Rede: Datenschutz und Datensicherheit in der digitalisierten Welt - Forderungen an die Politik

Sehr geehrte Damen und Herren,

ich freue mich, Sie alle hier heute begrüßen zu dürfen, und freue mich auf einen spannenden Austausch zum Thema „elektronisches Bezahlen“ oder e-Payment.

Wir alle kennen das Thema des heutigen Tages nur zu gut. Denn ich würde tippen, dass niemand hier in diesem Raum sitzt, der oder die nicht schon einmal elektronische Bezahlverfahren genutzt hat. Denn es ist ja überaus praktisch, online nicht per Rechnung oder Lastschrift zu zahlen, sondern direkt über elektronische Dienste. Das wird auch von unserer Untersuchung unterstrichen: 77 Prozent der deutschen Online-Käufer zahlten in der Vergangenheit bereits via elektronischer Bezahlverfahren.

Doch elektronisches Bezahlen ist nicht gleich elektronisches Bezahlen. Es ist heute für den durchschnittlich gut informierten Verbraucher nahezu unmöglich, die unterschiedlichen Verfahren und Vertragsdetails zu durchblicken. Denn wer kennt schon die Unterschiede zwischen:

• elektronischen Zahlungsauslöse- und Initialisierungsverfahren (wie etwa SOFORT Überweisung, giropay oder paydirekt),
• nutzerkontoabhängigen Verfahren, die eine elektronische Geldbörse offerieren, (wie Amazon Payment oder Google Wallet)
• oder nutzerkontounabhängigen Verfahren, die eine anonyme Zahlung gewährleisten (wie etwa paysafecard oder barzahlen.de)?

Und so finde ich es nachvollziehbar, dass sich beim elektronischen Bezahlen leise Zweifel zu Wort melden: Sind meine Daten und ist mein Geld wirklich sicher? Was macht der Anbieter mit meinen Daten? Gerade bei so sensiblen Bereichen wie den persönlichen Finanzen ist das ein zentraler Punkt.

Das Frühwarnnetzwerk der Verbraucherzentralen und des vzbv zeigt seit seinem Start im März 2015 einen Schwerpunkt von Verbraucherbeschwerden auf den Bereich Finanzdienstleistungen. Auch wenn hier digitale Anbieter derzeit noch ein Nischenmarkt sind, ist es umso wichtiger, dass sich der Marktwächter Digitale Welt gemeinsam mit den Kolleginnen und Kollegen vom Marktwächter Finanzen diesem wichtigen Zukunftsthema angenommen hat und einen Überblick über diesen dynamischen Markt geschaffen hat. So wurden in einer ersten Untersuchung im Frühjahr 2017 elf zum Teil neue, zum Teil schon etablierte Anbieter identifiziert und in einer zweiten Untersuchung, die heute veröffentlicht wurde, wurden die sechs aktivsten Dienstleister einer detaillierten Prüfung unterzogen.

Die Untersuchung von elektronischen Bezahlverfahren zeigt ein Kernergebnis, das wir in ähnlicher Form auch in anderen Märkten sehen: Sowohl bei Nutzern als auch Nichtnutzern elektronischer Bezahlverfahren gibt es Bedenken in Bezug auf ihren persönlichen Datenschutz und die Sicherheit ihrer Daten.

Ein Drittel der Nichtnutzer von elektronischen Bezahlverfahren schätzt das Datenschutzniveau als zu „unsicher“ ein. Auch ist es der Unwille, „persönliche Daten offenzulegen“, die einen Teil der Online-Käufer dazu bewegen, elektronische Bezahlverfahren grundsätzlich zu meiden. Das gilt insbesondere für ältere Verbraucher.

Blicken wir auf die Nutzer von elektronischen Bezahlverfahren: Ein erheblicher Teil hat Vorbehalte hinsichtlich der Verarbeitung ihrer personenbezogenen Daten. Jeder dritte Nutzer würde das Bezahlverfahren ablehnen, wenn er oder sie sicher wüsste, dass seine personenbezogenen Daten zur Erstellung eines Käuferprofils oder zur Personalisierung von Preisen und Werbung genutzt würden. Zwei Drittel der Befragten wünschen sich mehr Mitbestimmung in Bezug auf den Umgang mit ihren Daten.

Unsere Untersuchung zeigt auch, dass diese Unsicherheit und der Mangel an Vertrauen in digitale Zahlungsdienstleister durchaus gerechtfertigt sind, wie die Marktwächter-Analyse von Vertrags- und Datenschutzbestimmungen beim e-Payment zeigt. Hierauf wird Frau Dr. Dautzenberg im Anschluss noch detaillierter eingehen.

Diese berechtigten Unsicherheiten und Bedenken spiegeln ein zentrales Problem in der digitalisierten Welt: Welche Daten der Verbraucher werden beim Kauf von Produkten erhoben? Was passiert mit diesen Daten? Kurz: Sind meine Daten sicher? Diese Fragen sind für Verbraucher vielfach nicht zu erfassen. Sie werden von Unternehmen oft intransparent dargestellt, obwohl Verbrauchern Transparenz und Erfassbarkeit wichtig sind.

Damit steht der Bereich Electronic Payment beispielhaft für zahlreiche weitere Entwicklungen und Themen, die der Marktwächter Digitale Welt bereits untersucht hat und die auch im Marktwächter Finanzen eine Rolle spielen.

So zeigte eine Untersuchung der VZ Nordrhein-Westfalen im Rahmen des Markt-wächters Digitale Welt, dass bei vielen Wearables und Fitness-Apps Datenschutz und Datensicherheit mangelhaft sind. Bei fast allen untersuchten Fitness-Apps werden zahlreiche Nutzerdaten, darunter auch Gesundheitsdaten, an die Anbieter verschickt. Technische Daten – wie etwa das Betriebssystem des Smartphones – werden bei den meisten Apps bereits an Drittanbieter gesendet, bevor Verbraucher überhaupt den Nutzungsbedingungen zustimmen und über den Umgang mit ihren Daten informiert werden konnten. 10 von 12 untersuchten Wearables sind nicht geschützt vor ungewollter Standortverfolgung. Die Bedenken der Verbraucher waren also mehr als gerechtfertigt. Neun Anbieter hat die Verbraucherzentrale NRW inzwischen abgemahnt, darunter namhafte Anbieter wie Apple, Fitbit, oder Runtastic. In einer Nachfolgeuntersuchung, die am 22. November veröffentlicht werden, werten die Marktwächterexperten aus, wie die Anbieter mit Auskunftsersuchen der Verbraucher umgehen.

Die Experten der VZ Hamburg haben im Marktwächter Finanzen im vergangenen Jahr den Informationsgehalt von Standmitteilungen bei Kapitallebensversicherungen untersucht und Transparenzdefizite aufgedeckt. Jede vierte Standmitteilung enthielt nicht alle gesetzlich geforderten Daten. Mehr als die Hälfte der Anbieter erfüllte nicht den Grundstandard für einen solchen jährlichen Kontoauszug einer Lebensversicherung, wie ihn etwa die Musterstandmitteilung des Branchenverbandes GDV als Selbstverpflichtung vorsieht. Kein Anbieter erfüllte die Wunschvor-stellung der Marktwächter in der Untersuchung.

Der GDV zeigte sich daraufhin gesprächsbereit und ergänzte seine Muster-Standmitteilung. Auch die Politik erkannte Regelungsbedarf. In der Vermittlerrichtlinie IDD werden für Standmitteilungen jetzt Mindestangaben vorgeschrieben, die für Neuverträge dem Leitstandard der Marktwächter-Untersuchung entsprechen.

Auch wenn diese Beispiele nicht eins zu eins übertragen werden können auf den Bereich e-Payment: Es zeigt, wie Erkenntnisse der Marktwächter helfen können, einen Missstand aus Verbrauchersicht – etwa mangelnde Transparenz oder verbraucherschädigende Vertragsklauseln – abzustellen und wie wertvoll der Austausch zwischen Verbraucherschutz, Wirtschaft und Politik sein kann.

Einen solchen Austausch- und Diskussionsbedarf sehen wir auch bei elektronischen Bezahldiensten. Das Team des Marktwächters Digitale Welt der Verbraucherzentrale Brandenburg hat die sechs am Markt aktivsten Bezahldienstleister¹ untersucht:

Technische Sicherheitsmaßnahmen bei der Bezahlung im Web-Browser wurden in den Blick genommen und hinsichtlich möglicher Schwachstellen durchleuchtet. Auch hinterfragten die Marktwächter-Experten aus Brandenburg die Einhaltung des Prinzips der Datensparsamkeit und ermittelten, wie transparent und verständlich elektronische Bezahldienstleister über die Verwendung von Verbraucherdaten informieren. Ferner zeigen Auskunftsverlangen den Umgang der Dienstleister mit den Nutzern und deren Daten. Diese Untersuchung wird heute veröffentlicht und konstatiert teilweise bedenkliche Mängel und Probleme in Bezug auf Datensparsamkeit, Transparenz und Datensicherheit.

Ich möchte die aus unserer Sicht wichtigsten vier Punkte hervorheben:

Erstens: Es werden mehr Daten erhoben als für den Dienst notwendig: Die Anbieter agieren überwiegend nicht „datensparsam“. Sie erheben zusätzliche Daten, die zur Abwicklung des reinen Online-Kaufes oder zur Einhaltung von Sicherheitsaspekten nicht notwendig sind.

Zweitens: Nutzer können mit Hilfe bestehender Datenschutzerklärungen nicht er-kennen, was mit ihren Daten geschieht. Im Fall von PayPal benötigt man beispielsweise ca. 24 Minuten zum Lesen der Datenschutzerklärung. Dabei noch nicht berücksichtigt: die 48-seitige Aufzählung Dritter, an die Daten weitergeleitet werden.

Drittens: Verbraucher wünschen sich etwas anderes, als die Realität widerspiegelt: Verbraucher wollen kurze, einseitige Datenschutzerklärungen, die innerhalb von fünf Minuten lesbar sind, und ein Format mit aktiver Wahl bzw. Abwahl von Einzel-daten durch die Nutzer. Hinsichtlich der Datenpreisgabe besteht der Wunsch, so wenig wie möglich Daten preiszugeben bzw. nur solche, die tatsächlich für die Ausführung des Dienstes notwendig sind.

Viertens: Das Sicherheitsniveau der untersuchten elektronischen Bezahldienstleister ist gemessen an allgemeinen Web-Anwendungen hoch. Bei Phishing-Attacken gibt es jedoch keinen durchgängig wirksamen Schutz.

Damit Verbraucher die Vorteile elektronischer Bezahlsysteme nutzen können, sind Politik und Behörden gefordert. Es müssen bessere Rahmenbedingungen für eine datenschutzkonforme und sichere Nutzung geschafft werden. Auch muss die Ein-haltung bestehender Regeln überwacht werden.

Der vzbv hat daher drei zentrale politische Forderungen um den e-Payment-Markt verbraucherfreundlicher zu gestalten:

Zum einen darf digitales Zahlen nicht davon abhängen, dass Verbraucher eine Einwilligung in die weitere – auch zahlungsfremde – Nutzung ihrer Daten geben müssen. Der vzbv fordert von den Aufsichtsbehörden, bei Zahlungsvorgängen Einwilligungen in eine weitere Datennutzung zu unterbinden. Dieses so genannte Kopplungsverbot besagt eindeutig, dass die Erfüllung eines Vertrags nicht von der Einwilligung in eine Datenverarbeitung abhängig gemacht werden darf, die für die Vertragserfüllung gar nicht erforderlich ist.

Grundlage dafür sind die Vorgaben der ab Ende Mai 2018 geltenden Datenschutz-Grundverordnung, die besagt: Wer in die Nutzung seiner Daten einwilligt, muss dies freiwillig tun. Von dieser Freiwilligkeit ist nicht mehr auszugehen, wenn die Zustimmung zur Datenverwendung in einem Umfang eingefordert wird, der für die Erfüllung des Vertrages, also etwa der Abwicklung einer Zahlung, gar nicht erforderlich ist.

Ein Dienst, der eine Zahlung auslöst, benötigt die dafür selbstverständlich die erforderlichen Daten. Also neben den Kontonummern, dem Betrag und der Währung auch den Verwendungszweck zur Zuordnung der Zahlung und eine Rückmeldung, ob die Buchung erfolgreich ausgelöst werden konnte. Ein Dienst benötigt aber nicht den Zugriff auf den Kontostand oder welche Transaktionen ein Verbraucher ansonsten noch getätigt hat.

Weiterhin müssen Einwilligungserklärungen zur Verwendung von Daten beim Bezahlen in besonderem Maße klar verständlich, vollständig und trotzdem kurz sein (Artikel 12 Absatz 1 DSGVO). Das ist ein sehr klarer Wunsch von Verbrauchern an e-Payment-Dienstleistungen. Dazu sollte die EU-Kommission auf den Gebrauch von einheitlichen Bildsymbolen im Sinne der Datenschutzgrundverordnung (Artikel 12 Absatz 7) hinwirken.

Und zu guter Letzt müssen die EU-Kommission und die Mitgliedstaaten schnellstens dafür sorgen, dass Verbraucher nicht immer ihre Zugangsdaten zum Online-Banking verwenden müssen, wenn sie neu zugelassene kontobezogene Dienste nutzen wollen. Dafür müssen jetzt die richtigen Voraussetzungen in den technischen Sicherheitsvorschriften gesetzt werden, damit sichere Schnittstellen den bisherigen Zugriff der neuen Dienste über das Online-Banking dauerhaft ablösen werden.

Es müssen technische Schnittstellen entwickelt werden, bei denen Verbraucher den Zugriff auf ihr Konto mit steuern und beschränken können (etwa wie bei Apps, wo wir heute auswählen können, auf welche Telefondienste und Daten eine spezifische App zugreifen darf). So breite Zugriffsrechte auf Konten von Verbrauchern ist nicht förderlich für ihr Vertrauen. Denn Kontodaten erlauben einen umfassen-den Einblick nicht nur in die wirtschaftlichen Verhältnisse eines Verbrauchers.

e-Payment-Dienstleistungen können einen großen Nutzen für Verbraucher haben. Um langfristig Erfolg auf dem Markt zu haben, müssen Unternehmen noch stärker den Anforderungen von Verbrauchern genügen und ihre Erwartungen erfüllen. Dazu gehören datensparsame Dienste, klare Information und eine klare Abgrenzung zwischen e-Payment-Diensten und dem persönlichen Onlinekontos von Verbrauchern.

Ich wünsche Ihnen und uns eine gute Diskussion!

Es gilt das gesprochene Wort.

¹ Amazon Pay, giropay, paydirekt, PayPal, Skrill und SOFORT Überweisung