Datenschützer warnt vor Geldkarten mit Funkchips

Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert hat Versuche, die NFC-Technik in EC- und Kreditkarten sicher zu gestalten, als "frustrierend" bezeichnet. Auch sonst würden IT-Verfahren oft ohne Einsicht in Gefahren eingeführt.

In Pocket speichern vorlesen Druckansicht 129 Kommentare lesen
Lesezeit: 3 Min.

Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert hat alle bisherigen Versuche seiner Behörde, den Einsatz von Funktechnik in EC- und Kreditkarten datenschutzkonform zu gestalten, als "frustrierend" bezeichnet. "Es werden bundesweit Karten ausgegeben, die problematisch und damit nicht im Ansatz zukunftssicher sind", klagte der Leiter des Unabhängigen Landeszentrums für Datenschutz (ULD) anlässlich der Vorstellung des Tätigkeitsberichts seiner Behörde für 2011 bis 2013 am Dienstag. Die verwendeten Chips könnten "mit einfachen Mitteln ausgelesen werden" und böten keinen ausreichenden Schutz vor Missbrauch.

Sparkassen haben Mitte vergangenen Jahres begonnen, die Geldkartenfunktion bei Girocards mit der NFC-Technik (Near Field Communication) aufzurüsten. Kunden soll es diese erlauben, kleine Einkäufe oder Tickets kontaktlos durch das Halten an ein Lesegerät zu bezahlen. Der Kommunikationsweg selbst scheine zwar ausreichend abgesichert zu sein, schreibt das ULD. Die Informationen, wann ein Karteninhaber wo kontaktlos eingekauft hat, lägen aber weitgehend offen. Ausgelesen werden könnten unter anderem Protokolle der letzten drei Ladevorgänge sowie der letzten 14 Transaktionen. Der Abruf dieser Informationen werde durch die Karte selbst nicht protokolliert.

Das ULD bemängelt weiter, dass die Banken noch keine vollständige Technikfolgenabschätzung vorgelegt hätten. Die verantwortlichen Stellen könnten so nach wie vor keine verbindliche Datenschutzkonzeption vorweisen. Kunden würden von den Finanzinstituten zwar darauf hingewiesen, dass sie die NFC-Schnittstelle selbst deaktivieren könnten. Selbst dann bleibe aber die eindeutige Kartennummer auslesbar. Die Banken müssten ihr Angebot schnellstmöglichst um ein explizites Opt-in und eine Löschmöglichkeit erweitern

Für unzulässig hält die Behörde auch die beim Elektronischen Lastschriftverfahren im Hintergrund durchgeführte Online-Überprüfung. Kunden müssten zumindest darüber in Kenntnis gesetzt werden, welche persönlichen Informationen zu welchem Zweck verarbeitet werden.

Insgesamt kritisiert das ULD, dass Unternehmen und Behörden "ohne Einsicht in die Gefahren für das Persönlichkeitsrecht und teilweise unter bewusster Inkaufnahme dieser neuen Risiken" IT-Verfahren einführten. Dies gelte für die Videoüberwachung, das "immer exzessiver genutzte Internet-Tracking", das sich rasant ausbreitende Online-Fernsehen (IPTV) oder für das schon weltweit etablierte, "aber bisher nicht ansatzweise datenschutzkonforme Cloud Computing".

Die Deutsche Telekom etwa sammle über ihren "Entertain"-Dienst Nutzerdaten zum Fernsehkonsum. Daraus könnten unter anderem Rückschlüsse auf Hobbys, Interessen, Lebensgewohnheiten sowie politische Anschauungen gezogen werden. Profile dürften aber nur pseudonymisiert und nur dann erstellt werden, wenn der Nutzer nicht widerspreche. Dies setze eine klare Information über das Bestehen eines Widerspruchsrechts sowie ein leicht handhabbares Verfahren zu seiner Ausübung voraus, was dem Bonner Konzern "nicht gelungen" sei. (vbr)