Die Auslagerung von Teilbereichen eines Unternehmens, der Einsatz von Leiharbeitskräften oder auch die Zusammenarbeit mit externen Beratern auf Dienst- und Werkvertragsbasis zählen mittlerweile zu den etablierten Instrumenten im Geschäftsleben, um flexibel zusätzliche Personalkapazität zukaufen zu können, ohne selbst verbindliche Verpflichtungen eingehen zu müssen.
So flexible die Beschäftigten in den Randbelegschaften des Unternehmens zirkulieren und fluktuieren, so flexibel können allerdings auch sensible interne Daten durch die Unternehmensgrenze hindurchdiffundieren.
Diese Erfahrung musste kürzlich auch die Sparkasse Köln/Bonn machen. Sie hatte sensible Vertriebsdaten an einen externen Berater weitergegeben, mit dem sie schon länger zusammenarbeitete. An sich nichts Ungewöhnliches –sowas geschieht täglich in Deutschland. Wenn man gemeinsam unternehmensübergreifend an Projekten arbeitet, geht das oft nicht anders. Daher werden für solche Fälle Vertraulichkeitsvereinbarungen, Datenschutzregeln etc. Gegenstand der Verträge aller Beteiligten und es wird sich auf gemeinsame Möglichkeiten zum sicheren Austausch von Informationen geeinigt. Und nach Abschluss der Projekte bzw. Beendigung der Zusammenarbeit werden alle projektbezogenen Informationen, Dokumente und Berechtigungen an den Auftraggeber zurückgegeben oder – ebenfalls zu vereinbaren – sicher vernichtet.
Genau da wurde aber anscheinend seitens der Sparkasse etwas geschludert. Und als es zwischen der Bank und einem ihrer externen Berater zu Streitigkeiten bzgl. finanzieller Fragen kam, behielt der wohl 25 Festplatten mit vertraulichen Mitarbeiter- und Kundendaten ein. Und erklärte dem Fernsehsender WDR gegenüber, die Daten ohne Abgabe einer sonst üblichen Vertraulichkeitserklärung und ohne Anonymisierung erhalten zu haben. Die Staatsanwaltschaft Köln schaltete sich daraufhin ein, um die Vorwürfe zu prüfen. Und auch die Landesdatenschutzbeauftragte von Nordrhein-Westfalen eröffnete ein datenschutzrechtliches Ermittlungsverfahren.
Und als die Bank eine den Vorfall relativierende Pressemitteilung herausgab, wurde diese vom Spiegel-Autor Felix Knoke prompt „aufgespießt“:
Ein klares Dementi sieht anders aus. Fasst man die Pressemitteilung in drei Sätzen zusammen, steht da: Es wurden Daten weitergebeben. Es sollten nur anonymisierte Daten weitergegeben werden. Wir wissen noch nicht zu 100 Prozent, was in welcher Form weitergegeben wurde.
Inzwischen wird dem Berater die Sache wohl zu heikel. Er habe im Laufe seiner Tätigkeit Vertriebsdaten von der Sparkasse erhalten, darunter aber nur vereinzelt Kundendaten, die er auf Papier bekommen und inzwischen vernichtet habe, erklärte er der dpa.
Er war demnach mehrere Jahre als freier Mitarbeiter bei der Sparkasse tätig und hat dort unter anderem Schulungsvideos und Lehrbücher erstellt. In dem Zusammenhang hat der Berater nach eigenen Angaben „alle möglichen Daten“ auf Papier oder als E-Mail von verschiedenen Sparkassen-Mitarbeitern bekommen. Doch während die Sparkasse die Ansicht vertritt, dem Mann bereits 2005 schriftlich zur Verschwiegenheit verpflichtet zu haben, kann oder will dieser sich nicht daran erinnern: „Ich habe in meinen Unterlagen keinen Vertrag gefunden“ Es habe seiner Ansicht nach nur mündliche Absprachen gegeben.
Daher versucht die Sparkasse ihre Daten auf dem Rechtsweg von ihrem früheren Mitarbeiter zurückzuerlangen.
Zusammenfassend lässt sich feststellen, dass die unternehmensübergreifende Zusammenarbeit mit Externen immer ein zusätzliches Risiko darstellt und daher besonderer vertraglicher, organisatorischer und technischer Maßnahmen bedarf, um diese Risiken beherrschbar zu machen.
Dazu gehören die bereits erwähnten Vertraulichkeitsvereinbarungen ebenso wie der nachvollziehbare Umgang mit Informationen und Datenträgern sowie Vorgehensweise in Konfliktfällen.
Dabei sollte stets bedacht werden: Ein Unternehmen das externe Kräfte flexibel einsetzen will, demonstriert (auch) dass es auf dauerhafte Bindungen nicht allzu viel Wert legt. Ein solches Unternehmen sollte daher auch keine nennenswerte Loyalität dieser Mitarbeiter erwarten. Sondern vertraglich vereinbaren und dokumentieren, was für die korrekte Erledigung des jeweiligen Jobs oder Projektes nötig ist. Und sich über die „Restrisiken“ bei deren Eintritt nicht beschweren.
Und Kunden werden sich zunehmend fragen, wie weit sie einer Firma vertrauen können, wenn sie kaum etwas über deren Führung, Strategie und internen Abläufe hinsichtlich Personal und Organisation wissen.
Spiegel.de: Ärger mit Ex-Mitarbeiter. Honorarstreit könnte Sparkassen-Datenproblem ausgelöst haben
