Es sind sehr schwerwiegende Vorwürfe, die drei vormals hochrangige Amazon-Mitarbeiter gegenüber Politico erheben. Alle drei waren in unterschiedlichen Einheiten für die Überwachung der Informationssicherheit zuständig gewesen, konnten sich aber mit ihren Hinweisen, Warnungen und Mängelrügen zu häufig nicht durchsetzen. Schlussendlich wurden die offenbar zu kritisch gewordenen Mitarbeiter aus der Belegschaft entfernt.
Die Vorwürfe der Whistleblower konzentrieren sich auf das Handelsgeschäft Amazons. Ausdrücklich weisen sie darauf hin, dass die Amazon Web Services, das Cloudgeschäft des Herstellers, nicht von den Vorwürfen betroffen seien. Vielmehr seien die dort eingesetzten Datensicherheitskonzepte weltweit führend. Das AWS-Geschäft werde aber ohnehin weitgehend abseits des Hauptunternehmens mit nur wenigen Kontaktpunkten geführt.
Amazon soll nicht wissen, welche Daten wo gespeichert sind und wer Zugriff darauf hat
In seinem Kernbereich hingegen soll ein regelrechtes Datenchaos herrschen. So wisse Amazon nicht einmal, welche Daten wo gespeichert sind. Das Recht auf Vergessen, das zu einem der zentralen Rechtsansprüche der Europäischen Datenschutzgrundverordnung (DSGVO) gehört, könne Amazon demnach gar nicht gewährleisten, weil das Unternehmen nicht wüsste, was wo gelöscht werden müsste.
Diese Unwissenheit über Speicherarten und -orte bringe die Daten von Millionen von Kunden in Gefahr, denn eine kleine Lücke könnte auf diese Weise ungeahnte Folgen haben. Wer nicht wisse, welche Daten wo gespeichert seien, könne auch keine wirksame Schutzstrategie gegen die Erbeutung dieser Daten einsetzen.
Ebenso gebe es keine Kontrolle darüber, welche Mitarbeiter Zugriff auf welche Daten haben. Die Whistleblower wollen Tausende von Accounts von Ex-Mitarbeitern gefunden haben, die immer noch Systemrechte und so auch nach Beendigung ihrer Beschäftigungsverhältnisse noch Zugriff auf die Amazon-Rechenzentren gehabt hätten.
Führungsebene soll sich nicht für Probleme interessiert haben
Hinweise und Warnungen seien von übergeordneten Stellen regelhaft übergangen oder negiert worden. Teilweise habe jahrelang auf das gleiche Problem hingewiesen werden müssen, um es zu beseitigen. Teilweise hätten Vorgesetzte die Berichte schlicht ignoriert.
Die Whistleblower zeichnen ein Bild eines Führungssystems, das die Datensicherheit als optionalen Luxus betrachtet und bereit ist, interne bestehende Regeln nach Gusto zu missachten. Dabei sollen die Führungskräfte große Kreativität an den Tag gelegt und Daten teilweise gezielt falsch klassifiziert haben, um damit bestimmte Prüfvorgänge zu umgehen.
EU-Whistleblower wirft Amazon mangelnde DSGVO-Compliance vor
Einer der Whistleblower war in der Luxemburger Niederlassung für die Einhaltung der DSGVO eingesetzt und klagt ebenfalls über Stolpersteine, die ihm dabei in den Weg gelegt worden seien. Dabei habe Amazon überhaupt erst im April 2018, also einen Monat vor Inkrafttreten der Maßnahmen aus der DSGVO, überhaupt begonnen, sich mit dem Thema auseinanderzusetzen. Zuvor habe man alle Versuche, eine ordentliche Vorbereitung zu leisten, abgeblockt.
Das soll nicht nur auf der mittleren Hierarchieebenen passiert sein. Auch Berichte über Risiken und Mängel, die etwa an Jeff Wilke, den CEO von Amazon und zuständig für das weltweite Verbrauchergeschäft, gerichtet waren, sollen ohne Rückmeldung geblieben sein.
Schlussendlich will der Ex-Mitarbeiter den Eindruck gewonnen haben, dass die Amazon-Zentrale die Kompetenzen der Luxemburger Niederlassung gezielt unterminiert habe und das Team habe ausbluten lassen wollen. Alle drei Ex-Mitarbeiter geben zu Protokoll, dass sie aus dem Unternehmen gedrängt worden seien. Dem seien Zeiträume vorausgegangen, in denen sie über Meetings nicht mehr informiert worden wären, erforderliche Informationen nicht mehr bekommen hätten und alles in allem übergangen worden wären. Einer der Ex-Mitarbeiter bezeichnet Amazons Vorgehen als „systematische Auslöschung“ von Personen, die Compliance-Probleme formulieren und adressieren wollten.
Amazon weist die Vorwürfe weit von sich und impliziert, die Mitarbeiter hätten sich außerhalb ihrer Kompetenzen bewegt und daher eingehegt werden müssen. Die Vorwürfe seien falsch, mindestens inakkurat oder veraltet. Amazon habe ganz im Gegenteil eine ausgezeichnete Kultur der Datensicherheit, bei der der Schutz der Kundendaten allerhöchste Priorität genieße.
Sind wir doch mal ehrlich – welches Unternehmen ist in der Lage seine Datenhoheit tatsächlich auszuüben? Ich kenne kein Unternehmen das alle Daten zu 100% im Griff hat, solange Vorstände Ihren Kopf durchsetzen möchten, Vertriebsorganisationen machen was Sie möchten und solange Ego vor Verstand arbeitet. Im täglichen Leben können wir versuchen soviel Governance und Regeln wie möglich umzusetzen, es scheitert häufig daran das Regeln nicht in den Köpfen der User ankommen. Einen gewissen Stand an Informations-, IT- und Daten-Sicherheit werden wir erreichen und solange wir einen positiven Fortschritt messen können bin ich schon zufrieden die 100% sind unser Ziel – doch der Weg ist weit und solange der Weg nicht das Zeil ist, alles für mich gut. Wohin kämen wir wenn alles Perfekt wäre, mir reicht es wenn jemand schon einmal die Verantwortung für sein handeln übernehmen würde.
wer bei amazon einkauft, muß wissen, daß seine Daten „vogelfrei“ sind. Schon seit Jahren bestelle ich nichts über amazon, sondern versuche dies direkt beim Hersteller oder anderen, kleinen Plattformen. Wer so blauäugig ist, weine Daten diesem Konzern zu geben, muß sich nicht wundern, wenn er irgendwann „vor die Wand“ läuft, oder Betrügern aufsitzt.
Leider muss ich Sie erschreckn. Wenn Sie nicht als Robinson auf einer Insel leben wollen – ohne jegliche vernetzte Technik – haben „die“ ihre Daten schon längst. Es ist eine nette Illusion, das ihre Daten geschützt sind. Spätestens Geheimdienste speichern ganz legal alles was sie so machen im ganz großen Stil…
Stolz darauf nicht bei Amazon zu kaufen. Mein Mitleid für die Umstände.
Ich bin seit 40 Jahren in der IT tätig – an der Problematik wo welch Information gespeichert sind, wie of sie vorhanden und welche richtig sind hat sich seit der Zeit der S38 nichts geändert.
Die DSGVO und das Recht auf Vergessen sind m.a.n Orchideengesetze – sie dienen eher dazu unliebsamen Konkurrenten ohne große Rechtsabteilung Schwierigkeiten zu machen, als dem einzelnen Bürger in irgendeiner Form seine Datenhoheit zu garantieren.
Die eurozentrische Sichtweise der individuellen Datenhoheit ist schon jenseits des ersten Meeres nicht mehr relevant – und dasEuropas bequeme Massen an Amazons Service verzichten, weil dern Datenschutz nicht existiert, glauben auch nur Bewohner des Elfenbeinturms.