Veröffentlicht am Kategorien Kommentar, Praxis - Für BetroffeneTags , , , , , , , , , , ,

Datenspeicherung bei Kartenzahlung

Wer mit Maestro/EC-Karte im Handel bezahlt, sollte wissen, was da von ihm gespeichert wird. DIe weit verbreitete Ansicht, dass nur Zahlungsdaten für den aktuellen Vorgang übermittelt (und dann verworfen) werden, ist im Regelfall falsch. So speichert z.B. das verbreitete Verfahren „easycash“ einiges mehr als nur die aktuellen Zahlungsdaten zur aktuellen Transaktion. Wer in aktuelle Verträge hineinsieht (Beispiellink 1, Beispiellink 2), findet dort u.a. diesen Passus:

easycash speichert die im OLV® getätigten Transaktionen und Umsätze und gibt dem Unternehmen einen Hinweis, wenn mit einer Karte Lastschriften im Rahmen des OLV®-Verfahrens zum Einzug gegeben worden sind, die die von dem Unternehmen bzw. bei OLV®smart durch easycash festgelegten wöchentlichen oder monatlichen maximalen Beträge oder täglichen Transaktionszahlen überschreiten.

Das heisst: Es gibt scheinbar ein Maximum an Beträgen die wöchentlich/monatlich möglich sind. Ebenso gibt es ein Maximum an Transaktionen pro Tag. Wo die liegen ist mir nicht bekannt, gefunden habe ich es auf Anhieb auch nicht. Spannender ist erstmal die Tatsache, dass man um das nachvollziehen zu können, einen Monat lang speichern muss, welche Karte wie viel wann bezahlt hat. Eine solche Speicherung läuft im Hintergrund auch ab, so dass es sich nicht nur um einen datenschutzrechtlich interessanten, sondern auch bedeutsamen Vorgang handelt. Immerhin kann man, wenigstens für einen Monat, problemlos nachvollziehen, wer wo wann was mit Karte gezahlt hat. Wieder eine theorertische finanzielle Vorratsdatenspeicherung, die in der Bevölkerung nicht bekannt ist (Zu der Vielzahl von Vorratsdatenspeicherungen in Deutschland dieser Artikel).

Dessen ist man sich auch bewusst, wie das Vertragswerk weiter zeigt.

Denn im Vertragswerk wird ausdrücklich darauf hingewiesen, dass es sich um einen datenschutzrechtlich bedeutsamen Vorgang handelt, über den der Kunde zu informieren ist. Soweit also alles OK, fraglich aber die Form, in der das geschieht:

Die Übermittlung von Daten an die von easycash geführte Sperrdatei, die Speicherung von Daten in dieser Datei
sowie die Übermittlung von Daten bei Überschreitung der erwähnten Grenzwerte setzt jedoch aus Datenschutzgründen das Einverständnis der Karteninhaber voraus. Das Unternehmen verpflichtet sich deshalb, an den OLV®-/OLV®-smart Terminals einen für den am Terminal stehenden Karteninhaber deutlich sichtbaren und lesbaren Aushang anzubringen, aus dem hervorgeht, welche Daten wo und zu welchem Zweck gespeichert werden:

„Einwilligung in die Datenspeicherung bei Bezahlung im Lastschriftverfahren. Bei uns können Sie bargeldlos unter Einsatz Ihrer Debit-Karte bezahlen. Zur Erhöhung Ihrer eigenen Sicherheit (z.B. bei Kartenverlust) sind wir einem Verfahren angeschlossen, bei dem ihre Kontonummer, die Bankleitzahl Ihres Kreditinstitutes sowie der von Ihnen zu zahlende Betrag gespeichert werden. Einem ebenfalls diesem Verfahren angeschlossenen Unternehmen kann bei wiederholter Vorlage Ihrer Debit-Karte ein Hinweis gegeben werden, wenn (je nach Unternehmen unterschiedliche) Umsatzgrenzen innerhalb eines bestimmten Zeitraums überschritten werden. In Einzelfällen behalten wir uns vor,bei Überschreitung von Umsatzgrenzen die Vorlage eines Lichtbildausweises zu erbitten oder auf ec-cash umzustellen.

Im Falle der Nichteinlösung von Lastschriften aufgrund fehlender Kontodeckung wird diese Tatsache in eine Sperrdatei aufgenommen und an andere Unternehmen übermittelt, die ebenfalls diesem Verfahren ange- schlossen sind. Nach Begleichung des Rechnungsbetrages wird diese Eintragung unverzüglich gelöscht.

Speichernde Stelle ist die easycash GmbH (Am Gierath 20, 40885 Ratingen). Sämtliche Umsatzdaten werden einen Monat nach ihrer Speicherung gelöscht.“

Zusätzlich verpflichtet sich das Unternehmen, sich das Einverständnis der Kunden mit deren Unterschrift bestätigen zu lassen.

Das Problem ist, dass der Aushang nicht unbedingt zur Kenntnis genommen werden muss. Ein konkreter Test von mir in mehrerer Filialen einer grossen Drogeriekette ergab, dass zwar durch aus ein (recht kleiner) Aufkleber an der Kasse vorhanden war – auf den wurde man aber nicht hingewiesen. Ob diese AGB insofern überhaupt wirksam Vertragsbestandteil werden und ob das am Ende mit der Unterschrift erteilte Einverständnis überhaupt soweit geht wie man es gerne hätte, ist da für mich fraglich.

Befreundete Käufer haben mir jedenfalls bestätigt, dass ihnen bisher nicht klar war, dass hier nicht nur das Einverständnis zum Geldeinzug gegeben wird, sondern auch das Einverständnis zur Speicherung aller Transkationen bei diesem Anbieter für 1 Monat – und das hier wie auch immer geartete Analysen im Hintergrund laufen.

Dass man im elektronischen Zahlungsverkehr Schutzmaßnahmen ergreifen muss ist klar. Ein Maximum an Transaktionen ist ein interessanter Weg – doch muss der Käufer definitv wissen, in was er einwilligt und was da mit seinen Daten geschieht. Die Praxis vor Ort zeigt, dass man hier noch erheblichen Arbeitsbedarf hat. Der mündige Verbraucher aber sollte in der Lage sein zu erkennen, dass es immer naheliegend ist, bei Kartenzahlungen die Zahlungen nicht nur kurzzeitig, sondern auch langfristig zu speichern und (zur Missbrauchsverhütung) zu analysieren. Dies entbindet aber nicht von der Pflicht, den Verbraucher ordentlich zu informieren bevor er etwas unterschreibt.