Hamburgs Datenschützer sieht rechtliche Probleme bei der Speicherung von Kundendaten. Das beschuldigte Unternehmen wehrt sich.
Hamburg. Es ist ein Vorgang, der sich in Deutschland hunderttausendfach jeden Tag in Geschäften und Supermärkten abspielt: Ein Kunde zahlt an der Kasse mit seiner EC-Karte und unterschreibt den Beleg auf der Rückseite. Den klein gedruckten Text dort beachten nur die Wenigsten. In vielen Fällen lautet er so: "Ich willige in die Übertragung meiner Kontonummer, der Bankleitzahl meines Kreditinstitutes so wie des zu zahlenden Betrages an die Easycash GmbH, 40885 Ratingen sowie der Speicherung und Übermittlung dieser Daten an anfragende Unternehmen (...), die dem im Aushang an der Kasse erläuterten Verfahren angeschlossen sind, zu dem dort beschriebenen Zweck und Umfang ein."
Auf diesem Weg hat der Ratinger EC-Kartendienstleister Easycash, Marktführer in Deutschland bei der Abwicklung von Zahlungen mit dem Plastikgeld, enorme Mengen an Informationen gesammelt - nach Recherchen von NDR Info sind auf seinen Computern 50 Millionen Bankverbindungen gespeichert. Was damit geschieht, ist datenschutzrechtlich zumindest umstritten. Fakt ist: Die Daten werden zum Zwecke des "Risikomanagements für den Handel" ausgewertet, wie ein Easycash-Sprecher dem Abendblatt sagte.
Auf Basis der Transaktionen in den zurückliegenden zwölf Monaten werde ermittelt, ob eine Zahlung im sogenannten Lastschriftverfahren voraussichtlich erfolgreich abgewickelt wird oder nicht. Der Hintergrund: Bei diesem Verfahren - mit Karte und Unterschrift - liegt das Risiko beim Händler. Gibt der Kunde dagegen seine PIN-Nummer in ein Kassenterminal ein, garantiert die Bank, dass das Geld beim Händler ankommt. Dafür kostet ihn diese Zahlungsweise aber 0,3 Prozent vom Umsatz, mindestens acht Cent pro Transaktion.
Mit den Informationen von Easycash wird ermittelt, ob der Händler bei einer bestimmten Karten- beziehungsweise Kontonummer auf das billigere, aber riskantere Zahlungsverfahren per Lastschrift vertrauen soll oder nicht. Wie viele der 92 000 Kunden aus dem Handel, für die Easycash arbeitet, diesen Dienst nutzen, ist nicht bekannt.
"Ich halte diese Vorgänge für rechtlich problematisch", sagte Hamburgs Datenschutzbeauftragter Johannes Caspar dem Abendblatt. "Ein Kartendienstleister wird damit zu einer Art Auskunftei, ohne die gesetzlichen Voraussetzungen dafür zu erfüllen."
Aus Sicht von Easycash ist die Kritik jedoch unbegründet. So erhebe und speichere man nur Daten über die Karten und die Konten, dies aber seien keine personenbezogenen Daten - eine Interpretation, der Caspar ausdrücklich widerspricht.
Zudem, so das Ratinger Unternehmen, gebe man gar keine Daten an Dritte weiter, denn die Kassenterminals gehörten zum Computersystem von Easycash - auch wenn die Geräte in den Räumen der Händler stehen und von deren Personal bedient werden. Ebenso wehrt sich die Tochterfirma der französischen Ingenico-Gruppe dagegen, in eine Reihe mit Auskunfteien gestellt zu werden. Allerdings heißt es auf den Internetseiten von Easycash, von der Firma werde "auffälliges Kaufverhalten mithilfe des sogenannten Scorings ermittelt" - und dies ist ein gängiges Verfahren bei Wirtschaftsauskunfteien. Darüber hinaus schrieb laut NDR Info ein Easycash-Manager in einer Kundenzeitschrift, es gehe darum, "(...) die Bankverbindungen zu identifizieren, mit denen man uneingeschränkt und profitabel wirtschaften kann".
Generell arbeitet der Kartendienstleister nach eigener Darstellung "eng mit den Datenschutzbehörden zusammen", denen man die Geschäfte und Abläufe "schon immer offengelegt" habe. Im Fall der nun in die Diskussion geratenen Vorgänge gilt dies aber offenbar nicht: "Für solche Transaktionsdaten gibt es nach unserer Einschätzung keine Rechtsgrundlagen", sagte ein Sprecher des nordrhein-westfälischen Datenschutzbeauftragten Ulrich Lepper zu Reuters TV.
Auch aus der Politik gab es Kritik an Easycash. "Es darf nicht hingenommen werden, dass Bürgerinnen und Bürger aufgrund ihres Einkaufsverhaltens, ihrer Bezahlpräferenz oder ihrer finanziellen Situation in ein Schema 'guter Kunde' beziehungsweise 'schlechter Kunde' gepresst werden", sagte der innen- und rechtspolitische Sprecher der CSU-Landesgruppe im Deutschen Bundestag, Stephan Mayer. Es müsse jetzt zu einer lückenlosen Aufklärung und gegebenenfalls zu einer Schließung von Gesetzeslücken, die die Firma Easycash genutzt habe, kommen: "Die Speicherung von Kontodaten ist eine Speicherung von personenbezogenen Daten, deren Schutz es zu gewährleisten gilt."
Für den 12. Oktober ist nun ein Treffen zwischen den Kartendienstleistern und Datenschützern angesetzt. Dann soll geklärt werden, ob die bestehenden Rechtsgrundlagen tatsächlich ausreichend sind.