Europäisches Verbraucherzentrum Deutschland
Online-Shops prüfen Kunden-Identitäten – Dürfen die das?
Online-Shopping, Online-Banking und andere digitale Dienste gehören in Europa zum Alltag – damit verbundene Risiken für Verbraucherinnen und Verbraucher aber auch. Um etwa Identitätsdiebstahl und Zahlungsbetrug entgegenzuwirken, setzen viele Unternehmen auf sogenannte „Know Your Customer“ (KYC)-Verfahren zur Identitätsprüfung vor Abschluss eines Bestell- oder Zahlungsvorgangs. Gängige Methoden sind beispielsweise die Zwei-Faktor-Authentifizierung, eID-Verfahren oder digitale Signaturen. Anlässlich des Weltverbrauchertags am 15. März informiert das Europäische Verbraucherzentrum (EVZ) Deutschland über KYC und die Rechte von Verbrauchern nach den EU-Datenschutzvorschriften.
Was ist KYC und warum wird es angewendet?
KYC bezeichnet die Identitätsprüfung eines Verbrauchers vor Abschluss einer Online-Transaktion. Im Finanzsektor ist dieses Verfahren weit verbreitet, wird aber auch zunehmend im Online-Handel und bei Telekommunikationsanbietern angewandt. Betrug, Geldwäsche und andere illegale Vorgänge sollen so möglichst verhindert werden.
Doch KYC dient nicht nur der Betrugsprävention: Unternehmen nutzen die erhobenen Daten auch für Marketingzwecke und zur Kundensegmentierung. Basierend auf ihrem Kaufverhalten erhalten einige Verbraucher personalisierte Angebote, während anderen bestimmte Zahlungsmethoden verweigert oder Konten eingeschränkt werden können. Dem Netzwerk der Europäischen Verbraucherzentren (ECC-Net) liegen Beschwerden vor, die zeigen, dass wiederholte Reklamationen oder Rücksendungen zur Sperrung von Kundenkonten führen können, ohne eine nachvollziehbare Begründung.
Händler und Dienstleister erfassen bei Online-Geschäften viele persönliche Daten, darunter:
- Name und Anschrift
- E-Mail-Adresse und Telefonnummer
- IP-Adresse und Geräte-Typ (PC, Smarphone, Betriebssystem)
- Zahlungsdaten (Kreditkarte, Bankverbindung)
Häufig greifen Unternehmen auf sogenannte Scoring-Modelle zurück, um die Kreditwürdigkeit und Zuverlässigkeit von Kunden zu bewerten – oft unter Einbeziehung externer Datenbanken wie z. B. der Auskunftei SCHUFA.
Unterschiedliche KYC-Anforderungen in der EU
Die Vorschriften zur Identitätsprüfung unterscheiden sich zwischen den Mitgliedstaaten der EU:
- Deutschland: Verbraucher dürfen aufgefordert werden, eine Kopie ihres Personalausweises vorzulegen. Sie müssen aber darüber informiert werden, dass irrelevante Informationen (z. B. eine Seriennummer) abgedeckt werden dürfen. Eine Weitergabe der Kopie an Dritte ist verboten.
- Frankreich: Händler können bei Kartenzahlungen einen Identitätsnachweis verlangen. Verbraucher dürfen dies jedoch ablehnen.
- Tschechien: Nach den tschechischen Anti-Geldwäsche-Gesetzen dürfen Identitätsdokumente ohne Zustimmung des Verbrauchers kopiert werden.
- Bulgarien: Generell dürfen Händler keine Kopien von Ausweisdokumenten verlangen - mit Ausnahme bestimmter Branchen wie Banken oder Glücksspielanbieter.
Wenn Verbraucher eine Kopie ihres Ausweises bereitstellen müssen, empfiehlt es sich, ein Wasserzeichen mit einem Vermerk hinzuzufügen. Beispielsweise kann die Kopie mit dem Hinweis „Nur zur Verifizierung meiner Bestellung Nr. XXX bei Händler XXX“ oder mit einem Datum versehen werden. Das hilft, einen Datenmissbrauch zu verhindern.
Das Europäische Verbraucherzentrum Deutschland rät:
- Seien Sie vorsichtig bei Anfragen nach Ausweisdokumenten - nicht alle Unternehmen dürfen diese verlangen.
- Fragen Sie nach dem Zweck der Datenerhebung.
- Prüfen Sie Ihre Rechte nach der Datenschutz-Grundverordnung (DSGVO), insbesondere im Hinblick auf automatisierte Kundenbewertungen (Scoring).
Verbraucherrechte nach der Datenschutz-Grundverordnung (DSGVO)
Die DSGVO verpflichtet Unternehmen dazu, die Erhebung und Verarbeitung personenbezogener Daten auf das Notwendige zu beschränken. Verbraucherinnen und Verbraucher müssen transparente Informationen über die Verwendung ihrer Daten erhalten. Sie haben außerdem das Recht zu erfahren, welche ihrer Daten bei einem Unternehmen gespeichert sind und können deren Berichtigung oder Löschung verlangen.
Missachten Unternehmen ihre Pflichten aus der DSGVO, drohen Strafen. Im Januar 2025 verhängte beispielsweise die niederländische Datenschutzbehörde eine Geldstrafe von 4,75 Millionen Euro gegen ein bekanntes Streaming-Portal. Der Anbieter hatte es versäumt, Kunden transparent über die Nutzung, Speicherung und Weitergabe ihrer Daten zu informieren – sowohl in der Datenschutzerklärung als auch auf direkte Anfragen hin.
Europäische Entwicklungen: Digitale Identität und KYC
Die Initiative „ Europäische Digitale Identität“ der EU-Kommission, soll Verbrauchern künftig eine sichere und datensparsame digitale Identifizierung innerhalb der EU ermöglichen. Damit können sie sich online ausweisen und Verträge rechtsgültig digital unterzeichnen.
Dies könnte Online-Transaktionen erleichtern, indem Verbraucher ihre Daten nicht mehr bei zahlreichen Unternehmen hinterlegen müssen. Gleichzeitig bleibt die Kontrolle über persönliche Daten entscheidend: Verbraucher sollten wissen, welche Informationen sie mit wem und zu welchem Zweck teilen. Unzureichende Schutzmaßnahmen könnten Identitätsdiebstahl oder den Missbrauch personenbezogener Daten begünstigen.
Fazit: KYC muss Sicherheit und Verbraucherrechte ausbalancieren
KYC kann zur Betrugsprävention beitragen – doch Unternehmen müssen sicherstellen, dass die Datenerhebung fair, transparent und DSGVO-konform erfolgt. Verbraucher sollten jederzeit wissen, wie ihre Daten genutzt werden, und das Recht haben, automatisierte Bewertungen oder Einschränkungen anzufechten.
Informationen zu Verbraucherrechten in der EU bietet das Europäische Verbraucherzentrum (EVZ) Deutschland im Internet auf www.evz.de. Das EVZ ist Teil des Netzwerks der Europäischen Verbraucherzentren (ECC-Net), das Verbraucher bei Problemen mit Anbietern aus anderen europäischen Ländern unterstützt. Allein im Jahr 2024 beantwortete das ECC-Net über 133.000 Verbraucheranfragen.
Ihr Kontakt für Presseanfragen: Karolina Wojal
Europäisches Verbraucherzentrum Deutschland c / o Zentrums für Europäischen Verbraucherschutz e. V. Bahnhofsplatz 3, 77694 Kehl T +49 (0) 78 51.991 48- 33 | F +49 (0) 78 51.991 48-11 presse@evz.de | www.evz.de
Finanziert durch die Europäische Union. Die geäußerten Ansichten und Meinungen sind jedoch ausschließlich die des Autors / der Autoren und spiegeln nicht unbedingt die der Europäischen Union oder des Europäischen Innovationsrates und der Exekutivagentur für kleine und mittlere Unternehmen (EISMEA) wider. Weder die Europäische Union noch die Bewilligungsbehörde können dafür zur Verantwortung gezogen werden.