DE | EN

Tipp KW 40 – 2019

Sprachaufzeichnung von Kreditkartendaten

Die meisten Contact Center zeichnen Telefonate mit Kunden aus den verschiedensten Gründen auf. In den meisten Fällen werden die Verbesserung der Servicequalität und die Schulung neuer Mitarbeiter als Hauptgrund angeführt, aber auch die Aufzeichnung zu Dokumentationszwecken und die Kontrolle der Angestellten spielt eine wichtige Rolle.

Eine gesetzeskonforme Sprachaufzeichnung ist möglich, wenn alle Gesprächspartner der Sprachaufzeichnung zustimmen und dabei beachtet wird,

  • dass die Einwilligung freiwillig erfolgen muss und widerruflich bleibt,
  • dass sie schriftlich vorliegen muss, sofern nicht wegen besonderer Umstände eine andere Form angemessen ist, sowie
  • dass der Betroffene über Umfang und Tragweite seine Einwilligung aufzuklären ist,
  • und was geschieht, wenn er nicht einwilligt.

Allerdings gibt es Daten, die trotz einer vorliegenden Einwilligung zur Gesprächsaufzeichnung, nicht oder nur in einem ganz bestimmten Rahmen aufgezeichnet werden dürfen. Dazu gehört die Aufzeichnung von Kreditkartendaten. 

Von den Kreditkartenorganisationen wurde ein weltweit verbindlicher Standard definiert: der Payment Card Industry Data Security Standard (PCI-DSS). Er dient dem Schutz der Karten akzeptierenden Unternehmen und der Kartenverwender vor Datendiebstahl und damit verbundenem Kreditkartenmissbrauch.

Dieser Sicherheitsstandard für Kreditkartendaten gilt für alle Einrichtungen, die Karteninhaberdaten verarbeiten oder Kreditkartendaten speichern. Die Einhaltung der sich aus dem Standard ergebenden Vorgaben (PCI-DSS-Compliance) ist verpflichtend in den AGB geregelt.

Unabhängig von der Umsatzhöhe oder der Branchenzugehörigkeit müssen Akzeptanzstellen daher folgende Maßnahmen ergreifen:

  1. Installation und Instandhaltung einer Firewall-Konfiguration zum Datenschutz.
  2. Voreingestellte und ausgelieferte Systempasswörter der Händler sowie anderer Sicherheitsparameter sollen nicht verwendet werden.
  3. Die gespeicherten Karteninhaberdaten müssen geschützt werden.
  4. Karteninhaberdaten und andere sensible Informationen dürfen nur verschlüsselt über öffentliche Netze übertragen werden.
  5. Antiviren-Programme müssen genutzt und regelmäßig aktualisiert werden.
  6. Anwendungen und Systeme müssen sicher entwickelt und instandgehalten werden.
  7. Der Zugriff auf die Karteninhaberdaten muss gemäß des need-to-know-Prinzips beschränkt werden.
  8. Allen Personen mit Computerzugriff müssen eindeutige Benutzerkennungen zugewiesen sein.
  9. Der physische Zugang zu Karteninhaberdaten muss eingeschränkt sein.
  10. Umfassende Nachverfolgung und Überwachung aller Zugriffe auf Karteninhaberdaten sowie Netzwerk-Ressourcen.
  11. Die Sicherheit von Systemen und deren Prozesse müssen regelmäßig überprüft werden.
  12. Die Informationssicherheitsrichtlinie muss eingehalten und gepflegt werden.

Dies stellt nur eine Zusammenfassung der Anforderungen dar (insgesamt umfasst das Dokument zur Regelung des Standards rund 200 Seiten), es wird aber bereits deutlich, dass sich die regelkonforme Aufzeichnung von Kreditkartendaten im Rahmen der Gesprächsaufzeichnung im Contact Center nicht umsetzen lässt und daher unterbleiben sollte. So würde z.B. die Aufzeichnung zu Trainingszwecken als unnötige Speicherung der Kreditkartendaten eingestuft (9.) und der Zugriff von Trainern oder Führungskräften auf diese Daten, als nicht ausreichende Einschränkung der Zugriffsberechtigten (7.).

Unterlassen Akzeptanzstellen eine PCI-DSS konforme Verwendung der Kartendaten, kann dies weitreichende Folgen haben. In der Regel wird die Nichteinhaltung dieser Richtlinie Strafzahlungen seitens des Acquirers nach sich ziehen. Des Weiteren besteht die Gefahr, dass Akzeptanzstellen die Erlaubnis verlieren, Kreditkartenzahlung zu akzeptieren.

Nun stellt sich natürlich die Frage, wie sich die Aufzeichnung von Gesprächen und die Akzeptanz von Kreditkartenzahlungen mit einander vereinbaren lassen. Dazu gibt es verschiedene Möglichkeiten:

A. Verzicht auf die Erfassung der Kreditkartendaten im Rahmen des Gesprächs

Der Anrufer könnte z.B. auf die Möglichkeit zur Erfassung der Zahlungsdaten über das Internet hingewiesen werden, so dass nur die Bestellung ohne Zahlungsdaten im Rahmen des Gesprächs erfasst und damit aufgezeichnet wird. Hier droht allerdings die Gefahr, dass der Auftrag durch den Medienbruch nicht zu Stande kommt, da der Kunde es sich zwischendurch anders überlegt oder zur Onlineerfassung der Daten nicht in der Lage ist.

B. Gesprächsaufzeichnungen werden (manuell) gestoppt

Die Gesprächsaufzeichnung wird vom Mitarbeiter gestoppt, wenn Kreditkartendaten erfasst werden müssen. Hier droht zum Einen die Gefahr, dass Kreditkartendaten versehentlich doch erfasst werden, wenn der Mitarbeiter vergisst die Aufzeichnung zu stoppen. Außerdem würden Gespräche in diesem Fall nicht lückenlos aufgezeichnet.

C. Automatisiertes Erkennen und Löschen der Kreditkartendaten

Einige Anbieter von Software zur Gesprächsaufzeichnung sind in der Lage, Kreditkartendaten automatisch zu erkennen und deren Aufzeichnung zu verhindern bzw. unmittelbar nach der Aufzeichnung den entsprechenden Teilausschnitt zu löschen, was den Anforderungen der PCI-DSS genügen würde.

Man muss sich also auf jeden Fall mit dem Thema beschäftigen, wenn man Gespräche aufzeichnen und Kreditkartenzahlungen auf telefonischem Weg akzeptieren möchte. Ein wirklich zufriedenstellendes Ergebnis wird man dann wohl nur mit der geschilderten Variante C. erzielen können.

Felix Prömel (Senior Berater)
junokai