Der NDR hat 27.000 Datensätze des Finanzdienstleisters AWD zugespielt bekommen. Darin enthalten sind neben Personendaten Angaben zu insgesamt 60.000 Verträgen mit AWD: Abschlussdatum, Laufzeit und die vom Kunden zu zahlenden Beträge.
Die Daten sind bereits einige Jahre alt, viele der Verträge laufen allerdings noch. Man könnte sie also für eine gezielte Ansprache von Kunden nutzen: „Dann könnte man gezielt dort anrufen und sagen: Sie kriegen da jetzt Geld ausgezahlt, was wollen Sie damit machen, wollen Sie es neu anlegen“, zitiert der NDR den Informanten.
AWD hat bisher nur bestätigt, dass es sich um Daten seiner Kunden handelt, und Anzeige gegen unbekannt gestellt. Der NDR hat aber aus dem Umfeld des Finanzdienstleisters erfahren, dass ein einzelner Berater keinen Zugriff aus derart viele Kundenangaben haben könne. Das sei nur hochrangigen Mitarbeitern möglich.
„Die Daten sind mir von einem AWD-Landesdirektor gegeben worden. Der Zweck war einfach, Kundenakquise daraus zu betreiben. Diese Daten wurden als Basis genommen um Kunden zu werben – auch für Versicherungen, Kapitalanlagen und so weiter“, erklärte der Informant gegenüber dem NDR. Tatsächlich stammen die Daten zum größten Teil aus NRW, es sind allerdings auch Adressen in norddeutschen Bundesländern darunter.
Der niedersächsische Landesdatenschutzbeauftragte Joachim Wahlbrink meint, wenn die Daten tatsächlich nicht aus dem Unternehmen und nicht etwa aus einem Callcenter kämen, habe der Fall eine besondere Bedeutung. Da der Informant allerdings von AWD beauftragt wurde, mit den Daten Akquise zu betreiben, befindet er sich in einer ähnlichen Position wie ein Callcenter, das ja häufig die gleiche Aufgabe hat.
Nach dem NDR-Bericht sieht es so aus, als seien die Daten von dem Informanten nicht an Dritte weitergegeben worden, sieht man einmal vom NDR ab. Das ist auffällig, weil der NDR darauf hinweist, dass sich die Daten, sind sie einmal im Umlauf, „völlig unkontrolliert“ verbreiten. Es gibt immer wieder Horrormeldungen zu Daten-GAUs, diese Aussage sieht aber nach Panikmache aus.
Sehr geehrte Damen und Herren,
der NDR berichtet heute über eine angebliche Datenpanne bei AWD. Es steht zu vermuten, dass ein ausgeschiedener Mitarbeiter der Presse eine größere Anzahl älterer Mandanten- und Antragsdaten zugespielt hat.
Hierzu möchten wir Sie wie folgt informieren:
Unmittelbar nach dem wir durch den NDR Kenntnis über den Vorgang bekommen haben, sind wir tätig geworden:
sofortige Anzeige gegen Unbekannt bei der Staatsanwaltschaft;
unmittelbare Information des Datenschutzbeauftragten für das Bundesland Niedersachsen;
Einsetzung einer Task-Force mit Datenschutzbeauftragtem (AWD).
Zum Sachverhalt selbst können wir Ihnen zum jetzigen Stand folgendes mitteilen.
Bei den uns vom NDR vorgelegten Daten gibt es in Hinblick auf Authentizität von Stammdaten und Kundenummern Zweifel.
es handelt sich zudem ganz offenkundig um überwiegend veraltete Daten; dabei existiert ein Großteil der aufgelisteten Büros und Kunden-Vertragsverhältnisse nicht mehr;
es sind keine sensiblen Daten im Sinne des Datenschutzes in den vorgelegten Daten, insbesondere keine Konto- oder Bankverbindungen der Kunden, dies hat uns das Landesamt für Datenschutz bestätigt.
Wir werden die Staatsanwaltschaft vollumfänglich bei ihren Ermittlungen gegen Unbekannt unterstützen, da wir ein hohes Interesse an der raschen Aufklärung haben. Gleichzeitig haben wir den NDR mit Nachdruck aufgefordert, die ihm vorliegenden Datensätze der Staatsanwaltschaft oder dem Landesdatenschutzbeauftragten für Ermittlungszwecke zur Verfügung zu stellen.
Wir werden Sie weiter informieren.
Mit freundlichen Grüßen
Dr. Rolf Wisswesser Götz Wenker
Ach, ein einzelner Berater im eigenen Haus darf zur Sicherheit keinen Zugriff auf so viele Datensätze haben. Wenn man dann aber einem externen Callcenter diesen Zugriff verschafft, ist das schon OK und Alarm schlagen ist hier nur Panikmache.
Für mich sieht das nach Umgehen der eigenen Sicherheitsmaßnahmen aus. Motto: Datenschutz kostet Geld und behindert uns nur bei der Arbeit.
Hochrangig? So wie der Datenbankadmin?
DATen-GAU hier, da und dORT…
mein Gott…
Es gab Mitte der 80er einen Lehrerkonferenz-Beschluß an meiner Schule, SchülerInnen-Daten im Schulsekretariat nicht mittels Computer zu speichern, welche Voraussicht !
Kürzlich hat jemand von meinem Bankkonto mittels meiner Visa-Card-Pin für 800 EUR Einkäufe in einem Elektronik-Markt in USA getätigt. Meine Bank hat mir das sofort erstattet. In einem Gespräch mit dem Sachbearbeiter kam heraus, das dies überhaupt keine Einzelfall wäre, das die Banken Stillschweigen waren und zahlen, egal was…
Ich denke, es braucht eine offene Diskussion zum Thema Macht über und Mißbrauch von Personendaten. Hinterfragt gehört der Stand solcher Technik und ihre sichere Brauchbarkeit in einer Zivilgesellschaft.