1 Punkte von GN⁺ 2023-10-16 | 1 Kommentare | Auf WhatsApp teilen
  • Die EFF schließt sich der Kampagne von U.S. PIRG an und fordert, dass Mastercard den Verkauf von Karteninhaberdaten stoppt und den Umfang der Datenerhebung reduziert
  • Aufgrund seiner Rolle als Zahlungstechnologie-Unternehmen kann Mastercard Informationen aus dem Finanzleben von Millionen Menschen verarbeiten und steht damit im Zentrum der Kontroverse um die Monetarisierung von Zahlungsdaten
  • Informationen wie Transaktionsbetrag, -häufigkeit, Ort, Datum und Uhrzeit werden genutzt, um Einkaufsneigungen und Verbrauchertypen abzuleiten; eine Anonymisierung allein gilt dabei kaum als ausreichend sicher
  • Vorhersagen wie „big spender“ oder „high-value“ können dazu genutzt werden, gezielt bestimmte Personen anzusprechen und zu höheren Ausgaben zu bewegen
  • Karteninhaber können kaum vorhersehen, dass ihre Kaufprofile weiterverarbeitet und neu verpackt werden und dann zu ihrem Nachteil eingesetzt werden; deshalb sind Änderungen bei den Datenpraktiken nötig

Forderungen von EFF und U.S. PIRG

  • Die EFF beteiligt sich an einer von der U.S. Public Interest Research Group (U.S. PIRG) geführten Kampagne und fordert von Mastercard, den Verkauf von Karteninhaberinformationen zu beenden
  • Die zentrale Forderung ist, die Datenerhebung zu begrenzen und dass Mastercard das Vertrauen respektiert, das Karteninhaber dem Unternehmen mit diesen Informationen entgegenbringen
  • Mastercard wird als eines der Unternehmen dargestellt, die Gewinne aus dem Verkauf personenbezogener Daten erzielen, die Nutzer im Zahlungsvorgang anvertrauen

Warum Mastercard als Problemfall genannt wird

  • Der Kampagnenbericht von U.S. PIRG geht davon aus, dass Mastercard aufgrund seiner Position als globales Zahlungstechnologie-Unternehmen Zugang zu enormen Informationsmengen hat, die sich aus dem Finanzleben von Millionen Menschen ableiten lassen
  • Der Bericht bewertet die Monetarisierungsstrategie von Mastercard als Beispiel für eine „zu weit gegangene Datenökonomie“
  • Wenn Zahlungsdaten nicht nur zur Bereitstellung eines Dienstes, sondern zur Steigerung der Unternehmensgewinne genutzt werden, können die Kosten in Form von Risiken für die Privatsphäre auf die Nutzer zurückfallen

Welche Verbraucherprofile aus Transaktionsdaten entstehen

  • Schon der Ort des Einkaufs kann viel über eine Person verraten, und selbst anonymisierte Daten sind womöglich weit weniger anonym, als man erwartet
  • Laut U.S. PIRG analysiert Mastercard Betrag und Häufigkeit von Transaktionen sowie Ort, Datum und Uhrzeit
  • Diese Analyse wird verwendet, um Kategorien von Karteninhabern zu bilden und Vermutungen darüber zu erstellen, um welchen Typ Käufer es sich handelt
    • Beispiel: Personen, die als „big spender“ eingestuft werden
    • Beispiel: Karteninhaber, die Mastercard als „high-value“ bewertet
  • Solche Vorhersagen werden genutzt, um bestimmte Personen gezielt anzusprechen und zu höheren Ausgaben zu bewegen

Konflikt mit dem Vertrauen in Finanzinstitute

  • Die Bank for International Settlements geht davon aus, dass Menschen traditionellen Finanzinstituten mehr vertrauen als Big-Tech-Unternehmen, staatlichen Stellen oder Fintech-Unternehmen
  • Menschen, die eine Mastercard erhalten, erwarten nicht, dass ihr kaufbezogenes Finanzprofil weiterverarbeitet und neu verpackt wird und dann in einer Weise genutzt wird, die ihnen schadet
  • Diese Datennutzung steht im Widerspruch zu dem Vertrauen, das viele Menschen dem Unternehmen entgegenbringen, das ihre Karte ausgegeben hat

Datenpraktiken müssen sich ändern

  • Die EFF fordert, dass Mastercard das Vertrauen und die Privatsphäre der Karteninhaber respektiert
  • Die Position lautet, dass Mastercard seine aktuellen Datenpraktiken ändern kann und ändern muss
  • Als Beispiel wird auch genannt, dass Visa sein Geschäft mit personenbezogenen Daten für Werbekunden eingestellt hat: Visa Is Shutting Down Its Personal Data Business for Advertisers

1 Kommentare

 
GN⁺ 2023-10-16
Hacker-News-Kommentare
  • Stell dir vor, du gehst auf einen Markt, der berüchtigt fürs Feilschen ist, und das Unternehmen, das dir dein Portemonnaie verkauft hat, überwacht all deine Transaktionen und gibt sie an denjenigen unter den Markthändlern weiter, der am meisten zahlt.
    Jetzt bin ich ein fettes Huhn, bereit zum Ausnehmen. Ich habe gerade einen Hammer gekauft, also werde ich wohl Nägel brauchen, und aus meinen Social-Media-Spuren lässt sich außerdem ableiten, dass ich etwas leichtgläubig bin. „Beeilen Sie sich, in dieser Gegend ist die Nachfrage nach Nägeln hoch. Keine Sorge, das ist ein Sonderangebot, das nur für die nächsten 0,3 Stunden gilt.“
    Ich verstehe nicht, wie Menschen dazu gebracht wurden, eine solche Erosion der Privatsphäre und den Verlust wirtschaftlicher Vorteile und eigener Handlungsfähigkeit hinzunehmen. Ich weiß nicht, was für eine kollektive Dummheit es ist, die unter manipulativen Unternehmen und vereinnahmten Regulierungsbehörden einen solchen gesellschaftlichen Rückschritt zulässt, ob es ursprünglich schon immer so war oder ob es Hoffnung gibt.

    • Noch schlimmer: Inzwischen gibt es auch E-Ink-Preisschilder. Während ich mich nähere, könnte sich das Preisschild tatsächlich auf den Preis ändern, zu dem man es mir verkaufen will.
      Wenn ich vorbeigehe, ohne den Artikel in die Hand zu nehmen, könnte das Angebot leicht angepasst werden. Dann ist es nicht mehr „1+1“, sondern „Kauf 2, erhalte 1 gratis, plus X dazu“.
      Widerlich. Ein Frosch, der in kochendem Wasser geboren wurde, weiß nicht, dass es heiß ist. Die Altersgruppe mit dem derzeit größten verfügbaren Einkommen kennt keine andere Welt und hält es für normal, dass es schon immer so war.
      So war es früher nicht. Technologie hat es sehr viel einfacher gemacht, und jetzt ist es gezielt und automatisiert. Es ist schlimmer als je zuvor und wird immer schlimmer. Politiker in keinem Land wollen das beheben. Wenn zu höheren Preisen mehr verkauft wird, steigen schließlich auch die Steuern. Von Unternehmenslobbying ganz zu schweigen.
    • Die Standardantwort von Leuten aus der Adtech-Branche dürfte so lauten: „Ist es nicht gut, dass Werbung Ihnen sagt, dass Sie auch Nägel brauchen? Ohne die Hilfe von Adtech wäre nie etwas gebaut worden!“
    • Die Antwort scheint ziemlich einfach zu sein. Die Leute verstehen es nicht, und selbst wenn sie es verstehen, spüren sie nicht, wie etwas scheinbar Belangloses wie „na und, diesmal sind es doch nur ein paar Nägel“ zu der enormen Macht führt, die aggregierte Daten erzeugen.
    • „Das war schon immer so“ ist wirklich eine erbärmliche rhetorische Figur. Es ist eher ein Ausweichen, eine substanzlose, gedankenstoppende Floskel.
      Ehrlich gesagt lässt eine solche Lage Kryptowährungen oder Gebäude, die mit sensordämpfenden Materialien entworfen wurden, attraktiv erscheinen. Rechenzentren kann man so bauen, dass sie sich nur schwer passiv überwachen lassen; warum sollte das bei meinem Zuhause, meinem Büro oder einem Einkaufszentrum anders sein?
      Die Mächtigen haben uns nie eine Opt-out-Möglichkeit gegeben, und es ist langsam und schrittweise schlimmer geworden.
      Wir müssen Anreize schaffen, über unsere eigenen Daten zu verhandeln. Meine unsichtbaren und unbekannten Daten sind mein Vermögen, und ich muss ihren monetären Wert schützen.
      Da man niemandem zutrauen kann, etwas wie eine Kryptobörse nicht zu verkaufen, müssen wir Technologie bauen, die wie eine passive Kryptobörse funktioniert. Sobald Geld sichtbar wird, darf ein Entwickler nicht die Reißleine ziehen und die Technologie zerstören können.
      Der Kern ist passive Software. Sobald sie automatisiert wird, muss irgendjemand, ein Entwickler, ständig dranbleiben, um mit technologischen Veränderungen Schritt zu halten. Wichtig ist Kryptosoftware, die jemand einmal entwickelt und dann loslässt, die aber weiter existiert.
      Darauf lassen sich gewöhnliche philosophische, strukturelle und beziehungsbezogene Managementideen aufbauen.
    • Ein normaler Mensch hat kaum Hoffnung, die modernen globalen Ströme von Kapital, Daten und Waffen zu verstehen.
      Früher konnte man, wenn der örtliche Gerber die Wasserversorgung des Dorfes verschmutzte, direkt hingehen und ihm sagen, er solle damit aufhören; wenn er nicht hörte, konnte man die nächsten Schritte einleiten.
      Heute sind diejenigen, die tatsächlich wissen, was vor sich geht, die Menschen, die am meisten davon profitieren, und sie haben keinen Anreiz, es zu stoppen.
  • Eigentlich sollten die heutigen Karten-Zahlungsanbieter alle verdrängt werden. Mastercard und Visa kontrollieren faktisch die Ausgaben von Kunden weltweit.
    Sie haben auch verhindert, dass Banken technisch im 21. Jahrhundert ankommen, und an vielen Orten gibt es immer noch keine ordentlichen sofortigen Online-Zahlungen. Viele Probleme des Bankwesens lassen sich auf diese Karten-Zahlungsanbieter zurückführen.
    Es braucht Alternativen, und zwar so viele wie es Banken gibt. Jede Bank sollte ein Karten-Zahlungsanbieter und ein Anbieter von Online-Payment-Gateways sein.

    • Nicht weltweit; das ist eher hauptsächlich ein Thema der USA. Europa entspricht eher dem von dir beschriebenen Bild: Banken übernehmen die Rolle von Karten-Zahlungsanbietern, und nahezu sofortige Online-Überweisungen sind möglich. Kreditkarten sind hier vergleichsweise weniger wichtig.
    • Banken verarbeiten Zahlungen bereits. Wenn man eine Kreditkarte in einen Bankautomaten steckt, wird dieser Automat von der Bank betrieben, ist mit den Servern der Bank verbunden, und Autorisierung und Verarbeitung erfolgen bei der Bank.
      Visa und Mastercard stellen die Verbindung zu anderen Banken bereit. Das braucht man, wenn man seine Karte in einen Geldautomaten einer anderen Bank steckt oder bei einem Händler bezahlt, der mit einer anderen Bank verbunden ist.
      Um das Visa/Mastercard-Monopol zu beseitigen, müsste jede Bank mit jeder anderen Bank verbunden sein, aber die Banken wollen das nicht. Es wäre ein administrativer Albtraum, deshalb haben sie die beiden seit Langem akzeptiert. Aus Sicht der Banken sind sie so etwas wie Google und bequem.
      Eine Alternative könnte eine Art Gemeinschaftsunternehmen aller Banken sein. Die Bankgebühren würden sinken, aber die Banken würden die Marge einstreichen, sodass Kunden keinen Vorteil hätten, und es wäre immer noch eine Datenschutzhölle.
      Eine weitere Alternative wäre öffentliche Infrastruktur. Aber Zahlungsdaten an die Regierung zu übergeben, dürfte vielen Menschen ebenfalls unangenehm sein.
    • Zumindest in Europa gibt es sofortige Online-Überweisungen zwischen Banken. Trotzdem ist die Duopolstruktur schlecht. Natürlich ist die Datenschutzlage bei Kreditkartenunternehmen nicht so schlimm wie in den USA.
      Ich denke, hier braucht es mehr Regulierung und staatliche Aufsicht. In Europa schon, und erst recht im „Land der Freiheit“.
    • In Indien gibt es UPI, in China WeChat Pay und AliPay, in Russland MIR, und Russland hat Visa/MC vor etwa fünf Jahren faktisch aus dem inländischen Zahlungsverkehr verdrängt. Noch ärgerlicher ist, dass all diese Systeme sofortige Online-Zahlungen unterstützen.
      In Japan gibt es auch JCB, und ich habe gehört, dass Länder in Afrika und Lateinamerika ebenfalls eigene Systeme haben. Die „Welt“, von der hier die Rede ist, ist eine ziemlich kleine Welt.
  • Die Opt-out-Seite von Mastercard ist hier: https://www.mastercard.us/en-us/vision/corp-responsibility/c...

    • Dort steht sinngemäß: „Geben Sie Ihre Mastercard- oder Maestro-Zahlungskartennummer an, um der Anonymisierung personenbezogener Daten für Datenanalysen zu widersprechen.“
      Heißt das, dass dies ein Widerspruch gegen die Anonymisierung ist und nicht gegen die Erhebung personenbezogener Daten? Die Formulierung sollte wohl deutlich verbessert werden.
    • Auch hier gibt es ein „Ja, aber“:
      „Wenn Sie diese Rechte ausüben, werden wir Ihnen Waren oder Dienstleistungen nicht verweigern, Ihnen keinen anderen Preis berechnen und Ihnen kein anderes Qualitätsniveau bieten, es sei denn, der andere Preis oder das andere Qualitätsniveau steht in einem angemessenen Verhältnis zum Wert der Daten, die wir von Ihnen erhalten. In manchen Fällen kann die Ausübung bestimmter Rechte dazu führen, dass wir Ihnen die angeforderten Waren oder Dienstleistungen nicht bereitstellen können.“
    • Am Ende habe ich ein My-Data-Konto erstellt. Ich bin gespannt, was MC zu meinen zwei Karten mit Mastercard-Branding gesammelt hat. Eine davon ist die Apple Card, die mit dem Schutz der Privatsphäre der Nutzer wirbt.
      Sobald ich den Bericht bekomme, werde ich die Löschung beantragen.
    • Das ist absurd. Das sollte über den Issuer abgewickelt werden. Ich habe mehrere Mastercards, und dazu noch Varianten für Online-Wallets, sodass die Kartennummern alle unterschiedlich sind.
      Soweit ich mich erinnere, sind allein mit meiner Apple Card mindestens 4–5 Nummern verknüpft: iPhone, Web-Apple-Pay, Watch, physische Karte und vermutlich auch das MacBook.
    • Macht Visa dasselbe? Gibt es dort auch eine Opt-out-Option?
  • Ich frage mich, ob Mastercard schlimmer ist als Visa oder Discover. Es ist zwar kein gesunder Wettbewerbsmarkt, aber es gibt Auswahl; daher würde ich gern wissen, ob ich versuchen sollte, ein bestimmtes Unternehmen zu nutzen.

    • In einem Bloomberg-Bericht von etwa 2018 stand Folgendes:
      „Im vergangenen Jahr hatten einige Google-Werbekunden Zugriff auf ein mächtiges neues Tool, mit dem sie verfolgen konnten, ob online geschaltete Anzeigen zu Verkäufen in stationären US-Geschäften führten. Diese Erkenntnisse waren teilweise einem Vorrat an Mastercard-Transaktionsdaten zu verdanken, für den Google bezahlt hatte …“
      „Doch die meisten der fast 2 Milliarden Mastercard-Inhaber wissen nichts von diesem Tracking im Hintergrund. Denn die beiden Unternehmen haben die Vereinbarung nicht öffentlich bekannt gemacht … Der bislang nicht berichtete Deal könnte breitere Datenschutzbedenken darüber auslösen, wie viele Verbraucherdaten Tech-Unternehmen wie Google stillschweigend aufsaugen.“
      https://www.bloomberg.com/news/articles/2018-08-30/google-an...
      https://archive.vn/SLmFw
  • Wäre das ein Problem, wenn man in Europa ist?
    Ich habe jedenfalls erst einmal widersprochen. Es gab keinen Hinweis, dass es für mich nicht gilt, und auch keine Garantie, dass dann nichts passiert.

  • Deshalb hat Europa Datenschutzgesetze verabschiedet.

    • Nicht nur die DSGVO, sondern auch die Zahlungsdiensterichtlinie PSD2.
  • Bedeutet das, dass Visa, AMEX und Discover unsere Daten nicht verkaufen?
    Ich stimme zwar zu, frage mich aber, ob man ein bestimmtes Kartenunternehmen bevorzugen sollte.

    • Unter den vier großen Zahlungsnetzwerken in den USA gibt es keines, das keine Daten verkauft.
      Das Beste ist, überall, wo man sie nutzt, einen Opt-out-Antrag zu stellen.
    • Ich wäre überrascht, wenn es bei diesen Unternehmen keine Meetings gegeben hätte oder gäbe, in denen besprochen wird: „Wann können wir auch damit anfangen, was MC macht?“
  • Zufällig habe ich heute nach Einweg-Prepaidkarten gesucht. Ich dachte, ich könnte ein paar 100-Dollar-Karten kaufen und sie für quasi-anonyme Transaktionen verwenden.
    Aber alles, was ich finden konnte, waren Prepaid-„Debitkarten“, die sich leicht mit mir verknüpfen lassen, oder „Geschenkkarten“ für bestimmte Läden.
    Ich frage mich, ob es in den USA eine gute brauchbare Lösung gibt.

    • Für die meisten Bedrohungsmodelle ist Visa Vanilla ziemlich praktikabel. Mir ist klar, dass es Organisationen gibt, die über Sicherheitskameras in verschiedenen Geschäften noch mehr Ad-Targeting betreiben wollen. Aber wenn man eine Visa-Vanilla-Geschenkkarte bar kauft, sie online aktiviert und sie dann in fast allen stationären Geschäften und bei vielen Onlinehändlern wie eine Kreditkarte nutzt, sollte das kaum größere Probleme machen. Wenn einen Tracking auf diesem Niveau beunruhigt, kann man so etwas wie ein VPN verwenden.
      Es gibt ein paar mögliche Schwachstellen. Früher fielen etwa 1–5 % Gebühren an; wie es heute ist, weiß ich nicht.
      Das ist keine bombensichere Anonymität. Wenn man etwa ein offen schwuler ukrainischer Hacker-Aktivist und Journalist ist, der Russland besucht, sollte man das nicht verwenden.
      Manche Organisationen wollen nur dann Geschäfte machen, wenn sie Daten absaugen können, die über das hinausgehen, was eine vernünftige Person bei der ursprünglichen Transaktion erwarten würde. Viele Onlinekonten, insbesondere Facebook eine Zeit lang, ließen sich nicht mit einem Prepaid-Handy anlegen, weil es ohne einen bestimmten Postpaid-Tarif schwieriger ist, Adresse und andere Informationen abzugreifen. Bei Stellen, die Adresse und Kaufgewohnheiten vom Kartenanbieter kaufen wollen, kann es sein, dass keine quasi-anonyme Karte funktioniert.
      Lösungen wie privacy.com könnten hier passen, weil sie Name, Adresse usw. tatsächlich anonymisieren und man trotzdem die meisten Websites nutzen kann, die diese Daten zu Geld machen wollen. Im Kern schafft man damit aber nur einen weiteren Vermittler mit denselben Daten, und ich gehe davon aus, dass sie irgendwann verkauft werden. Außerdem bekommt dieser Vermittler Dinge wie Rohzugriff auf das Bankkonto, die man vielleicht nicht weitergeben möchte.
    • Privacy.com ist für diesen Zweck ziemlich gut.
    • Hast du es schon mal mit Bargeld versucht?
  • Menschen verwenden auch bereitwillig separate Punktekarten, die im Grunde reine Datenerfassungsgeräte im Tausch gegen Rabatte sind. Der einzige Grund, warum solche Karten mit der Zeit weniger beliebt wurden, ist, dass Mastercard, Visa und Amex solche Produkte überflüssig gemacht haben.
    Auch heute kann man zu 99 % noch bar bezahlen, und Versuche, das zu ändern, stoßen auf erheblichen politischen Widerstand, weil sie arme Menschen oder Menschen ohne Bankkonto diskriminieren. Deshalb ist das Argument „Wenn dir die Bedingungen einer Transaktion nicht gefallen, dann nutze das Produkt doch einfach nicht“ derzeit erstaunlich stark.
    Wenn die Gesellschaft wirklich bargeldlos wird, kann man das wieder aufgreifen. Im Moment ist das nicht der Hügel, auf dem ich sterben würde. Mastercard wird bittere Tränen vergießen, bevor es diese Goldgrube aufgibt. Noch hässlicher finde ich eher die Händlergebühren und die faktische virtuelle Monopsonmacht, die Kreditkartenunternehmen besitzen.

    • Ich war letztes Wochenende bei einem Football-Spiel der Air Force Academy. Durchsagen und Schilder überall im Stadion wiesen darauf hin, dass das Falcon Stadium ein bargeldloser Ort ist.
  • Ich verstehe den Teil nicht: „Prognosen, mit denen Karteninhaber, die Mastercard als ‚hochwertig‘ einstuft – also bestimmte Personen –, gezielt zu höheren Ausgaben bewegt werden sollen.“
    Vielleicht liegt das daran, dass ich im Vereinigten Königreich bin, aber meine Bank gibt Mastercard-Karten aus, daher habe ich keine direkte Beziehung zu Mastercard. Wie könnten sie mich gezielt ansprechen?

    • Jedes Mal, wenn du etwas bezahlst, nutzt du das Mastercard-Zahlungsnetzwerk. Sie sehen und protokollieren alle deine Transaktionen. Mastercard ist die Stelle, die deiner Bank mitteilt, Geld an die Bank des Händlers zu senden.
    • Meine Sorge ist ein Szenario, in dem Händler mir auf Basis einer Bewertung meiner persönlichen Daten einen höheren Preis anzeigen.
      Vor einiger Zeit habe ich einen Urlaub gebucht; meine Frau saß direkt neben mir und sah sich auf ihrem Laptop dasselbe Hotel an, bekam aber einen höheren Preis angezeigt. Nachdem sie die Cookies gelöscht hatte, entsprach der Preis dem, den ich auf einem sauberen Rechner bekommen hatte.
      Das ist ein paar Jahre her, daher ist es heute wahrscheinlicher, dass potenzielle Kunden eher über Browser-Fingerprinting als über Cookies identifiziert werden, was die Abwehr schwieriger macht.
      Wer möchte überhaupt, dass die eigene Bank oder das Zahlungsnetzwerk an höheren Preisen mitwirkt?