|
EC-Karte und Geheimzahl - das genügt ... NICHT
Institut für Informations- und Kornmunikationsökologie e.V. I K Ö Balkenstr. 17-19, 4600 Dortmund, Tel. 0231 - 577 90 46 V.i.S.d.P.: Knud Bach, Stephan Klein, Herbert Kubicek Hintergrundinformationen zur IKÖ-Aktion "Transparenz bei ec-Kartenzahlung" Das Bezahlen mit Plastikgeld ist keine neue Sache. Seit den 50er Jahren gibt es Kreditkarten, und seit den 70er Jahren kann in den meisten europäischen Ländern mit eurocheque und ec-Karte bezahlt (oder Geld abgehoben) werden. Neu ist jedoch die elektronische Verarbeitung dieser Transaktionen, ausgelöst am Ort des Verkaufs (Point-of-Sale). Sichtbarstes Zeichen dieser neuen Verarbeitungsqualität ist der Magnetstreifen auf der Rückseite der Plastikkarte. Bereits seit Anfang der 80er Jahre können mit der ec-Karte der Banken und Sparkassen völlig beleglos Abhebungen vom Girokonto am Geldausgabeautomaten vorgenommen werden. Dieser schecklose Einsatz der eurocheque-Karte setzt sich seit Mitte 1990 auch an den Tankstellen und im Einzelhandel durch. Das Schlagwort heißt hier "electronic-cash" oder allgemein "point of sale Banking". Die Shell-Tankstellen sind hier am weitesten und haben auch die Werbeformel "ec-Karte und Geheimzahl - das genügt" verbreitet. Das electronic-cash System ist letztlich ein (im Aufbau befindliches) komplexes Datennetz. Bei jedem Bezahlvorgang mit ec-Karte und Geheimzahl wird eine Verbindung von der Kasse zum Bankrechner hergestellt. Vom Computer der Bank wird die Transaktion genehmigt (autorisiert), wenn die eingegebene Geheimzahl korrekt ist, die Karte nicht auf einer Sperrliste vermerkt ist und der Verfügungsrahmen des Kunden für den Einkaufsbetrag noch ausreicht. Zwischen dem Händlersystem und dem Autorisierungssystem der Banken vermittelt ein sog. Netzbetreiber. Dies kann ein spezielles Unternehmen (z.B. TeleCash GmbH - ein Gemeinschaftsunternehmen von IBM und DBP Telekom) sein oder eine Institution, die der Banken- oder Handelsseite zuzurechnen ist. So sind die meisten Mineralölgesellschaften selbstständige Netzbetreiber für electronic-cash. In der Kreditwirtschaft gibt es vier verschiedene Autorisierungssysteme. Jede Institutsgruppe (Sparkassen, Genossenschaftsbanken, Kreditbanken und die Postbank) betreibt ein eigenes Autorisierungssystem. Bei den Kreditbanken und der Postbank wird die Genehmi-gung oder Ablehnung einer ecKartenzahlung in einen zentralen Computer durchgeführt. Die Sparkassenorganisation und die Genossenschaftsbanken wellen jede einzelne Anfrage bis zum kontoführenden Rechenzentrum weiterleiten. Eine Vielzahl von Rechnern verarbeitet und übermittelt die Daten der mit Karte bezahlten Einkäufe. Der/die Einzelne kann nicht mehr wissen, wer was wann über ihn/sie speichert. Die Kreditwirtschaft geht davon aus, daß man mit der Kontoeröffhung und der ersten Kartenbenutzung in die Verarbeitung und Speicherung der Daten einwilligt. Nach Auffassung des IKÖ setzt dies eine bewußte Einwilligung voraus, da die Betroffenen über die Datenströme, Datenspeicherung und eventuelle Datenauswertungen informiert werden. Diese Informationen werden von den beteiligten Organisationen bisher jedoch nicht gegeben. Um dahin zu kommen, müßen die Betroffenen selbst Transparenz einfordern. Hierzu kann jede(r), die/der mit ec-Karte und Gebeimzahl bezahlt, den beiliegenden Musterbrief an die Händler/Tankstelle schicken. Zwar können sie selbst meist keine Auskunft geben, sind aber die einzigen für die Kartenzahlerlnnen offensichtlich Beteiligten am electronic-caah System. Sind sie selbst speichernde Stelle, müßen sie die Anfrage beantworten. Andernfalls sind sie nach dem neuen Bundesdatenschutzgesetz verpflichtet, das Gesuch an die speichernde Stelle weiterzuleiten. Ziel der Aktion soll es sein, daß jede(r) Tankstelle/Händler seinen KundInnen per Faltblatt o.ä. mitteilt, wie seine/ihre Daten im electronic-cash Systemn ins Autorisierungssystem der Banken gelangen und was dort damit geschieht. Jede einzelne Bank oder Sparkasse soll ihren kartenzahlenden KundInnen nütteilen, wo in ihrem Autorisierungssystem personenbezogene Daten gespeichert werden und wie lange diese gespeichert bleiben. Denn da Interesse der Kartenbranche, die erhobenen Daten für eigene oder fremde Zwecke auszuwerten, dürfte nicht unerheblich sein. Von dem erhaltenen Antwortschreiben bitten wir eine Kopie anzufertigen und diese an das IKÖ-Büro in 4600 Dortmund, Balkenstr. 17-19 zu senden. Nur so können wir über den Verlauf der Aktion berichten. Auszug aus dem Bundesdatenschutzgesetz vom 20.12.1990 (seit 1.6.91 in Kraft):
Speichernde Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst speichert oder duch andere im Auftrag speichern läßt. §6 Absatz 2: Sind die Daten der Betroffenen in einer Datei gespeichert, bei der mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage, die speichernde Stelle festzustellen, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die speichernde Stelle weiterzuleiten. Der Betroffene ist über die Weiterleitung und die speichernde Stelle zu unterrichten. §34 Absatz 1: Der Betroffene kann Auskunft verlangen über 1. die zu seiner Person gespeicherten Daten ... , 2. den Zweck der Speicherung und 3. Personen und Stellen, an die seine Daten regelmäßig übermittelt werden, wenn seine Daten automatisiert verarbeitet werden.... Auszug aus den AGB - Sonderbedingungen für den ec-Service:
Zur Nutzung des. ecService gibt das Kreditinstitut ec-Karten aus. Sie dienen als Garantiekarte fÜr den eurocheque, zur Abhebung von Geldbeträgen an ec-Geldautomaten, zur bargeldlosen Bezahlung an automatisierten Kassen, die für den ec-Service zugelaßsen sind (nachfolzend ..POS-Kassen"). Das Kreditinstitut teilt dem Karteninhaber bei Aushändigung der ec-Karte mit, welche Funktion er hiermit nutzen kann. 7.1 Verfügungsrahmen des Karteninhabers. Das Kreditinstitut stellt dem Karteninhaber zwecks Abhebungen an ec-Geldautomaten und Bezahlungen an POS-Kassen für einen bestimmten Zeitraum einen Verfügungsrahmen bereit, den es ihm bekanntgibt. ... 8.2 Einwendungen bei POS-Zahlungen. Einwendungen und sonstige Beanstandungen des Karteninhabers, die das Vertragsverhältnis mit dem die POS-Kassen betreibenden Unternehmen betreffen, sind unmittelbar gegenüber dem Unternehmen geltend zu machen. Absender: Hamburg, den Händleranschrift: Sehr geehrte Damen und Herren, in Rahmen des sog. electronic-cash haben Sie am ......... meine eurocheque-Karte als Zahlungsinstrument akzeptiert. Hierbei wurde als personenbezogenes Datum meine Kontonummer (............) neben weiteren anderen Daten gespeichert. Ich möchte Sie nun bitten, mir Auskunft zu erteilen über alle zu meiner Person (im Zusammenhang mit meiner Kontonummer) gespeicherten Daten, sowie mir den Zweck und die Dauer der Speicherung sowie die vorgesehenen Auswertungen mitzuteilen. Hierbei beziehe ich mich auf den §34 Absatz 1 des neuen, seit 1.6.1991 in Kraft gesetzten Bundesdatenschutzgesetzes (BDSG). Diese Anfrage muß ich an Sie richten, auch wenn Sie nicht in der Lage sein sollten, mir über die in der Kasse gespeicherten Daten hinaus Auskunft zu erteilen, da Sie rein rechtlich nicht als speichernde Stelle (vgl. §3 Absatz 8 BDSG) einzustufen sind. Die juristisch zuständige speichernde Stelle ist mir nicht bekannt. Bei der komplexen Vernetzung zwischen Handel und Kreditwirtschaft im Rahmen des electronic-cash erscheint mir dies auch nicht möglich. Nach §6 Absatz 2 BDSG sind Sie aber verpflichtet, meine Anfrage an die zuständige speichernde Stelle weiterzuleiten und mich hierüber zu unterrichten. Mit freundlichen Grüßen, IKÖ Druck des Textes mit Einwifligung von H.Prof.Dr.Kubicek. Die Vorlage der Kopie, die wir hier einkleben wollten hat sich wer "ausgeliehen"!! |
[Datenschleuder]
[37]
EC-Karte und Geheimzahl - das genügt ... NICHT