Der Datenmissbrauch bei Online-Geschäften nimmt zu.
Es stellt sich immer wieder die Frage: Wie kann sich der Verbraucher vor dem Missbrauch seiner Daten schützen, wenn wie in vielen Beschwerden, die wir erhalten, geschildert wird, die Daten einem Impressum entnommen werden aber eine Alias-Mailadresse zur Bestätigung angegeben wird. Der Verbraucher hat keine Chance zu beweisen, dass er nicht der Vertragspartner ist, weil ihm Passwort und E-Mailadresse nicht bekannt sind. Den Personalausweis zur Personenprüfung auch im Internet zu nutzen hat sich als haltlos erwiesen.
Herr Pehlke (Datenschutzbeauftragter der Firma Fonic GmbH) hat uns die komplizierte Lage der Anbieter erklärt:
Mit Blick auf die Gefahren des Datenmißbrauchs bei Online-Geschäftsabläufen haben wir Ihren Vorschlag der Prüfung von Personalausweisen auch schon mehrfach geprüft und erkennen, dass auch hier leider keine Sicherheit gegeben ist. Potentielle Betrüger können auch damit ganz professionell schädigend umgehen. Damit diese Eingabe der Personalausweisnummer eine “Abschreckungswirkung” hat, müsste eine Plausibilitätsprüfung zur Verifikation der Daten dahinter stehen. Dafür müssten aber sämtliche Personalausweisdaten irgendwo zentralgespeichert werden, um abgeglichen werden zu können. Einer solchen Datenbank stehen die Vorschriften des Personalausweisgesetzes entgegen.
Desweiteren scheinen strafverfolgende Stellen und auch Aufsichtsbehörden dem Meldewesen und den Daten auf dem Personalausweis eine ihr offenbar nicht zustehende Beweiskraft zuzuschreiben, wie aus der zunehmenden Zahl an Schein- bzw. Falschmeldungen aufgrund des geltenden Melderechtsrahmengesetzes ersichtlich ist. Dies ist auch Gegenstand umfassender Berichterstattung in der Presse (vgl. dazu http://www.spiegel.de/spiegel/print/d-52417803.html).Nach unserem Verständnis wird die Meldeadresse in der Regel auch die Anschrift auf dem Personalausweis sein, jedenfalls wird die im Zuge der Beantragung des Ausweises genannte Anschrift (§ 1 Abs. 2 Satz 1 Nr. 8 PAuswG) anhand der Meldeadresse überprüft werden. Damit ist der Beweiswert des Personalausweises als nicht übermäßig hoch einzustufen. Dies gilt insbesondere bei Personen die Interesse daran haben ihren tatsächlichen Lebensmittelpunkt vor Behörden oder Vertragspartnern (wie der Fonic) zu verschleiern.
Hinzu kommt, dass gemäß § 28 Abs. 1 Nr. 2 PAuswG Personalausweise zwar grundsätzlich ungültig werden, wenn Eintragungen unzutreffend sind. Hiervon ausgenommen ist explizit die Änderung der Anschrift. Damit kann die Situation auftreten, dass der Fonic ein formell gültiger Personalausweis mit einer nicht mehr oder noch nie zutreffenden Adresse vorgelegt würde.Die Nutzung von Personendaten (Name, Adresse etc.) hat besonders dort eine „kriminelle Attraktivität“, wo es um Lieferung von meist hochwertigen Produkten geht. Stellen Sie sich die Situation in einem Mietshaus vor, in dem der Name eines Empfängers der Lieferung auf ein Brieffach geklebt wird, welches gerade nicht genutzt wird (Wohnung steht leer, Mieter verstorben, da gibt es zahlreiche Gelegenheiten). Dies ist auch nur vorübergehend für den Zeitraum der erwarteten Lieferung erforderlich, die bei den meisten Zustelldiensten auf 4 Stunden genau verabredet werden kann. Mit gehöriger krimineller Energie nutze ich also den Namen mit vorübergehender Lieferadresse, nehme die Lieferung in Empfang und bin danach auf Nimmerwiedersehen verschwunden – mit der Lieferung natürlich, die ich niemals bezahlen werde.
Dieses Szenario ist bei uns nicht das große Problem. Bei uns (FONIC) ist viel eher der Missbrauch von Kontodaten ein Thema, weil wir ja dem Kunden ermöglichen, einfach und komfortabel eine Guthabenaufladung per Lastschrift vorzunehmen. Er muss dann dem Lastschriftverfahren zustimmen und kann dann jederzeit (bis zu einer Höchstgrenze pro Tag und pro Monat) per kostenloser SMS an die 56686 Aufladungen veranlassen. Dies wird dem Mobilfunkkonto sofort (!) gutgeschrieben, er hat also wieder Gesprächsguthaben, es wird aber dem angegebenen Bankkonto erst am Folgetag belastet.
Nun kennen wir keine wirtschaftlich vertretbare Möglichkeit, solche Kontodaten der Person, also dem Kontoinhaber zuzuordnen. Im Laden könnte ich mir die Bankkarte zeigen lassen. Online geht das nicht. Wir können zwar die Existenz eines Kontos validieren, nicht aber, ob der Antragsteller auch selbst der Kontoinhaber ist, oder ob er etwa das Konto seines Zahnarztes angibt.
Ein komplexes Thema, welches uns solange begegnen wird, wie es Internetkriminalität geben wird. In Zusammenarbeit mit anderen Verbänden plant Fonic eine Initiative zu starten: Die Einbindung der Banken um eine Validierungsroutine für das Einrichten von Lastschriften zu fordern. Dann könnten mit rückseitigem Sicherheitsschlüssel dem Datenmissbrauch von Bankdaten ein höheres Maß an Hindernissen in den Weg gestellt werden.
Mir wurde mein Email-Account komplett „gestohlen“, um darüber Bestellungen aufzugeben und an Packstationen zu liefern. Der Support meiner Email-Adresse ist nicht erreichbar (trotz kostenpflichtiger Servicenummer: immer besetzt), so dass ich meine Email-Adresse nicht „auf Eis legen“ kann. DHL löscht jetzt meine Email-Adresse (war nicht Packstationskunde). Empfehlung: Anzeige wegen Datenmissbrauch. Wie kann ich das machen? Ich habe ja keinen „Täter“.
dammbruch schreibt am 20.05.2012 um 16:23
Ist ja interessant, danke für den Artikel!