VII. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2003 - 31.03.2005
18.11 Online-Banking bei Gerichtsvollziehern
Nehmen Gerichtsvollzieher zur Führung eines Dienstkontos am Online-Banking-Verfahren teil, führt das häufig zur Verarbeitung personenbezogener Daten der Zahlungspartner. Das war vom Ministerium der Justiz auch so gesehen worden, als es beabsichtigte, eine Allgemeinverfügung nebst Begleiterlass zur Genehmigung der Teilnahme am Online-Banking-Verfahren für den Geschäftsbereich der Gerichtsvollzieher in Kraft zu setzen. Es beteiligte rechtzeitig den Landesbeauftragten.
Der musste feststellen, dass sich der Erlassentwurf nur auf das PIN/TAN-Verfahren (PIN = persönliche Identifikationsnummer, TAN = nur einmal verwendbare Transaktionsnummer) bezog, das unter bestimmten Umständen wesentlich sicherere HBCI-Verfahren (HBCI = Home Banking Interface) damit überhaupt keine Beachtung fand. Außerdem war beabsichtigt, dass soweit als möglich PIN und TAN nicht im EDV-System zu hinterlegen sind. In seiner Stellungnahme regte der Landesbeauftragte an, auch das HBCI-Verfahren zuzulassen und vor allem die Speicherung von PIN und TAN im EDV-System ausnahmslos zu unterbinden. Dies hätte auch einer Bestimmung des Erlasses entsprochen, nach der die Übersendung von TAN online nicht gestattet ist.
Durch die Speicherung von PIN und TAN im EDV-System besteht durchaus die Möglichkeit, dass bei nachlässiger Sicherheitskonfiguration, z.B. Fehlen einer Personal Firewall, durch einen Dritten ein Spionageprogramm auf den PC geschleust wird, das die gespeicherten Nummern unbemerkt an den Dritten sendet, der sie missbraucht.
Leider hat die Argumentation des Landesbeauftragten das Ministerium der Justiz zunächst nicht überzeugt. Zwar wurde ein Speicherverbot für PIN und TAN begrüßt, jedoch wurde dem nicht gefolgt, da dadurch einige Softwareprodukte, nämlich solche, die PIN und TAN speicherten, von der Verwendung ausgeschlossen seien, ohne dass damit eine qualitative Änderung des Sicherheitsstandards verbunden sei. Man würde als Kompromiss nun klarstellen, dass die PIN/TAN-Speicherung nur zulässig sei, wenn die Arbeitsweise des Programms dies zwingend voraussetze.
Erst als der Landesbeauftragte das Argument nachschob, bei gespeicherten PIN und TAN könne außer datenschutzrechtlich bedenklichen Situationen auch ein deutlich erhöhtes Risiko hinsichtlich böswilliger Finanztransaktionen vorliegen, konnte sich das Ministerium der Justiz dem Landesbeauftragten anschließen und die PIN/TAN-Speicherung in dem Erlass generell untersagen.
Durch den Arbeitskreis Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder wurde im Berichtszeitraum eine Arbeitsgruppe gebildet, die sich auch mit PIN- und TAN-Speicherung befasste und eine Orientierungshilfe zum datenschutzgerechten Anschluss an Internet und Online-Banking bei Gerichtsvollziehern erarbeitet hat.
Sie ist im Service-Angebot auf der Homepage des Landesbeauftragten zum Download verfügbar.