TTDSG: Warum Online-Händler künftig bei Betrugsprävention aufpassen müssen

Gerade Unternehmen im E-Commerce, die auf die Auswertung von Gerätedaten ihrer Nutzer zur Betrugsbekämpfung zurückgreifen, sind betroffen, da sich die rechtlichen Rahmenbedingungen zum Tracken von Gerätedaten und IP-Adressen durch das TTDSG gesetzlich ändern. Der Einsatz von Lösungen zur Betrugsprüfung, die auf die Auswertung von Geräteinformationen und/oder IP-Adressen setzen, kann dann nicht mehr auf dem „berechtigten Interesse“ des Händlers und der Erfüllung der Informationspflicht basieren. Um sich künftig gegen Betrugsversuche zu schützen, müssen Online-Händler alternative Technologien finden und einsetzen.

Diese Regelungen ändern sich durch das TTDSG

Konkret werden sich die gesetzlichen Regelungen für den Einsatz von Technologien, wie Cookies und den Zugriff auf die im Endgerät gespeicherten Informationen des Websitebesuchers ändern. Paragraph 25 TTDSG schreibt ab dem 1. Dezember 2021 eine informierte Einwilligung des Endgerätenutzers, also im Fall von Online-Händlern ihrer Kunden, im Einklang mit der DSGVO vor. Zwar sieht das TTDSG auch Ausnahmen von diesem Einwilligungserfordernis vor – diese sind hier jedoch wohl nicht einschlägig.

Eine Betrugsprüfung auf Basis von IP-Adressen oder Geräteinformationen ohne informierte Einwilligung kann nach Gesetzeswortlaut künftig nur noch beim Vorliegen tatsächlicher Anhaltspunkte für Betrug o.ä. erfolgen. Bislang war die Information über die Verwertung der Daten und dem berechtigten Interesse des Händlers gegenüber den Endkunden ausreichend und keine gesonderte Einwilligung erforderlich.

TTDSG: Option ohne Nutzung von Geräteinformationen

Bei der Gestaltung des Einwilligungsvorgangs müssen die Unternehmen außerdem das sogenannte Kopplungsverbot laut DSGVO beachten. Dies bedeutet, dass die Bereitstellung der Dienstleistung nicht davon abhängig gemacht werden darf, ob der Endkunde in die Verarbeitung seiner Endgerätedaten einwilligt, sofern diese Datenverarbeitung nicht erforderlich ist. Ansonsten ist die Einwilligung nicht freiwillig und damit unwirksam. Online-Händler müssen eine gesonderte Option für Bezahlmöglichkeiten ohne Einwilligungserfordernis zur Auswertung von Gerätedaten anbieten, so dass der Kunde eine echte Wahl hat.

Dies erfordert, dass Unternehmen zukünftig auf Betrugspräventionslösungen setzen, die mit und ohne Gerätedaten funktionieren. Die an sich kleine Änderung des TTDSG zeigt, wie fragil bisherige Maßnahmen sind. „Es wird in Zukunft immer schwerer werden, Geräte-Daten zu erheben. Auf der einen Seite gibt es gesetzliche Restriktionen. Auf der anderen Seite haben sich die Browserhersteller vorgenommen, das Tracking der Daten zu erschweren. In Zukunft müssen wir Lösungen anbieten, die auch ohne diese Daten auskommen“, erklärt Rene Link, Product Owner und Senior Developer bei Experian. Vorausschauende Unternehmen sollten sich seiner Meinung nach auch auf weitere regulatorische Änderungen vorbereiten, die früher oder später kommen würden. Datenschutz zu Gunsten des Konsumenten werde immer wichtiger, doch gleichzeitig gingen Betrüger auch immer professioneller vor.

Abstimmung von Datenmengen für datengetriebene Entscheidungen 

Unternehmen sollten daher neben der innovativen Datennutzung und vor allem der Einwilligung der Konsumenten auch verstärkt auf neue Technologien wie Machine Learning setzen. „Gerätedaten wie die Device-ID werden mit der Zeit aufgrund von Browserrestriktionen ungenauer, das TTDSG erschwert deren Auswertung nun weiter. Nichtsdestotrotz sind die Gerätedaten sehr wertvoll in der Betrugsbekämpfung, insbesondere bei der regelbasierten Betrugsprävention“, erläutert Özgür Ekici, Senior Consultant für Betrugsprävention bei Experian.

Wenn die Händler jedoch weiter ausschließlich auf regelbasierte Betrugsprävention setzten, dann berge dies die Gefahr, dass bei einem strikter werdenden Regelset die Anzahl der Zahlungsausfälle sowie „false positives“ zunehme. „Mit Machine Learning sind Händler stattdessen in der Lage, durch maßgeschneiderte und stets aktuelle Betrugspräventionsmodelle auf Gerätedaten möglichst zu verzichten“, so Ekici.

Layering von Services und Tools

Optimalerweise kombinieren Händler dabei ihre gesammelten Daten und stimmen sie mit Fraud-Prevention-Services ab. Das sogenannte Layering von Services und Tools ist mittlerweile ein globaler Trend, für dessen Nutzung Unternehmen auf Machine Learning zurückgreifen. „Entscheidungen zur Betrugserkennung lassen sich damit auf Basis einer intelligenten Analyse der Datenlage automatisch ableiten. Die entsprechenden Prozesse für die Kategorisierung einer Transaktion zwischen „Betrüger“ oder „guter Kunde“ laufen dadurch schneller ab. Unternehmen optimieren ihre Betrugsprävention, indem sie der steigenden Komplexität der Betrugsversuche mit Hilfe von Machine Learning-Komponenten endlich Herr werden.

Wichtig sind dabei individuelle Trainings der Machine-Learning-Modelle: Diese erhöhen die Präzision der Entscheidungen erheblich. Das Risiko von höheren Zahlungsausfällen oder „false positives“ kann durch Modelltrainings beispielsweise alle zwei Wochen verringert werden. Daher ist es so wichtig, jetzt die Möglichkeiten von Machine Learning verstärkter auszuschöpfen“, erklärt Ekici.

Vorteile durch Machine Learning bei der Betrugsprävention

Insgesamt bringt die Integration von Machine-Learning-Modellen in die Betrugsbekämpfung Online-Händlern drei Vorteile. Anbieter schonen zunächst ihre internen Ressourcen, da die Modelle mehr Transaktionen in kürzerer Zeit bearbeiten können. Und dies ohne zusätzliches Personal. Außerdem lässt sich für den Kunden eine bessere Customer Experience erreichen. Online-Kunden profitieren durch Machine Learning, indem sie insgesamt einfacher und schneller durch den Einkaufsprozess und Kaufvorgang geführt werden können.

Als dritter Vorteil sei noch die verbesserte Betrugserkennung genannt. Dadurch verringert sich nicht nur der Schaden durch Betrugsfälle. Auch die Conversion-Rate des Onlinshops steigt. Aufgrund von verbesserter Betrugserkennung können E-Commerce-Unternehmen Kaufabbrüche durch eine fälschliche Erkennung von möglichen Betrugsfällen reduzieren. Statische und womöglich auf veralteten Regeln basierende Sicherheitshürden lassen sich somit überwinden.

Lesen Sie auch: Sicherheitsgefühl: Verbraucher erwarten komfortable Online-Sicherheit

Über die Autorin: Martina Neumayr ist Senior Vice President Credit Risk & Fraud Services bei Experian DACH.