| Vorwort Wer kennt
das nicht auch?
Sie stehen an der Kasse eines Supermarktes oder wollen
Ihr Auto aus der Werkstatt holen,
und nun stellen Sie fest, dass Sie nicht genug Bargeld
bei sich haben.
Heutzutage eigentlich kein Problem: Es gibt schließlich
die Kartenzahlung!
Gesagt, getan - die Karte verschwindet im Terminal und
Sie warten nur noch auf die Aufforderung
der Kassiererin zur Eingabe Ihrer PIN Nummer.
Die allerdings reicht Ihnen stattdessen einen Kuli, um
den Ausdruck des Terminals zu unterschreiben.
Natürlich kommen Sie dem Wunsch sofort nach und setzen
Ihre Unterschrift vertrauensvoll auf den Ausdruck.
Naja, warum auch nicht? Damit willigen Sie ja lediglich
in den Einzug des Rechnungsbetrages
per Lastschriftverfahren von Ihrem Konto ein.
Außer der Bank und Ihrem Supermarkt bzw. dessen EC-Netzbetreiber
bekommt ja niemand Ihre Daten zu
sehen,
ganz davon abgesehen, dass diese ohnehin sofort nach der
Abbuchung wieder gelöscht werden.
Ist also praktisch und völlig sicher, und ansonsten wird
schon alles seine Richtigkeit haben.
Meinen
Sie das wirklich? Dann lesen Sie mal einfach diesen
Beitrag weiter.
History
Bargeldloses
Zahlen mit Debitkarten ist nun schon über 40 Jahre alt.
Die in Europa erstmals ab 1968 ausgegebenen Eurocheque-Karten und die in den
USA ab 1970 ausgegebene ATM -Karten
(engl. "Automated Teller Machine" =
Geldautomat) sind die Urahnen unserer heutigen Debitkarten (engl.
"debit" = Kontobelastung),
die zur bargeldlosen Bezahlung oder zum Abheben von
Bargeld am Geldautomaten eingesetzt werden
können.
Im Unterschied zu Kreditkarten (MasterCard, VISA
usw.) wird nach der Kartenbenutzung
am Terminal eines Geschäftes oder einem Geldautomaten
das Girokonto des
Karteninhabers sofort
(bei Zahlung mit PIN) oder zumindest innerhalb weniger
Tage (bei Zahlung mit Unterschrift) belastet.
Quellen:
http://de.wikipedia.org/wiki/Debitkarte
http://www.eurocheques.de/history.html
Seitdem
wurden die Systeme ständig weiterentwickelt und sollen
deshalb angeblich immer sicherer geworden sein.
Aber wo Licht ist, ist auch Schatten! Schon bald
beschäftigten sich auch Hacker sowie technisch versierte
Kriminelle
mit den Grundlagen der modernen Kartenzahlungssysteme.
Lag es den Hackern wohl vor allem am Aufspüren und der
Veröffentlichung
von systeminternen Sicherheitslücken und sonstigen
Schwachstellen, bastelte die kriminelle Szene bereits
unter Nutzung
dieser Erkenntnisse an der praktischen Verwertung mit dem
Ziel, durch allerlei Tricks die Konten ahnungsloser
Bankkunden zu filzen.
Diese Betrugsverfahren gingen seitdem u.a. als "Skimming" in
die Annalen der Krimnalgeschichte ein.
Die
Jäger: "Skimming"...
Wer bisher tatsächlich glaubte,
dass der bargeldlose Zahlungsverkehr per Karte halbwegs
sicher wäre,
der wurde nicht nur durch die Horrornachrichten etwa um
das Jahr 2004
bezüglich manipulierter Geldautomaten eines
Besseren belehrt,
sondern ab 2008
geisterten auch noch Nachrichten von manipulierten
Zahlungsterminals etwa an Supermarktkassen
durch die Medien.
Da wurden etwa in vorangegangenen, nächtlichen
Einbrüchen auf Baumärkten heimlich Funkchips in die
Kassenterminals eingebaut,
die den Tätern in den Tagen darauf ermöglichten, alle
relevanten Kartendaten der bargeldlos bezahlenden Kunden
einschließlich PIN
abzufangen und anschließend zusammen mit einer daraus
nachträglich erstellten Doublette der Karte über
Geldautomaten und
Zahlungsterminals im Ausland die Konten ihrer Opfer
leerzuräumen. Im Ausland vor allem deshalb, weil
deutsche Bankautomaten
Doubletten erkennen und unverzüglich einziehen würden.
Außerdem ist die Gefahr bei frischer Tat an einem
Geldautomaten ertappt
zu werden, wegen der zeitversetzten nichtsynchronen
Datenübertragung vom Automaten im Ausland zum
Kontoserver in
Deutschland, praktisch gleich null. Laut BKA gab es
alleine 2007 weit über 1000 Skimming-Fälle zumeist in
Form von Manipulationen
an Geldautomaten. Aber auch manipulierte Terminals in
Baumärkten und Discountern erfreuen sich wachsender
Beliebtheit in der
einschlägigen
Skimmingszene.
Siehe auch:
http://www.sueddeutsche.de/geld/datensicherheit-spion-an-der-supermarktkasse-1.194052
Dabei
ging man im Falle der manipulierten Bankautomaten meist
so vor:
Durch spezielle Aufsätze vor den Kartenleseschlitz eines
Geldautomaten konnten die auf dem Magnetstreifen der
Karte gespeicherten
Kontodaten ausgelesen und z.B. direkt per Funk an die in
der Nähe wartenden Täter gesendet werden. Die
Geheimzahl selbst dagegen
wurde entweder mittels über die terminaleigene Tastatur
geklebte Folientastaturen oder eine versteckt angebrachte
Minikamera im
oberen Teil des Bankautomaten ermittelt. Diese Daten
reichten aus, um ene Doublette der Originalkarte zu
erstellen und mittels der
ebenfalls ergaunerten PIN problemlos zu nutzen.
Siehe
dazu auch meine Beiträge:
Bankraub ganz leicht gemacht
Skimming per
1-Cent-Überweisung
Bei der
neuen Variante etwa ab 2008 liefert der im
vorangegangenen "stillen Einbruch" ins
Terminal eingesetzte RFID-Chip per Funk
automatisch sowohl die Daten aus dem Magnetstreifen der
Karte als auch zusätzlich die vom Kunden über Tastatur
eingegebene PIN.
Weder Kunde noch Kassiererin können in diesem Moment
erkennen, dass hier Daten nach aussen gefunkt werden.
Die übertragenen Daten werden wegen der nur sehr
geringen Sendeleistung des Funkchips von den Tätern
meist in unmittelbarer Nähe
(Parkplatz) in einem möglichst unauffälligen Fahrzeug
(Lieferwagen etc.) mit dem Laptop empfangen und
gespeichert. Diese Daten bilden
dann die Grundlage zur Erstellung einer Kartendoublette.
Davor schützen auch nicht die seit einiger Zeit auf dem
Terminalgehäuse
aufgebrachten Siegel, welche die Unversehrtheit des
Gehäuses garantieren sollen. Diese lassen sich mit
entsprechenden Tricks leider
ebenso leicht und unversehrt ablösen, als auch nach der
Manipulation wieder aufbringen. Einzig und alleine das regelmäßige
Wiegen des
kompletten Terminals und die Untersuchung der
Kassenumgebung mit einem Funkscanner können hier
effektive Abhilfe schaffen und
manipulierte Geräte sicher ausspüren.
Siehe
dazu auch meinen Newsletter vom 09.Juli
2010 sowie
folgenden Link:
http://www.datenschutzbeauftragter-online.de/vorsicht-bei-kartenzahlung/
 Hier finden
Sie nützliche Hinweise und Notrufnummern
zum sofortigen Sperren Ihrer Karte:
http://www.zvt-news.de/categories/15-Kartenbetrug
Was lag also näher, als den
Zahlungsverkehr aus "Sicherheitsgründen" ganz
auf das Unterschriftenverfahren,
also ohne Eingabe von PIN-Nummern umzustellen, und so den
Kunden damit endlich ein "wirklich sicheres"
Verfahren zum Lastschrifteinzug anzubieten?
Die Kartendoublette lässt sich
ohne zugehörige PIN zwar nicht mehr für eine direkte
Bargeldabhebung im Ausland nutzen,
aber weiterhin können mit Hilfe im Terminal
implantierter Chips Kontodaten wie BLZ und Kartennummer
mitgeloggt
und z.B. für unerlaubte Abbuchungen im Rahmen getürkter
Lastschrifteinzugsverfahren missbraucht werden.
Allerdings besteht in diesem Falle wenigstens die
Möglichkeit der rechtzeitigen, Rückbuchung (Widerruf)
mit sofortiger Wirkung
und einer Strafanzeige bei der Polizei, falls dem
Kartenbesitzer der unrechtmäßige Eintrag in seinen
Kontoauszügen auffällt.
Dabei gibt es grundsätzlich 2 Arten
von Lastschriften:
Nämlich das Lastschrifteinzugsverfahren und das Lastschriftabbuchungsverfahren.
Auf jeden Fall sollte das Konto immer gut beobachtet
werden, da normalerweise eine Rückbuchung
beim Einzugsverfahren nur
innerhalb von 6 Wochen und beim Abbuchungsverfahren
grundsätzlich gar nicht möglich
ist.
Dennoch bieten die meisten Banken ihren Kunden aus
Kulanz auch beim Abbuchungsverfahren
oft zumindest noch eine
Rückbuchungsmöglichkeit innerhalb
von 2 Tagen nach Abbuchung an.
Verschläft man diese Fristen (wer zieht schon jeden Tag
einen Auszug?), ist das Geld leider erst einmal weg!
Wird nach einem vorangegangenen gerichtlichen Verfahren
(z.B. erfolgreiche Klage gegen die Abbuchung/den
Abbucher)
die Rückbuchung dagegen per
Urteil angeordnet, werden alle oben
genannten Fristen gegenstandslos.
Nicht selten werden nach
Widerspruch oder Rückbuchung Ihrerseits dann zunächst
einmal sog. "Inkassofirmen"
mit mehr oder weniger seriösen Einschüchterungsmethoden
tätig, wobei sie angeblich aber immer nur
im Auftrag des Anspruchstellers
(Onlineshop etc.) handeln, auf welchen sie dann auch
gerne als alleine
Verantwortlichen verweisen, sobald Sie diese Methoden mit
juristischen Mitteln oder Strafanzeige beantworten.
Reagieren Sie darauf nicht, könnte der nächste Schritt
der Inkassofirma auch in der kostenpflichtigen Abmahnung
durch eine Anwaltskanzlei bestehen, welche meist auf
derartige Dienste spezialisiert ist.
Einschlägige Adressen finden sich im Internet. Ansonsten
werden private Anfragen an das Inkassounternehmen
von diesem auch gerne mit Hinweis auf die überwachende Finanzdienstleistungsaufsicht
(BaFin) abgewimmelt.
Dem Kontoinhaber ist bei jeder
unberechtigten Abbuchung auf jeden Fall anzuraten,
unabhängig vom tatsächlichen Erfolg einer
Rückforderung Strafanzeige bei der
Polizei zu erstatten,
und zwar zunächst einmal gegen Unbekannt.
Denn die abbuchende Firma muss keineswegs automatisch
identisch mit dem eigentlichen Täter sein,
falls es einen solchen geben sollte.
In der Tat könnte ja ein Unbekannter geskimmte
Kontodaten zum Einkauf bei Onlineshops oder zur
Freischaltung
kostenpflichtiger Web-Zugänge missbraucht haben, und nur
diese Person könnte
also als Täter
überhaupt strafrechtlich belangt werden. Ob im
anschließenden Ermittlungsverfahren der
Staatsanwaltschaft
gegen Unbekannt dann dieser
wirkliche Täter auch tatsächlich
ermittelt und das abgebuchte Geld unter Umständen
per Urteil zurückgefordert werden kann, bleibt
allerdings mehr als fraglich.
In der Regel werden solche Verfahren (zumindest im
Einzelfalle) nach einigen Wochen einfach eingestellt,
weil (angeblich) der/die Täter nicht ermittelt werden
konnten. Fakt ist dann meist auch die Tatsache,
dass Zeitaufwand und Kosten solcher Ermittlungsprozeduren
ohne
vorliegendes öffentliches Interesse
zumindest bei kleineren Beträgen den eigentlichen
Streitwert erheblich übersteigen.
Treten unberechtigten Abbuchungen einer bestimmten Firma
dagegen gehäuft oder gar massenhaft auf,
stehen die Chancen aufgrund eines möglichen,
öffentlichen Interesses weitaus günstiger.
Man tut also gut daran, als Betroffener mal ein wenig in
den einschlägigen Internetforen zu googlen,
entsprechende Treffer auszudrucken und gleich bei der
Anzeige mit einzureichen.
Siehe dazu auch:
http://de.wikipedia.org/wiki/Bankenaufsicht#Bankenaufsicht_Deutschland
http://www.geldmarie.at/banken/lastschrift.html
http://www.juraforum.de/forum/kaufrecht-leasingrecht/lastschrift-rueckbuchung-310843
Skimming per
1-Cent-Überweisung
Die Sammler: Datenhandel für
lau...
Sicherlich reduziert der Verzicht auf die PIN zugunsten
einer Unterschrift die Effizienz der o.g.
Skimmingverfahren.
Aber sicher ist dieses Prozedere noch lange nicht. Leider
ist aber gerade das Unterschriftenverfahren
mit möglicherweise erheblichen Nachteilen für den
Karteninhaber verbunden.
Denn selbst, wenn alles seinen legalen Weg geht und der
Kunde am Terminal mit seiner Unterschrift einem
Lastschrifteinzug zustimmt,
kann er sich aufgrund juristischer Fallstricke damit
erhebliche Rechtsnachteile durch möglichen Missbrauch
seiner Daten einhandeln.
Diese liegen hier primär aber weniger im Bereich
unautorisierter Abbuchungen oder Skimming, sondern
vielmehr in der Möglichkeit
von ganz legaler Vorratsspeicherung und sogar Handel mit
sensiblen Datensätzen, die in diesem Falle leider nicht
mehr nur aus
Kontonummer und Bankleitzahl
bestehen, sondern durchaus auch noch den vollständigen
Namen und die Adresse des
Kunden
umfassen könnten. Legal wäre dies deshalb, weil Sie ja
selbst meist unbemerkt und damit unfreiwillig
eine Einwilligung
zur Nutzung dieser Daten erteilen, wenn Sie etwa auf
einem solchen Beleg zum Lastschriftverfahren den Text
auf der Rückseite kritiklos unterschreiben:
In vorliegenden
Beispielen wurden der Anspruchsteller und dessen EC-Netzbetreiber
aus Datenschutzgründen
geschwärzt.
Die rot markierten Passagen bzw. Abschnitte sind für das
eigentliche Lastschriftverfahren nicht nur unnötig,
sie stellen zudem ein erhebliches Risiko für den
Datenschutz des Kunden dar und implizieren
mögliche Rechtsnachteile für den Kontoinhaber z.B. im
Falle eines Widerrufes oder auch noch so kurzer,
mangelnder Deckung des Kontos, etwa beim leicht
verspäteten Eingehen des Gehaltes.
Dazu kommen weitere, weder vom Kontoinhaber verursachten
noch zu verantwortenden
Buchungsfehler wie Zahlendreher, fehlerhafte Beträge,
Storno oder Mehrfachabbuchungen z.B. durch eine
Datenpanne
beim ausführenden Kreditinstitut.
Bitte beachten Sie ganz besonders den speziellen
Passus auf dem rechten Beleg!
Dort wird allen Ernstes eine Löschung der einmal
erstellten Sperrdatei davon abhängig gemacht,
ob der jeweilige Händler
überhaupt an diesem Sperrverfahren teilnimmt oder nicht.
Tut er es nämlich nicht, ermächtigen Sie mit Ihrer
Unterschrift den EC-Netzbetreiber
sogar zur Dauerspeicherung Ihrer
einmal erhobenen Daten und verzichten zumindest formell
auf jeglichen Löschungsanspruch .
In allen diesen
Fällen würde man also im obigen Beispiel mit einer
einzigen Unterschrift zusätzlich zur
notwendigen Zustimmung
zum Einzugsverfahren eine nicht überschaubare Anzahl mit
der Bearbeitung beauftragter Unternehmen,
Subunternehmen oder sonstiger Institutionen ausdrücklich
ermächtigen, sensible Daten in Sperrdateien zu
speichern,
an Dritte weiterzugeben und dafür auch noch Gebühren
unbekannter Höhe
(Bankspesen, Bearbeitungskosten,
Adressenmitteilungskosten) in Rechnung zu stellen.
Zwar ist dieses Prozedere alleine an sich noch keineswegs
unseriös, solange der Kunde ausdrücklich und umfassend
schon vor der
Kartenzahlung über wirklich alle diese
Zusammenhänge informiert wird und diesen auch zustimmt.
Aber selbst dann erscheinen mir die genannten Klauseln
bei genauer Betrachtung zumindest extrem kundenfeindlich
und vor allem alles andere als transparent!
Denn wer liest schon diese mehr oder weniger versteckten
Aushänge mit Hinweisen zum Lastschriftverfahren
etwa im Eingangsbereich eines Kaufhauses oder an der
Seite eines Kassenterminals, wenn er bereits in einer
drängelnden Kundenschlange steht?
Und welche Kassiererin weist die ansonsten
unterschriftswiligen Kunden auch noch jedes Mal
ausdrücklich auf
die möglichen juristischen Fallstricke des
Abbuchungsbeleges hin?
In
den "Hinweisen
zur Erhebung personenbezogener Daten bei der Bezahlung
mittels EC-Karte"
auf der Seite des unabhängigen Landeszentrums
für Datenschutz Schleswig-Holstein heißt es dazu
unter anderem:
Zitat: "...In
diesem Fall ist durch gut erkennbare Hinweisschilder an
der Kasse auf den Zweck der Erhebung
(Abrechnung mit der Bank / Betrugsbekämpfung) von Name
und Anschrift hinzuweisen.
Die Nutzung der EC-Karte mit Unterschrift kann in diesem
Fall eine Einwilligung unter besonderen Umständen
(Zeitdruck an der Kasse) gem. § 4a Abs. 1 S. 3
Bundesdatenschutzgesetz (BDSG) darstellen...."
Zudem sollen an der Bearbeitung
eines Lastschriftverfahrens auch ohne jegliche
Komplikationen keineswegs nur
der auf dem Beleg ausgewiesene Anspruchsteller und sein EC-Netzbetreiber
beteiligt sein,
sondern in der Regel bis zu 5 oder mehr Zwischenstationen
(Subfirmen) durchlaufen werden,
welche zumindest in dieser Periode allesamt Zugriff auf
die jeweiligen Datensätze der Kunden erhalten.
Dazu ist eine Vorratsdatenspeicherung unerlässlich, da
viele der einzelnen Datensätze aus technischen Gründen
erst einmal gesammelt und katalogisiert werden müssen,
bevor man sie in Paketen auf die verschiedenen,
ausführenden Bankinstitute verteilen kann, um
schließlich die Beträge einziehen zu können.
In einem Beitrag der Anwaltskanzlei Ferner
Alsdorf wird
diese Vernetzung auch für Laien recht verständlich
beschrieben.
Dort heißt es u.a.:
Zitat:
"....Im Regelfall wird man 5
Parteien haben, die an der Zahlung beteiligt sind
(manchmal 4, keinesfalls aber 2):
Einmal den Kunden, dann den Supermarkt, dann das
Unternehmen, das für den Supermarkt die Transaktion
leitet –
und “auf der anderen Seite” das Kreditinstitut
des Kunden, das ihm die Karte ausgegeben hat sowie ein
Transaktionsinsitut,
das zwischen Kreditinstitut des Kunden und
Transaktionsinstitut des Supermarkts geschaltet ist.
Dazu kommt natürlich noch das Kreditinsitut des
Supermarktes, womit wir in der Summe sogar
auf bis zu 6 Parteien kommen können..."
Den kompletten Beitrag finden Sie
hier:
http://www.ferner-alsdorf.de/2010/05/kartenzahlung-der-nachste-datenschutzrechtliche-aufreger
Dabei möchte ich den beteiligten
Firmen hier grundsätzlich keineswegs "unlautere
Absichten" beim Datensammeln
oder gar vorsätzlichen Missbrauch der Daten bis hin zum
Datenhandel unterstellen! Dies ist und bleibt alleine
Sache
der Datenschutzbeauftragten und final der
Staatsanwaltschaft. Aber sicher ausschließen lassen sich
solche Machenschaften
andererseits auch nicht gerade! Und solche im Beleg
untergeschobenen, meist noch dazu in schlecht lesbarem,
blassgrau gehaltenem Klauselsalat, sind auch nicht gerade
ein Musterbeispiel an kundenfreundlicher Transparenz!
Sie bilden aber durchaus eine praktische Grundlage zum
sorglosen und möglicherweise profitablem Umgang mit
zweckentfremdeten Kundendaten.
So muss man sich dann natürlich auch nicht mehr wundern,
wie wohl die eigene Adresse und Telefonnummer
in die Werbe-Listen irgendwelcher Wald- und Wiesenfirmen
geraten sein könnten.
Dazu kommt noch, dass jede dieser Zwischenstationen
zugleich auch eine potentielle Datenquelle für
firmenfremde,
kriminelle Elemente darstellt, die zum Beispiel gezielt
Sicherheitslücken der Firmen ausnutzen könnten, um sich
ins Netzwerk
zu hacken und Daten abzugreifen. Dazu kommt das interne
Risiko korrupter Mitarbeiter gerade im Bankenwesen,
wie alleine schon die jüngsten Datenskandale durch zum
Verkauf angebotene "Steuersünder-CDs" aus der
Schweiz
eindrucksvoll bewiesen haben. Unterschreibt man also
kritiklos alle Passagen
des Beleges,
erleichtert man durch Teillegalisierung der ansonsten
ohnehin eher im datenschutzrechtlichen Grenzbereich
verdeckt ablaufenden Verfahren im Prinzip auch den
missbräuchlichen Handel mit den eigenen Daten und
verwirkt so,
aufgrund einer gewissen Mitschuld durch zu sorglosen
Umgang mit diesen, von vorneherein so manchen späteren
Regressanspruch.
Auf der Seite des IITR
– Institut für IT-Recht findet
sich u.a. folgender Beitrag:
Zitat: "...Wer
mit Maestro/EC-Karte im Handel bezahlt, sollte wissen,
was da von ihm gespeichert wird.
Die weit verbreitete Ansicht, dass nur Zahlungsdaten für
den aktuellen Vorgang übermittelt
(und dann verworfen) werden, ist im Regelfall falsch.
So speichert z.B. das verbreitete Verfahren “easycash”
einiges mehr als nur die aktuellen Zahlungsdaten
zur aktuellen Transaktion.... "
Lesen Sie bitte hier weiter:
http://www.datenschutzbeauftragter-online.de/datenspeicherung-bei-kartenzahlung/
So
sollen alleine per easycash-Verfahren bereits
Informationen von ca. 50 Millionen Verbrauchern
gespeichert,
sowie unerlaubt zur Erstellung und Weitergabe von
Verhaltens- und Liquiditätsprofilen
der jeweiligen Karteninhaber an Dritte in Form von sog.
"Risikoprüfungen" mit
anschließender Zahlungsempfehlung
an die Vertragspartner verwendet worden sein.
In
einem Artikel vom
24.09.2010 schreibt
beispielsweise die WELT-Online :
Zitat:
"...Die Debatte um den Datenschutz
in Deutschland erhält ein neues Kapitel.
Der bundesweit größte EC-Netz-Betreiber Easycash hat
offenbar systematisch die Daten von Millionen
deutscher EC-Karten-Inhaber gespeichert und damit deren
Zahlungsfähigkeit bewertet.
Anschließend sollen dann Händler diese bei jeder
Transaktion gesammelten Informationen genutzt haben,
um das Ausfallrisiko von offenen Rechnungen zu
verringern...."
Den
kompletten Artikel finden Sie hier:
http://www.welt.de/die-welt/wirtschaft/article9840913/Kritik-an-Datenschutz-bei-Kartenzahlungen.html
Siehe
dazu auch folgende Beiträge:
http://business.chip.de/news/Datenskandal-Easycash-hortet-EC-Kartendaten_44836959.html
http://www.welt.de/finanzen/verbraucher/article9818662/50-Millionen-EC-Kartendaten-weitergegeben.html
http://www.fr-online.de/politik/spezials/datenschutz/firma-speichert-ec-kartendaten-fast-aller-buerger/-/1472644/4670162/-/index.html
http://www.ruhrnachrichten.de/nachrichten/politik/inland/art29862,1040735
http://www.tagesspiegel.de/wirtschaft/verbraucher/easycash-soll-daten-ohne-einverstaendnis-nutzen/1941212.html
Nach
einer Meldung der Deutschen
Presse-Agentur GmbH (dpa.) weist easycash
allerdings bisher noch hartnäckig alle Vorwürfe
zurück, unrechtmäßig Daten zu
EC-Zahlungen
von Millionen Kunden zu speichern, geschweige denn diese unberechtigt weiter zu
verwenden.
Stattdessen wird der Spieß umgedreht und ein wenig
verwirrend behauptet:
"...Man sei
gesetzlich und steuerrechtlich dazu verpflichtet, dies zu
tun...."
Mehr
über diese recht befremdlich wirkende Aussage können
Sie u.a. den folgenden Beiträgen
sowie der aktuellen Tagespresse entnehmen:
http://www.cio.de/news/wirtschaftsnachrichten/2248295/
http://www.n-tv.de/ticker/easycash-wehrt-sich-Datenspeichern-per-Gesetz-verordnet-article1556566.html
http://www.stern.de/digital/online/easycash-wehrt-sich-datenspeichern-per-gesetz-verordnet-1606700.html
Interessant
erscheint mir in diesem Zusammenhang ein Vergleich der
hier von easycash vertretenen
Rechtsauffassung
mit den eigenen Datenschutzerklärungen des Unternehmens,
die Sie auf folgenden Seiten einsehen können:
http://www.easycash.de/impressum.html
http://www.easycash-loyaltysolutions.de/ls_impressum_datenschutz.htmlMeine Meinung:
Meine
Meinung:
Ganz
offensichtlich wird hier eine Art von sehr
unterschiedlichem "Zwei-Klassen-Datenschutz" betrieben.
Nämlich zum einen für die Daten der
Geschäftspartner von easycash selbst und zum
anderen für alle am
Lastschrifteinzugsverfahren teilnehmenden Kunden dieser
Geschäftspartner.
Dass hier per Gesetzesnovelle wirklich schnell
und kräftig nachgebessert werden muss,
hat sich gottlob allmählich auch in den Reihen der
Politiker rumgesprochen.
Siehe
dazu folgende Beiträge:
http://www.handelsblatt.com/politik/deutschland/verbraucherschuetzer-haertere-strafen-sollen-ec-netzbetreiber-zuegeln;2661040;0
http://www.nachrichten.de/wirtschaft/Bundesdatenschutzgesetz-Osnabrueck-Christian-Ahrendt-FDP-Deutscher-Bundestag-cid_3887552/
Wenn der Kunde betrügt
Nehmen wir doch mal den für den EC-Netzbetreiber
schlimmsten Fall aller Fälle an,
dass ein Kunde vorsätzlich und in betrügerischer
Absicht das Lastschriftverfahren missbraucht,
um sich innerhalb des typischen Bearbeitungszeitfensters
von einem bis einigen Tagen um eine Zahlung
herumzudrücken,
weil er entweder die Abbuchung sofort widerruft oder sein
Konto bereits langfristig überzogen ist.
In diesem Falle müsste der EC-Netzbetreiber
kraft der geleisteten Unterschrift
also nun direkt die Bank
des Kontoinhabers kontaktieren, um von dort Name und
Anschrift des offensichtlich betrügerischen Kunden zu
erhalten.
Angeblich sollen dann die Ansprüche aufgrund der so
gewonnenen Datensätze lediglich direkt an diesen
herangetragen
und eine Erfüllung, wie auch immer, außerhalb des
gescheiterten Lastschrifteinzugsverfahrens durch externe
Maßnahmen
erzwungen werden.
Nur: Welche (privaten) Maßnahmen
sollten das denn bitteschön dann sein?
Flattern nun kiloweise Mahnungen oder gar
kostenpflichtige anwaltliche Abmahnungen ins Haus?
Kommt vielleicht sofort der Gerichtsvollzieher und klebt
seinen Kuckuck auf das Inventar?
Oder stehen plötzlich gar private Schlägerkommandos vor
der Türe und bedrohen den säumigen Schuldner mit
Baseballschlägern?
Da letztes eindeutig kriminell
wäre und der Gerichtsvollzieher nicht ohne einen Titel
vom Gericht tätig werden kann,
lässt sich auf diese Art und Weise ohnehin überhaupt
nichts legal regeln, geschweige denn bares Geld
eintreiben.
Niemand muss nämlich der bloßen Abmahnung eines
Inkassobüros oder Anwaltes nachkommen.
Man muss noch nicht einmal schriftlich oder telefonisch
darauf reagieren.
Im Gegenteil: Von solchen Aktionen kann man nur dringenst
abraten!
Denn einzig und alleine ein gerichtlicher
Beschluss ist hier bindend und dessen
Erfüllung
kann notfalls sogar durch Beugehaft erzwungen werden.
Aber bis dahin ist es noch ein
weiter Weg:
Zunächst einmal ist nämlich notwendig, dass der Vorgang
von der geschädigten Firma selbst oder deren
gesetzlichen Vertetern,
wie z.B. dem beauftragten Inkassounternehmen bzw. dem EC-Netzbetreiber bei der
Polizei angezeigt und dann über die
Staatsanwaltschaft eine Ermittlung, u.a. wegen
vorsätzlichen Betruges, eingeleitet wird.
Innerhalb dieses Verfahrens werden die persönlichen
Daten aller Beteiligten,
insbesondere natürlich des mutmaßlichen Betrügers auch ohne
dessen ausdrückliche Zustimmung
routinemäßig
ganz legal erfasst und für einen etwaigen,
anschließenden Prozess gesichert.
Fazit
Die erwähnten Klauseln sind für EC-Netzbetreiber primär
eine sehr bequeme Möglichkeit,
problemlos und ganz legal an Adressdaten und Namen der
Kunden zu gelangen.
Im Falle eines vorsätzlichen Betruges allerdings helfen
sie allerdings ohnehin nicht weiter,
wenn der Kunde sich nicht auch durch die
Einschüchterungsmaschinerie des Unternehmens
beeindrucken lässt.
Das heißt im Klartext:
Der Nutzen für eine private
Verfolgung durch die EC-Netzbetreiber ist im
Falle eines Betruges durch kriminelle Kunden gleich null.
Für zusätzliche Einkünfte durch Führen von
Sperrdateien und sonstigen Dienstleistungen Dritten
gegenüber
(z.B. Erstellen von und Handel mit Kundenprofilen für
Werbung und Liquiditätsrecherche, Abmahnungsverfahren
etc.)
auf Kosten vor allem der ehrlichen Kunden erscheint das
Unterschriftsverfahren dagegen recht lukrativ.
Dass dies nicht gerade das
allgemeine Vertrauen in die vielpropagierte
Unbedenklichkeit des Lastschriftverfahrens stärken kann,
sollte den Verfechtern des Unterschriftverfahrens
eigentlich klar sein. Der Grund, warum dieses Verfahren
bisher dennoch hartnäckig
dem datenrechtlich unbedenklicheren Pinverfahren
vorgezogen wurde, erklärt sich angeblich einzig und
alleine durch die niedrigeren
Durchführungskosten. Ich wage dies jedoch entschieden zu
bezweifeln!
Zu verlockend ist nämlich die sich ganz nebenbei
ergebende legale Möglichkeit einer Datenerhebung für
lau!
Der einzig für mich erkennbare
Sinn der geforderten schriftlichen Einwilligung in die
Datenverarbeitung und Ermächtigung
zur Adressenweitergabe auf dem Buchungbeleg liegt also
offensichtlich und ganz eindeutig in der
formaljuristischen Legalisierung
des Ausspähens und profitablen Handelns mit Daten zum
möglichen, späteren Nachteil des Kunden.
Dabei ist die einschränkende
Hürde "...Bei Nichteinlösung oder
Widerruf..." aufgrund der vielfältigen möglichen
Ursachen kein wirkliches Hindernis. Es reicht ja formell
schon aus, wenn die Buchung sich einmal einige Stunden
oder gar Tage verzögert oder dies zumindest von Seiten
der beteiligten Firmen behauptet wird.
Und man kann natürlich auch mal etwas nachhelfen.
Interne, schleppende Bearbeitungszeiten der einzelnen
Bearbeitungstationen machen es den Datensammlern dabei
besonders leicht.
Niemand, außer dem Karteninhaber selbst, hat aus dieser
Sicht ein nachvollziehbares Interesse an der expliziten
Aufklärung,
warum genau sich eine Buchung verzögert hat, und ob dies
tatsächlich aufgrund eines Widerufes oder eines
ungedeckten Kontos erfolgte.
Der sich durch solche Verzögerungen ergebende Zeitrahmen
zwischen Kartenauslesen und fianaler Verbuchung könnte
in diesem Falle also ganz legal als Grund für eine
Erhebung der Adressdaten genutzt werden,
falls der
Karteninhaber die entsprechenden Zeilen im Beleg
tatsächlich unterschrieben hat.
|
