Die meisten Contact Center zeichnen Telefonate mit Kunden aus den verschiedensten Gründen auf. In den meisten Fällen werden die Verbesserung der Servicequalität und die Schulung neuer Mitarbeiter als Hauptgrund angeführt, aber auch die Aufzeichnung zu Dokumentationszwecken und die Kontrolle der Angestellten spielt eine wichtige Rolle.
Eine gesetzeskonforme Sprachaufzeichnung ist möglich, wenn alle Gesprächspartner der Sprachaufzeichnung zustimmen und dabei beachtet wird,
Allerdings gibt es Daten, die trotz einer vorliegenden Einwilligung zur Gesprächsaufzeichnung, nicht oder nur in einem ganz bestimmten Rahmen aufgezeichnet werden dürfen. Dazu gehört die Aufzeichnung von Kreditkartendaten.
Von den Kreditkartenorganisationen wurde ein weltweit verbindlicher Standard definiert: der Payment Card Industry Data Security Standard (PCI-DSS). Er dient dem Schutz der Karten akzeptierenden Unternehmen und der Kartenverwender vor Datendiebstahl und damit verbundenem Kreditkartenmissbrauch.
Dieser Sicherheitsstandard für Kreditkartendaten gilt für alle Einrichtungen, die Karteninhaberdaten verarbeiten oder Kreditkartendaten speichern. Die Einhaltung der sich aus dem Standard ergebenden Vorgaben (PCI-DSS-Compliance) ist verpflichtend in den AGB geregelt.
Unabhängig von der Umsatzhöhe oder der Branchenzugehörigkeit müssen Akzeptanzstellen daher folgende Maßnahmen ergreifen:
Dies stellt nur eine Zusammenfassung der Anforderungen dar (insgesamt umfasst das Dokument zur Regelung des Standards rund 200 Seiten), es wird aber bereits deutlich, dass sich die regelkonforme Aufzeichnung von Kreditkartendaten im Rahmen der Gesprächsaufzeichnung im Contact Center nicht umsetzen lässt und daher unterbleiben sollte. So würde z.B. die Aufzeichnung zu Trainingszwecken als unnötige Speicherung der Kreditkartendaten eingestuft (9.) und der Zugriff von Trainern oder Führungskräften auf diese Daten, als nicht ausreichende Einschränkung der Zugriffsberechtigten (7.).
Unterlassen Akzeptanzstellen eine PCI-DSS konforme Verwendung der Kartendaten, kann dies weitreichende Folgen haben. In der Regel wird die Nichteinhaltung dieser Richtlinie Strafzahlungen seitens des Acquirers nach sich ziehen. Des Weiteren besteht die Gefahr, dass Akzeptanzstellen die Erlaubnis verlieren, Kreditkartenzahlung zu akzeptieren.
Nun stellt sich natürlich die Frage, wie sich die Aufzeichnung von Gesprächen und die Akzeptanz von Kreditkartenzahlungen mit einander vereinbaren lassen. Dazu gibt es verschiedene Möglichkeiten:
A. Verzicht auf die Erfassung der Kreditkartendaten im Rahmen des Gesprächs
Der Anrufer könnte z.B. auf die Möglichkeit zur Erfassung der Zahlungsdaten über das Internet hingewiesen werden, so dass nur die Bestellung ohne Zahlungsdaten im Rahmen des Gesprächs erfasst und damit aufgezeichnet wird. Hier droht allerdings die Gefahr, dass der Auftrag durch den Medienbruch nicht zu Stande kommt, da der Kunde es sich zwischendurch anders überlegt oder zur Onlineerfassung der Daten nicht in der Lage ist.
B. Gesprächsaufzeichnungen werden (manuell) gestoppt
Die Gesprächsaufzeichnung wird vom Mitarbeiter gestoppt, wenn Kreditkartendaten erfasst werden müssen. Hier droht zum Einen die Gefahr, dass Kreditkartendaten versehentlich doch erfasst werden, wenn der Mitarbeiter vergisst die Aufzeichnung zu stoppen. Außerdem würden Gespräche in diesem Fall nicht lückenlos aufgezeichnet.
C. Automatisiertes Erkennen und Löschen der Kreditkartendaten
Einige Anbieter von Software zur Gesprächsaufzeichnung sind in der Lage, Kreditkartendaten automatisch zu erkennen und deren Aufzeichnung zu verhindern bzw. unmittelbar nach der Aufzeichnung den entsprechenden Teilausschnitt zu löschen, was den Anforderungen der PCI-DSS genügen würde.
Man muss sich also auf jeden Fall mit dem Thema beschäftigen, wenn man Gespräche aufzeichnen und Kreditkartenzahlungen auf telefonischem Weg akzeptieren möchte. Ein wirklich zufriedenstellendes Ergebnis wird man dann wohl nur mit der geschilderten Variante C. erzielen können.
Felix Prömel (Senior Berater)
junokai