EC-Karten, Inkassofirmen und Versandhandel Datenkatastrophe an der Kaufhauskasse

Die EC-Karte verrät viel über unser Leben. Easycash, größter Betreiber des Kartennetzes, wollte die Informationen an Inkassofirmen und Versandhändler weiterverkaufen. Verbraucherschützer sprechen von einem "Super-Gau für den Datenschutz".

Von Andreas Jalsovec

Das ist vielen Kunden schon passiert: Man steht an der Kasse und zückt die EC-Karte zum Bezahlen. Die Verkäuferin steckt die Karte ins Lesegerät. Der Kunde gibt die Geheimnummer ein. Doch das Gerät spuckt die Karte wieder aus. "Die funktioniert nicht", meint die Verkäuferin. "Zahlen Sie bitte bar."

Viele Menschen zahlen ihre Einkäufe mit der EC-Karte. Dass dabei Daten abgegriffen werden, wissen jedoch die wenigsten. 

(Foto: AP)

Gut möglich, dass die Technik spinnt. Wahrscheinlicher ist aber, dass hinter der Aufforderung zur Barzahlung Methode steckt. Bevor ein Kunde mit EC-Karte seinen Einkauf bezahlt, werden seine Kontodaten elektronisch überprüft.

Anschließend bekommt die Kassiererin einen Hinweis, ob der Kunde nur eine Unterschrift leisten oder seine Geheimzahl (Pin) eingeben muss. Beim Pin-Verfahren wird überprüft, ob die Bank eine Zahlungsgarantie gibt. Tut sie es nicht, muss der Kunde bar zahlen.

Solche "Zahlungswegeempfehlungen" kommen vom Betreiber des EC-Kartennetzes. Er wickelt die bargeldlosen Geldströme für die Händler ab. Der größte dieser Dienstleister in Deutschland ist Easycash. Über eine Milliarde Zahlungsvorgänge an EC-Kartenterminals erledigt die Ratinger Firma jährlich - und gibt dabei an der Kasse auch Empfehlungen zum Zahlungsweg. "Das ist datenschutzrechtlich auch erlaubt", sagt Bettina Gayk, Sprecherin des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen.

In puncto Datenschutz mehr als fraglich ist dagegen, was Easycash nach Recherchen des Senders NDR Info mit den Daten von Millionen Kunden vorhatte. Demnach hatte der Zahlungsdienstleister ein Geschäftsmodell entwickelt, bei dem aus Informationen, die bei EC-Kartenzahlungen anfallen, Risikoprofile für die Karten abgeleitet werden.

Easycash bot diesen "Risikoindex" sogar anderen Firmen zum Kauf an. Ein Easycash-Sprecher räumte das jetzt ein: Man habe "ein Modell zur externen Vermarktung des Risikoindex'" entwickelt. Allerdings sei "die Vermarktung bereits im Mai 2010 eingestellt" worden.

Datenschützer halten den Vorgang für äußerst bedenklich. "Ein solches Vorgehen ist ein Super-GAU für den Datenschutz", sagt Thilo Weichert, Landesbeauftragter für Datenschutz in Schleswig-Holstein. Die Idee hinter dem Modell: Aus den täglichen Einkäufen jedes Kartenbesitzers lassen sich Daten zum Verhalten und zur Bonität gewinnen. Denn der Kartennetz-Betreiber weiß nicht nur, wie oft mit einer Karte eine Lastschrift nicht beglichen wurde. Er kann auch ersehen, wo und wann damit bezahlt und wie viel ausgegeben wurde.

"Bisher haben wir immer befürchtet, dass solche Daten genutzt werden, um Kunden Werbung zu schicken", sagt Edda Castello von der Verbraucherzentrale Hamburg. "Nun sehen wir: Es kann noch viel weiter gehen." Wie weit, das wird in einer Präsentation deutlich, mit der Easycash die Daten anderen Unternehmen "preiswert und tagesaktuell" anbot und die der SZ vorliegt.

Firmen könnten die Daten nutzen, um "Transaktionsrisiken" abzuschätzen, heißt es darin. Oder die "Performance" der Kunden vorherzusagen nach dem Motto: "zahlt oder zahlt nicht". Auch die Überwachung von Bestandskunden sei möglich. Die Daten lieferten einen "Frühwarnindikator zur Risikoprävention".

Das heißt: Ändert sich das Zahlungsverhalten eines Karteninhabers negativ, "kann es passieren, dass eine Versicherung oder ein Versandhändler den betreffenden Kunden vorsorglich aus dem Vertrag wirft", glaubt Castello.