In der Presse wurde mehrfach über den sogenannten „Punktediebstahl“ bei Payback berichtet. Auch einer meiner Mandantinnen wurden 10.000 Payback-Punkte (Gegenwert: 100 €) „gestohlen“. Unbekannte Dritte haben ohne ihr Wissen Zugriff auf ihren Punktestand genommen und eine unberechtigte Einlösung der Punkte in einer REWE Filiale erreicht, die hunderte Kilometer vom Wohnort der Mandantin liegt.

Nachdem die Mandantin Payback auf die missbräuchliche Einlösung der Punkte hinwies und „Einspruch“ wegen des unrichtigen Punktestands einlegte, wurde jegliches (Mit-)Verschulden durch Payback abgestritten und auf etwaige Sicherheitslücken seitens der Mandantin verwiesen. Die Mandantin konnte jedoch darlegen, dass der Missbrauch ihres Payback-Kontos nicht auf Sicherheitslücken ihrerseits zurückzuführen ist. Sie hat weder eine Phishing-Mail erhalten noch wurden ihre beiden Payback-Karten oder ihre Geldbörse entwendet.

Damit stellt sich die Frage, wie dieser Betrug vollzogen werden konnte. Entweder sind die Systeme von Payback nicht ausreichend gesichert oder die Login-Daten sind im Wege einer Datenpanne im System von Payback Dritten zugänglich geworden. Problematisch ist dies vor allem, da eine der drei Möglichkeiten des Logins die Angabe der Postleitzahl und des Geburtsdatums ist. Daten, die man also leicht über eine Person herausfinden kann – meist reicht ein Blick in eine Altpapiertonne!

Das Datenprofil bei Payback enthält personenbezogene Daten, die eine natürliche Person identifizierbar machen. Nach Art. 4 Nr. 12 DSGVO stellt die unbefugte Offenlegung von beziehungsweise der unbefugte Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden eine Verletzung des Schutzes personenbezogener Daten dar. Im Auftrag der Mandantin habe ich nun Payback zur Auszahlung des vormals bestehenden Punktestandes auf ihr Bankkonto aufgefordert. Da die Mandantin eine Deckungszusage ihrer Versicherung erhalten hat, werden wir gerichtliche Schritte prüfen, von einer Klage auf Auszahlung der Punkte, über eine Beschwerde bei der Datenschutzaufsicht usw. ..

Persönlich halte ich selbstverständlich überhaupt nichts davon, Payback-Punkte zu sammeln und für einen so lächerlichen Gegenwert wie 100€ sein Konsumverhalten an Payback zu verkaufen. Gleiches gilt für alle anderen Kundenbindungsprogramme, Meilen, Herzen usw.

Aber wenn jemand schon diese Punkte gewissenhaft sammelt und ihn dann deswegen nicht einlösen kann, weil Payback ggf. unzureichende Schutzmaßnahmen für die Nutzerauthentifizierung getroffen und damit „Punktediebstahl“ Tür und Tor geöffnet hat und sich dann so stur und kundenfeindlich verhält, dann sollte dieser Dame doch geholfen werden, auch wenn es völlig unwirtschaftlich ist.

Was tun bei Punktediebstahl?
1. Einspruch bei Payback einlegen! Dokumentieren Sie den Einspruch.
2. Auszahlung des Punktestands oder Gutschrift verlangen!
3. Überprüfen Sie Ihre IT-Sicherheitsmaßnahmen.
4. Mehr Informationen über Identitätsdiebstahl hier: www.datenklau-hilfe.de