Neuer Datenschutzskandal

Berliner Landesbank vermisst zehntausende Kreditkartendaten

15.12.2008
"Meine Daten gehören mir" - der Schlachtruf der Datenschutz-Vorkämpfer der frühen 80er Jahre ist fast verklungen. Dabei wäre er heute mindestens so angebracht.

Wohl nie zuvor haben Staat und Unternehmen so viele Informationen über ihre Bürger und Kunden gesammelt. Zugleich hinterlassen die Menschen in der digitalen Welt eine breite Datenspur. Geld- und Kreditkarten, Festnetz- und Handy-Telefonverträge, Internet-Reisebuchungen, elektronische Strom- und Wasserabrechnungen, Internet-Verbindungen - irgendwo registriert immer ein Computer, was ich tue, was ich kaufe, wie oft ich dusche, mit wem ich telefoniere, wohin ich reise.

Und manchmal geht es eben schief: Erst vor zwei Wochen waren einem Wirtschaftsmagazin die Daten von bis zu 21 Millionen Bankkunden angeboten worden. Diese CDs und Festplatten sind nicht nur bei Marktforschern und der Werbewirtschaft, sondern auch bei Kriminellen heiß begehrt. Umso wichtiger sollte es sein, weniger offenherzig mit seinen Daten umzugehen.

Die LBB gibt unter anderem die Kreditkarten für Amazon.de und den ADAC aus.
Die LBB gibt unter anderem die Kreditkarten für Amazon.de und den ADAC aus.

Gänzlich unschuldig am Verlust wichtiger Daten waren die Kunden allerdings im aktuellen Fall: Am Wochenende wurde bekannt, dass der Berliner Landesbank (LBB) zehntausende vertrauliche Kredikartendaten aus ganz Deutschland abhanden gekommen sind. Ein Päckchen mit diesen Datensätzen landete in der Redaktion der "Frankfurter Rundschau" und wird mittlerweile von der Frankfurter Polizei untersucht. Die LBB versicherte umgehend, dass die Vermögen der Kunden nicht in Gefahr und dass anhand der bei der "FR" aufgetauchten Daten auch keine Abbuchungen möglich seien.

Die Kernfrage war aber auch am Sonntag noch offen: Wie konnte es passieren, dass Namen, Kontonummern und Buchungen überhaupt verloren gehen oder gestohlen werden konnten? Die LBB verwies darauf, dass der externe Dienstleister Atos Worldline mit den Kreditkarten-Abrechnungen befasst ist und das Datenpaket auf einer Kurierfahrt verloren ging. Die Polizei vernahm Mitarbeiter der LBB und des externen Dienstleisters.

Die wenigsten Kunden dürften wissen, wer alles Zugriff auf die gesammelten Daten hat. Wer etwa eine Kreditkarte vom Internet-Händler Amazon.de oder dem Verkehrsclub ADAC nutzt, die von der Berliner Landesbank ausgegeben wurde, betrachtet sich als Kunde von ADAC oder Amazon. Eine Name wie Atos Worldline fällt in diesem Zusammenhang so gut wie nie - obwohl in Datenverarbeitungsunternehmen wie dieser deutschen Tochter eines französischen Konzerns Milliarden Datensätze zusammenlaufen. Zwei Zahlen verdeutlichen die Dimension des Problems: In Deutschland sind mehr als 24 Millionen Kreditkarten und 93 Millionen EC-Karten im Einsatz.

Im Fall der LBB waren die Kredikartenabrechnungen per Kurier und unverschlüsselt auf bedruckten Folien, sogenannten Mikrofiches, quer durch die Republik unterwegs. Daten- und Verbraucherschützer kritisieren die fehlende Verschlüsselung als "unverantwortlich". Die LBB entgegnete, dass der Versand von Mikrofiches ein "etabliertes und sicheres Verfahren" sei. Außerdem sei eine Verschlüsselung der Folien nicht sinnvoll, da sie sonst später nicht mehr lesbar seien. Die Bank versprach aber, die Sicherheitsvorkehrungen insbesondere beim Transport der Daten nochmals zu erhöhen. Außerdem werde die LBB Kunden, die "wider Erwarten" geschädigt worden sind, freihalten.

Den ohnehin illegalen Handel mit sensiblen Daten wie Bankverbindungen kann auch das jüngste vorgelegte neue Datenschutzgesetz nicht völlig verhindern. Lediglich gezielte Werbung mit fremden Daten soll damit deutlich eingeschränkt werden.

Der Bundesdatenschutzbeauftragte Peter Schaar zeigte sich trotzdem entsetzt vom aktuellen Fall: "Es ist in der Tat eine neue Qualität, denn es handelt sich ja hierbei um Daten, die eben doch eine größere Sensibilität aufweisen, deren Schadenspotenzial bei weitem über das hinausgeht, was bisher bekannt geworden ist", sagte er dem NDR. Beim Datenschutz sei "offensichtlich etwas völlig schief gelaufen".

Man könne Daten nie hundertprozentig schützen, sagt auch Schaar. "Es wird auch immer Kriminelle geben, da soll man sich nichts vormachen, die es schaffen, auch die besten Sicherheitsmaßnahmen zu unterlaufen." Der Sprecher des Wirtschaftsdetekteiverbunds Detekta, der Kölner Lothar Wenzel, geht zudem davon aus, dass beim Datenklau nur die Spitze des Eisbergs bekannt wird. "Ich vermute, dass da in den nächsten Monaten noch einiges nach oben spült." (dpa/tc)