Inzwischen ist es schon über ein Jahr her, dass beim Hamburger Scoring-Startup Kreditech massenhaft sensible Nutzerdaten entwendet wurden. Gründerszene konnte den Vorfall aus dem Sommer 2014 im März aufdecken. Kurze Zeit später wurde bekannt, dass das Unternehmen mit den Daten offenbar auch erpresst worden ist – es hatte daher Anzeige gegen Unbekannt erstattet.
Nach Gründerszene-Informationen ist das entsprechende Ermittlungsverfahren inzwischen beendet – und zwar erfolglos. Wie Oberstaatsanwalt Carsten Rinio gegenüber Gründerszene bestätigte, wurde das Verfahren schon am 3. September eingestellt, „da ein Täter nicht ermittelt werden konnte“.
Im Umfeld des Unternehmens war im Frühjahr vermutet worden, dass ein ehemaliger Mitarbeiter hinter dem Datendiebstahl stecken könnte. Doch schon damals offenbarte die Polizei, dass es für sie keinen Tatverdächtigen gebe.
Laut der Staatsanwaltschaft seien die Ermittlungen allerdings „umfassend“ gewesen – und „unter allen in Betracht kommenden rechtlichen Gesichtspunkten geführt“ worden. Damit spielt die Behörde auf die Frage an, ob sich der Täter neben der von Kreditech ins Feld geführten Erpressung nicht auch wegen des Datendiebstahls an sich schuldig gemacht hat. Für das Ausspähen von Daten kann man laut Strafgesetzbuch mit bis zu drei Jahren Gefängnis belangt werden.
Ebenfalls nicht ins Visier der Staatsanwaltschaft geraten ist das Unternehmen selbst beziehungsweise die verantwortlichen Manager. Ihnen hätten die Ermittler vorwerfen können, Nutzerdaten nicht ausreichend vor unerlaubtem Zugriff geschützt und die Betroffenen nicht oder nur unzureichend über den Vorfall informiert zu haben. Letzteres legten im März die Recherchen von Gründerszene nahe.
Was die Verantwortung des Unternehmens angeht, verweist Oberstaatsanwalt Rinio auf eine andere Behörde: den Hamburgischen Datenschutzbeauftragten. Dessen Mitarbeiter hätten „Akteneinsicht in den hiesigen Vorgang gehabt“, so Rinio. Dabei sei es um eine mögliche Verletzung der Informationspflichten nach Paragraph 42a des Bundesdatenschutzgesetzes gegangen – danach sind Unternehmen, deren Daten unrechtmäßig in die Hände von Dritten gelangt sind, verpflichtet, dies „unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen“.
Es wurde in der Sache (nichterfolgte Meldung nach § 42a BDSG) ein Ordnungswidrigkeitsverfahren in die Wege geleitet, das aber ein unbefriedigendes Ende fand. So konnte nicht festgestellt werden, dass die Kreditech Holding SSL (Hamburg) die verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes wäre. Die tatsächlich verantwortliche Stelle – also in den jeweiligen Ländern – habe sich ebenfalls nicht identifizieren lassen.
Datenschützer prüfen bereits seit Monaten
Tatsächlich läuft bei der Hamburger Datenschutzbehörde schon seit Monaten eine Prüfung des Scoring-Unternehmens. Dabei, so hieß es schon im Sommer aus Behördenkreisen, werde untersucht, ob Kreditech Nutzerdaten ausreichend sichere und ob es Betroffene ausreichend gut informiert habe. Prüfer des Datenschutzbeauftragten hätten dafür mehrmals vor Ort die Systeme des Unternehmens unter die Lupe genommen. Allerdings müsse die Behörde auch grundsätzlich erst einmal klären, ob sie überhaupt zuständig ist: Denn die Kreditech-Holding in Hamburg tritt gar nicht konkret in Beziehung zu Nutzern, dafür gibt es Tochterfirmen in den jeweiligen Auslandsmärkten, die dort Kredite vergeben und Kreditwürdigkeiten prüfen. In Deutschland ist Kreditech schon seit 2012 nicht mehr aktiv – damals zog sich das Startup aus dem Markt zurück, nachdem die Finanzaufsicht BaFin eine Prüfung angekündigt hatte.
Gegenüber Gründerszene nimmt die Hamburger Datenschutzbehörde nun auch offiziell Stellung: Wegen einer möglichen Verletzung seiner Informationspflicht nach dem Datenschutzgesetz habe man ein Ordnungswidrigkeitsverfahren in die Wege geleitet, „das aber nach der Anhörung eingestellt wurde“, so ein Sprecher. Tatsächlich hält sich der Hamburgische Datenschutzbeauftragte für nicht zuständig. „Es konnte nicht festgestellt werden, dass die Kreditech Holding SSL (Hamburg) die verantwortliche Stelle im Sinne des Bundesdatenschutzgesetzes wäre“, so der Sprecher weiter. „Die tatsächlich verantwortliche Stelle konnte auch nicht festgestellt werden, da nicht bekannt war und auch nicht festgestellt werden konnte, in welchem Land die Daten „abhandengekommen“ sind.
Dafür hätte allerdings ein Blick in die Berichterstattung auf Gründerszene genügt: Wie bereits im März berichtet, kamen Kreditech Daten von Nutzern aus Australien, der Tschechischen Republik, Spanien, Mexiko, Peru, Russland und Polen abhanden – das sind fast alle Länder, in denen Kreditech 2014 mit seinen Töchterfirmen aktiv war.
Das Scoring-Startup, das zuletzt Schlagzeilen mit dem Abgang von CEO und Mitgründer Sebastian Diemer machte, hat dem Thema Datensicherheit unterdessen einen höheren Stellenwert eingeräumt. Der IT-Sicherheitsexperte Sven Weizenegger leitet sei einem Monat eine neu geschaffene Abteilung, die sich mit Sicherheitsstrategie und -architektur auseinandersetzt. Weizenegger, der auch als Mentor für die Accelerator-Programme von Deutscher Telekom und Axel Springer tätig ist, begann seine Karriere bei der Telekom einst als konzerninterner Hacker.