Es ist ein einfaches, aber perfides Geschäftsmodell: Der EC-Netzbetreiber easycash wollte Daten zur Kreditwürdigkeit von bis zu 50 Millionen deutschen EC-Kartenbesitzern an Versicherungen, Telekommunikationsfirmen und Inkassounternehmen verkaufen. Gesammelt hatte der Branchenprimus diese Daten an etwa 250.000 von ihm betriebenen Kassen in Supermärkten, Baumärkten und Tankstellen. Jede Zahlung mit der EC-Karte hätte so womöglich mitentschieden, ob ein Versicherungs- oder Handyvertrag zustande kommt und zu welchen Konditionen. "Schufa hoch zehn", sagt der Verbraucherschutz dazu, Datenschützer sind entsetzt. Das Geschäftsmodell wurde zwar im Zuge einer Diskussion um den Datenschutz bei der EC-Karte im vergangenen Jahr fallen gelassen. Angestoßen wurde diese Diskussion durch Berichte von NDR Info.
Von Peter Hornung und Jürgen Webermann, NDR Info
Die Firma easycash ist Marktführer in der Branche der EC-Netzbetreiber.
Deutschlands größter EC-Netzbetreiber easycash hatte weitaus umfangreichere Pläne zur Nutzung der Daten von bis zu 50 Millionen EC-Kartenbesitzern als bisher bekannt. Das Unternehmen aus Ratingen bei Düsseldorf hatte nach Recherchen von NDR Info Erkenntnisse über die Zahlungsfähigkeit von Kontoinhabern gesammelt, die es über Monate hinweg als "einzigartige Datenbasis, preiswert und tagesaktuell" anbot.
In einer Präsentation von easycash sind als potenzielle Kunden unter anderem Inkassounternehmen, Versandhandel, Versicherungen und Telekom-Firmen genannt. Bekannt war bisher lediglich, dass easycash Daten zur Bonität von Millionen Kartenbesitzern gesammelt hatte, um sie für eigene Zwecke zu nutzen. Eine Weitergabe an Dritte hatte die Firma im vergangenen Jahr vehement bestritten. Nachdem NDR Info über die Datensammlung berichtet hatte, betonte ein Mitglied der easycash-Geschäftsführung in der "Tagesschau" vom 23. September 2010: "Es werden keine personenbezogenen Daten weitergegeben, was wichtig ist hier zu sagen, und es werden auch keine Daten an dritte Unternehmen weitergegeben."
Easycash-Geschäftsführer Christoph Pfeifer räumte allerdings im Interview mit dem Norddeutschen Rundfunk ein, dass es doch Verträge mit anderen Unternehmen gegeben habe. Easycash habe das Vorhaben jedoch bereits im Juni 2010 fallengelassen, so Pfeifer im vergangenen Dezember: "Hintergrund für diese Einstellung war die aufkommende öffentliche Diskussion um den Datenschutz im Lastschriftverfahren." Eine Diskussion, die durch Berichte von NDR Info angestoßen worden war. Am Mittwoch jedoch nannte Pfeifer einen anderen Grund in einer schriftlichen Stellungnahme: Die "Pilotphase" des Projektes sei "nicht zufriedenstellend" verlaufen, deshalb habe man "die Vermarktung bereits im Mai 2010 eingestellt". Zuvor hatte er bereits erklärt, seine Firma habe zuvor nach "Strategien zur Ausweitung des Geschäftsmodells" gesucht und deshalb mit der Vermarktung der als "Risikoindex" bezeichneten Datensammlung begonnen, so Pfeifer. Die Umsatzerwartungen seien jedoch zunächst niedrig gewesen: "Wir wollten bei Weitem keine Million Euro Umsatz machen, sondern deutlich unter einer halben Million. Tatsächlich haben wir 8.120 Euro an Umsatz erzielt."
Easycash-Geschäftsführer Pfeifer sagte am Mittwoch, es sei "definitiv unwahr", dass easycash "Daten, die eine Einordnung des Kundenkaufverhaltens ermöglichen, an andere Unternehmen zur weiteren Nutzung übergeben habe". Gleichwohl bestätigte Pfeifer erstmals öffentlich, dass seine Firma nicht nur Verträge geschlossen hatte, sondern tatsächlich auch Daten geliefert habe. Auch der vom NDR erweckte Eindruck, eine weitere Nutzung der Daten "hätte ohne Wissen der Betroffenen stattfinden können", sei falsch, so Pfeifer: "Die Unternehmen, die diese Daten empfangen haben, wurden von easycash vertraglich verpflichtet, jeden einzelnen Kunden über die Datennutzung zu informieren. Es konnte also keine Nutzung der Daten ohne Wissen des jeweiligen Kunden von statten gehen." Eine Sprecherin des nordrhein-westfälischen Landesdatenschutzbeauftragten widersprach jedoch: "Das reicht nicht", sagte sie, eine datenschutzrechtliche Einwilligung hätte auch so nicht zustande kommen können.
In dem NDR Info vorliegenden 28-seitigen Papier wirbt easycash mit einer Datensammlung von "50 Millionen bekannten Bankverbindungen", pro Monat erfasse das Unternehmen "37,5 Millionen Transaktionen". Easycash bietet darin "aktuelle Verhaltensdaten zur Steuerung von Transaktionsrisiken" an, die auch zur "Antragsentscheidung", "Beitreibung" von Zahlungsforderungen oder zur "Bestandskundenüberwachung" nutzbar seien. Die Firmenkunden könnten so "Aufwände für alternative Auskunftei-Produkte" reduzieren.
Kundendaten, die beim Lastschriftverfahren mit der EC-Karte gespeichert werden, dürfen nicht weitergegeben werden.
Nicht erstaunlich, dass Daten- und Verbraucherschützer sich entsetzt zeigten, als NDR Info ihnen das easycash-Papier vorlegte. "Wir haben ja schon immer vermutet, dass die Sammlung von Daten über Zahlungsverkehr sehr gefährlich ist", so Edda Castello von der Hamburger Verbraucherschutzzentrale. "Hier wird aber sein gesamtes Zahlungsverhalten bis ins Kleinste hinein registriert und eben auch interessierten Firmen bereitgestellt. Das ist im Grunde eine 'Schufa hoch zehn'." Hinzu komme, so Castello weiter, "dass der Kunde hier völlig hilflos ist. Er weiß gar nicht, wer was wie über ihn gespeichert hat und aus welchen Quellen mögliche Reaktionen von Firmen kommen, mit denen er nun Verträge eingehen möchte." Wenn dieses System angeboten werde und interessierte Firmen es tatsächlich auch nutzten, "dann muss ich damit rechnen, als Kunde wirklich extrem gläsern zu werden".
Aus datenschutzrechtlicher Sicht sei das easycash-Geschäftsmodell schlicht verboten, sagt auch der für easycash zuständige NRW-Datenschutzbeauftragte Ulrich Lepper: "Solche Daten, die dem Unternehmen zur Abwicklung von Zahlungsgeschäften anvertraut worden sind, gehören nicht in die Hände Dritter. Das sind sensible Daten. Die Kunden erwarten, dass diese Daten nicht weitergegeben werden."
Der Hamburger Datenschutzexperte und Rechtsanwalt Dr. Philipp Kramer kommt nach Prüfung der Unterlagen zu dem Schluss, dass "das Geschäftsmodell die Verquickung von Bezahldaten mit künftigen Zahlungswahrscheinlichkeiten" sei: "Es geht also darum herauszufinden, ob eine bestimmte Person künftig gut bezahlen wird oder weniger gut." Für viele Unternehmen seien das interessante Informationen: "Immer dann, wenn sie ein Geschäft abschließen wollen, bei dem der Verkäufer in Vorleistung geht. Wenn sie also im Versandhandel ein Produkt verkaufen, wenn es um ein Versicherungsprodukt geht, dann geht es immer darum, dass Vertrauen gegeben werden muss. Und dieses Vertrauen kann ich natürlich prüfen, indem ich die Zahlungswahrscheinlichkeiten, das vergangene Zahlungsverhalten einer Person anschaue."
Damit würden nach Kramers Ansicht jedoch "datenschutzrechtlich Grenzen" überschritten - mit Folgen für den einzelnen Kunden, der jedes Mal, wenn er die Karte einsetze, überlegen müsse: "Sie können sich weiter frei entscheiden. Sie müssen allerdings bedenken, dass selbst die Auswahl eines Supermarktes im Rahmen einer Datenverwendung zu einem Zahlungsurteil führen kann. Einfach gesprochen und auf die Spitze getrieben: Wenn Sie zu Penny gehen, könnte man sagen, Sie sind eher ein Käufer, der auf günstige Produkte abzielt und damit nicht so ein hohes Einkaufsbudget hat."
Das nun kritisierte Geschäftsmodell sei "unter strikter Beachtung der Vorgaben des Bundesdatenschutzgesetzes konzipiert" worden, betonte inzwischen ein easycash-Sprecher. Zudem sei es im September 2009 beim Landesdatenschutz NRW "ordnungsgemäß angezeigt" und dort "nicht beanstandet" worden. Behördensprecherin Bettina Gayk allerdings widerspricht: "Die Aufnahme in das Melderegister bestätigt nicht die Rechtmäßigkeit des Verfahrens." Das habe man der Firma auch so mitgeteilt.
Bis vor wenigen Tagen fanden sich übrigens im Internet noch Spuren des easycash-Angebots. Die Preisliste eines bayerischen Unternehmens vom November 2010, in der die Nutzung des "Risikoindex" von easycash angeboten wurde, war noch online. "Es scheint sich schlicht um ein Versehen beziehungsweise ein Versäumnis" zu handeln, so ein Sprecher von easycash. Dem "Kooperationspartner" sei "die endgültige Einstellung des Pilotprojekts" bereits Monate zuvor mitgeteilt worden.
