Das BKA fordert ec-Karten ohne Magnetstreifen

Die Zahl der Angriffe auf Geldautomaten hat im Jahr 2010 drastisch zugenommen. Dabei geht es um das sogenannte Skimming, bei dem durch manipulierte Geldautomaten der Magnetstreifen von ec- und Kreditkarten und die PIN ausspioniert werden. Diese Daten werden dann zur Herstellung gefälschter Karten eingesetzt, mit denen, in der Regel im Ausland, Geld von den betroffenen Konten abgehoben wird. Laut Aussagen des Bundeskriminalamts (BKA) gab es im ersten Halbjahr 2010 annähernd doppelt so viele Angriffe, wie im gesamten Jahr 2009. Auch im zweiten Halbjahr hielt diese Tendenz an. Das BKA fordert daher die Abschaffung des Magnetstreifens auf den Karten.

Hintergrund ist die Tatsache, dass in Deutschland und im europäischen Zahlungsverkehrsraum (Sepa) nahezu alle Karten bereits einen Chip besitzen und auch die Automaten anstelle des Magnetstreifens diesen Chip auslesen können. Im Gegensatz zu leicht zu fälschenden Duplikaten mit Magnetstreifen, gilt die Chiptechnologie momentan als relativ fälschungssicher. Problematisch wäre ein Einsatz von Karten ohne Magnetstreifen allerdings außerhalb der Sepa-Zone, da hier an Automaten oft noch der Magnetstreifen ausgelesen wird. Daher werden wohl noch länger Karten mit Chip und Magnetstreifen im Umlauf sein, die dadurch nach wie vor Skimming-Attacken ausgesetzt bleiben. Das BKA empfiehlt den Kreditinstituten eine zwei-Karten-Strategie, also eine Karte ohne Magnetstreifen als Standard und eine zweite Karte für die Kunden, die ihre Karte auch außerhalb des Sepa-Bereichs einsetzen wollen. Ob sich die Kreditinstitute mit einer solchen Lösung anfreunden können, bleibt fraglich, da sich dadurch natürlich ein deutlicher Mehraufwand für die Institute ergeben würde.

So kündigte etwa der Deutsche Sparkassen- und Giroverband (DSGV) an, dass ab 1. Juli 2011 bei allen Einsätzen von EC-Karten der Sparkassenkunden an Geldautomaten und auch im Handel nur noch der Chip ausgelesen würde, betonte aber gleichzeitig, dass man wegen der Möglichkeit eines Einsatzes der Karten außerhalb der Eurozone noch nicht auf den Magnetstreifen verzichten könne.

NRW-Datenschutz geht gegen Easycash vor

Bereits im September berichteten wir in dem Artikel “Neuer Datenskandal um EC-Zahlungen“ über den Vorwurf des Datenmissbrauchs gegen die Firma Easycash. Nun hat es in diesem Fall eine neue Entwicklung gegeben. Die nordrhein-westfälische Datenschutzbehörde stellt Strafanzeige gegen den EC-Netzbetreiber. Wie ein Sprecher der Datenschutzbehörde letzten Freitag mitteilte, sei bei Kontrollen des Unternehmens festgestellt worden, dass der Dienstleister im Mai und Juni 2009 rechtswidrig Daten über EC-Kartenzahlungen an die Hamburger Firma Easycash Loyalty Solutions übermittelt habe. Dies sei ein Verstoß gegen das Bundesdatenschutzgesetz. Über die Größe des Datenbestands und die Anzahl der betroffenen Kunden machte die Datenschutzbehörde keine Angaben.

Wie bereits im September berichtet, wurde der Datenskandal durch Recherchen des NDR aufgedeckt. Nach Aussage der Rundfunkanstalt biete Easycash den Abgleich von Daten, die bei der Bezahlung mit EC-Karten an Tankstellen und in Supermärkten gespeichert wurden, mit Daten von Kunden- und Rabattkarten ohne Wissen oder Zustimmung der Kunden an. Easycash dementierte die Vorwürfe.

NRW-Verbraucherschutzminister Johannes Remmel forderte daraufhin die Aufklärung des Falls. Er sehe das Unternehmen Easycash in der Pflicht, Transparenz über die Weitergabe von Daten an das Tochterunternehmen Easycash Loyality Solutions im Jahr 2009 umfassend herzustellen. Es stelle sich die Frage, wofür die Daten in dem konkreten Einzelfall verwandt worden sind und was mit den nicht anonymisierten Daten tatsächlich passiert ist.

Der Hamburger Datenschutzbeauftragte Johannes Caspar hatte erst letzten Donnerstag geäußert, es gebe keine Anhaltspunkte für einen Datenabgleich in großem Stil. Allerdings hatte die Firma Easycash Loyality Solutions bei einem Kontrollbesuch des Datenschützers eingeräumt, tatsächlich für einen Kunden von der Ratinger Easycash Daten erhalten zu haben. Diese Daten seien aber nach Angabe des Unternehmens anonymisiert gewesen und könnten somit nicht Personen zugeordnet werden. „Die aktuellen Erkenntnisse der Aufsichtsbehörde aus NRW lassen an der Verschlüsselung der Daten jedoch zweifeln“, sagte Caspar. Er habe daher die Firma am Freitag noch einmal nachdrücklich aufgefordert, bis Montag die Fragen der Datenschützer zu Art, Umfang, Umgang sowie zum Verbleib der übermittelten Daten schriftlich zu beantworten. „Wir werden dann zu prüfen haben, ob und welche weiteren rechtlichen Schritte in diesem Fall einzuleiten sind“.

Betrug beim Bezahlen mit der Girocard

Gerade jetzt nach der Urlaubszeit sollte man die Kontoauszüge genau prüfen, zumindest sofern man im Ausland mit Plastikgeld bezahlt hat. Bei den Deutschen ist hierbei die Girocard, die früher und auch heute noch oft EC-Karte genannt wird, besonders beliebt. Über 80 Prozent aller Deutschen geben diese Karte als ihr beliebtestes bargeldloses Zahlungsmittel an.

Während die Betrugsfälle mit verlorenen und gestohlenen Karten eher rückläufig sind, nehmen die Betrugsfälle durch Skimming und Ausspähen der PIN zu. Nicht nur am Geldautomaten, sondern auch beim Bezahlen mit der Girocard können durch manipulierte Kartenlesegeräte oder sogenannte Hand-Skimmer die Daten der Karte ausgelesen werden. Gelangt der Betrüger dann noch z.B. durch Videoüberwachung an die PIN, kann ein Duplikat der Karte hergestellt werden und das Konto des Karteninhabers leergeräumt werden.

Daher sollte man die Karte niemals aus dem Blick lassen und am besten auch nicht aus der Hand geben. Beim Eingeben der PIN sollte man die Eingabe stets mit der anderen Hand abdecken. Zudem sollte auch der Betrag kontrolliert werden, bevor die Buchung bestätigt wird. Sollte man die Karte aus irgendwelchen Gründen doch aus der Hand geben müssen, ist bei der Rückgabe unbedingt darauf zu achten, dass es sich um die echte Karte handelt.

In Deutschland können Duplikate der Karte nicht eingesetzt werden, da in den Originalkarten ein Echtheitsmerkmal eingearbeitet wird, das von deutschen, leider aber nicht allen europäischen Geldautomaten geprüft wird. In Zukunft soll der EMV-Chip, der nicht kopiert werden kann, den Magnetstreifen ablösen. Ab Anfang nächsten Jahres müssen aller europäischen Geldautomaten und Karten auf EMV umgerüstet sein.

Stellt man fehlerhafte Abbuchungen fest, sollte man sofort die Bank, die die Karte ausgegeben hat, benachrichtigen, die Karte sperren lassen und den Fall bei der Polizei anzeigen.

Neuer Datenskandal um EC-Zahlungen

Wie der Radiosender NDR Info heute berichtete, werden die Daten vieler deutscher EC-Karten-Besitzer in großem Umfang und ohne Rechtsgrundlage gespeichert. Nach Recherchen des Hörfunksenders unterhält der größte deutsche EC-Netzbetreiber die Easycash GmbH aus Ratingen einen umfangreichen Datenpool. Bei den Daten geht es um Betrag, Zeitpunkt und Ort der Zahlung in Kombination mit den Karten- und Kontodaten des Karteninhabers.

Die Speicherung von Daten ist branchenüblich, soweit sie zur Abwicklung des Zahlungsverkehrs und der Feststellung der Zahlungsfähigkeit des Kunden notwendig ist. Nach Informationen des NDR erstelle Easycash aus den gesammelten Daten aber auch Empfehlungen für Vertragsunternehmen in Hinblick auf die Zahlungsfähigkeit und Kreditwürdigkeit des Karteninhabers.

Der Handelskonzern Rewe mit den Tochterunternehmen Rewe, Penny, Toom und Promarkt hatte bereits im Mai nach eigenen Angaben seine Zusammenarbeit mit Easycash beendet und verzichte inzwischen auf die Nutzung der Kartendaten von Easycash. Ein Sprecher des Unternehmens nannte als Grund „zahlreiche ungeklärte Fragen“.

Nach Aussage einer Sprecherin von Easycash geschehe die Speicherung der Daten auf Grundlage des Bundesdatenschutzgesetzes und berief sich dabei auf eine Bestätigung des Landesdatenschutzes Nordrhein-Westfalen aus dem Jahr 2002. Datenschützer bemängeln allerdings im Gegensatz zu anderslautenden Darstellungen des Unternehmens, dass es sich bei den gespeicherten Kontendaten um personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes handle und das Sammeln dieser Daten damit einer schriftlichen Einwilligung des Kunden bedürfe.

Sowohl Politiker, als auch Datenschützer kritisierten das Vorgehen von Easycash und sprechen von einem neuen Datenskandal. Die Datenschutzbehörden der Länder beraten zur Zeit darüber, ob die bestehenden Rechtsgrundlagen für Zahlungsdienstleister wie Easycash ausreichend sind. Die endgültige Entscheidung soll bei einem Treffen am 12. Oktober fallen. Nach ersten Erkenntnissen reichten die bisherigen Richtlinien nicht aus, sagte ein Sprecher des Landesdatenschutz NRW. Es gebe noch einige offene Fragen.

Was tun bei Verlust von EC-Karten bzw. Kreditkarten?

Einkaufen mit der EC-Karte oder Kreditkarte ist bequem und spart viel Zeit. Doch was tun, wenn im Urlaub oder auch beim gemütlichen Shoppingvergnügen die Karte plötzlich weg ist? Es ist in einem solchen Fall dringend nötig möglichst schnell zu reagieren. Somit kann bei einem Verlust oder Diebstahl die Karte möglicherweise noch gesperrt werden, bevor ein Dritter damit ungerechtfertigte Abbuchungen oder Zahlungen vornimmt. Der zentrale Sperrnotruf, welcher auf Empfehlung des Bundesministeriums eingerichtet wurde, ist die erste Anlaufstelle dazu.

Eine Notfallnummer nicht nur für Bankkunden

Unter der gebührenfreien Rufnummer 116 116 können sämtliche EC-Karten bzw. Kreditkarten und auch der Zugang zum Online Banking gesperrt werden. Die Notrufzentrale leitet die Daten dann umgehend an ihre Bank weiter und sorgt für eine Sperrung, damit Dritte keinen weiteren Zugriff mehr erhalten können. Der Service funktioniert übrigens nicht nur für Bankkunden, sondern auch bei Mobilfunkkarten, Kundenkarten mit Zahlungsfunktion und sogar Mitarbeiterausweisen mit elektronischer Zugriffskontrolle.

Ein Handy kann in Verbindung mit dem zentralen Sperrnotruf die entscheidende Rettung sein. Die 116 116 funktioniert auch von jedem Handy aus. Handybesitzer sollten sich diese Nummer unbedingt in die Kontaktlinse bzw. Telefonbuchliste einspeichern. Auch bei Kartenverlust im Ausland kann der deutsche Sperrnotruf kontaktiert werden. Es ist dann allerdings nötig die Landesvorwahl für Deutschland 0049 zu wählen. Aus dem Ausland, bei Geschäftsreisen oder im Urlaub erreichen Sie den zentralen Sperrnotruf unter 0049 116116. In einigen Urlaubsländern gibt es allerdings Abweichungen bei der deutschen Landesvorwahl. So ist teilweise statt der 0049 die 00149 zu wählen. Deshalb am besten vor Antritt der Reise die Landesvorwahl für Deutschland aus dem Urlaubsland erfragen.

Weitere Infos zum zentralen Sperrnotruf finden Sie unter sperr-notruf.de Auf der Webseite gibt es auch Antworten auf häufig gestellte Fragen zum Sperrnotruf.