IBAN in Online Accounts im Klartext erlaubt?

Dieses Thema im Forum "Alltagsprobleme" wurde erstellt von ANIKING, 4. November 2017 .

  1. 4. November 2017
    Hallöchen,

    kurze Frage an die Rechtsexperten hier. Habe mir bei einem Verkehrsverbund eine Account erstellt und meine IBAN dort hinterlegt. Diese wird jetzt unter Vertragsdaten im Klartext angezeigt, also nicht nur die letzten 4 Stellen oder so wie das sonst üblich ist. Der Account und der Bereich Vertragsdaten sind auch nicht zusätzlich durch TAN-Abfrage o.Ä. geschützt, ergo hätte jeder, der deren veraltete Mistseite oder meinen Account knackt, auch gleich meine Kontodaten.

    Habe das Unternehmen auch bereits angeschrieben aber dort reagiert niemand. Würde mein Benutzerkonto ja kündigen, bin nur leider von Zeit zu Zeit darauf angewiesen. Nun zu meiner Frage: Dürfen die das überhaupt??? Kenne es von etlichen anderen Accounts nur so, dass max 4 Stellen sichtbar sind. Wenn das nicht erlaubt ist, würde ich es dem Landesdatenschutzbeauftragten melden, will mich aber auch nicht lächerlich machen.

    Viele liebe Grüße

    Euer ANIKING
     
  2. 4. November 2017
    Wenn du Kundendaten einträgst die nötig sind für den Ablauf der Dienstleistung, dann kannst du diese Daten auch online einsehen und verwalten, damit ist es auch legal das diese Daten dort angezeigt werden, nur für dich natürlich.

    Rechtlich ist der Betreiber nur verpflichtet, das diese Daten keinem dritten zugänglich sind. Wird die Seite gehackt haftet der Betreiber nur wenn die Sicherheitslücke mutwillig bzw fahrlässig nicht beseitigt wurde.

    Kurz: Ja, der IBAN oder Kontodaten dürfen im Account innerhalb des berechtigten Zugangs angezeigt werden. Allerdings gibt es Kritik, da diese besonders sensiblen Daten mehr Schutz erwarten können. Ein Gesetzt das zur Maskierung verpflichtet gibt es meines Wissens noch nicht. Da ja auch Rechnungen und ähnliches per Email versendet wird mit entsprechenden Daten.

    Wichtiger wäre, das die Datenbank ggf. solche Daten verschlüsselt. Dafür gibt es aber auch keine Pflicht.
     
  3. 4. November 2017
    Dass die vertragsrelevante Daten speichern ist klar - das ist ja auch mitunter der Sinn eines Online Accounts. Kenne es allerdings was IBANs angeht ausschließlich so, dass die bspw. als DE** **** **** **** **45 99 oder GBXX XXXX XXXX XXXX XXXX 12 oder DE12 1234 **** **** **** ** etc. angezeigt werden. Und ich hatte schon viele Accounts, allein schon weil ich leidenschaftlicher Neukundenangebotsnutzer bin und jährlich Strom- und Gasverträge wechsle. Habe noch nie erlebt, dass in einem Account meine IBAN im Klartext erscheint, geschweige denn in einer E-Mail. Habe es bei meinen aktuellen Vertragspartnern auch nochmal geprüft: Allesamt maskiert. Im Account und auch auf den Rechnungen. Dachte daher das wäre gesetzlich geregelt. Deswegen konnte ich wohl auch keinen passenden Paragraphen finden. Ist auf jeden Fall ein datenschutztechnischer Fauxpas in meine Augen.
     
  4. 4. November 2017
    Also per Email sollte es nicht verschickt werden, da gab es mal Kritik an der Telekom aber es gibt scheinbar keine gesetzliche Vorschrift, denn die Telekom verschickt nach wie vor Rechnungen unverschlüsselt mit kompletten Bankdaten und mehr. Das die Daten im Account angezeigt werden ist weniger Problematisch weil dann müsste jemand den Account hacken, das macht wenig Sinn. In der Regel werden die Datenbanken also die ganze Seite gehackt und dann ist das eh egal... daher wenn was wichtig ist, dann wäre es die Daten in der Datenbank beim Anbieter zu verschlüsseln.
     
  5. 4. November 2017
    Es ist doch nur die IBAN...was macht ihr für einen Aufstand?

    Das Thema Datenschutz ist viel zu hoch angesetzt....
     
  6. 5. November 2017
    Nur IBAN so so... Was ist denn bitte schützenswerter als die Bankverbindung des Kunden? Ich möchte jedenfalls nicht so gerne, dass ein evtl. Angreifer meine Bankverbindung auf dem Silbertablett serviert bekommt. Auch wenn raid-rush wahrscheinlich Recht hat, dass die größere Gefahr darin besteht, dass gleich die ganze Datenbank gehackt wird - es geht bei so sensiblen Daten auch ums Prinzip.

    Das kann nur jemand sagen, der sich damit noch nicht befasst hat oder strohdoof ist. Wie umfassend tagtäglich in deine Privatsphäre eingedrungen wird, ist dir wohl nicht bewusst. Die Datenkraken wissen nicht nur worauf du nen Ständer bekommst, sondern auch wann und wo. Aber den Otto juckt es nicht.
     
  7. 7. November 2017
    Der Sarkasmus kam wohl bei dir nicht an?

    Zum Thema Bankverbindung: mit der IBAN kann man nichts anfangen. Selbstverständlich geht es immer ums "Prinzip"... sobald keine rationalen Argumente einfallen oder Fakten vorliegen ist es das Prinzip. Wunderbar!

    Mal eine Frage nebenbei: besitzt Du ein Smartphone? Oder jegliche Art an Handyvertrag? Wie "strohdoof" bist du denn eigentlich?

    Möchte nicht unhöflich werden, aber wenn es um persönliche Daten geht wie Alter, Geschlecht usw. wird niemand drum herum kommen. Diese Daten werden so oder so irgendwo bei irgendwelchen Firmen landen. Sei es durch Eintragungen Online auf Foren/Portalen, Verträgen etc.
    Was meinst Du wieso es zigtausende Vakanzen auf dem Arbeitsmarkt sind die sich "Big Data Analyst" nennen?

    Wir wissen alle wer DU bist! ;-)
     
  8. 7. November 2017
    Zuletzt bearbeitet: 7. November 2017
    Wenn du geschriebenen Wortes Sarkasmus äußern möchtest, solltest du den vielleicht irgendwie kennzeichnen. Oder glaubst du andere können deine Gedanken lesen?

    Mit IBAN + kompletten Datensatz (Name, Anschrift, Geburtstag, Geburtsort) kann man sich munter überall registrieren und per Lastschrift zahlen. Sicher kann ich die anschließend zurück holen und Sperren einrichten aber zumindest habe ich erstmal Rennereien. Desweiteren erfolgen bei Neukunden auch oft Bonitätsabfragen, die den institutsinternen Score beeinflussen. Da die bekannten Auskunftsdateien nicht mal offenlegen müssen wie sich dieser berechnet, könnte dadurch sogar deine Bonität für mehrere Jahre beschädigt werden. Vielleicht ist es auch deswegen bei all meinen anderen Vertargspartnern üblich, dass die IBANs maskiert werden??? Ich hoffe jedenfalls, dir hiermit ein rationales Argument geliefert zu haben. ^^

    Ich besitze eine Menge und betreibe hohen Aufwand mich einigemaßen "anonym" im Internet und durch die Welt zu bewegen bzw. so wenig wie möglich über mich preiszugeben. Die Erhebung von Daten wie Alter und Geschlecht stellen auch imho noch keinen Verlust von Privatsphäre dar. Mir ist auch durchaus klar, dass es keinen 100%igen Schutz gibt, außer vll. man zieht ohne Technik in die Wüste. Aber darum ging es hier auch nicht, es ging um einen konkreten Fall. Und wenn du davon keine Ahnung hast, brauchst du auch nicht deinen inhaltslosen Rotz dazu posten. Und nur weil du zum eigentlichen Thema nichts beizutragen hast und dich jetzt angegriffen fühlst weil du dir offenbar den passenden Schuh angezogen hast, brauchen wir auch nicht vom Thema abkommen. raid-rush hatte schon längst alles relevante zu meiner Fragestellung gesagt.
     
  9. 7. November 2017
    Gedanken lesen muss hier keiner. Ich versuche den Sarkasmus in ferner Zukunft für alle ersichtlich zu kennzeichnen.

    Mit der Rennerei nachvollziehbar ABER.... Bonität? Wie kommst du denn darauf?

    Zufällig arbeite ich in diesem Umfeld und kann dir versichern, dass so etwas nicht in die Bonität hineinfließt.
    Vielleicht einmal kurz auf die Bedeutung "Bonität" eingehen: Bonität bedeutet nur, wie Du deinen Zahlungen hinterherkommst. Ob es Zahlungslücken bei fortlaufenden Verträgen oder Abbuchungen gibt. Beispiel: Handyvertrag über 24 Monate á 30€. Findet dort irgendwo eine "Lücke" statt, und es wird nicht auf kurzem Wege getilgt, wirst Du mit einem gewissen Promillesatz registriert.
     
  10. 7. November 2017
    Zuletzt bearbeitet: 7. November 2017
    Naja, zum Kreditscoring verweise ich mal auf Wikipedia: Kreditscoring – Wikipedia

    Kurz gesagt werden damit anhand von bestimmten Kriterien branchenspezifische Wahrscheinlichkeitswerte ermittelt wie es um die Kreditwürdigkeit der Bürger steht. Da diese Kriterien leider nicht offengelegt werden müssen, kann man darüber was die Scores beeinflusst zwar nur mutmaßen, man geht aber davon aus, dass jede einzelne Abfrage bei den Auskunftsdateien diese beeinflusst. Des weiteren wie viele Girokonten du hast, wie oft du umziehst/umgezogen bist, in was für einer Gegend du lebst, wie viele Kreditkarten du hast usw.

    Wie groß oder klein der Schaden in dem Szenario mit der missbräuchlich eingesetzten IBAN wäre sei mal dahingestellt, aber ich müsste mir darüber auch gar nicht erst Gedanken machen wenn alle Unternehmen dazu verpflichtet wären IBANS zu maskieren und zu verschlüsseln. ^^

    Edit: @raid-rush : bei der Telekom werden die IBANs auf den Rechnungen und im Account maskiert. Extra gestern bei meinen Eltern gecheckt. ^^
     
  11. 7. November 2017
    Ja nach der Kritik haben sie irgend wann die letzten 5 Stellen mit gekreuzt. Im Onlinebereich kannst du aber alle Daten einsehen. Ist auch völlig ok, weil wenn jemand dein Account da hackt kann er auch easy dein Onlineaccount für die Bank hacken, was häufig sogar noch einfacher ist. Die Daten hat er also so oder so.
    Und wenn die an deine IBAN kommen dann hacken die nicht einzelne Leute sondern erbeuten ganze Datenbanken von Betreibern, daher ist es eigentlich egal was dort im online Portal angezeigt oder maskiert wird, das bringt nur dann Sicherheit wenn der Datensatz auch verschlüsselt oder maskiert gespeichert ist, was aber fast nie der Fall ist.

    Natürlich macht es beim Email verstand Sinn zu Maskieren weil Hacker häufig diese Daten auswerten. Auch gezielte Angriffe auf Personen finden meist über den Emailverkehr statt wo Daten ausgespäht werden. Der Identitätsdiebstahl ist also durchaus ein Problem, daher gilt je weniger Daten desto besser.
     
  12. 7. November 2017
    Nope bei der Telekom ist die IBAN auch im Account maskiert. Und wie gesagt glaube ich dir gerne, dass die größere Gefahr darin besteht, dass gleich die ganze Datenbank gehackt wird aber auszuschließen ist auch ein Direktangriff nicht. Dass Online-Banking leichter zu hacken ist glaube ich wiederum nicht. Bei meiner Bank ist beim dritten fehlgeschlagenen Loginversuch Schluss, genauso wenn man versucht sich via Tor, VPN oder Proxy einzuloggen. Auf sensible Daten bekommt man auch nur via TAN Zugriff. Bei den meisten Telefon-, Energie- oder Shopping-Anbietern sind solche Sicherheitsmaßnahmen nicht gegeben. Da reicht schon der Zugriff auf die E-MAIL und alles kann munter geändert werden.
     
  13. 9. November 2017
    Also eigentlich muss selbst die IBAN mit den "Sternchen" verdeckt werden. Da spielt Datenschutz eine große und wichtige Rolle. Denn was ist, wenn sich jemand in den Account reinhackt, ja dann kann mit der IBAN viel passieren. Also ich finde es schon wichtig, dass die IBAN nicht im Klartext dargestellt wird.
     
    ANIKING gefällt das.
  14. 10. November 2017
    So sieht's aus. ^^

    Laut meiner Recherche dazu ist es auch bald mehr oder weniger verboten IBANs im Klartext darzustellen, ob nun in E-Mails oder im Account. "Mehr oder weniger" weil es NOCH kein Gesetz gibt, dass explizit sagt "IBANs müssen maskiert werden" aber:

    Quelle: payment-law.eu

    Da die PSD 2 vom deutschen Gesetzgeber bis 13. Januar 2018 in deutsches Recht umgesetzt werden muss und in so einem Fall wohl kaum "erhöhte Sensibilität" beim Umgang mit den Zahlungsdaten der Kunden gegeben ist, wird es wohl schon bald entsprechende Gerichtsurteile dazu geben.
     
  15. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.