Kakao Pay hat Daten von mehr als 40 Millionen Nutzern an den singapurischen Zweig der chinesischen Zahlungsplattform Alipay weitergegeben.
Kakao Pay ist die Tochtergesellschaft der südkoreanischen Kakao Corp. Die App des Mutterkonzerns, KakaoTalk, nutzen weltweit von mehr als 150 Millionen Personen.
Der koreanische Finanzaufsichtsdienst (FSS) kam nach einer Vor-Ort-Inspektion der Auslandszahlungsabteilung von Kakao Pay zwischen Mai und Juli diesen Jahres zu dem Schluss, dass die Daten unrechtmäßig weitergegeben wurden. Zu den persönlichen Daten, die man weitergegeben hat, gehörten die Kakao-Konto-ID, die Mobiltelefonnummer, die E-Mail-Adresse, der Verlauf der Kakao-Pay-Abonnements und die Transaktionen der Kunden. Die Muttergesellschaft von Alibaba sitzt in China. Womöglich sind die Daten somit am Ende dort gelandet.
Kakao Pay bestreitet illegale Aktivitäten
Die Partnerschaft zwischen Kakao Pay und Alipay soll es koreanischen Kunden ermöglichen, bei Händlern im Ausland, die Alipay akzeptieren, mit Kakao Pay zu bezahlen. Das sind sehr viele. Doch die Kunden hat man diesbezüglich nicht befragt oder informiert.
Kakao Pay behauptete, dass man die Daten im Rahmen einer geschäftlichen Zusammenarbeit weitergegeben hat. Man beauftragte einen Dienst, um Daten von Alipay zu verarbeiten, und nicht etwa Kundeninformationen an einen Dritten weitergab. Dies bedeute, dass eine behördliche Zustimmung angeblich nicht erforderlich war. Die Firma behauptete auch, dass alle Informationen verschlüsselt und daher die Weitergabe unproblematisch war.
Der South Korea Financial Supervisory Service (FSS) kann diese Ansicht nicht teilen. Am Mittwoch stellte die FSS fest, dass der Vertrag zwischen den beiden Unternehmen nicht vorsieht, dass Alipay Daten verarbeitet. Außerdem werde in den Geschäftsbedingungen von Kakao nicht erwähnt, dass man eine Drittfirma für die Datenverarbeitung einsetzt.
Weitergabe ohne Erlaubnis oder vorherige Information der Kunden
Ein solcher Datenverarbeiter sollte nicht in der Lage sein, die Daten selbst gewinnbringend zu nutzen. Unternehmen, die die Datenverarbeitung übernehmen, müssen dem FSS gemeldet werden, argumentierte die Aufsichtsbehörde. Die Behörde geht davon aus, dass man die riesigen Datenmengen zu nicht weniger viel Geld machen könnte. Die Weitergabe von Daten ohne Zustimmung verstößt laut FSS gegen das koreanische Gesetz über die Nutzung und den Schutz von Kreditinformationen. Doch dieser Fall sei besonders „ungeheuerlich„, weil die Informationen aus Südkorea heraus nach Singapur gingen. Um Daten grenzüberschreitend weitergeben zu können, hätte Kakao Pay noch strengere Genehmigungsverfahren durchlaufen müssen. Das war nicht der Fall.
Der FSS argumentierte zudem, dass die Weitergabe so vieler Daten gar nicht notwendig sei, um Zahlungen im Ausland über einen Partner zu ermöglichen. Die einzigen Daten, die zur Abwicklung von Zahlungen benötigt werden, sind die einzelnen Bestell- und Zahlungsinformationen. Kakao Pay vertritt hingegen den Standpunkt, dass zusätzliche Informationen benötigt würden, um zu berechnen, ob genügend Geld vorhanden sei, damit Alipay die Apple-Payment-Dienste vermitteln und die Nutzerinformationen mit den Apple-IDs abgleichen könne.
Der FSS wiederum gab zu bedenken, dass Kakao Pay und Alipay die Kreditinformationen aller Kunden – und nicht nur derjenigen, auf die es zutrifft, erfassen. Die Übermittlung derart vieler Informationen, während Alipay lediglich die Benutzerdaten mit den Apple-IDs abgleichen musste, schien „ein wenig übertrieben“ zu sein. Außerdem, so die Aufsichtsbehörde, habe sich die Richtlinie zur Weitergabe so vieler Daten im Laufe der Zeit geändert. „Kakao Pay hat Alipay zu Beginn seiner Partnerschaft mit Alipay keine Kreditinformationen von ausländischen Zahlungskunden zur Verfügung gestellt„, hieß es.
Daten von Kakao Pay ungenügend verschlüsselt
Und was die Verschlüsselung angeht, habe Kakao Pay das gängigste Verschlüsselungsprogramm auf dem Markt verwendet. Das südkoreanische Fintech-Unternehmen legte lediglich ein Passwort fest, was man in der ganzen Zeit nach Auskunft der FSS nicht ein einziges Mal geändert hat. Die Aufsichtsbehörde gab außerdem bekannt, dass man eine gründliche rechtliche Prüfung bei ähnlichen Fällen und vergleichbaren Unternehmen untersuchen will. Man darf getrost davon ausgehen, dass diese Form der Datenweitergabe in und außerhalb von Südkorea schon häufiger vorgekommen ist.
Chinesische Firmen an Kakao Pay beteiligt
Interessant sind auch die finanziellen Verstrickungen. Die Ant Group, die Muttergesellschaft von Alipay, ist der zweitgrößte Aktionär von Kakao Pay. Ant Group ist eine Tochtergesellschaft des chinesischen Tech-Giganten Alibaba Group, die offiziell als unabhängiges Unternehmen agiert. Allerdings unterliegen alle größeren Unternehmen Chinas der Kontrolle der dortigen Behörden. Lokale Medien zitierten Brancheninsider mit der Befürchtung, dass chinesische Firmen nun die vorliegenden Kakao Pay-Daten für Marketingzwecke oder als Grundlage für ihre Strategie im Wettbewerb auf dem koreanischen Markt nutzen könnten.
Wie The Register berichtet, hat die Kakao Group sowieso eine harte Woche hinter sich. Die Aktien von Kakao Pay fielen nach Bekanntwerden des Datenlecks in ein Rekordtief. Und erst letzten Donnerstag hat man gegen den milliardenschweren Gründer von Kakao, Kim Beom-su (auch bekannt als Brian Kim), Anklage wegen Börsenmanipulation erhoben. Kim hat die Vorwürfe, die schon länger im Raum stehen, bestritten. Auch das hat sich an der Börse negativ auf den Aktienkurs ausgewirkt.
Die besten Daten sind keine!
Das Beispiel zeigt einmal wieder: Im Idealfall gibt es schlichtweg keine Daten, die man unbedarft und ungenügend geschützt verkaufen könnte. Dumm nur, dass man in den Online-Shops so gut wie gar nichts erwerben kann, ohne dabei jede Menge Angaben machen zu müssen. Das Internet ist offenkundig Chance und Risiko zugleich.
Unseren hiesigen Medien war dies keine Nachricht wert. Einerseits ist der Anbieter hierzulande unbekannt. Andererseits wissen die Verleger ganz genau, dass man mit News zum Thema Datenschutz mangels Interesse kaum bis gar kein Geld verdienen kann.