Nachdem die Finanzbranche bereits mehrmals ins Visier der Datenschützer geraten ist, wurde nun bekannt, dass die easycash GmbH offenbar in großem Umfang Daten von EC-Karten-Nutzern (z.B. bei Kartenzahlung in Supermärkten) speichert und auswertet.
Von ungefähr 50 Millionen Nutzern sollen –ohne Einwilligung der Betroffenen– neben Kartendaten auch Umsatzdaten gespeichert worden sein, um für ihre rund 90.000 Vertragspartner im Rahmen eines sog. Scorings auf die Bonität der Kunden schließen zu können.
Easycash ist sich indes keiner Schuld bewusst und hat in einer ersten Stellungnahme die Einhaltung des Bundesdatenschutzgesetzes beteuert und den Standpunkt vertreten, dass Kontodaten keine personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes seien.
Zunächst ist klarzustellen, dass es sich bei Kontodaten, die konkreten Personen zugeordnet werden können, um personenbezogene Daten im Sinne des BDSG handelt. Und solche personenbezogenen Kontodaten genießen im BDSG sogar einen besonderen Schutz, der in der in § 42a BDSG festgelegten Informationspflicht zum Ausdruck kommt.
Grundsätzlich ist es nicht zu beanstanden, dass Kartendaten zeitweise gespeichert werden, um Zahlungen ausführen zu können und diese Daten bei mangelnder Bonität in eine Sperrdatei aufzunehmen. Die ausnahmslose und auf Dauer angelegte Speicherung sämtlicher bei einer EC-Zahlung verfügbaren Daten schießt jedoch weit über das Ziel hinaus und unterliegt bei der im Raum stehenden Auswertung den gesetzlichen Bestimmungen zum Scoring, § 28b BDSG.
Das Ausmaß der gespeicherten Daten und deren Auswertung ist zwar zum aktuellen Zeitpunkt noch nicht vollständig aufgeklärt. Der „Fall easycash“ könnte jedoch zu einem der größten bisher dagewesenen Datenskandale werden…