Discussion:
Speichern von Kreditkartennummern in einer Datenbank
(zu alt für eine Antwort)
Thomas Zangl
2006-07-25 11:59:32 UTC
Permalink
Hi!

Folgende Frage:

Gegeben ist ein Bestellformular und es wird Zahlung per Kreditkarte
angeboten. Der Server bietet keine SSL Verschluesselung an.

Zum Zwecke der zeitverzoegernden Weiterverarbeitung werden die KK
bezognen Daten in einer Datenbanktabelle gespeichert. Sprich, die
Kartenummern und sonst. Daten werden per Hand aus der DB rausgenommen,
kontrolliert und dann an die KK-Firma gesand.

Ist unprofessionell - wird aber haeufig so gemacht.

Frage: Ist das speichern von KK-Daten in dieser Form erlaubt? Gelten da
besondere Richtlinien? Welche Konsequenzen hat es wenn die Daten -
unbeabsichtigt - an dritte gelangt?

Danke & Lg,
--
----------------------------------------------------------------
,yours Thomas Zangl - ***@tzis.net - http://www.tzis.net/ -
- Freelancer - IT Consulting & Software Development -
Use Y.A.M.C! now! Get it at http://www.borg-kindberg.ac.at/yamc/
Herbert Wotzel
2006-07-25 17:02:02 UTC
Permalink
Post by Thomas Zangl
Hi!
Gegeben ist ein Bestellformular und es wird Zahlung per Kreditkarte
angeboten. Der Server bietet keine SSL Verschluesselung an.
Zum Zwecke der zeitverzoegernden Weiterverarbeitung werden die KK bezognen
Daten in einer Datenbanktabelle gespeichert. Sprich, die Kartenummern und
sonst. Daten werden per Hand aus der DB rausgenommen, kontrolliert und
dann an die KK-Firma gesand.
Ist unprofessionell - wird aber haeufig so gemacht.
Frage: Ist das speichern von KK-Daten in dieser Form erlaubt? Gelten da
besondere Richtlinien? Welche Konsequenzen hat es wenn die Daten -
unbeabsichtigt - an dritte gelangt?
Das Speichern ist jedenfalls solange erlaubt, wie die Daten für die
Geschäftsabwicklung benötigt werden, darüber hinaus auch noch für den
Zeitraum, in dem eine Rückbuchung zu befürchten ist. Eine Aufbewahrung der
Kreditkartendaten über den Zeitraum von 7 Jahren, in dem die
Buchhaltungsdaten grundsätzlich nachvollziehbar vorhanden sein müssen,
besteht meines Erachtens nicht, kann aber argumentiert werden.

Wenn die Daten unbeabsichtigt an Dritte Gelangen, ist das
datenschutzrechtlich genauso schlimm, wie wenn es mit Absicht erfolgt, es
fällt nur der strafrechtliche Tatbestand weg. Gem. § 14 DSG 2000 sind
ausreichende Datensicherheitsmaßnahmen zu treffen, deren Umfang an die Art
der zu schützenden Daten anzupassen ist. Da bei Kreditkartendaten ein hohes
Gefährdungspotential besteht, bedarf es entsprechend hoher
Sicherheitsmaßnahmen, sodass die beschriebene Datenanwendung eher kritisch
zu werten ist.

Gem. § 33 DSG 2000 besteht die Möglichkeit, Schadenersatz "nach den
allgemeinen Bestimmungen des bürgerlichen Rechts" zu verlangen; meines
Erachtens dann, wenn die Daten tatsächlich illegal für Geldtransaktionen
verwendet wurden und eine Rückbuchung nicht möglich war, sowie für
allfällige Kosten des Austauschs der Kreditkarte.
Michael Suda
2006-07-26 05:16:13 UTC
Permalink
Post by Herbert Wotzel
Wenn die Daten unbeabsichtigt an Dritte Gelangen, ist das
datenschutzrechtlich genauso schlimm, wie wenn es mit Absicht
erfolgt, es fällt nur der strafrechtliche Tatbestand weg. Gem. § 14
DSG 2000 sind ausreichende Datensicherheitsmaßnahmen zu treffen,
deren Umfang an die Art der zu schützenden Daten anzupassen ist. Da
bei Kreditkartendaten ein hohes Gefährdungspotential besteht, bedarf
es entsprechend hoher Sicherheitsmaßnahmen, sodass die beschriebene
Datenanwendung eher kritisch zu werten ist.
Gem. § 33 DSG 2000 besteht die Möglichkeit, Schadenersatz "nach den
allgemeinen Bestimmungen des bürgerlichen Rechts" zu verlangen; meines
Erachtens dann, wenn die Daten tatsächlich illegal für
Geldtransaktionen verwendet wurden und eine Rückbuchung nicht
möglich
war, sowie für allfällige Kosten des Austauschs der Kreditkarte.
Ich erlaube mir, daran zu erinnern, dass das DSG 2000
_personenbezogene_ Daten und damit vorrangig die _Privatsphäre_ eines
Menschen zum Schutzobjekt erklärt.
Die Herstellung technischer Datensicherheit und der Schutz vor
Straftaten gegen das Vermögen, die durch technische
"Datenschutzmängel" ermöglicht oder erleichtert werden, sind dabei
keine eigenständigen Ziel sondern nur Mittel zum Zweck bzw.
Nebenprodukt.
Eine Kreditkartennummer in Verbindung mit dem Namen eines
Nutzungsberechtigten (für dieses Konto) sagt über die Person nicht
viel mehr aus, als dass diese eben das Zahlungssystem einer bestimmten
Kreditkartenorganisation benützt. Ist es die Organistion A statt C,
kann man daraus die _Schätzung_ ableiten, dass die Person vielleicht
über dem Durchschnittseinkommen verdient. So ist als die
Kreditkartennummer ein personenbezogenes Datum, allerdings kein in
besonders hohem Grade schutzwürdiges, was die Privatsphäre betrifft.
--
Michael Suda
A-1040 Wien
Oesterreich/Austria/Autriche
Reto Koch
2006-07-25 17:40:03 UTC
Permalink
Post by Thomas Zangl
Frage: Ist das speichern von KK-Daten in dieser Form erlaubt? Gelten da
besondere Richtlinien? Welche Konsequenzen hat es wenn die Daten -
unbeabsichtigt - an dritte gelangt?
Gemäss Visa und Mastercard müssen Kartendaten verschlüsselt
entgegengenommen und gespeichert werden. Zudem sind weitere
Sicherheitsmassnahmen zu treffen.

Das entsprechende Programm nennt sich bei Mastercard SDP (Site Data
Protection) und gilt prinzipiell für alle Onlinehändler, die Kartendaten
entgegennehmen. Die Durchsetzung liegt bei den nationalen
Kartenherausgebern (Acquirer). In verschiedenen Ländern ist der Druck
auf die Händler aber noch nicht sehr gross, doch wer sich nicht
zertifiziert risikiert früher oder später seinen Vertrag zu verlieren.

https://sdp.mastercardintl.com

Wer nicht zertifiziert ist, risikiert zudem höheren
Schadenersatzforderungen seitens Kartenfirma ausgesetzt zu sein, sollte
was passieren.
Loading...