In der Kategorie "Business und Finanzen" wurden nominiert:

Aus Bankomat wird Debitkarte samt Datenabfluss in die USA

• Alle paar Jahre bekommt man als Bankkunde eine neue Kundenkarte zugeschickt, mit der man sich die Kontoauszüge ausdrucken kann, am Bankomat sein Geld abheben kann, in der Filiale am Automaten seine Überweisungen eingeben kann und in zahlreichen Geschäften an der Kassa gleich bargeldlos bezahlen kann. Im Anschreiben wurden dann neue Funktionen vorgestellt und die neuen Zeichen wie zB das NFC-Symbol angekündigt.
  
  Als Österreicher hatte man gelernt bei jedem Geldautomaten kostenlos Geld abheben zu können - das Blau-Grüne-Logo hat über alle Banken hinweg die Österreicher vereint - ja wir hatten sogar einen eigenen Namen dafür - Bankomat. Wieder eines der Wörter das die beiden Deutsch voneinander unterschieden hat - musste der Deutsche zum Geldautomaten gehen, so durften wir zum Bankomaten gehen.
  
  Eigentlich hatte es sich schon angekündigt, als plötzlich Geldausgabeautomaten aufgetaucht sind, die für das Ausgeben von Geld eine Gebühr verlangt haben. Und dann das - im Begleitschreiben der neuen Karte der Hinweis - aus ihrer Bankomatkarte wird jetzt eine Debitkarte - wieder der Verlust einer österreichischen Besonderheit um eine EU-Weite Angleichung zu bekommen. Wir haben ja auch gelernt Aprikosen zu sagen, so werden wir auch noch “Debitkarte” lernen. Der Verlustschmerz wurde durch die Ankündigung einer weiteren neuen Funktion gemildert - mit der neuen Karte können sie auch leichter im Internet kaufen - dazu gibt es auf der Vorderseite eine neue Nummer - nach Verfügernummer, Kontonummer, IBAN und BIC halt noch einmal eine neue Nummer - weil im Internet die Eingabefelder kürzer sind und die 20stellige IBAN zu lange und mit Buchstaben auch für Zifferneingabe ungeeignet ist.
  
  In der ersten Zeit ist jedoch aufgefallen, dass manche Terminals die Zahlung mit der neuen Karte nicht von Anfang an unterstützt haben und erst andere Einstellung benötigten. Auch hat sich der Kontoauszug geändert, denn auf dem Kontoauszug stand nicht mehr der Empfänger einer Zahlung sondern “E-COMM” als Empfänger. (A common abbreviation for electronic commerce and a frequent choice for the name of many e-Commerce companies.)
  
  Dies hat jedoch unsere Aufmerksamkeit geweckt, die Hintergründe der ausgetauschten Karten genauer zu betrachten.
  
  Zunächst Beruhigung - “Die Einführung der Debit Mastercard ist ein wichtiger Beitrag, um Österreich an die Spitze innovativer Zahlungssysteme zu bringen", so Vorstand Dörfler. In der Aussendung kommt 23 mal das Wort Österreich vor - wodurch der Eindruck einer rein österreichischen Lösung vermittelt wird.
  
  Doch siehe da – diese neue Debit-Karte ist eine Karte der Firma Mastercard. Dies bestätigt auch der Blick auf die jeweiligen Zahlungsbelege, sobald man an einem POS-Terminal bezahlt. (Bei einer Kreditkartenzahlung im Internet wäre das normal gewesen).
  
  Anbieter von POS-Terminals, mit denen die mittels dieser Karten getätigten Zahlungen abgewickelt werden, betonen, dass die “Debit Mastercard” immer beliebter wird. Die “Debit Mastercards” wird in der Rubrik Kreditkarten aufgeführt, während die bisher in Europa verwendeten Maestro Karten unter Debit Karten - wie eine EU Richtlinie es verlangt - geführt werden.
  
  Die mit diesen Karten getätigten Transaktionen können in den USA landen und dort verarbeitet werden. Bei den Datenschutzerklärungen diverser Bankinstitute findet man den Hinweis, dass Mastercard sich zu verbindlichen internen Datenschutzvorschriften verpflichtet hat. Dabei wird auch gerne auf den Art. 47 Abs. 2, b der DSGVO verwiesen, in dem beschrieben ist, welche Daten diese internen Datenschutzvorschriften zu berücksichtigen haben. Die Bedingung, die in Art 47, Abs. 1, b genannt wird, wird jedoch nicht ausdrücklich erwähnt. Dort steht nämlich, dass den “betroffenen Personen ausdrücklich durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer personenbezogenen Daten zu übertragen” sind. – Und das wird im Zusammenhang mit einem Einkauf beim nahegelegenen Supermarkt wohl niemand wahrnehmen können.
  
  Die EU selbst sagt dazu, dass diese “Verbindlichen Unternehmensregeln” (BCR) Datenschutzrichtlinien darstellen, alle allgemeinen Datenschutzgrundsätze und durchsetzbaren Rechte enthalten und angemessene Schutzmaßnahmen für die Datenübertragung gewährleisten müssen. Gleichzeitig müssen diese Regeln den Datenschutzbehörden in der EU zur Genehmigung vorgelegt werden.
  
  Im Falle der BCR (Binding Corporate Rules) von Mastercard stammen diese ursprünglich aus dem Februar 2017 und wurden im Dezember 2018 überarbeitet. Zu einem Zeitpunkt, zu dem der EU US Privacy Shield durchaus noch aufrecht war. Das bedeutet, dass die Entscheidung der
  genehmigenden Datenschutzbehörde damals auf anderen Grundlagen stattgefunden hat, als sie derzeit gegeben sind.
  
  Diese “verbindlichen Unternehmensregeln” orientieren sich an den in der DSGVO formulierten Datenschutzregeln. Interessant dabei ist ein Punkt, der unter der Einschränkung der Datennutzung genannt wird und etwa so lautet: Wir verarbeiten die Daten ausschließlich in dem Umfang, der notwendig ist um die Transaktionen durchzuführen, solange es nicht anders gesetzlich erlaubt ist, die Daten weiter zu verarbeiten – in dem Fall werden wir die Daten ausschließlich nach den Richtlinien des anzuwendenden Gesetze verarbeiten.
  
  Welche Gesetze hier Anwendung finden bleibt offen. Ob die der EU, oder doch die der USA?
  
  In Corona-Zeiten wurden wir aufgefordert vermehrt Bargeldlos zu zahlen, und wohl die meisten Kunden, die mit ihrer Bankomatkarte beim Greißler, im Beisl, in der Trafik, beim Arzt oder im Postladen bezahlt haben, waren der Meinung das diese Zahlung direkt zwischen ihrer österreichischen Bank und dem Laden abgewickelt werden - eben genau wie unsere Vorstellung über den österreichischen Bankomaten ist - und kaum einer vermutet dahinter eine normale Kreditkartenzahlung über eine amerikanische Zahlungsplattform, die nur sofort vom Konto abgebucht wird.
  
  
• Quellen:
  • []: