Der Norddeutsche Rundfunk fühlt in seinem heutige Beitrag
"Der Datenkrake von Ratingen" dem OLV-Verfahren der
easycash auf den Zahn. Der Artikel kritisiert ein Bezahlverfahren, das in großem Umfang Verbraucherdaten längerfristig speichert und auswertet.
Was ist OLV?
OLV ist das Online Lastschrift-Verfahren der Firma easycash. Die Ziele von OLV liegen in einem kostengünstigen Kartenzahlungs-Verfahren für die girocard (früher: ec-Karte). Es ist für die Kundinnen und Kunden vergleichsweise unkompliziert zu handhaben: sie müssen bei OLV nur eine Unterschrift auf dem Bezahl-Beleg leisten, und sie brauchen keine PIN eingeben. Letzteres ist erfahrungsgemäß eine Hürde, die noch immer vergleichsweise vielen Kundinnen und Kunden schwer fällt. Mit der Unterschrift gestatten die Kunden dem Handel, den autorisierten Betrag von dem zur girocard gehörigen Girokonto in einem von den Kunden stornierbaren Lastschriftverfahren abzubuchen.
Was ist das besondere an OLV?
Die Besonderheit beim OLV-Verfahren liegt darin, dass im Zuge der Autorisierung noch online geprüft wird, ob die Karte eine rücklastschriftfreie Buchung verspricht. Hierfür kann die easycash theoretisch mehrere Prüfungen heranziehen. Beispiele hierfür:
- Liegt die Zahlung unterhalb eines bestimmten Betrags? Für kleinere Beträge bestehen die Einzelhändler häufig auf dem ausschließlichen Einsatz des Lastschriftverfahren.
- Ist die Kartennummer in einer Sperrliste gespeichert? Karteninhaber können ihre girocard über einen Sperrdienst als gestohlen melden. Hierfür steht beispielsweise das KUNO-System zur Verfügung, das über die Polizei genutzt werden kann.
- Ist die Karte offensichtlich gefälscht? Betrugsfälle dieser Art können über einen automatischen Abgleich aktueller Transaktionen erfolgen. Ein Indiz wäre etwa die zeitgleiche Nutzung der Karte an unterschiedlichen Orten in Deutschland.
- Wird die Karte auf riskantere Weise, als gewöhnlich genutzt? Ein Fraud-Detection-System könnte beispielsweise ein erhöhtes Risiko festsetzen, wenn die Karte entgegen der üblichen Gewohnheiten genutzt wird. Das könnte zum Beispiel ein anderer Einsatzort sein, wenn die Karte bisher etwa ausschließlich in Supermärkten benutzt wurde, nun aber in einem gänzlich anderen Geschäft zum Einsatz kommt. Oder auch die Transaktionsfrequenz, wenn die girocard üblicherweise einmal pro Woche genutzt wird, nun aber zehn mal an einem Tag.
Was passiert bei fehlgeschlagener Online-OLV-Prüfung?
Wenn das OLV-Verfahren mit einer girocard fehlschlägt kann im Prinzip immer noch eine Zahlung mit einem anderen Bezahlverfahren erfolgen. In vielen Fällen koppeln easycash und Einzelhandel die Ablehnung des Lastschriftverfahrens mit dem PIN-basierten Verfahren electronic cash. Wird bei electronic cash die PIN korrekt eingegeben, gilt die Zahlung praktisch als rechtskräftig durchgeführt. Das zur girocard gehörige Girokonto wird dann unmittelbar belastet.
Das gekoppelte Verfahren: "Wenn OLV nicht möglich, dann electronic cash" vermarktet easycash als auto OLV. Die Kartenzahlungs-Terminals und das Online-System sind[1] so aufeinander abgestimmt, dass ggf. automatisch die neue Transaktionsart "electronic cash" gestartet wird.
Für die Kunden ist das ein unangenehmer Vorgang. Ein Kunde sieht, wie seine zwei Vorgänger in der Kassenschlange locker mit einer Unterschrift bezahlen. Er selbst soll nun aber eine Geheimzahl eingeben und schämt sich sichtlich, weil ihm offenbar weniger vertraut wird, als den beiden Vorgängern. Vor Aufregung verwechselt er dann auch noch die Geheimzahl und fühlt sich lächerlich gemacht. Eine peinliche Situation als letzter Eindruck in einem Markt? Für viele Einzelhändler ist das ein Alptraum, denn sie wissen, dass der Kunde ihren Markt in Zukunft möglicherweise meidet. Der Einzelhandel kennt diese Situation an der Kasse also gut und schult das Kassenpersonal darin, die Kunden hier ggf. zu beruhigen und lockere Erklärungen zu finden ("das ist ein Zufallsgenerator").
Was kritisiert der NDR-Beitrag?
In seinem Titel kritisiert der NDR-Beitrag die easycash als "Datenkrake". Hier liegt auch der Kernpunkt der Kritik: die Verbraucherinnen und Verbraucher wissen nicht, welche Daten von Ihnen durch die easycash erhoben und wie lange sie gespeichert werden. Sie wissen auch nicht, nach welchen Kriterien diese Daten dann zu einer Entscheidung führen, ob die Lastschrift ermöglicht wird, oder nicht. Die Kritik richtet sich dabei nicht generell an die Speicherung von Daten, sondern daran, dass Daten über ihren konkreten Verwendungszweck hinaus längerfristig für weitere Zwecke genutzt werden.
Berechtigte Kritik?
Die Kritik des Artikels ist trotz einiger Spitzen nach Auffassung des Autors in Teilen gerechtfertigt. Sie prangert an, dass hier an zentraler Stelle eine vergleichsweise ungeregelte langfristige Datensammlung mit potentiell ähnlicher Reichweite wie bei der SCHUFA entstanden ist. In welchem Maße sind die bei der easycash gesammelten Daten aber organisatorisch und physikalisch vor unzweckgemäßer Nutzung geschützt? Werden die Daten eventuell noch anderweitig vermarktet? Gibt es gar eine Kooperation mit der Schufa? Gibt es die Möglichkeit der Selbstauskunft für die Verbraucherinnen und Verbraucher? Wie bei so manchen Onlinediensten ist hier zu befürchten, dass die Lösung nur deswegen zu günstigeren Tarifen führt, weil die Kosten in die Infrastruktur des Datenschutzes nicht in vollem Umfang geleistet werden. Insofern würden hier easycash und Einzelhandel einseitig Profit aus den Daten der Verbraucherinnen und Verbraucher schlagen, und der Datenschutz bliebe weitgehend auf der Strecke.
Ein kostengünstiges Online-Lastschrift-Verfahren könnte ja auch weiterhin durchgeführt werden. Auch ohne irgendwelche schwer nachvollziehbaren heuristischen Statistiken. Es gab so ein System sogar schon einmal. Es wurde zum Ende des Jahres 2006 abgeschafft und nannte sich POZ.
[1] Offenbar mit einigen Bauchschmerzen des ZKA...
