Tausende Kunden der Direktbank Comdirect konnten am Montagmorgen über Stunden auf fremde Konten zugreifen. Durch den Fehler landeten sie nach dem Einloggen ins Online-Banking nicht auf dem eigenen Konto, sondern sahen die Konto- und Depot-Stände anderer Kunden, wie ein Sprecher der Commerzbank-Tochter einräumte. Auch Umbuchungen, etwa vom Girokonto auf das Depot, seien möglich gewesen, nicht aber Überweisungen auf andere Konten.
"Am Kundenvermögen ließ sich nichts verändern", betonte der Sprecher. Insgesamt hat Comdirect rund zwei Millionen Privatkunden. Wir haben den Berliner Anlegeranwalt Dietmar Kälberer gefragt, welche Folgen der Vorfall für Kunden hat – er sieht Handlungsbedarf.
WirtschaftsWoche: Herr Kälberer, bei der Direktbank Comdirect waren wegen einer Technikpanne fremde Konten einsehbar. Bestehen Schadensersatzansprüche?
Dietmar Kälberer: Grundsätzlich ja, da das Bankgeheimnis verletzt wurde. Nur gibt es ohne Schaden auch keinen Schadensersatz. Und in Deutschland muss ein solcher Schaden in Geld entstanden sein. Schmerzensgeld ist die Ausnahme.
Die wichtigsten Antworten zur Comdirect-Datenpanne
Ein Sprecher der Bank bestätigte, dass es technische Schwierigkeiten gab. Wie das „Handelsblatt“ berichtete, landete am Montagmorgen ein Kunde der Comdirect-Bank nach dem Einloggen überraschend auf dem Konto eines anderen Kunden. Demnach loggte sich der Mann mehrfach aus und wieder ein - und hatte immer wieder auf verschiedene Konten Zugriff. Ein Redakteur der Zeitung habe den Fehler rekonstruieren können und Einsicht auf ein Konto mit mehr als 50.000 Euro Guthaben auf Giro- und Tagesgeldkonto bekommen.
Unter anderem war es demnach möglich, auch Kontoauszüge aufzurufen. Auch mehrere Leser von „Heise Online“ hätten die massive Sicherheitslücke bestätigt, berichtet das IT-Fach-Portal. Comdirect betonte, nach bisherigem Kenntnisstand sei es jedoch nicht möglich gewesen, die fremden Daten zu manipulieren. „Das Kundenvermögen blieb zu jeder Zeit beim Kunden“, sagte ein Sprecher.
Nach Angaben des Comdirect-Sprechers waren von der Panne „einige tausend Kunden“ betroffen. Die Commerzbank-Tochter mit Sitz in Quickborn hat rund 2 Millionen Kunden. Die Betroffenen sollen „unverzüglich angeschrieben werden“. Über ihre Facebook-Seite kündigte die Bank an, ihre Kunden auf dem Laufenden zu halten, bis zum Nachmittag gab es jedoch keine weiteren Einträge.
Laut Comdirect war die Datenpanne nach einer routinemäßigen Software-Einspielung in der Nacht zu Montag aufgetreten. Weitere Einzelheiten waren zunächst nicht bekannt. Nach einem Neustart war die Website am Vormittag teilweise nur eingeschränkt erreichbar, danach seien die Probleme behoben gewesen, sagte der Sprecher. „Heise Online“ berichtete unter Berufung auf eine interne Quelle, dass möglicherweise ein Datenbank-Fehler der Auslöser war. Das bestätigte der Sprecher jedoch nicht. Die Fehleranalyse laufe noch, sagte er.
Die Panne bei Comdirect ist kein Einzelfall. Erst Anfang Juni war es bei der Deutschen Bank zu einer massiven IT-Panne gekommen. Rund 2,9 Millionen Konten waren davon betroffen. Dabei wurden Abbuchungen und Einzahlungen teils doppelt angezeigt. Die Kontostände wurden dadurch höher angezeigt oder rutschten ins Minus. Insgesamt waren mehr als 13 Millionen Buchungen betroffen. Ursache war laut Deutscher Bank ein Verarbeitungsproblem, das fehlerhaft korrigiert wurde.
Auch bei der DHL kam es zuletzt zu einer Sicherheitslücke, über die sich fremde Paketfächer kapern ließen. Ursache war, dass das Unternehmen die für die Abholung nötige mTAN nicht mehr per SMS an das Telefon des Kunden schickte, sonder sie alternativ auch in der App anzeigte. Dadurch konnten Fremde sich auch ohne Zugriff auf das Handy des jeweiligen Kunden einfacher Zugang zum Code verschaffen.
Hier ist wohl vor allem Vertrauen verletzt worden…
Allein dafür, dass der Nachbar nun weiß, dass man ein Aktiendepot hat, gibt es aber grundsätzlich keine Wiedergutmachung in Geld. Dabei kann auch das störend sein. Wir haben insbesondere gerade bei prominenten oder reichen Mandanten das Problem, dass diese natürlich nicht wollen, dass ihre Vermögensverhältnisse und Anlagegeschäfte veröffentlicht werden.
Ein häufiges Thema bei derartigen Datenlecks sind auch immer wieder Befürchtungen im Hinblick auf Finanzämter. Geldflüsse und ähnliches sind ja manchmal für diese Behörde sehr interessant.
Bleibt die Verletzung des Datenschutzes damit folgenlos?
Nein, nicht unbedingt. Fallen Rechtsverfolgungs- oder Kündigungskosten an, können Kunden diese bei der Bank einfordern. Theoretisch könnten Kunden die Bank auch abmahnen und eine strafbewehrte Unterlassungserklärung nebst Erstattung der Anwaltskosten verlangen. Das könnte für die Bank ziemlich teuer werden. Aber Kunden sind erfahrungsgemäß zurückhaltend.
"Mehr als nur ein großer Imageschaden"
Was sollen Kunden machen?
Rein rechtlich ist die Lage klar: Das Verschulden der Bank wird in solchen Fällen vermutet. Zudem wird der Bank das Verschulden von Hilfspersonen zugerechnet. Das stellt in der Praxis also kein Problem dar. Nur entsteht aus der Verletzung des Bankgeheimnisses unmittelbar keine direkte Schadensfolge.
Die erste Stufe ist daher, dass von der Bank Auskunft verlangt wird, wer auf die Daten zugegriffen hat. Wenn dies nicht mehr nachvollzogen werden kann, kann man wahrscheinlich nur abwarten und die Angelegenheit sehr kritisch und wachsam verfolgen.
Ist das alles?
Nein, Kunden sollten außergerichtlich und unter Fristsetzung die Zusicherung einfordern, dass die Bank sie von allen möglichen Schäden freistellt, die in Zukunft aus der Verletzung des Datenschutzes resultieren. Wenn die Daten dann erst später von Dritten missbraucht werden oder der Datenmissbrauch erst später bekannt wird, ist zumindest die Verpflichtung der Bank dem Grunde nach geklärt.
Klappt das außergerichtlich nicht, könnten Kunden auf Feststellung klagen. Datenmissbrauch ist durchaus ein virulentes Thema und kann zu hohen Schäden führen. Wenn Dritte gar Transaktionen auf Fremdkonten veranlassen konnten, berechtigt dies natürlich auch zum Schadensersatz gegenüber der Bank.
Dafür gibt es bislang keine Hinweise. Wie bewerten Sie den Fall?
Derartige Datenpannen sind natürlich sehr peinlich. Kunden sollten sich fragen, ob die Bank noch als Geschäftspartner in Betracht kommt. Vielfach werden sich Kunden deshalb fragen, ob derartiges ein Kündigungsgrund darstellt. Grundsätzlich ist dies zu bejahen.
Wenn derartige Fehler auftreten, ist es natürlich möglich, dass auch noch andere Fehler vorhanden sind. Deshalb müssen die Kunden dringend alle Transaktionen und Depotbestände auf Richtigkeit überprüfen.
Welche Folgen kann die Datenpanne haben?
Ich sehe mehr als nur einen großen Imageschaden. Das ganze Geschäftsmodell Online-Banking wird ja von den Kunden noch sehr unkritisch und selbstverständlich als sicher angesehen. Dass es da tagtäglich Missbrauch gibt und das Ganze gar nicht so sicher ist, ist vielen unbekannt.