Banken ignorieren Meldepflicht für Skimming-Fälle

Skimming, das illegale Abgreifen von Kartennummern und Passwörtern an Geldautomaten, ist mehr denn je ein Risiko für Kunden und Banken. Seit 2009 müssen Unternehmen – also auch private Geldhäuser – nach Paragraf 42a des Bundesdatenschutzgesetzes melden, wenn personenbezogene Daten ihrer Kunden unrechtmäßig in die Hände von Dritten gelangen. Im Auftrag von c't hat der Journalist Marvin Oppong bundesweit bei Datenschutzbehörden und Landeskriminalämtern Skimming-Fälle recherchiert. Das Ergebnis: Die Banken halten fast alle Skimming-Angriffe unter der Decke. Meldungen an die Landesdatenschutzbehörden fanden kaum statt, die aber nach Ansicht des Bundesdatenschutzbeauftragten zwingend erforderlich sind.

Die nordrhein-westfälische Datenschutzbehörde etwa teilte mit, dass ihr zwischen dem 29. Februar 2011 und dem 29. Juli 2013 von den mehr als 500 strafrechtlich ermittelten Fällen gerade mal zwei gemeldet wurden. Beim Landeskriminalamt Schleswis-Holsteins liefen zwischen dem 1. März 2011 und dem 8. August 2013 1082 Anzeigen im Zusammenhang mit Skimming auf. Der Datenschutzbehörde Schleswig-Holsteins wurden nach deren Angaben aber zwischen März 2011 und dem 24. Juli 2013 aber kein einziger Skimming-Fall gemeldet.

Ähnliche Diskrepanzen zwischen den Fallzahlen der Landeskriminalämter und den gemeldeten Skimming-Angriffen gab es in fast allen Bundesländern. Nur in Hamburg scheinen die Banken ihrer Meldepflicht stärker nachzukommen: Beim Hamburger Datenschutzbeauftragten gingen zwischen März 2011 und dem 1. August 2013 insgesamt 23 Meldungen über Skimming-Fälle ein. In dem Bundesland werden Skimming-Fälle nicht gesondert in Statistiken erfasst, deshalb ist ausgerechnet hier kein Vergleich zwischen Meldungen und Anzahl der registrierten Straftaten möglich.

Details zu den Anfragen bei Datenschutzbehörden und Landeskriminalämtern bringt der Hintergrundbericht auf c't online:

• Skimming unter dem Datenschutzradar

(hob)