Bitte einfach bestätigen!
Warum Kreditinstitute Kundendaten überprüfen
12. Dez. 2022 –
Post von der Bank oder Sparkasse: Das Institut bittet darum, die Kundendaten zu aktualisieren. Sinnlose Bürokratie oder versuchen Betrüger, raffiniert Zugriff aufs Konto zu bekommen? Wir beantworten die wichtigsten Fragen.
Warum werden die Daten abgefragt?
Die Kreditinstitute sind nach dem Geldwäschegesetz verpflichtet, die Identität ihrer Kunden genau zu kennen. Deshalb müssen sie nicht nur jemanden, der neu ein Konto eröffnet, prüfen, sondern sich vergewissern, dass sie bei den Personen, die bereits Konten haben, stets auf dem Laufenden bleiben. Deshalb werden die hinterlegten Daten regelmäßig überprüft.
Welche Daten werden abgefragt? Und wie oft?
In der Regel geht es um die Adresse, Namensänderungen etwa nach einer Hochzeit, eine zusätzliche Staatsangehörigkeit. Gefragt wird nie nach neuen, zusätzlichen Daten. Es geht darum, den bestehenden Datensatz aktuell zu halten. Für den Abruf schreibt das Gesetz angemessene zeitliche Abstände vor. Die Kunden würden in der Regel alle paar Jahre angeschrieben, sagt etwa Marion Rizzo, bei der ING Deutschland verantwortlich für Kundendatenprozesse.
Meine Daten haben sich seit Jahren nicht geändert, sie liegen dem Kreditinstitut vor. Muss ich trotzdem antworten?
Jeder Bankkunde ist verpflichtet, die Angaben zu aktualisieren oder, wenn sich nichts geändert hat, zu bestätigen. Das betrifft die Millionärin mit mehreren Immobilienkrediten, eigener Firma und Aktiendepot und schwankendem monatlichen Einkommen ebenso wie den klassischen Angestellten mit gleichmäßigen Gehaltszahlungen und 50-Euro-Sparplan.
Was passiert, wenn ich meine Daten nicht aktualisiere?
Weil die Bank ihre Sorgfaltspflicht verletzt, wenn sie die Kundendaten nicht aktuell hält, wird sie den Zugang zu den Konten einschränken und sie im schlimmsten Fall schließen. Verbraucher müssen sich in diesem Fall eine neue Bank suchen. Die Kreditinstitute werden aber versuchen, ihre Kunden zu halten. Üblich sind deshalb mehrere Anschreiben, im virtuellen Postfach wie auch bei der Anmeldung zum Online-Banking. Und sollte es keine Reaktion geben, schickt die Bank auch noch ein Schreiben per Post.
Ich soll meinen Daten online bestätigen. Warum?
Das Online-Verfahren ist für Kunden und Bank am einfachsten. Haben sich keine Daten geändert, reicht ein Klick, um sie zu bestätigen. Meist muss man sich dazu in seiner Banking-App auf dem Smartphone oder im Online-Banking über den Rechner anmelden. Viele Kreditinstitute bieten auch an, die Daten am Telefon zu bestätigen. Dazu muss man für das Telefonbanking auch freigeschaltet sein und sich unter der entsprechenden Nummer der Bank zu erkennen geben – sei es mit einer Pin oder per Stimme. Es ist meist auch möglich, per Post zu antworten.
Was mache ich, wenn ich Bedenken wegen der Datenabfrage habe?
Wer Zweifel hat, ob die Menge der abgefragten Daten nicht zu weit geht, kann sich an die jeweiligen Datenschutzbeauftragten der Kreditinstitute wenden, wie David Riechmann, Jurist bei der Verbraucherzentrale Nordrhein-Westfalen, sagt. Sie seien unabhängig. Die Kontaktdaten finden sich in den Datenschutzbestimmungen. Fragen beantworten auch die Datenschutzbeauftragten des jeweiligen Bundeslandes, in der das Kreditinstitut ansässig ist.
Woran erkenne ich, dass das Schreiben echt ist?
Ist das Schreiben digital im Online-Briefkasten der Banking-App oder des Online-Bankings gelandet, ist es echt. Die Post ist praktisch innerhalb des Kreditinstituts verschickt worden. Betrüger haben hier keinen Zugriff. Und auch ein klassischer Brief kommt sehr wahrscheinlich von der Bank. Denn Betrüger verschicken keine Briefe in großem Stil per Post, um an die Zugangsdaten der Kunden zu kommen. „Das ist viel zu aufwändig“, sagt Nico Rudolf, bei der ING Deutschland für operative Betrugsprävention zuständig. Betrüger arbeiten heute vor allem mit E-Mail, SMS, WhatsApp und anderen Messenger-Diensten. Oder sie rufen an.
Worauf sollte ich grundsätzlich achten, wenn sich die Bank – vermeintlich – meldet?
„Hinweise auf betrügerische Absichten können Rechtschreibfehler in E-Mails sein“, sagt Verbraucherschützer Riechmann. Auch ein allgemeines „Liebe Kundin“ statt einer persönlichen Ansprache ist bei wichtigen Bankschreiben unüblich. Zudem gilt: Ein Kreditinstitut fragt niemals in E-Mails, per SMS oder über einen Mitarbeiter, der anruft, nach Zugangsdaten wie Passwort und Pin oder einer Freigabe. Angerufen wird ausschließlich, um Sachverhalte zu klären, wie ING-Mitarbeiterin Rizzo sagt.
Mit welchen Tricks versuchen Betrüger, an meine Daten zu kommen?
„Betrüger bauen in ihren Schreiben immer Druck auf“, sagt Jurist Riechmann. Und es müsse schnell gehen. Oft heißt es, es gebe Unregelmäßigkeiten bei der Kontoführung. Es werden Kontosperrung oder Geldstrafen angedroht. Meist folgt dann ein Link, der auf eine Anmeldeseite führt, die der echten Bankseite täuschend ähnlich sieht, aber gefälscht ist. Wer sich hier einloggt, gibt seine Daten weiter. Um das zu vertuschen, leiten die Betrüger oftmals anschließend zur offiziellen Bankseite weiter oder zeigen eine Fehlermeldung an.
Wie kann ich mich schützen?
Grundsätzlich empfiehlt Verbraucherschützer Riechmann, nichts schnell zwischendurch zu erledigen. „Spätestens, wenn die Tan eingegeben werden soll oder am Smartphone Gesichtserkennung oder Fingerabdruckscan nötig sind, sollte man genau hinsehen.“ Das Gerät zeige dann einen Text, der erkläre, was freigegeben werden solle. ,Datenabfrage‘ wäre in Ordnung, ,Freigabe eines neuen Tan-Gerätes‘ nicht. Das kann ein Smartphone der Betrüger sein, die dann das Konto kapern können.
E-Mails/SMS: Wer eine Mail bekomme, solle zunächst die Absenderadresse darauf prüfen, ob diese der offiziellen Mailadresse des Kreditinstituts entspricht, sagt ING-Spezialist Rudolf. Letztere lässt sich einem offiziellen Schreiben entnehmen. Er empfiehlt, auf keine Links oder Buttons zu klicken. Im Zweifel einmal weniger klicken und bei der Bank anrufen.
Bei Anrufen: Ruft jemand an, der sich als Bankmitarbeiter ausgibt und Daten abfragt, empfiehlt ING-Mitarbeiterin Rizzo, aufzulegen und zurückzurufen. Das Bank-Call-Center weiß dann, ob man angerufen werden sollte. Achtung: Nicht die auf dem Telefon angezeigte Nummer wählen, sondern eine bekannte Servicenummer von einem vorigen Bankschreiben eintippen. Denn Betrüger können beim sogenannten Caller-ID-Spoofing die richtige Nummer vortäuschen. Wer auf Rückruf tippt, landet wieder bei den Betrügern.
Was tue ich, wenn etwas schief gelaufen ist?
Sofort das Kreditinstitut informieren und das Konto erst einmal sperren lassen, rät Jurist Riechmann. So lassen sich die Schäden zumindest begrenzen.