TKK rät zur Vorsicht im Umgang mit Pensionskontodaten

Pressemitteilung vom 03.05.2012

Der Telekom-Control-Kommission (TKK), Aufsichtsstelle nach dem Signaturgesetz, wurden Beschwerden im Zusammenhang mit der Aktivierung von Bürgerkarten im Rahmen des Vertriebs von Finanzprodukten zur Kenntnis gebracht, die signatur- oder datenschutzrechtliche Vorschriften verletzen könnten. Demnach würden seit einiger Zeit Vertriebsmitarbeiter von Finanzdienstleistern die Rendite ihrer Finanzprodukte in Kundengesprächen zunehmend mit den zu erwartenden Erträgen aus der staatlichen Pension vergleichen. Die Einsichtnahme in das Pensionskonto kann aber erst nach Anmeldung mittels Bürgerkarte oder Handysignatur erfolgen (https://www.sozialversicherung.at/pktesv/) und setzt somit eine Registrierung für die Ausstellung eines qualifizierten Zertifikats auf den Namen des jeweiligen Kunden voraus. Viele Finanzberater sind zwar zur Durchführung dieser Registrierung berechtigt, da sie gleichzeitig als Registrierungsstelle für den Zertifizierungsdiensteanbieter A-Trust Gesellschaft für Sicherheitssysteme im elektronischen Datenverkehr GmbH („A-Trust“) tätig sind. Zu beachten ist aber, dass Finanzberater hier Einsicht in geheime Signaturdaten der Betroffenen erhalten könnten. Weiters ist nicht auszuschließen, dass sich unbefugte Dritte Zugang zu vertraulichen Pensionskontodaten verschaffen könnten.

Tipps für Bürgerkartenaktivierung bei Finanzberatern

Als Aufsichtsstelle nach dem Signaturgesetz begrüßt die TKK die verstärkte Nutzung von Bürgerkarte und Handy-Signatur als sinnvollen Beitrag zur Verwaltungsvereinfachung. Zur Vermeidung einer – auch unabsichtlich möglichen – Verletzung von signatur- oder datenschutzrechtlichen Vorschriften empfiehlt die TKK, in der oben geschilderten Situation verschiedene Vorsichtsmaßnahmen zu beachten:

  • Bei der Registrierung für die Ausstellung eines qualifizierten Zertifikats sollte der Berater zumindest überblicksmäßig über den Inhalt des Sicherheits- und Zertifizierungskonzepts der A-Trust, über die möglichen Rechtswirkungen einer unter Verwendung des Zertifikats erstellten elektronischen Signatur und über die besondere Haftung der A-Trust informieren und dem Kunden ein diesbezügliches Merkblatt aushändigen.
  • Der Anwendungsbereich des qualifizierten Zertifikats ist – abgesehen von einem im Zertifikat eintragbaren Transaktionslimit pro Signaturvorgang – nicht beschränkt. Die qualifizierte elektronische Signatur ersetzt die eigenhändige Unterschrift. Sie können also auch solche Erklärungen rechtswirksam abgeben, die nach dem Gesetz oder einer Vereinbarung (auch nach allgemeinen Geschäftsbedingungen) der Schriftform bedürfen. Dies gilt jedoch nicht für die Bürgschaftserklärung eines Konsumenten, für Testamente sowie für Notariatsakte.
  • Wenn Sie das Zertifikat auf Ihrer e-card aktiviert haben, müssen Sie die Karte sorgsam verwahren. Die Karte und die zugehörige Signatur-PIN dürfen niemandem außer Ihnen zugänglich sein. Bei Registrierung für eine Handysignatur darf das Ihrer Mobiltelefonnummer zugeordnete Signaturpasswort nur Ihnen bekannt sein, und die SIM-Karte sollte möglichst nur von Ihnen genutzt werden.
  • Zum Schutz vor Missbrauch der auf Ihrem Pensionskonto gespeicherten Daten achten Sie bitte darauf, dass Sie sich unmittelbar nach Einsichtnahme in Ihr Pensionskonto mit Hilfe eines Computers durch Drücken der Schaltfläche „Logout“ ordnungsgemäß abmelden.

Nähere Informationen im Zusammenhang mit der Nutzung eines qualifizierten Zertifikats zur Erstellung qualifizierter elektronischer Signaturen finden Sie in Merkblättern auf der Website der A-Trust unter https://www.a-trust.at/docs/belehrung/a-sign-premium/a-sign-premium-Belehrung.pdf (Bürgerkarte) und https://www.a-trust.at/docs/belehrung/a-sign-premium-mobile/a-sign-premium-mobile-Belehrung.pdf (Handysignatur). Umfassende Informationen zu den Zertifizierungsdiensten von A-Trust sind unter http://www.a-trust.at/ATrust/Downloads.aspx und zu elektronischen Signaturen allgemein unter https://www.signatur.rtr.at/de/vd/VD.html verfügbar.