Vergangene Nacht las ich via lawblog.de einen Artikel auf ndr.de – über sofortüberweisung.de. Bei einem Test sei das Geld nicht von dem angegebenen Konto, sondern von einem anderen abgebucht wurden.

sofortüberweisung.de ist ein Dienst, bei dem man seine Kontonummer, Bankleitzahl und auch den Pin eingibt, um im folgenden eine Überweisung abzuwickeln. Können die Daten bestätigt werden, gibt man noch seine TAN ein. sofortüberweisung.de stößt dann bei der Bank die Überweisung an und Verifiziert dem Verkäufer, dass die Überweisung getätigt wurde. So kann der Verkäufer ohne Risiko die Ware versenden, muss einen Zahlungsausfall nicht befürchten.

Doch wie kommt es nun dazu, dass das Geld nun von einem anderen Konto gebucht wurde? Offensichtlich seien noch weitere Information abgefragt worden… ohne, dass es der Kunde wissen? Meine Empörung löste sich heute so langsam, als den verlinkten Artikel bei heise.de las – Erscheinungsdatum 25.09.2009. Aus dieser Zeit stammt der Fehler, der dem damaligen Tester passiert war. Dieser sei damals auch direkt behoben worden, lese ich in einem aktuellen Pressebericht des Payment Networks.

Die Sache mit den abgefragten Daten

Bleibt noch die Sache mit den abgefragten Daten. Der Autor bei ndr.de meint, dass der Hinweis zum Datenschutz “Kontodeckungsabfrage” nicht ausreichend sei um zu beschreiben, dass weitere Konten abgefragt (also sowohl deren Existenz, als auch deren Verfügungsrahmen) werden. Thomas Kranig, Leiter des zuständigen bayerischen Landesamtes für Datenschutzaufsicht stimmt dem zu, wobei er auch richtig darauf hinweist, dass das Unternehmen diese Daten prüfen könne muss um etwa Betrug zu vermeiden. Doch kann man unter einer “Kontodeckungsabfrage” tatsächlich nicht verstehen, dass weitergehende Daten abgefragt werden? Ich mache mich auf die Suche in der Demo von sofortüberweisung.de:

Als erstes Fällt mir auf, dass deutlich darauf hingewiesen wird, dass zwar “transaktionsrelevante Daten gespeichert” werden, aber PIN und TAN nur temporär verarbeitet werden. Mein zweiter Blick fällt aber auf folgenden Satz “Durch Klicken von “Weiter” akzeptiere ich die für den Auftrag geltenden Datenschutzhinweise” – hmm. Keine Checkbox, die ich erst anklicken muss, um meine Zustimmung zu erteilen?

Für mich ist es ein großer Unterschied, ob dort – zwar in Nähe zum Button – solch ein Text steht oder ich ausdrücklich per Klick in eine Checkbox zustimmen muss. Schließlich ist bei einer Checkbox sichergestellt, dass ich den Hinweis zur Kenntnis genommen haben. Bei der aktuellen Lösung von sofortüberweisung.de scheint mir das nicht gegeben. Aber schauen wir mal, was überhaupt dort in den Datenschutzhinweisen steht.

Die Datenschutzhinweise bei sofortüberweisung.de

Äußerst positiv fällt mir auf, dass die Datenschutzhinweise recht kurz gehalten sind – kein langes Scrollen, alles auf einen Blick. Leider steht kein Datum der letzten Änderung dabei, sodass ich nun nur auf den aktuellen Text eingehen kann.

Mit der Nutzung des Dienstes sofortüberweisung.de beauftragen Sie die Payment Network AG, eine Kontodeckungsabfrage bei Ihrer Bank durchzuführen sowie zu überprüfen, ob vorherige Sofortüberweisungstransaktionen erfolgreich durchgeführt wurden und dann, wenn die Kontodeckung in einem vom Händler vorgegebenen Rahmen liegt, den von Ihnen freigegebenen Überweisungsauftrag in elektronischer Form an Ihre Bank zu übermitteln sowie den von Ihnen ausgesuchten Händler über die erfolgreiche Einstellung der Überweisung zu informieren.

Drei wichtige Passagen habe ich markiert. Zum einen finden eine Kontodeckungsabfrage statt. Gut, es wird also irgendwie geschaut, ob ich tatsächlich Geld auf dem Konto habe – fair. Wenn ich nun Weiterlese erfahre ich, dass nach  “vorherige Sofortüberweisungstransaktionen” gesucht wird – heißt für mich: soweit möglich werden meine Buchungen aus der Vergangenheit abgefragt, verarbeitet und analysiert, womit indirekt auch etwas über meine Zahlungsfähigkeit ausgesagt wird. Angedeutet könnte hier sein, dass nicht nur Transaktionen des angegebenen Kontos untersucht werden, sondern aller Konten. Der letzte Hinweis umfasst nun noch, dass mein aktuelles Guthaben abgefragt wird – damit wird versucht folgendes Problem zu umgehen: Ein Kunde überweist sein Geld auf ein anderes Konto. Der Umsatz ist aber noch nicht gebucht, sodass eine Guthabenabfrage noch die alten Beträge aufzeigen würde. Erhöhe ich nun diesen Rahmen, wird es zumindest unwahrscheinlicher, dass das Guthaben unbewusst durch zu viele Überweisungen bereits weg ist.

Als nächstes folgen nun noch Hinweise zur Speicherung der “transaktionsrelevante Daten” – zur Erfüllung gesetzlicher Vorgaben, finde ich in Ordnung.

Ergebnis

Ein deutlicher Hinweis, dass alle Konten abgefragt werden, fehlt also, obgleich es nicht überraschend ist, wenn man die Hinweise unter diesem Blick durch ließt. Payment Network hat dazu in oben genannte Pressemitteilung aber angekündigt, dass hier nachgebessert werden wird.

Letztlich möchte ich es, obwohl ich sofortüberweisung.de schon öfters genutzt habe, so halten, wie maass auf seinem Blog:

Auch ganz unabhängig davon, was sofortueberweisung.de alles für Daten ausliest, mit dem Argument eine sichere Zahlung zu gewährleisten: Selbst ohne jegliches Überprüfung meines Konto würde ich mir doch zweimal überlegen meine Bankdaten an einen Dritten zu übergeben…. aber das muss jeder für sich selber wissen.