Postbank schließt ihr Datenschutzloch beim Online-Banking nur zur Hälfte
Mit ihrem brandneuen Online-Banking-Portal könnte die Postbank ihr Datenschutzloch schließen. Unter bestimmten Bedingungen war es nämlich möglich, Unbefugten vollen Einblick in Kontostand, Kontoauszüge und Transaktionen zu ermöglichen. Doch trotz des neuen Portals verwirrt die Postbank mit zwei Einwahlmöglichkeiten zum Online-Banking – einer sicheren und der alten, datenschutzrechtlich bedenklichen Variante.
Ausgeloggt und weitergesurft – wer sein Online-Banking so beendet, gefährdet z.B. bei der Postbank den Schutz seiner Kontodaten. Wird der Rechner verlassen und bleibt das Browserfenster geöffnet, können Unbefugte per Browser auf jede Seite zurückblättern, die beim Online-Banking aufgerufen wurde. Dann sind über Stunden Liquidität oder Kontobewegungen für unbefugte Blicke einsehbar.
So zumindest sah es bis Dienstag dieser Woche für die Besitzer der 1,3 Mio. online geführten Postbank-Konten aus. Doch das brandneue und sicherere Portal „Postbank direkt“ ist technisch nun in der Lage, solche unerwünschten Blicke gar nicht zuzulassen.
Gefahr erkannt – Gefahr gebannt? Nur bedingt, denn die Postbank irritierte bis Redaktionsschluss mit zwei Einwahlmöglichkeiten zum Online-Banking. Einmal den altbekannten Button „Online-Banking“ – inklusive der datenschutzrechtlich bedenklichen Möglichkeit des Zurückblätterns. Und zum anderen die Einwahl über den neu installierten Button „Postbank direkt“ ohne das Datenschutzloch.
„Es ist ein Skandal, wie schlampig hier mit Kundendaten umgegangen wird“, zeigt sich Maren Geisler, Referentin Banken bei der Verbraucherschutzzentrale Bundesverband e.V. empört. Auch Bettina Sokol, Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, ist besorgt über den recht sorglosen Umgang der Postbank mit ihren Kundendaten: „Homebanking-Verfahren sind so zu gestalten, dass die Vertraulichkeit bei jeder Nutzung sichergestellt ist.“
Im „Back-Button-Dilemma“ befindet sich nicht nur die Postbank, sondern z.B. auch die Berliner Sparkasse. Zwar weist sie nach dem Ausloggen darauf hin, aus Sicherheitsgründen das Browserfenster zu schließen, doch erfüllt das nicht die technischen Standards, um Kundendaten aktiv gegen unbefugte Blicke zu schützen.
Die überwiegende Mehrheit der von den VDI nachrichten getesteten Finanzdienstleister (Deutsche Bank, Dresdner Bank, Citibank, Comdirekt oder DiBa) beherrscht jedoch die Technik, um die Ansicht der einmal aufgerufenen Banking-Seiten durch den „Zurück-Button“ des Browsers wirksam zu verhindern – man landet unweigerlich auf der LogIn-Einwahlmaske und kann keinesfalls weiter zurückblättern, geschweige denn die Kontodaten einsehen. Genau so funktioniert nun auch das neue Postbank direkt-Portal.
Auch Freemail-Provider wie Web.de oder Gmx.de wissen die technischen Möglichkeiten zu nutzen, um aktiv die Daten und Aktionen ihrer Kunden zu schützen. „Wir sind die technischen Experten, nicht der Kunde,“ erläutert Tino Ancin, Technischer Direktor von Web.de. „Also sehen wir uns in der Verantwortung, unseren Kunden das technisch mögliche Optimum an Sicherheit und Diskretion zu bieten. Würden wir den Schutz der Daten auf unsere Kunden abwälzen, würden wir sehr schnell ihr Vertrauen in die Sicherheit und Diskretion unserer Dienstleistung verlieren.“
Warum es überhaupt zwei Einwahlmöglichkeiten gibt, erläutert Jürgen Ebert, PR-Verantwortlicher für Bereich Online-Redaktion bei der Postbank: „Wir können nicht alles von einem auf den anderen Tag umstellen. Langfristig aber wird das Postbank direkt-Portal das Online-Banking und -Brokerage in seiner heutigen Form ablösen. Wir müssen jedoch auch Rücksicht auf unsere Kunden nehmen, denn die Leute reagieren irritiert, wenn plötzlich ein Button an einer anderen Stelle steht.“
Das Vorgehen der Postbank hinterlässt den Eindruck, als sei das neue Portal mit der heißen Nadel – quasi als „Schnellschuss“ – installiert worden, denn der Sinn von zwei unterschiedlichen Einwahlmöglichkeiten für Online-Banking erschließt sich nicht. Vor allem nicht angesichts der Tatsache, dass eine der Einwahlmöglichkeit datenschutzrechtlich zumindest bedenklich ist (technischer Stand: 1998). Zudem werden vermutlich viele Kunden allein schon aus Gewohnheit den Weg über die datenschutzrechtlich bedenkliche „Online-Banking“-Einwahl nutzen, da die Postbank die Möglichkeiten des neuen Portals nur spärlich kommuniziert.
Datenschutzrechtlich gesehen bewegt sich die Postbank auf dünnem Eis. „Betreiber von Telediensten haben gemäß dem Teledienstedatenschutzgesetz (TDDSG, siehe Infokasten) in erster Linie die Sicherheit der persönlichen Kundendaten vor dem Zugriff Dritter zu gewährleisten“, so Fabian Reinholz, Rechtsanwalt und Spezialist für Internetrecht der Kanzlei Härting. „Für Verstöße gegen geltendes Datenschutzrecht sieht der Gesetzgeber Sanktionen in Höhe bis 50 000 Euro vor.“
In Deutschland werden nach Angaben des Bundesverbandes deutscher Banken rund 30 Mio. Konten online geführt – Tendenz steigend. PETER KELLERHOFF
Ein Beitrag von:
