Seit dem 16. Mai 2024 gilt das geänderte Asylbewerberleistungsgesetz. Diese Änderung beinhaltet die sogenannte Bezahlkarte für Asylbewerber. Mithilfe dieser Bezahlkarte können Geflüchtete künftig Leistungen nach dem Asylbewerberleistungsgesetz erhalten. Seit Einigung über diese Bezahlkarte sind in den Bundesländern bereits einige Pilotprojekte angelaufen. Dieser Artikel beleuchtet die datenschutzrechtlichen Implikationen der Bezahlkarte für Geflüchtete.
Der Inhalt im Überblick
Das Vorhaben „Bezahlkarte für Geflüchtete“
Über die Bezahlkarte sollen Geflüchtete künftig einen Teil der Leistungen gemäß des Asylbewerberleistungsgesetzes als „Guthaben“ erhalten. Die Karte soll ausschließlich für Käufe in Deutschland einsetzbar sein und somit „nur dafür verwendet werden wozu die Leistungen gedacht sind: für das Leben der Geflüchteten hier“. Zwar sollen Bargeldabhebungen mit der Bezahlkarte auch möglich sein, jedoch mit einem bestimmten Limit.
Die Bezahlkarte sollen Geflüchtete erhalten, über deren Asylgesuch bis jetzt noch nicht entschieden worden ist. Mithin alle Asylsuchenden, die gemäß §1 AsylbLG leistungsberechtigt sind. Für Menschen, die bereits eine Asylberechtigung erhalten haben, ist die Bezahlkarte nicht vorgesehen.
In der Pressemitteilung der Bundesregierung wird der Vorteil des geringeren Verwaltungsaufwandes für Behörden herausgestellt: Man könne von nun an einfach das Geld auf die Karte überweisen und müsse kein Bargeld mehr aushändigen. Ein weiterer Vorteil sei zudem die Verhinderung der Weitergabe des Bargeldes für Schlepper oder Überweisungen ins Ausland.
Die Umsetzung der Bezahlkarte im föderalistischen Deutschland ist Ländersache. Und so sind die Länder seit Beschluss über die Änderung des Asylbewerberleistungsgesetzes bereits aktiv geworden. Man hatte sich bereits auf gewisse Standards geeinigt. Die Ausgestaltung der Bezahlkarte durch die Länder ist jedoch so unterschiedlich wie Tag und Nacht. Während in Hannover ein liberaler Ansatz gewählt wurde, will Thüringen ein deutlich strikteres Regelkorsett für die Bezahlkarte entwerfen.
Funktionsweise der Bezahlkarte
Das technische Konzept der Bezahlkarte unterscheidet sich kaum von einer herkömmlichen Geldkarte. Sie ist eine guthabenbasierte Debitkarte und je nach Anbieter unterscheidet sich die Karte optisch nicht von gewöhnlichen Karten.
Man kann sie sowohl als physische Karte als auch im Wallet auf dem Smartphone nutzen. Einzig Überweisungen sind mit der Karte nicht möglich. Der aktuelle Stand des Guthabens kann in einer entsprechenden App abgerufen werden. Der Bezahlvorgang erfolgt entweder indem man die Karte in das Kartenlesegerät des Geschäfts einführt oder mithilfe der Wallet-Funktion elektronisch per „contactless payment“ bezahlt.
Die Bezahlkarte auf dem datenschutzrechtlichen Prüfstand
Die Einführung der Bezahlkarte fand nicht überall Zustimmung. Neben den Kritiken aus der Gesellschaft und Politik, melden auch Sicherheitsexperten und Datenschützer ihre Bedenken an. Hier wurde zunächst gefragt, ob die Bezahlkarte mit dem Datenschutzrecht vereinbar sei und ob es diesem überhaupt geben darf.
Dr. Matthias Eichfeld, Referent beim Hamburgischen Beauftragten für Datenschutz und Informationssicherheit, sieht die Datenschutz-Grundverordnung zunächst berührt, weil
„die digitale Leistungsabwicklung im Wege der Bezahlkarte zwangsläufig mit einer automatisierten Verarbeitung personenbezogener Daten verbunden ist“.
Ein Ausschluss der Bezahlkarte aufgrund von datenschutzrechtlichen Schranken ist jedoch nicht anzunehmen.
Ferner soll die einschlägige Rechtsgrundlage aus den jeweiligen Landesdatenschutzgesetzen bestimmt werden. Am Beispiel Hamburg wäre dies §4 HmbDSG, welcher das alltägliche Verwaltungshandeln der Behörde erlaubt.
Dr. Eichfeld stellte fest, dass insbesondere die Einsichtnahme der Behörde in den Guthabenstand einen erheblichen Eingriff darstellt. Dies sei nicht nur aus datenschutzrechtlicher Sicht problematisch, es sei auch verfassungsrechtlich zumindest zweifelbehaftet. Hierzu äußert der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, dass die Einsichtnahme der Behörde auf das Guthaben des Nutzers unzulässig sei. So sei
„nicht alles, was technisch möglich ist, auch vom geltenden Recht erlaubt“.
Zudem ist grundsätzlich auch fraglich, ob die Möglichkeit der Kartensperrung durch die Behörde rechtmäßig sein kann. Hierzu hat sich zumindest der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit noch nicht geäußert. Dr. Eichfeld hält zumindest die Generalklausel aus §4 HmbDSG als Rechtsgrundlage für die Kartensperrung für unzureichend.
Technischer Datenschutz als Hindernis?
Tim Schäfer und Niklas Klee, Sicherheitsexperten, untersuchten die derzeit verfügbaren Bezahlkarten und Anbieter. Ihre Ergebnisse offenbarten einige Sicherheitsmängel, aber auch datenschutzrechtliche Probleme.
Derzeit gibt es verschiedene Arten von Bezahlkarten von unterschiedlichen Anbietern:
- Socialcard von Publk GmbH/secupay AG
- Bezahlkarte von PayCenter GmbH/petaFuel GmbH
- givve® Card von givee®/PL Gutscheinsysteme GmbH
Datenschutzerklärung nur auf Deutsch
Zuerst bemängelten Schäfer und Klee, dass die Datenschutzerklärungen der Anbieter für Bezahlkarten lediglich in deutscher Sprache verfügbar sind. Für Asylsuchende und Geflüchtete, die regelmäßig über wenige bis keine deutschen Sprachkenntnisse verfügen, ist dies ein erhebliches Hindernis. Man kann ferner nicht davon ausgehen, dass die Nutzer der Bezahlkarten eine informierte Einwilligung über die in der Datenschutzerklärung aufgeführten Datenverarbeitungen abgeben können.
Verwendung von Tracking-Bibliotheken
Zudem werden von Socialcard und givve® Tracking-Bibliotheken verwendet. Solche Tracking-Bibliotheken sind beispielsweise Google Analytics oder Facebook Flipper. In den vorliegenden Fällen sammeln und übermitteln die Anbieter der Socialcard und von givve® personenbezogene Daten der Nutzer bereits beim Starten der Anwendung, ohne hierfür eine Einwilligung einzuholen. Die Verwendung dieser Tracking-Bibliotheken werden nicht in den einschlägigen Datenschutzerklärungen erwähnt, sodass der Getrackte keine informierte Entscheidung über die Verwendung seiner Daten treffen kann. Erschwerend kommt hinzu, dass die personenbezogenen Daten an Dritte übermittelt werden. In diesem Fall sind dies unter anderem Google und Facebook, die ihre Server regelmäßig in einem unsicheren Drittland haben. Ein datenschutzrechtlich untragbarer Zustand.
Zugriffsmöglichkeiten unübersichtlich gestaltet
Bei Installation einer zugehörigen App zu der Bezahlkarte werden bereits zahlreiche „Permissions“ (dt. Berechtigungen/Zugriffsmöglichkeiten) vorausgesetzt. Die Secupay-App „darf“ so zum Beispiel auch die Telefonkontakte des Nutzers einsehen und Fotos oder Videos machen. Hier wird zudem bereits die Einwilligung in „Advertising ID-Permission“ ohne aktive Entscheidungsmöglichkeit angenommen. Advertising ID Permission meint hierbei die Übermittlung der personenbezogenen Daten an Dritte wie Google oder Facebook. Problematisch ist, dass hier eine Art „konkludente“ Einwilligung durch Installation, der für die Nutzung der Bezahlkarte erforderlichen App, konstruiert wird. In Wirklichkeit ist dies jedoch eine intransparente Art und Weise, die Einwilligung zu erzwingen.
Der Teufel steckt im Tracking
Ein gravierendes Ergebnis ergab die Untersuchung der Bezahlkarte auf unrechtmäßiges Tracking. Die Socialcard verpflichtet den Nutzer zu der Verwendung der secupay-App für Transaktionen. Die secupay-App verwendet jedoch bereits bei Start der Anwendung elf Tracker, über die der Nutzer nicht informiert wird. Auch hier werden Daten an Google und Facebook übermittelt, ohne dass der Nutzer aktiv einwilligen oder widersprechen kann. Die Sicherheitsexperten stellten fest, dass die reine Übermittlung an Facebook bereits die Identifizierung und Zuordnung der Person, die die secupay-App nutzt, ermöglicht – auch wenn diese gar kein Facebook-Profil hat. Dieser Konstellation liegen zwei Problematiken zugrunde. Hier wird Tracking betrieben, ohne dass erstens der Nutzer überhaupt darüber in Kenntnis gesetzt wird und zweitens die personenbezogenen Daten nach Übermittlung derart weiterverarbeitet werden, dass schlimmstenfalls Profiling durch die Facebook-Anwendung betrieben wird.
Technisches Versäumnis bei „Bezahlkarte“
Die Bezahlkarte „Bezahlkarte“ von der PayCenter GmbH offenbarte eine erhebliche Schwachstelle auf ihrer Login-Seite. Nachdem sich der Nutzer auf der Webseite der „Bezahlkarte“ eingeloggt hat, wird er auf eine unsichere Seite weitergeleitet. Diese hat eine „schwerwiegende“ Schwachstelle, die das Einschleusen von JavaScripting ermöglicht. Dieser Vorgang nennt sich „Cross-Site-Scripting“ (XSS) und kann zur Konsequenz haben, dass Login Sessions gestohlen werden können oder Cookies von Usern entwendet werden. Dies stellt eine signifikante Sicherheitslücke dar.
Praktikabel für die Zukunft?
Das Vorhaben „Bezahlkarte“ ist beschlossen und umsetzungsfähig. Politisch soll diese Entscheidung nicht bewertet werden. Aus datenschutzrechtlicher Sicht werden hingegen deutliche Versäumnisse sichtbar. Die Untersuchung von Tim Philipp Schäfer und Niklas Klee hat jedoch gezeigt, dass die technische Umsetzung derzeit unzureichend ist. Aus Anbieter-Sicht gilt es hier nachzubessern. Eine sichere Datenverarbeitung ist gerade im Asylverfahren essenziell, um Geflüchteten keine weitere Bürde aufzuerlegen und Diskriminierung oder Benachteiligung zu verhindern.
–
Nachtrag 28.05.2024:
Nach Veröffentlichung dieses Blogbeitrags meldete sich ein Vertreter des Anbieters givve® mit einer Bitte zur Ergänzung der in dem Artikel aufgeführten Informationen bei Dr. Datenschutz. Dieser Bitte kommen wir gerne nach. Wir sind stets an dem aktuellsten Stand der Information interessiert.
Im Bezug auf den Experten-Report von Tim Philipp Schäfer und Niklas Klee antwortet givve :
„Wir sind den beiden Experten sehr dankbar für die Hinweise, weshalb givve sofort gehandelt hat.
– Die Tracking-Bibliotheken wurden u. a. dafür verwendet, um mögliche Fehlfunktionen in der App schnell erkennen und beseitigen zu können. Der Zugriff auf die Advertising-ID erfolgte im Zuge der Einbindung von Google Analytics. Diese ID wird allerdings nicht benötigt und es wurden alle beanstandeten Tracker und auch die Anzeigen-ID entfernt.
– Eine englische Übersetzung der Datenschutzerklärung ist mittlerweile ebenfalls online verfügbar.“
Toller Artikel, sehr verständlich und umfassend. Danke!