Die Mär des gläsernen Bürgers: Warum sich Kreditkartendaten nicht als Beispiel für eine Überwachungsdystopie eignen
Social Bookmarks
Erledigen Herr und Frau Schweizer den Wocheneinkauf bei ihrem bevorzugten Detailhändler, nehmen sie heute immer öfter die Kreditkarte zur Hand, wie die SBVg in einer vergangenen Ausgabe dieses Magazins bereits festgehalten hat. Laut jüngsten Umfragen des Vergleichsportals Moneyland.ch geben 71% der befragten Nutzerinnen und Nutzer Kreditkarten als unverzichtbar an. Wird mit der Kreditkarte ein Einkauf beglichen, löst dies einen komplexen Zahlungsprozess aus.1
Wer ist eigentlich wie an einer Transaktion beteiligt?
An einer Kreditkartenzahlung nehmen in der Regel vier Parteien teil. Dies sind der Kunde, der Händler, der Kreditkartenherausgeber (Issuer) und der Zahlungsdienstleister des Händlers (Acquirer). Issuer sind in der Regel externe Dienstleister, können aber auch Banken sein. Die landläufige Meinung, dass bei einer Zahlung mit der Kreditkarte der Betrag auf direktem Weg vom Kunden zum Händler der Ware überwiesen wird, ist falsch. Wie es das Wort «Kredit» in der Namensgebung vermuten lässt, erteilt der Kunde dem Händler lediglich ein Zahlungsversprechen sowie das ausdrückliche Recht, den offenen Betrag direkt beim Issuer einzufordern. Der Detailhändler braucht nun jemanden, der diese Aufgabe übernimmt und das Geld beim Issuer einfordert. Hier kommt der Acquirer ins Spiel. Er leitet alles Notwendige für die Zahlungsabwicklung in die Wege. So geht er einerseits beim Händler in Vorleistung, indem er den offenen Betrag an ihn überweist und fordert andererseits den Verkaufspreis beim Issuer ein. In der Folge schiesst der Issuer den Betrag für den Kunden vor und stellt ihm diesen anschliessend in Rechnung.
Welche Daten werden dafür benötigt?
Bevor jedoch Geld fliesst, wird ein komplexer Datenfluss ausgelöst. Damit die Transaktion zustande kommt und dabei ein Höchstmass an Sicherheit gewährleistet wird, müssen die Parteien diverse Angaben untereinander austauschen. Hier wird zwischen Autorisations- und Transaktionsdaten unterschieden. Erstere erlauben es den involvierten Parteien zu prüfen, ob die Zahlung überhaupt ausgelöst werden darf. Wäre die Karte gesperrt, ungedeckt oder als verloren gemeldet, würde die Bezahlung sofort abgelehnt werden. Diese gesamte Prüfung geschieht innerhalb weniger Millisekunden am Point-of-Sale (PoS). Nach erfolgter Autorisierung wird die Transaktion ausgelöst. Ein fehlerfreies Lenken der Geldflüsse bedingt, dass alle Parteien bestimmte Transaktionsdaten erhalten. Dazu gehören zum Beispiel Transaktionsnummer und -beschreibung, Kaufbetrag, Name des Karteninhabers, Datum und Uhrzeit, Währung sowie Informationen zum Händler.
Wer sieht denn nun was?
Keine Partei erhält den vollen Zugang zu all diesen Informationen. Dies liegt daran, dass die Daten im Kartennetzwerk verschlüsselt übermittelt werden. Nur die Partei, die einen bestimmten Datenpunkt für die Abwicklung braucht, besitzt den jeweiligen Schlüssel. So erhält beispielsweise der Acquirer, der den gesamten Prozess in die Wege leitet, lediglich die Daten, die zur Zahlungsabwicklung benötigt werden. Hierzu zählt der Betrag, die Kartennummer und die relevanten Informationen des Händlers wie Ort, Unternehmen und Filiale. Diese Informationen lassen aber keine Rückschlüsse auf das Zahlungsverhalten des Käufers zu. Also darauf, welche Artikel gekauft wurden, welchen Status die Kreditkarte hat oder welcher Umsatz mit der Karte erzielt wird. Der Issuer hingegen sieht alle Daten, die zur Zahlungsverrechnung und Überwachung der Transaktion, Identifizierung der Karteninhaberin, Kartenmissbrauchsprävention und Geldwäschereibekämpfung sowie zum kontaktlosen Bezahlen benötigt werden. Hierzu zählt der Name der Karteninhaberin, der Kaufbetrag, Datum und Uhrzeit der Transaktion sowie Informationen über die Art des Einsatzes einer Kreditkarte. Für den Kartenherausgeber ist aber nicht ersichtlich, welche Artikel gekauft wurden. Somit können keine Rückschlüsse auf das konkrete Kaufverhalten einer Einzelperson gezogen werden, um daraus ein Endkundeprofil mit Kaufhistorie zu erstellen. Die Kartennetzwerke (z.B. Mastercard oder Visa) sehen wiederum Kaufbetrag und Name des Detailhändlers, nie aber den Warenkorb. Sie sind so ausgestaltet, dass keine individuellen Personen- oder Transaktionsdaten erfasst werden können. Diese Daten können lediglich in aggregierter und anonymisierter Form erhoben werden. Damit kann das Kaufverhalten der Gesamtbevölkerung aggregiert und anonymisiert analysiert werden, niemals aber das Kaufverhalten einer Einzelperson.
Was macht eigentlich der Händler?
Der Händler sammelt mittels eines Kartenlesegeräts die für die Transaktion relevanten Daten. Diese umfassen Kartennummer und -typ, Verfallsdatum, Kaufbetrag, Datum und Uhrzeit sowie weitere auf dem Kassenbeleg ersichtliche Informationen. Er ist der einzige Teilnehmer im Netzwerk, der die gekauften Artikel im Einzelnen sehen kann. Wer an dieser Stelle nun fürchtet, sein Einkaufsverhalten werde analysiert, sei entwarnt: Laut Schweizer Datenschutzgesetz (DSG) darf der Bezahlvorgang nicht mit dem Warenkorb verknüpft werden, denn Daten dürfen nur entsprechend ihrem Zweck verarbeitet werden. Eine Weiterverarbeitung, um Kaufhistorien zu erstellen, würde nicht dem ursprünglichen Zweck der Bezahlung dienen und ist daher nicht zulässig. Wenn der Kunde jedoch eine Treuekarte des Händlers einsetzt, erlaubt er dem Händler ausdrücklich, die Daten des Einkaufs mit seinem Kundenprofil zu verknüpfen. Erst durch den Einsatz von Treuekarten können Händler Daten sammeln, das Kaufverhalten analysieren und personalisierte Werbekampagnen anbieten. Im Jahr 2017 nutzten von insgesamt 3.7 Millionen Schweizer Haushalten laut Schätzungen über 2.8 Millionen das Treueprogramm eines grossen Detailhändlers, was einem Anteil von über 75% entspricht.
Was heisst das alles nun für den Schutz der Privatsphäre?
Das DSG sorgt für einen hohen Schutz der personenbezogenen Daten. Die Finanzindustrie in der Schweiz geht beim Schutz ihrer Kunden sogar noch weiter: im Umgang mit Personendaten von Bankkunden gilt zusätzlich zu den datenschutzrechtlichen Bestimmungen das Bankkundengeheimnis. Darüber hinaus definiert der «Payment Card Industry Data Security Standard»(PCI-DSS), eine Selbstregulierung der Kreditkartennetzwerke, weiterführende Regeln. Aufgrund der globalen Ausprägung dieser Systeme werden hohe Lizenzierungsanforderungen der Teilnehmer mit äusserst strikten Regeln im Umgang mit Daten gepaart.
Konsumenten sind angesichts der vielen negativen medialen Meldungen zum Thema Datenschutz besorgt. Die Neuartigkeit des Themas und die oftmals undurchsichtige Erhebung, Verwendung und Weitergabe von Daten trägt sicherlich ihren Teil dazu bei. Teilnehmer des Kreditkartennetzwerks tun gut daran, diese Sorgen ernst zu nehmen und proaktiver zu kommunizieren, was im Umgang mit Daten technisch möglich und legal ist und was eben nicht. Alles in allem sind Kreditkartennetzwerke äusserst sichere Kommunikationssysteme und stehen anderen Bezahlsystemen in nichts nach. Eine Bezahlung mit der Kreditkarte macht uns längst nicht zu gläsernen Bürgern – die freiwillige Verwendung von Treuekarten hingegen schon.
1 Aus Gründen der Komplexitätsreduktion sind «Mobile Payments» und E-Commerce Zahlungen in diesem Artikel nicht berücksichtigt.