Kuriose Wendung: LBB-Datenskandal: Täter wollten nur ein Stück vom Kuchen

Der Abgeordnete Andreas Kugler lag mit seinem Verdacht daneben. In der Sondersitzung des Datenschutz-Ausschusses im Abgeordnetenhaus zur Daten-Affäre bei der Landesbank Berlin (LBB) hatte der SPD-Politiker noch die Vermutung geäußert, dass mit dem Datenklau „jemand ganz speziell Aufmerksamkeit schaffen wollte für dieses Thema“. Doch nach den Ermittlungen der Staatsanwaltschaft Frankfurt am Main war offenbar der Diebstahl eines Weihnachtsstollens dafür verantwortlich, dass die Daten von 130 000 Kreditkartenkunden in die falschen Hände gelangt sind. Am Nachmittag teilte die Frankfurter Staatsanwaltschaft mit, dass zwei Mitarbeiter eines Kurierdienstes ein an die „Frankfurter Rundschau“ adressiertes Stollen-Paket geplündert und zur Vertuschung der Tat statt des Weihnachtsgebäcks ein für die Landesbank bestimmtes Paket mit Kreditkartenabrechnungen an die Zeitung geschickt hatten. Die beiden Kurierfahrer im Alter von 27 und 35 Jahren, die das an die LBB adressierte Paket mit den Kreditkarteninformationen umleiteten, seien geständig, hieß es. Sie müssten sich nun wegen Diebstahls und Postunterschlagung verantworten, teilte die Staatsanwaltschaft in Frankfurt mit.

Der kuriose Diebstahl hat allerdings weitreichende Folgen auch für die Landesbank Berlin. Denn am Freitag wurde bekannt, dass die Sicherheitsmängel im Umgang mit sensiblen Kundendaten bei der LBB offenbar weitaus größer sind. So entspricht der Datenverarbeitungsvertrag des Kreditinstituts mit dem Frankfurter Dienstleister Atos Worldline nach Einschätzung des Berliner Datenschutzbeauftragten nicht den gesetzlichen Bestimmungen. Ferner hat die Bank den Partner offenbar nur durch eine Fremdfirma kontrollieren lassen, die Atos selbst ausgewählt hatte, sagte der zuständige Mitarbeiter Daniel Holzapfel vor dem Datenschutz-Unterausschuss des Berliner Abgeordnetenhauses.

„Uns ist nicht bekannt, dass der LBB-Datenschutzbeauftragte selbst einmal bei Atos vorbeigefahren ist und geschaut hat, wie dort die Datenverarbeitung läuft“, erklärte Holzapfel. Der Vertrag mit dem Dienstleister zur Bearbeitung der sensiblen Daten von knapp zwei Millionen Kreditkarten wurde bereits 2005 geschlossen, als die Bank sich noch im Landesbesitz befand. Allerdings seien dem Tatenschutzbeauftragten mögliche Einzelverträge der LBB mit Atos bisher nicht vorgelegt worden. Dies lasse den Schluss zu, dass auch sie keine konkreteren Klauseln enthalten. „Damit würde die Auftragsdatenvergabe nicht mehr rechtmäßig sein“, so Holzapfel. Man werde auf der Herausgabe sämtlicher Unterlagen bestehen und darauf drängen, dass die Verträge gesetzeskonform werden.

Aufgrund der dünnen Personaldecke könne man keine prophylaktischen Prüfungen vornehmen, so der stellvertretende Berliner Datenschutzbeauftragte Hanns-Wilhelm Heibey. Nach seinen Angaben ist auch der Transport der Daten zwischen Atos und der LBB nur unzureichend dokumentiert. Wichtiger als über mögliche Sanktionen nachzudenken sei es jetzt aber, „die LBB in bessere Datenschutzzeiten zu begleiten.“

Die Landesbank habe „grundsätzliche Erfordernisse des Datenschutzes missachtet“, sagte der FDP-Abgeordnete Bernd Jotzo. Vertreter der LBB hatten eine Teilnahme an der Sondersitzung zum Datenskandal abgelehnt. Zur Begründung hieß es, die Untersuchung der Vorfälle binde derzeit alle Kapazitäten. Von der Kritik im Ausschuss zeigte man sich „überrascht“. Die LBB arbeite eng mit der Behörde zusammen. Ab- und Eingang der Datensendungen würden quittiert und elektronisch erfasst, sie seien zudem für den Versender elektronisch verfolgbar. Atos werde regelmäßig durch externe Sachverständige überwacht und unterhalte hohe Standards, deren Einhaltung auch von der LBB überprüft werde.

Die Landesbank verschickte gestern Informationsbriefe an die Betroffenen und will deren Karten im Januar austauschen. Im Ausschuss wurde gestern gefordert, dass die Kunden schnell erfahren, welche Abrechnungszeiträume betroffen sind.

Indessen wurde ein weiter Datenskandal bekannt. Die LBB und andere Berliner Banken unterhalten eine illegale, geheime Warnkartei von vermeintlich kriminellen Kunden, berichtete Holzapfel im Ausschuss. Dies sei den Banken mit sofortiger Wirkung untersagt worden. „Der Schutz unserer Kunden und des Unternehmens genießt für uns hohe Priorität“, erklärte dazu die LBB. Auch dieser müsse im gesetzlichen Rahmen erfolgen, sagte Holzapfel. Im Januar wolle man darüber mit den beteiligten Banken sprechen.

Rainer W. During