Skandal um EC-Karten

D: Kundendaten unrechtmäßig gespeichert

(Bild: Easycash)

Die Daten nahezu aller Inhaber deutscher Bankomatkarten werden offenbar in großem Umfang ohne Rechtsgrundlage dauerhaft gespeichert. Nach Recherchen des Radiosenders NDR Info hat der größte deutsche Dienstleister für Kartenzahlungen einen umfangreichen Datenpool angelegt, um damit Aussagen über die Zahlungsfähigkeit der Kartenbesitzer treffen zu können. Die Easycash GmbH, Marktführer bei der Verarbeitung von EC-Zahlungen, speichert demnach Umsatz- und Kartendaten von bis zu 50 Millionen deutschen Bankverbindungen.

In verarbeiteter Form werden diese Daten von Easycash selbst und bei mehreren seiner Vertragsunternehmen genutzt. Einzig die Rewe Group mit ihren Tochterunternehmen Rewe, Penny, Toom und ProMarkt hat erklärt, dass sie inzwischen auf die Nutzung solcher Kartendaten von Easycash verzichte. Ein Rewe-Sprecher begründete dies mit "zahlreichen ungeklärten Fragen". Der Konzern ist in Österreich unter anderem mit den Marken Billa, Bipa, Merkur und Penny vertreten.

Empfehlungen hinsichtlich Kreditwürdigkeit
Den Easycash-Vertragsbedingungen zufolge werden bei jeder Zahlung mit EC-Karte und Unterschrift - also im sogenannten Lastschriftverfahren - Betrag, Zeitpunkt und Ort der Zahlung in Kombination mit den Karten- und Kontodaten des Karteninhabers gespeichert.

Easycash nutzt diese Daten nach NDR-Informationen jedoch nicht nur wie branchenüblich für die Zahlungsabwicklung und für eine Sperrdatei, sondern auch, um daraus Empfehlungen für Vertragsunternehmen unter anderem im Hinblick auf die Zahlungsfähigkeit und Kreditwürdigkeit des Karteninhabers zu erstellen.

Unternehmen beruft sich auf Bundesdatenschutzgesetz
Eine Easycash-Sprecherin sagte dem Sender, die Datenspeicherung und -verarbeitung geschehe auf Grundlage des deutschen Bundesdatenschutzgesetzes und berief sich dabei auf einen Brief des NRW-Landesdatenschutzes aus dem Jahr 2002, der dies angeblich bestätige. Datenschützern zufolge heißt es jedoch, Easycash interpretiere dieses Schreiben nicht richtig.

Auch einer Darstellung von Unternehmensseite, Kontoverbindungen seien keine personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes und eine schriftliche Einwilligung der Kunden sei deshalb entbehrlich, widersprach ein Datenschutzexperte. "In diesem Fall steht es außer Frage, dass die Daten personenbezogen sind, da sie ja auf konkrete Personen zurückgeführt werden sollen", sagte Peter Gola, Mitautor des Kommentars zum Bundesdatenschutzgesetz.