Nach einem Bericht von Golem, der auf Recherchen des NDR Bezug nimmt, soll die Firma Payment Network AG als Betreiber des Bezahldienstes sofortueberweisung.de die Konten ihrer Nutzer ausgespäht haben. Dabei sollen ohne vorherige Einwilligung der Kunden Kontobewegungen, Umsätze der letzten 30 Tage, der Dispositionskredit sowie die Stände anderer Konten erfasst worden sein. Payment Network habe gegenüber dem NDR erklärt, man führe eine „Kontodeckungsabfrage“ und prüfe den „verfügbaren Rahmen“. Die Payment Network AG hat auf die Berichterstattung reagiert und folgende Erklärung veröffentlicht (auch hier):
„Mitteilung der Payment Network AG
30.05.2011
Das Inforadio des Norddeutschen Rundfunks hat am 30. Mai 2011 berichtet, die Payment Network AG würde mit ihrem Angebot sofortüberweisung mehrere Konten ihrer Nutzer sowie Überweisungen aus den vergangenen 30 Tagen prüfen. Diese Darstellung ist so nicht richtig.
Dazu stellt die Payment Network AG fest:
Die Software von sofortüberweisung prüft in Echtzeit, also in Sekundenschnelle, den Verfügungsrahmen ihrer Nutzer. Das geschieht ebenso wie die automatisierte Deckungsprüfung bei einer Zahlung mit EC-Karte, wenn die PIN eingegeben wird. Es handelt sich dabei um einen automatisierten Prozess in der Software, der den effektiven Kontostand (Verfügungsrahmen) ermittelt. Der Verfügungsrahmen oder weitere Kontoinhaltsinformationen werden nicht gespeichert. Dieses Verfahren (Berechnung des Verfügungsrahmens) ist nötig, weil manche Banken nicht realtime-verbuchend arbeiten.
Neben der Verfügungsrahmensprüfung prüft die Software automatisiert (allerdings nur bei ca. 30 % aller Transaktionen), ob vorausgegangene sofortüberweisungen zwischen Kunden und Händlern aus den vergangenen 30 Tagen im Konto verbucht wurden oder nicht. Die Antwort ist digital: ja oder nein. Diese Prüfung geschieht, um systematischen Betrug auszuschließen.
Schon im Januar 2011 hat die Payment Network AG dem Bayerischen Landesamt für Datenschutzaufsicht die computertechnische Prüfung des Verfügungsrahmens sowie den Abgleich auf vorherige sofortüberweisungen erläutert. Die Behörde hat das Vorgehen als ordnungsgemäß bestätigt und hält es nach eigener Aussage datenschutzrechtlich für vertretbar. Sie rät dem Unternehmen dazu, die Datenschutzhinweise in Bezug auf die automatische Prüfung auf vorhergehende sofortüberweisungen etwas ausführlicher zu formulieren. Dies hat die Payment Network AG zum Anlass genommen, Juristen zu beauftragen, die entsprechenden Formulierungen in die Datenschutzhinweise aufzunehmen (siehe 6.).
Kein Mitarbeiter von sofortüberweisung bzw. der Payment Network AG hat Zugang zu den von der Software geprüften personenbezogenen Daten der Nutzer – die Software prüft den Verfügungsrahmen bzw. die Verbuchung vorheriger sofortüberweisungen autonom und ohne menschliches Zutun, wie beschrieben, binnen Sekunden. Es werden nur Name, BLZ, Kontonummer, Betreff, Betrag und Datum der Überweisung gespeichert. Dies sind auch die Informationen, die der Händler bei der Überweisung auf seinem Kontoauszug sieht.
Der Fall „Kossel“, den der NDR beschreibt, liegt bereits zwei Jahre zurück. Damals ist ein Schnittstellenfehler bei einem Kunden aufgetreten, so dass ein Überweisungsbetrag von einem anderen als dem angegebenen Konto abgebucht wurde. Es handelt sich um einen Einzelfall, der umgehend behoben wurde. Damals hat die Payment Network AG das Programm entsprechend optimiert, damit so etwas nicht mehr passieren kann.
Trotzdem nimmt die Payment Network AG den NDR-Bericht zum Anlass, ihre Datenschutzhinweise noch eindeutiger zu formulieren. In Abstimmung mit dem Bayerischen Landesamt für Datenschutzaufsicht wird das Unternehmen den entsprechenden Passus rasch ändern.
Georg Schardt (Marketingvorstand)
Dr. Jens Lütcke (Finanzvorstand)“