wichtigste ist, dass man die Kundendaten schützt. Man hat aber keine Vereinbarung gefunden», sagt Swisscom-Mediensprecherin Annina Merk.
Das Kundensystem soll nun ausgebaut und damit sicherer werden. Neukunden müssen ihre E-Mail-Adresse bereits verifizieren, wie das heutzutage Standard ist. Doch das System unterscheidet beim Versand von Mails nicht zwischen verifizierten und nicht-verifizierten Mails. «Wir haben Massnahmen eingeleitet. Es werden jetzt alle E-Mail-Adressen verifiziert, damit keine falschen Informationen mehr rausgehen,» erklärt Merk.
