Wirtschaft

Nocard: Kundenkarten haben Sicherheitsproblem

Die Kundenkarten-Plattform nocard.info, über die Kunden von Billa, Bipa und Merkur anonym, allerdings mit den Daten von Kundenkarten anderer Personen, Rabatte der jeweiligen Geschäfte in Anspruch nehmen können, sorgt weiterhin für Aufregung. Die Codes sind nämlich nicht, wie vielerorts geglaubt, wirklich anonym, sondern gehören Bestandskunden. „Wir haben einfach eine Range an Kundennummern ausgemessen bzw. geschätzt, die zufällig funktionieren und generieren daraus einen gültigen EAN13-Code“, sagen die Betreiber, die der futurezone anonym eine Stellungnahme gaben. „Rewe baut also eine anscheinend für sie kritische Infrastruktur auf einem vollkommen unsicheren Fundament auf“, so die Kritik der Betreiber der Plattform.

Die Rewe Group verweist im Gespräch mit futurezone.at darauf, dass die Personen, die nocard.info benutzen, anderen Personen dadurch „die Vorteile wegnehmen“ würden. „Die Nummern, die von nocard.info benutzt werden, gehören tatsächlichen Bestandskunden“, so die Rewe-Sprecherin Ines Schurin. Das bedeutet etwa, dass Rabatt-Aktionen wie „minus zehn Prozent“, wie sie bei Merkur von Zeit zu Zeit stattfinden, von den „echten“ Kunden nicht in Anspruch genommen werden könnten, weil dies jemand anders bereits getan hat.

Doch es war gar nicht ihr primäres Ziel, dieses Sicherheitsproblem, das offenbar vorzuliegen scheint, aufzuzeigen. „Uns geht diese Kundenkartenmanie auf die Nerven. Wir wollten nicht strukturell benachteiligt werden, nur weil wir uns nicht tracken lassen wollen. Außerdem nervt dieses ständige Gefrage nach einer Kundenkarte“, erklären die Plattform-Betreiber für die Entwicklung von Nocard.Info.

Unschärfe bei Vorteilsangeboten

Die Rewe-Sprecherin verweist hingegen darauf, dass es auch immer wieder Aktionen gebe, die „für jeden gelten“. „Zusätzlich gibt es Vorteile für unsere Stammkunden. Damit können wir den Kunden gewisse Dinge bieten, die sie möglicherweise interessieren. Allerdings werden bei uns keine Einzeldaten analysiert, sondern nur Kunden- und Warengruppen. Damit gibt es bei den Vorteils-Angeboten auch eine gewisse Unschärfe“, erzählt Schurin. Statt Sojamilch, die regelmäßig eingekauft wird, gibt es dann etwa ein Sojajoghurt, das zur selben Warengruppe gehört, im Angebot.

Die Nocard.Info-Betreiber sehen dies freilich etwas anders: „Solche Vorteils-Angebote wie Rabattkarten sind nichts anderes als psychologische Tricks, um Kunden an sich zu fesseln. Mit personenbezogenen Daten hat man dann auch noch die zusätzliche Möglichkeit das individuelle Kaufverhalten der Kunden zu steigern. So züchtet man sich seine eigenen Konsumopfer.“ Das System müsse hochprofitabel sein, sei aber auch höchst fragwürdig. „der ganze Aufwand, der hier betrieben wird, muss sich wohl für den Konzern lohnen.“

Merkur schließt Drittanbieter aus

Beim Merkur hat man mittlerweile auf die neue Plattform reagiert. „Die Kassierer wurden seit Freitag dazu angehalten, ausschließlich die Merkur-App als Basis herzunehmen“, sagt die Rewe-Sprecherin. Das heißt, Apps von Drittanbietern wie Stocard oder Mobile Pocket werden vorläufig nicht mehr an den Kassen akzeptiert. „Wir haben nichts gegen die Betreiber dieser Apps. Wir müssen uns langfristig betrachtet zusammensetzen, um eine Lösung zu finden“, so Schurin.

Gegen das Unterfangen von Nocard.Info werden von der Rewe Group unterdessen rechtliche Schritte geprüft. Die Betreiber der Nocard.Info-Plattform haben nämlich die Merkur-App unterdessen so angepasst, dass sie der offiziellen Merkur-App optisch sehr ähnelt. „Angestellten von Merkur ist es jetzt nicht mehr zumutbar, den Unterschied zu erkennen. Drittanbier-Apps sind außerdem nicht das Problem: Merkur hat jetzt viele verärgerte Kunden, aber keinesfalls für Sicherheit gesorgt“, so die Nocard.Info-Betreiber, die sich sehr wohl bewusst sind, dass sie sich auf rechtlich dünnem Eis befinden. „Wir verwenden zum Beispiel urheberrechtlich bzw. markenrechtlich relevantes Material.“

Alle Inhalte anzeigen

„Sichere Lösungen müssen schnell erkennbar sein für die Kassierer“, gibt die Rewe-Sprecherin zu. „Dass wir voerst nur noch die Merkur-App akzeptieren, ist einer von vielen Schritten. Wir arbeiten an weiteren Lösungen“, heißt es.

"Haben anscheinend den Nerv getroffen"

Die Plattform, die eigentlich für Nutzer gedacht war, „die sich nicht dem Marketing-Schmafu von Rewe unterwerfen wollen, aber trotzdem ab und zu in deren Filialen einkaufen gehen“, wie es die Betreiber ausdrücken, wurde durch die mediale Diskussion jetzt einer breiteren Öffentlichkeit präsentiert, als ursprünglich geplant. „Wir dachten, dass das Tool vielleicht von ein paar Leuten verwendet werden wird, aber anscheinend haben wir einen Nerv getroffen“, so die Betreiber, die mit ihrer Aktion vor allem auch darauf aufmerksam machen wollten, dass „Datenschutz und Privatsphäre die Grundpfeiler einer freien Gesellschaft“ seien. „Das haben viele noch nicht begriffen“.