Die nicht ganz normale Bank

Eine Sicherheitslücke bei der Postfinance ermöglichte Einblick in die Daten von Kunden. Möglicherweise wurde dabei auch das Bankgeheimnis verletzt.

Eine Recherche von Adrienne Fichter (Text) und Lina Müller (Illustration), 24.02.2022

Die Republik ist ein digitales Magazin für Politik, Wirtschaft, Gesellschaft und Kultur – finanziert von seinen Leserinnen. Es ist komplett werbefrei und unabhängig. Überzeugen Sie sich selber: Lesen Sie 21 Tage lang kostenlos und unverbindlich Probe:

«Eine Bank, die nicht am Paradeplatz ist? – Ist doch ganz normal.»

In ihrem neuesten, mit Technobeats untermalten Werbeclip gibt sich die Postfinance betont cool. Sie will sich von den anderen Finanz­instituten abheben. Eine sympathische Bank für die Klein­anlegerinnen mit bescheidenem Budget – bürgernah, trendy, das urbane Publikum ansprechend.

Ganz normal eben.

Doch wie normal ist es, dass eine Schweizer Bank Kunden­daten quasi auf dem Silber­tablett serviert, einsehbar für jedermann, ohne dass die Kundinnen sich in den meisten Fällen dessen bewusst sind? Genau das hat die Postfinance während längerer Zeit getan, wie eine Recherche der Republik gemeinsam mit dem Informatiker Simon Gantenbein ergeben hat.

Gegenstand der Recherche ist der Zahlungs­verkehr. Die Postfinance spielt darin seit jeher eine wichtige Rolle: Sie führt Konten für ihre Kunden und erledigt Zahlungen zwischen Senderinnen und Empfängern aus der ganzen Schweiz. Datenschutz­technisch heikel ist dabei die Schnitt­stelle, also das Interface, in dem Zahlungen im System erfasst werden können.

Die Recherche der Republik hat folgende Probleme zutage gefördert:

  1. Eine Sicherheitslücke: Im Online­banking-Portal der Postfinance konnte man sich als Kundin ohne grossen Aufwand Zugang zu Namen, Vornamen und Adressen von weiteren Postfinance-Kunden verschaffen. Im Republik-Testlauf konnten so unter anderem die Bank­verbindungen von National­rätinnen, Regierungs­räten und von einer Bundes­rätin ausfindig gemacht werden. Die Bank hat die Lücke inzwischen geschlossen.

  2. Ein Datenschutz­problem innerhalb der Postfinance: Die technischen Voreinstellungen, welche die Sicherheits­lücke möglich machten, sind mutmasslich nicht vereinbar mit dem Bankkunden­geheimnis. Die Bank begründet dies mit ihrem Grundversorgungs­auftrag. Ob das rechtens ist, wurde bis heute von keinem Gericht beurteilt. Der eidgenössische Datenschutz­beauftragte hat rechtliche Abklärungen eingeleitet.

  3. Ein Datenschutz­problem bei anderen Banken: Die Onlinebanking-Systeme von Migros Bank, Bank Cler, UBS sowie der Kantonal­banken von Graubünden, Schwyz, Thurgau, Schaffhausen, St. Gallen, der Waadt und Baselland haben ebenfalls Konto­daten von Postfinance-Kunden sichtbar gemacht. Dies als Folge einer weiteren Besonderheit: des Postkonto­verzeichnisses.

Dass im Schweizer Zahlungs­verkehr erstaunlich offen mit den Kontodaten von Kundinnen der Post umgegangen wird, könnte als Kuriosum angesehen werden – als historisches Relikt aus einer vordigitalen Zeit. Wäre da nicht das Herzstück der Schweizer Banken­gesetz­gebung: das Bankkunden­geheimnis.

1. Die Sicherheits­lücke

Wer die Online­banking-Lösung seiner Bank nutzt, kennt das Prozedere: Für eine Überweisung müssen neben der Konto­nummer meist auch der Name und die Adresse der Empfängerin eingegeben werden. Man tippt bei der Überweisung einerseits die IBAN- oder die Postkonto­nummer und beim Empfänger­feld andererseits auch noch den Namen und die Adresse ein.

Typischerweise kontrolliert eine Bank anschliessend bei der Ausführung der Zahlungs­anweisung, ob der zur Konto­nummer gehörende Name mit der Eingabe übereinstimmt. Bei deutlichen Abweichungen wird die Transaktion gestoppt.

Im Falle einer Überweisung an ein anderes Postfinance-Konto macht es die Postfinance ihren Kundinnen hier besonders einfach: Es reicht die Eingabe der Postkonto­nummer. Das System ergänzt dann automatisch Namen und Adresse des Empfängers, sofern dieser das Online­banking der Postfinance nutzt.

Das ist praktisch, weil es den Kunden Arbeit erspart. Es bedeutet aber auch, dass bei jeder Eingabe einer gültigen Postkonto­nummer Name, Vorname und Adresse des entsprechenden Konto­inhabers angezeigt werden. Das verstösst womöglich gegen das Bank­geheimnis – mehr dazu später.

Zwar enthalten Postkonto­nummern eine Prüfziffer (man kann also nicht einfach eine beliebige sechsstellige Zahl eingeben). Doch deren Berechnung ist weder ein Geheimnis noch rechnerisch anspruchsvoll. Sie folgt der Logik einer öffentlich dokumentierten Formel.

Und so kann theoretisch jeder mit einem Zugang zum Online­banking der Postfinance mit etwas zeitlichem Aufwand und ein paar Zeilen Programmier­code die Konto­nummern und Namen anderer Kunden ermitteln.

Simon Gantenbein, Informatiker und Vorstands­mitglied der Digitalen Gesellschaft, hatte es erfolgreich ausprobiert und das Programm auf der Plattform Github öffentlich geteilt.

Ich will es genauer wissen: Wie wurde die Datenbank mit Postfinance-Kundinnen angelegt?

Mit ein paar wenigen Zeilen Programmcode lassen sich ohne grossen Aufwand sämtliche Postkonto­nummern mit Online­banking-Zugang sowie Name und Adresse der Konto­inhaberinnen extrahieren. Damit das Programm auf das Online­banking der Postfinance zugreifen kann, muss man sich vor dem Start einmal wie gewohnt von Hand einloggen, anschliessend kann man entweder die Zugriffsdaten (Session-Cookie etc.) aus dem Browser auslesen oder, noch einfacher, direkt den Browser mit einem eigenen Programm fernsteuern. Für Postfinance sieht es dann einfach so aus, als ob hier ein Postfinance-Kunde sehr schnell tippte und klickte.

Die Experimente der Republik haben gezeigt, dass mit einem modernen Computer rund 36’000 Abfragen pro Stunde möglich wären, mit einem besonders leistungs­fähigen sogar rund 180’000 Abfragen. Um sämtliche möglichen Konto­nummern abzufragen, bräuchte man damit rund 178 Stunden (also etwas mehr als eine Woche). Diesen Computer muss man sich noch nicht mal unter den Schreibtisch stellen, sondern man kann ihn bei einem Cloud-Anbieter für ein paar Franken pro Stunde mieten.

Das Programm selbst ist dann eher trivial: Postkonto­nummern haben alle das Format RR-NNNNNN-C. Dabei steht RR für eine zweistellige Regionen-Nummer, NNNNNN für eine sechsstellige Laufnummer innerhalb der Region und C für die Prüfziffer. Die Regionen-Nummern beziehen sich auf die frühere Einteilung der Postregionen.

Die Prüfziffer lässt sich über einen öffentlich bekannten Algorithmus bestimmen, das Handbuch «Recordstrukturen Elektronische Dienstleistungen».

So kann das Programm sämtliche Laufnummern erzeugen, jeweils die Prüfzimmer dazu berechnen und mit der so generierten Postkonto­nummer eine Zahlung erfassen. Falls die Nummer gültig ist, wird der zugehörige Name im entsprechenden Feld eingeblendet und kann ausgelesen und gespeichert werden.

So hat Gantenbein die Konto­angaben des Postfinance-CEO, einer Bundes­rätin, von 14 von 24 Berner National­rätinnen, 3 von 7 Berner Regierungs­räten, eines ehemaligen Chefs des Nachrichten­dienstes und vieler weiterer hochrangiger Bundes­verwaltungs­angestellten heraus­gefunden. Er stoppte sein Experiment schliesslich bei 350’000 Datensätzen und meldete die Sicherheits­lücke am 20. Januar 2022 der Postfinance.

Gantenbein sagt, er hätte noch viel mehr rausfinden können: «Es gibt 4,2 Millionen Konten bei Postfinance. Hätte ich mein Programm in die Cloud ausgelagert und mit voller Geschwindigkeit laufen lassen, so hätte ich innert zwei Wochen den kompletten Kunden­stamm herunter­laden können.»

Die Bank hat von dieser Aktivität offenbar nichts mitbekommen: «Ohne eine Meldung meinerseits hätte die Postfinance wahrscheinlich bis heute nicht realisiert, dass jemand massenhaft Kunden­daten herunter­geladen hat.»

Gemäss Postfinance existierte die Lücke erst ab 2019. Bis dahin soll es eine Sperre für Massen­abfragen gegeben haben: «Bedauerlicher­weise ist dieser vor über zehn Jahren eingeführte Sperrmechanismus bei einer Weiter­entwicklung von E-Finance im Jahr 2019 unvollständig aktualisiert worden», sagt Sprecher Rinaldo Tibolla. Weshalb die Sicherheits­systeme nicht Alarm geschlagen haben, begründet die Postfinance nicht genauer, sondern verweist ebenfalls auf die fehlende technische Sperre.

Immerhin: Die Postfinance hat schnell auf den Hinweis reagiert und die Lücke am 12. und 13. Februar mit einem Software-Update behoben. Massen­abfragen sind seither nicht mehr möglich.

2. Das Datenschutz­problem der Postfinance

Am grundlegenden System – dass nach der Eingabe einer Konto­nummer automatisch der Name des Empfängers erscheint – hält die Bank aber fest. Auch wenn sie damit nicht nur den Daten­schutz, sondern auch das Bank­geheimnis ritzt.

Dieses ist im Banken­gesetz (Artikel 47) und zivilrechtlich (Zivilgesetz­buch Artikel 27, Artikel 28) festgeschrieben. Es schützt nicht nur sensible Informationen über das Vermögen: Bereits das Wissen um die Existenz einer Bank­beziehung, also dass eine bestimmte Person zum Beispiel ein Konto bei der UBS hat, fällt unter das Bank­geheimnis, wie aus der einschlägigen Fachliteratur hervorgeht. Genau diese Information lässt sich im Online­banking der Postfinance ohne grossen Aufwand eruieren.

Warum handhabt die Postfinance dies so?

Die Antwort führt zurück in die Zeit, als Überweisungen noch vorwiegend am Postschalter getätigt wurden. Die Post hat in diesem Bereich einen Versorgungs­auftrag: Sie muss etwa auch Bargeld annehmen, wenn jemand eine Überweisung tätigen will. Damit dies in jedem Fall klappt, müssen Postmitarbeiterinnen die Empfänger­konto­daten kennen. So können sie diese am Schalter nochmals überprüfen und dem Zahlenden bestätigen.

Diese Logik wurde aus dem Analogen ins Digitale übertragen. Zwar ohne Postangestellte als Mittlerinnen, aber mit dem primären Auftrag, dass alles unternommen werden muss, um Falsch­zahlungen und Rückweisungen zu verhindern. Dieser historisch bedingte Sonderfall wird als «Konto­öffentlichkeit» bezeichnet. Er führt dazu, dass die Postfinance sich selbst als Spezial­fall unter den Banken sieht.

Verletzt die Kontoöffentlichkeit nicht das Bank­geheimnis? Die Postfinance delegiert diese Frage an ihre Kunden. «Massgeblich ist hier die Frage, ob die Kundinnen und Kunden in eine Einschränkung einwilligen können. Dies ist grundsätzlich der Fall», sagt Postfinance-Sprecher Tibolla. «Bevor Postfinance eine eigenständige Aktien­gesellschaft wurde und der Finma unterstellt wurde, hatte Postfinance die Konto­öffentlichkeit eingehend geprüft.»

In der Tat pflegte die Postfinance mit dem Bundesamt für Justiz und der Eidgenössischen Finanzmarkt­aufsicht (Finma) zu dieser Frage einen intensiven Austausch. Beide Ämter wollen sich heute nicht mehr zum Fall äussern. Finma-Sprecher Tobias Lux sagt: «AGB sind Bestandteil der zivilrechtlichen Vertrags­beziehung zwischen den Banken und ihren Kunden und werden somit grundsätzlich nicht von der Finma geprüft oder genehmigt.»

Das Resultat der «eingehenden Prüfung» durch die Behörden ist ein Merkblatt mit den wichtigsten Fragen und Antworten, das Postfinance-Kunden mit den Allgemeinen Geschäfts­bedingungen (AGB) bei der Eröffnung eines Kontos erhalten. Es trägt den Namen «Handhabung des Bankkunden­geheimnisses bei der Postfinance AG».

So weit, so gut. Problematischer ist eine andere Stelle im Merkblatt:

Kann jedermann ohne Weiteres in Erfahrung bringen, ob und welches Konto ich bei der Postfinance AG habe?
Nein. Am Schalter sollen unsere Mitarbeitenden die Angaben für eine Einzahlung oder Überweisung nur ergänzen oder korrigieren können. Zudem können Sie selber im E-Finance prüfen, ob eine eingegebene Kontonummer zum richtigen Zahlungsempfänger gehört, um Falschzahlungen auszuschliessen. (…)

Mit dem letzten Satz wird die Frage im Grunde bejaht: Jedermann kann «in Erfahrung bringen, ob und welches Konto ich bei der Postfinance AG habe». Denn wer Geduld mitbringt, kann die Postkonto­nummern manuell nacheinander ausprobieren, sofern er die Logik dahinter kennt. Oder dies technisch erledigen lassen (wie in der Box weiter oben erklärt).

Die automatische Anzeige von Postfinance-Kontodaten wird auch mit einem Verweis auf die Allgemeinen Geschäfts­bedingungen legitimiert. Darin ist von einer «Ergänzung von Empfänger­koordinaten im E-Finance bzw. für Schalter­auskünfte» die Rede.

Brisant dabei: Es gibt kein sogenanntes Opt-out zur automatisierten Daten­ergänzung, wie Sprecher Tibolla bestätigt. Das heisst, Postfinance-Kunden haben nicht die Möglichkeit, die Anzeige ihrer Daten zu deaktivieren.

Kurzum: Die Bank hält nach dem Sicherheits­vorfall an ihrem Service fest. Auch wenn dies dem datenschutz­affinen Teil ihrer Kunden nicht gefallen dürfte und Fragen hinsichtlich des Bank­geheimnisses aufwirft.

Doch das letzte Wort ist noch nicht gesprochen. Der Eidgenössische Datenschutz- und Öffentlichkeits­beauftragte Adrian Lobsiger hat Abklärungen eingeleitet: Er tausche sich zurzeit mit Postfinance darüber aus, «ob das Unternehmen die auf eine Einwilligung in den AGB gestützte Daten­ergänzung mit der Möglichkeit eines Opt-out ergänzen wird».

Monika Roth, eine Juristin mit Spezialgebiet Bankenrecht, äussert sich ebenfalls kritisch. «Eigentlich wird das Bank­geheimnis von Postfinance total ausgehebelt.» Der Wortlaut im Banken­gesetz sei eindeutig: «Der Verstoss gegen das Bankkunden­geheimnis ist ein Offizial­delikt, und es sieht eben keine Ausnahme vor im Sinne: Bank mit Grundversorgungs­auftrag ist davon ausgenommen.»

Roth hält die Praxis der Postfinance für ungenügend legitimiert: «Es bräuchte eine ausdrückliche gesetzliche Grundlage, die den Anliegen der Postfinance im Rahmen der Grund­versorgung und des Zahlungs­verkehrs Rechnung trägt.»

Ich will es genauer wissen: Können sich Banken durch AGB vom Bank­geheimnis entbinden lassen?

In der Literatur ist allgemein die Handhabung durch AGB und «informierte Einwilligung» zum Verzicht des Bankkunden­geheimnisses umstritten. Vieles hängt von der Qualität und Transparenz vonseiten der Bank ab, etwa ob die Klausel grafisch hervorgehoben ist.

Zum einen ist dieser Verzicht durchaus zulässig, wie Frédéric Krauskopf, Professor für Privatrecht an der Universität Bern, bestätigt: «Das Bankgeheimnis gilt nicht absolut. Es darf mit Einwilligung der Bankkundin beziehungweise des Bankkunden beschränkt oder aufgehoben werden.» Politisch hat das auch der Bundesrat festgehalten, in einer kurzen Antwort auf die Frage von SVP-Nationalrat Gregor Rutz, ob das Bank­geheimnis per AGB ausgeschaltet werden könne: «Für die Einwilligung stellt das Gesetz keine Formvorschriften auf. Sie kann grundsätzlich auch im Rahmen von AGB erteilt werden.»

Auf der anderen Seite handelt es sich dabei laut Krauskopf um eine eher «ungewöhnliche Klausel». Denn: «Das Bankgeheimnis an sich gehört zum Kern der Geschäfts­beziehung zwischen der Bank und ihren Kundinnen und Kunden.» Eine andere Frage ist jedoch, «ob die fragliche AGB-Klausel für Bank­kundinnen und Bankkunden nicht ungewöhnlich ist, da diese den AGB in aller Regel global zustimmen, also ohne diese im Einzelnen gelesen (und verstanden) zu haben». Hier ist die Bank in der Beweis­pflicht, wie das Urteil des Bundesgerichts zu einem Versicherungs­fall zeigt.

Doch vor einem Gericht würden solche AGB wohl nicht standhalten, wie Aussagen von befragten Bankrechts­professoren und ein Blick in die Fachliteratur bestätigen. Auch der Bundesrat schreibt: «Die Beurteilung, ob eine solche Einwilligung im Einzelfall inhaltlich rechtsgenüglich erfolgt, obliegt den zuständigen Gerichten.»

Kurz: Wo keine Klägerin, da kein Richter. Niemand hat bisher das Thema AGB und Bankgeheimnis seit der Übernahme des automatischen Informations­austauschs angetastet.

Der Datenschutz­beauftragte Adrian Lobsiger erachtet die Unterlagen der Postfinance jedoch als genügend: «Das Merkblatt gibt Auskunft darüber, welche Daten an wen und zu welchen Zwecken weiter­gegeben werden. Damit werden die wichtigen Informationen erteilt.» Professor Krauskopf sagt, dass es zwar durchaus ausreichend informiere, «für mich allerdings nicht erkennbar ist, ob das Merkblatt neben den AGB auch Vertrags­bestandteil ist oder wird».

3. Das Datenschutz­problem bei anderen Banken

Die Republik hat auch im Online­banking anderer Schweizer Banken geprüft, ob Namen und Adressen von Kundinnen automatisch vervollständigt werden. Insbesondere hat uns die Handhabung von Postfinance-Empfänger­konten interessiert.

Dabei hat sich gezeigt, dass die meisten Banken den Datenschutz streng auslegen. Bei einer neuen Überweisung werden nicht automatisch Angaben zur Empfängerin ergänzt – egal von welcher Bank. Alle Angaben wie Namen und Adresse müssen von Hand selbst eingetippt werden.

Doch es gibt ein paar Ausnahmen.

Zu ihnen zählen etwa die Schwyzer, die Schaffhauser und die Bündner Kantonalbank. Sie ergänzen automatisch Konto­angaben von privaten und geschäftlichen Postfinance-Empfänger­konten. Im Prinzip handelt es sich dabei um den gleichen Datenschutz-Missstand wie bei der Postfinance. Mit dem gewichtigen Unterschied aber, dass die Postfinance-Kundinnen gar keine direkte Vertrags­beziehung mit diesen drei Kantonal­banken haben.

Ein ähnliches Problem besteht bei der Thurgauer und der St. Galler Kantonalbank: Auch sie ergänzen teilweise die Namen und Adressen von Privatkunden der Postfinance.

Weniger problematisch gehen die Migros Bank, Bank Cler, UBS und die Kantona­lbanken von Baselland und der Waadt vor. Sie pflegen einen «Zusatzdienst», in dem sie bei viel­genutzten Postfinance-Konten von Geschäfts­kundinnen – etwa Versicherungen, Kranken­kassen, Telecom­unternehmen – die Adress­angaben as a service vervollständigen.

Auf die Frage, woher die Banken diese Postfinance-Daten haben, schreibt eine Sprecherin der St. Galler Kantonal­bank: «Es handelt sich um eine Teilmenge des Daten­bestands, welchen Postfinance in ihrer E-Finance-Lösung anbietet.»

Auch hier geht es um eine historisch bedingte Eigenheit: das Postkonto­verzeichnis. Dieses lag bis in die 1990er-Jahre an den Post­schaltern sogar öffentlich in Papier­form auf. Jeder Filial­besucher konnte alle Postkonto­angaben von jeder Person einfach einsehen. Diese «Gelben Seiten für Postkonten» wurden dann in den digitalen Zahlungs­verkehr mit anderen Banken übernommen.

Die Postfinance hat die Sache mit dem Konto­verzeichnis transparent gekennzeichnet und verlangt dafür ein Opt-in, wie Sprecher Tibolla auf Anfrage erklärt: «Neben dem Merkblatt erhalten Kundinnen und Kunden bei der Konto­eröffnung ebenfalls ein Formular, wo anzukreuzen ist, ob man Teil des Konto­verzeichnisses sein möchte oder nicht.»

Aber wem ist schon klar, dass mit einem Eintrag ins Konto­verzeichnis eigene Daten automatisch zu fremden Banken wandern?

«Die Einwilligung der Postfinance über die AGB ist eine Farce», sagt Franziska Ryser, National­rätin der Grünen. «Wenn Kundinnen diese unterschreiben, wissen sie nicht, dass ihre Konto­informationen in ein Register eingetragen und jedem online dargestellt werden.»

Im bereits erwähnten Merkblatt der Postfinance steht lediglich als letzter Punkt, dass man sich aus dem Konto­verzeichnis wieder austragen lassen könnte. Doch wie viele Postkunden haben das effektiv getan? Man messe nicht, wie viele Kundinnen sich wieder austragen liessen, sagt Sprecher Tibolla.

Immerhin: Dieser Zusatz­service der Postfinance für alle anderen Banken ist seit kurzem Geschichte. Das Konto­verzeichnis wurde gemäss Angaben der Bank am 12. und 13. Februar 2022 eingestellt – am gleichen Wochenende also, an dem die Sicherheits­lücke geschlossen wurde. Das sei Zufall, sagt Tibolla, es habe nichts mit den Recherchen von der Republik und von Simon Gantenbein zu tun.

Löst der QR-Code das Problem?

Informatiker Simon Gantenbein hat den Datensatz inzwischen gelöscht. In seinem Bericht zählt er auf, was er damit hätte anstellen können. «So hätten die kantonalen Steuer­behörden meine Daten­sammlung sicher genommen, um damit den Erinnerungs­lücken der Steuer­betrüger gezielt entgegen­zuwirken», sagt er der Republik. «Die Daten­sammlung könnte auch mit weiteren Daten­quellen verknüpft werden. Dies hätte Phishing-Angriffe oder Identitäts­diebstahl begünstigt.»

Fast unisono versicherten alle befragten Banken, dass sich die Problematik von selbst erledigen werde: mit einer neuen Rechnungs­form ab Herbst 2022. Damit werden die alten Einzahlungs­scheine abgeschafft und durch QR-Codes ersetzt, die sämtliche gescannten Daten elektronisch übermitteln. Der «Automatisierungs­service» erübrige sich.

Auch die Postfinance prüfe eine allfällige Abschaffung ihres Automatisierungs­dienstes im Zuge dieses Wechsels, sagt Sprecher Tibolla. Damit würde die Post-Tochter in diesem Punkt doch nachgeben.

Gleichzeitig arbeitet Franziska Ryser auf politischer Ebene an einer Abschaffung der Praxis. Als Mitglied der Kommission für Wirtschaft und Abgaben zieht die Grünen-Nationalrätin einen Vorstoss in Betracht: «Wir prüfen, ob eine Opt-in-Lösung hierfür zielführend ist», sagt sie. «Kundinnen müssten aktiv der Weitergabe ihrer Daten zustimmen.»

Informatiker Gantenbein begrüsst das: «Es sollte für Banken selbstverständlich sein, dass bei der Nutzung von personen­bezogenen Daten, zum Beispiel für Marketing­zwecke oder zur Ergänzung von persönlichen Daten in einer Zahlung, um explizite Erlaubnis bei der Kundschaft gebeten wird.»

Ob alle Bankkundinnen bald nur noch mit Smartphone und QR-Code zahlen werden, ist allerdings fraglich. Es werden wohl noch viele Nutzer weiterhin via Desktop und Notebook die Rechnungen einzahlen und diese manuell eintippen, inklusive Automatisierungs­service.

Fazit: Nach aussen sind die Kundinnen der Postfinance nun besser geschützt. Doch innerhalb der Bank bleiben sie für andere Kunden – vorerst – gläsern. Und das wegen eines Automatisierungsservice, der historisch begründet wird und womöglich das Bankkunden­geheimnis verletzt.

Die Postfinance bleibt alles andere als eine ganz normale Bank.

5050

Sie sind sich immer noch nicht sicher, ob die Republik etwas für Sie ist? Dann testen Sie uns! Für 21 Tage, kostenlos und unverbindlich:

seit 2018

Republik AG
Sihlhallenstrasse 1
8004 Zürich
Schweiz

kontakt@republik.ch
Medieninformationen

Der Republik Code ist Open Source