Zum Hauptinhalt springen

Urteil des BundesverwaltungsgerichtsSwisscom muss Dokumente herausgeben

Das Westschweizer Fernsehen erhält Einsicht in interne Papiere zum Datenleck von 2017 – allerdings unter Auflagen.

Die Swisscom informierte im Februar 2018 über das bislang grösste Datenleck der Firmengeschichte.
Die Swisscom informierte im Februar 2018 über das bislang grösste Datenleck der Firmengeschichte.
Foto: Gaëtan Bally

Das Bundesverwaltungsgericht in St. Gallen hat in einem am Freitagmittag veröffentlichten Urteil die Medien gestärkt. Demnach muss Swisscom interne Dokumente herausgeben. Dabei geht es um einen Fall von vor drei Jahren: Anfang 2018 informierte die Swisscom die Öffentlichkeit, dass Unbekannte im Herbst 2017 rund 800’000 Kundendaten gestohlen hatten. 

Der oder die Täter hatten dafür die Zugriffsrechte eines Vertriebspartners des Schweizer Marktführers entwendet. Gestohlen worden waren Namen, Adressen, Telefonnummern und Geburtsdaten von Swisscom-Kunden.

Vor Bekanntgabe des Datenlecks in einer Medienmitteilung vom 7. Februar 2018 hatte der staatsnahe Betrieb den Eidgenössischen Datenschutzbeauftragten laufend über den Vorfall informiert. Der Beauftragte verzichtete deshalb darauf, weitere formelle Schritte gegen den blauen Riesen einzuleiten.

Am Tag danach gelangte das Westschweizer Radio und Fernsehen RTS an den Datenschutzbeauftragten und verlangte mit Hinweis auf das Öffentlichkeitsgesetz Einblick ins entsprechende Dossier. Der Beauftragte wollte dieser Bitte nachkommen, jedoch unter Auflagen. So sollten heikle Stellen unkenntlich gemacht werden.

Swisscom gelangt ans Bundesverwaltungsgericht

Gegen diesen Entscheid legte die Swisscom beim Bundesverwaltungsgericht Rekurs ein. Das Unternehmen wollte so verhindern, dass die Journalisten das gesamte Dossier einsehen können. Es verwies auf Geschäftsgeheimnisse und sicherheitsrelevante Informationen.

Nun haben die Richter entschieden. Der Rekurs werde nur teilweise zugelassen, heisst es im nur auf Französisch veröffentlichten Urteil. RTS erhält somit Einblick ins Dossier des Datenschutzbeauftragten zum Datenklau bei der Swisscom.

Geschäftsgeheimnisse machte das Gericht im Dossier keine aus. Gewisse «seltene Informationen» könnten höchstens einen Widerspruch zwischen Fakten und Marketingbotschaften von Swisscom aufzeigen, was im schlimmsten Fall das Image des Telecomanbieters trübe. «Ein solcher Verstoss bleibt jedoch hypothetisch und wäre in jedem Fall nur eine unangenehme Folge», so die Richter.

Passagen müssen geschwärzt werden

Allerdings hat das Gericht verfügt, dass sicherheitsrelevante Stellen geschwärzt werden müssen. Dabei geht es vor allem um Passagen, in denen die Swisscom dargelegt hat, wie sie die Sicherheitslücken geschlossen hat. Damit sollen keine «nützlichen Informationen» öffentlich werden, «die geeignet sind, um die Sicherheitsmassnahmen zu umgehen», wie das Gericht weiter schreibt.

Das Urteil ist noch nicht rechtskräftig. Es kann an das Bundesgericht in Lausanne weitergezogen werden.

Auf Anfrage teilt die Swisscom mit, das Unternehmen habe dazu noch keinen Entscheid gefällt. Die Einsprachefrist von 30 Tagen laufe noch.