Datenleck bei SAP: ver.di fordert lückenlose Aufklärung
Die Vereinte Dienstleistungsgewerkschaft (ver.di) fordert vom Software-Konzern SAP eine lückenlose Aufklärung über das Datenleck im Unternehmen, das die ver.di-Betriebsgruppe aufgedeckt hat. „Der Arbeitgeber muss den Datenleck-Vorfall lückenlos aufklären. Viele Beschäftigten fragen sich besorgt, ob ihre eigentlich zu schützenden Daten verwertet wurden“, sagte Christine Muhr, ver.di-SAP-Unternehmensbetreuerin. „Personenbezogener Datenschutz muss mit der höchsten Priorität abgesichert sein, ebenso das verbriefte Recht auf freie Meinungsäußerung in Unternehmen. Wo das nicht gewährleistet ist, werden Beschäftigte zu gläsernen Beschäftigten. Das wäre ein Verstoß gegen demokratische Grundsätze.“
Hintergrund ist ein Datenleck beim intern entwickelten und nur der SAP-Belegschaft zugänglichen Online-Dienst namens „SAP Interactive Broadcast“, der für Mitarbeiterversammlungen und Betriebsversammlungen des Betriebsrates genutzt wird. Neben der Audio/Video-Funktion bietet dieser Dienst auch die Möglichkeit, Fragen zu stellen und für beziehungsweise gegen diese Fragen zu stimmen (up/downvotes). Die Oberfläche des Dienstes weist explizit darauf hin, dass Fragen standardmäßig anonym erfolgen. Wie die ver.di-Betriebsgruppe „upgrade“ allerdings festgestellt hat, waren in der Vergangenheit alle Fragen sowie das Abstimmungsverhalten zu den Fragen eindeutig den jeweiligen Personen zuordenbar. Diese Informationen wurden zudem automatisch auf alle an den Versammlungen teilnehmende Rechner aufgespielt und waren damit faktisch der gesamten Belegschaft zugänglich. „Die Rückverfolgbarkeit war trivial herzustellen. Der geübte Programmierer konnte den Ansatz auf den ersten Blick sehen“, stellte Andreas Hahn, ver.di-Betriebsratsmitglied, fest.
Der Konzern hat die Rückverfolgbarkeit nach der sofortigen internen Meldung der ver.di-Betriebsgruppe an die interne Cyber-Security zwar zeitnah gestoppt und den Vorfall jüngst auch intern an die Belegschaft kommuniziert – viele Fragen sind aber noch offen. Andreas Hahn von der ver.di-Betriebsgruppe „upgrade“ sagte: „Wir fordern vom Arbeitgeber volle Transparenz gegenüber der Belegschaft und den Mitbestimmungsgremien darüber, wie lange diese Rückverfolgbarkeit bereits möglich war und welche internen Veranstaltungen davon betroffen waren.“ Zudem müssten alle möglicherweise noch existierenden Daten nachvollziehbar gelöscht und die technischen Details über die Funktionsweise des Dienstes mit den Mitbestimmungsgremien geteilt werden.