Mit dem Sieg bei den SAP-Betriebsratswahlen im Rücken, gehen die Gewerkschaften auf Konfrontationskurs mit dem Softwarekonzern. Die Ver.di-Betriebsgruppe hat eigenen Angaben zufolge ein Datenleck in den betriebsinternen Systemen bei SAP entdeckt und fordert nun lückenlose Aufklärung.
Betroffen ist den Angaben zufolge der intern entwickelte und nur der SAP-Belegschaft zugängliche Online-Dienst "SAP Interactive Broadcast", der für Mitarbeiter- und Betriebsversammlungen des Betriebsrats genutzt wird. Neben Audio- und Videoinformationen biete der Dienst auch die Möglichkeit, Fragen zu stellen und darüber abzustimmen. Diese Funktionen sollten standardmäßig anonym erfolgen.
Laut der Ver.di-Gruppe "upgrade" im SAP-Betriebsrat waren in der Vergangenheit jedoch alle Fragen sowie das Abstimmungsverhalten dazu eindeutig einzelnen Personen zuzuordnen. Diese Informationen seien zudem automatisch auf alle an den Versammlungen teilnehmende Rechner aufgespielt worden und damit faktisch der gesamten Belegschaft zugänglich gewesen. "Die Rückverfolgbarkeit war trivial herzustellen. Der geübte Programmierer konnte den Ansatz auf den ersten Blick sehen", stellt Ver.di-Betriebsratsmitglied Andreas Hahn fest.
Der Konzern habe die Rückverfolgbarkeit nach der sofortigen internen Meldung der Ver.di-Betriebsgruppe an die interne Cyber-Security zwar zeitnah gestoppt und den Vorfall jüngst auch intern an die Belegschaft kommuniziert, berichten Gewerkschaftsvertreter. Jedoch blieben viele Fragen nach wie vor offen.
Gläserne Beschäftigte verstoßen gegen demokratische Grundsätze
"Der Arbeitgeber muss den Datenleck-Vorfall lückenlos aufklären", fordert Christine Muhr, SAP-Unternehmensbetreuerin von Ver.di. "Personenbezogener Datenschutz muss mit der höchsten Priorität abgesichert sein, ebenso das verbriefte Recht auf freie Meinungsäußerung in Unternehmen. Wo das nicht gewährleistet ist, werden Beschäftigte zu gläsernen Beschäftigten. Das wäre ein Verstoß gegen demokratische Grundsätze."
Gewerkschafter Hahn fordert von SAP "volle Transparenz gegenüber der Belegschaft und den Mitbestimmungsgremien darüber, wie lange diese Rückverfolgbarkeit bereits möglich war und welche internen Veranstaltungen davon betroffen waren." Zudem müssten alle möglicherweise noch existierenden Daten nachvollziehbar gelöscht und die technischen Details über die Funktionsweise des Dienstes mit den Mitbestimmungsgremien geteilt werden.
SAP nennt Datenschutz sehr hohes Gut
SAP räumt ein, dass es ein Problem mit dem Datenschutz gegeben habe. "In diesem Fall konnte durch die Aufmerksamkeit eines Kollegen eine theoretisch mögliche Umgehung unserer Sicherheitsmaßnahmen aufgedeckt und sogleich behoben werden", heißt es in einer Stellungnahme des Softwarekonzerns. "Datenschutz ist für SAP ein sehr hohes Gut und wir respektieren die Privatsphäre jedes Einzelnen." Interne Tools würden regelmäßig geprüft und auf dem aktuellen Stand gehalten. Dabei beschäftigten sich die Kolleginnen und Kollegen auch mit den jeweiligen technischen Sicherheitsanforderungen.