Abklärungen in Sachen kontaktlose Kreditkarten

Im Anschluss an einen Informationsaustausch mit der französischen Datenschutzbehörde und einer Kontaktaufnahme mit den wichtigsten Kreditkartenherausgebern haben wir eine Standortbestimmung bezüglich der kontaktlosen Zahlungsfunktion bei Kreditkarten vorgenommen.

Seit dem letzten Jahr haben sich einzelne Medien des Themas der Kreditkarten für kontaktloses Bezahlen angenommen. Dabei werden Analysen und Schlussfolgerungen unterschiedlicher Art entwickelt, die bezüglich der Persönlichkeitsrechte und der Datensicherheit zumeist besorgniserregend sind. Einige dieser Thesen wurden von der französischen Datenschutzbehörde (Commission nationale de l'informatique et des libertés, CNIL) in ihrer Mitteilung vom 1. Juli 2013 unter dem Titel «Sicherheit der kontaktlosen Kreditkarten: welche Fortschritte und Verbesserungen sind möglich?» erhärtet.

Wir haben auf dieser Grundlage und im Rahmen unserer gesetzlichen Aufgaben einen kurzen Informationsaustausch mit der französischen Behörde eingeleitet. So konnten wir in einem ersten Schritt die sowohl im Internet als auch in der gedruckten Presse zirkulierenden Informationen evaluieren. In der Folge wurde auch Kontakt zu den wichtigsten Kreditkartenherausgebern in der Schweiz aufgenommen, um ihnen Gelegenheit zu einer Stellungnahme zu geben.

Die seit dem letzten Jahr in der Schweiz herausgegebenen Karten sind grösstenteils bereits mit einer auf RFID basierenden Technologie versehen, die an verschiedenen, mit kompatiblen Terminals (Point of Sale, POS) ausgestatteten Verkaufsstellen

kontaktloses Bezahlen ermöglicht. Die drei grossen Lizenzgeber für Kreditkarten, MasterCard, Visa und American Express, haben ähnliche Produkte, allerdings unter verschiedenen Namen, eingeführt. Es handelt sich um die Systeme PayPass, payWave und ExpressPay.

Diese Bezeichnungen - die übrigens im Allgemeinen auf der Karte vermerkt sind - vermitteln schon einen kleinen Eindruck von der Funktionsweise: hält man die Karte in die Nähe eines POS, wird die Zahlung ohne Eingabe eines Codes oder eine Unterschrift auf der Rechnung verbucht. Die Identifikation erfolgt in diesem Fall über Radiofrequenzen. Die für den Kauf notwendigen Daten werden auf diesem Weg von der Karte zum Terminal übertragen. Ein Authentifizierungsprozess, beispielsweise mittels einer persönlichen Identifikationsnummer (PIN), bleibt grundsätzlich aus. Die Transaktion ist indes auf einen Höchstbetrag beschränkt, um den Schaden bei Verlust oder Diebstahl in Grenzen zu halten.

Die oben beschriebene Datenübertragung ist nicht den Verkaufsterminals vorbehalten. Sie kann daher als unerwünschtes Ergebnis dazu führen, dass diese Daten von einer unbefugten Person, die über die notwendige technologische Minimalausrüstung verfügt, ohne Wissen des Karteninhabers abgefangen und gelesen werden. Insbesondere an öffentlichen Orten besteht ein erhöhtes Risiko.

Im Anschluss an die Bestandsaufnahme zum Thema der Informationssicherheit - die eng mit der Haftpflicht des Inhabers der Datensammlung (hier der Kreditkartenanbieter) zusammenhängt - muss die Frage der informationellen Selbstbestimmung aufgegriffen werden. Dieses in der Bundesverfassung verankerte Grundrecht bedeutet, dass jedermann berechtigt ist, sich einer Datenbearbeitung zu widersetzen. Dieses Recht kann wie jedes Grundrecht eingeschränkt werden, aber nur unter klar bestimmten Voraussetzungen. Für einen solchen Fall sieht das DSG Rechtfertigungsgründe für eine zulässige Bearbeitung vor: die Einwilligung, das überwiegende private oder öffentliche Interesse oder das Gesetz. Vorliegend machen die befragten Kartenherausgeber aber keinerlei überwiegende private oder öffentliche Interessen für die beschriebene Bearbeitung geltend. Die Ausstattung der Karte mit dem RFID-Chip wird überdies nicht von der Entscheidung oder der Einwilligung des Kunden abhängig gemacht.

Die Informationspolitik der befragten Kartenherausgeber entspricht zwar dem Transparenzgebot, sie genügt aber nicht, um auf eine Einwilligung seitens des Kunden zu schliessen. Nehmen wir aber an, dass eine stillschweigende Einwilligung ausreicht, da a priori keine besonders schützenswerten Daten vom Chip aus weitergegeben werden. In diesem Fall müssen die wesentlichen Elemente der Einwilligung ebenfalls gegeben sein. Dabei handelt es sich einerseits um den Aspekt der Information und andererseits um die freie Willensbildung des Betroffenen. Hier liegt der Kern des Problems mit dem freien Einverständnis.

In Tat und Wahrheit begünstigt die heutige Situation im schweizerischen Markt der kontaktlosen Kreditkarten ein strukturelles Ungleichgewicht zwischen dem Kunden und der Bank. Eine Alternative, das heisst die Wahl eines Konkurrenten, der ein gleichwertiges Ersatzprodukt ohne RFID anbieten würde, besteht nämlich a priori nicht. Eine stillschweigende Einwilligung in die die allgemeinen Geschäftsbedingungen erfüllt somit die Kriterien des freien Einverständnisses nicht.

Wir fordern den Bankensektor auf, die Massnahmen zur Wahrung der persönlichen Freiheiten anzupassen, namentlich indem sie den Kunden die Möglichkeit der freien Wahl oder der Ablehnung der Technologie bieten. In Erwartung dieser Entwicklung weisen wir die Inhaber von Kreditkarten, die ihre Daten schützen möchten, darauf hin, dass sie ihre Karten in speziellen Portemonnaies, welche die Übertragung von Radiofrequenzen blockieren, oder in Aluminiumhüllen aufbewahren können.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/21--taetigkeitsbericht-2013-2014/abklaerungen-in-sachen-kontaktlose-kreditkarten.html