Der EC-Netzbetreiber Easycash hat offenbar die Bankdaten von Millionen deutschen Karteninhabern nicht nur dauerhaft gespeichert, sondern diese zudem über eine Tochterfirma systematisch ausgewertet und Handelsunternehmen angeboten. Unter anderem gleicht Easycash Kontonummern mit Daten von Kunden- und Rabattkarten ab, wie NDR Info berichtet.
Die Tochter namens Easycash Loyalty Solutions GmbH (ECLS) bietet NDR Info zufolge Handelsunternehmen ein „kostengünstiges Substitut zur Marktforschung“ an – sogenannte „Zahlungsverkehrsanalysen“.
Dafür führen sie die Daten von Kundenkarten mit den Transaktionsdaten der EC-Kartendaten zusammen. Taucht eine Kontonummer in beiden Datenpools auf, wird aus eine Zahlenreihe ein Karteninhaber ein Name mit Adresse, bisweilen auch Alter und Beruf – die Kunden geben einiges von sich preis.
ECLS kann so ermitteln, „wie häufig im Schnitt eindeutige Kontoverbindungen, also Kunden, zu einem Handelsunternehmen kommen“, heißt es in einem Firmendokument, das NDR Info vorliegt. So bekomme ein Unternehmen etwa Hinweise darauf, wie viele Stammkunden jede Filiale besitzt. Letztendlich sei möglich, zu ermitteln, welche Kunde was wann wo einkaufe. Die Informationen kosten: Für einen Datensatz mit Tausend EC-Kartendaten verlangt ECLS bis zu 5000 Euro.
Die Liste der Kunden ist lang: Rewe gehört dazu, ebenso wie die Parfümeriekette Douglas, verschiedene Baumärkte und Bekleidungshäuser. ECLS betreut laut eigener Aussage mehr als 21 Millionen Kundenkonten in Europa; in Deutschland sind es 14 Millionen. 2009 wickelte der Konzern 30 Millionen Zahlungs- und Bonustransaktionen ab. Dazu kommen die Daten der 92.000 Vertragspartner von Easycash.
Spiegel Online zufolge bestreitet Easycash die Vorwürfe vehement. Ihre Umsatzinformationen würden nicht mit anderen Daten verknüpft, erklärt Easycash-Geschäftsführer Frank Wio gegenüber dem Blatt. „Einzige Ausnahme: Wir versuchen insgesamt dreimal, eine Lastschrift einzuziehen. Wenn das beim dritten Mal nicht klappt, dann müssen wir in den Mahnprozess gehen.“
Bei einem Mahnverfahren erhält Easycash von der Bank des Schuldners dessen Name und Anschrift. „Sobald das Mahnverfahren beendet ist, löschen wir die persönlichen Daten wieder – Namen und Adresse. Das müssen wir tun“, versichert Wio. Zu den Aufgaben von ECLS wollte sich Easycash allerdings nicht äußern. Die Tocherfirma verwies Anfragen von Spiegel Online an den Mutterkonzern.
Möglicherweise beziehe sich das Dokument, aus dem NDR Info zitiert, aber auf ein Produkt, das Easycash nach einer Datenschutzüberprüfung schlussendlich nie verkauft habe, schreibt Spiegel Online. Zudem deuteten die Formulierungen darauf hin, dass nicht personen- oder kartenbezogen, sondern adressdatenbezogen ausgewertet werde. „Nachdem Easycash uns im Rahmen eines Gesprächs Überlegungen, den Risikoindex über den Kartenzahlungsverkehr hinaus zu nutzen, grob skizziert hatte, haben wir Easycash mitgeteilt, dass eine solche Nutzung nicht zulässig ist“, erklärte ein Sprecher des Landesbeauftragten für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen auf Anfrage von Spiegel Online.
OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…