Digital Life
06.08.2013

Kundenkarten entpuppen sich als Datenleck

Kundenkarten gehören im Handel mittlerweile zum Standardrepertoire. Vom Supermarkt über die Drogerie bis zur kleinen Bäckerei bieten fast alle Betriebe ihren Kunden die Treue-Ausweise an, die meist mit Vorteilen - etwa Sonderangeboten - verbunden sind. Die Schattenseite der Karten ist der oft mangelnde Datenschutz. Neben der Weitergabe der beim Beantragen der Karten gesammelten Informationen besteht auch die Gefahr, dass Dritte sich beim Verlust der Karten Zugang zu den Daten des Inhaber verschaffen.

Lorenz H. (Name der Redaktion bekannt) hat kürzlich seine Brieftasche verloren. Daraufhin meldete sich der Finder des Portemonnaies telefonisch bei dem jungen Mann und bot an, das verlorene Stück gegen einen Finderlohn zurückzugeben. Das Kuriose an der Sache war, dass sich in der Geldbörse kein Hinweis auf die Adresse oder Telefonnummer des Besitzers befunden hatte.

Auf Nachfrage beim Finder stellte sich heraus, dass dieser eine Kundenkarte der Firma Merkur verwendet hatte, um sich dort unter einem Vorwand die nötigen Informationen für eine Kontaktaufnahme zu beschaffen. Dazu gab sich der Anrufer einfach als Inhaber der Kundenkarte aus und erzählte, dass er umgezogen sei und seine frühere Adresse verloren habe. Daraufhin erhielt er alle nötigen Informationen für die Kontaktaufnahme.

Verbotene Auskunft
Die Weitergabe von Kundendaten an nicht berechtigte Personen ist eigentlich illegal. Auf Nachfrage sagt Merkur, man gebe keine Kundendaten heraus. Wenn sich ein Anrufer aber über Kundennummer oder Geburtsdatum identifizieren lasse, gebe es keine Möglichkeit festzustellen, ob er die Wahrheit sage. So sei wohl auch der Anrufer aus obiger Geschichte an die Daten gekommen. Die Verifikation der Identität über die Kundennummer ist offensichtlich komplett sinnlos, da der Finder einer Karte fast immer über diese Information verfügt.

Die futurezone hat daraufhin einen Test durchgeführt und mit 22 weiteren gängigen Kundenkarten von diversen Firmen versucht, an Adresse und Telefonnummer der Inhaber zu kommen. Dazu wurde vorgegeben, es sei eine Brieftasche mit der entsprechenden Karte gefunden worden und es bedürfe einer Herausgabe der Daten, um Kontakt mit dem Besitzer aufzunehmen.

18 Unternehmen haben sich gesetzeskonform verhalten und sich geweigert, die Informationen herauszugeben. In vier Fällen (IKEA, Eduscho, Richter, Kendl`s) war es möglich, eine Adresse oder Telefonnummer in Erfahrung zu bringen. Nun sind Adressen und Telefonnummern zwar keine besonders sensiblen Daten, die Herausgabe ist aber widerrechtlich.

Intransparente Richtlinien
"Die Informationen, die so gefunden werden können, sind meist nicht sonderlich heikel. Das Beispiel zeigt aber, wie einfach Daten gesammelt werden können. Es gibt auch für kommerzielle Datensammler Wege, mit wenig Aufwand an persönliche Informationen zu kommen", sagt Daniela Zimmer von der Arbeiterkammer Wien im Gespräch mit der futurezone.

Welche Informationen Unternehmen mit ihren Anträgen für Kundenkarten sammeln, ist unterschiedlich. Manche Firmen wollen weit mehr wissen, als bloß Name und Adresse. Untersuchungen von Konsumentenschützern fördern immer wieder zu Tage, dass Unternehmen oft eine Menge Daten sammeln, die sie eigentlich nicht brauchen.

"Deutsche Verbraucherschützer haben sich mit dem Thema beschäftigt und herausgefunden, dass es zu wenig Transparenz für die Kunden gibt. Firmen müssten eigentlich angeben, welche Daten für das Treue-Programm notwendig sind und welche nur zu Marketing-Zwecken gesammelt werden. Das ist aber oft nicht der Fall", so Zimmer. Zudem wird auf den Anträgen oft nicht genau angegben, was eigentlich gesammelt wird und was mit den Daten passiert.

Verräterische Einkäufe
"Eigentlich dürfen Daten nur mit Zustimmung der Konsumenten gesammelt werden. Mit der Freiwilligkeit ist es aber oft so eine Sache. Gerichte tendieren dazu, die Datensammlung auch dann als freiwillig anzusehen, wenn mehr Daten gesammelt werden, als eigentlich nötig wäre. Die Konsumenten hätten schließlich die Möglichkeit, auf die Teilnahme zu verzichten", erklärt Zimmer. Daten wie Alter, Geschlecht und andere sind für sich genommen wenig problematisch. "Werden die Informationen jedoch mit den Kaufgewohnheiten verknüpft, entsteht unter Umständen ein detailiertes Persönlichkeitsprofil. Wird dieses auch noch an Dritte weitergegeben, ist das problematisch", so die AK-Expertin.

Eine Weitergabe an Datenhändler braucht nicht einmal die Zustimmung der Kunden. "Hier gibt es lediglich ein Widerrufsrecht für Konsumenten. Nur bei einer Weitergabe an andere Firmen in derselben Branche müssen Unternehmen das explizite Einverständnis der Kunden einholen", sagt Zimmer. Die Weitergabe von Informationen an Datenhändler wird oft in den allgemeinen Geschäftsbedingungen versteckt.

Ersparnis überschätzt
Auf EU-Ebene wird im Zuge der neuen Datenschutzverordnung über eine Verschärfung der Bestimmungen nachgedacht. "Laut einem Entwurf soll in Zukunft die explizite Zustimmung der Kunden auf jeden Fall notwendig sein. Allerdings versuchen Lobbyisten in Brüssel bereits, den Vorschlag zu verwässern", so Zimmer. Für die Unternehmen sind die Kundenkarten also offensichtlich ein gutes Geschäft.

Die Vorteile, mit denen Kunden zur Teilnahme an Treue-Programmen bewegt werden sollen, werden oft überschätzt. "Solche Programme sind vorrangig Marketing-Tools. Der Verbraucher glaubt an die Vorteile, findet sich aber in einem werblichen Fangnetz. Oft werden dann Dinge erworben, die eigentlich gar nicht gebraucht werden", erklärt die Fachfrau von der Arbeiterkammer.

Mehr zum Thema

  • Wie man mehr aus NFC herausholt
  • "Handykreditkarte wird Plastik ersetzen"
  • Datenschutztag: "Viel Schatten, wenig Licht"
  • Deutschland: Millionen Bankdaten für Kundenanalysen verwendet