Wien. Friedrich Hager (Name von der Redaktion geändert) staunte nicht schlecht, als er vor kurzem ein Mail seiner Fondsverwaltung erhielt. In einem angefügten Excel-Dokument fand der Wiener einen großen Datensatz über hochsensible Anlegerdaten - und zwar von insgesamt 1625 Personen, vorwiegend aus Deutschland und Österreich. In dem Dokument, das der "Wiener Zeitung" vorliegt, finden sich nicht nur die Höhe der Einlage (50Euro bis Millionenbeträge), sondern auch Name, Adresse, Geburtsdatum und auch die jeweilige Steuernummer des Anlegers.

Heimische Datenschützer und betroffene Kunden sprechen von einem Skandal - der Fonds sieht hinter dem peinlichen Datenleck einen bedauerlichen Einzelfall.

Bei der Firma handelt es sich um die in Hamburg ansässige TVP (Treuhand- und Verwaltungsgesellschaft für Publikumsfonds), die die Produkte der auch in Österreich tätigen Mutterfirma MPC-Capital verwaltet. Letztere ist dafür bekannt, in Besitz des Millennium-Tower am Wiener Handelskai sowie Deutschlands größtes börsennotiertes Emissionshaus zu sein.

Die brisante Kundenliste, die die "Wiener Zeitung" unter Verschluss hält, wurde dem Anleger Hager am 5. Jänner im Zuge eines Mailverkehrs über die noch immer nicht erfolgte Legung des steuerlichen Ergebnisses für 2010 formlos mitgeschickt. "Ich finde das eine Sauerei, wie mit Anlegerdaten umgegangen wird. Ein gemeingefährliches Sittenbild!"

Gleichlautend äußern sich Kunden, die die "Wiener Zeitung" anhand der Liste kontaktiert hat und die die Richtigkeit der Daten bestätigen können: Von "Skandal" bis "Nicht einmal das ist noch sicher" reichen die Kommentare. Fast 150 der 1625 Namen sind Österreicher. Zum Vergleich: Die ominöse Steuer-CD aus Liechtenstein betraf 180 Österreicher bei insgesamt 1400 Kunden.

Neue Richtlinien geprüft
TVP-Geschäftsführer Tobias Lerchner reagiert auf den Vorfall zerknirscht: "Ein menschlicher Fehler und Einzelfall, der auch durch höchste Datenschutzvorkehrung nicht auszuschließen ist und für den wir die betroffenen Personen ausdrücklich um Entschuldigung bitten." Die irrtümlich angefügte Datei sei jedenfalls nicht für einen Versand vorgesehen gewesen; einen technischen Fehler - etwa ausgelöst durch einen Virus - schließt TVP aus.

Doch warum können solche interne Excel-Dateien überhaupt via E-Mail verschickt werden? Warum gibt es keine automatische Verschlüsselung oder automatische Sperre, die menschliche Fehler unmöglich macht? Dazu Lerchner: "Wir werden überprüfen, ob wir unsere Datenschutzvorkehrungen noch weiter verbessern können, um unseren Kunden den bestmöglichen Schutz ihrer Daten zu bieten und ähnlichen Fällen vorzubeugen."

"Kriminelle hätten Nutzen"
Auch beim MPC-Management in Wien, das Produkte in Österreich vor allem via Banken vertreibt, ist man betroffen und spricht von einem "erstmaligen Fehler einer erfahrenen Mitarbeiterin": Wenngleich man formaljuristisch nicht verantwortlich sei, stehe man selbstverständlich moralisch in der Verantwortung. "Anleger- und Datenschutz stehen für uns an ganz oberster Stelle."

Für Datenschützer Georg Markus Kainz von Quintessenz ("Big Brother Awards") ist der Fall freilich keinesfalls einzigartig, sondern vielmehr symptomatisch, wie fahrlässig immer noch mit sensiblen Daten umgegangen wird: "So etwas passiert ja ununterbrochen. Es zeigt einfach, wie mangelhaft das Bewusstsein über den Wert dieser Daten ist."

Er warnt generell davor, solche vertrauliche Informationen "durch die Welt zu schicken": "Ärzte, Banken - alle müssen das noch lernen", sagt Kainz. Selbst wenn die Kontonummer hierbei nicht angeführt ist, könnten Kriminelle die Daten für ihre Zwecke ausnutzen: "Mit der Steuernummer, dem Namen und dem Geburtsdatum wäre man irrsinnig authentisch und könnte einen klassischen Trickbetrug - etwa Phishing-Attacken im Internet - durchführen."

Nicht ganz auszuschließen seien natürlich auch Einbrüche an den jeweiligen Wohnadressen, zumal ja die Vermögensverhältnisse ersichtlich seien und man die Adressen kenne: "Das ist ja der Wahnsinn, dass man gleich via Google-Maps die Wohnverhältnisse abgleichen kann", erklärt Datenschützer Kainz.