Schlagwort: Sparkasse

Landesdatenschutzbehörden interessieren sich für AGB-Änderung der Sparkasse

24. August 2017

Die Sparkassen des Landes wollen ihrem Bezahldienst Paydirekt mehr Nutzer verschaffen und damit zur Konkurrenz für den Branchenriesen Paypal werden. Gelingen soll dies durch eine automatische Anmeldung der Sparkassen-Kunden zu dem Dienst.

Im Wege einer nachträglichen Änderung der AGB des Girokontovertrags wird automatisch jeder Sparkassen-Girokonto-Kunde ab dem 06.11.2017 auch Paydirekt-Kunde, sofern nicht ein Widerspruch erfolgt. Die Maßnahme wird wie folgt formuliert: ,,Wir bieten Ihnen hiermit als Änderung ihres Girokontovertrags die Nutzung von Paydirekt ab 06.11.2017 an.“ Bezüglich des Widerspruchs folgt „Ihre Zustimmung zum Änderungsangebot gilt gemäß §675g Abs. 2 Satz 1 BGB iVm Nr. 2 Abs. 2 unserer AGB als erteilt, wenn sie nicht vor dem vorgeschlagenen Zeitpunkt des Wirksamwerdens der Änderung ihre Ablehnung angezeigt habe.“ Das automatische Nutzerkonto muss dann nur noch mit einem Klick aktiviert werden. Der Sparkassen-Kunde muss demnach aktiv tätig werden, wenn er der Änderung nicht zustimmt. Es könnte auch wie folgt formuliert werden: Wer der Änderung nicht schnell genug widerspricht, wird Paydirekt-Kunde ob er das will oder nicht.

Derzeit werden rund 2,7 Millionen Kunden benachrichtigt. Zu beachten ist, dass der Stichtag von Sparkassen-Institut zu Sparkassen-Institut unterschiedlich sein kann, weil die Sparkassen über die Umsetzung selbst entscheiden.

Diese Maßnahme ruft Datenschutzbehörden auf den Plan. Sowohl der Landesdatenschutzbeauftragte in Hessen, als auch der in Thüringen prüfen derzeit, ob die Registrierung mit dem Bundesdatenschutzgesetz zu vereinbaren ist. Grundlegendes Problem ist, dass die Zwangsregistrierung dazu führt, dass die den Sparkassen vorliegenden Stammdaten ihrer Kunden an Paydirekt übertragen werden. Ob dafür eine rechtliche Grundlage gegeben ist, wird bezweifelt. Den Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz dürfte das Vorgehen nicht genügen. Paydirekt rühmte sich bisher mit besserem Datenschutz als bei der Konkurrenz, damit ist die momentane Besorgnis bezüglich des Datenschutzes Wasser auf den Mühlen der Konkurrenz.

Der Sparkassen-Verband rechtfertigt die Änderung mit einem Passus in den AGB, der ihnen ermöglicht, Änderungen am Vertrag automatisch wirksam werden zu lassen, sofern der Kunde nicht widerspricht. Die automatische Einrichtung des Paydirekt-Kontos sehen die Sparkassen als Änderung des Girokontovertrages.

Der Erfolg des Vorgehens ist jedenfalls bei Weitem nicht garantiert. Die Kunden müssen das automatische Konto nicht nur aktivieren sondern es auch darüber hinaus auch nutzen wollen. Wie hoch die Motivation zur Nutzung nach einer Zwangsregistrierung ist, bleibt abzuwarten.

Kategorien: Allgemein
Schlagwörter: ,

Online Banking mittels TAN-Apps in der Kritik

23. Oktober 2015

Wie Forscher der Uni Erlangen in einem Angriff zeigen konnten, ist die Kombination der Sparkassen-Apps Sparkasse+ und pushTAN für Angreifer ausnutzbar. Bei Nutzung beider Apps auf einem Gerät genügt es Angreifern, einen Trojaner auf das Gerät zu installieren, um Transaktionen durchzuführen. Dieser Versuch entblößt zwar mit der Sparkasse vordergründig nur ein Bankhaus. Die Apps der Sparkasse wurden hier jedoch nur exemplarisch gewählt. Die Forscher weisen ausdrücklich darauf hin, dass die Sicherheitslücke bei allen Banken bestehen dürfte, die auf diese Weise vorgehen.

Der Nachteil eines Systems, welches nur auf ein Gerät abstellt, liegt auf der Hand. Ist dieses Gerät einmal kompromitiert, stehen dem Angreifer die Tore zum Konto des Betroffenen offen. Das in dieser Hinsicht sicherlich vorzugswürdige System mittels ChipTan ist in der Praxis unbeliebt, da es für Transaktionen erfordert, dass man einen TAN-Generator zur Verfügung hat.

Grund sofort das Online-Banking einzustellen und wieder auf den Sparstrumpf zu setzen besteht aber vorerst nicht unbedingt. Wie heise online ausführt ist der vorgeführte Angriff auf das Android-Betriebssystem (mittels Root Exploit) durchaus komplex. Die Forscher hätten allein mehrere Wochen benötigt um die App genau zu analysieren. Die Forscher halten einen Angriff von professionellen Online-Banking-Betrügern auf diese Weise aber für wiederholbar. Ein vollends sicheres System, welches gleichzeitig auch größtmögliche Benutzerfreundlichkeit bietet, ist also noch nicht gefunden.