Mas­ter­Card: Ex-Kun­den erhal­ten mas­ter­pass-Veri­fi­zie­rung per E‑Mail

MasterCard Europe SA - Empfang - Rezeption - Frankfurt am Main-UnterschweinstiegeFoto: Rezeption der MasterCard Europe SA (Frankfurt am Main-Unterschweinstiege)

Mit mas­ter­pass hat das Kre­dit­kar­ten­un­ter­neh­men Mas­ter­Card eine Platt­form erschaf­fen, womit man digi­tal bezah­len kann. Die Bezahl­lö­sung hat sich womög­lich nun aber in den Mist geritten.

Das soge­nann­te Cyber­wal­let – womit man sei­ne Kre­dit­kar­te hin­ter­le­gen und anschlie­ßend in Online-Shops ein­kau­fen kann – namens mas­ter­pass wur­de 25. Febru­ar 2013 vor­ge­stellt und ist Ende März in eini­gen Län­dern gestar­tet. Ein Jahr spä­ter erfolg­te auch der Deutsch­land­start des Diens­tes. Die Bezahl­lö­sung mas­ter­pass ist der Nach­fol­ger und eine Wei­ter­ent­wick­lung von Paypass Wallet.

Nach­dem man anfangs mas­ter­pass nur ver­wen­den konn­te, wenn man eine Kre­dit­kar­te von Mas­ter­Card besaß, wur­de die Bezah­lö­sung auch für frem­de Kre­dit­kar­ten – bei­spiels­wei­se wel­che von VISA – frei­ge­schal­tet. Der Ablauf ist so, dass man sei­ne Online-Bestel­lung dann mit sei­nem mas­ter­pass-Kun­de­n­ac­count bezah­len kann – ver­gleich­bar mit PayPal oder auch paydirekt.

Am 08. März 2018 erhiel­ten jedoch regis­trier­te Kun­den von mas­ter­pass eine E‑Mail, dass der zuvor regis­trier­te Benut­zer­ac­count in fer­ner Zukunft unwi­der­ruf­lich gelöscht wird. Man habe an mas­ter­pass gear­bei­tet und eine neue Platt­form geschaf­fen. Auf­grund tech­ni­sche Gege­ben­hei­ten kön­ne man jedoch die Kun­den nicht auf die neue Platt­form por­tie­ren – somit muss man sich nach Schlie­ßung der alten Platt­form auf der neu­en Platt­form regis­trie­ren, wenn man mas­ter­pass wei­ter­ver­wen­den möchte.

Bei Mas­ter­pass hat sich viel getan: Die digi­ta­le Bezahl­lö­sung von Mas­ter­card prä­sen­tiert sich ab sofort im funk­tio­na­len Design und tech­nisch opti­miert. Lei­der kön­nen lhre Kun­den­da­ten im Zuge die­ser Ver­bes­se­run­gon nicht über­nom­men wer­den. lhr Mas­ter­pass Pro­fil wird daher Ende März 2018 unwi­der­ruf­lich deak­ti­viert und alle Daten in Über­ein­stim­mung mit den gesetz­li­chen Bestim­mun­gen zunächst anony­mi­siert und dann gelöscht.

Um auch wei­ter­hin sicher, ein­fach und bequem online zu shop­pen, möch­ten wir Sie bit­ten, sich emeut zu regis­trie­ren. Kli­cken Sie ein­fach auf unten ste­hen­den But­ton, um gleich mit lhrer Regis­trie­rung zu starten.

Hier wird sug­ge­riert, dass der vor­han­de­ne Benut­zer­ac­count in jedem Fall gelöscht wird. Ganz gleich, ob man sich auf der neu­en Platt­form regis­triert oder eben nicht – zunächst anony­mi­siert (Anm. d. Red.: Trans­ak­tio­nen müs­sen in der Regel gesetz­lich bis zu zehn Jah­re auf­be­wahrt wer­den) und die rest­li­chen Daten, die kei­ne gesetz­li­che Auf­be­wah­rungs­fris­ten haben, unwi­der­ruf­lich gelöscht (Anm. d. Red.: Per­sön­li­che Daten wie Mobil­funk­ruf­num­mer oder E‑Mail-Adres­se).

Hier kön­nen nun zwei Sze­na­ri­en ein­tre­ten: Nach Erhalt der E‑Mail vom 08. März 2018 hat der bis­he­ri­ge mas­ter­pass-Kun­de sich ent­we­der auf der neu­en Platt­form regis­triert oder es sein las­sen – bei­spiels­wei­se, weil man in der Zukunft mas­ter­pass nicht mehr benutzt/benutzen möch­te. Am heu­ti­gen Tag hat jedoch etwas „inter­es­san­tes” statt­ge­fun­den, sodass wir das Sze­na­rio beschrei­ben, dass der Kun­de sich eben nicht auf der neu­en Platt­form regis­triert hat (hat­te).

Wie bereits schon geschrie­ben, wer­den die Kun­den­da­ten auf der alten Platt­form Ende März 2018 auf jeden Fall gelöscht. Das heißt, dass die Daten zunächst anony­mi­siert und „wenig spä­ter” gelöscht wer­den. Jedoch erhiel­ten heu­te sehr vie­le sol­cher Ex-Kun­den eine E‑Mail von mas­ter­pass, dass sie ihre hin­ter­leg­te Kre­dit­kar­te in ihrem mas­ter­pass-Pro­fil veri­fi­zie­ren müssen.

Hal­lo,

gute Nach­rich­ten: die Regis­trie­rung lhrer neu­en Mas­ter­pass Zahl­kar­te war erfolgreich!

Zu lhrer eige­nen Sicher­heit müs­sen Sie die zuletzt lhrem Mas­ter­pass Pro­fil hin­zu­ge­füg­te Kar­te noch veri­fi­zie­ren las­sen. Mel­den Sie sich dafür ein­fach bei lhrem Pro­fil an und wäh­len dort die mit einem Schlüs­sel­sym­bol gekenn­zeich­ne­te Kar­te aus. Wäh­len Sie dann aus dem neben der Kar­te erschei­nen­den Menü den Punkt „Kar­te veri­fi­zie­ren”. Anschlie­ßend wer­den Sie auto­ma­tisch durch die Veri­fi­zie­rung gelei­tet. Sobald der Pro­zess erfolg­reich been­det wur­de, wird die Kar­te in lhrem Pro­fil mit dem Sta­tus „veri­fi­ziert” erscheinen.

Veri­fi­zie­ren Sie lhre Zahl­kar­te jetzt mit einem Klick auf unten ste­hen­den Button:

KARTE VERIFIZIEREN

Rein logisch betrach­tet gibt es hier aber kei­ne Kar­te zu veri­fi­zie­ren, weil man in der Ver­gan­gen­heit sich eben nicht auf der neu­en Platt­form regis­triert hat. Dem­nach kann weder ein Pro­fil vor­han­den sein, noch sei­ne Kre­dit­kar­te oder der­glei­chen. Oben­drauf ist der But­ton noch mit einem sehr merk­wür­di­gem Link ver­se­hen, der Miss­trau­en herbeiruft:

https://java-stable.upaid.pl:9072/notifications/email/redirect/

Tat­säch­lich ist die URL aber legi­tim laut tele­fo­ni­scher Aus­sa­ge. Unse­re Tests erga­ben auch, dass man ohne Phis­hing und/oder ähn­li­che­res auf die neue Platt­form von mas­ter­pass wei­ter­ge­lei­tet wird. Hier wird ver­mut­lich die URL nur genutzt um zu über­wa­chen, wie vie­le auf den But­ton in der E‑Mail ange­klickt haben.

Unge­klärt ist aber wei­ter­hin, wie­so man die E‑Mail erhal­ten hat. Unse­re Recher­chen erga­ben, dass die­se E‑Mail am heu­ti­gen Tage sehr vie­le Kun­den erhal­ten haben, die zwar auf der alten Platt­form regis­triert sind/waren, aber im Zuge der Umstel­lung sich nicht auf der neu­en Platt­form regis­triert haben. Wir selbst sind auch betrof­fen. Man hat sich damals auf der alten Platt­form von mas­ter­pass regis­triert gehabt, aber im Zuge der Umstel­lung nicht auf der neue Plattform.

Zu unse­rem Bedau­ern muss­ten wir jedoch fest­stel­len, dass die­sel­ben Log­in-Daten, die damals auf der alten Platt­form in Ver­wen­dung war, jedoch auch für die neue Platt­form gül­tig sind. Nach dem Log­in wur­den alle per­sön­li­chen Daten ange­zeigt, die man auf der alten Platt­form hin­ter­legt hat­te. Zur Erin­ne­rung: Laut der E‑Mail vom 08. März 2018 soll­ten die­se Daten jedoch gelöscht wer­den, weil man die Kun­den nicht auf die neue Platt­form por­tie­ren kann. Wie wir aber fest­ge­stellt haben, ist es anschei­nend doch mög­lich gewe­sen. Denn sonst wäre dort die mitt­ler­wei­le abge­lau­fe­ne VISA-Kre­dit­kar­te nicht hin­ter­legt, sowie das kom­plet­te Kun­den­pro­fil samt Mobil­funk­ruf­num­mer, Vor- und Nach­na­me und eini­ges mehr.

Auch das hat einen faden Bei­geschmack, denn mit der ers­ten E‑Mail wur­de sug­ge­riert, dass die Daten so oder so in jedem Fall (frü­her oder spä­ter) gelöscht und eben nicht mit auf die neue Platt­form por­tiert wer­den. Hat man sich auf die­se Aus­sa­ge ver­las­sen, war bis heu­te der Annah­me, dass man sich um eine Löschung sei­ner Daten nicht mehr drum küm­mern muss.

Wir haben die Pres­se­stel­le von Mas­ter­Card um eine Stel­lung­nah­me gebe­ten. Zeit­gleich haben wir beim Lan­des­be­auf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit Nord­rhein-West­fa­len nach­ge­fragt, ob das Han­deln von MasterCard/masterpass in Ord­nung war. Wir wer­den die­sen Bei­trag fort­lau­fend aktualisieren.

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen - Formular - Beschwerde zum Datenschutz - MasterCard - Masterpass - Fax - Sendebericht

Update vom 04. Mai 2019 um 07:57 Uhr:
Mitt­ler­wei­le kam eine wei­te­re, auto­ma­ti­sche E‑Mail mit dem Betreff „Bit­te veri­fi­zie­ren Sie Ihre bei Mas­ter­pass hin­ter­leg­te Kar­te” von Mas­ter­pass. Dort wird etwas wei­ter aus­ge­führt, wie­so man solch eine Mail erhält. Eine Rück­mel­dung sei­tens Mas­ter­Card an uns zwecks der Anfra­ge von uns vom 29. April steht bis­her noch aus.

Liebe/r Mas­ter­pass-Nut­zer/in,

Sie haben vor kur­zem bereits eine E‑Mail zur Veri­fi­zie­rung Ihrer bei Mas­ter­pass™ hin­ter­leg­ten Kar­te erhal­ten. Dies ist eine Vor­ga­be des Gesetz­ge­bers zur Umset­zung der EU-Zah­lungs­diens­te­richt­li­nie PSD2 und spe­zi­ell der Anfor­de­run­gen an die soge­nann­te star­ke Kundenauthentifizierung.

Sie kön­nen unter wallet.masterpass.de/login auf Ihre der­zeit hin­ter­leg­ten Kar­ten­in­for­ma­tio­nen zugrei­fen und die­se verifizieren.

Bei Fra­gen ist unser Kun­den­ser­vice von Mon­tag bis Frei­tag von 08:30–19:30 Uhr und am Sams­tag von 08:30–16:30 Uhr unter +49 30 25559 095 für Sie zu erreichen.

Vie­le Grüße,
Ihr Masterpass-Team

Anmer­kun­gen zum Bei­trag? Hin­weis an die Redak­ti­on sen­den.