Aktuelles

'Bank intern'-Beilage 50/17: Sitzt die S-Finanzgruppe auf einer Zeitbombe?

Ist Datensicherheit bei der Immobilienbewertung von Sparkassen noch gewährleistet?

Wer als Kunde zur Sparkasse geht, setzt auf Vertrauen. Vertrauen in die Beratung, Vertrauen in die regionale Nähe. Aber auch Vertrauen in ein Höchstmaß an (Daten-)Sicherheit. Doch ist dieses Vertrauen gerechtfertigt, wenn man das weite Feld der Immobilienbewertung innerhalb der S-Finanzgruppe einmal genauer unter die Lupe nimmt? Nachdem dieser Servicebereich als Bewertungsmodul etwa seit 1994 innerhalb von KREBIS über die Subito AG abgewickelt wurde, konkurrieren derzeit zwei externe Wettbewerber. Zum einen die on-geo GmbH und zum anderen die 2013 zur Sprengnetter Subito GmbH fusionierten ehemals eigenständigen Firmen. Nach 'Bi'-Recherchen arbeiten aktuell mehr als 330 Sparkassen mit on-geo.

on-geo, 2002 von Dr. Klaus Wiegel als "Dienstleistungsunternehmen für die Immobilien- und Finanzwirtschaft" mit Sitz in München und Erfurt gegründet, startete zunächst als reiner Datenlieferant und kooperierte seinerseits mit diversen Anbietern von Bewertungssoftware. Später integrierte on-geo ein eigenes Bewertungsmodul in sein Datenverarbeitungssystem Lora. 2006 bot man zunächst den Sparkassen in Schleswig-Holstein die Leistungen an. Als Basis diente ein entsprechender Rahmenvertrag mit folgenden drei Dienstleistungen: ++ Lieferung von Researchdaten, sprich Katasterkarten, Grundbuchauszügen, Informationen über Baulasten bis hin zu Gutachten und Vorortbesichtigungen ++ Da­neben sämtliche Hilfsmittel zur Immobilienbewertung, LORA Immobilienplattform, genannt. Diese Plattform bietet die prozessorientierte Möglichkeit der Erst- und Folgebewertung – gesagt wird, man halte sämtliche Anforderungen der BaFin ein ++ Der dritte Bereich ist das on-geo Hosting – nach eigenen Angaben zum Firmenprofil werden auch hier sämtliche "Forderungen der Datensicherheit" erfüllt.

Im Juni 2011 erwarb die Verlagsholding Daily Mail and General Trust plc über eine Kette aus 100%-Beteiligungen von DMG Information Inc, Landmark Inc. und Inframation AG "einen Majoritätsanteil" von 91 % an on-geo. Die verbleibenden 9 % sind Eigentum der KHW Beteiligungs GmbH, die wiederum Dr. Wiegel gehört. Der Deal diente nach Aussage von Daily Mails CEO Stephen Stout der Realisierung des Plans vom "strategischen Ehrgeiz, dem deutschen Marktplatz webbasierte Lösungen für die Eigentumsschätzung anzubieten". Inframation AG war vor der Übernahme ein erfolgloser Wettbewerber von on-geo, die ihrerseits hohe Verluste aufgebaut hatte, lt. Bundesanzeiger per Jahresabschluss 2011 rd. 5,7 Mio. €. Nach der Übernahme wurden die Verluste durch Einzahlungen in die Kapitalrücklage stetig abgebaut. Dr. Wiegel wurde nach Umwandlung der Inframation AG in eine GmbH auch deren GF.  – Doch kommen wir zur Frage der Datensicherheit:

Bis 2014 (Lora Versionen bis 2.4) wurden die Daten wahlweise intern auf den Servern der Sparkassen gespeichert oder in einem von Dritten betriebenen Rechenzentrum zentral abgelegt. Seither gibt es nur noch eine virtuelle Trennung der Mandanten. Mit der Konsequenz, dass die einzelne Sparkasse nur noch ihre jeweiligen Daten sieht, während on-geo als Betreiber der Plattform naturgemäß permanenten Zugriff auf sämtliche Daten aller Sparkassen(-kunden) hat.

Erste Bedenken im Hinblick auf die unbedingte Datensicherheit deutscher Sparkassen-Kunden kamen auf, als Dr. Wiegel damals feststellte: " Durch die gegenseitige Wissensübermittlung/-übertragung/-weitergabe nehmen wir an, nachhaltige Neuerungen auf beiden Märkten zu sehen." Weitere Zweifel an der zugesagten unbedingten Datensicherheit des 'Partners' werden geschürt, wenn man sich den Prüfbericht nach OPDV-Stellungnahme Nr. 1/2006 zu LORA vom 11.6.2013 (sinniger Weise unter der Headline 'Datenschutz') der SIZ Informationszentrum der Sparkassenorganisation GmbH näher ansieht. Hier sind drei Punkte auffällig: ++ Zum einen heißt es schwarz auf weiß, dass "die folgenden mit dem Produktumfang ebenfalls ausgelieferten oder aus-lieferbaren Systemkomponenten nicht Bestandteil der Überprüfung" sind ++ Unter Ziff. 8 heißt es: "Das einsetzende Institut ist für die Einhaltung des BDSG in dieser Konstellation verantwortlich. Der Hersteller erklärte gegenüber dem SIZ, dass bislang kein verwertbares Ergebnis eines Datenschutzaudits vorliegt" ++ Und unter Ziff. 8.1.2. finden wir den Hinweis: "Der dem SIZ vorgelegte Pflegevertrag (104) ist nicht BDSG-konform, auch die Hinweise (105) stellen keine Konformität dar." – Doch unsere Zweifel gehen noch weiter:

Denn was der Hinweis unter "Chancenbericht" im letztveröffentlichten "Lagebericht zum Geschäftsjahr 2015/2016" von on-geo unter dem Blickwinkel der Datensicherheit von Sparkassen-Kundendaten aussagt, ist völlig offen. Dort heißt es wörtlich: "Neben der weiterhin bestehenden Fokussierung auf das Rationalisierungspotenzial, das die von on-geo vorangetriebene Integration von externen Daten- und Dienstleistungsquellen in den Bewertungsprozess darstellt, zeigt sich ein weitergehendes Interesse über die reine Einbindung externer Dienstleistungen hin zur Erbringung dieser Dienstleistungen als Teil des Bewertungsprozesses durch einen gesamtverantwortlichen 'Solution Provider'." Fragen wirft auch der folgende Hinweis auf: "Der Trend, den Bewertungsprozess in all seinen Facetten aus einer Hand zu bedienen, kann durch das Eingehen von strategischen Allianzen, Vertriebspartnerschaften oder auch gesellschaftsrechtlich definierten Formen von Partnerschaften reflektiert werden. Neben dem Vorteil einer größeren funktionalen Breite ist hier auch die Möglichkeit zu sehen, die existieren Netzwerke durch internationale Anbieter zu erweitern, gleichzeitig die Netzwerke der internationalen Partner für eine Expansion in die entsprechenden Märkte zu nutzen."

Beunruhigend wirkt für 'Bi' schließlich der Hinweis im Bundesanzeiger, dass zum 15.6.2017 gegen die on-geo GmbH "durch einen Geschäftspartner Klage erhoben" wurde, wobei die Klage darauf abziele, eine Veränderung der Bedingungen der gegenwärtigen Geschäftsbeziehung zu erreichen. Nach 'Bi'-Recherchen ist der Oberste Gutachterausschuss Bayern zwar nicht der Kläger, aber er wirft on-geo seit längerem die unberechtigte Weiterveräußerung von Bodenrichtwerten und damit faktisch die Verletzung von Rechten der Gutachterausschüsse vor. Doch einzige Konsequenz scheint zu sein, dass on-geo seit 2012 den Sprachgebrauch gegenüber den Sparkassen modifiziert und den Begriff "Bodenrichtwerte" gegen "Bodenwert" ausgetauscht hat. Natürlich haben wir on-geo die Frage gestellt, wie sich aus Unternehmenssicht angesichts der hier erörterten Fragen die Datensicherheit (noch) gewährleisten lässt. Wir kommen darauf zurück, sobald uns die Antworten vorliegen. Für 'Bi' lautet die grundlegende Frage, wie sinnvoll ein Outsourcing dieses für die Sparkassen ebenso eminent wichtigen wie hochsensiblen Bereichs an einen außenstehenden Dritten ohne jede Verknüpfung zur S-Finanzgruppe ist. Interne Warnungen gibt es seit längerem. Noch unter Georg Fahrenschon wurde 2016 ein Projektauftrag erteilt. Ziel war, die Abhängigkeit der Sparkassen von on-geo aufzulösen und die Hoheit über die eigenen Immobiliendaten zurückzugewinnen. Dazu sollte eine eigene Objektdatenbank in der Verantwortung des Sparkassenverlages mit technischer Realisierung durch die Finanz Informatik und Unterstützung von IBM entwickelt werden. Doch inzwischen scheint dieses 'heiße Eisen' beim DSGV wieder erkaltet zu sein.

'Bi'-Fazit: Ob man sich angesichts der zwischenzeitlich aufmerksam gewordenen BaFin allerdings beim DSGV weiterhin unbekümmert zeigen soll, bleibt auch angesichts des Stabwechsels zu Helmut Schleweis fraglich. Jedenfalls vernehmen wir, dass man im Hause der BaFin hellhörig geworden ist, wobei der Fokus auf das Thema 'Sicherheit von Immobilien- und Kundendaten' gerichtet ist, ebenso wie auf die vertraglichen Regelungen mit dem Dienstleister on-geo. Die BaFin interessiert, ob den Sparkassen genügend Transparenz über die Datenquellen und Verarbeitung für die Bewertungen gegeben ist. – 'Bi' wird mit Sorgfalt beobachten, wie Schleweis sich hierzu im Sinne der Sparkassen positioniert.

Teilen Sie diese Neuigkeit in Ihrem Netzwerk