Kritik am Datenschutz beim Bezahldienst sofortüberweisung.de

Der Online-Bezahldienst sofortüberweisung.de ist wegen seiner Datenschutzpraxis ins Visier von Verbraucher- und Datenschützern geraten. Der von der Firma Payment Network betriebene Dienst verschaffe sich einen umfangreichen Überblick über die Bankkonten von Kunden, ohne diese ausführlich darüber zu informieren, berichtet das Radioprogramm NDR Info. Außer dem Kontostand würden noch weitere Daten über das Online-Banking abgefragt.

Der NDR beruft sich dabei auf Auswertungen von Zahlungen über sofortüberweisung.de, bei denen außer dem Kontostand auch die Umsätze der letzten 30 Tage, der Dispokredit, die Stände anderer Konten bei der gleichen Bank oder ausgeführte und vorgemerkte Auslandsüberweisungen abgefragt wurden. Auch der c’t-Redaktion liegen Protokolle aus anonymer Quelle vor, die darauf hindeuten, dass der Bezahldienst HBCI-Befehle nutzt, mit denen sich Informationen und Umsätze mehrerer Konten abfragen lassen. Als weiteren Beleg führt der NDR einen zwei Jahre alten Bericht von c’t an. Damals hatte sofortüberweisung.de bei einem Test die Zahlung nicht vom angegebenen Girokonto, sondern von einem Tagesgeldkonto des Testers ausgeführt.

Georg Schardt vom Vorstand von Payment Network, dem Betreiber von sofortüberweisung.de, stellt klar: Die Software von Sofortüberweisung berechne nur den Verfügungsrahmen des Kontos, das für die Zahlung angegeben wurde. Das geschehe automatisiert während des Zahlungsvorgangs. Dieser Vorgang sei vergleichbar mit einer EC-Kartenzahlung mit PIN, wo ebenfalls der Verfügungsrahmen geprüft wird und nur bei einer entsprechenden Kontodeckung eine Zahlung möglich ist. Offene Überweisungen zum Zeitpunkt der Transaktion werden in die Berechnung einbezogen.

Außerdem prüfe das System in etwa 30 Prozent der Fälle, ob vorausgegangene Zahlungen mit sofortüberweisung.de verbucht wurden, um systematischen Betrug auszuschließen. Payment Network habe dieses Verfahren bereits im Januar 2011 mit dem bayerischen Landesamt für Datenschutzaufsicht besprochen, das es für datenschutzrechtlich vertretbar halte. Die Behörde habe lediglich zu einem deutlicheren Hinweis zur Prüfung auf vorangegangene Sofortüberweisungen in den Datenschutzhinweisen geraten.

Den Fehler bei der Überweisung im Test von c’t erklärt Payment Network als Schnittstellenfehler. Dies sei ein Einzelfall gewesen, der umgehend behoben wurde. Payment Network habe das Programm optimiert, damit so etwas nicht mehr passieren kann. Das Unternehmen betont, dass alle Abfragen automatisch und ohne menschliches Zutun erfolgten. Der Verfügungsrahmen oder zurückliegende Umsätze würden nicht gespeichert, sondern nur Name, Bankleitzahl, Kontonummer, Verwendungszweck, Betrag und Datum der Überweisung. Man nehme den Bericht des NDR aber zum Anlass, die Datenschutzhinweise noch eindeutiger zu formulieren.

Hier sehen auch Verbraucherschützer Handlungsbedarf. Frank-Christian Pauli, Finanzexperte des Verbraucherzentralen-Bundesverbands, erklärte gegenüber dem NDR, die Mehrzahl der Verbraucher könne sicher nicht verstehen, was mit den Angaben, die der Dienst bislang macht, gemeint sei. Vor Eingabe von PIN und TAN erfährt man nur, sofortüberweisung.de prüfe „den Verfügungsrahmen“. Nur wer die Datenschutzhinweise liest, findet heraus, dass eine „Kontodeckungsabfrage“ in Auftrag gegeben wird. Die Datenschutzhinweise des Zahlungsdienstes seien nicht verbraucherfreundlich formuliert, meint Pauli. Die Formulierungen ließen nicht nachvollziehen, welche Möglichkeiten dem Zahlungsdienst eingeräumt werden. (ad)