Kassendaten

Editorial: Datenskandal! Die Bank weiß, wie viel auf Ihrem Konto ist!

Wer mit Karte zahlt, hinterlässt zwangsläufig Daten

Die politische Sommerpause mit bekannt dünner Nachrichtenlage ist eigentlich vorbei. Und so verwundert, dass der vermeintliche Datenskandal rund um Easycash - einer der größten, wenn nicht sogar der größte, Dienstleister in Deutschland rund um die Abwicklung von ec-Karten-Zahlungen - am Donnerstag und Freitag durch die Medien ging. Denn es ist weder neu, dass Easycash Transaktionsdaten speichert, noch unerwartet: So ist es ein offenes Geheimnis, dass alle Zahlungssystemanbieter (Banken, Kreditkartenanbieter, PayPal usw.) Verhaltensdaten sammeln, um mögliche Betrugsfälle zu erkennen.

Für viele Zwecke müssen Easycash, Telecash, Intercard & Co. die Daten sogar speichern. Beispielsweise dann, wenn ein Kunde zunächst im Geschäft mit ec-Karte und Unterschrift zahlt und dann nachträglich bei seiner Bank der zugehörigen Lastschrift widerspricht. Dann bekommt der Kunde sein Geld zurück. Und Easycash braucht dann die Transaktionsdaten, um ein entsprechendes Mahnverfahren einleiten zu können, damit der Kunde doch noch zahlt. Gleiches gilt analog, wenn die Lastschrift platzt, weil keine Deckung auf dem Konto ist. Und auch steuerrechtliche Vorschriften verlangen im allgemeinen für Finanzdaten sehr lange Aufbewahrungsfristen.

Und so kommt der aktuelle Datenskandal ("Easycash weiß, mit welchen Karten in der letzten Zeit wie viel bezahlt worden ist") einem ein bisschen vor wie der (noch imaginäre) Skandal: "Die Bank weiß, wie viel Geld auf Ihrem Konto ist!"

Ein Datenskandal wird es auch noch nicht, weil Easycash zur Reduktion der eigenen Kosten (und damit auch der Kosten des Händlers) zwei Zahlungsverfahren kombiniert: Das mit ec-Karte und Unterschrift (höheres Ausfallrisiko, da nur normale Lastschrift, dafür keine Provision an die Bank), und das mit ec-Karte und PIN (geringeres Ausfallrisiko, dafür hohe Umsatzprovisionen der Bank). Bedenkt man, dass beide Verfahren zudem grundsätzlich mit der Vorlage des Ausweises kombiniert werden können, sind es sogar deren vier: ec-Karte + PIN, ec-Karte + PIN + Ausweis, ec-Karte + Unterschrift, ec-Karte + Unterschrift + Ausweis.

Diese Kombination erschwert es beispielsweise Kartendieben, später das Konto ihres Opfers in Geschäften durch die Anschaffung geeigneter Hehlerware (Elektronik, Zigaretten etc.) "leerzukaufen". Denn sie können kaum planen, welches Authentifizierungsverfahren (PIN bzw. Unterschrift, evtl. mit Ausweis) eingesetzt werden wird. Am Ende profitiert davon auch der Kartennutzer: Sein Risiko, nach einem nicht bemerkten Kartenverlust plötzlich mit leerem Konto dazustehen, sinkt.

Ebenso profitiert der Kunde von ELV-Transaktionen, da er missbräuchliche Transaktionen, wie jede andere Lastschrift auch, per einfachem Auftrag an die Bank zurückgeben lassen kann. Im Zweifelsfall muss dann der Laden bzw. der Zahlungssystemanbieter nachweisen, dass die Unterschrift auf dem Kaufbeleg echt ist. Und da man bei ELV keine PIN eingibt, kann sie auch nicht ausgespäht werden.

Erst die Weitergabe macht die Datennutzung zum Skandal

Ein Datenskandal wäre es, wenn Easycash mehr Daten als nötig sammelt, sich z.B. auch eine Liste der gekauften Dinge samt Einzelpreisen übermitteln lässt, statt nur des für die Durchführung der Transaktion benötigten Endbetrags. Ebenso wäre ein Skandal die Rückführung der erfassten Karten- und Kontonummern auf Personen und die Weitergabe der so aufgewerteten Daten an Dritte: "Schaut mal, Herr Krause hatte in letzter Zeit viele Reparaturen in seiner Autowerkstatt bezahlt. Schickt ihm doch mal Autokataloge, vielleicht braucht er ja bald ein neues." Richtig kriminell wäre: "Herr Meyer kauft öfters beim Juwelier ein, auch größere Beträge. Jüngst hat er zudem im Reisebüro eine größere Reise gebucht. Die Sicherheitstechnik seines Hauses kommt von Firma XY. Schaut mal nach, was bei ihm zu holen ist!" Solches Machenschaften wurde jedoch bisher wohl nicht nachgewiesen.

In manchen Medien wurde kritisiert, dass es eine vom Nutzer nicht autorisierte Weitergabe von Bonitätsdaten schon vor der Unterschrift auf dem Kassenzettel gebe, und zwar durch das Auslesen der Karte und die Rückmeldung von Easycash, welches der Authentifizierungsverfahren eingesetzt werden soll. Auch hier hilft freilich gesunder Menschenverstand weiter: Wenn ich der Kassiererin meine ec-Karte gebe und sie diese ins ec-Terminal steckt und den Betrag eingibt, dann doch deswegen, weil zunächst elektronisch geprüft wird, ob die Zahlung über die Karte möglich ist. Das ist aber nichts anderes als eine Bonitätsabfrage. In der Regel muss diese (zusammen mit dem Betrag) zudem noch vom Kunden durch Drücken des "OK"-Buttons bestätigt werden. Ebenso ist es offensichtlich, dass die Transaktion zunächst über die Server der Firma läuft, die auf dem Kartenterminal genannt ist.

Schwieriger zu bewerten sind die (zunehmenden) Fälle, dass der Laden integrierte Kassensysteme verwendet, wo der Name des Zahlungssystemanbieters nicht oder zumindest nicht offensichtlich sichtbar ist. Bei diesen entfällt zudem oft das erste Drücken der OK-Taste zur Bestätigung der Transaktion; manchmal gibt es ja noch nicht einmal ein Terminal zur PIN-Eingabe, weil der Laden nur Unterschrift-basierte Verfahren einsetzt. Aber auch hier ist Easycash & Co. erstmal kein Vorwurf zu machen, denn es ist ja der Laden, der den Datenstransfer zwecks Zahlungsabwicklung initiiert und nicht etwa Easycash.

Hingegen sind die Ladeninhaber gegenüber ihren Kunden klar in der Bringschuld, den Karten-Dienstleister zu benennen, und das vor Transaktionsbeginn. Dazu sollte ein dezentes, aber dennoch gut sichtbares Hinweisschild im Kassenbereich ausreichen: "Ihre Kartenzahlung wickeln wir ab mit Hilfe von ..." Das ließe sich gut mit den ohnehin vorhandenen Aufklebern der akzeptierten Karten kombinieren.

Auch die Antwort von Easycash an die Zahlungs-Anfrage des Ladens bezüglich des zu verwendenden Authorisierungsverfahrens (PIN oder Unterschrift, mit oder ohne Ausweis) stellt keine Datenweitergabe dar - schon deswegen, weil sie keine Daten über den Zahlungspflichtigen enthält. So wird zwar bei Kunden mit geringem Zahlungsausfallrisiko bevorzugt die billigere ELV mit Unterschrift eingesetzt, aber es wird auch bei diesen Kunden ab und zu nach einem Zufallsprinzip (oder, wenn der Verhaltensfilter ein ungewöhnliches Muster feststellt, etwa einen Einkauf kurz zuvor) nach der PIN gefragt. Am Ende weiß die Kassiererin nicht, warum die PIN abgefragt wird, und damit weiß sie auch nichts über den Kunden.

Datensparsamkeit und Kontrolle

Wie schon geschrieben ist wichtig, dass Easycash und deren Konkurrenz nur die für ihre Aufgabe - Abwicklung von Zahlungen inklusive Risikobeurteilung - relevanten Daten sammeln. Die Karten- und Kontonummern gehören dazu, Name und Anschrift der dahinter stehenden Personen schon nicht mehr. Bisher wurden diese aber wohl auch nicht erfasst. Angesichts der großen verarbeiteten Datenmengen ist es auch selbstverständlich, dass die Zahlungsdienstleister von den zuständigen Datenschutzbehörden überwacht werden.

Ebenso stellt sich die Frage, wie lange einzelne Zahlungsdatensätze gespeichert werden müssen. Um zu beurteilen, ob der Kunde im Elektronikmarkt hier wirklich seine Karte vorlegt (und nicht etwa eine geklaute) und sich den neuen Flachbildschirm wohl leisten kann (so dass das billigere ELV-Verfahren statt des PIN-Verfahrens angewendet wird), braucht man sicherlich nicht alle Details aller Transaktionen der letzten 10 Jahre. Summarische Daten ("zahlt regelmäßig größere Anschaffungen mit Karte") sind hingegen sehr nützlich.

Andererseits verlangen steuerliche Aufbewahrungsvorschriften eine Speicherung für volle zehn Jahre. Angesichts dessen scheint eine Trennung der Datenhaltung angebracht: Ein steuerliches Archivsystem für alle Transaktionen, auf das aber nur ausgewählte Mitarbeiter Zugriff haben, und bei dem sich solche Zugriffe auch zuordnen lassen. Und ein live-System mit minimierter Datenhaltung für die schnelle Abwicklung der eingehenden Zahlungsanfragen. Wahrscheinlich gibt es eine solche Trennung bereits - schon aus Performance-Gründen.

Weitere Editorials