30/10/2018 Risk Management
Johannes Schumacher

Rechtmäßigkeit in der Betrugserkennung

Das Einzige, was eine Erhöhung der Warenkorbabbruchquote stärker begünstigt als Kunden nicht die gewünschten Zahlarten anzubieten, ist diese zuerst anzubieten und dann in einem Folgeschritt wieder auszuschließen – Am besten per E-Mail, nachdem man eine Auftragsbestätigung versendet hat. Das garantiert einem Händler nicht nur den verwaisten Warenkorb, sondern zusätzlich noch den Reputationsschaden, der sich über soziale Netze streut. Und schlechte Nachrichten verbreiten sich in der Regel leider deutlich schneller als gute Nachrichten. Man möchte also den Kunden hinsichtlich der passenden Zahlarten und des Betrugsverdachtes untersuchen, bevor man die Zahlungsoptionen zur Verfügung stellt.

Gerade bei Neukunden wird hierbei die Betrugsmustererkennung zum datenschutzrechtlichen Eiertanz. Typische Betrugsmuster ergeben sich erst bei der Betrachtung zurückliegender Bestellversuche – gerade auch derer, die am Ende doch nicht zu einem Kauf geführt haben. Mit Hilfe von Mehrfachbestellungen, bei denen gezielt Details über die eigene Person verfälscht werden, versucht ein Besteller die Identifikation durch den Shop zu umgehen. (Lesen Sie hierzu auch den Blog-Beitrag Betrug im Onlinehandel – Herausforderungen für Shopbetreiber) Dies hätte vermutlich einen Ausschluss von Rechnungskauf oder Lastschrift zur Folge, weil z.B. bereits negative Zahlungserfahrungen oder Auskunftseinträge vorhanden sind. Die Herausforderung besteht also darin, diese nicht erfolgreichen Kaufvorgänge im Blick zu behalten, wenn aktuelle Anträge bewertet werden. Nur so können Betrugsmuster anhand statistischer Anomalien erkannt und ausgesteuert werden.

Doch dürfen Daten über nicht mit Kauf abgeschlossener Bestellvorgänge überhaupt gespeichert und verarbeitet werden? Und wenn ja, wie lange?

Speicherung personenbezogener Daten zur Betrugsmustererkennung? Klar!

Grundsätzlich ist die Speicherung und Verarbeitung personenbezogener Daten nach DSGVO Artikel 6 Abs. 1 f) dann erlaubt, wenn ein berechtigtes Interesse für die verarbeitende Stelle, also den Shop, vorliegt und die Grundrechte und Grundfreiheiten der betroffenen Person, also des Bestellers, nicht überwiegen. Für Sie als Shop-Betreiber bedeutet das, dass Sie diesbezüglich zusammen mit Ihrer Datenschutzbeauftragten Ihre Interessen und die Ihrer Kunden gegeneinander abwägen müssen. Weitere Auswirkungen durch der DSGVO auf die Behandlung personenbezogener Daten durch Onlineshops werden auch im Artikel DSGVO: Schutz vor Datenmissbrauch bei Rechnungskauf ausgeführt.

Durch Betrug im eCommerce entstehen jährliche Kosten in Milliardenhöhe und das allein in Deutschland. Ein berechtigtes Interesse ist also gegeben, wenn Sie Ihre Ware unter kreditorischem Risiko anbieten möchten (wie z.B. bei Rechnungskauf oder Lastschrift). Vielmehr stellt sich tatsächlich die Frage, wie lange diese Daten vorgehalten werden dürfen. Hierfür gibt es leider keine eindeutige Antwort. Vielmehr hängt es davon ab, ob sie die Länge der Speicherung nachvollziehbar begründen zu können. Beschränken sich die betrügerischen Mehrfachbesteller erfahrungsgemäß auf einen eher kurzen Zeitraum, ist eine längerfristige Speicherung nicht notwendig und die Daten müssen nach einem kurzen Zeitraum gelöscht werden (z.B. mehrere Tage). Sind besonders hartnäckige Betrugsmuster gegeben, die sich über Wochen hinziehen, kann auch eine entsprechend längere Speicherdauer nachvollziehbar und begründbar sein.

Geht das auch konkreter?

Sie müssen die oben erwähnte Interessenabwägung vornehmen, bevor Sie das erste Mal personenbezogene Daten speichern und verarbeiten – Also ggf. bevor Sie überhaupt Know-How in diesem Bereich aufbauen konnten. Wichtig ist es also, dass Sie sich einen Partner zur Seite holen, der Sie bei der Interessenabwägung mit Erfahrungen aus dem eCommerce und bei der Erkennung von Betrugsmustern schon von Anfang an unterstützt. Weiterhin brauchen Sie eine Lösung, die Ihnen auch kurzfristig das Nachjustieren Ihrer Betrugsmustererkennung erlaubt. Sei es, um neuen Betrugsmustern in Echtzeit vorzubeugen oder um Änderungen in den datenschutzrechtlichen Bestimmungen abbilden zu können. SHS VIVEON unterstützt Kunden seit Jahren bei allen Herausforderungen des Customer Risk Managements und steht Ihnen gerne beratend und als Lösungsanbieter zur Seite. Kommen Sie gerne auf mich zu…