Ende Oktober wurde bekannt, dass Mitglieder des Jö-Bonusclubs zum Ziel von Cyberattacken geworden sind. 2,3 Millionen E-Mailadressen und Passwörter seien gestohlen worden, allerdings nicht von Unternehmensservern sondern aus anderen Quellen, wie der Jö-Bonusclub in einer Presseaussendung betont. In 75 Fällen sei es den Kriminellen gelungen, mit erbeuteten Kundenpunkten Einkäufe zu tätigen, der entstandene Schaden werde ersetzt.
Nicht jede Kundenkarte ist sinnvoll
Sendungshinweis
„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1 und als Podcast.
Der Vorfall zeigt einmal mehr, wie interessant Kundendaten für Kriminelle sein können, sagt der Konsumentenschützer Herwig Höfferer von der Arbeiterkammer (AK) Kärnten. Man sei nicht grundsätzlich gegen Kundenkarten, die Teilnahme an einem solchen Kundebindungsprogramm sollte aber zumindest gut überlegt sein. Nicht jede angebotene Kundenkarte sei sinnvoll, in einem konkreten Fall habe man ihm zwei Prozent Rabatt auf einen Jahresumsatz von 100 Euro angeboten, was in Summer gerade einmal zwei Euro ergeben hätte, erzählt Höfferer.
„Rabatte werden von Unternehmen eingepreist“
Die Rabatte seien außerdem eingepreist. Wer sich die Mühe macht, einen Preisvergleich anzustellen, werde meist feststellen, dass viele Produkte in anderen Geschäften dasselbe kosten wie die Rabattangebote in den Filialen des Kundenkartenanbieters, so Höfferer. Außerdem gebe es noch andere Möglichkeiten, an Rabattschlachten teilzunehmen. So bietet etwa die Handelskette Spar Rabattmarken an, mit denen man bis zu 20 Prozent auf einen Einkauf sparen kann. Ganz anonym.
Experte: Oft werden mehr Daten abgefragt als nötig
Bei Kundenkarten ist es mit der Anonymität vorbei, bei der Registrierung müssen in der Regel persönliche Informationen bekanntgegeben werden. Nicht selten werde mehr abgefragt als eigentlich notwendig, sagt Höfferer. So sei es beispielsweise kaum nachvollziehbar, warum das Geburtsdatum angegeben werden muss. Auch die Angabe der Wohnadresse sei in vielen Fällen eigentlich nicht wirklich erforderlich, wenn etwa das betreffende Unternehmen seine Werbeaussendungen ohnehin online mittels Newsletter versendet. Leider sei man aber oft gezwungen, diese Informationen bei der Anmeldung zu einem Kundenkartenprogramm zur Verfügung zu stellen, da man sonst von der Teilnahme ausgeschlossen werde, so Höfferer.
Fake-E-Mailadressen bei der Registrierung nutzen
Doch nicht nur die Bekanntgabe der Wohnadresse sollte man nach Möglichkeit vermeiden, auch das Offenlegen der E-Mail-Adresse könne mitunter problematisch sein. Etwa wenn diese im Zuge einer Cyberattacke in die Hände von Kriminellen gelangt. In Kombination mit dem Passwort können die Täter dann in die Onlinekonten ihrer Opfer eindringen und entsprechend Schaden anrichten. Der AK-Konsumentenschützer rät daher, bei der Registrierung einer Kundenkarte zu einer Fake-E-Mailadresse zu greifen. Anbieter solcher Fake-E-Mailadressen findet man online.
Passwortmanager für Verwaltung komplexer Passwörter
Wenn E-Mail-Adresse und Passwort im Zuge eines Cyberangriffs in kriminelle Hände gelangt sind, sollte man die Log-in-Daten des betroffenen Accounts auf jeden Fall ändern, sagt Höfferer. Dabei sollte ein langes und komplexes Passwort bestehend aus Buchstaben, Ziffern und Sonderzeichen gewählt werden. Damit man sich dieses nicht merken muss, sei hier der Einsatz eines Passwortmanagers ans Herz gelegt. Passwortmanager können helfen, entsprechend schwierige Kombinationen zu kreieren. Keinesfalls sollte man ein und dasselbe Passwort bei mehreren Onlinekonten einsetzen.
Wer Kundenkarten nutzt, sollte außerdem das Kleingedruckte der Allgemeinen Geschäftsbedingungen (AGB) gut kennen. Denn nicht nur Kriminelle, auch die Handelsunternehmen haben ein reges Interesse an den personenbezogenen Informationen. Daten können an Partnerunternehmen weitergegeben oder auch an Dritte verkauft werden. Wie die erhobenen Datensätze verarbeitet werden, muss in den Datenschutzbestimmungen bekanntgegeben werden.
Mit Kundenkarte zum „gläsernen Kunden“
Die persönliche Einkaufsliste bleibt außerdem einsehbar, hinsichtlich des Einkaufsverhaltens seien Nutzer von Kundenkarten „gläserne Menschen“, so Höfferer. Die erhobenen Daten werden von den Unternehmen genutzt, um zielgerichtet Produktwerbungen an Konsumentinnen und Konsumenten senden zu können. Diese haben grundsätzlich ein Recht darauf, zu erfahren, welche Daten von einem Unternehmen gesammelt werden.
Wer ein entsprechendes Datenauskunftsbegehren stellt, muss eine detaillierte Aufschlüsselung darüber erhalten, welche personenbezogenen Informationen gesammelt und gespeichert wurden. Wie man ein Datenauskunftsbegehren stellt, sollte auf den Webseiten der einzelnen Firmen angegeben werden. Gegebenenfalls kann man die Löschung der Daten beantragen, die Unternehmen müssen diesem Ansuchen, meist unter Einhaltung einer gewissen Frist, nachkommen.