Ab 1.12.2021: TTDSG könnte Betrügern das Geschäft erleichtern

Von Martina Neumayr, Senior Vice President Credit Risk & Fraud Services Experian DACH

E-Commerce-Betreiber müssen sich ab morgen, 1. Dezember, auf eine wichtige rechtliche Änderung gefasst machen: Mit dem Inkrafttreten des Telekommunikations-Telemedien-Datenschutz-Gesetzes (TTDSG) ändern sich die gesetzlichen Rahmenbedingungen für das Tracken von Gerätedaten noch in diesem Jahr. Anknüpfend an vorherige Gesetze wie die DSGVO wird mit dem TTDSG dem Datenschutz im Online-Bereich eine höhere Bedeutung eingeräumt. Wird es Online-Betrügern damit in Zukunft einfacher gemacht?

Online-Händler, die auf die Auswertung von Gerätedaten zur Prävention von Betrug in ihren Shops zurückgreifen, müssen sich an die neue Regelung anpassen. Bewährte Lösungen zur Betrugsprüfung, bei denen auf Geräteinformationen oder IP-Adressen zugegriffen wird, sind dann nicht mehr so einfach wie bisher einsetzbar. Durch das Gesetz ändern sich die Regelungen für das Setzen von Cookies sowie den Zugriff auf im Endgerät gespeicherte Informationen von Websitebesuchern. Paragraf 25 des TTDSG schreibt hierfür eine informierte Einwilligung des Nutzers im Einklang mit der DSGVO vor.

Eine Betrugsprüfung auf Basis von Geräteinformationen kann ohne die informierte Einwilligung des Webseitenbesuchers zukünftig nur noch beim Vorliegen tatsächlicher Anhaltspunkte für Betrug erfolgen. Bisher war die Information des Nutzers über die Verwertung der Daten und das berechtigte Interesse des Händlers gegenüber den Endkunden ausreichend und keine gesonderte Einwilligung erforderlich.

Mit dem TTDSG wird der Einsatz von Trackinglösungen durch Webseitenbetreiber, bei denen auf Gerätedaten des Websitebesuchers zugegriffen wird, nur noch dann zulässig, wenn eine vorherige Einwilligung des Endkunden vorliegt und diese auch dokumentiert wird.

Unternehmen im E-Commerce stehen daher vor einem Problem: Häufig nutzen Online-Händler die Auswertung von Gerätedaten auf ihren Webseiten zur Betrugsverhütung, sodass sie rechtzeitig reagieren müssen, um zum Start des neuen Gesetzes TTDSG-konform aufgestellt zu sein und trotzdem noch über eine funktionierende Betrugsprävention zu verfügen. Viele aktuell genutzte Tools greifen zur Unterscheidung zwischen einem "guten Kunden" und einem Betrüger auf die Nutzung von Gerätedaten wie Angaben über das Betriebssystem, den Standort oder die IP-Adresse zurück. Die Verarbeitung dieser Daten erleichterte bisher Online-Kaufabschlüsse, ist ab dem 1.12. aber nicht mehr erlaubt. 

Die Lage wird zusätzlich erschwert, weil Shop-Betreiber bei der Gestaltung des Einwilligungsvorgangs das sogenannte Kopplungsverbot die DSGVO beachten müssen. Die Bereitstellung der Dienstleistung darf nicht davon abhängig gemacht werden, dass der Endkunde zur Verarbeitung seiner Endgerätedaten zustimmt. Ansonsten findet die Einwilligung nicht freiwillig statt und ist somit unwirksam. Es muss eine gesonderte Bezahloption für Nutzer angeboten werden, die nicht einwilligen wollen, damit die Kunden eine echte Wahl haben.

Für ein optimales Risikomanagement werden Unternehmen zukünftig also nicht umhinkommen, auf Betrugspräventionslösungen zu setzen, die auch ohne die Auswertung von Gerätedaten funktionieren. Mit Lösungen, die Machine Learning einsetzen, sind Händler in der Lage, durch maßgeschneiderte und stets aktuelle Betrugspräventionsmodelle auf die kontinuierliche Auswertung von Gerätedaten zu verzichten. Dabei können Händler ihre bisher gesammelten Daten kombinieren und mit ihren Betrugspräventionslösungen abstimmen.

Entscheidungen zur Betrugserkennung lassen sich auf Basis einer intelligenten Analyse dieser Datenlage automatisch ableiten: Transaktionen können so schneller einem möglichen Betrüger oder einem guten Kunden zugeordnet werden. Regelmäßige Trainings der Machine-Learning-Modelle erhöhen die Präzision dieser Entscheidungen erheblich. Das Risiko von höheren Kaufabbrüchen durch "false positives" lässt sich so minimieren.

Online-Händler sollten die auf ihrer Website eingesetzten Technologien zur Betrugsprävention im Hinblick auf die Regelungen des TTDSG überprüfen, sodass sie rechtzeitig reagieren können und zum 01. Dezember gesetzeskonform aufgestellt sind. Es gilt, jetzt zu handeln, damit Betrüger es in Zukunft nicht leichter haben.