sb - Von Anfang an haben Vertreter der Kreditwirtschaft im Kontext mit der PSD2 und dem Kontozugang für Drittanbieter vor allem die damit verbundene Datenschutzproblematik angesprochen. Wenn Kunden Paymentdienstleistern die Einwilligung zur Einsichtnahme in ihr Konto geben, wüssten sie oft nicht, wozu die Daten dann tatsächlich verwendet werden.
Auch das Team des Marktwächters Digitale Welt der Verbraucherzentrale Brandenburg hat sich nun des Themas angenommen und die Frage näher beleuchtet, wie sicher Daten beim Bezahlen im Netz eigentlich sind. Dazu wurden "die sechs am Markt aktivsten Bezahldienstleister" Amazon Pay, Giropay, Paydirekt, Paypal, Skrill und Sofortüberweisung unter die Lupe genommen und auf die Aspekte Datensicherheit, Datensparsamkeit, Transparenz und Auskunftsrecht hin überprüft. Den hier gewonnenen Erkenntnissen wurden dann die Ergebnisse einer Verbraucherbefragung gegenübergestellt.
Überdurchschnittliche Sicherheit
Die Datensicherheit und damit die Angst vor Missbrauch durch kriminelle Dritte ist für Verbraucher der kritischste Punkt bei der Nutzung elektronischer Bezahlverfahren. An dieser Stelle kommt die Untersuchung zu einem beruhigenden Ergebnis: Das Sicherheitsniveau der untersuchten elektronischen Bezahldienstleister ist - gemessen an allgemeinen Web-Anwendungen - deutlich höher, so der Gutachter. Ausdrückliches Lob für Paydirekt gibt es mit Blick auf die Implementierung einer Content Security Policy (CSP), also eines zusätzlichen technischen Schutzes gegen Angriffe, die im Browser des Kunden stattfinden können. Die CSP von Paydirekt ist dem Gutachten zufolge als gut zu bewerten, während Paypal und Amazon Pay an dieser Stelle "sichtbare Kompromisse" machen und Giropay, Sofortüberweisung und Skrill gar keine keine CSP implementiert haben.
Nur wenig Datensparsamkeit
Beim Prinzip der Datensparsamkeit sind die Anbieter sehr unterschiedlich aufgestellt. Das betrifft sowohl die Anzahl der erhobenen Nutzerdaten als auch den Datenaustausch zwischen Paymentdienstleister und Händler. Bei der Registrierung schwankt die Zahl der vom Nutzer einzugebenden Daten zwischen vier (Amazon Pay) und 11 bei Paydirekt. Bei der Bezahlung fällt Paypal durch die höchste Anzahl der obligatorisch vom Shop übermittelten Daten auf, Paypal und Paydirekt bei der Anzahl der optional vom Shop übermittelten Daten.
Beim Tracking wiederum hält sich Paydirekt mit nur einem eingesetzten Tracking-Dienst am stärksten zurück. Die meisten Tracker setzen Skrill und Paypal ein. Zwar lässt die Anzahl der eingesetzten Tracking-Dienste nicht direkt auf die Quantität und Qualität der erhobenen Daten schließen. Jedoch ist die Mehrheit der genutzten Tracking-Dienste der Bezahldienstleister geeignet, personenbezogene oder personenbeziehbare Daten wie Namen, Adresse, Telefonnummer, E-Mail-Adresse oder IP-Adresse des Nutzers zu erheben. Der Großteil der eingebundenen Tracking-Dienste (16 von 22) erhebt personenbeziehbare Daten und elf dieser Dienste teilen diese auch mit Dritten. Insofern heißt es aus Datenschutzsicht auch an dieser Stelle: Weniger ist mehr.
Deutlich verbesserungswürdig ist der Studie zufolge die Information des Verbrauchers über die Verwendung seiner Daten. Zwar verweisen alle Anbieter auf eine Datenschutzerklärung. Deren Verständlichkeit bewegt sich jedoch zwischen unverständlich und schwer verständlich, so das Fazit der Untersuchung. Zum einen sind die Erklärungen teils deutlich zu lang. Bei Spitzenreiter Paypal beträgt die notwendige Lesedauer 24 Minuten. Lange Sätze, Passivkonstruktionen und Füllwörter erschweren überall die Verständlichkeit. Und Formulierungen wie "zum Beispiel" oder "möglicherweise" lassen viel Interpretationsspielraum. Was tatsächlich mit ihren Daten passiert, bleibt für die Nutzer also meist offen. Immerhin Paydirekt und Sofort Überweisung schließen die Verwendung für Marketingzwecke und Nutzungsprofile aus.
Auch auf ein Auskunftsersuchen reagieren beide nicht nur mit Abstand am schnellsten (2 Tage, gefolgt von Giropay mit 14 und Paypal mit 21 Tagen), sondern auch am umfangreichsten. Paydirekt wartet zudem mit dem verständlichsten Auskunftsschreiben auf.
Unter dem Strich bestätigt die Untersuchung somit eines der wichtigsten Argumente für die Nutzung von Paydirekt: Hier sind die Daten der Nutzer gut aufgehoben. Dieses Lob seitens der Verbraucherschützer dürften die Banken ruhig stärker vermarkten. Schließlich liegt hier das bislang einzige wirklich tragfähige Argument im Wettbewerb mit Paypal. Beim Handel zieht das Datenschutzargument vermutlich ohnehin nicht. Hier zählen nur Konditionen und Kundennachfrage. Für Letztere aber ist der Datenschutz eben doch ein Thema.