Datenschutz Wenn der Postmann gar nicht klingelt

Der Berliner Landesbank sind Zehntausende Kreditkartendaten abhandengekommen, und niemand weiß warum. Ein Lehrstück darüber, dass Datenschutz ernst genommen werden muss

Es ist wohl ein Fall von "dumm gelaufen", der da gerade die Landesbank Berlin und die Polizei in Frankfurt am Main beschäftigt. Doch er zeigt, wie viele Menschen inzwischen jeden Tag mit sensiblen Daten hantieren und wie groß der Schock ist, wenn nicht jeder von ihnen so arbeitet, wie es von ihm erwartet wird.

Am 12. Dezember erhielt die Redaktion der Frankfurter Rundschau ein Paket, das eigentlich für die Landesbank Berlin bestimmt war, dort aber nie ankam. Darin fanden sich Aufzeichnungen über die Kontobewegungen von Zehntausenden Kreditkartenkunden. Das Paket stammte von der Firma Atos Wordline, die in großem Stil die Datenverarbeitung für Banken und Versicherungen übernimmt. Für die LBB wickelt Atos das Kreditkartengeschäft ab.

Immer wenn jemand mit einer Kreditkarte bezahlt, die die LBB oder eines ihrer Partnerunternehmen wie ADAC oder Amazon ausgegeben haben, landen die Daten darüber bei Atos in Frankfurt am Main. In regelmäßigen Abständen werden dort die Informationen in winzig kleiner Schrift auf Folien kopiert, sogenannten Mikrofiches, und an die LBB geschickt, die diese archiviert.

So auch am 10. Dezember. Der Kurierfahrer eines laut LBB "anerkannten Logistikunternehmens" quittierte den Empfang der Sendung und machte sich per Auto auf den Weg zur Landesbank nach Berlin. Ein für die Bank ganz normaler Vorgang, mehrmals in der Woche kommen solche Sendungen von Atos an und werden in der Bank gelagert. Zehn Jahre lang müssen die Daten dort liegen - so fordert es das Gesetz, damit jederzeit nachvollzogen werden kann, was auf einem Konto passierte, wenn ein Kunde Unregelmäßigkeiten meldet.

Mikrofilme sind dafür kein unübliches Medium, gelten sie doch als lange haltbar, vergleichsweise sicher gegen Datenverlust und schwer weiterverwendbar. Viele große Archive und Bibliotheken nutzen sie, um ihre Datenbestände zu sichern. Disketten oder DVDs lassen sich schnell kopieren und weiterverbreiten, Mikrofilme nicht. Selbst das Lesen ist wegen der kleinen Schrift eher mühsam und braucht spezielle Geräte.

Das Quittierungsverfahren für den Transport sei ebenfalls sicher, sagte LBB-Sprecherin Constanze Stempel, "eigentlich". Rechtlich ist es auch ausreichend, sieht das Bundesdatenschutzgesetz doch vor allem vor, dass Übermittlungsvorgänge überprüfbar zu sein haben. Wie genau der physische Versand zu erfolgen hat, ist nicht geregelt.

Dumm ist nur, dass dieses Mal erstens die Lieferung die Bank nicht erreichte und es dort zweitens niemand merkte. Denn vermisst wurde der Transport nicht, wie es hieß, obwohl er eigentlich am gleichen Tag ankommen sollte und von der Bank wie ein Einschreiben quittiert werden muss. Erst als zwei Tage später die Frankfurter Rundschau anrief, wurde man bei der LBB nervös.

Mit dem ersten Punkt beschäftigt sich nun die Polizei in Frankfurt am Main, mit dem zweiten die Bank. Beide wissen noch nicht sehr viel. Vor allem nicht, wie genau das Paket abhandenkam und zur Zeitung gelangte. Das Betrugsdezernat ermittele noch, sagte ein Polizeisprecher. Auch das Warum sei völlig unklar. "Erst wenn man weiß, ob das Paket gestohlen oder verloren wurde, kann man Rückschlüsse auf das Motiv der Täter oder des Täters ziehen." Die Bank kann auch nicht mehr sagen, und bei Atos möchte man sich gar nicht zu dem Fall äußern.

Direkten Gewinn kann aus den Daten niemand ziehen, einen Zugriff auf die Kartenkonten lassen sie nicht zu. Doch ist ersichtlich, was die Inhaber in einem gewissen Zeitraum mit ihrer Karte so alles bezahlten, enthält die Liste doch Namen, Adressen, Kreditkarten- und Kontonummern sowie Bezahlvorgänge vom August 2008. Für Adresshändler und Werbefirmen durchaus wertvolle Informationen, doch hätten die sie kaum an den Chefredakteur einer großen Tageszeitung geschickt.

Bleibt die Erkenntnis, dass wieder einmal Daten in falsche Hände gerieten, die auf keinen Fall in diese geraten sollten. Politiker forderten deswegen sofort bessere Vorkehrungen zum Datenschutz. Doch braucht es wohl vor allem ein stärkeres Bewusstsein, dass persönliche Daten wertvoll sind und entsprechend behandelt werden müssen. Von jedem.