Tarifnews

    Höchste Priorität: personenbezogener Datenschutz

    Datenleck bei SAP: ver.di fordert lückenlose Aufklärung

    Berlin, 11.04.2022 – ver.di fordert vom Software-Konzern SAP eine lückenlose Aufklärung über das Datenleck im Unternehmen, das die ver.di-Betriebsgruppe aufgedeckt hat. „Viele Beschäftigten fragen sich besorgt, ob ihre eigentlich zu schützenden Daten verwertet wurden“, sagte Christine Muhr, ver.di-SAP-Unternehmensbetreuerin. „Personenbezogener Datenschutz muss mit der höchsten Priorität abgesichert sein, ebenso das verbriefte Recht auf freie Meinungsäußerung in Unternehmen. Wo das nicht gewährleistet sei, werden Beschäftigte zu gläsernen Beschäftigten.“ Das wäre ein Verstoß gegen demokratische Grundsätze.

    „Wir fordern vom Arbeitgeber volle Transparenz gegenüber der Belegschaft und den Mitbestimmungsgremien darüber, wie lange diese Rückverfolgbarkeit bereits möglich war und welche internen Veranstaltungen davon betroffen waren.“

    Andreas Hahn, Betriebsratsmitglied der ver.di-Betriebsgruppe „upgrade“

    Hintergrund ist ein Datenleck beim intern entwickelten und nur der SAP-Belegschaft zugänglichen Online-Dienst namens „SAP Interactive Broadcast“, der für Mitarbeiterversammlungen und Betriebsversammlungen des Betriebsrates genutzt wird. Neben der Audio/Video-Funktion bietet dieser Dienst auch die Möglichkeit, Fragen zu stellen und für – beziehungsweise gegen diese Fragen zu stimmen (up/downvotes). Die Oberfläche des Dienstes weist explizit darauf hin, dass Fragen standardmäßig anonym erfolgen. Wie die ver.di-Betriebsgruppe „upgrade“ allerdings festgestellt hat, waren in der Vergangenheit alle Fragen sowie das Abstimmungsverhalten zu den Fragen eindeutig den jeweiligen Personen zuordenbar. Diese Informationen wurden zudem automatisch auf alle an den Versammlungen teilnehmende Rechner aufgespielt und waren damit faktisch der gesamten Belegschaft zugänglich. „Die Rückverfolgbarkeit war trivial herzustellen. Der geübte Programmierer konnte den Ansatz auf den ersten Blick sehen“, stellte Andreas Hahn, Betriebsratsmitglied der ver.di-Betriebsgruppe „upgrade“, fest.

    Der Konzern hat die Rückverfolgbarkeit nach der sofortigen internen Meldung der ver.di-Betriebsgruppe an die interne Cyber-Security zwar zeitnah gestoppt und den Vorfall jüngst auch intern an die Belegschaft kommuniziert – viele Fragen sind aber noch offen. Andreas Hahn sagte: „Wir fordern vom Arbeitgeber volle Transparenz gegenüber der Belegschaft und den Mitbestimmungsgremien darüber, wie lange diese Rückverfolgbarkeit bereits möglich war und welche internen Veranstaltungen davon betroffen waren.“ Zudem müssten alle möglicherweise noch existierenden Daten nachvollziehbar gelöscht und die technischen Details über die Funktionsweise des Dienstes mit den Mitbestimmungsgremien geteilt werden.

    Wer an seinem Arbeitsplatz privat surft, muss mit der Kündigung rechnen Foto: Oliver Berg/dpa Bildfunk Personenbezogene Daten dürfen vom Arbeitgeber nicht ohne Zustimmung verwendet werden