Wenn ich bei Heise.de den Bericht über die "mutmaßliche Datenpanne bei der Sparkasse Köln/Bonn" lese, dann frage ich mich, ob das nicht auch jeden unbesorgten EDV-Berater treffen könnte?
Offenbar sollte der Berater das Sparkassenvertreibssystem "optimieren". Zuerst dachte ich damit sei gemeint, dass die Performance verbessert werden sollte. Klar, das geht ja nur mit Daten. Aber die Firma bietet das gar nicht an, daher dürfte es sich um die Optimierung des Vertriebsablaufes gehandelt haben.
Aber wie auch immer: eigentlich hätte die Sparkasse die Daten anonymisieren müssen. Die Sparkasse behauptet jedenfalls das getan zu haben:
Zur Erfüllung seines Auftrags hat Herr Stockmann zusammengefasste, anonymisierte Unternehmensdaten erhalten. Dies war für Vertriebsreportings und Einzelcoachings notwendig.
Der hinzugezogene WDR-Reporter behauptet aber echte Daten gesehen zu haben, sowohl von Kunden als auch über Mitarbeiter. Da es jetzt einen riesen Wirbel gibt und der Datenschutzbeauftragte die Einleitung eines Verfahrens prüft, könnte da wohl etwas dran sein. In der Presseerklärung hat die Sparkasse jedenfalls keine Skrupel den Namen des Beraters zu nennen. Das macht auf mich keinen guten Eindruck. Außerdem ist nun die Rede von "illegal in seinem Besitz befindlichen Daten". Wenn die anonymisiert wären, wo wäre dann das Problem?
Aber mal im Ernst: nehmen wir mal einen Augenblick an, dass ich den Auftrag bekommen hätte. Und dann würden mir Daten im Klartext ausgehändigt ohne dass ich eine Verschwiegenheitserklärung habe unterzeichnen müssen. Handelt es sich dann um "illegal in seinem Besitz befindlichen Daten"? Ich nehme an, dass es tatsächlich illegal war ihm die Daten zu geben. Aber es jetzt so darzustellen als ob der Berater an der illegalen Handlung schuld sei, finde ich schon stark.
Ich weiß zuversichtlich, dass aber tatsächlich die Pflicht besteht, die Daten nach Ende des Auftrages zu löschen. Die dafür entstehenden Kosten von der Sparkasse zu fordern könnte von denen als frech (oder schlimmer) empfunden worden sein. Und so nahm alles seinen Lauf. Anstelle sich zusammenzusetzen und eine Lösung zu suchen, scheint der Streit nun eskaliert zu sein und alle verlieren. Die Kunden und Mitarbeiter hatten ohnehin schon verloren. Nun verlieren auch Sparkasse und der Berater und zwar unabhängig von der Schuldfrage…
So sehe ich das:
- Personenbezogene Daten dürfen niemals ohne entsprechende Verträge zur Verschiwgenheit und Sorgfaltspflicht das Haus verlassen.
- Und auch dann hätten sie anonymisiert werden müssen. Wenn sich das bestätigen sollte, dann ist das einfach eine unglaubliche Sauerei. Leider dürfte das keine Konsequenzen für die Manager der Firma haben, denn eine eventuelle Strafe bezahlte ja die Sparkasse.
- Die Festplatten gehören dennoch immer noch der Sparkasse. Daher muss er der Berater sie meiner Ansicht nach zurück geben, auch ohne dafür eine Aufwandsentschädigung zu bekommen. Das sollte eigentlich auch klar sein, wenn man kein EDV-Experte ist.
- Seine eigenen Daten auch noch mit den Kundendaten zu vermischen ist schon seltsam. Klar muss er weitere Daten eingeben, um alle eventuelle Testfälle abzudecken, aber dann sind es dennoch nicht "seine" Daten. Aber darum geht es hier vermutlich ohnehin nicht.
- Wahrscheinlich handelt es sich eher um eigene Auswertungen, Skripte und Tools. Und wenn er die auf die Kunden-Platten tut, dann ist er selber schuld.
- Für die Rückgabe kann er meiner Ansicht nach nur dann eine Aufwandsentschädigung verlangen, wenn das vertraglich vereinbart wurde, andernfalls sind sie wohl mit der Vergütung abgegolten. Auf einer Entschädigung zu beharren wäre nicht besonders weise. Außerdem muss er einer Aufforderung der Löschung vermutlich sogar umgehend nachkommen. Darauf bezieht sich dann auch wohl die Formulierung "illegal". Dass es bereits illegal gewesen sein könnte ihm die Daten auszuhändigen, wird in der Presseerklärung verschwiegen.
- Der Ruf der Sparkasse ist wohl nun blamiert, ganz schön peinlich. Aber die Firma wird es überleben.
- Aber der Berater wird wohl so bald keinen Auftrag mehr bekommen, da sowohl sein Name als auch der Name seiner Firma von der Sparkasse genannt wurde und des illegalen Datenbesitzes beschuldigt wurde. Welche Firma kann es sich erlauben, dass bekannt wird, dass eine potentiell "verdächtige" Firma mit sensiblen Aufträgen betraut wurde? Oder ist es genau umgekehrt: Durch die große Publicity öffnen sich neue Türen?
- Auf der Webseite der Berater-Firma fand ich keine weiteren Informationen zu dem Vorfall. Dort steht unter der Überschrift "Diese Firmen haben bereits gute Erfahrungen mit uns gemacht …" immer noch die "Sparkasse KölnBonn" als Referenzkunde. Man muss wohl nicht lange warten bis deren Eintrag verschwindet. 😉
Irgendwie macht mich der ganze Vorfall traurig: Sollten sich die Vorwürfe bestätigen, dann wird vielleicht offiziell zurück gerudert. Aber jetzt wird erst mal dementiert, anstelle sich sofort bei den betroffenen Kunden und Mitarbeitern zu entschuldigen. Da der Berater die (angeblich?) sensiblen Daten offenbar nicht seinerseits weitergegeben hat, hält sich der Schaden möglicherweise in Grenzen, aber wer weiß schon welche Trojaner wann wo aktiv waren…
Außerdem dürfte der Berater ruiniert sein und in den kommenden Wochen vorlauter Presserummel und Anwaltsterminen wohl kaum zum arbeiten kommen. 🙁