Datenschutz: Banken verjubeln Vertrauen
Überprüfungen des Datenschutzbeauftragten haben bei vier Berliner Banken teilweise gravierende Mängel offen gelegt. Besonders die Online-Kreditvergabe ist ein potentielles Datenleck.
Routineüberprüfungen bei vier Berliner Bankhäusern haben "überraschende datenschutzrechtliche Mängel" ergeben. Das teilte der Berliner Datenschutzbeauftragte Alexander Dix bei der Vorstellung seines Jahresberichts 2007 am Mittwoch mit.
Bei den untersuchten Banken handele es sich um die Berliner Volksbank, das Bankhaus Löbbecke, die Deutsche Kreditbank (DKB) und die Sparda-Bank, sagte die Sprecherin des Datenschutzbeauftragten, Anja-Maria Gardain. Sie sind ins Visier der Datenschützer geraten, weil sie ihren Geschäftssitz in Berlin haben.
Bei einer der Banken können Kunden laut Bericht Kredite über das Internet beantragen. Dabei werde eine Schufa-Abfrage veranlasst und der Kunde bereits online darüber informiert, ob und zu welchen Konditionen die Bank ihm ein Darlehen einräume. Auf diese Weise könnten sich also auch Unbefugte über die finanzielle Situation von anderen informieren, sobald sie wenige Grunddaten der Betroffenen wissen, so der Bericht. Mehr noch: Weil eine Kreditanfrage an sich den Schufa-Wert bereits verschlechtere, werde mit einer missbräuchlichen Anfrage auch die Kreditwürdigkeit der Betroffenen herabgesetzt.
"Das ist in der Tat eine brisante Sache", sagte Gardain der taz. Die betreffende Berliner Bank sei allerdings nicht die einzige in Deutschland, die ein solches Verfahren anbiete. Deswegen werde die Online-Kreditvergabe bundesweit unter den Datenschutzaufsichtsbehörden diskutiert.
Um welche der Banken es sich handelte, durften die Datenschützer aus rechtlichen Gründen nicht verraten. Eine Bank reagierte jedoch verschnupft: DKB-Sprecherin Frauke Plaß schloss gegenüber der taz "mit hundertprozentiger Sicherheit" aus, dass in ihrem Haus ein Prüfung stattgefunden habe. Von Seiten der Datenschutzbehörde hieß es, man sei lediglich noch nicht bei der DKB vor Ort gewesen. Für die Prüfung bestimmter Angebote sei das aber auch nicht nötig.
Ein weiterer Kritikpunkt der Datenschützer betrifft Auslandsüberweisungen. Die werden laut Dix weltweit über das Überweisungssystem Swift abgewickelt. Auf den beiden Swift-Servern, von denen einer in Europa und einer in den USA stehe, befänden sich jeweils alle Überweisungsdaten. Das bedeute Schutz vor Datenverlust, sollte einer der Server zerstört werden. Es bedeute aber auch, dass das Schatzministerium der USA - laut Bericht ein "Land ohne ausreichendes Datenschutzniveau" - auch auf innereuropäische Überweisungsvorgänge zugreifen könne.
Das ist den Banken selber zwar nicht anzulasten; wohl aber, dass sie nicht ausreichend darüber informieren. Bei keiner der geprüften Banken sei das in hinreichendem Maße der Fall gewesen, heißt es im Bericht. Einige Banken wiesen zwar auf ihren Internetseiten auf die Probleme bei Auslandsüberweisungen hin. Das reiche aber nicht aus, so Dix. Auch, dass sämtliche Kontobewegungen auf "Geldwäscherelevanz" untersucht würden, habe keine der Banken ihren Kunden mitgeteilt. Diese Kontrolle sei an sich auch nicht verboten, so Dix. Es sei angesichts der niedrigen Erfolgsquoten allerdings fraglich, ob die "umfangreichen Datenverarbeitungen noch verhältnismäßig" seien. Gar nicht in Ordnung findet der Datenschutzbeauftragte es zudem, dass sich die Banken telefonisch über die Ergebnisse dieser Prüfungen austauschen, ohne sicherzugehen, dass ein berechtigtes Interesse besteht. Dix fordert hier ein schriftliches Vorgehen.
Im Großen und Ganzen falle die Datenschutzbilanz bei den untersuchten Häusern also sehr unterschiedlich aus, sagte Gardain zusammenfassend. Der Bericht kommt zu dem Schluss: "Insgesamt ist der Datenschutz bei den von uns überprüften Berliner Banken teilweise stark verbesserungsbedürftig."
