Datenleck bei Deutscher Bank und Postbank trifft Kontowechsel-Service
Das nächste Datenleck hat die Deutsche Bank und die Tochtergesellschaft Postbank erwischt. Die Deutsche Bank und die Postbank informieren derzeit ihre Kunden über eine Sicherheitslücke bei einem Dienstleister, die zu einem unerlaubten Abfluss sensibler Daten geführt hat. Die IT-Kanzlei Dr. Stoll & Sauer fasst kurz zusammen, was bisher zum Datenleck bei Deutscher Bank und Postbank bekannt geworden ist:
- Laut einem Serienbrief, der am 3. Juli 2023 versendet wurde, haben Angreifer eine Schwachstelle in der Software eines Dienstleisters ausgenutzt. Um welchen Dienstleister es sich handelt, ist bisher nicht öffentlich bekannt.
- Ein Sprecher der Deutschen Bank erklärte, dass das Datenleck nur Kunden betrifft, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechselservice beider Banken genutzt haben.
- Die genaue Anzahl der Betroffenen ist bisher nicht bekannt.
- Medienberichten zufolge wurden Vor- und Nachname sowie die IBAN der Bankkunden kopiert.
- Die Deutsche Bank betonte, dass Kriminelle allein mit diesen Informationen keinen direkten Zugriff auf die Konten der Betroffenen haben.
- Allerdings können sie unberechtigte Lastschriften durchführen, indem sie die IBAN und den Namen verwenden. Es besteht auch die Möglichkeit, dass Unbefugte versuchen, über E-Mails, Anrufe oder Nachrichten weitere persönliche Informationen zu erlangen und für betrügerische Zwecke wie Phishing und Passwortdiebstahl zu nutzen.
- Die Banken empfehlen ihren Kunden, ihre Transaktionen und Kontoauszüge in nächster Zeit besonders sorgfältig zu überwachen. Im Falle einer verdächtigen Abbuchung sollten die Betroffenen umgehend ihre Bank kontaktieren.
- Es wird dringend empfohlen, dass Kunden schnell handeln, wenn sie eine unberechtigte Lastschrift feststellen, die sie nicht selbst veranlasst haben.
- Laut dem Sprecher der Deutschen Bank können unautorisierte Lastschriften bis zu 13 Monate lang von der Bank zurückgefordert werden, und das Geld wird zurückerstattet.
- Ob die betroffenen Unternehmen den Datenschutzverstoß gemäß der Datenschutz-Grundverordnung (DSGVO) bereits gemeldet haben, wozu sie verpflichtet sind, konnte er zunächst nicht bestätigen.
Was können vom Datenleck bei Deutscher Bank und Postbank Betroffene tun?
Die Kriminellen konnten wichtige Daten abgreifen. Die Deutsche Bank rät Betroffenen zu zwei Maßnahmen:
- Überprüfung von Abbuchungen: Es besteht die Gefahr, dass Diebe mit den gestohlenen Daten Lastschriften von den Konten der Betroffenen durchführen. Die Deutsche Bank fordert ihre Kunden dazu auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen. Wenn unautorisierte Lastschriften festgestellt werden, können diese bis zu 13 Monate rückwirkend zurückgegeben werden. Die Bank erstattet das Geld in solchen Fällen. Es ist ratsam, bei verdächtigen Abbuchungen auch die Polizei einzuschalten!
- Vorsicht bei Telefon- und E-Mail-Betrügereien: Obwohl die Diebe allein mit den gestohlenen Daten keinen Zugriff auf die Konten der Betroffenen erhalten können, besteht dennoch die Möglichkeit, dass sie über die Vor- und Nachnamen Telefonnummern ermitteln und durch Anrufe weitere Informationen erfragen. Da sie auch die richtige IBAN haben, könnten sie vertrauenswürdiger erscheinen als gewöhnliche Telefonbetrüger. Daher ist es für die Betroffenen besonders wichtig, doppelte Vorsicht walten zu lassen, sowohl bei E-Mails als auch bei Personen, die an der Tür klingeln, usw. Es ist immer ratsam, die Bank selbst anzurufen und das Problem zu überprüfen, anstatt auf externe Kontakte zu reagieren.
Ganz klar: Betroffene von Datenlecks haben Ansprüche auf Schadensersatz. Insbesondere im Fall des Datenlecks bei Facebook sprechen sich deutsche Gerichte vermehrt für Schadensersatzsummen im vierstelligen Bereich aus. Zusätzliche Unterstützung für Betroffene von Datenlecks und Verstößen gegen die Datenschutzgrundverordnung (DSGVO) gibt es vom Europäischen Gerichtshof (EuGH), der durch ein wegweisendes Datenschutzurteil die Rechte der Verbraucher gestärkt hat. Es ging dabei um die Frage, wann Unternehmen bei Datenschutzverstößen Schadensersatz leisten müssen.
Der EuGH stellte fest, dass Ansprüche auf Schadensersatz nur dann bestehen, wenn infolge eines Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) ein materieller oder immaterieller Schaden entstanden ist (Urteil vom 4. Mai 2023, Az.: C-300/21). Gerade durch den unzureichenden Schutz personenbezogener Daten bei Unternehmen wie Facebook, Deezer, Twitter & Co. oder nun bei Deutscher Bank und Postbank kommt es zu Datenlecks.
Betroffene müssen zukünftig mit negativen Auswirkungen rechnen, haben einen Schaden erlitten und Ansprüche gegenüber den betroffenen Unternehmen. Dr. Stoll & Sauer bietet betroffenen Verbrauchern von Datenschutzverstößen eine kostenlose Erstberatung im Rahmen des Online-Checks an.