Erkennen - Aktivieren - Abspeichern Datenschutz beim bargeldlosen Bezahlen

Waiblingen. Bargeldloses Bezahlen mit Karte an der Kasse ist Alltag. Im Kommen ist darüber hinaus das kontaktlose Bezahlen per Smartphone-App und nun also auch berührungslos per Karte mit NFC-Chip. Doch welche Daten werden bei alledem übertragen und gespeichert? Hier ein umständlich geratener Versuch, das herauszufinden.

„Selbstverständlich halten wir uns an alle Datenschutzbestimmungen. Bitte haben Sie Verständnis dafür, dass wir keine weiterführenden Auskünfte geben möchten.“

So lautete die knappe Antwort der Pressestelle der Rewe Group, einer von mehreren angefragten Supermarktketten mit Filialen im Rems-Murr-Kreis, auf die Frage, wie die Datenübertragung beim bargeldlosen Bezahlen an der Kasse funktioniere und welche Dateninhalte übertragen würden.

Der Umgang mit personenbezogenen Daten

Also, ein zweiter Anlauf: „(...) Nun, dann frage ich Sie jetzt halt als ... (Privatperson), die regelmäßig bei Ihnen einkauft – auch mit Girokarte, und fordere Sie gemäß § 34 BDSG auf, mir zu beantworten, welche personenbezogenen Daten über mich von Ihrem Unternehmen“ gespeichert werden/wurden – woher die Daten stammen, wann sie erfasst wurden und zu welchen Zwecken die Daten verwendet werden. Das Bundesdatenschutzgesetz (BDSG) nimmt Unternehmen seit 2009 in die Pflicht, Privatpersonen über den Umgang mit personenbezogenen Daten Auskunft zu erteilen.

Die schnelle Erwiderung der Supermarktkette: „Vielen Dank für Ihre E-Mail. Natürlich senden wir Ihnen gerne die Ihnen gemäß § 34 BDSG zustehenden Informationen zu. Dies kann jedoch einige Tage dauern. Wir melden uns wieder unaufgefordert bei Ihnen.“

Ein Schelm, der dabei Böses denkt

Sieben Tage später kam eine Mail dieses Inhalts: „Zu Ihrem Auskunftsbegehren (...) ist festzustellen, dass wir Ihnen allein unter Angabe Ihres Vor- und Nachnamens keine Auskunft erteilen können. Wenn Sie Ihr Auskunftsrecht gemäß § 34 BDSG wahrnehmen möchten, würden wir Sie um die Bereitstellung weiterer Daten (z. B. IBAN, E-Mail, Adresse …) zu Ihrer Person bitten, um unsere Systeme dahingehend zu prüfen, ob bzw. welche dieser Daten bei uns vorgehalten werden.“

Ein Schelm, der dabei Böses denkt. Nun, im zweiten Teil der Mail, dann aber doch Zufriedenstellenderes: „Vorab und unabhängig von Ihrem Auskunftsbegehren stellen wir Ihnen gerne die Kundeninformation zur Verfügung, die laut unserer Anweisung in jedem Markt mit bargeldloser Bezahlmöglichkeit ausgehängt sein soll. Sie wurde mit den Datenschutzbehörden abgestimmt. Anhand dieses Aushangs kann sich jeder unserer Kunden oder Interessenten darüber informieren, wie bei Nutzung des EC-Lastschriftverfahrens – unter bestimmten Rahmenbedingungen – mit welchen personenbezogenen Daten wie umgegangen wird.“

„Zahlungsinformationen – ohne Namen“

In diesem Rewe-Aushang wird den Kunden versichert, dass beim bargeldlosen Bezahlen (etwa per Lastschriftverfahren) an der Kasse an „Zahlungsinformationen – ohne Namen“ an Rewe Group Card Service lediglich Folgendes weitergeleitet werde:

  • Kontonummer, Bankleitzahl und Kartenverfallsdatum sowie
  • Datum, Uhrzeit, Betrag der Zahlung, Terminal-Kennung (Ort, Unternehmen und Filiale).

„Diese Daten werden zur Prüfung und Durchführung Ihrer Zahlung benötigt. Darüber hinaus dienen sie zur Verhinderung von Kartenmissbrauch und zur Begrenzung des Risikos von Zahlungsausfällen.“ Eine Nutzung der Daten für Bonitätszwecke/zum Zweck der Bonitätsprüfung finde nicht statt. Sobald der Lastschrifteinzug vonstattengegangen, die Geldforderung erfüllt, die Frist zum Widerspruch abgelaufen seien, werde die Meldung, der Zahlungsdatenvorgang, gelöscht.

Falls es jedoch zu Rücklastschriften komme, erfahre Rewe Group Card Service auch davon und speichere diese Informationen. Mit Hilfe dieser Informationen könne Rewe Group Card Service an Händler, die deren System angeschlossen sind, Empfehlungen für ihre Entscheidung erteilen, ob sie eine Zahlung mit Girocard und Unterschrift (von diesem Kunden noch, Anm. d. Red.) akzeptieren wollen.

Bargeldlose Bezahlvorgänge

Somit verfährt Rewe bei bargeldlosen Bezahlvorgängen also doch technisch und datenschutzrechtlich wie alle anderen angefragten Supermarktketten auch. Seitens der Pressestellen von Edeka Südwest, Kaufland, Norma, Lidl und Aldi Süd hieß es bereits in der ersten Antwortmail beinahe gleichlautend: Egal ob mit Karte oder neuerdings per Smartphone-App oder (eventuell bald) NFC-Chip-Karte, personenbezogene Daten würden nicht gespeichert, sondern nur Zahlungsdaten, die das Bedienen der Geldforderungen, die Abbuchung vom Konto der Kunden, ermöglichen. Zahlungsdaten in den EDV-Systemen der Supermarktketten werden gewöhnlich nach zwei Wochen wieder gelöscht.

Keine Namen – nur Zahlen und Codes

  • Was genau mit „Zahlungsdaten“ gemeint ist, erläutert zum Beispiel die Kreissparkasse Waiblingen in ihren Datenschutz-Hinweisen zur Nutzung der Sparkassen-Card sowie „Girocard kontaktlos“ und „Girogo“: Es werden an Kassen-Lesegeräten nur Daten ausgelesen, „die zur Abwicklung der Kartentransaktionen – sobald diese von dem Karteninhaber initiiert wird – notwendig sind. Die Transaktionsdaten umfassen keine persönlichen Daten wie etwa den Namen des Karteninhabers oder dessen Adresse.“
  • Zur konkreten Zuordnung und Abwicklung der Zahlungstransaktion würden die auf der Karte gespeicherten Kontoverbindungs-Daten (die sogenannte PAN, Track 2 Equivalent Data sowie gegebenenfalls IBAN, aber nicht der Name des Kontoinhabers) verwendet; außerdem seien technische Informationen ohne Personenbezug auslesbar.
  • PAN steht für Primary Account Number, frei übersetzt: Zahlungskarten-Nummer. Sie hilft Zahlungabwicklungs-EDV-Systemen in aller Welt für eine eindeutige Identifizierung des kartenausgebenden Geldinstitutes und des Kontos. Der Aufbau der PAN ist genormt gemäß ISO/IEC 7812.
  • Track 2 Equivalent Data wiederum sind ebenfalls genormte Zahlencodes, die die Zuordnung in den Zahlungsabwicklungs-EDV-Systemen erleichtern. Die IBAN (International Bank Account Number) ist der vor einigen Jahren europaweit eingeführte Zuordnungscode inklusive Kontonummer.
  • Gleichwohl können die Kontoverbindungsdaten nur vom kontenführenden Kreditinstitut dem zugehörigen Kontoinhaber zugeordnet werden, versichert die Kreissparkasse in ihren Datenschutzhinweisen. „Für nicht autorisierte Personen lässt sich aus den Kontoverbindungsdaten nicht auf den Kontoinhaber schließen.“

Die Serie Erkennen - Aktivieren - Abspeichern

Die ganze Serie finden Sie unter www.zvw.de/mikrochips

  • Bewertung
    2

Heute in Ihrer Tageszeitung

  • Waiblinger Kreiszeitung
  • Schorndorfer Nachrichten
  • Winnender Zeitung
  • Welzheimer Zeitung
Lust auf mehr?

Lesen Sie Ihre Zeitung immer und überall digital: Hier ePAPER-Angebote entdecken!