Skimming unter dem Datenschutzradar

Unternehmen müssen seit 2009 melden, wenn personenbezogene Daten ihrer Kunden unrechtmäßig in die Hände von Dritten gelangen. Ob diese Meldepflicht gemäß Paragraf 42a des Bundesdatenschutzgesetzes (BDSG) auch das illegale Abgreifen von PINs an manipulierten Geldautomaten betrifft, war zur Einführung der Regelung noch umstritten. Einige Juristen zogen die Anwendbarkeit in Zweifel, weil die Banken ihre Kunden gegen Skimming-Angriffe versichern und deshalb kein materieller Verlust drohe.

Der Bundesbeauftragte für den Datenschutz, Peter Schaar, sieht das anders: "Allein die Tatsache, dass Konto(zugangs-)daten unberechtigten Dritten bekannt werden, stellt nach Auffassung des Bundesbeauftragten ein erhebliches Risiko dar. Schwerwiegende Beeinträchtigungen müssen nicht materieller Natur sein, sondern können auch darin liegen, dass der Betroffene seine Ansprüche durchsetzen muss", erläuterte Schaars Sprecherin Juliane Heinrich. Die BDSG-Regelung habe "präventive Natur", soll also über mehr Informationen zur Gefahrenlage die Betroffenen in die Lage versetzen, passende Vorsorgemaßnahmen zu treffen. Deshalb sei sie auch auf Skimming-Fälle anzuwenden.

Die Begründung des Gesetzgebers bei der Einführung der Meldepflicht bestätigt diese Sichtweise. Wörtlich heißt es: "Die Vorschrift dient zum einen der Eindämmung von Schäden, die durch die Datenschutzverletzung insbesondere beim Betroffenen entstanden sind. Als Reflex soll sie zum anderen zu verstärkten Anstrengungen der Unternehmen zur Sicherung dieser Daten führen."

c't hat bundesweit bei Datenschutzbehörden und Landeskriminalämtern Skimming-Fälle recherchiert. Das Ergebnis: Die Banken halten die meisten Skimming-Angriffe unter der Decke. Meldungen an die Landesdatenschutzbehörden – wie in Paragraf 42a vorgesehen – fanden kaum statt. Wie einer Unterrichtung der Bundesregierung von Januar (PDF-Datei) zu entnehmen ist, fordern die Bankenverbände, die Schwelle für Datenpannen-Meldungen heraufzusetzen, und zwar mit einem kuriosen Argument: Die Schwelle müsse hoch sein, "um eine Meldeflut zu verhindern und die Wahrnehmungsbereitschaft bei den Betroffenen zu erhalten". Offensichtlich verfahren die Banken schon längst nach dem Prinzip "Security by Obscurity", so legen es zumindest die von c't recherchierten Zahlen nahe:

Ergebnisse nach Bundesländern

Der Erste Kriminalhauptkommissar beim Landeskriminalamt (LKA) Nordrhein-Westfalen Frank Scheulen berichtete für das Jahr 2011 von 291 Skimming-Angriffen im Bundesland, 2012 waren es demnach 212, und vom 1. Januar bis 8. Juli 2013 bereits 111 Skimming-Fälle. Die nordrhein-westfälische Datenschutzbehörde teilte mit, dass ihr zwischen dem 29. Februar 2011 und dem 29. Juli 2013 von den mehr als 500 Fällen gerade mal zwei gemeldet wurden. Einer davon betraf rund 630, der andere etwa 200 Personen.

In anderen Bundesländern gibt es eine ähnliche Diskrepanz zwischen strafrechtlichen Ermittlungen und gemeldeten Fällen: Stefan Jung, Pressesprecher des Landeskriminalamt Schleswig-Holstein teilte mit, dass es allein im laufenden Jahr bereits 272 Anzeigen wegen Skimming mit Tatort in Schleswig-Holstein erstattet wurden, die "acht verschiedene Orte des Datenabgriff" betreffen. Zwischen dem 1. März 2011 und dem 8. August 2013 liefen in Schleswig-Holstein 1082 Anzeigen im Zusammenhang mit Skimming auf. Der Datenschutzbehörde Schleswig-Holsteins wurden nach deren Angaben aber zwischen März 2011 und dem 24. Juli 2013 aber kein einziger Skimming-Fall gemeldet.

Auch die Berliner Datenschutzbehörde teilte mit, dass dort seit März 2011 kein Skimming-Fall gemeldet wurde. Beim LKA heißt es dagegen, dass es von März bis Dezember 2011 insgesamt 313 Skimming-Fälle mit 2292 Geschädigten gab, 2012 223 Fälle mit 2544 und vom 1. Januar bis 15. August 115 Fälle mit 1463 Skimming-Opfern.

"Es wurde uns im Jahr 2012 ein Skimming-Fall gemeldet", sagte Jörg Klingbeil vom Landesbeauftragten für den Datenschutz Baden-Württemberg gegenüber c't. Repräsentativ für das Maß der Skimming-Kriminalität im Ländle dürfte auch diese Zahl kaum sein: Wie ein Sprecher des LKA Baden-Württemberg mitteilte, hat es im Jahr 2011 an "101 Geldautomaten 129 Manipulationen" gegeben. "Schwerpunkte waren Manipulationen an Geldautomaten in den Ballungszentren Stuttgart, Karlsruhe und Tübingen", so der Sprecher weiter.

Die Datenschutzbehörde in Mecklenburg-Vorpommern teilte mit, ihr liegen überhaupt keine Meldungen nach Paragraf 42a BDSG vor. Laut LKA Mecklenburg-Vorpommern gab es in dem Bundesland zwischen März 2011 und 8. August 2013 dennoch drei Skimming-Fälle, die sich zwischen Juli und Oktober 2011 im Zuständigkeitsbereich der Staatsanwaltschaft Neubrandenburg abspielten, die auch die Ermittlungen leitet.

In Rheinland-Pfalz wurde seit März 2011 nur ein einziger Skimming-Fall gemeldet, bei dem es einen "ungesicherten Zugriff" gab, erläuterte Stefan Brink, Leiter Privater Datenschutz beim Landesbeauftragten für den Datenschutz Rheinland-Pfalz. Dagmar Meyer, Leiterin der Pressestelle des LKA Rheinland-Pfalz teilte dem gegenüber mit, dass dem LKA "im Jahr 2011 28, im Jahr 2012 23 und mit Stichtag 12. August 2013 13 Fälle des Skimming mit Tatort in Rheinland-Pfalz bekannt geworden" sind.

Der Hessische Datenschutzbeauftragte machte auch auf wiederholte Nachfrage keine Angaben zur Zahl der Skimming-Fälle am Bankenstandort Hessen. Ulrike Müller, Sprecherin des Datenschutzbeauftragten, teilte lediglich mit, dass es in Hessen Datenpannen gab, bei denen, wie es im Bundesdatenschutzgesetz heißt, "auf sonstige Weise" Daten unrechtmäßig übermittelt wurden. Hierzu gehöre auch mindestens ein Fall von Skimming. Das hessische LKA teilte mit, dass die Zahl der "angegriffenen Geldausgabeautomaten" für den Zeitraum von März bis Dezember 2011 bei 45 Fällen und für das Jahr 2012 bei 100 Fällen lag. Die Zahl der "erfolgreich angegriffenen Bezahlterminals in Einkaufsmärkten (sogenannte POS Terminals)" belief sich für den Zeitraum von März bis Dezember 2011 auf 3 Fälle und lag im Jahr 2012 bei 15 Fällen.

In Sachsen gab es laut LKA im Jahr 2012 insgesamt 4 und im Jahr 2011 45 Angriffe auf Geldautomaten und 3 (2012) bzw. 31 (649) manipulierte Geldautomaten. Die Zahl der Geschädigten betrug 114 (2012) bzw. 649 (2011). Diese Statistik hat die Behörde auf Grundlage von Meldungen der Landesdienststellen und der Firma Eurokartensysteme erstellt. "Eine Vollständigkeit der Daten kann nicht gewährleistet werden", so Stefan Brodtrück, Sprecher des LKA Sachsen-Anhalt. Beim Sächsischen Datenschutzbeauftragten wurde nur ein Skimming-Fall bei einer Sparkasse gemeldet, durch den die Kartendaten von 336 Personen betroffen waren.

In Thüringen waren von 14 überhaupt gemeldeten Datenpannen zwei Skimming-Fälle, wie ein Sprecher des dortigen Datenschutzbeauftragten mitteilte. "Im Jahr 2011 wurden dem Landeskriminalamt Thüringen 67 Fälle und in 2012 29 Skimming-Fälle gemeldet", so Ringo Mühlmann vom Landeskriminalamt Thüringen. Die Zahlen für 2013 seien "noch nicht pressefrei."

Nur in Hamburg scheinen die Banken ihrer Meldepflicht stärker nachzukommen: Beim Hamburger Datenschutzbeauftragten gingen zwischen März 2011 und dem 1. August 2013 insgesamt 23 Meldungen über Skimming-Fälle ein. In dem Bundesland werden Skimming-Fälle nicht gesondert in Statistiken erfasst. "Skimming" führt die Polizeiliche Kriminalstatistik des Landes unter dem Straftatenschlüssel "Ausspähen, Abfangen von Daten einschl. Vorbereitungshandlungen §§ 202a, 202b, 202c StGB". Im Jahr 2011 wurden insgesamt 492 Fälle erfasst, in denen Täter Daten ausgespäht oder abgefangen haben beziehungsweise diese Taten vorbereitet haben. Wieviele davon mit Skimming in Zusammenhang stehen lässt sich nicht ermitteln. (Mitarbeit: David Fischer) (hob)