Noch am 11. Dezember 2008 hatten der Verbraucherzentrale Bundesverband und der Bundesbeauftragte für den Datenschutz den von Bundesinnenminister Schäuble vorgelegten Entwurf zum Bundesdatenschutzgesetz als längst überfällige Maßnahme zum Schutz der Bürgerinnen und Bürger vor Datenklau und Datenmissbrauch begrüßt. Wie zur Bestätigung der Notwendigkeit eines neuen Gesetzes gab es fast zeitgleich die erste Meldung zum Skandal um die Landesbank Berlin und ihren Processor Atos: Sensible Daten von zehntausenden Kreditkarteninhabern waren abhanden gekommen und der Frankfurter Rundschau zugespielt worden.
Der Fall ist nur einer von vielen aus dem vergangenen Jahr, in denen es um Datenschutz im weiteren Sinne geht. Erst im November 2008 war die Telekom in der langen Reihe ihrer datenrechtlichen Auffälligkeiten zuletzt in den Schlagzeilen. Und auch diese reihen sich nur in eine Vielzahl von Fällen aus den letzten Jahren, von denen der steuerrelevante Datenklau der Liechtensteiner Schwarzgeldkonten mittlerweile fast schon wieder eine verdrängte Episode ist. Gleichwohl hat jeder Fall von Datenmissbrauch, in den Kreditinstitute und ihre Dienstleister verstrickt sind, eine besondere Qualität. Mit Adresse, Geburtsdatum oder Telefonnummer gehen viele Verbraucher vergleichsweise sorglos um. Dass ihre Telekom-Vertrags- und vielleicht auch Verbindungsdaten möglicherweise in fremde Hände geraten sind, verärgert Kunden zwar. Hier fürchtet man aber vergleichsweise wenig "Spätfolgen". Überall dort hingegen, wo es um Konto- oder Kartendaten geht, liegt der Fall anders. Dort geht es ums Geld, und an dieser Stelle ist der Mensch bekanntlich empfindlich. Auch lassen sich anhand möglicher betrügerischer Transaktionen die Folgen des Datenverlusts unmittelbarer erkennen als andernorts, für die Kunden ebenso sehr wie für die Kriminellen - und vielleicht deshalb sind Bankdaten als "Hehlerware" noch begehrter als die Kundendaten anderer Unternehmen.
Umso mehr kommt im Fall des Falles der Aufklärungs- und Öffentlichkeitsarbeit eine hohe Bedeutung zu. Zumindest die LBB, wenn auch nicht ihr Dienstleister Atos, hat im Dezember prompt reagiert und umfangreiche Informationen veröffentlicht. In mancher Hinsicht mag diese zunächst zwar etwas unbefriedigend geblieben sein. Doch wird das Bemühen um Aufklärung offenbar: Soweit möglich, werden Informationen zum Sachverhalt, zum Hintergrund von Datenarchivierung und Outsourcing wie auch den Folgen für die Kundschaft geliefert - verbunden mit dem für den Emittenten von 1,9 Millionen Karten vitalen Hinweis, dass Karteninhaber dadurch nicht zu Schaden kommen werden. Und eine Woche nach den ersten Meldungen durfte die LBB die Aufklärung des Falles melden: "Datenskandal entpuppt sich als Stollenklau - eine wahre Weihnachtsgeschichte", war die Pressemitteilung der Frankfurter Staatsanwaltschaft überschrieben.
Ein Image-Schaden ist gleichwohl fast unvermeidlich, nicht allein für die LBB, sondern für die Branche insgesamt. Schon lebt die Diskussion um mangelnden Datenschutz in Unternehmen auf, wird auch an dieser Stelle neue Regulierung und Kontrolle gefordert, obwohl es in Wirklichkeit nicht um laxen Umgang mit Datenschutzbestimmungen geht, sondern vielmehr um Sicherheitslücken bei der Datenaufbewahrung. Eben diese aber wird man nie restlos schließen können. Sicher kann man Kundendaten in verschlüsselter Form und im Werttransporter statt als bloße Kuriersendung auf den Weg schicken, wie es Atos nun offenbar tun will. Mit besserer Technik, in diesem Falle dem neuen PCI-Standard, wird gegen die in der Vergangenheit mitunter praktizierte unberechtigte Speicherung von Karteninhaberdaten beim Händler vorgegangen. Und auch die erforderliche elektronische Speicherung muss alle erdenklichen Sicherheitsmaßnahmen erfüllen. Doch dies alles kann nie mehr als ein gewisses, wenn auch hohes Maß an Sicherheit bieten. Auch Werttransporter, in denen Kundendaten befördert werden, können überfallen werden, wie im Sommer 2008 in Norwegen geschehen. Und wenn professionelle Hacker selbst die virtuellen Schutzwälle des Pentagons überwinden können, darf man auch von Bankrechenzentren keine Wunder erwarten. Vollständige Datensicherheit ist im Informationszeitalter eine Illusion. Die Öffentlichkeit, die deutsche zumal, verschließt sich dieser Binsenweisheit freilich gern. Deshalb bleibt einstweilen nur eines: Kommunikation und Aufklärung.