Feb 6

Angabe der vollständigen Bankverbindung in unverschlüsselten E-Mail Rechnungen unzulässig

Die Angabe der vollständigen Bankverbindung in per E-Mail versendeten Rechnungen offenbart nach Ansicht des Landesdatenschutzbeauftragten von Rheinland-Pfalz ein fragwürdiges Datenschutzverständnis und stellt einen Datenschutzverstoß dar.  Die Telekom Deutschland GmbH hatte auf den Rechnungen, die sie im Zusammenhang mit der Umstellung auf das europaweit einheitliche SEPA-Zahlungsverfahren versendet hatte, Rechnungen mit Angabe der vollständigen Bankverbindung verschickt. Datenschutzrechtlich wäre es erforderlich gewesen, dass diese sensiblen personenbezogenen Daten, zu denen Bankverbindungen zählen, bei der elektronischen Übertragung angemessen zu schützen.

Aus Sicht des Landesbeauftragten hätten datenschutzfreundlichere Möglichkeiten bestanden, von den Kunden die Prüfung der neuen Bankdaten zu erbitten. Andere Unternehmen können nun vom Fauxpas der Telekom profitieren und im Vorfeld Maßnahmen ergreifen, um den Klartext E-Mailversand von Bankverbindungsdaten zu vermeiden.

Auf Rechnungen empfiehlt sich unabhängig davon auch zukünftig lediglich die ersten Ziffern der IBAN und BIC abzudrucken und die übrigen Zeichen durch „X“ oder mit anderen geeigneten Methoden zu ersetzen.

Wer seinen Kunden ein Onlineportal mit Nutzerauthentifizierung und TLS-Verschlüsselung anbietet, sollte in Erwägung ziehen, die Kontodaten dort zu hinterlegen und den Kunden den Login zwecks Kontrolle im E-Mailschreiben ans Herz zu legen.