Irgendein Schwein hat meine Kreditkartendaten gehackt und ist damit auf Einkaufstour gegangen. Keine Ahnung, wie er es geschafft hat, aber im Internet ist das schnell passiert. Ich muss ja immerhin an allen Ecken und Enden meine Nummer eingeben, selbst wenn ich gar nicht vor habe, etwas zu kaufen, beispielsweise in irgendwelchen obskuren Apps. Das ist das Risiko, mit dem man leben lernt im Zeitalter der Digitalisierung, und ich kann damit eigentlich ganz gut umgehen.
Jedenfalls war ich sofort hellhörig, als ich meine E-Mail von Mastercard bekam, in der es hieß, jemand habe mit meiner Karte bei einer Firma TicketSwap in den Niederlanden eine Transaktion veranlasst. Der Betrag, um den es ging, war zwar „€0,00“, aber auch das kennt man ja: Damit versuchen Gauner, aber auch legitime Online-Händler zu testen, on eine Karte überhaupt gültig ist. Im nächsten Schritt buchen sie dann ab. Wieviel, das sagt mir Mastercard aber leider nicht.
Egal, ich weiß ja, was ich tun muss: Sofort die Hotline-Nummer anrufen und die Karte sperren lassen. Ist zwar ein bisschen ärgerlich, denn bis die neue Karte bis zu uns in den Lungau gelangt dauert es ein paar Tage. Und dann muss ich bei allen Online-Händlern, mit denen ich regelmäßig Geschäfte mache, die Nummer abändern, also bei Amazon, eBay oder bei der Lufthansa. Und ein paar Tage lang kann ich online überhaupt nichts bestellen, es sei denn, ich gebe eine andere Karte an, zum Beispiel die von Amexco.
Tatsächlich hat dieser Stinkstiefel gleich drei Eintrittskarten bei TicketSwap bestellt, einmal für €49,91, dann für €82,99 und schließlich ein drittes Mal, diesmal für €161,27 (siehe Kontoauszug). Ob das zufällig immer größere Beträge waren, oder ob der Gauner jedesmal ein bisschen dreister wurde, kann ich nicht sagen. Und wahrscheinlich kann ich ja von Glück reden, dass er nicht gleich in die Vollen gegangen ist und bei Tiffanys irgendwelche Juwelencolliers bestellt hat.
Ich habe das alles brav der Kreditkartenfirma gemeldet, und die versprachen, die Beträge zu stornieren. Aber dann dacht ich mir: Eigentlich müssen die Leute von TicketSwap ja wissen, wer das gewesen ist. Die Firma gibt es schließlich tatsächlich: Sie haben eine ordentliche Hompage, und dort ist ein Mail-Kontakt angegeben. Also schrieb ich ihnen – und bekam auch postwendend Antwort. Es täte ihnen sehr leid, sie hätten aber schnell gemerkt, was Sache sei und die Beträge gar nicht erst abgebucht. Außerdem hätten sie Vorkehrungen getroffen, um ihr System in Zukunft noch besser vor Betrügern zu schützten.
Ob sie denn nicht wüssten, wer das gewesen sei, fragte ich. Schließlich müsste der ja bei ihnen ein Konto und eine Lieferadresse haben, um Eintrittskarten bestellen zu können. Da könnte man doch die Polizei alarmieren, die hinfahren und den Kerl einbuchten könnte, oder?
Die Antwort, die mir ein freundlicher Herr namens Hans Ober sofort zurückschrieb, machte mich allerdings nachdenklich. „Wir haben nur eine IP-Adresse“, meinte er, und die habe man auch gleich der Kreditkartenfirma gemeldet, „um ihnen zu helfen, betrügerische Abbuchungen zu identifizieren.“ Aber leider dürfe er weder mir noch der Polizei diese Nummer sagen ohne einen Gerichtsbeschluss. Das sei halt Firmenpolitik. Im Übrigen wünsche er mir ein schönes Wochenende.
Das habe ich mit Grübeln verbracht. Ich weiß: der Datenschutz! Wir alle wollen nicht, dass die Bullen oder ein übereifriger Staatsanwalt unsere Provider oder Online-Händler zwingen, ihnen einfach so unsere persönlichen Daten rauszugeben. Aber was ist mit einem, der ganz offensichtlich in betrügerischer Absicht unterwegs ist? Einer, der die Kartendaten anderer klaut und damit einkaufen geht? Hat der auch Datenschutz verdient? Ich denke nein.
Wenn ich Zeuge eines Überfalls oder einer Gaunerei werde gehe ich als guter Staatsbürger auch aufs Revier und erstatte Anzeige. Ich darf ihn sogar festhalten, bis die Polizei kommt. Dafür gibt es den Paragrafen 127 der deutschen Strafprozessordnung. In der steht: „Wird jemand auf frischer Tat betroffen oder verfolgt, so ist, wenn er der Flucht verdächtig ist oder seine Identität nicht sofort festgestellt werden kann, jedermann befugt, ihn auch ohne richterliche Anordnung vorläufig festzunehmen.“
Gilt die StPO im Internet etwa nicht? Muss ein Online-Händler keine Anzeige erstatten, wenn er Kenntnis von einem kriminellen Straftatbestand erhält? Trumpft der Datenschutz die Strafprozessordnung? Der gesunde Menschenverstand sagt nein. Aber wir wissen ja alle: Recht haben und Recht bekommen, das sind zweierlei Dinge…