Datenleck: Majorel hat Kundendaten wohl länger genutzt als vereinbart
Von dem Hackerangriff sind unter anderem die Deutsche Bank, die Postbank, die ING, die Comdirect sowie einige Sparda-Banken betroffen.
Foto: imago images/Westend61Frankfurt. Bei Banken und ihren Kunden wächst der Unmut über das Datenleck beim Kontowechsel-Dienstleister Majorel. Ein Grund dafür ist, dass beim Hackerangriff auf Majorel Daten gestohlen wurden, die das Unternehmen aus Sicht von Beteiligten eigentlich schon hätte gelöscht haben müssen.
Majorel habe ältere Kundendaten ohne Absprache mit den Banken weiter zu Testzwecken genutzt, sagten mehrere mit den Vorgängen vertraute Personen dem Handelsblatt. Aus dieser Testumgebung seien die Daten dann beim Hackerangriff entwendet worden. Majorel wollte sich dazu nicht äußern.
Die Majorel-Tochter Kontowechsel24.de schreibt auf ihrer Internetseite, für einen Kontowechsel nötige personenbezogene Daten „werden in der Regel nach spätestens 365 Tagen gelöscht“.
Bei dem im Sommer 2023 bekannt gewordenen Hackerangriff wurden jedoch allein von Deutsche-Bank- und Postbank-Kunden Daten aus den Jahren 2016 bis 2020 entwendet, wie das Geldhaus erklärte. Auch bei anderen Banken wurden Finanzkreisen zufolge ältere Daten abgegriffen.
Dienstleister dürfen Daten nicht beliebig lang speichern
Von dem Datenleck sind unter anderem die Deutsche Bank, die Postbank, die ING, die Comdirect sowie einige Sparda-Banken betroffen. Ein Sprecher der Deutschen Bank bestätigte außerdem, dass auch ihre Marke Norisbank betroffen ist.
Der Vorwurf, die Majorel-Tochter Kontowechsel24.de habe alte Kundendaten verwendet, ist heikel. „Dienstleister, die für Banken arbeiten, dürfen nicht selbst darüber bestimmen, wie lange sie deren kundenbezogene Daten speichern und nutzen“, sagte der frühere Leiter der Datenschutzbehörde Baden-Württembergs, Stefan Brink, dem Handelsblatt.
„Es wäre nicht mit dem Gesetz vereinbar, wenn ein Dienstleister solche Daten ohne Kenntnis und Einverständnis der Bank für eigene Zwecke nutzt“, erklärte Brink, der heute geschäftsführender Direktor des Wissenschaftlichen Instituts für die Digitalisierung der Arbeitswelt ist.
Von der ING habe es keine entsprechende Erlaubnis gegeben, heißt es in Finanzkreisen. Ein Sprecher sagte, die ING wolle sich „nicht zu vertraglichen Details mit Dienstleistern äußern“.
Die Deutsche Bank teilte mit: „Wir sind in einem kritischen Dialog mit unserem Dienstleister zu dieser erneuten Meldung, was wir nicht weiter kommentieren.“ Das Institut halte sich bei Vorgaben zur Speicherung von Daten „selbstverständlich“ an die gesetzlichen Vorschriften. „Auch von ihren Dienstleistern erwartet die Bank die Einhaltung dieser Vorgaben und trifft entsprechende vertragliche Vereinbarungen.“
Eine Commerzbank-Sprecherin erklärte, das Institut sei in Gesprächen mit Majorel und könne sich zum aktuellen Zeitpunkt darüber hinaus nicht äußern. Eine Sprecherin von Majorel Deutschland sagte, das Unternehmen könne sich aufgrund seiner Rolle als Dienstleister nicht über sensible Informationen bezüglich seiner Kunden äußern.
Kritik an Informationspolitik
Einige Banken sind auch verärgert über den Umgang von Majorel mit dem Datenleck. Die ING Deutschland hat Finanzkreisen zufolge durch eigene Recherchen herausgefunden, dass bei dem Hackerangriff mehr Kundendaten entwendet wurden als im Sommer ursprünglich angenommen, und wurde darüber nicht von Majorel informiert. Die Deutsche Bank ist nach eigenen Angaben wie andere Institute von Majorel darüber informiert worden, dass der Umfang des Datenlecks größer ist als zunächst angenommen.
Das Geldhaus erwägt Finanzkreisen zufolge, einen Wirtschaftsprüfer zu Majorel zu schicken, um die Vorgänge zu überprüfen.
Foto: dpaMajorel und die ING, die weiterhin mit Kontowechsel24.de zusammenarbeitet, wollten sich dazu nicht äußern. Ein ING-Sprecher sagte lediglich, die Bank stehe „aktuell im intensiven Austausch mit dem Dienstleister.“
Am Mittwoch war bekannt geworden, dass das Datenleck bei Majorel deutlich größere Ausmaße hat als bislang bekannt. Zu den abgegriffenen Daten gehören Vor- und Nachname sowie die IBAN. Diese seien bereits im Darknet veröffentlicht worden, sagte ein ING-Sprecher. Das Darknet ist ein anonymer, versteckter Teil des Internets, den man nicht über normale Suchmaschinen erreichen kann. Dort sind auch illegale Marktplätze zu finden, auf denen Kriminelle etwa gestohlene Kontodaten erwerben können.
Banken könnten für ihren Dienstleister haften
Die betroffenen Kunden könnten also zum Ziel von Kriminellen werden. Diese könnten versuchen, über unberechtigte Lastschriftabbuchungen Geld zu erbeuten oder Betroffene weiter ausspionieren, um durch zusätzliche Informationen Zugriff auf die Bankkonten zu erhalten.
Das ist nicht nur für Kunden heikel, sondern potenziell auch für die Banken selbst: „Für einen Datenschutzverstoß bleibt immer der Auftraggeber, also die Bank, verantwortlich“, sagt Datenschutzexperte Brink. Die Auftraggeber müssten die Dienstleister überwachen und darauf achten, in welchem Umfang Daten genutzt und wie lange sie gespeichert würden. Banken müssten es außerdem unterbinden, falls der Dienstleister die Daten für eigene Zwecke nutze.
„Bei Datenschutzverstößen haften die Banken gegenüber ihren Kunden“, betont Brink. „Kunden, denen ein Schaden entsteht, können die Banken verklagen.“
Die Deutsche Bank wiederholte mit Blick auf Entschädigungen ihre Aussagen von Juli 2023. „Unautorisierte Lastschriften können bis zu 13 Monate lang zurückgegeben werden, das Geld wird von der Bank erstattet.“
Die ING verwies auf ihre Aussagen in einem Kundenschreiben: „Falls Dritte die gestohlenen personenbezogenen Daten missbrauchen, erweitern wir in diesem Fall unser Sicherheitsversprechen und ersetzen den finanziellen Schaden.“ Die Commerzbank äußerte sich zu dem Thema nicht.