"Sofortüberweisung.de" wegen Verstößen gegen Datenschutzrecht in der Kritik
Der Bericht des NDR liest sich wie ein Krimi: Beim Testkauf und Versuch eines c’t-Redakteurs, eine Rechnung über sofortüberweisung.de zu begleichen, kam es zu einer Panne, infolgedessen folgendes herauskam.
Der Kunde muss an die Payment Network AG eine Menge vertraulicher Daten herausgeben: Bei diesem Bezahldienst gibt man den Web-Seiten des Dienstleisters nicht nur die Bankleitzahl und die Kontonummer, sondern auch gleich die PIN fürs Online-Banking und schließlich auch eine TAN an. Mit diesen Daten führt Sofortüberweisung.de eine Online-Überweisung bei der Bank des Kunden aus.
Recherchen des NDR und stichprobenartig durchgeführten Sofortüberweisungen ergaben, dass von sofortüberweisung.de neben dem Kontostand auch die Umsätze der letzten 30 Tage, der Dispokredit, die Stände anderer Konten bei der gleichen Bank oder ausgeführte und vorgemerkte Auslandsüberweisungen abgefragt wurden, des weiteren, wie viele Konten der Kunde bei seiner Bank hat.
Dies diene der „Betrugsprävention.“ Dem Kunden wird jedoch zunächst nur mitgeteilt, dass Payment Network mit Eingabe von Logindaten und PIN „ausgeführte sofortüberweisung.de-Transaktionen“ und „den Verfügungsrahmen“ überprüfe. Erst wenn er auf den Link „Datenschutzhinweise“ klickt – was er nicht muss, um die Überweisung auszuführen – erhält er die Information, dass mit Nutzung des Dienstes eine „Kontodeckungsabfrage“ in Auftrag gegeben werde. Was daraufhin passiert, ist dann aber weit mehr als das, was man sich als Verbraucher unter dem Wort „Deckungsanfrage“ vorstellt.
Demnach fehlt es bei sofortüberweisung.de an einer umfassenden Aufklärung, welche Daten wie und für welche Zwecke erhoben und verarbeitet werden – der Kern einer jeden Datenschutzerklärung – oder, sofern erforderlich, an einer wirksamen Einwilligung des Kunden nach § 4 BDSG. Eine Einwilligung kann nämlich nur dann wirksam erteilt werden, wenn zuvor genau über den Umfang derselbigen aufgeklärt wurde. So oder so ein eindeutiger Verstoß gegen Datenschutzbestimmungen.
Wie der NDR feststellt, hat die Payment Network AG dabei das gleiche Problem, das alle haben, die sich an das BDSG halten müssen:
„Doch leicht wird es dem Münchner Unternehmen nicht fallen, auf die Forderungen von Daten- und Verbraucherschützerin einzugehen. Kaum vorstellbar, dass die Datenschutzhinweise des Unternehmen nur zufällig im Ungefähren bleiben. Denn die Betreiber von sofortüberweisung.de sind zweifellos in einem Dilemma: Geben sie genauer an, welche Daten sie tatsächlich benötigen, schreckt das womöglich Kunden ab. Bleibt aber die Aufklärung über den Datenschutz weiterhin so ungenau, droht die Datenschutzaufsicht mit Sanktionen.“
Der Gesetzgeber hat diesen Interessenkonflikt eindeutig zugunsten des Betroffenen, über den Daten erhoben werden, geregelt. Die zuständigen Datenschutzbeauftragten haben sich bereits der Sache angenommen. (ca)
(Bild: © ozgur – Fotolia.com)
[:]