Datenschutzbehörde  Datenschutz Europa privacy service
 
2003/03/31 Datenweitergabe durch die Banken - Informationspflichten unzureichend erfüllt
Nach OGH-Urteil im November 2002 - Geschäftsbedingungen der Banken werden nur zögerlich angepaßt - Unklarheiten über Bedingungen, Zulässigkeit und Umfang der Datenweitergabe bleiben bestehen - Informationspflichten im Internet-Banking bis Frühjahr 2003 nur teilweise erfüllt - Info-Check-Liste für Online-Kunden - Geschäftsbedingungen zur positiven Profilierung zu wenig genutzt - Deutsche Internetangebote werden in Zukunft für Österreicher attraktiv

Analyse von 36 Banken und Sparkassen mit Internetbanking

Im November hatte der OGH wesentliche Teile der Geschäftsbedingungen einer Bank aufgehoben. Kern der Kritik: 'Für Konsumenten ist nicht nachvollziehbar, welche Daten tatsächlich an wen weitergegeben werden und wozu der Konsument zustimmt.' Da sich diese Bestimmungen praktisch gleichlautend auch bei anderen Banken finden, entstand für alle Finanzinstitute Anpassungsbedarf.

Mehr als drei Monaten sollten ausreichen, die Anpassungen im Sinne der OGH-Entscheidung durchzuführen. Die ARGE DATEN hat daher die Geschäftsbedingungen jener Banken/Sparkassen analysiert, die auch Internetbanking (Online-Banking) anbieten. Es sind dies einerseits die größten Finanzinstutute des Landes, andererseits ergeben sich durch die zusätzlichen e-commee-Bestimmungen erhöhte Verpflichtungen zur Information und Aufklärung der Konsumenten.

Zusätzlich wurden 4 deutsche Internet-Banking-Angebote berücksichtigt.


Verfügbarkeit der Geschäftsbedingungen

Grundsätzlich stellt sich die Orientierung, welche AGB's tatsächlich gelten, für den Konsumenten als äußest schwierig dar. Praktisch alle Finanzinstitute verwenden für das Online-Banking AGB's, die zu den normalen AGB's zusätzlich gelten. Nur im Ausnahmefall sind diese Bestimmungen in einheitlichen AGB's integriert.

In einigen Fällen werden noch weitere Zusatz-AGB's verwendet, die Detailaspekte des Girokontengeschäfts regeln und manche Banken berufen sich auf die vom WK-Branchenverband 'Banken' herausgegebenen 'allgemeinen' AGB's, im Ergebniss kann es passieren, das ein Konsument bis zu vier ineinander verschachtelte AGB's berücksichtigen muß.

Im Alltag der Kontoführung und Geldüberweisungen wird das unerheblich sein, problematisch wird dies im Reklamations- oder Schadensfall. Welche Beweis- und Informationspflichten die Bank und/oder den Konsumenten treffen, kann ebenso schwer herauszufinden sein, wie die Tatsache, auf Grund welcher Vereinbarungen welche Daten an Dritte weitergegeben wurden.

Positiv ist uns aufgefallen, dass zwei Banken alle ihre Geschäftsbedingungen in einem einzigen Dokument veröffentlichen.


Informationspflichten umfassender als bisher

Die nunmehr gültigen Informationspflichten gehen wesentlich weiter als noch vor 4-5 Jahren. Die Banken snd nicht nur verpflichtet, Datenweitergaben nur unter strenger Beachtung des Bankgeheimnisses und des Datenschutzes durchzuführen, sondern sie sind auch verpflichtet, den Konsumenten über diese Datenübermittlungen so detailliert zu unterrichten, dass auch der rechtliche Laie nachvollziehen kann, wer welche Daten über ihn zu welchen Zweck erhält.

Diese Informationspflichten werden praktisch durchgehend mißachtet. Auch bei großen Banken besteht immer wieder der Eindruck, dass durch intransparente Geschäftsbedingungen der Konsument auf die Interpretation durch den Bankangestellten angewiesen bleiben soll. Im Reklamationsfall bleibt der Konsument vom 'Good-Will' 'seiner' Bankfiliale abhängig. Eine Situation, die im Zeitalter des Online-Bankings nicht mehr tragfähig ist.


Informationspflichten nicht erfüllt

Analysiert man die AGB's der Finanzdienstleister in Hinblick auf die Datenweitergabe, kommt ein erstaunlicher Gleichklang zu Tage. Im wesentlichen existieren drei Gruppen.

Gruppe A:
Jene Banken und Sparkassen, die nach dem OGH-Urteil die rechtswidrigen Passagen Z26/Z27 schlicht gestrichen haben und keinerlei Aussagen zur Datenweitergabe machen (auch nicht außerhalb der Geschäftsbedingungen) und damit auf ein Informationsniveau vor Einführung des DSG 2000 zurückfallen. Eine offensichtlich unerwünschte und gegenüber den Konsumenten unfaire Konsequenz des Urteils. In diese Gruppe fallen Institute wie:
- BANK AUSTRIA Creditanstalt, A-1010 Wien
- BAWAG, A-1010 Wien
- Easy Bank AG, A-1020 Wien
- Erste Bank der österreichischen Sparkassen, A-1010 Wien
- SKWB SCHOELLERBANK AG, A-1010 Wien
- SPARDA Bank Wien Aktiengesellschaft, A-1020 WIEN
- Österreichische Postsparkasse  (PSK), A-1018 Wien

Gruppe B:
Banken und Sparkassen, die das Urteil schlicht ignorieren und die aufgehobenen Passagen unverändert in den Bedingungen belassen. Beispiele dazu:
- Bank fuer Tirol und Vorarlberg  BTV, A-6020 Innsbruck
- Bank für Kärnten und Steiermark AG, A-9020 Klagenfurt
- CAPITAL BANK - GRAWE  GRUPPE AG, A-8010 GRAZ
- HYPO ALPE-ADRIA-BANK AG, A-9020 Klagenfurt
- Landes-Hypothekenbank Steiermark Aktiengesellschaft, A-8010 Graz u.a. Hypothekenbanken
- Raiffeisen-Landesbank Tirol  AG, A-6020 Innsbruck
- RAIFFEISENLANDESBANK BURGENLAND, A-7000 EISENSTADT u.a. Raiffeisenbanken
- SPARDA-BANK LINZ REG.GEN.MBH, A-4021 Linz

Gruppe C:
Ausländische Finanzinstitute mit und ohne Niederlassungen in Österreich. Hier finden sich zum Teil erweiterte Informationen zur Datenweitergabe.


Unfaire Bestimmungen für den Konsumenten

Die Institute der Gruppen A und B handeln im Gleichklang auf Grund (alter/neuer) Vorgaben des Bankenverbandes der Wirtschaftskammer. Erst im Bereich der Telebanking-Vereinbarungen, der Bank-Konditionen und der Sonderleistungen ergeben sich - oft schwer nachvollziehbare - Unterschiede.

Theoretisch könnte eine gleichartige Gestaltung von grundlegenden Geschäftsbedingungen auch im Interesse des Kunden sein, da er damit die Sicherheit haben könnte, bei allen Instituten gleichermaßen fair behandelt zu werden. Im konkreten Fall ist jedoch das Gegenteil der Fall. Sowohl die aufgehobene Datenübermittlungsbestimmung (Gruppe A), als auch die fehlende Datenübermittlungsinformation (Gruppe B) stellen gegenüber den Konsumenten ein unfaires Verhalten dar.

Darüber hinaus erhebt sich die Frage, wenn alle Einrichtungen einer Branche völlig gleiche Bedingungen haben, warum diese Bestimmungen nicht von vornherein gesetzlich geregelt sind. Dies würde die Rechtssicherheit wesentlich verbessern.


Weitere Informationsmängel im Online-Betrieb

(1) Fehlende Online Geschäftsbedingungen (10 von 36 Anbietern)
Relativ häufig fehlten die speziellen Telebanking-Geschäftsbedingungen. Grundsätzlich könnte eine Bank zwar argumentieren, dass diese sowieso bei Abschluß der Vereinbarung zugeschickt wurden, tatsächlich enthalten aber alle Bedingungen einen Änderungsvorbehalt, der Konsument kann daher nicht mehr sicher sein, dass seine Druckversion die zuletzt Gültige ist.
Es wäre ein Gebot der Fairness, diese Bestimmungen immer Online bereit zu stellen.

(2) Fehlende allgemeine AGB's (8 von 36 Anbietern)
Manche Finanzinstitute publizieren zwar die Online-Telebanking-Bestimmungen, nicht jedoch die allgemeinen AGB's, die Voraussetzung für die Kontoführung sind. Manche Institute verzichten überhaupt auf die Veröffentlichung der Bestimmungen (2 Anbieter veröffentlichen überhaupt keine AGB's).

(3) Praktisch nicht auffindbare AGB's
In einigen Fällen wurden die AGB's regelrecht 'versteckt' und konnten nur durch langes Suchen gefunden werden. In etlichen Fällen wurden diese AGB's bei einer Kontrollsuche durch eine zwar interneterfahrene, aber nicht speziell geschulte Person nicht gefunden. Das e-commerce-Gesetz verlangt jedoch nicht bloß die theoretische Online-Verfügbarkeit derartiger Informationen, sondern auch die für einen Laien leichte Auffindbarkeit. Links die nicht über die Hauptseite oder über die Telebanking-Login-Seite abrufbar sind, sind ungenügend. In einem Fall konnte der AGB-Link nur die lokale Suchmaschine in einer Pressemitteilung versteckt gefunden werden - und ging ins Leere!

(4) Veraltete AGB's Online
Bei einigen Anbietern ergab sich der Verdacht, dass alle oder einige seiner Online präsentierten Bestimmungen schlicht veraltet sind. Grundsätzlich besteht zwar keine Verpflichtung AGB's laufend zu verändern und zu aktualisieren, für Konsumenten sind in der Regel gleichbleibende Bestimmungen von Vorteil, zumindest erleichtern sie die Orientierung. In etlichen Fällen wurden jedoch Telebanking-Bestimmungen aus dem Jahr 1999 gefunden, obwohl zum selben System einer anderen Bank Bestimmungen aus dem Jahr 2001 veröffentlicht wurden!

Ein Anbieter ist seiner Zeit voraus und präsentiert AGB's mit Gültigkeit Mai(!) 2003.

(5) Fehlende Adressangaben und Unternehmensbezeichnungen
Bei einigen Telebanking-Auftritten fehlte entweder in den Geschäftsbedingungen und/oder auf der Webseite die genaue Angabe des Vertragspartners. Bei einem Auftritt fehlte sogar eine Postanschrift, ein klarer Verstoß gegen das e-commerce Gesetz.


Onlinesicherheit grundsätzlich gegeben

Grundsätzlich bieten alle östereichischen Telebanking-Betreiber den Onlineverkehr mit 128-bit SSL-Verschlüsselung an. Einige Telebanker 'verstecken' diese Verschlüsselung im Login-Formular, was zwar technisch machbar, aber bei vielen Konsumenten zu Verwirrung führt. Bei Aufruf des Login-Formulars erscheint weder eine https-URL, noch das bekannte geschlossene 'Schloß' im Browserfenster. Die ARGE DATEN hatte schon eine Reihe von Anfragen verunsicherter Konsumenten, die nicht erkennen konnten, ob ihre Daten verschlüsselt oder unverschlüsselt übertragen werden.

Bei zwei Telebanking-Angeboten ist jedoch auch ein Login ohne SSL-Verschlüsselung möglich. Eine Sicherheitslücke, bei der im Falle eines Mißbrauchs, ein Kunde erfolgreich argumentieren könnte, dass seine Logindaten durch Verschulden des Betreibers ausgespäht wurden.

Alle Telebankering-Betreiber bieten allgemeine Informationen zum Thema Sicherheit und Online-Verbindung an. Ob diese Informationen von Laien tatsächlich gelesen und verstanden werden, bleibt dahin gestellt.

Eine dem Stand der Technik mögliche Online-Information bei jedem Verbindungsaufbau erfolgte nur bei einem Telebanking-Anbieter. Wermuthstropfen bei dieser - an sich vorbildlichen - Aktion, die Informationen waren zum Teil falsch!

Grundsätzlich ist nicht nachvollziehbar, warum die technische Informationstätigkeit nicht bei allen Internetbanking-Ausbietern ausgebaut wird. 11 der untersuchten Angebote verwenden individuelle Internetbanking-Lösungen, alle anderen Betreiber, aber auch die Angebote lokaler Spar-, Raiffeisen- und Hypo-Kassen, nutzen eines von drei Systemen der Unternehmen:
- Racon Software GmbH, Linz
- SPARDAT Sparkassen-Datendienste, Wien
- ARZ Allgemeines Rechenzentrum, Innsbruck

Unverständlich sind auch die zusätzliche Sorgfaltspflichten und Zusatzvereinbarungen, die manche Internetbanking-Betreiber den Kunden aufbürden, um die - grundsätzlich vorhandenen - Risken des Telekom-Betriebes auf die Kunden abzuwälzen (siehe: http://www2.argedaten.at/php/cms_monitor.php?question=PUB-TEX...).


Verspätete Sperre von Zugriffsberechtigungen

Alle Telebanking-Vereinbarungen sehen eine automatische Zugriffssperre nach dreimaliger Falscheingabe vor. Große Unterschiede bestehen jedoch bei der Wirksamkeit der Sperre auf Kundenwunsch.

Korrekt wäre eine sofortige Wirksamkeit zum Zeitpunkt des per Telefon/Post/Fax/e-mail einlangenden Sperrwunsches. Tatsächlich lassen sich einzelne Banken bis zu vier Stunden Zeit, andere legen sich überhaupt nicht fest und behelfen sich mit einer Formulierung wie 'die Sperre erfolgt im Rahmen des banküblichen Geschäftslaufes unverzüglich', was immer das bedeuten mag. Die sofortige Wirksamkeit der Sperre ist den Banken sowohl technisch, als auch wirtschaftlich zumutbar.


11 Punkte - Checkliste zum Online-Banking

An Hand dieser Kriterien sollten Bankkunden den Internetbanking-Auftritts 'ihrer' Bank beurteilen:
- alle zum Bankgeschäft relevanten Bedingungen sind in der aktuellen Fassung Online verfügbar
- alle Geschäftsbedingungen sind in einem einzigen Dokument zusammen gefasst
- die Geschäftsbedingungen sind von der Homepage und/oder nach Login auf jeder Internetbanking-Seite direkt abrufbar
- es ist eine umfassende Information über die 'Kreditschutzeinrichtungen' der Bank und der Datenfluss zu Gläubigerverbänden Online verfügbar
- ein Login ist nur über eine SSL-verschlüsselte Seite möglich
- der Kunde erhält nach Login eine aktuelle Information über den Sicherheitsstand seiner Internetverbindung
- Stornierungen von Internetbanking-Geschäften sind innerhalb einer gewissen Zeitspanne möglich (innerhalb von 1-4 Stunden, bis zu einem bestimmten Termin, wie 14 Uhr oder am selben Banktag)
- Sorgfaltspflicht bleibt auf die sichere Verwahrung von Codes, wie PIN/TAN beschränkt
- keine überzogenen Sorgfaltsverpflichtungen, die IT-Spezialkenntnisse voraussetzen oder praxisfern sind
- Übermittlungsfehler werden nicht grundsätzlich auf den Kunden abgewälzt
- Sperre von verlorenen Codes wird unverzüglich wirksam (ab Zeitpunkt der Benachrichtigung)

Diese Punkte ergaben sich aus der vergleichenden Analyse der verschiedenen Angebote. Jeder einzelne Punkt wird von einem oder mehrerer Institute angeboten und ist daher rechtlich, wirtschaftlich und technisch erfüllbar.

Sind diese Punkte bei der eigenen Bankvereinbarung nicht oder nur beschränkt erfüllt, sollte man vorerst das Institut darauf anssprechen, erfolgt keine Reaktion, sollte auch der Wechsel des Instituts, zumindest im Giorkonto-Bereich in Erwägung gezogen werden.


Deutsche Angebote in naher Zukunft attraktive Alternative

Neben der Entrium-Bank, einer Tochter der 'Allgemeinen Deutschen Direktbank' mit Niederlassung in Leonding wurden auch 4 in Deutschland beheimatet Institute analysiert. Positiv aufgefallen ist uns die Informationspolitik der deutschen Postbank, die zur Datenweitergabe an die SCHUFA, dem deutschen KSV1870-äquivalent ein umfassendes Merkblatt über Umfang und Bedingungen der Datenweitergabe bereit stellt.

Auch der Zeitpunkt der Wirksamkeit einer Sperre des Online-Bankings ist wesentlich konsumentenfreundlicher formuliert: 'Die Bank haftet ab dem Zugang der
Sperrnachricht für alle Schäden, die aus einer Nichtbeachtung der Sperre entstehen.'


Nutzung des Internetbankings bei ausländischen Instituten derzeit praktisch gehemmt

Die Nutzung des Internetbankings direkt bei einem Finanzinstitut eines anderen EU-Landes ist derzeit noch einigen praktischen Hemmnissen unterworfen, die jedoch bis 2004 beseitigt werden dürften.

Hemmniss 1:
Um ein Girokonto gültig abschliessen zu können, ist EU-weit die Unterschriftsleistung bei ausgewiesener Identiät notwendig. Üblicherweise erfolgt dies durch Besuch einer Filiale oder, etwa bei der easybank, übernehmen Postämter die Anträge.

Das in Deutschland gebräuchliche Postident-Verfahren zur Identitäsprüfung und zum Onlinebanking-Abschluß ist in Österreich (noch) nicht eingeführt. Grundsätzlich könnten jedoch Tankstellen, Trafiken, Supermärkte, Telekom-Vertriebshändler und Fotoketten diese Funktion übernehmen. Man darf gespannt sein, wer in Österreich diesen neuen, äußerst lukrativen Geschäftszweig erkennt und aufgreift.

Hemmniss 2:
Bei einem deutschen Konto werden alle österreichischen Buchungen, egal ob Gehaltszahlung, Miete oder Stromrechnung zu Auslandsüberweisungen, dies kann zu einer Kostenexplosion führen. Hier gibt es jedoch intensive Bestrebungen der EU, diese überweisungskostne in den nächsten Jahren EU-weit den Kosten der Inlandsüberweisungen anzugleichen.


(Noch) keine Empfehlung für ein Auslandskonto

In diesem Sinne kann noch keine generelle Empfehlung für ein ausländisches Telebanking-Konto abgegeben werden, doch in Ausnahmefällen, etwa wenn man in der Grenzregion ansässig ist oder einen Teil der Ausgaben/Einkünfte sowieso in Deutschland tätigt oder nur sehr wenige Buchungen hat, kann ein Auslandskonto auch heute schon eine brauchbare Alternative darstellen.

Ab 2004 dürften deutsche Telebankkonten sowohl von der Kostenstruktur, als auch von der Informationspolitik eine Alternative zu österreichischen Angeboten darstellen.


Vertragliche Klarheit wesentlich für Datenweitergabe

Die Einhaltung der Bankenvereinbarungen, vertragskonforme Nutzung der Bankdienste beziehungsweise ein Verstoß dagegen, sind wesentliche Grundlage für die Leistungserbringung durch die Bank, die Fälligstellung von Krediten und auch die Weitergabe von Daten ('Bankauskünfte') an Wirtschaftsauskunfteien und Warnlisten.

Wenn jedoch Vereinbarungen in einem seltsamen Gleichklang so gestaltet sind, dass sie praktisch nicht durchschaubar sind und daher die Gefahr besteht, dass jeder Bankkunde die eine oder andere Bestimmung verletzt, werden Datenweitergaben zur Ermessensangelegenheit des einzelnen Bankangestellten.


Die wichtigsten Internetbanking-Angebote

Wir haben eine Liste der wichtigsten Angebote zusammengestellt. Diese Liste wird laufend aktualisiert und ist unter
http://www2.argedaten.at/php/exklusiv_auswertung.php?q=ONLINE...
abzurufen.

andere --> http://www.hypo-ktn.co.at/015/haab.nsf/syslink/OSR-57HGV2/$FILE/AGB.pdf

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster