„E-Mail geht nicht, aus Datenschutzgründen“, sagt die professionell-freundlich gelangweilte Dame im Callcenter. „Also, Fax oder Post?“
Aber von Anfang an: Ich habe mehrere Konten und auch Kreditkarten bei der Hamburger Sparkasse. Im Gegensatz zu den meisten Sparkassen bietet die Haspa ihre Kreditkarten nicht direkt an, sondern vermittelt sie nur. Deshalb tauchen die Kreditkarten auch nicht Online-Banking auf und sind nicht per HBCI abrufbar, und wenn man die Abrechnungen einsehen will, muss man sich umständlich und langwierig (mit Briefen und so) bei First Data (Swisscom) anmelden.
Von denen bekommt man dann einen separaten Nutzernamen, der absolut nichts mit irgendwas zu tun hat und dann z.B. mit einem Unterstrich beginnt und die Zeichenfolge O01I enthalten kann. Ein Passwort darf man sich zwar selbst aussuchen, aber nur mit Einschränkungen. Nachdem man dann irgendwann seine Freischaltung per Post bekommen hat, kann man sich mit dem befremdlichen Nutzernamen und dem halbsicheren Passwort in ein unglaublich hässlichesfunktional gestaltetes Webinterface einloggen, wo man seine Kreditkartenstatements als PDF herunterladen kann. Also schonmal eine ziemlich schwache Leistung alles.
Jetzt wollte ich diesen Dienst seit längerem mal wieder nutzen. Die URL hatte ich gebookmarkt, aber sie ist immerhin auch im Online-Banking der Haspa verlinkt. Den Nutzernamen hatte ich mir aufgeschrieben, weil er tatsächlich zwei Unterstriche, einen Buchstaben, und eine Abfolge von ähnlich aussehenden Zeichen enthält. Auch das Passwort hatte ich in einem Passwort-Manager gespeichert.
Trotzdem funktionierte der Login nicht; mir wurde gedroht, dass nach drei Versuchen der Zugang gesperrt würde, und die Passwort-vergessen-Funktion bemängelte, ich habe keine Sicherheitsfrage (die eigentlich „Unsicherheitsfrage“ heißen sollte) definiert und könne daher kein neues Passwort beantragen. Statt dessen solle ich doch bitte eine Mail schreiben und mein Anliegen darlegen. Gute Karten (pun not intended) an einem Freitag Nachmittag. (Schon wenige Stunden nach der Mail kam die Antwort: Ein Autoreply, dass man meine Mail erhalten habe.)
Da ich aber trotzdem gerne zeitnah meine Kreditkartenabrechnung gesehen hätte, verfiel ich auf einen äußerst wagemutigen Plan: Ich rief bei meinem Bankberater an. Oder versuchte es zumindest. Eine freundliche, aber auch sehr leise und zurückhaltende Dame meldet sich bei der Haspa. Mein Bankberater ist im Urlaub, sein Vertreter telefoniert gerade, worum es denn ginge, fragt die Dame am Telefon. Ach, Kreditkarte, da könne sie in der Filiale sowieso nichts machen, sie würden die ja nur vermitteln. Auch Zugang zum Webinterface haben sie nicht, aber ich könne beim Kartenservice in Frankfurt anrufen, die könnten mir weiterhelfen. Sie gibt mir eine 01803-Nummer, und ich freue mich schon, diese von meinem Mobiltelefon anzurufen. Allerdings bekomme ich dort nur die Ansage, dass die Nummer sich „aus gesetzlichen Gründen“ geändert habe, und ich jetzt bitte eine Münchner(!) Festnetznummer anrufen solle.
Nach einer kurzen Wartezeit erreiche ich dort tatsächlich eine Mitarbeiterin. Ich beschreibe ihr mein Anliegen: Ich möchte ins Webinterface, alternativ zumindest irgendwie schnell meine aktuelle Abrechnung einsehen können. Für das Webinterface könnten sie nichts tun, da solle ich eine Mail schreiben, aber die Abrechnung sei „kein Problem“, sagt sie, und fragt mich erst nach meiner Kreditkartennummer und dann, „aus Sicherheitsgründen“, nach einigen persönlichen Daten. Schließlich fragt sie „Post oder Fax?“
Ich bin kurz verwirrt, bevor ich den Sinn der Frage erfasse und mit „E-Mail.“ antworte. Und dann kommt: „Das geht nicht.“ Ich gehe von einem Missverständnis aus und bitte nochmal darum, mir meine Abrechnung als PDF per E-Mail zu senden, aber bevor ich meine Mailadresse buchstabieren kann, sagt sie wieder: „Das geht nicht. E-Mail können wir nicht machen.“
Nun ist meine Neugier geweckt. „Warum nicht?“, frage ich zweimal, nachdem beim ersten Mal nur ein lapidares „Das geht nicht“ kommt. Auf die zweite Nachfrage antwortet sie dann leicht gereizt, „E-Mail dürfen wir nicht, aus Datenschutzgründen“.
Ungläubig frage ich nach. „Nachdem ich Ihnen über eine Telefonverbindung allerhand persönliche Daten genannt habe, können Sie mir meine Kreditkartenabrechnung, die ich sonst über das Web abrufe, nicht per Mail schicken, aber per Brief oder per Fax?“
Sie bejaht. Ich weise sie darauf hin, dass ich, wie wohl die meisten deutschen Privathaushalte, kein Faxgerät besitze, aber auch nicht mehrere Tage auf die Post warten will. Es nutzt nichts. Gut geschult wiederholt sie nur: „Es geht nur Post oder Fax.“
Ich erinnere mich, dass ich noch eine Voice-over-IP-Rufnummer habe, die auch Faxe unterstützt. Also suche ich die Nummer heraus und gebe sie ihr mit dem Hinweis, „da kann ich das Fax per E-Mail empfangen“. Das ist offenbar kein Problem. Wenige Minuten später habe ich eine E-Mail mit einem PDF eines Fax-gescannten Ausdrucks eines PDFs in der E-Mail-Inbox. Und meine Stirn hat einen deutlichen Handabdruck.
Ich wurde nach folgenden Daten gefragt: meiner Kreditkartennummer (nicht öffentlich, aber auch nicht schwer zu kriegen); meinem Namen (steht auf meiner Webseite); meiner Anschrift (steht auf meiner Webseite); meinem Geburtsdatum (steht bei diversen Social Networks); den ersten(!) drei Ziffern meiner Kontonummer (steht auf meiner Webseite, außerdem sind die ersten drei Ziffern bei den meisten Haspa-Konten der letzten Jahre gleich!). Schließlich konnte ich eine unverifizierte Faxnummer nennen, und schon habe ich mein Kreditkartenstatement. Womit ich dann meinen PayPal-Account, meine Amazon-Account und meinen Apple-Account übernehmen könnte. Aber E-Mail versenden?
Das geht nun wirklich nicht. Aus Sicherheitsgründen.
Es besteht halt in vielen Firmen immer noch der Irrglaube "offline ist sicher"
Kreditkartennummer nicht schwer zu kriegen? Los jetzt, sein kein Frosch! Veröffentliche deine Kreditkartennummer hier in den Kommentaren. Das ist doch in einer post-privaten Welt wo überall Kontrollverlust herrscht mit deinen Privilegien gar nicht so schlimm…
Sorry, aber: schlechte Bank. Bei meiner Hausbank werden sämtliche Daten (nicht nur Überweisungen, sondern auch autorisierte Rufnummern und E-Mail- Adressen, herkömmliche Adresse, usw.) per TAN gesichert. In meinem Fall bekommt man eine TAN nur durch eine/n TAN- Box/Generator (den man bei mir zuhause finden und stehlen müsste), welche/r nur durch Einstecken der EC-/Maestro- Karte (die man ebenfalls stehlen müsste) funktioniert. Außerdem muss man sich selbstverständlich in das Online- Interface (dessen Daten man evtl. vielleicht noch relativ einfach ausspähen könnte, aber ich logge mich selten außerhalb meiner Wohnung ein) einloggen.
Allerdings werden meine Kreditkartenabrechnungen auch nur per Post verschickt. Das hat aber wohl etwas mit VISA zu tun… Ebenso ist meine Bank von den kostenlosen, quartalsmäßigen Kontoauszugszusendungen per Post abgerückt und bietet stattdessen normal frankierte (zu bezahlende) oder online verfügbare PDFs an…
Naja, zumindest beim Paypal-Account musst du mWn die Sicherheitsnr hinten auf der KK angeben, nur die KK-Nr reicht nicht. Aber ansonsten freut man sich doch sehr über soviel "Netzkompetenz"
@Peter Nur ein Sith denkt in Extremen.
Haspa *trollololol*
Hallo, stolperte aus gegebenem Anlass – Datenschutz und E-Mail – über diesen sehr schön geschriebenen Beitrag. Glückwunsch. Der Punkt ist getroffen. Aber Adressat ist nicht die Bank, sondern der Gesetzgeber. Für Banken – und viele andere Unternehmen – ist es in der Tat schwierig, gesetzeskonform (!) neue Medien zu nutzen. Banken unterliegen dem Bankgeheimnis. Und bei klassischen unsicheren E-Mails ist in keiner Form erkennbar oder verifizierbar, wer tatsächlich Absender ist. Der Unterschied zu Telefon, Fax und Post besteht darin, dass das Gesetz (!) diese Kommunikationskanäle rechtlich anders, nämlich vertrauenswürdiger bzw. als Punkt-zu-Punkt Kommunikation behandelt. Bei der E-Mail wäre das auch unrproblematisch, sogar juristisch noch klarer möglich, wenn die qualifizierte digitale Signatur zum Einsatz käme. Vorsicht – nicht dass es den nächsten Abdruck auf der Stirn gibt. Ich meine diese Signatur nach dem Signaturgesetz – nicht den halbgaren Quatsch, der da aktuell als "sichere" E-Mail-Kommunikation angepriesen wird. Wichtig: Die gesetzliche Auffassung von "sicher" ist der Maßstab, denn danach richtet sich das Haftungsrisiko. Ich hoffe, damit wird das Verhalten der Bankmitarbeiter – und anderer Unternehmen – nachvollziehbarer. Sinnvoll ist das alles nicht wirklich! Aber es kann ja bald ein neuer Gesetzgeber gewählt werden – sagen wir die Zusammensetzung desselben.
Viele Grüße aus Köln
Stefan Maas
@Stefan_Maas Danke! Die Problematik ist mir vage bekannt. In dem Moment könnte aber doch der supposed Dienstleister sagen, „Wenn Sie’s rechtssicher brauchen, Fax oder Post.“ Ich wollte aber schlicht eine schnelle Information. Ansonsten hätte ich ja auch GPG und sogar S/MIME-Verschlüsselung und -Signierung für Mails anzubieten, aber das macht ja niemand. Und das Debakel nPA+Signaturfunktion, nun ja.
Worüber regst Du Dich eigentlich auf? Dein Passwort hat nicht funktioniert und jetzt willst Du eine Sofortlösung! Das Leben ist anders.
@Alex Eine pragmatische Lösung wäre schön. Wenn das schon „aus Sicherheitsgründen“ nicht geht, wäre es gut, wenn die anderen Lösungen wenigstens sicher wären. Unschön wird es, wenn das ganze System offensichtlich unsicher ist.