Zahlung per EC-Karte: Was die Datensammler wirklich wissen (Spiegel Online, 23.9.2010)

Zahlung per EC-Karte

Was die Datensammler wirklich wissen

Montags tanken, mittwochs in der Innenstadt shoppen und jeden Freitag Wodka im Supermarkt: Wer mit seiner EC-Karte bezahlt, hinterlässt Spuren – Daten, die von den großen Transaktionsabwicklern wie Easycash gesammelt werden. Ist der gläserne Konsument bereits Wirklichkeit?

Spiegel Online, 23.9.2010

{jumi [*3]}

Wenn man an der Kasse im Supermarkt oder an der Tankstelle mit EC-Karte und Unterschrift bezahlt, wickelt mit recht hoher Wahrscheinlichkeit eines der drei Unternehmen Easycash (980 Millionen Transaktionen 2009), Telecash (894 Millionen Transaktionen) oder Intercard (321 Millionen Transaktionen) diese Zahlung ab. Sie kümmern sich darum, dass das Geld vom Konto des zahlenden Kunden auf das Konto des Händlers kommt.

Und diese Unternehmen speichern in Datenbanken Informationen darüber, wo wie viel mit welcher Karte bezahlt wurde. Die Unternehmen tun das seit Jahren, nun berichtet der Sender NDR Info über eines dieser Unternehmen, Easycash, das einen „Pool mit Daten von Millionen deutscher Kartenbesitzer“ verwalte, um Aussagen über deren Zahlungsfähigkeit treffen zu können. Das stimmt einerseits. Andererseits kann Easycash kaum wissen, wie diese Kartenbesitzer heißen und wo sie wohnen.

Speicherfristen, Datenbestände, Risiken – SPIEGEL ONLINE beantwortet die wichtigsten Fragen über die Datensammler im Supermarkt.

Was wird genau erfasst?

Die Unternehmen wissen nicht, wie die Kunden heißen oder wo sie wohnen. Diese Informationen haben die Banken. Die Zahlungsabwickler speichern in ihren Datenbanken die Details der Umsätze immer nur bezogen auf die genutzte Karte und das entsprechende Konto. Wem es gehört, weiß nur die Bank.

Easycash teilt mit, man speichere nur Kaufbetrag, Bankverbindung, die Terminalnummer und den Zeitpunkt. Ein Sprecher des Unternehmens erklärt: „Den Zahlungsdaten kann nur die Bank der Kunden einen Namen und eine Adresse zuordnen, Easycash kann das nicht. Nur in den Fällen, in denen eine Lastschrift platzt, weil zum Beispiel das Konto nicht gedeckt ist, kann Easycash die Personendaten des Kontoinhabers ermitteln, um die Forderungen geltend zu machen.“

Das Unternehmen Intercard ist offener. Man speichere nur diese Details: Kontonummer, Bankleitzahl, Kartenfolgenummer, Zeitpunkt der Zahlung und wo bezahlt wurde. Nicolas Adolph, bei Intercard unter anderem für Datenschutz verantwortlich, betont: „Wir speichern keinerlei Artikel- oder Warenkorbdaten. Die Daten werden streng zweckgebunden verwendet.“

Warum speichern Firmen diese Informationen?

Für den Kunden ist es nur ein kleiner Unterschied, ob er bei der Kartenzahlung an der Kasse eine Geheimzahl eintippen oder nur einen Zettel unterschreiben muss. Tatsächlich werden bei beiden Methoden völlig unterschiedliche Verfahren genutzt, die für Händler Vor- und Nachteile haben. Bezahlt man mit Pin-Eingabe, läuft die Bezahlung über ein System der Banken. Der Händler muss sich keine Sorgen machen, ob er das Geld bekommt – die Banken garantieren das, auch wenn das entsprechende Konto nicht gedeckt ist.

Den Nachteil für Händler erläutert Branchenkenner Hanno Bender, stellvertretender Chefredakteur des Fachmagazins „Der Handel“: „Das Pin-basierte Verfahren der Banken ist recht teuer für den Händler. Er muss für jede Bezahlung 0,3 Prozent des Umsatzes an die Banken bezahlen.“ Das elektronische Lastschriftverfahren ELV von Anbietern wie Easycash ist günstiger, aber dafür trägt nicht die Bank des Kunden das Risiko einer geplatzten Lastschrift, sondern der Händler.

Für Händler lohnt es sich also, das teure Pin-Verfahren nur dann zu nutzen, wenn bei der entsprechenden Karte das Risiko hoch ist, dass das Konto nicht gedeckt ist. Um dieses Risiko einzuschätzen und bei Konten mit Rücklastschriften in der Vergangenheit auf das Pin-basierte Verfahren umzustellen, speichern Firmen wie Easycash Informationen über geplatzte Lastschriften und problemlos abgewickelte Zahlungen.

Auf dieser Datenbasis schätzt eine Software das Risiko einer bestimmten Karte ein und entscheidet dann, ob der Kunde per Unterschrift (günstiger für den Händler) oder mit Pin (sicherer, aber teurer) zu bezahlen hat.

Wie werden diese Daten ausgewertet?

Wie erkennt die Software riskante Karten? Das Unternehmen Easycash erklärt in der Selbstdarstellung, man habe „mit über 2,7 Millionen Einträgen Deutschlands umfangreichste und aussagekräftigste Sperrdatei“. Und man könne “ bonitätsschwache Käufer identifizieren„.

Diese Formulierung lässt nur einen Schluss zu: Easycash wirft die bei allen Händlern gesammelten Daten in eine einzige Datei, die wiederum von allen Beteiligten genutzt werden kann. Ein Easycash-Mitarbeiter beschreibt die Datenauswertung nur vage: „In die Easycash-Risikodatei fließen die Daten der Lastschriftzahlungen der letzten zwölf Monate ein, wie auch die Informationen über gesperrte Karten aus der Kuno-Datei der Kriminalpolizei.“

Der Anbieter Intercard erklärt genauer, wie das System bei ihm funktioniert. Die Firma hat eine Besonderheit: In fast allen Fällen übernimmt Intercard das Ausfallrisiko bei einer elektronischen Lastschrift. Ähnlich wie beim Pin-System der Banken bekommt der Händler das Geld auf jeden Fall – von Intercard. Nicolas Adolph erklärt, man nutze für interne Risikoanalysen neben den offensichtlich aussagekräftigen Informationen über Rücklastschriften in der Vergangenheit auch die Informationen über problemlose Lastschriften.

Adolph: „Das ist wie beim Anschreiben in einem Tante-Emma-Laden früher eine wertvolle Information. Wenn mit einer Karte zum Beispiel jede Woche in dem Supermarkt XY für einen bestimmten Betrag eingekauft wird, ohne dass es je zu Rücklastschriften gekommen ist, gibt man bei so einer Karte eher Kredit, sprich erlaubt elektronische Lastschrift.“

Vereinfacht gesagt: Auf Basis der Umsätze einer Karte können die Zahlungsdienstleister schwarze Listen (Karten mit Rücklastschriften) und weiße Listen (Karten ohne Rücklastschriften, mit denen regelmäßig gezahlt wird) anlegen.

Wann ist die Umsatzsammelei problematisch?

Selbst Verbraucherschützer sprechen Händlern nicht das Recht ab, sich vor Zahlungsausfällen zu schützen. Frank-Christian Pauli, Referent für Finanzdienstleistungen beim Verbraucherzentrale Bundesverband, erklärt: „Wenn die schwarzen Listen, also Verzeichnisse von Karten, bei denen es zu Rücklastschriften gekommen ist, nur zu diesem Zweck geführt werden, ist das aus unserer Sicht am wenigsten problematisch.“

Aber schon bei dieser einfachsten Datenauswertung fällt ein eindeutiges Urteil nicht ganz so leicht. Denn weiß ein Kunde, der an der Kasse einen Zettel für die elektronische Lastschrift unterschreibt, wirklich, welcher Nutzung der Umsatzdaten er zustimmt? Weiß er, dass dieser Umsatz in einen karten- und nicht in einen personenbezogenen Datenpool einfließt?

Verbraucherschützer Pauli sagt: „Es muss sichergestellt sein, dass die Kunden wissen, wenn sie an der Kasse einen Zettel unterschreiben, dass ihre Daten auch dafür genutzt werden können.“ Und auch wenn es bei diesen Datenbanken nur darum geht, ob man per Pin oder per Unterschrift zahlt – transparent sollte das alles schon sein.

Ein Transparenz-Problem sieht Pauli auch an einer anderen Stelle: „Ein Kunde muss nachvollziehen können, warum er auf einer Blacklist landet, woher diese Information stammt, damit er die gegebenenfalls richtigstellen kann.“ Denn wenn die zentralen Sperrlisten von Unternehmen wie Easycash bei allen beteiligten Unternehmen (die Firma spricht von 92.000 Kunden) im Einsatz sind, weiß ein Kunde nicht, warum er plötzlich beim Baumarkt per Pin-Eingabe bezahlen muss, obwohl es dort noch nie Probleme gab. Verbraucherschützer Pauli: „Eine Rücklastschrift muss ja nicht immer erfolgen, weil jemand nicht zahlen will, da gibt es viele mögliche Gründe, da muss der Kunde das Bild korrigieren können, das Unternehmen über ihn haben.“

Verkaufen die Zahlungsdienstleister ihre Daten?

Für Vermarktung und Werbung sind die Daten der Zahlungsdienstleister wenig interessant – es fehlen die Namen, ganz abgesehen von der Zustimmung zur derartigen Nutzung dieser Daten. Aber eine Aufgabe von Verbraucherschützern ist es ja, mögliche Gefahren zu beschreiben, um zu prüfen, wie gut die Bürger davor geschützt sind. Frank-Christian Pauli, vom Verbraucherzentrale Bundesverband warnt also: „Jede Datensammlung weckt Begehrlichkeiten. Wenn ein Unternehmen kartenbezogene Umsatzdaten hat, könnte es die mit anderen Daten zusammenführen. Kombiniert man die zum Beispiel mit Informationen von Auskunfteien, sind Kartennummern Namen zuzuordnen. Das ist theoretisch möglich, auch wenn wir nicht glauben, dass solche Verknüpfungen vor Gericht Bestand hätten.“

Ein Branchen-Insider hat SPIEGEL ONLINE berichtet, Intercard habe in der Vergangenheit mit Auskunfteien und Versandhändlern über die Nutzung von Daten aus der Easycash-Datenbank verhandelt. Auf diesen Vorwurf antwortet das Unternehmen SPIEGEL ONLINE: „Easycash hat Zahlungs- oder Bankverbindungsdaten nie an Dritte verkauft. Es wurde in Erwägung gezogen, den Risikoindex über den Kartenzahlungsverkehr hinaus zu nutzen, aufgrund datenschutzrechtlicher Bedenken wurde dies jedoch nicht weiter verfolgt.“

Intercard stellt kurz und klar fest: „Intercard verkauft Daten nicht an Dritte.“ Man analysiere die Daten nur intern, allein mit dem Ziel, „das Risiko einer Rücklastschrift einzuschätzen“.

Handelsexperte Hanno Bender warnt vor Panikmache. „Zum einen sind diese Daten nicht mit Namen und Adressen, sondern nur mit Konten verknüpft. Zum anderen werden diese Daten nur dazu genutzt werden, um zu entscheiden, ob ein Kunde bei der EC-Kartenzahlung eine Pin eingibt oder einen Zettel unterschreibt. Wenn es allein um diese Risikoabwägung geht, sehe ich kein Datenschutzproblem.“

Wie lange werden die Informationen gespeichert?

Fragen von SPIEGEL ONLINE dazu haben weder Easycash noch Telecash beantwortet. Das Unternehmen Intercard erklärt, in der Blacklist bleibe eine Karte, beziehungsweise die entsprechende Bankverbindung, solange die Forderung offen sei. Details zu Umsätzen ohne Rücklastschrift speichert Intercard unterschiedlich lange, zum Teil bis zu zehn Jahre. Das ist bei allen Umsätzen so, wo Intercard nicht als reiner Abwickler arbeitet, sondern die Umsätze der Kunden über die eigenen Konten laufen und dann erst an die Hausbanken der Händler überwiesen werden. Intercard-Mitarbeiter Adolph: „Wir sind dazu gesetzlich verpflichtet. Wir sind bei diesen Transaktionen rechtlich eine Teilbank, müssen im Hinblick auf Steuer und Geldwäsche den Archivierungsvorschriften folgen.“

Details zu Umsätzen, bei denen Intercard nur als Abwickler arbeitet, werden eher gelöscht. Die entsprechende Frist will das Unternehmen aber nicht öffentlich machen, weil „solche Fristen erfahrungsgemäß gezielt von Betrügern ausgenutzt werden“.

Profitieren Kunden von der Sammelei?

Ein Drittel der Umsätze im Einzelhandel laufen über das für die Händler günstigere elektronische Lastschriftverfahren. Die Händler sparen da im Vergleich zum Pin-Verfahren viel Geld – und einen Teil davon dürften sie an die Kunden weitergeben, indem sie Preise senken. Wie hoch dieser Nutzen für Kunden ist, lässt sich nicht ermitteln.

Es gibt aber auch konkretere Beispiele: Dass eine EC-Karte geklaut wurde, merkt das Opfer nicht immer sofort. Professionelle Diebe wissen, dass sie schnell sein müssen, um mit dieser Karte Geld zu machen, bevor sie gesperrt wird – sprich: einkaufen, mit Karte und Unterschrift bezahlen. Nicolas Adolph erklärt, Intercard könnte solche Fälle auf Basis der Umsatzanalysen schnell ermitteln: „Wenn plötzlich in kurzen Abständen für ungewöhnlich viel Geld mit der Karte eingekauft wird, schlägt das System bei Erreichen eines Risikolimits sofort vor, statt elektronischer Lastschrift besser das Pin-basierte Verfahren zu nutzen. Sobald das passiert, ist die Karte für die Diebe wertlos.“ Laut Adolph schlägt das System bei gestohlenen Karten Alarm, bevor die Sperrmitteilungen eingehen.

Andererseits: Gäbe es die Bezahlung per Unterschrift nicht, bestünde diese Betrugsmöglichkeit gar nicht.

Wer zu dem Schluss kommt, dass für ihn die Nachteile bei der elektronischen Lastschrift überwiegen, hat eine einfache Ausweichmöglichkeit: mit Bargeld zahlen.