Erneut Datenpanne bei Finanzdienstleister AWD
Archivmeldung vom 08.02.2010
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 08.02.2010 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittDas Datenleck beim Finanzdienstleister AWD ist offenbar deutlich größer als bislang angenommen. Nachdem NDR Info bereits im vergangenen Herbst 27.000 sensible Kundendaten aus dem Unternehmens-Bestand vorgelegen haben, hat der Radiosender jetzt noch einmal Kenntnis von weiteren 12.000 Personendatensätzen erhalten.
Darin aufgelistet sind sowohl persönliche Details über Kundenverträge als auch Angaben über ehemalige und noch aktive AWD-Mitarbeiter. Die neuen Daten beinhalten zudem bei mehreren Hundert Kunden die Kontoverbindungen.
Der Leiter des Instituts für Rechtsinformatik an der Universität Hannover, Nikolaus Forgó, sagte, dass die gebotene Sorgfalt bei AWD offenbar außer Acht gelassen wurde. Dies umso mehr, da unterschiedliche Datenpakete in so kurzer Zeit aufgetaucht seien. Der niedersächsische Datenschutzbeauftragte wird die neuen Erkenntnisse in das bereits laufende Ermittlungsverfahren gegen AWD einfließen lassen. Der Finanzdienstleister bestreitet die Echtheit der Daten nicht. AWD teilte NDR Info mit, dass es nach derzeitigen Erkenntnissen aber keinen Datenschutzverstoß gegeben habe. IT Experten hätten hohe Sicherheitsstandards bei AWD festgestellt.
Die Kundendatensätze enthalten - wie schon bei der ersten Datenpanne im vergangenen Oktober - persönliche Angaben, Telefonnummern, Berufsbezeichnung und Einzelheiten zu den mit AWD abgeschlossenen Versicherungsverträgen. Diese haben größtenteils noch eine lange Laufzeit. Auch das Volumen der Verträge ist aufgelistet, zum Beispiel wie hoch eine Lebensversicherung ist. Bei mehreren hundert Kunden sind darüber hinaus auch die Bankverbindungen angegeben. Telefonische Stichproben von NDR Info bei Kunden haben ergeben, dass es sich um echte Daten handelt. Die Daten der AWD Mitarbeiter enthalten neben den persönlichen Angaben auch Details der Versicherungs-Verträge. Darüber hinaus gibt es Informationen zum Arbeitsverhältnis, zum Beispiel, ob ein Mitarbeiter ein Seminar bestanden hat oder nicht, oder ob eine fristlose Kündigung erfolgt ist.
AWD hat dem NDR mitgeteilt, dass es keinen unberechtigten Datenzugriff beim Finanzdienstleister gegeben habe. Vielmehr seien die Daten veraltet und wurden offenbar mit krimineller Energie weitergegeben. Dies liege außerhalb des Einflussbereichs von AWD. Der IT-Experte und Rechtsinformatiker Datenschutzexperte Forgó sagte, dass sich Unternehmen sehr wohl gegen kriminelle Energien schützen könnten. "Das ist das schlimmste für ein Unternehmen, wenn man ein Glaubwürdigkeitsproblem durch Sicherheitsmängel hat", sagte Forgó zu NDR Info. Daher müsse ein Unternehmen alles für einen systematischen Schutz tun.
Michael Knaps, Sprecher des Niedersächsischen Datenschutzbeauftragten, zeigte sich überrascht: "Das ist etwas, was jeden Datenschützer alarmieren muss." Die Behörde ermittelt seit Herbst vergangenen Jahres gegen den Finanzdienstleister.
NDR soll Datensätze der Staatsanwaltschaft übermitteln
Zu den Vorwürfen folgendes fest: Nach derzeitigen Erkenntnissen hat es keinen Datenschutzverstoß bei AWD gegeben. Dies wurde auch im Rahmen einer aktuellen Analyse von IT-Experten einer renommierten Wirtschaftsprüfungsgesellschaft zu den hohen technischen und organisatorischen Sicherheitsstandards bei AWD deutlich.
Vor diesem Hintergrund sowie nach Überprüfung der äußerst wenigen vom NDR übermittelten Datensätze können wir einen unberechtigten Zugriff auf aktuelle Daten aus einem AWD-IT-System ausschließen. Vielmehr lassen die Datensätze darauf schließen, dass es sich hierbei um alte Daten handelt, die aus sog. Buchauszügen nach § 87c HGB stammen. Solche Buchauszüge müssen von AWD im Zusammenhang mit den Provisionsabrechnungen für Handelsvertreter erstellt und auf deren Verlangen ausgehändigt werden. Seitens des Handelsvertreters besteht hierzu ein gesetzlicher Anspruch gegenüber AWD. Die Weitergabe von Daten an die Handelsvertreter erfolgt demgemäß auf gesetzlicher Grundlage und ist datenschutzrechtlich zulässig und somit unbedenklich. Falls es aufgrund krimineller Energie Einzelner zu einer unberechtigten Datenweitergabe (in diesem Fall an NDR-Info) kommt, so liegt dies außerhalb des Einflussbereiches von AWD und ist Sache der Strafverfolgungsbehörden.
Ein weiteres Mal sind die von NDR präsentierten Daten veraltet, teilweise sogar mehr als 10 Jahre alt. Dies legt den Schluss nahe, dass die Informationen aus demselben Datenpool stammen, den NDR bereits im Oktober 2009 medial genutzt hatte. Diese Datenquelle war mit krimineller oder geschäftsschädigender Absicht in Umlauf gebracht worden.
Ganz offensichtlich will der NDR die aktuelle Diskussion um die Schweizer Bankdaten dazu nutzen, weiterhin Aufmerksamkeit auf seine Geschichte zu lenken. Dies zeigt, dass es dem NDR einzig um die Inszenierung seiner Arbeit und nicht um die Aufklärung des Falls geht.
Anstatt sich von Kriminellen instrumentalisieren zu lassen, fordert AWD den NDR erneut auf, die Datensätze an die Staatsanwaltschaft Hannover für das laufende Ermittlungsverfahren zur Verfügung zu stellen, um die Straftat aufzuklären. Gleichzeitig hoffen wir, dass der NDR diesen Appell nicht erneut verunglimpft als angebliche Aufforderung die Daten an AWD auszuhändigen.
Quelle: NDR Norddeutscher Rundfunk / AWD