EDÖB schliesst Vorabklärung zu Mitto AG ab

Bern, 20.03.2023 - Im Dezember 2021 wurde der EDÖB durch internationale Medienberichterstattungen auf eine angeblich unrechtmässige Datenbearbeitung durch einen Mitarbeiter der in Zug ansässigen Mitto AG aufmerksam. Die Vorabklärungen haben ergeben, dass keine Hinweise auf eine Verletzung der Datenschutzbestimmungen vorliegen. Somit schliesst der EDÖB die Vorabklärung ohne Erlass von Empfehlungen ab.

Aufgrund von Medienberichten wurde der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte im Dezember 2021 durch eine Publikation des Bureau of Investigative Journalism und Bloomberg News auf eine angeblich unrechtmässige Datenbearbeitung durch einen Mitarbeiter der in Zug domizilierten Mitto AG aufmerksam. In der erwähnten Publikation wurde der Vorwurf erhoben, dass der besagte Mitarbeiter den von den Mobilfunk-Betreibern zum SMS-Versand gewährten Zugang auf ihre Netze zur Gewinnung von Informationen zu anderen Zwecken missbraucht habe. Gemäss dem Bericht soll er insbesondere den «Signalling System (SS7)»-Zugang genutzt haben, um gegen Entgelt die unerlaubte Überwachung von Personen zu ermöglichen.

Der EDÖB hat daraufhin von der Mitto AG in mehreren Schritten weitgehende Angaben zu den technischen und organisatorischen Schutzmassnahmen in der Firma verlangt. Die Mitto AG hat allen Aufforderungen des EDÖB Folge geleistet und eigene externe Untersuchungen veranlasst, deren Ergebnisse dem EDÖB zur Verfügung gestellt wurden.

So hat die Mitto AG Nachweise zu den organisatorischen Rahmenbedingungen des Systembetriebs erbracht und dargelegt, mit welchen Massnahmen unerlaubte Änderungen an der Software verhindert bzw. aufgedeckt werden können. Die Auswertung von Protokollierungsdaten hat gemäss den Angaben der Mitto AG keine Hinweise ergeben, die eine missbräuchliche Verwendung der Systeme in der vorgeworfenen Weise nahelegen würden.

Nach Angaben der Mitto AG – bestätigt durch die Ausführungen der ebenfalls zur Stellungnahme eingeladenen Mobilfunkanbieter in der Schweiz – sei es den Mitarbeitenden der Mitto AG nicht möglich, ohne eine Veränderung der Systeme bzw. der Software, Zugriff auf Lokalisierungsangaben von SMS-Empfängerinnen und -Empfängern zu erlangen.

Der EDÖB hat im Rahmen seiner ihm zur Verfügung stehenden Mittel die notwendigen und möglichen Prüfungen veranlasst und sieht keine Hinweise, die den Verdacht bestätigen würden, dass es zu einer Verletzung von Datenschutzbestimmungen gekommen ist.

Unter diesen Gesichtspunkten schliesst der EDÖB die Vorabklärung in Sachen Mitto AG ab und verzichtet auf allfällige Empfehlungen.

Adresse für Rückfragen

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Tel. +41 58 464 94 10, info@edoeb.admin.ch