{"id":3067,"date":"2009-07-02T22:30:44","date_gmt":"2009-07-02T20:30:44","guid":{"rendered":"http:\/\/www.glorf.it\/blog\/?p=3067"},"modified":"2009-07-02T23:09:22","modified_gmt":"2009-07-02T21:09:22","slug":"kundendaten-aus-koeln-in-falschen-haenden","status":"publish","type":"post","link":"http:\/\/www.glorf.it\/blog\/2009\/07\/02\/datenpanne\/kundendaten-aus-koeln-in-falschen-haenden","title":{"rendered":"Kundendaten aus K&#246;ln in falschen H&#228;nden?"},"content":{"rendered":"<p>Wenn ich bei Heise.de den Bericht &#252;ber die &quot;<a href=\"http:\/\/www.heise.de\/newsticker\/Mutmassliche-Datenpanne-bei-Sparkasse-Koeln-Bonn--\/meldung\/141465\">mutma&#223;liche Datenpanne bei der Sparkasse K&#246;ln\/Bonn<\/a>&quot; lese, dann frage ich mich, ob das nicht auch jeden unbesorgten EDV-Berater treffen k&#246;nnte?<\/p>\n<p>Offenbar sollte der Berater das Sparkassenvertreibssystem &quot;optimieren&quot;. Zuerst dachte ich damit sei gemeint, dass die Performance verbessert werden sollte. Klar, das geht ja nur mit Daten. Aber die Firma <a href=\"http:\/\/www.redsalescurry.com\/index.php?article_id=21\">bietet das gar nicht an<\/a>, daher d&#252;rfte es sich um die Optimierung des Vertriebsablaufes gehandelt haben.<br \/>\nAber wie auch immer: eigentlich h&#228;tte die Sparkasse die Daten anonymisieren m&#252;ssen. Die <a href=\"https:\/\/www.sparkasse-koelnbonn.de\/20090701pmstockmann.pdfx\">Sparkasse behauptet<\/a> jedenfalls das getan zu haben:<\/p>\n<blockquote><p>Zur Erf&#252;llung seines Auftrags hat Herr Stockmann zusammengefasste, anonymisierte Unternehmensdaten erhalten. Dies war f&#252;r Vertriebsreportings und Einzelcoachings notwendig.<\/p><\/blockquote>\n<p>Der hinzugezogene <a href=\"http:\/\/www.wdr.de\/mediathek\/html\/regional\/2009\/07\/02\/morgenecho-sparkasse.xml\">WDR-Reporter<\/a> behauptet aber echte Daten gesehen zu haben, sowohl von Kunden als auch &#252;ber Mitarbeiter. Da es jetzt einen riesen Wirbel gibt und der Datenschutzbeauftragte die Einleitung eines Verfahrens pr&#252;ft, k&#246;nnte da wohl etwas dran sein. In der Presseerkl&#228;rung hat die Sparkasse jedenfalls keine Skrupel den Namen des Beraters zu nennen. Das macht auf mich keinen guten Eindruck. Au&#223;erdem ist nun die Rede von &quot;illegal in seinem Besitz befindlichen Daten&quot;. Wenn die anonymisiert w&#228;ren, wo w&#228;re dann das Problem?<\/p>\n<p>Aber mal im Ernst: nehmen wir mal einen Augenblick an, dass ich den Auftrag bekommen h&#228;tte. Und dann w&#252;rden mir Daten im Klartext ausgeh&#228;ndigt ohne dass ich eine Verschwiegenheitserkl&#228;rung habe unterzeichnen m&#252;ssen. Handelt es sich dann um &quot;illegal in seinem Besitz befindlichen Daten&quot;? Ich nehme an, dass es tats&#228;chlich illegal war ihm die Daten zu geben. Aber es jetzt so darzustellen als ob der Berater an der illegalen Handlung schuld sei, finde ich schon stark.<\/p>\n<p>Ich wei&#223; zuversichtlich, dass aber tats&#228;chlich die Pflicht besteht, die Daten nach Ende des Auftrages zu l&#246;schen. Die daf&#252;r entstehenden Kosten von der Sparkasse zu fordern k&#246;nnte von denen als frech (oder schlimmer) empfunden worden sein. Und so nahm alles seinen Lauf. Anstelle sich zusammenzusetzen und eine L&#246;sung zu suchen, scheint der Streit nun eskaliert zu sein und alle verlieren. Die Kunden und Mitarbeiter hatten ohnehin schon verloren. Nun verlieren auch Sparkasse und der Berater und zwar unabh&#228;ngig von der Schuldfrage&#8230;<\/p>\n<p>So sehe ich das:<\/p>\n<ul>\n<li>Personenbezogene Daten d&#252;rfen niemals ohne entsprechende Vertr&#228;ge zur Verschiwgenheit und Sorgfaltspflicht das Haus verlassen.<\/li>\n<li>Und auch dann h&#228;tten sie anonymisiert werden m&#252;ssen. Wenn sich das best&#228;tigen sollte, dann ist das einfach eine unglaubliche Sauerei. Leider d&#252;rfte das keine Konsequenzen f&#252;r die Manager der Firma haben, denn eine eventuelle Strafe bezahlte ja die Sparkasse.<\/li>\n<li>Die Festplatten geh&#246;ren dennoch immer noch der Sparkasse. Daher muss er der Berater sie meiner Ansicht nach zur&#252;ck geben, auch ohne daf&#252;r eine Aufwandsentsch&#228;digung zu bekommen. Das sollte eigentlich auch klar sein, wenn man kein EDV-Experte ist.<\/li>\n<li>Seine eigenen Daten auch noch mit den Kundendaten zu vermischen ist schon seltsam. Klar muss er weitere Daten eingeben, um alle eventuelle Testf&#228;lle abzudecken, aber dann sind es dennoch nicht &quot;seine&quot; Daten. Aber darum geht es hier vermutlich ohnehin nicht.<\/li>\n<li>Wahrscheinlich handelt es sich eher um eigene Auswertungen, Skripte und Tools. Und wenn er die auf die Kunden-Platten tut, dann ist er selber schuld.<\/li>\n<li>F&#252;r die R&#252;ckgabe kann er meiner Ansicht nach nur dann eine Aufwandsentsch&#228;digung verlangen, wenn das vertraglich vereinbart wurde, andernfalls sind sie wohl mit der Verg&#252;tung abgegolten. Auf einer Entsch&#228;digung zu beharren w&#228;re nicht besonders weise. Au&#223;erdem muss er einer Aufforderung der L&#246;schung vermutlich sogar umgehend nachkommen. Darauf bezieht sich dann auch wohl die Formulierung &quot;illegal&quot;. Dass es bereits illegal gewesen sein k&#246;nnte ihm die Daten auszuh&#228;ndigen, wird in der Presseerkl&#228;rung verschwiegen.<\/li>\n<li>Der Ruf der Sparkasse ist wohl nun blamiert, ganz sch&#246;n peinlich. Aber die Firma wird es &#252;berleben.<\/li>\n<li>Aber der Berater wird wohl so bald keinen Auftrag mehr bekommen, da sowohl sein Name als auch der Name seiner Firma von der Sparkasse genannt wurde und des illegalen Datenbesitzes beschuldigt wurde. Welche Firma kann es sich erlauben, dass bekannt wird, dass eine potentiell &quot;verd&#228;chtige&quot; Firma mit sensiblen Auftr&#228;gen betraut wurde? Oder ist es genau umgekehrt: Durch die gro&#223;e Publicity &#246;ffnen sich neue T&#252;ren?<\/li>\n<li>Auf der <a href=\"http:\/\/www.redsalescurry.com\/\">Webseite der Berater-Firma<\/a> fand ich keine weiteren Informationen zu dem Vorfall. Dort steht unter der &#220;berschrift &quot;Diese Firmen haben bereits gute Erfahrungen mit uns gemacht &#8230;&quot; immer noch die &quot;Sparkasse K&#246;lnBonn&quot; als Referenzkunde. Man muss wohl nicht lange warten bis deren Eintrag verschwindet. \ud83d\ude09<\/li>\n<\/ul>\n<p>Irgendwie macht mich der ganze Vorfall traurig: Sollten sich die Vorw&#252;rfe best&#228;tigen, dann wird vielleicht offiziell zur&#252;ck gerudert. Aber jetzt wird erst mal dementiert, anstelle sich sofort bei den betroffenen Kunden und Mitarbeitern zu entschuldigen. Da der Berater die (angeblich?) sensiblen Daten offenbar nicht seinerseits weitergegeben hat, h&#228;lt sich der Schaden m&#246;glicherweise in Grenzen, aber wer wei&#223; schon welche Trojaner wann wo aktiv waren&#8230;<br \/>\nAu&#223;erdem d&#252;rfte der Berater ruiniert sein und in den kommenden Wochen vorlauter Presserummel und Anwaltsterminen wohl kaum zum arbeiten kommen. \ud83d\ude41<\/p>\n<div class=\"small\">Siehe auch <a href=\"http:\/\/www.report-k.de\/content\/view\/20092\/\">report-k.de<\/a>.<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Wenn ich bei Heise.de den Bericht &#252;ber die &quot;mutma&#223;liche Datenpanne bei der Sparkasse K&#246;ln\/Bonn&quot; lese, dann frage ich mich, ob das nicht auch jeden unbesorgten EDV-Berater treffen k&#246;nnte? Offenbar sollte der Berater das Sparkassenvertreibssystem &quot;optimieren&quot;. Zuerst dachte ich damit sei gemeint, dass die Performance verbessert werden sollte. Klar, das geht ja nur mit Daten. Aber [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[38],"tags":[934],"_links":{"self":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/3067"}],"collection":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/comments?post=3067"}],"version-history":[{"count":8,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/3067\/revisions"}],"predecessor-version":[{"id":3075,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/posts\/3067\/revisions\/3075"}],"wp:attachment":[{"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/media?parent=3067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/categories?post=3067"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.glorf.it\/blog\/wp-json\/wp\/v2\/tags?post=3067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}