17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
17. Datenschutz- und Informationsfreiheitsbericht
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Technik<br />
2.7.2 Unerkannte Datenübermittlung beim Homebanking<br />
Für heftige Empörung unter Käuferinnen <strong>und</strong> Käufern sorgte eine neue<br />
Version der Homebanking-Software eines bekannten Herstellers. Ohne<br />
hinreichende Information wurden bei Bank-Transaktionen Daten<br />
zunächst an den firmeneigenen Server übermittelt.<br />
Bei der Durchführung von Bank-Transaktionen wurde vor der eigentlichen<br />
Verbindung mit dem jeweiligen Bank-Server ohne Kenntnis der Nutzerinnen<br />
oder Nutzer zunächst eine Verbindung zum Web-Server der Softwarefirma<br />
aufgebaut, um Transaktionsdaten mit Ausnahme von PIN <strong>und</strong><br />
TAN auf Plausibilität zu überprüfen. Auf diesen – aus Firmensicht<br />
nützlichen <strong>und</strong> programmabhängigen – Webservice wurde lediglich vage im<br />
Bedienungshandbuch hingewiesen. Eine gültige Einwilligung lag deshalb<br />
nicht vor. Ebenfalls war die Notwendigkeit der Speicherung dieser Daten für<br />
geschäftliche Zwecke nach § 28 oder § 29 BDSG nicht gegeben.<br />
Nach Intervention konnte eine vertretbare Lösung erreicht werden:<br />
Anwenderinnen <strong>und</strong> Anwender der Homebanking-Software besitzen nach<br />
aktualisiertem Versionsstand nunmehr die Wahlmöglichkeit zwischen einer<br />
„Standard“- <strong>und</strong> einer „Komfort“-Lösung, wobei „Standard“ voreingestellt<br />
ist. Bei der Standard-Lösung werden lediglich die für eine Funktionalität des<br />
Programms zwingend benötigten Daten (Parameter der Versionsnummer der<br />
Software <strong>und</strong> der genutzten Bankmakros, Bankleitzahl sowie die Zugangs-<br />
<strong>und</strong> Transaktionsart) dem Server übermittelt. Der Server überprüft die<br />
Gültigkeit der Bankleitzahl sowie die Zulässigkeit von Zugangs- <strong>und</strong><br />
Transaktionsart. Es werden also weder personenbezogene Daten übertragen<br />
noch ist eine nachträgliche Herstellbarkeit des Personenbezugs möglich. Die<br />
Komfort-Lösung entspricht der bisherigen Funktionsweise. Hierbei werden<br />
alle Transaktionsdaten außer PIN <strong>und</strong> TAN an den Server der Softwarefirma<br />
zwecks Überprüfung übermittelt. Hierüber werden die Nutzerinnen <strong>und</strong><br />
Nutzer jetzt aber konkret informiert <strong>und</strong> müssen der Nutzung dieses<br />
Verfahrens entsprechend zustimmen.<br />
Softwareprodukte mit einem Online-Datenaustausch müssen genau darüber<br />
Auskunft geben, welche Daten zu welchen Zeiten an welche Server übermittelt<br />
werden. K<strong>und</strong>en <strong>und</strong> K<strong>und</strong>innen sind entsprechend zu informieren<br />
<strong>und</strong> die erforderlichen Einwilligungen sind einzuholen.<br />
26<br />
LDI NRW <strong>17.</strong> <strong>Datenschutz</strong>bericht 2005