Erfolgsfaktoren für Prepaid-Karten in Europa - HAMMERSENs

Empfehlungen

Info

6 www.b-b-hamburg.de, Nr. 12, 16. Dezember 2009 Visa Europe: Erklärung zum Daten-Leck Zu der Warnmeldung über einen möglichen Diebstahl von Kreditkartendaten bei einem spanischen Processingunternehmen hat Visa Europe am 20. November eine Erklärung in englischer Sprache veröffentlicht. Hier die deutsche Übersetzung der SOURCE-Redaktion: Vor einigen Wochen hat Visa Europe eine Warnmeldung an seine Mitgliedsbanken herausgegeben, um sie über eine potenzielle Kompromittierung von Kartendaten mit Ursprung in Spanien zu informieren. Dies war eine vorbeugende Warnung, die wir herausgeben, wenn kein aktueller Fall bestätigt ist aber die Informationen, die wir analysieren, darauf hindeuten, dass es ein Problem geben könnte. Gleichzeitig hat Visa gemeinsam mit spanischen Banken und Zahlungsabwicklern weitere Untersuchungen eingeleitet. Dieser Prozess schließt kriminaltechnische Analysen der Zahlungssysteme in Spanien ein. Bis heute wurde kein Einbruch in die Systeme gefunden. Die Daten, die Visa vorliegen, zeigen weiterhin keine signifikante Steigerung des Kartenmissbrauchs in Deutschland oder einem anderen europäischen Markt als direkte Folge des vermuteten Daten-Lecks in Spanien. Unsere Mitgliedsbanken entscheiden auf der Basis ihrer eigenen Kriterien im Risiko-Management, ob sie ihre Karten intensiver beobachten oder ob sie potenziell gefährdete Karten sperren und neue Karten an die Kunden ausgeben. Europäische Banken, die EMV- Chipkarten ausgeben, könnten aufgrund des niedrigeren Risikos entscheiden, keine Karten zu ersetzen. Banken, die reine Magnetstreifenkarten ausgeben, könnten aufgrund ihres höheren Risikos eher dazu tendieren, ihre Karten zu ersetzen. Karteninhaber, die unschuldig zu Opfern von Kartenmissbrauch werden, bekommen ihr Geld zurück. Die Karteninhaber sollten aber wie immer ihre Kartenabrechnungen genau prüfen und jeden ungewöhnlichen oder unerwarteten Vorgang ihrem Kartenherausgeber melden. Deutsche Kreditwirtschaft hat umgehend reagiert Zu den Umtauschaktionen von Kreditkarten wegen des Verdachts einer Datenlücke bei einem spanischen Datenprozessor erklärte der Zentrale Kreditausschuss (ZKA) am 19. November 2009: „Die deutsche Kreditwirtschaft hat auf die Warnmeldung von Visa und MasterCard hinsichtlich eines möglichen Diebstahls bei einem spanischen Unternehmen von Kreditkartendaten deutscher Kunden umgehend reagiert. Die als potenziell gefährdet gemeldeten Karten werden durch die deutschen Banken und Sparkassen kostenlos umgetauscht. Dieser Austausch ist weitgehend abgeschlossen. Es handelt sich hierbei vorrangig um eine Vorsichtsmaßnahme und einen Routinevorgang. Bis zum Eintreffen der neuen Karten können die Kunden ihre alten weiterhin nutzen. Dazu haben alle deutschen Banken und Sparkassen die Überwachung der betroffenen Karten deutlich verschärft, was eventuelle Missbrauchsmöglichkeiten weiter einschränkt. Wichtig: Sollten den Kunden Schäden aus diesen Manipulationen entstanden sein, haften sie wie gewöhnlich dafür nicht. Die Maßnahmen der deutschen Kreditwirtschaft sind vorwiegend präventiv und dienen dazu, einem eventuellen Missbrauch der Daten entgegen zu wirken. Weitere Sicherheitstipps gibt es auch im Internet unter www.kartensicherheit.de.“ KOMMENT OMMENT OMMENTAR OMMENT AR Informations- statt Sicherheitslücke Der vermutete kriminelle Abgriff von Kreditkartendaten in Spanien hat hohe Wellen geschlagen. In Deutschland griffen fast sämtliche Tages- und Wirtschaftszeitungen, Nachrichtenagenturen sowie Fernseh- und Radiosender das Thema auf. Nicht wenige Journalisten kamen bei ihrer Recherche zunächst zu dem Ergebnis, es müsse sich um einen Daten-Skandal oder gar -GAU handeln. Dies deutet darauf hin, dass es sich eher um eine Informations- als um eine Sicherheitslücke handelt. Denn die Warnmeldungen von MasterCard und Visa zeigen doch gerade das Gegenteil: Die Systeme sind so sicher, dass sie schon bei kleinsten Unregelmäßigkeiten Alarm schlagen. Und die Forderung des Verbraucherzentrale Bundesverbandes (vzbv) nach schneller Information der betroffenen Kunden sowie Übernahme eventueller Schäden durch die Banken haben außer der KarstadtQuelle Bank (SOUR- CE 11/2009, S. 3) auch die meisten anderen Kreditkartenanbieter in Deutschland – von ADAC über Barclaycard und Lufthansa bis zu den Sparkassen – sowohl per Brief an die Kunden als auch per Pressemitteilung erfüllt. Auf den Punkt bringt es www.sparkasse.de: „Kein Grund zur Panik für Kreditkartenbesitzer – Sparkassenkunden müssen keine Nachteile befürchten.“ Die Informationslücke besteht vor allem bei den beiden großen Kartenorganisationen. Visa hat nach der Warnmeldung mehr als acht Wochen gebraucht, um eine Fortsetzung Seite 7
Fortsetzung von Seite 6 öffentliche Erklärung abzugeben – allerdings nur über den Pressebereich von Visa Europe in London zugänglich. MasterCard hat zwar ebenso wie Visa Mitte November innerhalb kürzester Zeit einen gewaltigen Andrang telefonischer Journalisten-Anfragen bewältigt, Gastbeitrag von Jens Christoph Hammersen Der Datendiebstahl bei einem spanischen Prozessor sorgte vor Kurzem für Schlagzeilen. Wurden „Datenpannen“ früher möglichst diskret abgewickelt, geht der Trend nunmehr zu einem offeneren Umgang. Einen nicht unerheblichen Grund für diese Entwicklung dürfte die seit 1. September 2009 geltende Meldepflicht bei Datenpannen nach § 42a Bundesdatenschutzgesetz (BDSG) darstellen: „Stellt eine nichtöffentliche Stelle (…) fest, dass bei ihr gespeicherte (...) personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies (…) unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen.“ Eine der zentralen Fragen lautet: Wer ist meldepflichtig? Nach dem Wortlaut der Vorschrift ist die speichernde Stelle meldepflichtig. Werden bestimmte Daten bei mehreren Stellen gespeichert (zum Beispiel Kartenherausgeber, Prozessoren, Acquirer, Vertragsunternehmen), stellt sich die Frage, ob im Falle eines Datenverlustes jedes dieser Unternehmen mitteilungspflichtig ist. Andere Normen, wie beispielsweise der Schadensersatzanspruch nach § 7 BDSG, richten sich nur gegen die Nr. 12, 16. Dezember 2009, www.b-b-hamburg.de sich ansonsten aber mit Informationen bedeckt gehalten. Der Hinweis der Kartenorganisationen, mit einer frühzeitigen Information der Öffentlichkeit hätte man die Banken verärgert, kann kaum überzeugen. Denn der Versuch, die Informationen so lange wie möglich zurückzuhalten, hat Meldepflicht bei Datenklau: Rechtsunsicherheit „verantwortliche Stelle“ (vgl. § 3 Abs. 7 BDSG). Kommt es demnach auf die „Datenverantwortlichkeit“ nicht an? Das BDSG kennt zwei Kategorien von Datenverarbeitern: Verantwortliche Stellen und Auftragsdatenverarbeiter. Für letztere folgt aus § 11 Abs. 4 BDSG, dass sie nicht meldepflichtig sind. Denn hier werden die Pflichten des Auftragsdatenverarbeitersabschließend aufgezählt, ohne dass auf § 42a BDSG verwiesen würde. Auftragsdatenverarbeiter haben somit lediglich ihren Auftraggeber zu benachrichtigen. Diese Verlagerung der Meldepflicht setzt aber voraus, dass eine Auftragsdatenverarbeitung wirksam vereinbart ist. Daher verdient die Umsetzung der seit 1. September 2009 neu gefassten Anforderungen an die Vereinbarung einer Auftragsdatenverarbeitung (§ 11 Abs. 2 BDSG) besondere Beachtung, nicht nur wegen der möglichen Bußgelder. Potentiell meldepflichtig sind demnach nur Unternehmen, die als verantwortliche Stelle im Sinne des BDSG anzusehen sind. Als Beispiel mögen Kartenherausgeber und Vertragsunternehmen dienen. Beide erheben, verarbeiten und nutzen relevante Daten in der Regel für sich selbst, so dass zwischen beiden keine Auftragsdatenverarbeitung stattfindet. Letztlich muss die Antwort auf die Frage nach der Meldepflicht daher aus einem anderen Merkmal des § 42a BDSG gewonnen werden: Die Meldepflicht wird durch die 7 dazu geführt, dass die Banken jetzt erst recht verärgert sind: über Negativ-Schlagzeilen und verunsicherte Karteninhaber. Und dass einige Vertreter der Kreditwirtschaft ihrem Ärger bereits öffentlich Luft gemacht haben, kann ebenfalls kaum im Sinne von MasterCard und Visa sein. Feststellung ausgelöst, dass relevante Daten „unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind“. Die Frage, an wen ein Unternehmen Daten rechtmäßig übertragen darf, kann nicht pauschal beantwortet werden. Die Antwort ergibt sich in erster Linie aus dem Zweck der Datenverarbeitung (z.B. Zahlungsabwicklung). An den Zweck sind letztlich die Befugnis zur Weitergabe sowie die Kategorien zulässiger Empfänger geknüpft. Daher hängt die Informationspflicht nicht nur von der Identität der speichernden Stelle ab, sondern auch von den Bedingungen der Kreditkartenorganisationen, sowie der involvierten Banken und Unternehmen. Nicht zuletzt können eine mögliche Einwilligung des Karteninhabers und deren Reichweite maßgeblich sein. Wenngleich erste Stimmen in der Fachliteratur die dargestellte Sichtweise unterstützen, bleiben Stellungnahmen der Aufsichtsbehörden und Gerichte abzuwarten. Die gesamte Vorschrift wird aufgrund ihrer Unschärfe noch einige Zeit für eine gewisse Rechtsunsicherheit sorgen. Der Gesetzgeber ist hier zur Nachbesserung aufgerufen. Jens Christoph Hammersen ist Gründer der Kanzlei Hammersen Rechtsanwälte in München, die auf Bankrecht, Wirtschaftsvertrags-, Gesellschafts- und Arbeitsrecht spezialisiert ist.
Seite 1 und 2: Nr. 12, 16. Dezember 2009 / 16. Jah
Seite 3 und 4: Fortsetzung von Seite 2 Ulrich Chri
Seite 5: Nr. 12, 16. Dezember 2009, www.b-b-
Seite 9 und 10: Unternehmen Fortsetzung von Seite 8
Seite 11 und 12: Unternehmen S-Card Service und fun

Erfolgsfaktoren für Prepaid-Karten in Europa - HAMMERSENs

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?