Mit einer weiteren Datenpanne hat die Zürcher Kantonalbank das Bankkundengeheimnis und die Datensicherheit verletzt. Dennoch könnte sie nur mit einem Reputationsschaden davonkommen.
Es ist ein Horrorszenario für jede Bank: Heikle Kundendaten zirkulieren unkontrolliert im Internet. Am vergangenen Samstagabend war das während zweier Stunden der Fall: Kunden der Zürcher Kantonalbank (ZKB) konnten über ihre E-Banking-App über das Handy die Kontodaten anderer Kunden einsehen, inklusive Kontostand, IBAN und Art des Kontos. Die Panne wurde bis Sonntagmorgen behoben. Die Pendlerzeitung «20 Minuten» berichtete als Erstes über den Vorfall.
Was als technisches Missgeschick daherkommt, könnte für die Grossbank juristische Konsequenzen haben. Die ZKB musste die Finanzmarktaufsichtsbehörde Finma innert 24 Stunden über das Problem informieren und steht weiterhin mit ihr in Kontakt. Auf Anfrage schreibt die Finma, sie gehe der Sache nach. Die Bankenaufseher wollen wissen, wie es zum Vorfall gekommen ist und wie die ZKB die Ursache beheben will.
Gemäss ZKB handelt es sich bloss um einen «isolierten Einzelfall» im Mobile Banking, weitere Systeme seien nicht tangiert. Auch Kundengelder seien zu keinem Zeitpunkt betroffen gewesen, schreibt die Medienstelle der Bank auf Anfrage. Angaben zur Anzahl Kunden, deren Kontodaten einsehbar waren und die fremde Kontodaten einsehen konnten, wollte die Bank jedoch keine machen. Wie gross die Panne tatsächlich war, lässt sich somit nicht eruieren.
Datensicherheit und Bankgeheimnis verletzt
Bemerkenswert ist, dass die ZKB den Vorfall bis am Dienstag nicht bei der kantonalen Datenschutzbeauftragten gemeldet hat. Bei der Staatsbank stellt man sich auf den Standpunkt, dass die Voraussetzungen für eine Meldung nicht gegeben seien. Dabei schreibt die kantonale Datenschutzbehörde auf Anfrage, dass die ZKB geeignete technische und organisatorische Massnahmen zu ergreifen habe, um Verletzungen der Datensicherheit zu vermeiden. Und: «Wenn Personendaten unberechtigterweise Dritten zugänglich waren, wurde die Datensicherheit verletzt.» Das war am Samstagabend klar der Fall.
Hinzu kommt, dass die ZKB dem Bankengesetz und somit dem Bankkundengeheimnis untersteht. «Wenn Kundendaten zur Kenntnis genommen wurden und Namen ersichtlich waren, wurde das Bankkundengeheimnis verletzt. Es fragt sich dann, ob fahrlässig gehandelt wurde», sagt der Rechtsanwalt David Vasella von der Kanzlei Walder Wyss. Dass jemand vorsätzlich gehandelt habe, erachtet der Datenschutzexperte als unwahrscheinlich. Aber wenn Fahrlässigkeit vorliege, etwa weil in der IT unsauber gearbeitet worden sei, könne eine Verletzung des Bankkundengeheimnisses vorliegen.
Die ZKB geht nicht darauf ein, ob sie den Vorfall als schwerwiegend einstuft. Sie schreibt lediglich, dass sie den Vorfall bedaure und sich dafür entschuldige. «Die Bank hat Sofortmassnahmen getroffen, um eine Wiederholung dieses Vorfalls in Zukunft auszuschliessen», heisst es. Auch die Datenschutzbeauftragte des Kantons Zürich, Dominika Blonski, will aufgrund der vorliegenden Informationen keine Einschätzung hinsichtlich der Schwere des Vorfalls vornehmen.
Kundendaten nicht so wertvoll
Die ZKB beschreibt diesen als «technischen Fehler, der ausschliesslich in seltenen Konstellationen während eines kurzen Zeitfensters auftreten konnte». Für die betroffenen Kunden ist es dennoch eine sehr unangenehme Situation. Die ZKB stehe mit diesen in Kontakt. Betroffene Kunden müssen insofern nicht von sich aus aktiv werden. Es wirft aber ein schiefes Licht auf den Umgang der Staatsbank mit ihren wertvollsten und vertraulichsten Daten, jenen ihrer Kunden.
Kundendaten werden von Banken traditionell mit Umsicht behandelt, weil Fehler juristische Konsequenzen haben können. Doch mit der Digitalisierung hat sich auch das geändert. «Bankkundendaten haben nicht mehr den Stellenwert, den sie einmal hatten», sagt der Anwalt David Vasella. Es liege aber an den zuständigen Behörden, den Fall weiter abzuklären und falls nötig juristisch aufzuarbeiten.
Damit stehen zunächst die eidgenössischen und kantonalen Datenschutzbehörden in der Pflicht. Doch diese gelten als eher passiv in solchen Fällen, zumal sie viele Meldungen von Vorfällen erhalten; oft unternehmen sie nicht viel mehr, als einen Mahnbrief zu schreiben. Dabei beschreibt die Datenschützerin Blonski ihre Aufgabe auf der Website ihrer Behörde wie folgt: «Unsere zentrale Aufgabe besteht im Schutz der persönlichen Daten und damit der Privatsphäre der Einwohnerinnen und Einwohner des Kantons Zürich.»
Aber auch die Finma muss ihre Aufsichtspflicht erfüllen, besonders weil es sich bei der ZKB um eine systemrelevante Bank handelt. Ob und was sie unternehmen wird, könnte jedoch nie öffentlich werden. Denn gemäss ihrer Usanz äussert sich die Behörde nicht zu den Einzelheiten ihrer Aufsichtstätigkeit bei konkreten Instituten. Letztlich könnten auch die Strafverfolgungsbehörden aktiv werden wegen der Verletzung des Bankgeheimnisses. Hier braucht es jedoch einen Anfangsverdacht, dass die ZKB-Informatiker fahrlässig gehandelt haben könnten.
Sehr seltene Panne
Es ist also wahrscheinlich, dass sich die ZKB bloss mit einem Reputationsschaden aus der Affäre ziehen kann. Wobei der Vorfall zu einem ungünstigen Zeitpunkt passiert ist. Erst im letzten Februar sorgte die Grossbank mit einer IT-Panne für Schlagzeilen: 30 000 Mitarbeiter der Stadt Zürich erhielten ihr Gehalt doppelt ausgezahlt. Schuld am Vorfall soll damals die ZKB-Lieferantin Swisscom gewesen sein.
Die Bank hebt hervor, dass sie ihre IT-Systeme grundsätzlich selbst unterhält. Ein IT-Experte aus dem Bankenumfeld sagt jedoch, dass im vorliegenden Fall zwar keine Daten verlorengegangen seien, dass aber die Veröffentlichung von Kundendaten mit das Schlimmste sei, was einer Bank passieren könne. Zudem müssten die Systeme schnellstmöglich abgestellt werden, nicht erst nach zwei Stunden.
Für Kunden tröstlich sein dürfte, dass ein solcher Datenunfall in der Schweiz ein sehr seltenes Ereignis ist. Das sagt der IT-Experte René Stierli von der Beratungsfirma Itopia. Die IT-Systeme seien heutzutage aber so komplex und auf Resilienz gesichert, dass sie kaum mehr bis ins letzte Detail durchschaubar seien. Vieles sei automatisiert, man könne nur beschränkt manuell eingreifen, sagt er.
Insofern könnten Datenpannen immer passieren, man könne nicht jedes mögliche Szenario im Voraus mit Tests durchspielen. Das ändert jedoch nichts an der Tatsache, dass die Bank gegenüber ihren Kunden verantwortlich ist, deren Daten zu schützen.