bedeckt München 20°

EC-Karten, Inkassofirmen und Versandhandel:Datenkatastrophe an der Kaufhauskasse

Die EC-Karte verrät viel über unser Leben. Easycash, größter Betreiber des Kartennetzes, wollte die Informationen an Inkassofirmen und Versandhändler weiterverkaufen. Verbraucherschützer sprechen von einem "Super-Gau für den Datenschutz".

Andreas Jalsovec

Das ist vielen Kunden schon passiert: Man steht an der Kasse und zückt die EC-Karte zum Bezahlen. Die Verkäuferin steckt die Karte ins Lesegerät. Der Kunde gibt die Geheimnummer ein. Doch das Gerät spuckt die Karte wieder aus. "Die funktioniert nicht", meint die Verkäuferin. "Zahlen Sie bitte bar."

Viele Menschen zahlen ihre Einkäufe mit der EC-Karte. Dass dabei Daten abgegriffen werden, wissen jedoch die wenigsten. 

(Foto: AP)

Gut möglich, dass die Technik spinnt. Wahrscheinlicher ist aber, dass hinter der Aufforderung zur Barzahlung Methode steckt. Bevor ein Kunde mit EC-Karte seinen Einkauf bezahlt, werden seine Kontodaten elektronisch überprüft.

Anschließend bekommt die Kassiererin einen Hinweis, ob der Kunde nur eine Unterschrift leisten oder seine Geheimzahl (Pin) eingeben muss. Beim Pin-Verfahren wird überprüft, ob die Bank eine Zahlungsgarantie gibt. Tut sie es nicht, muss der Kunde bar zahlen.

Solche "Zahlungswegeempfehlungen" kommen vom Betreiber des EC-Kartennetzes. Er wickelt die bargeldlosen Geldströme für die Händler ab. Der größte dieser Dienstleister in Deutschland ist Easycash. Über eine Milliarde Zahlungsvorgänge an EC-Kartenterminals erledigt die Ratinger Firma jährlich - und gibt dabei an der Kasse auch Empfehlungen zum Zahlungsweg. "Das ist datenschutzrechtlich auch erlaubt", sagt Bettina Gayk, Sprecherin des Landesbeauftragten für Datenschutz in Nordrhein-Westfalen.

In puncto Datenschutz mehr als fraglich ist dagegen, was Easycash nach Recherchen des Senders NDR Info mit den Daten von Millionen Kunden vorhatte. Demnach hatte der Zahlungsdienstleister ein Geschäftsmodell entwickelt, bei dem aus Informationen, die bei EC-Kartenzahlungen anfallen, Risikoprofile für die Karten abgeleitet werden.

Easycash bot diesen "Risikoindex" sogar anderen Firmen zum Kauf an. Ein Easycash-Sprecher räumte das jetzt ein: Man habe "ein Modell zur externen Vermarktung des Risikoindex'" entwickelt. Allerdings sei "die Vermarktung bereits im Mai 2010 eingestellt" worden.

Datenschützer halten den Vorgang für äußerst bedenklich. "Ein solches Vorgehen ist ein Super-GAU für den Datenschutz", sagt Thilo Weichert, Landesbeauftragter für Datenschutz in Schleswig-Holstein. Die Idee hinter dem Modell: Aus den täglichen Einkäufen jedes Kartenbesitzers lassen sich Daten zum Verhalten und zur Bonität gewinnen. Denn der Kartennetz-Betreiber weiß nicht nur, wie oft mit einer Karte eine Lastschrift nicht beglichen wurde. Er kann auch ersehen, wo und wann damit bezahlt und wie viel ausgegeben wurde.

"Bisher haben wir immer befürchtet, dass solche Daten genutzt werden, um Kunden Werbung zu schicken", sagt Edda Castello von der Verbraucherzentrale Hamburg. "Nun sehen wir: Es kann noch viel weiter gehen." Wie weit, das wird in einer Präsentation deutlich, mit der Easycash die Daten anderen Unternehmen "preiswert und tagesaktuell" anbot und die der SZ vorliegt.

Firmen könnten die Daten nutzen, um "Transaktionsrisiken" abzuschätzen, heißt es darin. Oder die "Performance" der Kunden vorherzusagen nach dem Motto: "zahlt oder zahlt nicht". Auch die Überwachung von Bestandskunden sei möglich. Die Daten lieferten einen "Frühwarnindikator zur Risikoprävention".

Das heißt: Ändert sich das Zahlungsverhalten eines Karteninhabers negativ, "kann es passieren, dass eine Versicherung oder ein Versandhändler den betreffenden Kunden vorsorglich aus dem Vertrag wirft", glaubt Castello.

Warum Easycash glimpflich davonkommt

In der Präsentation werden als potentielle Kunden für die Daten neben Versandhandel, Banken und Versicherungen auch Inkassounternehmen genannt. Bei Easycash heißt es: Es habe Verträge mit "Pilotkunden" gegeben. Die Pilotphase habe aber "keine zufriedenstellende Entwicklung" ergeben. Daher seien die Verträge gekündigt worden oder ausgelaufen. Im Übrigen habe man das Modell "unter strikter Beachtung der Vorgaben des Datenschutzgesetzes konzipiert" und dem Landesbeauftragten für Datenschutz in Nordrhein-Westfalen "ordnungsgemäß angezeigt".

Dort widerspricht man: Easycash habe zwar seine Meldepflicht erfüllt. Die Angaben in einer solchen Meldung reichten aber nicht aus, um ein Verfahren rechtlich zu beurteilen, so Datenschützerin Gayk. Darauf habe man Easycash ausdrücklich hingewiesen. Dennoch dürfte die Firma glimpflich davon kommen.

Erst vor kurzem haben sich die Bundesländer Nordrhein-Westfalen, Hessen und Bayern auf schärfere Datenschutz-Regeln bei Kartenzahlungen geeinigt. In diesen Ländern sitzen die großen Kartennetz-Betreiber Easycash, Telecash und Intercard. Nach der jetzigen Regelung sei ein Risikoindex wie von Easycash, der "alle zu einer EC-Karte erfassten Einkäufe bei unterschiedlichen Händlern" enthält, "eindeutig unzulässig", so Gayk. Man sei zwar auch damals der Meinung gewesen, dass dies nicht mit den Datenschutzbestimmungen vereinbar sei. "Allerdings herrschte in diesem Punkt Rechtsunsicherheit." Daher habe das Vorgehen von Easycash keine Folgen.

Für Weichert ist klar: "Was Easycash gemacht hat, ist heute illegal - und war es auch damals schon." Er plädiert für eine Verschärfung der Datenschutzbestimmungen bei EC-Kartenzahlungen. So sollten Zahlungswegeempfehlungen, wie sie täglich millionenfach an der Kasse stattfinden, nur erlaubt sein, wenn die Kunden darüber vorher ausführlich informiert werden - und anschließend der Verwendung der Daten auch zustimmen.

"Derzeit", so heißt es aus Weicherts Behörde, würden die Zahlungsdaten zu den Kunden "weitgehend ohne deren Kenntnis und ohne Rechtsgrundlage verarbeitet und ausgewertet". Im Klartext: Kaum ein Kunde weiß, was mit seinen Daten an der Kasse passiert. Erst Anfang der Woche hatten die nordrhein-westfälischen Datenschützer ein Bußgeld gegen Easycash verhängt, weil die Firma 400.000 Kontodaten unerlaubt an eine Tochter weitergegeben hatte.

© SZ vom 14.09.2011/kahe
Zur SZ-Startseite

Lesen Sie mehr zum Thema