Dienstleister greifen nach einer Vielzahl von Daten
Untersuchung der Marktwächter zum Online-Bezahlen
Elektronische Bezahlverfahren werden bei Verbrauchern immer beliebter. Beim digitalen Bezahlen machen sich die Nutzer aber häufig Sorgen um ihre Daten. Nicht zu Unrecht, wie eine Untersuchung des Marktwächters Digitale Welt der Verbraucherzentrale Brandenburg (vzb) zeigt.
Anbieter elektronischer Bezahlsysteme erheben im Bezahlprozess eine Reihe von Daten. Was genau mit diesen passiert, bleibt für Verbraucher oftmals undurchsichtig. Denn die Datenschutzerklärungen der Bezahldienstleister sind oft schwer verständlich.
Verbraucher wollen nicht länger als fünf Minuten Zeit damit verbringen, die Datenschutzerklärungen zu lesen. Dies geht aus einer Umfrage* hervor, die die Marktwächterexperten gemeinsam mit forsa für die aktuelle Untersuchung »E-Payment – Wie sicher sind unsere Daten beim Bezahlen im Netz?« durchgeführt haben. Wie die Analyse zeigt, sieht die Realität anders aus. Verbraucherwunsch und Wirklichkeit liegen hier teils weit auseinander.
So müssen Verbraucher etwa beim Anbieter PayPal 24 Minuten oder bei Amazon Pay 16 Minuten** Zeit aufbringen, um die Datenschutzerklärungen zu lesen. Bei allen untersuchten Datenschutzerklärungen erschweren sehr lange Sätze und Passivkonstruktionen die Verständlichkeit. Zudem bleiben viele Angaben zur Datenverwendung durch Formulierungen wie »möglicherweise« oder »unter anderem« unklar. Somit weiß der Nutzer nicht konkret, worauf er sich einlässt.
Hohes Sicherheitsniveau, aber viele Datenerhebungen
Die Sicherheit während des Bezahlprozesses ist gemessen an allgemeinen Web-Anwendungen hoch. Ein von den Marktwächterexperten in Auftrag gegebenes technisches Gutachten schätzt die Verschlüsselung zwischen dem Browser des Nutzers und den Servern der untersuchten Anbieter grundsätzlich als sicher ein.
Bei der Menge an erhobenen Daten zeichnet sich aber ein unterschiedliches Bild ab. »Je nach Bezahldienstleister werden bei Registrierung bzw. Bezahlvor- gang zwischen vier und 13 Einzeldaten erhoben«, erklärt Dr. Kirstin Dautzenberg von der vzb. Auch Tracking-Dienste werden von untersuchten Anbietern unterschiedlich eingesetzt: Während paydirekt nur einen externen Dienst nutzt, bindet Skrill insgesamt elf Dienste ein. Skrill verwendet vier seiner TrackingDienste auch nach dem Login – alle sind geeignet, personenbeziehbare Daten wie Nutzer- oder Konsumverhalten zu erheben.
Zu verbessern: der Umgang mit dem Recht auf Auskunft Gut acht von zehn Nutzern elektronischer Bezahldienstleister wollen über den Umgang mit ihren Daten informiert werden. Dies können sie durch das Recht auf Auskunft geltend machen.
Das Marktwächterteam hat nach Testkäufen bei allen sechs untersuchten Anbietern solche Auskunftsschreiben angefordert – mit durchwachsenem Ergebnis. »Es hat zwischen zwei und 62 Tagen gedauert, bis wir von den jeweiligen Anbietern eine Antwort erhalten haben. In einigen Fällen mussten wir mehrfach nachfragen, zweimal waren wir nicht erfolgreich«, erklärt Kerstin Dautzenberg. Beim Anbieter Skrill wurde das Ersuchen abgebrochen, weil für die Auskunft ein Entgelt verlangt wurde. Bei PayPal scheiterte die Anfrage daran, dass dem Unternehmen die Übersendung des datenschutzkonform geschwärzten Identitätsnachweises nicht ausreichte.
Mit Amazon Pay, giropay, paydirekt, PayPal, Skrill und SOFORT Überweisung haben die Marktwächter die sechs verbreitetsten Anbieter elektronischer Bezahlsysteme am deutschen Markt in den Blick genommen. Geprüft wurde, wie sicher das Bezahlen mit den jeweiligen Anbietern über den Web-Browser ist, wie datensparsam der Bezahlprozess gestaltet wird und wie verständlich und transparent die Dienste über die Verwendung der erhobenen Daten informieren.
Nachbesserungen gefordert »Wer in die Nutzung seiner Daten einwilligt, muss dies freiwillig tun«, erklärt Jutta Gurkmann, Geschäftsbereichsleiterin Verbraucherpolitik im Verbraucherzentrale Bundesverband (vzbv). »Das ist aber nicht der Fall, wenn Verbraucher in die weitere – zahlungsfremde – Nutzung ihrer persönlichen Daten einwilligen müssen, um einen Zahlungsdienst überhaupt verwenden zu können. Die europäische Datenschutz-Grundverordnung verbietet eine solche Kopplung.«
Zwar ist das Sicherheitsniveau relativ hoch. Dennoch besteht Nachholbedarf. »Einige EPayment-Dienste verlangen zum Zahlen die Kontozugangsdaten. Das ist durch die EU künftig erlaubt und reguliert. Verbraucher sind jedoch die Dummen, wenn sie diese Daten versehentlich Tätern und nicht anerkannten Diensten preisgeben«, führt Jutta Gurkmann weiter aus. »Die EU steht Verbrauchern daher in der Pflicht, mit Sicherheitsvorgaben diese Weitergabe kritischer Zugangsdaten zu unterbinden.«
* Die Angaben zur präferierten Lesedauer basieren auf einer OnlineBefragung vom forsa im Juli 2017 unter 2001 Nutzern elektronischer Bezahlverfahren ab 18 Jahren in Deutschland.
** Die durchschnittliche Lesedauer der Datenschutzerklärungen ergibt sich aus den Ergebnissen einer Verständlichkeitsanalyse und einer angenommenen Lesegeschwindigkeit von 250 Worten pro Minute.