Essen/Ratingen. 

Die Daten von nahezu allen deutschen EC-Karten werden offenbar in großem Umfang gespeichert. Ohne Wissen der Besitzer und ohne Rechtsgrundlage. Die Ratinger Firma Easycash ist im Visier von Datenschützern.

„Ich bin damit einverstanden, dass meine Daten für Zwecke der Zahlungsabwicklung elektronisch gespeichert und verarbeitet werden … Speichernde Stelle ist die easycash GmbH…” So steht es im Kleingedruckten auf der Rückseite vieler Belege, wenn ein Kunde an der Kasse seine EC-Karte zückt und mit seiner Unterschrift im Lastschriftverfahren zahlt. Laut NDR-Info hat jene Easycash GmbH aus Ratingen bei Düsseldorf diese Daten teilweise über Jahre in großem Stil gespeichert, um Vorhersagen über die Zahlungskraft der Karteninhaber treffen zu können. Ohne Wissen der Verbraucher, mit fragwürdiger Rechtsgrundlage. Die Datenschützer sind aufgeschreckt.

„Plastikgeld”: Für Kunden ist es bequem, für Unternehmen jedoch teuer oder mit Risiko verbunden. Beim Zahlen mit Geheimnummer (PIN) kassieren die Banken mit. 0,3 Prozent vom Umsatz, mindestens acht Cent. Dafür garantieren sie, dass die Unternehmen ihr Geld erhalten. Diese Gebühren sparen sich Firmen mit der Lastschrift per Unterschrift. Allerdings: Ist kein Geld auf dem Konto des Kunden, wird sie nicht ausgeführt. Die Firmen müssen sehen, wie sie an ihr Geld kommen.

50 Millionen Bankverbindungen gespeichert

An dieser Stelle setzt die Easycash GmbH an. Sie hat offenbar neben Konto- und EC-Kartennummern auch Beträge, Zeitpunkte und Orte für Zahlungen per EC-Karte gespeichert – flächendeckend von fast jedem deutschen EC-Karteninhaber. Nach NDR-Angaben verfügt Easycash über rund 50 Millionen deutsche Bankverbindungen.

So werden Kunden detailliert durchleuchtet, aus den gewonnenen Profilen erstellt Easycash, größter deutscher Anbieter für die Verarbeitung von EC-Zahlungen, Empfehlungen für Vertragsunternehmen in Hinsicht auf Zahlungsfähigkeit und Kreditwürdigkeit der Karteninhaber. Ein Easycash-Manager schrieb in einer Kundenzeitschrift, „es gehe außerdem darum, in Segmenten mit eher kritischen Konsumpotenzialen die Bankverbindungen zu identifizieren, mit denen man uneingeschränkt und profitabel wirtschaften kann.”

Easycash verteidigt diese Praxis der Datenverarbeitung. Bei Kontoverbindungen handele es sich nicht um personenbezogene Daten. Außerdem geschehe die Speicherung auf Grundlage des Bundesdatenschutzgesetzes, dies sei dem Unternehmen in einem Brief aus dem Jahr 2002 vom NRW-Landesdatenschutz (LDI) bestätigt worden.

Datenschutzbehörden sind alarmiert

Dort hat man eine andere Sicht der Dinge. Das Schreiben von 2002 beziehe sich lediglich auf die Speicherung nicht gedeckter Konten in einer branchenüblichen Sperrdatei. Die Praxis der „Risikovorhersage“ sei damals gar nicht geprüft worden, so LDI-Sprecher Nils Schröder auf Anfrage dieser Zeitung.

Da es sich um ein bundesweites Problem handelt, stimmen die Datenschutzbehörden der Länder zurzeit eine gemeinsame Position ab, um mit Easycash und anderen Anbietern die Probleme beim Lastschriftverfahren zu diskutieren. Gut möglich, dass der riesige Datenpool demnächst geleert wird.

Für Prof. Peter Gola, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit sowie Ko-Autor des Kommentars zum Bundesdatenschutzgesetz, ist dies zwingend erforderlich, auch wenn es unterschiedliche rechtliche Auffassungen zum Begriff „personenbezogen“ gebe. „In diesem Fall werden zwar keine Namen gespeichert, trotzdem sind die Daten personenbezogen. Es ist mit dem System möglich, die Personen hinter den Daten zu ermitteln. Darüber hinaus werden die Daten ja nicht gespeichert, um sie statistisch auszuwerten, sondern um sie personenbezogen einzusetzen“, sagte Gola auf Anfrage von DerWesten.