Aufgrund einer versehentlichen Datenpanne sind Mitte Februar sensible Mitarbeiterdaten des Bankhauses Metzler unverschlüsselt an einen Dienstleister weitergegeben worden. Das hat das Institut bestätigt.
„Der Mitarbeitende des Dienstleisters, der die Daten empfangen hat, sollte diese auch erhalten, allerdings verschlüsselt und anonymisiert“, teilte Mariella Plessen, Pressesprecherin beim Bankhaus, auf Anfrage unserer Redaktion mit. „Mit dem Dienstleister besteht eine Vertraulichkeitsvereinbarung.“
Der Beschäftigte hat die Daten laut Plessen nach Erhalt vorschriftsgemäß umgehend gelöscht und den Vorfall gemeldet. Die übermittelten Informationen seien aus dem vergangenen Jahr und nicht erneut weitergeleitet oder veröffentlicht worden. „Bei dem unverschlüsselten und nicht anonymisierten Versand handelte es sich um ein menschliches Versehen“, heißt es offiziell.
Das Bankhaus agierte in dieser Situation auch gegenüber der Belegschaft allem Anschein nach transparent und informierte diese umgehend über den Vorfall. Diese Aufgabe übernahm Isabella Kriegsmann, Head of Human Resources beim Bankhaus Metzler, am vergangenen Freitag. Sie leitet die Einheit, die den Datenschutzvorfall verschuldete.
Nach Angaben von Finanz-Szene, die zuerst über den Vorfall berichteten, sind keine Kontodaten der Mitarbeitenden betroffen, jedoch zahlreiche andere Informationen, die die Bank über die Betroffenen verwaltet.
Demnach handelte es sich unter anderem um Geburtsdaten, die organisatorische Zuordnung, Wochenarbeitszeit und auch Details zu Gehaltsbestandteilen – etwa die Grundvergütung inklusive 14. Gehalt bei Tarifbeschäftigten, Boni, Zulagen, Dienstwagengewährung oder die Gesamtvergütung.
Bisher bleibt ungeklärt, wie viele der insgesamt rund 800 Beschäftigten von dem Datenleck betroffen sind. Finanz-Szene berichtet davon, man habe erfahren, „dass es einen größeren Kreis von Betroffenen gibt”.
Dass Personalabteilungen gar nicht so selten mit derlei Ereignissen zu tun haben, zeigt auch ein Vorfall beim Softwaredienstleister Datev. Dort waren im Januar unabsichtlich Probeabrechnungen nach einem Softwareupdate an fremde Mandanten versendet worden, wie seinerzeit unter anderem Heise online berichtete. Die Dokumente hätten „Namen, Anschriften, Sozialversicherungsnummern und natürlich die Verdienstdaten von Beschäftigten enthalten”.
Was muss HR im Fall der Fälle tun?
Doch wie haben sich Unternehmen und deren Personalabteilungen im Falle einer Datenpanne am besten zu verhalten? Arbeits- und Datenschutzrechtler Tobias Neufeld von der Kanzlei Arqis (Eigenschreibweise: ARQIS) empfiehlt in einem Beitrag der Personalwirtschaft sechs Maßnahmen, die Unternehmen im Falle eines Datenschutzverstoßes beachten sollten:
- Den Datenschutzverstoß soweit möglich beenden.
- Parallel sind umgehend Korrekturmaßnahmen einzuleiten und langfristig technische sowie organisatorische Vorkehrungen zu treffen, um ähnliche Vorfälle künftig zu vermeiden.
- Die Beschäftigten regelmäßig sensibilisieren und schulen.
- Verstöße so schnell wie möglich intern bei den zuständigen Stellen melden und detailliert dokumentieren.
- Je nach Schwere des Verstoßes kann es zusätzlich erforderlich sein, die betroffene Person und die Datenschutzbehörde zu informieren.
- Das Schadensrisiko für Betroffene abwägen, dabei sind der Umfang und die Art der betroffenen Daten relevant.
Rein rechtlich liegt ein Datenschutzverstoß dann vor, wenn Daten vernichtet, verloren oder verändert werden – egal ob unbeabsichtigt oder unrechtmäßig. Das gleiche gelte für die unbefugte Offenlegung von personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, heißt es beim Landesbeauftragten für den Datenschutz Niedersachsen.
Tritt ein solcher Fall ein, müsse „die verantwortliche Stelle gemäß Art. 33 der DS-GVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung eine Meldung an die Aufsichtsbehörden abgeben”. Wird erst später gemeldet, muss demnach zusammen mit der Meldung eine Begründung eingereicht werden.
Eine Meldepflicht bestehe nur dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht bzw. nur zu einem geringen Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Das hat Metzler getan
Beim Bankhaus Metzler hat man sich eigenen Angaben zufolge dazu entschieden, den Vorfall „umgehend an die zuständige Datenschutzaufsichtsbehörde in Hessen“ zu melden.
Da es sich um einen individuellen Fehler gehandelt habe, werde dieser „sehr genau analysiert“, was etwas Zeit benötige. Die Personalabteilung des Unternehmens führe dazu eine „forensische und prozessuale Analyse“ durch. Zudem, so Plessen, wolle man „weitere Schutzmaßnahmen“ implementieren und die an der Gehaltsabrechnung beteiligten Mitarbeitenden mit Schulungen nachdrücklich sensibilisieren.
Tonia Schöler ist Volontärin bei der Personalwirtschaft.
