WiWo App 1 Monat für nur 0,99 €
Anzeigen

Vodafone Callcenter schlampt beim Datenschutz

Vodafone hat ein Callcenter nach Istanbul verlagert. Mitarbeiter einer Bertelsmann-Tochter beantworten im Auftrag des Mobilfunkriesen Kundenfragen. Ex-Mitarbeiter und ein Besuch vor Ort offenbaren Missstände beim Datenschutz.

  • Artikel teilen per:
  • Artikel teilen per:
Vodafone: Ein Callcenter von Arvato in der Türkei nimmt den Schutz sensibler Daten offenbar nicht so ernst. Quelle: imago, Montage

An normalen Tagen sieht es im Istanbuler Stadtteil Levent aus wie in Frankfurt oder London. Hier haben Banken und Konzerne ihren Sitz, Frauen tragen ihr Haar offen, Restaurants und Cafés sind voll. Vor einem vierstöckigen Bürogebäude machen Angestellte Pause, die meisten sind nicht älter als 30. Als sie fertig geraucht haben, passieren sie zwei Mitarbeiter an der Rezeption im zweiten Stock und verschwinden hinter einer Milchglasscheibe, durch die hektische Stimmen dringen.

Das steht im Kleingedruckten bei Amazon, Facebook und Co.
Amazon Quelle: REUTERS
Apple Quelle: REUTERS
Deezer Quelle: dpa
Ebay Quelle: REUTERS
Facebook Quelle: dpa
Google Quelle: dpa
Microsoft Quelle: dpa

Hier hat ein Callcenter der Bertelsmann-Tochter Arvato seinen Sitz, rund 60 Mitarbeiter beantworten im Auftrag von Vodafone Fragen von Kunden zur Rechnung oder zum Vertrag beim Mobilfunkriesen. Dabei nehmen sie den Schutz sensibler Daten offenbar nicht so ernst, wie es die strengen europäischen Datenschutzgesetze vorschreiben.

Türkei ist ein Datenschutz-Risikoland

Im Mai informierte der ehemalige Angestellte Bilal Aksar, 34, die Vodafone-Geschäftsführung um Hannes Ametsreiter erstmals über die Missstände. Mehrere ehemalige Arvato-Mitarbeiter bestätigen die Versäumnisse gegenüber der WirtschaftsWoche unabhängig voneinander.

In Sachen Datenschutz ist die Türkei ein Risikoland. Callcenter sind zwar eine Boombranche, gerade Istanbul gilt jedoch als Hochburg einer „Callcenter-Connection“. Betrügerische Banden haben sich darauf spezialisiert, mit fingierten Gewinnspielen vor allem ältere Menschen um ihr Erspartes zu prellen. Dafür benötigen sie deren Daten. Das Bundeskriminalamt ermittelt schon länger, die Schäden gehen in die Millionen.

Die zehn umsatzstärksten Telekomkonzerne der Welt

Anbieter wie die Deutsche Telekom und die spanische Telefónica betreiben auch wegen dieser Risiken keine Callcenter in der Türkei. Die EU-Kommission hat das Land nicht in die Liste vertrauenswürdiger Staaten aufgenommen, in denen persönliche Daten sicher sind. Vodafone musste den Dienstleister Arvato deshalb vertraglich verpflichten, europäische Standards einzuhalten.

Doch die Praxis sieht offenkundig anders aus: Bei jedem Anruf poppen in Istanbul alle Kundendaten inklusive Bankverbindungen und persönlicher Zugangscodes wie der Pin-Nummer auf dem Bildschirm auf. Das ist auch anderswo üblich, doch dort ist der Schutz ausgeprägter. So können Angestellte in Istanbul das Callcenter in Gruppen betreten. Dadurch ließen sich Unbekannte leicht einschleusen, berichten Exmitarbeiter.

Prominente im Visier

Außerdem sei es üblich, private Notizblöcke und Smartphones am Arbeitsplatz zu benutzen. „Die persönlichen Daten von Vodafone-Kunden abzuschreiben oder abzufotografieren ist überhaupt kein Problem“, sagt Exmitarbeiter Aksar. Auch die Daten von Prominenten seien leicht einsehbar. „Aus Spaß“ habe er das Telefonverhalten von Otto Waalkes nachvollzogen, sagt ein anderer Ex-Mitarbeiter. „Natürlich“ verstoße das gegen das Fernmeldegeheimnis, Teamleiter schritten aber kaum ein.

Wer beim Datenschutz gute Noten bekommt
Ist Datenschutz schon in Deutschland eine heikle Sache, sieht es in den USA noch viel kritischer aus: Die dortigen Ermittlungsbehörden wie die NSA haben durch den Patriot Act, der nach den Anschlägen des 11. September 2001 erlassen und kürzlich leicht abgemildert wurde, viel umfassendere Rechte und Befugnisse zur Abfrage von Daten von Privatpersonen. Und diese nutzen sie auch, während die Gesetze und Regulierungen im Bereich Datenmanagement und Datenschutz mit den technologischen Entwicklungen nicht mithalten können. Die Nichtregierungsorganisation Electronic Frontier Foundation (EFF) will mit ihrem regelmäßigen Datenschutz-Report „Who has your back“ auf dieses Problem aufmerksam machen. EFF untersucht 24 große IT- und Telekomunternehmen daraufhin, wie sie mit dem Thema Datenschutz umgehen. Quelle: dpa
Der Report bewertet einerseits, ob sich Firmen gegen teils willkürliche staatliche Überwachung wehren. Zudem wird die Transparenz bewertet, die Firmen darüber herstellen, ob und wie staatlichen Ermittlungsbehörden bei ihnen Zugriff auf Nutzerdaten fordern. Die EFF hat über vier Jahre die Praktiken großer Internet- und IT-Konzerne beobachtet und analysiert, ob die Firmen ihren Fokus eher auf den Schutz der Nutzerdaten oder eher auf die Kooperation mit staatlichen Ermittlern legen. Dabei konnten sie in den vergangenen vier Jahren eine Entwicklung feststellen. Quelle: AP
Während das Thema Datenschutz vor vier Jahren bei kaum einem Unternehmen auf der Agenda stand, hat nun – einige Snowden-, Wikileaks-Enthüllungen und Spähaffären später – laut EFF ein Umdenken eingesetzt: Viele Firmen veröffentlichen Reports über ihren Umgang mit Nutzerdaten und über Regierungsanfragen nach Nutzerdaten. Quelle: dpa
Die EFF hat die Entwicklungen damit aufgefangen, dass sie die Firmen nun unter anderem in der Kategorie des industrieweiten Standards vorbildlicher Praktiken bewerten. Ihre Kriterien im Überblick: 1. Unter dem erwähnten industrieweiten Standard verstehen die Aktivisten etwa, dass die Firma den Staat bei einer Datenanfrage nach einer offiziellen Vollmacht für den spezifischen Fall fragt. Außerdem wird erwartet, dass das Unternehmen einen Transparenzreport über staatliche Anfragen veröffentlicht und dass die Firma deutlich macht, wie sie mit den Regierungsanfragen formell verfährt. 2. In einer weiteren Kategorie wird geprüft, ob Internetfirmen die jeweiligen Nutzer einzeln informieren, wenn sie beziehungsweise ihre Daten von Regierungsanfragen betroffen waren. Als Best Practice Beispiel gelten die Firmen, die ihre Nutzer schon vor der Weitergabe über solche staatlichen Anfragen informieren, sodass diese sich juristisch zur Wehr setzen können. Quelle: dpa
3. Die Aktivisten checkten auch, ob Firmen bekannt machen, wie lange sie Nutzerdaten speichern. Es wurde dabei nicht bewertet, wie lange die Unternehmen IP-Logins, Übersichten über individuellen Datentransfer und auch eigentlich bereits gelöschte Daten speichern und für Ermittlungen verfügbar halten – es geht nur um die Transparenz. 4. Regierungen und staatliche Ermittlungsstellen fragen nicht nur Nutzerdaten an, teils verlangen sie von Internet- und Telekomkonzernen auch, unliebsame Nutzer zu blockieren oder Nutzeraccounts zu schließen. Für diese Praxis war zuletzt insbesondere Facebook kritisiert worden, das einige Insassen von Gefängnissen an der Eröffnung eines Accounts hinderte. Auch Informationen darüber honorierten die Aktivisten mit einer positiven Bewertung, wobei ihnen besonders Twitter in dieser Kategorie mit einem umfangreichen Report über Lösch-Gesuche positiv auffiel. 5. Unternehmen bekamen auch eine positive Bewertung, wenn sie sich im öffentlichen Diskurs gegen staatlich geduldete oder gar intendierte Hintertüren in Software und Netzwerken stellen. 21 von 24 untersuchten Firmen nehmen mittlerweile eine solche kritische Position gegenüber dem Überwachungsstaat ein. Quelle: dpa
Adobe hat laut den Aktivisten in den vergangenen Jahren alle Best Practice Standards übernommen, die in der Branche etabliert sind. Adobe verlangt von Ermittlungsbehörden eine explizite Erlaubnis, Daten von Nutzern anzufordern und bekennt sich zudem öffentlich dazu, keine Hintertüren in die eigene Software einzubauen. „Alle Regierungsanfragen für Nutzerdaten müssen bei uns durch den Vordereingang kommen“, schreibt Adobe in seinem Transparenzreport. Die EFF wertet eine solche starke Position gegen die früher gängige Praxis als bemerkenswert – unabhängig von der Wahrhaftigkeit. Quelle: AP
Triumph für Tim Cook. Apple erfüllt alle Kriterien der Aktivisten für möglichst große Transparenz im Bereich Datensicherheit. Der IT-Konzern lässt allerdings einige Hintertürchen offen, neben den Verpflichtungen zur Verschwiegenheit, die ihm etwa durch Gerichte in Einzelfällen auferlegt werden können. Apple behält sich vor, Nutzer nicht über eine Datenabfrage zu informieren, wenn dies nach Einschätzung des Unternehmens gefährlich für das Leben oder die Unversehrtheit von Personen werden könnte. Dies lässt Raum zur Deutung. Quelle: REUTERS

Wer sich auf eine Stellenanzeige bewirbt, muss ein türkisches Führungszeugnis vorlegen. Vorstrafen aus Deutschland listet das nicht auf. „Arvato stellt Mitarbeiter ein, die in Deutschland vorbestraft oder sogar zu einer Gefängnisstrafe verurteilt worden sind, sich aber in die Türkei abgesetzt haben“, sagt Ex-Mitarbeiter Aksar.

Vodafone weist die Vorwürfe zurück. Nach Warnhinweisen hätten eigene Sicherheitsexperten mit einem externen Auditor den Standort überprüft. „Dabei wurden keine Verstöße gegen geltende Datenschutz-Bestimmungen oder systematische Mängel festgestellt“, heißt es offiziell. „Die Sicherheit unserer Kunden und der Schutz ihrer persönlichen Daten haben bei Vodafone oberste Priorität.“

Ein nur kurzfristig angekündigter Vor-Ort-Besuch in Istanbul zeigt jedoch, dass die Sorgen berechtigt sind. So gibt es für die 60 Mitarbeiter zu wenige Schließfächer, Angestellte legten ihre Smartphones demonstrativ auf einen bewachten Tisch hinter der Milchglasscheibe. Außerdem liefen die Einlasskontrollen so ab, wie von den Ex-Mitarbeitern beschrieben. Das Einschleusen Externer in der Gruppe wäre durchaus möglich.

Bei den Zutrittskontrollen will Arvato noch in diesem Jahr nachbessern. Mitarbeiter sollen das Callcenter dann nicht mehr in Gruppen, sondern nur noch einzeln nach elektronischer Ausweiskontrolle betreten. Das werde das bereits vorhandene Sicherheitsniveau noch weiter erhöhen, heißt es bei Vodafone.

Ob türkische Bewerber, die lange in Deutschland gelebt haben, künftig ein Führungszeugnis von hiesigen Behörden vorlegen müssen, ist noch offen. Vodafone will „die rechtlichen Möglichkeiten zur erweiterten Prüfung neuer Mitarbeiter gemeinsam mit Arvato prüfen“.

© Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%