Mutmaßliche Datenpanne bei Sparkasse Köln/Bonn
Das Geldinstitut soll laut einem Bericht des WDR einem Unternehmensberater sensible Daten ohne Anonymisierung und ohne Unterzeichnung einer Vertraulichkeitserklärung überlassen haben.
Die Sparkasse Köln/Bonn wird laut einem Bericht des WDR-Studios Köln beschuldigt, nicht sachgerecht mit ihren Daten umgegangen zu sein. Bei einem Reutlinger Unternehmensberater lagerten interne Vertriebsdaten der Sparkasse auf 25 Festplatten, darunter hochsensible Mitarbeiter- und Kundendaten sowie Vorstands- und Verwaltungsratsprotokolle. Der Unternehmensberater sei bis Anfang 2009 von dem Geldinstitut damit beauftragt gewesen, das Vertriebssystem zu optimieren. Nach seiner Aussage seien ihm alle Daten sofort und ohne Anonymisierung bereitgestellt worden. Er habe nicht wie sonst üblich eine Vertraulichkeitserklärung unterzeichnen müssen, es gebe auch keinen schriftlichen Auftrag.
Anhand der Daten sei beispielsweise erkennbar, welche Verträge Kunden abgeschlossen haben. Die Festplatten erhielten auch Verkaufsdaten von Filialen, die für die Konkurrenz interessant sein könnten, sowie Mitarbeiterbewertungen. Die nordrhein-westfälische Datenschutzbeauftragte Bettina Sokol prüfe die Einleitung eines Verfahrens gegen die Sparkasse und habe das Geldinstitut zu einer Stellungnahme aufgefordert. Die Sparkasse hat bereits Kooperation zugesagt.
Die Sparkasse Köln/Bonn hat nach eigenen Angaben zivil- und strafrechtliche Schritte gegen den Unternehmensberater eingeleitet. Das Geldinstitut betont in einer Mitteilung (PDF-Datei), für jeden Auftrag an den Unternehmensberater habe es einen rechtsgültigen Vertrag gegeben. Er habe zusammengefasste, anonymisierte Unternehmensdaten erhalten. Die Weitergabe von einzelnen Kundendaten sei nicht durch die Sparkasse autorisiert gewesen. Die Verpflichtung zur Verschwiegenheit habe sich für den Unternehmensberater aus den gesetzlichen Regelungen und den Vertragsbedingungen der Sparkasse ergeben.
Der Unternehmensberater sei mehrfach von der Sparkasse vergeblich aufgefordert worden, sämtliche Unterlagen und Daten zurückzugeben oder zu vernichten, teilt das Geldinstitut weiter mit. Dafür sei ihm technische Vor-Ort-Betreuung durch einen Informatiker angeboten worden. In dem WDR-Bericht heißt es, die Daten der Sparkasse seien mit Daten des Unternehmensberaters "vermischt", es sei aufwendig, diese zu trennen. (anw)
