Die Daten nahezu aller Inhaber deutscher EC-Karten werden offenbar in großem Umfang dauerhaft gespeichert, ohne dass es dafür eine Rechtsgrundlage gibt. Nach Recherchen von NDR Info hat der größte deutsche EC-Netzbetreiber einen umfangreichen Datenpool angelegt, um damit Aussagen über die Zahlungsfähigkeit der Kartenbesitzer treffen zu können. Die Easycash GmbH in Ratingen, Marktführer bei der Verarbeitung von EC-Zahlungen, speichert demnach Umsatz- und Kartendaten von bis zu 50 Millionen deutscher Bankverbindungen. In verarbeiteter Form werden diese Daten von Easycash selbst und bei mehreren seiner Vertragsunternehmen genutzt. Einzig die REWE Group mit ihren Tochterunternehmen REWE, Penny, Toom und Promarkt hat erklärt, dass sie inzwischen auf die Nutzung solcher Kartendaten von Easycash verzichte. Ein REWE-Sprecher begründete dies mit „zahlreichen ungeklärten Fragen“.
Den Easycash-Vertragsbedingungen zufolge werden bei jeder Zahlung mit EC-Karte und Unterschrift – also im so genannten Lastschriftverfahren – Betrag, Zeitpunkt und Ort der Zahlung in Kombination mit den Karten- und Kontodaten des Karteninhabers gespeichert. Easycash nutzt diese Daten nach Informationen von NDR Info nicht nur wie branchenüblich für die Zahlungsabwicklung und für eine Sperrdatei, sondern auch, um daraus Empfehlungen für Vertragsunternehmen unter anderem im Hinblick auf die Zahlungsfähigkeit und Kreditwürdigkeit des Karteninhabers zu erstellen. Der Hintergrund: Das Lastschriftverfahren ist günstiger für den Handel als das Bezahlen mit EC-Karte und PIN, dafür aber risikoreicher. So werden Lastschriften bei fehlender Kontodeckung nicht ausgeführt. Um dem vorzubeugen, erstellt Easycash aus den teilweise über Jahre gesammelten Kontodaten eine Prognose über die Bonität der Kartenbesitzer und stellt diese seinen Kunden zur Verfügung. Ein Easycash-Manager schrieb in einer Kundenzeitschrift, es gehe außerdem darum, „(…) die Bankverbindungen zu identifizieren, mit denen man uneingeschränkt und profitabel wirtschaften kann.“
Eine Easycash-Sprecherin sagte, die Datenspeicherung und -verarbeitung geschehe auf Grundlage des Bundesdatenschutzgesetzes und berief sich dabei auf einen Brief des NRW-Landesdatenschutzes aus dem Jahr 2002, der dies angeblich bestätige. Aus Kreisen von Landesdatenschützern heißt es jedoch, Easycash interpretiere dieses Schreiben nicht richtig. Auch einer Darstellung von Unternehmensseite, Kontoverbindungen seien keine personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes und eine schriftliche Einwilligung der Kunden sei deshalb entbehrlich, widersprach ein Datenschutzexperte. „In diesem Fall steht es außer Frage, dass die Daten personenbezogen sind, da sie ja auf konkrete Personen zurückgeführt werden sollen“, so Peter Gola, Mitautor des Kommentars zum Bundesdatenschutzgesetz. „Es ist kein Problem für die EC-Netzbetreiber, die dahinterstehende Person zu erkennen.“
Die Datenschutzbehörden der Länder wollten sich mit Verweis auf einen laufenden Abstimmungsprozess nicht im Detail zu diesem Sachverhalt äußern. Ein Sprecher des Landesdatenschutzes NRW wies jedoch darauf hin, dass es „noch einige offene Fragen“ gebe. Nach Informationen von NDR Info beschäftigen sich derzeit Landesdatenschützer, die Betreiber von EC-Kartennetzen sowie die Handelsunternehmen mit dem Thema Lastschriftverfahren. Dabei wollen die Beteiligten auch über die fragwürdigen Datenpools sprechen.
Pressemitteilung von NDR Info.