Tagelang wartete Walter Dulder auf eine Antwort von der Comdirect. Die Ungewissheit machte ihm zu schaffen. "Ich wollte wissen, ob fremde Nutzer Zugriff auf mein Konto hatten", sagt er. An diesem Montag hatte es bei der Direktbank eine der bisher schwersten Daten-Pannen in einem deutschen Kreditinstitut gegeben: Kunden, die sich auf ihr Onlinekonto einloggten, sahen auf einmal die Daten anderer Nutzer auf ihrem Bildschirm. "Das ist für mich keine Lappalie, da erwarte ich eine schnelle Information", sagt Dulder, der seinen richtigen Namen nicht in der Zeitung lesen will.
Es dauerte bis zum Mittwochabend, bis die Unsicherheit für ihn endete. In einer E-Mail informierte ihn die Comdirect, dass sein Konto nicht für andere einsehbar war.
Mehrere Tausend Kunden waren nach Angaben der Bank von der Panne betroffen - entweder, weil fremde Nutzer ihre Kontodaten auf dem Bildschirm hatten, oder weil sie selbst die Daten anderer einsehen konnten. Es handelte sich um jene Nutzer, die sich nach einem Update am Montag zwischen vier und 10.30 Uhr einloggten. Danach fuhr Comdirect das System herunter, um 11.20 Uhr war die Panne behoben. Betroffene Kunden informierte die Direktbank noch am selben Abend, nicht betroffene Kunden zwei Tage später.
In der E-Mail entschuldigt sich Vorstandschef Arno Walter für den Vorfall. "Ich verstehe, wenn Sie verunsichert oder sogar verärgert sind", heißt es darin. Betroffene Kunden, die eine neue Kontonummer wünschten, könnten nun auf die Bank zugehen. Comdirect hat wie vorgeschrieben noch am selben Tag die Finanzaufsicht Bafin und das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein informiert. Dessen Leiterin Marit Hansen spricht von einem "beachtenswerten Ausmaß" der Panne, es sei nicht vergleichbar mit anderen Datenschutz-Fällen von Banken. "Alle Betroffenen, deren Vertraulichkeit verletzt wurde, müssen informiert werden, und zwar über alles, was mit ihren Daten geschehen ist, etwa, ob Transaktionen heruntergeladen wurden", sagt Hansen.
Eine Ordnungswidrigkeit von Comdirect kann die Datenschützerin nicht feststellen, die Meldung bei ihrer Behörde sei schnell erfolgt. Allerdings wartet sie noch auf eine detaillierte technische Begründung. "Comdirect muss darstellen, was genau passiert ist und wie man verhindern will, dass so etwas wieder passiert", sagt Hansen. Eventuell müsse man dann auf Änderungen der Abläufe dringen oder Kontrollsysteme wie das Vier-Augen-Prinzip einführen. Kunden, die sich nach einer angemessenen Zeit von etwa zwei Wochen immer noch nicht umfassend informiert fühlten, könnten sich an ihre Behörde wenden ( mail@datenschutzzentrum.de).
Comdirect-Chef Walter erklärt in dem Brief an die Kunden, "selbstverständlich" führe man bei Software-Updates Vorabkontrollen mit bis zu 20 000 automatischen Testläufen durch. Beim aktuellen Vorgang seien vorher "2000 spezifische Fälle manuell getestet worden". Nun habe man Maßnahmen ergriffen, damit sich der Fehler nicht wiederhole.
Software-Experten zweifeln an der Sorgfalt von Comdirect. "Wenn ein Fehler bereits nach so kurzer Zeit behoben wird, zeigt dies relativ klar, dass die Software vorher nicht ausreichend getestet worden ist", sagt Markus Härtner, Vizechef beim Münchner Software-Spezialisten F5 Networks.