Nicht ohne Datenschutz: Online-Betrug erkennen und Kunden schützen

Datenschutz ist kein Täterschutz: Datenschutzgerechte Lösungen für Fraud Detection decken Online-Betrug auf und schützen die Privatsphäre der Kunden.

Fast 25.000 Fälle von Computerbetrug sind in dem Bundeslagebild Cybercrime 2012 des Bundeskriminalamtes (BKA) genannt. Der Bericht weist auf eine hohe Dunkelziffer im Bereich Internetkriminalität hin, so dass noch mit weitaus mehr Betrugsfällen im Internet zu rechnen ist.

Nicht nur Verbraucher und Firmenkunden sind von Online-Betrugsfällen betroffen. Fast 70 Prozent aller Betreiber von Online-Shops in Deutschland mussten bereits Betrugsversuche verzeichnen, so die Händlerbund-Studie „Betrugserkennung im Online-Shop“. Die Erkennung von Betrugsfällen, Fraud Detection genannt, gehört deshalb zu den wichtigen Aufgaben eines Online-Händlers. Wie der Händlerbund berichtet, gaben aber 85 Prozent der befragten Online-Händler an, noch keine Methode zur Betrugserkennung einzusetzen. Rund die Hälfte der Befragten würde jedoch eine kostenpflichtige Lösung zur Betrugserkennung in Anspruch nehmen. Bei der Suche nach einer Lösung für Fraud Detection sollten die Unternehmen allerdings den Datenschutz im Auge behalten.

Kein Generalverdacht gegen Kunden

Um Online-Betrüger zu erkennen, greifen die Verfahren im Fraud Detection auf Datenanalysen zurück. Online-Händler achten laut der Händlerbund-Befragung bisher zum Beispiel auf Tippfehler bei der Eingabe des Namens und auf besonders hochpreisige Bestellungen. Auch Neukunden-Bestellungen, zu denen keine Kaufhistorie vorliegt, werden beobachtet. Verdächtig sind den Händlern auch Kunden, die bestimmte personenbezogene Daten nicht angeben.

Die Frage, ob hinter Bestellern, die ungern ihre personenbezogenen Daten preisgeben, wirklich ein Online-Betrüger steckt, darf in den meisten Fällen verneint werden. Vielmehr sollte vermieden werden, die Daten von Kunden und potenziellen Käufern zu durchleuchten, ohne dass es einen konkreten Verdacht gibt. Gefragt sind intelligente Verfahren der Betrugserkennung, die gleichzeitig die Privatsphäre der Kunden achten.

Datenschützer gegen anlasslose, dauerhafte Kontrollen

Bereits 2008 hatten die Aufsichtsbehörden für den Datenschutz zum Beispiel daraufhin gewiesen, dass dauerhafte Abfragen zur Bonität eines Versandhandelskunden unverhältnismäßig sind. Ein berechtigtes Interesse des Versandhandels an Bonitätsauskünften zur Vermeidung von Zahlungsausfällen könne nicht einfach unterstellt werden.

Ebenso sollten dauerhafte Kundenanalysen zur Abwehr eines möglichen Online-Betrugs als unverhältnismäßig gesehen werden. Niemand spricht den Online-Händlern das Recht ab, sich gegen Online-Betrug zu schützen. Voraussetzung ist, dass die Privatsphäre der Kunden beachtet wird. In der Praxis aber werden von bestimmten Fraud-Detection-Lösungen umfassende Daten über alle Besucher eines Online-Shops erhoben. Dies kann als anlassloses Massen-Screening gewertet werden und widerspricht einer kunden- und datenschutzfreundlichen Geschäftsaktivität.

Datenschutzgerechte Lösungen suchen

Trotz des Betrugsrisikos im Internet sehen die Datenschützer die Notwendigkeit, dass möglich immer anonyme Bezahlmöglichkeiten angeboten werden. Würden die Besteller jedoch durch Fraud-Detection-Lösungen auf anderem Wege identifiziert, wäre dies ein klarer Widerspruch. Deshalb haben auch Systeme zur Betrugserkennung zu berücksichtigen, dass Pseudonyme möglich sein müssen, wenn zum Beispiel zur Lieferung digitaler Ware kein Klarname und keine Adresse erforderlich sind. Zudem muss die Protokollierung der Besucheraktivitäten im Online-Shop datensparsam sein und eine Anonymisierung der Kundendaten vorsehen, wo dies technisch möglich ist.

Nur im konkreten Verdachtsfall Kunden identifizieren

Die anonymisierte Protokollierung der Besucheraktivitäten im Online-Shop bedeutet nicht, dass die Betrugserkennung unmöglich wird. Der Datenschutz ist kein Täterschutz, auch wenn dies oft zu hören ist. Vielmehr nutzen datenschutzgerechte Maßnahmen der Betrugserkennung die Möglichkeit, im konkreten Verdachtsfall einen Besucher genauer zu identifizieren. Eine anlasslose Speicherung und Analyse möglichst vieler Merkmale des Online-Besuchers ohne jede Anonymisierung ist unverhältnismäßig gegenüber den Nachteilen der Betroffenen, ihre Privatsphäre beim Stöbern im Online-Shop zu verlieren. Schließlich muss sich auch niemand in einem stationären Geschäft zuerst ausweisen, bevor sie oder er die Angebote anschauen darf.

Fraud Detection und Datenschutz gehören zusammen

Wie sich Betrugserkennung und Datenschutz verbinden lassen, zeigen zum Beispiel Lösungen des Fraunhofer-Instituts für Intelligente Analyse- und Informationssysteme IAIS. Unter anderem für die Bank BBVA wurde eine Betrugserkennungslösung entwickelt, die Online-Betrüger bei der Kreditkartenbestellung im Internet entlarven und gleichzeitig den Datenschutz achten soll.

Kritisch sollten Online-Händler insbesondere solche Systeme zur Betrugserkennung sehen, die eine umfassende Sammlung von Kundendaten versprechen, mit denen sich Online-Betrüger angeblich eindeutig erkennen lassen. Dazu werden die Daten aller Besucher langfristig gespeichert und Abweichungen zu früheren Online-Aktivitäten gesucht. Da sich nicht jeder Besucher registriert, werden entgegen der Datenschutzvorgaben personenbezogene Daten der Besucher (wie die IP-Adresse) oftmals ohne Einwilligung gespeichert und verarbeitet. Wer aber Online-Betrüger erkennen will, darf nicht selbst zum Betrug am Datenschutz greifen.

Artikel wurde zuletzt im Oktober 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close