Schlagwort-Archive: Zahlungssysteme

Auswertung elektronischer Bezahlverfahren vs. Datenschutz

Möglichkeiten zur Auswertung von elektronischen Bezahlverfahren vs. Datenschutz

Datenschutz und Mestro Zahlung

Datenschutz und Kartenzahlung

Wer sich heute mit elektronischen Zahlungssystemen und Bezahlverfahren beschäftigt kommt schnell auf den Gedanken, dass seine Daten ausgewertet werden könnten. Denn durch den Zahlungsvorgang entstehen mannigfaltige und für jeden Händler oder Werbetreibenden absolut interessante Daten. Hier einige Anwendungsmöglichkeiten, ohne Wert auf Vollständigkeit oder extreme Beispiele zu legen:

a) Erfassen der Warenkörbe, daher die Analyse der gekauften Waren, dies ist besonders interessant um Rückschlüsse auf weitere Lebensumstände zu erhalten. Fragen die hier gestellt, bzw. beantwortet werden sind:

o Auswertung der Warengruppen, bzw. die Zusammenstellungen von Warengruppen, die wieder in Relation zu bestehenden Gewohnheiten, oder Lebensumständen gesetzt werden können
o Preisstruktur der gekauften Artikel
o Wege-, bzw. Sortimentsoptimierungen innerhalb eines Ladengeschäftes, daher was kauft man zusammen
o Käufergruppenanalysen: Zu welcher Gruppe von Käufern gehört die Person

b) Das Bewegungsprofil einer Person. Da man die Zahlstellen kennt und schon alleine aus rechtlichen Gründen kaum jemand seine Zahlkarten an eine weitere Person weitergibt, kennt man die Wege und Muster der betroffenen Person bald sehr gut.

o Bewegungsmuster des Kartennutzers
o Gewohnheiten des Kartennutzers
o Mobilität, daher wie komme ich von A nach B

c) Psychologische Typenbestimmung und Lebensumstände:

o Gewohnheitstier oder Spontankäufer
o Partymaus oder Stubenhocker
o Single oder Familienmensch
o Einkommensverhältnisse
o Beschäftigungsart

d) Aus a, b, und c lassen sich wiederum weitere Dinge wie die Bonität des einkaufenden errechnen. Daher ist aus einem Zahlenstrom sehr viel über eine Person ablesbar, z.B.: Was kauft diese Person, wo, in welchem Zusammenhang und unter Einfluss welcher Werbemaße ein. Bestehend Abhängigkeiten zu anderen Personen, wird für andere eingekauft, werden die Rechnungen immer bezahlt, wird in Raten gezahlt, oder lieber komplett? Wenn ja, bis zu welchen Beträgen, was für Artikel werden gekauft und wann im Monat, daher besteht eine Abhängigkeit zu Geldeingängen, oder Gehaltszahlungen.

Das sind alles Daten die für eine Person alleine schon interessant sind, insbesondere wenn ich diese Daten noch mit anderen personenbezogenen Daten verknüpfen kann. Je umfassender die Daten über mehrere Personen sind, desto eher lassen sich dann auch Ableitungen für Dritte Personen ziehen. Stichwort Predictive Analysis.

Einige Möglichkeiten zur Erlangung dieser Daten, ohne große Mühen, sind die Bezahlkarte eines Sammelsystems, die Bezahlvorgänge mit einer MAESTRO-, oder Kreditkarte, bzw. den Buchungen auf Bankkonten und natürlich die damit verknüpften Daten aus den Warenwirtschaftssystemen der Händler die diese Umsätze tätigen. Solche Auswertungen sind damit in unterschiedlich ausgeprägter Form einfach und sogar noch personenbezogen möglich. Voraussetzung ist eigentlich nur eine entsprechend große Anzahl von Datensätzen und die richtigen Systeme und Mitarbeiter zur Analyse.

Sollten Sie jetzt erschrocken sein, so ist das kein Wunder, denn selbst das unfähigste Unternehmen wird irgendwann mal in der Lage sein, mit externen Beratern, solche Systeme zu bauen. Der Aufwand ist überschaubar und der Ertrag, in die richtigen Hände gelegt, ungemein hochwertig und wertvoll. Zahlungs- und Kontodaten, sowie Bewegungsdaten die damit verknüpft sind, sind zwar vom Gesetzgeber nicht explizit als „besondere Arten personenbezogener Daten“ eingestuft, dennoch werden diese Daten in §42a BDSG besonders geschützt. Diese Daten sind zwar nicht direkt personenbezogen, aber durch die Verknüpfung mit einer Person, der eine solche Zahlungsmöglichkeit nun mal persönlich gehört, sehr wohl personenbeziehbar und damit nach dem Datenschutzgesetz zu behandeln.

Ein Beispiel für eine erfolgreiche bestehende Implementierung solcher Auswertungen ist die Zahlung per MAESTRO bzw. EC-Karte.

Es gibt zwei technische Verfahren für das Zahlen mit der EC-Karten, bzw. MAESTRO-Karte
Wird bei einem Einzelhändler statt mit Bargeld mit einer EC bzw. MAESTRO-Karte gezahlt so stehen dem Händler grundsätzlich zwei verschiedene Bezahlverfahren zur Verfügung. Entweder der Kunde identifiziert sich mittels Unterschrift und erlaubt somit den Geldeinzug durch den Händler mittels Lastschriftverfahren von seinem Konto, oder er wir zur Eingabe einer PIN aufgefordert.

Im ersten Fall ist für den Händler nicht sichergestellt, dass das Konto des Kunden gedeckt ist, zudem hat der Kunde noch ein erweitertes Wiederspruchsrecht für die Zahlung. Bei der Eingabe der PIN stellt die Bank jedoch die Kontodeckung sicher und dem Händler wird die Zahlung sofort bestätigt und gutgeschrieben.

Das PIN Verfahren ist daher das wesentlich zuverlässigere und mit weniger Risiko behaftete Verfahren für den Händler. Allerdings ist das Lastschriftverfahren das wesentlich günstigere und wird, wenn eine große Anzahl von Transaktionen vorliegt, oder die Margen sehr klein sind, umso interessanter.

Was machen nun Händler um sich vor Zahlungsausfällen zu schützen?

Der Zahlungsdienstanbieter des Händlers übernimmt für den Händler heute ganz selbstverständlich einen Teil der Prüfung, welches Verfahren für den Händler vorteilhafter ist. Die Entscheidung kommt in Form eine Vorschlages, man könnte auch sagen als Auskunft, aus den Systemen des Dienstanbieters. Eigentlich müsste sich jeder Händler die Entscheidung selbst, aufgrund seiner persönlichen Erfahrung mit dem einzelnen Kunden, überlegen. Da dies aber nicht wirklich in der Praxis funktioniert kommt der Dienstanbieter ins Spiel. Beurteilt dieser eine Zahlung per Lastschriftverfahren als zu riskant, dann wird entweder das PIN Verfahren verlangt oder eine Zahlung per alternativer Zahlungsweise (Barkauf) empfohlen. Die Entscheidung trifft dann der Händler öffiziell immer noch selbst.

Um diese Beurteilung durchzuführen werden derzeit im Standard die folgenden Merkmale geprüft:

  • Wurde die Karte gesperrt?
  • Ist die Karte noch gültig?
  • Wurde die Karte in kurzen Abständen in zwei weit voneinander liegenden Orten eingesetzt?
  • Erfolgten unlängst Rücklastschriften auf diese Bankverbindung?

Das hieraus generierte Datum mit den Werten, „Zahlung per Lastschriftverfahren“, „Zahlung per PIN Verfahren“, „Alternative Zahlungsart bevorzugt“ ist dann auch laut Dienstleister kein persönliches Datum und erlaubt eigentlich auch keinen Hinweis auf die Bonität des Kunden, was eindeutig ein personenbezogenes Datum wäre, dennoch kann für diese Auskunft natürlich eine Personenbezug her leitbar sein, insbesondere wenn eine Verknüpfung der Daten zu weiteren Systeme erfolgt. Die Diskussion entflammt hier an der Interpretation als nicht personenbezogenes Datum.

Hier zeigt sich sehr klar ein Problem in der Datenschutzkonformen Nutzung von Zahlungsdaten, ein Personenbezug ist sehr leicht herstellbar und damit hängt es stark von derNutzung, bzw. der potenziellen Nutzbarkeit, ab welchen Vorschriften die Daten und die darauf resultierenden Erkenntnisse unterliegen.

Ist Kartenzahlung damit Datenschutzrechtlich überhaupt möglich?

Nun stellt sich natürlich die Frage ob diese Art der Datenverarbeitung in einem Bezahlverfahren rechtlich zulässig ist. Die von der Zahlungskarten ausgebenden Industrie propagierte Unbedenklichkeit ist nicht ohne weiteres ersichtlich, da es, gerade für Unternehmen die den Stand der Technik nutzen, eine Leichtigkeit ist die so entstehenden Daten zur Generierung eines wirtschaftlichen Mehrwertes zu nutzen.

Was geht wird auch eingesetzt, zumindest sollte dies bei jedem ordentlichen und der Gewinnerzielung verpflichteten Kaufmann der Fall sein. Nutzbar sind diese Verfahren aber natürlich trotzdem, wenn statt auf Verschleierung, dem Gesetzgeber entsprechend, auf Transparenz gesetzt wird.

Ein Teil der großen Ketten tut dies bereits, indem Erläuterungen zu eingesetzten Verfahren öffentlich zugänglich aufgestellt werden. Andere Versuchen diese Erläuterung auf die Rückseite der Lastschrifteinwilligungsdurchschriften zu drucken, was als Belehrung oder Einverständnis wenig wirksam sein dürfte, da die Zustimmung mittels Unterschrift ja eigentlich zeitlich nach der Durchführung des Verfahrens kommt. Hier wäre die Umgestaltung des Gesamtprozesses eine interessante Alternative, wäre aber nur praktikabel wenn alle, inkl. Kassenhersteller involviert sind. Daneben kann noch mit berechtigtem Interesse argumentiert werden, dies ist in jedem Fall zu bejahen, zumindest wenn die Auskunft Adhoc gilt und nicht gespeichert wird, den Schutz vor Kreditbetrug ist ja auch im Interesse des ehrlichen Kunden und unterliegt damit dem §28 Abs. 1 Satz 1 BDSG.

Fazit zum MAESTRO/EC Bezahlverfahren und Datenschutz

Die öffentliche Diskussionen und damit die Diskussionen mit den einzelnen Aufsichtsbehörden über Bezahlverfahren im allgemeinen sind gestartet. Auf der einen Seite steht natürlich das berechtigte Interesse eines jeden nicht ausgespäht zu werden, auf der anderen Seite fragt man sich warum der Handel nicht einfach die Datenpreisgabe mit entsprechenden Entlohnungen und Transparenz belohnt. Die eingesetzten Bezahlverfahren wurden in der Vergangenheit von verschiedenen Datenschutz-Aufsichtsbehörden geprüft und für zulässig befunden, dennoch wird sich hier wohl im Zuge der neu entdeckten Möglichkeiten noch eine weitere Diskussion anschließen müssen. Wichtiger Punkt dabei wird sicher sein, dass letztlich ein Verbot dieser Prüfungen, auf die Nutzbarkeit des elektronischen Lastschriftverfahrens, zu einer Verteuerung von Zahlungssystemen führen wird. Denn kein Händler wird auf diesen Sicherheitsmechanismus so ohne weiteres verzichten wollen. Dies wiederum stellt eine Chance für alle alternativen Anbieter dar, die diese Schwierigkeiten vielleicht nicht haben!