Online Bezahlen: Dienstleister greifen nach einer Vielzahl von Daten

Elektronische Bezahlverfahren werden bei Verbrauchern immer beliebter. Beim digitalen Bezahlen machen sich die Nutzer aber häufig Sorgen um ihre Daten. Nicht zu Unrecht, wie eine Untersuchung des Marktwächters Digitale Welt der Verbraucherzentrale Brandenburg jetzt zeigt: Anbieter elektronischer Bezahlsysteme erheben im Bezahlprozess eine Reihe von Daten. Was genau mit diesen passiert, bleibt für Verbraucher oftmals undurchsichtig. Denn die Datenschutzerklärungen der Bezahldienstleister sind oft schwer verständlich, obwohl sich die meisten Verbraucher möglichst schnell und konkret über die Datennutzung der Anbieter informieren wollen, wie eigene Umfrageergebnisse belegen.

Verbraucher wollen nicht länger als fünf Minuten Zeit damit verbringen, die Datenschutzerklärungen eines elektronischen Bezahldienstleisters zu lesen. Dies geht aus einer repräsentativen Umfrage* hervor, die die Marktwächterexperten gemeinsam mit dem Institut forsa für die aktuelle Untersuchung „E-Payment – Wie sicher sind unsere Daten beim Bezahlen im Netz?“ durchgeführt haben. Wie die Analyse zeigt, sieht die Realität allerdings deutlich anders aus. „Verbraucherwunsch und Wirklichkeit liegen hier teils weit auseinander“, sagt Dr. Kirsti Dautzenberg, Teamleiterin des Marktwächters Digitale Welt. So müssen Verbraucher beispielsweise beim Anbieter PayPal 24 Minuten oder bei Amazon Pay 16 Minuten** Zeit aufbringen, um die Datenschutzerklärungen zu lesen. „Mit dem Lesen ist es jedoch nicht getan. Bei allen untersuchten Datenschutzer­klärungen erschweren sehr lange Sätze und Passivkonstruktionen die Verständlichkeit. Zudem bleiben viele Angaben zur Datenverwendung durch Formulierungen wie ‚möglicherweise‘ oder ‚unter anderem‘ unklar. Somit weiß der Nutzer nicht konkret, worauf er sich einlässt“, erklärt Dautzenberg.

Online Bezahlen: Dienstleister greifen nach einer Vielzahl von Daten
pixabay.com ©geralt (Creative Commons CC0)
Online Bezahlen: Dienstleister greifen nach einer Vielzahl von Daten 1

Relativ hohes Sicherheitsniveau aber viele Datenerhebungen

Die Sicherheit während des Bezahlprozesses ist gemessen an allgemeinen Web-Anwendungen hoch. Ein von den Marktwächterexperten in Auftrag gegebenes technisches Gutachten schätzt die Verschlüsselung zwischen dem Browser des Nutzers und den Servern der untersuchten Anbieter grundsätzlich als sicher ein. Bei der Menge an erhobenen Daten zeichnet sich ein unterschiedliches Bild ab: Je nach Bezahldienstleister werden bei der Registrierung beziehungsweise dem Bezahlvorgang zwischen vier und 13 Einzeldaten erhoben. Tracking-Dienste werden von den untersuchten Anbietern unterschiedlich eingesetzt: Während paydirekt nur einen externen Dienst nutzt, bindet Skrill insgesamt elf Dienste ein. Skrill verwendet vier seiner Tracking-Dienste auch nach dem Login – alle sind geeignet, personenbeziehbare Daten wie etwa Nutzer- oder Konsumverhalten zu erheben.

Verbesserungswürdig: Der Umgang mit dem Recht auf Auskunft

Gut acht von zehn Nutzern elektronischer Bezahldienstleister wollen über den Umgang mit ihren Daten informiert werden. Dies können sie durch das Recht auf Auskunft geltend machen. Das Marktwächter-Team hat nach Testkäufen bei allen sechs untersuchten Anbietern solche Auskunftsschreiben angefordert – mit durchwachsenem Ergebnis: „Es hat zwischen zwei und 62 Tagen gedauert, bis wir von den jeweiligen Anbietern eine Antwort erhalten haben. In einigen Fällen mussten wir mehrfach nachfragen, zweimal waren wir nicht erfolgreich“, erklärt Dautzenberg. Beim Anbieter Skrill wurde das Ersuchen abgebrochen, weil für die Auskunft ein Entgelt verlangt wurde. Bei PayPal scheiterte die Anfrage daran, dass dem Unternehmen die Übersendung des datenschutzkonform geschwärzten Identitätsnachweises nicht ausreichte.

Mit Amazon Pay, giropay, paydirekt, PayPal, Skrill und SOFORT Überweisung haben die Marktwächter die sechs verbreitetsten Anbieter elektronischer Bezahlsysteme am deutschen Markt in den Blick genommen. Geprüft wurde, wie sicher das Bezahlen mit den jeweiligen Anbietern über den Web-Browser ist, wie datensparsam der Bezahlprozess gestaltet wird und wie verständlich und transparent die Dienste über die Verwendung der erhobenen Daten informieren.

VZBV fordert Nachbesserungen bei der Datennutzung

„Wer in die Nutzung seiner Daten einwilligt, muss dies freiwillig tun“, erklärt Jutta Gurkmann, Geschäftsbereichsleiterin Verbraucherpolitik im Verbraucherzentrale Bundesverband (vzbv). „Das ist aber nicht der Fall, wenn Verbraucher in die weitere – zahlungsfremde – Nutzung ihrer persönlichen Daten einwilligen müssen, um einen Zahlungsdienst überhaupt verwenden zu können. Die europäische Datenschutz-Grundverordnung verbietet eine solche Kopplung und sollte durch die Datenschutzaufsichtsbehörden konsequent durchgesetzt werden.“

Zwar ist das Sicherheitsniveau relativ hoch. Dennoch besteht Nachholbedarf: „Einige E-Payment-Dienste verlangen zum Zahlen die Kontozugangsdaten. Das ist durch die EU künftig erlaubt und reguliert. Verbraucher sind jedoch später die Dummen, wenn sie diese Daten versehentlich Tätern und nicht anerkannten Diensten preisgeben“, führt Gurkmann weiter aus. „Die EU steht Verbrauchern daher noch in der Pflicht, mit Sicherheitsvorgaben diese Weitergabe kritischer Zugangsdaten zu unterbinden.“

* Die Angaben zur präferierten Lesedauer basieren auf einer repräsentativen Online-Befragung unter 2.001 Nutzern elektronischer Bezahlverfahren ab 18 Jahren in Deutschland, durchgeführt durch forsa main, Zeitraum der Befragung: 07.07.-16.07.2017.

** Die durchschnittliche Lesedauer der Datenschutzerklärungen ergibt sich aus den Ergebnissen der Verständlichkeitsanalyse und einer angenommenen Lesegeschwindigkeit von 250 Worten pro Minute.