3. Betriebsrisiken
PAYBACK verarbeitet im Rahmen des Betriebs des Multi-Partner-Kundenbindungsprogramms technologiebasiert große Mengen an Transaktionsdaten, die durch das Sammeln bzw. Einlösen von PAYBACK Punkten entstehen. Für die Verwaltung der Punktekonten der Kunden und die Abbildung der Punktestände ist PAYBACK dabei auf die Datenlieferung durch die Programmpartner angewiesen.
PAYBACK stellt die Einhaltung der geltenden datenschutzrechtlichen Vorschriften und Sicherheitsstandards sicher. Daneben besteht eine Mitverantwortung der Kontoinhaber, ihre Punktekonten durch die Verwendung adäquater Passwörter vor dem unbefugten Zugriff Dritter zu schützen.
Für den Punktestand relevante Daten können durch unvollständige oder verspätete Datenlieferung vorübergehend unzutreffend dargestellt oder durch Sicherheitsschwachstellen kompromittiert werden, was die Vermögens-, Finanz- und Ertragslage zwar nur unwesentlich beeinträchtigen, sich aber nachhaltig negativ auf die die Marke PAYBACK auswirken könnte.
Im Jahr 2016 sind wiederholt Fälle aufgetreten, in denen sich Dritte unbefugter Weise Zugang zu PAYBACK Konten verschafft haben, indem sie sich außerhalb des Programmbetriebs über sog. Phishing-E-Mails Zugangsdaten erschlichen und damit ohne Wissen und Zustimmung der Kontoinhaber deren PAYBACK Punkte eingelöst haben.
Obwohl hierfür keine rechtliche Verpflichtung besteht, hat PAYBACK auf diese Weise geschädigten Kunden im Laufe des Jahres 2016 kulanzhalber Punktegutschriften gewährt, um das Vertrauen der PAYBACK Kunden in die Integrität des PAYBACK Programms zu sichern.
Um derartigen kriminellen Angriffen besser entgegenwirken zu können, setzt PAYBACK verstärkt auf Analyse, um Angriffsmuster zu erkennen und neue technische Vorkehrungen treffen zu können, die die unbefugte Einlösung von Punkte erschweren oder unmöglich machen. Im Berichtsjahr hat PAYBACK mit Programmpartnern präventive Maßnahmen umgesetzt, um die Anzahl dieser Fälle signifikant zu reduzieren. Parallel dazu setzt PAYBACK auch weiterhin auf Information zur Sensibilisierung der Kunden.
Trotz der implementierten Überwachungsmechanismen und des geschärften Problembewusstseins auf Kundenseite werden sich Einzelfälle dieser Art nicht vollständig verhindern lassen. Die Eintrittswahrscheinlichkeit im Einzelfall ist daher hoch, das Schadensausmaß gering, so dass das Risiko insgesamt als mittel eingestuft wird.
