Wer an der Ladenkasse mit EC-Karte zahlt, wird sich schon gewundert haben: Mal wird eine PIN verlangt, mal eine Unterschrift. Die PIN ist für alle sicherer, aber für die Läden teurer. Deswegen ist ihnen die Unterschrift lieber. Die ist nichts anderes als eine Einzugsermächtigung, deswegen elektronisches Lastschriftverfahren genannt, kurz ELV. Dieses für die Läden kostenlose System ist aber mit einem Risiko behaftet: Was ist, wenn der Kunde gar nichts auf dem Konto hat? Oder die Lastschrift gar nach dem Kauf einfach widerruft?
Wenn der Kunde seine EC-Karte also durch das Lesegerät an der Kasse zieht, muss der Laden entscheiden: Ist der Kunde solvent, zuverlässig und kann er über das für den Laden billige Lastschriftverfahren zahlen? Oder hat es schon mal Zahlungsprobleme gegeben und der Kunden muss wohl oder übel die für den Laden mit hohen Gebühren behaftete PIN eingeben? PIN oder Lastschrift - diese Entscheidung fällen die Läden nicht selber, sondern Dienstleister wie easycash, telecash oder Intercard.
Deshalb gilt: Wenn der Kunde die EC-Karte durch das Lesegerät zieht, werden an diese Dienstleister Daten übertragen: Name, Kontonummer, Bankleitzahl und Standort und geplante Einkaufssumme. Dann schaut der Dienstleister in einem großen Datenpool nach, ob des mit diesem Kunden schon mal Probleme gegeben hat oder ob alle Zahlungen durchgelaufen sind. Dann meldet er dem Laden: PIN oder Lastschrift. Diese Daten sollen in Zukunft nur noch für zwei Wochen beim Dienstleister gespeichert werden dürfen, sagt der Datenschutzbeauftragte von Nordrhein-Westfalen, Ulrich Lepper. Außerdem werde viel strenger als bisher geregelt, was mit diesen Kundendaten gemacht werden darf:
"Das sind alles Daten, die dienen nur dazu, die Zahlungswegeempfehlung auszu¬sprechen. Sie dürfen nicht verwandt werden, um ein Profil über einen Kunden anzulegen, also darüber, wo der Kunde kauft, was er kauft, wie viel er in welchen Zeiträumen kauft, wie oft bei ihm Lastschriften platzen. Also Bonitätsinformationen, die auf eine Profilbildung hinaus gehen, sollen mit diesem Verfahren nicht gesichert werden. Das ist die entscheidende Vorgabe, die wir gesetzt haben."
Auf diese neue Verfahrensweise haben sich die drei großen Bundesländer NRW, Hessen und Bayern geeinigt, sie sind entscheidend, weil sie zuständig sind für die drei großen Kartendienstleister.
In einigen Wochen schon werden in den Läden, die das elektronische Lastschriftverfahren anbieten, Kunden informiert werden, sagt Ulrich Binnebösel vom Einzelhandelsverband. Zum einen würde auf der Rückseite des Bon, wo unterschrieben werden muss, ein neuer, verständlicherer Text stehen. Auch würden Schilder aufgestellt:
"Es steht dort, welche Daten erhoben werden, es steht, wer diese Daten speichert und für welchen Zweck und wann diese Daten gelöscht werden."
Einigen Ländern gehen diese Regelungen aber nicht weit genug. Der Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert sagt: Der heikelste Punkt sei dieser Datenpool, in dem die Kartendienstleister nachschauen, ob ein Kunde vertrauenswürdig ist oder nicht. Es sei völlig in Ordnung, so Weichert, wenn einzelne Unternehmen wie IKEA oder Neckermann quasi ihre Kunden analysieren lassen und zur Bonitätsbeurteilung heran ziehen: Haben sie ihr Konto gesperrt? Haben sie Lastschriften storniert?
"Wenn aber dann die Information von Edeka, Neckermann oder IKEA untereinander ausgetauscht werden, entstehen neue Risiken und die sind vom Gesetz unseres Erachtens nicht abgedeckt."
Weichert fordert daher, dass es keinen Datenpool mehr geben dürfe, in dem alle Kunden aller Unternehmen auftauchen und analysiert werden, das widerspreche dem Datenschutzgesetz. Andere Landesdatenschützer halten solche Pools für legal und so wird sich daran vorerst nichts ändern. Schleswig-Holstein will das erstmal hinnehmen, behält sich aber eine Klage vor.
Wenn der Kunde seine EC-Karte also durch das Lesegerät an der Kasse zieht, muss der Laden entscheiden: Ist der Kunde solvent, zuverlässig und kann er über das für den Laden billige Lastschriftverfahren zahlen? Oder hat es schon mal Zahlungsprobleme gegeben und der Kunden muss wohl oder übel die für den Laden mit hohen Gebühren behaftete PIN eingeben? PIN oder Lastschrift - diese Entscheidung fällen die Läden nicht selber, sondern Dienstleister wie easycash, telecash oder Intercard.
Deshalb gilt: Wenn der Kunde die EC-Karte durch das Lesegerät zieht, werden an diese Dienstleister Daten übertragen: Name, Kontonummer, Bankleitzahl und Standort und geplante Einkaufssumme. Dann schaut der Dienstleister in einem großen Datenpool nach, ob des mit diesem Kunden schon mal Probleme gegeben hat oder ob alle Zahlungen durchgelaufen sind. Dann meldet er dem Laden: PIN oder Lastschrift. Diese Daten sollen in Zukunft nur noch für zwei Wochen beim Dienstleister gespeichert werden dürfen, sagt der Datenschutzbeauftragte von Nordrhein-Westfalen, Ulrich Lepper. Außerdem werde viel strenger als bisher geregelt, was mit diesen Kundendaten gemacht werden darf:
"Das sind alles Daten, die dienen nur dazu, die Zahlungswegeempfehlung auszu¬sprechen. Sie dürfen nicht verwandt werden, um ein Profil über einen Kunden anzulegen, also darüber, wo der Kunde kauft, was er kauft, wie viel er in welchen Zeiträumen kauft, wie oft bei ihm Lastschriften platzen. Also Bonitätsinformationen, die auf eine Profilbildung hinaus gehen, sollen mit diesem Verfahren nicht gesichert werden. Das ist die entscheidende Vorgabe, die wir gesetzt haben."
Auf diese neue Verfahrensweise haben sich die drei großen Bundesländer NRW, Hessen und Bayern geeinigt, sie sind entscheidend, weil sie zuständig sind für die drei großen Kartendienstleister.
In einigen Wochen schon werden in den Läden, die das elektronische Lastschriftverfahren anbieten, Kunden informiert werden, sagt Ulrich Binnebösel vom Einzelhandelsverband. Zum einen würde auf der Rückseite des Bon, wo unterschrieben werden muss, ein neuer, verständlicherer Text stehen. Auch würden Schilder aufgestellt:
"Es steht dort, welche Daten erhoben werden, es steht, wer diese Daten speichert und für welchen Zweck und wann diese Daten gelöscht werden."
Einigen Ländern gehen diese Regelungen aber nicht weit genug. Der Datenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert sagt: Der heikelste Punkt sei dieser Datenpool, in dem die Kartendienstleister nachschauen, ob ein Kunde vertrauenswürdig ist oder nicht. Es sei völlig in Ordnung, so Weichert, wenn einzelne Unternehmen wie IKEA oder Neckermann quasi ihre Kunden analysieren lassen und zur Bonitätsbeurteilung heran ziehen: Haben sie ihr Konto gesperrt? Haben sie Lastschriften storniert?
"Wenn aber dann die Information von Edeka, Neckermann oder IKEA untereinander ausgetauscht werden, entstehen neue Risiken und die sind vom Gesetz unseres Erachtens nicht abgedeckt."
Weichert fordert daher, dass es keinen Datenpool mehr geben dürfe, in dem alle Kunden aller Unternehmen auftauchen und analysiert werden, das widerspreche dem Datenschutzgesetz. Andere Landesdatenschützer halten solche Pools für legal und so wird sich daran vorerst nichts ändern. Schleswig-Holstein will das erstmal hinnehmen, behält sich aber eine Klage vor.