Kreditkarten-Datenklau bei LBB: Konteneinsicht pur

BERLIN taz Nach dem Skandal um veröffentlichte Kreditkartendaten haben Datenschützer die Landesbank Berlin (LBB) scharf kritisiert und strengere Kontrollen gefordert. Banken müssten die Daten ihrer Kunden nicht nur bei sich strikt sichern, sondern auch Auftragnehmer für die Datenverarbeitung sorgfältiger als bisher aussuchen und überprüfen, sagte der Bundesdatenschutzbeauftragte Peter Schaar. Wenn Daten schon transportiert würden, müssten sie verschlüsselt werden.

Wie dringend notwendig das ist, zeigen die neuesten illegalen Kredit-Abbuchungen bis zu 5000 Euro: Kunden verschiedener Banken, deren Kreditkarten-Abrechnung vom Finanzdienstleister Atos Worldline bearbeitet wurden, sind einem Zeitungsbericht zufolge von illegalen Abbuchungen betroffen. Wie die "Frankfurter Rundschau" berichtet, sind bei dem Blatt Schreiben von Kunden aus ganz Deutschland eingegangen, von deren Konten Unbekannte Beträge von bis zu 5000 Euro abgebucht hätten. Ob die Missbrauchsfälle etwas mit dem Daten-Paket der Berliner Landesbank LBB zu tun haben, das dem Blatt am Freitag zugespielt wurde, ist unklar.

Auch der Berliner Datenschutzbeauftragte Alexander Dix griff die LBB an. Die Verantwortungsstrukturen seien nicht mehr nachvollziehbar, wenn große Unternehmen für die Datenverwaltung Dienstleister beauftragen, sagte Dix im RBB-Inforadio.

Ein Unbekannter hatte der Frankfurter Rundschau (FR) zehntausende vertrauliche Kreditkartendaten zugespielt, darunter Geheimnummern. Die PIN-Nummern sind aber offenbar nicht den Konten zuzuordnen. Das Päckchen war anonym per Post geschickt worden. Verantwortliche der Bank vermuten, dass die Daten auf dem Weg von einem externen Dienstleister zur LBB entwendet wurden.

Die Polizei sucht nun den Kurier, der den Datensatz vom externen Abrechnungsdienstleister AtosWorldline zur LBB bringen sollte. Sie geht davon aus, dass keine weiteren Daten im Umlauf sind.

Dix sagte, es müsse geklärt werden, ob es sich tatsächlich um ein Sicherheitsleck handelt oder die Daten von "einem frustrierten Mitarbeiter" weitergegeben wurden, der sich rächen wollte. Die Daten, die aus diesem Jahr stammen, waren auf mehreren hundert Mikrofiches aufgezeichnet. Lesbar seien Vor- und Nachname der Kunden, Adresse, Kreditkartennummer, Kontonummer und jede einzelne Bezahl-Aktion mit dem dazugehörigen Betrag, erklärte die Polizei. Es handele sich um Kreditkarten der LBB selbst sowie um Karten, die die Bank über den ADAC und über Amazon ausgestellt habe. Die LBB ist bundesweit der größte Kreditkartenausgeber mit 1,9 Millionen Karten.

Schaar sagte, es gebe zwar Regeln, um derartige Fälle zu vermeiden. "Allerdings sind sie nicht präzise genug und die Sanktionen reichen nicht aus." Er forderte, Auftraggeber, die ihrer Verpflichtung zur Überprüfung ihrer Auftragnehmer nicht nachkommen, härter zu bestrafen. Die nun gestohlenen Daten ließen Rückschlüsse auf Geschäftsbeziehungen und auf Arztbesuche zu und seien damit wesentlich sensibler als die unlängst bekannt gewordenen Datenverluste - etwa der Diebstahl von Millionen Kundendaten bei der Deutschen Telekom aus Call-Centern.

Volker Beck, Parlamentarischer Geschäftsführer der Grünen-Fraktion, erklärte ebenfalls, die technischen Schutzvorkehrungen gegen Datenklau müssten auf den Prüfstand. "Neben einem Datenschutzgesetz mit Biss brauchen wir dringend mehr Kontrolle des Datenschutzes in der Wirtschaft durch die unabhängigen staatlichen Datenschutzbeauftragten."

Das Kabinett hatte erst in der vergangenen Woche ein verschärftes Datenschutzgesetz beschlossen. Auf den aktuellen Fall hätte die Neuerung ohnehin keine Auswirkung gehabt.