Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

Rewe hat ein Datenleck

4. April 2009 um 19:35 Uhr von Atari-Frosch

Ich war eben noch fürs Wochenende einkaufen. Da mein mitgenommenes Bargeld knapp nicht reichte, zahlte ich mit Karte. In letzter Zeit mußte ich dafür immer unterschreiben, diesesmal ging's mit PIN. Seit Wochen sagen mir die Kassiererinnen, daß die Kasse das je nach Lust & Laune selbständig entscheidet, ob es Lastschrift oder Abbuchung mit PIN sein darf. Heute stellte ich fest, daß es zwischen beiden Verfahren auch einen datenschutzrelevanten Unterschied gibt.

Bei der üblichen Überprüfung des Kassenbelegs fiel mir nämlich auf, daß meine Kontonummer und die dazugehörige Bankleitzahl vollständig draufstehen. Hätte ich den Beleg einfach weggeworfen, wie es wohl die meisten machen, dann wäre das ein interessantes Ziel für Lastschrift-Bankräuber. Bei Lastschrift (also mit Unterschrift) hatte ich dagegen bereits festgestellt, daß die Kontonummer und die Bankleitzahl gekürzt wiedergegeben werden; die letzten beiden Stellen sind durch Sternchen ersetzt.

Ich bat die Kassiererin also darum, den Filialleiter zu rufen, um diesen Mißstand zu melden. Der nahm die Beschwerde auch auf und notierte sich meine Mailadresse. Er erklärte mir außerdem, daß das bei der „großen Rewe” (also wohl in der Zentrale der Rewe-Handelsgruppe) geklärt werden müßte und kein Filialproblem sei, denn das Problem beträfe dann wohl alle 3.000 Rewe-Filialen in Deutschland, außerdem alle Penny- und Pro-Filialen. Ich bin mal gespannt, wann man sich meldet.

Wer also bei Rewe, Penny oder Pro oder einem anderen Supermarkt einkauft, der zur Rewe-Handelsgruppe gehört, sollte bei der Bezahlung mit Karte (Abbuchung durch Eingabe der PIN) unbedingt den Beleg mitnehmen und nicht wegwerfen, und vor allem auch überprüfen, ob die Kontonummer vollständig oder gekürzt wiedergegeben wird. Wenn sie vollständig draufsteht: Beschweren! Je mehr es tun, desto schneller passiert da hoffentlich was.

Update: Stimmt, Minimal gehört auch zur Rewe-Handelsgruppe. Heute habe ich außerdem erfahren, daß auch Bauhaus und Hagebau sowie ein Fahrradgeschäft hier in Düsseldorf bei Zahlung mit Karte die vollständige Kontonummer und BLZ auf den Beleg drucken.

Obi wiederum kürzt per Sternchen auf die letzten vier Stellen. Wenn man also einen Beleg beispielsweise von Rewe (bezahlt mit Unterschrift, also die letzten zwei Stellen unkenntlich) und einen von Obi (zeigt die letzten vier Stellen) desselben Kunden erwischt, hat man auch wieder eine vollständige Kontonummer. Es muß also nicht nur die Darstellung verkürzt werden, sondern sie muß auch einheitlich verkürzt werden!

5 Kommentare zu “Rewe hat ein Datenleck”

  1. Frank quakte:

    Hier in Berlin gehört Minimal noch zur Rewe-Handelskette, Reichelt glaub ich auch. Mir ist das auch schon aufgefallen, das auf den Bons die komplette Kontonummer draufsteht, weswegen ich Bons generell nicht im Laden wegschmeisse, nachdem ich mit Karte gezahlt habe.


  2. Scheff quakte:

    Das scheint aber nicht überall so zu sein.
    Hab gerade nochmal meinen REWE-Kassenzettel vom letzten Samstag überprüft: Da sind die letzten Stellen von Kontonummer und Bankleitzahl unkenntlich gemacht.


  3. frosch quakte:

    @Scheff: Hast Du eine PIN eingegeben oder was unterschrieben?


  4. Scheff quakte:

    Oha, klar bei mir wars mit Unterschrift.

    Ein Bekannter erzählte mir aber inzwischen, dass er den Text, den er bei seinem REWE-Einkauf unterschreiben sollte doof fand und Teile davon durchstrich und erst dann seine Unterschrift druntersetzte.
    Der Kassiererin wars egal. :-))))


  5. MM quakte:

    Hi, was will einer mit deinen Kontodaten machen? Ausserdem stehen diese Daten tausendefach im Internet zur Verfügung (Beispiel: E-Shops, Ebay, Firmen-Seiten usw). Also was soll die Aufregung?


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>