Finanzen & Karriere

KARTENZAHLUNG | 15.06.2012

Sparkassen verteidigen Datenschutz bei girogo

Nach kritischen Medienberichten zum Datenschutz bei der kontaktlosen Geldkarte girogo sieht sich die Sparkassen-Finanzgruppe zu einer Stellungnahme genötigt.

girogo in der Kritik. Foto: DSGV

girogo in der Kritik: Ich weiß, dass Du eingekauft hast.

+

Die neue Technik stößt auf Vorbehalte. "Unsichtbares Kleingeld verrät seinen Benutzer", titelte Spiegel Online im Mai dieses Jahres und enthüllte, dass die neuen kontaktlosen Geldkarten der Deutschen Kreditwirtschaft (DK) eine eindeutige Identifikationsnummer (EF-ID) übermitteln, die praktisch für jedermann mit wenig Aufwand per Nahfunktechnik auslesbar ist.

Zwar könne mit der EF-ID der girogo-Karte keine Verbindung zur Person des Karteninhabers hergestellt werden. Doch es sei möglich, mit Hilfe von NFC-Lesegeräten in Shoppingcentern oder Fußgängerzonen Bewegungsprofile von der Karte zu erstellen.

Darüber hinaus könnte man die fehlenden Informationen über die Identität des Kartenbesitzers ermitteln, wenn dieser zugleich eine personalisierte Kundenkarte mit NFC-Technik bei sich führe - so das Szenario des Artikels.

"EF-ID ist das Autokennzeichen der girogo-Karte"


"Zur Sicherheit der Kartenzahlung gehört es, dass die Karte zwar eindeutig identifiziert werden kann, nicht jedoch der Karteninhaber. Die zur Identifizierung der Karte notwendige EF-ID lässt keinen Rückschluss auf personenbezogene Daten zu", heißt es in einer Stellungnahme der Deutschen Kreditwirtschaft (DK) zu den Recherchen von Spiegel Online.

Der Datenschutz sei bei girogo gewährleistet und der ID-Code mit herkömmlichen Lesegeräte nur bis zum einem Abstand von maximal vier Zentimeter auslesbar, entgegnen die Banken der Kritik. "Die EF-ID ist das Autokennzeichen der Karte, sie lässt keine Rückschlüsse auf den Inhaber zu", kommentiert ein Kartenexperte gegenüber derhandel.de.

Zudem habe kein Händler Interesse daran, Fußgängerzonen mit riesigen NFC-Antennen zu bepflastern, um Unmengen von Daten mit zweifelhafter Aussagekraft einzusammeln. Auch das Ausspionieren von girogo-Karten in Kombination mit NFC-Kundenkarte erscheint lebensfremd, so der Experte.

Einen weiteren Vorwurf des damaligen Spiegel Online-Artikels griff in dieser Woche nun auch der gedruckte Spiegel auf: Die unverschlüsselte Übermittlung der EF-ID im girogo-Verfahren sei nicht notwendig und widerspreche dem "Prinzip der Datensparsamkeit".

Es wäre möglich - wie beim elektronischen Reisepass - zunächst die Berechtigung des Lesegerätes zu prüfen, bevor die eindeutige Identifikationsnummer übermittelt werde, wird ein Hannoveraner Datenschutz-Dienstleister in den Berichten zitiert.

Datensparsamkeit oder Geschwindigkeit an der Kasse


"Beim elektronischen Reisepass werden sensible Daten per NFC-Technik übertragen, deshalb gibt es dort einen vorgeschalteten Datenaustausch", erläutert hierzu Oliver Hommel, Zahlungsverkehrsexperte im Deutschen Sparkassen und Giroverband (DSGV) gegenüber derhandel.de.

"Die EF-ID lässt aber keinerlei Rückschlüsse auf den Karteninhaber zu. Da keine sensiblen Daten übertragen werden, ist es nicht notwendig eine vergleichbare Vorprüfung durchzuführen", so Hommel.

Die Berechtigungsabfrage nimmt aus Sicht der Banken unnötig Zeit in Anspruch, und der Bezahlprozess an der Supermarktkasse soll mit girogo schließlich beschleunigt werden.

Der Spiegel legt neue Vorwürfe nach


Am Mittwoch dieser Woche erschien ein weiterer Beitrag auf Spiegel Online, der sich erneut mit dem Datenschutz der girogo-Karten der Sparkassen befasst. "Die Karten speichern die letzten 15 Bezahlvorgänge und die letzten drei Ladevorgänge - unverschlüsselt und drahtlos auslesbar, wie der Programmierer Andreas Schiermeier herausgefunden hat", heißt es darin.

Dazu hätte es freilich keines Hackers aus dem Chaos Computer Club (CCC) bedurft, da sich diese Daten mit der kostenfrei erhältlichen Android-App "S-Kontaktlos" und einem handelsüblichen, NFC-fähigen Handy wie dem Galaxy Nexus aus jeder girogo-Karte auslesen lassen. Mit der von Schiermeier verwendeten Software lässt sich zusätzlich per Funk eine nummerische Kennung der zuletzt genutzten Lese- und Ladegeräte abrufen.

Die Funktion ist im Grunde als Service für den Nutzer gedacht, der sich auf dem Smartphone einen Überblick über die zurückliegenden Transaktionen verschaffen will. Rückschlüsse auf den Einkaufsort, die gekaufte Ware oder den Händlernamen seien nicht möglich, versichert der DSGV in einer Stellungnahme vom heutigen Freitag. Die Volks- und Raiffeisenbanken haben bei ihren 150.000 im Raum Hannover ausgegebenen girogo-Karten auf dieses Feature verzichtet.

Verwendung der Daten nur zur Zahlungsabwicklung gestattet


"Zur Sicherheit der Zahlung mit girogo ist hervorzuheben, dass die Datenkommunikation zwischen der Chipkarte und dem Händlerterminal im Rahmen der bewährten und hochsicheren Verschlüsselungsverfahren stattfindet, die für die Zahlungssysteme der deutschen Kreditwirtschaft zugelassen wurden", betont der DSGV. Den teilnehmenden Handelsunternehmen sei die Nutzung der Daten zudem vertraglich nur zur Abwicklung der jeweiligen Zahlung gestattet.

Die Geldkarte-Technologie, mit der die Transaktionen der kontaktlosen girogo-Karten im Hintergrund durchgeführt werden, existiert seit 1996, neu ist lediglich, dass der Informationsaustausch zur Zahlungsabwicklung bei per Funk stattfindet.

Ab Ende 2013 wollen die Sparkassen und die Volks- und Raiffeisenbank auch die Girocard (früher EC-Karte) mit der NFC-Technologie ausrüsten. Damit fiele der bei girogo notwendige Aufladeprozess weg und es würden kontaktlose Zahlungen mit der EC-Karte auch über die Betragsgrenze von 20 Euro hinaus möglich. Die Datenschutz- und Sicherheitsdebatten rund um die "Near Field Communication"-Technik dürfte daher ein Dauerbrenner bleiben.

Der Leiter des Unabhängigen Landenszentrums für Datenschutz in Schleswig-Holstein Dr. Thilo Weichert, der von Spiegel Online in dieser Woche als girogo-Kritiker ins Feld geführt wird ("unprofessionell und unverantwortlich"), steht Kartenzahlungen generell skeptisch gegenüber. "Wer keine Datenspuren hinterlassen will, zahlt besser mit Bargeld", lautet das Credo des streitbaren Datenschützers.

Hanno Bender

Anzeige

 


Diesen Artikel verlinken:
Twitter Facebook
LinkedIn

Impressum | Datenschutz | Kontakt

Copyright: Deutscher Fachverlag GmbH; Anregungen & Kommentare an info@derhandel.de
Credits: Konzept & Layout SamArt Gbr
Credits: Konzept, Projektmanagement, Programmierung und technische Realisation dfv Internet-Service

Twitter

Anzeige

 

Anzeige

 

Printausgabe

Der Handel Ausgabe 10/2014

Die neue Ausgabe vom Wirtschaftsmagazin Der Handel ist erschienen!

zum Inhalt »
Infos zum Abo »

 

RETAIL ROADSHOW 2015

Retail Roadshow

Erleben Sie die Local Heroes des
New Yorker Handels gemeinsam mit uns
vom 22-26. März 2015.
Infos und Anmeldung »

 

Weiterbilden. Netzwerken. Horizont Erweitern




Management-Kurse mit Hochschulzertifikat - praxisnah, auf wissenschaftlichem Qualitätsniveau

Zum Kursangebot »



Das Premium-Seminar zu aktuellen Themen der Branche - mit Hochschulzertifikat

Mehr Informationen »

 

Zahl des Monats