Datenlecks Outsourcing macht Kreditkartenzahlung zum Risikospiel

Der Kreditkartenskandal bei der Landesbank Berlin offenbart eine grundlegende Gefahr, auch für Kunden anderer Geldhäuser: Viele Institute geben sensible Daten an externe Dienstleister weiter. Datenschützer fordern Konsequenzen, sonst könnte sich die Sicherheitspanne vielfach wiederholen.

Hamburg - Der Skandal um geklaute Kreditkartendaten bei der Landesbank Berlin (LBB) wirft grundsätzliche Fragen auf. Nach Meinung führender Datenschützer haben viele Banken unverantwortlich gehandelt. Sie haben Dienstleistungen an Drittunternehmen weitergegeben, ohne den verantwortungsvollen Umgang mit sensiblen Daten sicherzustellen.

Abrechnung einer Kreditkarte der Landesbank Berlin: Betroffene Kunden per Brief benachrichtigt

Abrechnung einer Kreditkarte der Landesbank Berlin: Betroffene Kunden per Brief benachrichtigt

Foto: DPA

Paradebeispiel ist die LBB: Am Freitag meldete die "Frankfurter Rundschau" ("FR"), Zehntausende vertrauliche Daten - darunter Namen, Kontonummern, detaillierte Buchungsvorgänge und sogar Pin-Nummern - von einem anonymen Informanten erhalten zu haben. Die Angaben betreffen der Zeitung zufolge Kunden aus ganz Deutschland.

Die Kreditkartendaten befanden sich demzufolge in einem regulären Postpaket. Gespeichert waren sie auf sogenannten Mikrofiche-Filmen - bei dieser Technik werden gedruckte Vorlagen um ein Vielfaches verkleinert auf Polyesterplatten gespeichert, laut LBB ein bei Kreditkartendaten übliches Archivierungsverfahren. Die Pin-Nummern befanden sich in separaten Briefumschlägen.

Angefertigt wurden all diese Daten von der Firma Atos Worldline, der deutschen Tochter des französischen IT-Dienstleisters Atos Origin. Die LBB gab auf Anfrage von SPIEGEL ONLINE an, dass Atos Worldwide für das Institut das komplette Karten-Processing übernimmt. Dies beinhalte unter anderem die Kartenkontoführung, die Abwicklung der Kartentransaktionen sowie die Erstellung und den Versand der Pin.

Im Klartext heißt das: Wenn der Kunde beim Bezahlen seine Kreditkarte in ein Lesegerät steckt, übernimmt Atos die Abwicklung der Transaktion. Und wenn ein Kreditkartenkunde eine neue Geheimnummer zugeschickt bekommt, wird diese nicht von der LBB erstellt, sondern von Atos. Die Landesbank Berlin hat nach eigenen Angaben insgesamt etwa zwei Millionen Kreditkaten ausgegeben.

Datenschützer kritisieren Outsourcing von sensiblen Daten

Genau das aber bedeutet: Die LBB hat die Abwicklung von sensiblen Daten voll und ganz in die Hände eines externen Dienstleisters gelegt. Und sie ist bei weitem nicht die einzige Bank, die derartig heikle Dienstleistungen ausgelagert hat. Nach Angaben der "FR" übernimmt Atos unter anderem die Visa-Karten-Abwicklung der GE Money Bank.

Kreditkartenmissbrauch - So schützen Sie sich

Der Bundesdatenschutzbeauftragte Peter Schaar kritisiert dieses Vorgehen aufs Schärfste. "Ich habe den Eindruck, dass immer mehr Arbeitsprozesse ausgelagert werden, um Kosten zu sparen, dass aber beim Auslagern keine entsprechenden Sicherheitsvorkehrungen getroffen werden, um Datenmissbrauch zu vermeiden", sagt er SPIEGEL ONLINE. "Würden die Banken die Daten, die sie rausgeben, genau kontrollieren, würden die Margen, die sie durch das Outsourcing erzielen, wieder schrumpfen", sagt Schaar. Die Folge seien mangelhafte Kontrollen der externen Dienstleister. "Und das ist unverantwortlich."

Nun allerdings hat Deutschland einen neuen Datenskandal - und die Auslagerung sensibler Dienstleistungen könnte sich für viele Banken als Bumerang erweisen. Denn in den Paragrafen neun  und elf  des Bundesdatenschutzgesetzes ist klar geregelt, dass stets der Auftraggeber - in diesem Fall: die Bank - für die Einhaltung der Vorschriften des Gesetzes verantwortlich bleibt.

Diese Pflicht beginnt bei der Auswahl des externen Dienstleisters, erstreckt sich über die genaue Fixierung der technischen und organisatorischen Maßnahmen, mit denen die Einhaltung der Datenschutzregeln gewährleistet wird, und sie endet bei der Kontrolle des externen Dienstleisters.

Banken im Kreuzfeuer

Die Landesbank Berlin gab auf Anfrage an, einen hohen Standard beim Umgang mit sensiblen Kundendaten zu unterhalten. Die Prozesse und Systeme zur Speicherung von Kundendaten würden regelmäßig aus datenschutzrechtlicher Sicht überprüft und unterliegen einem regelmäßigen Revisionsprozess. Man beauftrage nur externe Dienstleister, bei denen die Beachtung der datenschutzrechtlichen Vorschriften gewährleistet sei.

Ob die LBB ihrer Pflicht genüge getan hat, wollen Datenschützer nun klären. Der Berliner Datenschutzbeauftragte Alexander Dix traf sich am Montagabend erstmals mit Vertretern der LBB, um den genauen Hergang des Datenverlustes zu erläutern. Auch in Hessen erregt der Fall des in Frankfurt sitzenden Dienstleisters Atos Aufsehen. Die LBB könnte bald zum Präzedenzfall für Nachforschungen bei anderen Instituten werden.

"Wir werden genau überprüfen, wo Atos überall tätig ist", sagt Renate Hillenbrand-Beck, Dezernatsleiterin des für die Datenschutzaufsicht über die Privatwirtschaft in Hessen zuständigen Regierungspräsidiums Darmstadt. "Es stellt sich auch die Frage: Wie erfolgt der Datentransport, soweit Atos für andere Banken als Dienstleister tätig wird? Sind die Abläufe identisch mit denen betreffend der Kundendaten der Landesbank Berlin?"

LBB-Kunden können hoffen

Allein bei der LBB besteht noch erheblicher Klärungsbedarf. Laut LBB liefert Atos in regelmäßigen Abständen Mikrofiche-Filme nach Berlin. Atos schweigt bislang hartnäckig - verweist nur auf laufende Ermittlungen, die man nicht behindern wolle.

Die Frankfurter Polizei hält es inzwischen für unwahrscheinlich, dass mit den brisanten Daten Missbrauch getrieben wurde. Ein Polizeisprecher sagte. Inzwischen seien die beiden Kurierfahrer bekannt, die mit den Unterlagen des Frankfurter Abrechnungsdienstleisters Atos Worldline unterwegs waren. Sie würden vernommen.

Auch gilt es als unwahrscheinlich, dass ein Zusammenhang besteht zwischen Kreditkartenverbrechen und dem Datenpaket, das die "FR" erhalten hat. Eine Sprecherin der LBB sagte auf Anfrage, es bestehe definitiv kein Zusammenhang. Ein Polizeisprecher sagte, derzeit könne Entwarnung gegeben werden, allerdings könne man natürlich nicht völlig ausschließen, dass es zu Missbrauchsfällen gekommen sei.

Nach allem, was man bislang weiß, spricht viel dafür, dass es sich bei der Datenlieferung an die Zeitung eher um das Werk eines Alarmisten handelt, der auf eventuell unzureichende Sicherheitsvorkehrungen hinweisen wollte. Bestes Indiz dafür sind die Pin-Nummern, die in dem Datenpaket enthalten waren - die nämlich wurden nicht angerührt. "Es befand sich nur eine geringe Anzahl in dem Paket", sagt Staatsanwältin Doris Müller-Scheu. Laut LBB handelte es sich um genau acht Pin-Nummern. "Zudem waren die Dokumente allesamt noch mit einer Perforierung versiegelt", sagt Müller-Scheu.

Zumindest die Kunden der LBB können bereits jetzt aufatmen. Denn zwar gab die "FR" am Montag bekannt, Hunderte Mails erhalten zu haben, in denen Kunden vom Missbrauch ihrer Karten berichtet hätten. Bis zu 5000 Euro sollen jeweils von den Konten verschwunden sein. Und für den Fall, dass wider Erwarten doch Kundendaten missbraucht worden sind, hat die LBB bereits garantiert, etwaige Verluste komplett zu erstatten.

Mitarbeit: Jan Hauser, mit dpa
Die Wiedergabe wurde unterbrochen.