Ver.di fordert Aufklärung

Hat SAP seine Mitarbeiter ausspioniert?

12.04.2022
Von 
Martin Bayer ist Chefredakteur von COMPUTERWOCHE, CIO und CSO. Spezialgebiet Business-Software: Business Intelligence, Big Data, CRM, ECM und ERP.
Die Dienstleistungsgewerkschaft Ver.di hat ein internes Datenleck bei SAP öffentlich gemacht. Sensible Informationen aus der Belegschaft sollen allgemein zugänglich gewesen sein.
Wer hatte bei SAP Zugriff auf sensible Daten aus Mitarbeiter- und Betriebsversammlungen, fragen sich Gewerkschaftsvertreter.
Wer hatte bei SAP Zugriff auf sensible Daten aus Mitarbeiter- und Betriebsversammlungen, fragen sich Gewerkschaftsvertreter.
Foto: Fresnel - www.shutterstock.com

Mit dem Sieg bei den SAP-Betriebsratswahlen im Rücken, gehen die Gewerkschaften auf Konfrontationskurs mit dem Softwarekonzern. Die Ver.di-Betriebsgruppe hat eigenen Angaben zufolge ein Datenleck in den betriebsinternen Systemen bei SAP entdeckt und fordert nun lückenlose Aufklärung.

Betroffen ist den Angaben zufolge der intern entwickelte und nur der SAP-Belegschaft zugängliche Online-Dienst "SAP Interactive Broadcast", der für Mitarbeiter- und Betriebsversammlungen des Betriebsrats genutzt wird. Neben Audio- und Videoinformationen biete der Dienst auch die Möglichkeit, Fragen zu stellen und darüber abzustimmen. Diese Funktionen sollten standardmäßig anonym erfolgen.

Laut der Ver.di-Gruppe "upgrade" im SAP-Betriebsrat waren in der Vergangenheit jedoch alle Fragen sowie das Abstimmungsverhalten dazu eindeutig einzelnen Personen zuzuordnen. Diese Informationen seien zudem automatisch auf alle an den Versammlungen teilnehmende Rechner aufgespielt worden und damit faktisch der gesamten Belegschaft zugänglich gewesen. "Die Rückverfolgbarkeit war trivial herzustellen. Der geübte Programmierer konnte den Ansatz auf den ersten Blick sehen", stellt Ver.di-Betriebsratsmitglied Andreas Hahn fest.

Der Konzern habe die Rückverfolgbarkeit nach der sofortigen internen Meldung der Ver.di-Betriebsgruppe an die interne Cyber-Security zwar zeitnah gestoppt und den Vorfall jüngst auch intern an die Belegschaft kommuniziert, berichten Gewerkschaftsvertreter. Jedoch blieben viele Fragen nach wie vor offen.

Gläserne Beschäftigte verstoßen gegen demokratische Grundsätze

"Der Arbeitgeber muss den Datenleck-Vorfall lückenlos aufklären", fordert Christine Muhr, SAP-Unternehmensbetreuerin von Ver.di. "Personenbezogener Datenschutz muss mit der höchsten Priorität abgesichert sein, ebenso das verbriefte Recht auf freie Meinungsäußerung in Unternehmen. Wo das nicht gewährleistet ist, werden Beschäftigte zu gläsernen Beschäftigten. Das wäre ein Verstoß gegen demokratische Grundsätze."

Gewerkschafter Hahn fordert von SAP "volle Transparenz gegenüber der Belegschaft und den Mitbestimmungsgremien darüber, wie lange diese Rückverfolgbarkeit bereits möglich war und welche internen Veranstaltungen davon betroffen waren." Zudem müssten alle möglicherweise noch existierenden Daten nachvollziehbar gelöscht und die technischen Details über die Funktionsweise des Dienstes mit den Mitbestimmungsgremien geteilt werden.

SAP nennt Datenschutz sehr hohes Gut

SAP räumt ein, dass es ein Problem mit dem Datenschutz gegeben habe. "In diesem Fall konnte durch die Aufmerksamkeit eines Kollegen eine theoretisch mögliche Umgehung unserer Sicherheitsmaßnahmen aufgedeckt und sogleich behoben werden", heißt es in einer Stellungnahme des Softwarekonzerns. "Datenschutz ist für SAP ein sehr hohes Gut und wir respektieren die Privatsphäre jedes Einzelnen." Interne Tools würden regelmäßig geprüft und auf dem aktuellen Stand gehalten. Dabei beschäftigten sich die Kolleginnen und Kollegen auch mit den jeweiligen technischen Sicherheitsanforderungen.