Die Verteilte Elektronische
Unterschrift (VEU) ist seit vielen Jahren eine wichtige Funktion, um Zahlungen
von unterschiedlichen Personen selbst an unterschiedlichen Orten einreichen und
freizeichnen zu lassen.
Die im EBICS-Protokoll
dafür vorgesehenen Auftragsarten und deren fachlicher Inhalt erlauben eine
Freigabe auf Basis der Gesamtdatenlage – über den Dateibegleitbeleg – oder gar
auf Basis der inhaltlichen Zahlungsdaten. Dafür liefern EBICS-Server die
wichtigsten Informationen für jede der enthaltenen Einzelzahlungen bereits in
aufbereiteter Form. Ein Kundensystem, das diese Daten anzeigen soll, muss dazu
nicht mal das konkrete Zahlungsformat kennen. Das macht die Software so
komfortabel. Ausnahmsweise lässt sich sogar eine komplette Zahlungsdatei
übermitteln. Doch gerade bei großen Sammelzahlungen stellt das den gerade
beschriebenen Komfort wieder in Frage.
In der Zahlungsverkehrspraxis
kommen nicht nur einfache Zahlungen und Lastschriften in die VEU-Mappe, sondern
auch Sonderzahlungen mit sehr persönlichen Daten, die besonders zu schützen
wären. Dazu gehören etwa Pensionszahlungen, Gehaltszahlungen sowie Bonuszahlungen
und Gratifikationen, die nicht für die Allgemeinheit und erst recht nicht für die
Einsichtnahme durch die Belegschaft eines Unternehmens bestimmt sind.
Genau an dieser Stelle
wird eine Schwäche der EBICS-Spezifikation deutlich: der GVC oder PurposeCode,
der festlegt, um was für eine Art Zahlung es sich handelt, fehlt, wenn die
Einzelzahlungen übertragen werden. Die von Kunden eingesetzten EBICS-Produkte
sind deshalb gar nicht in der Lage, selbst wenn die Unternehmen das wollten,
vertrauliche Daten in einem Zahlungsauftrag zu schützen. Der Software fehlt das
Kriterium, um zu entscheiden, ob Zahlungsdetails angezeigt oder ausgeblendet
werden müssen.
Ohne eine Kennung im
konkreten Zahlauftrag ist es nicht möglich, vertrauliche von normalen Zahlungen
zu unterscheiden. Damit ist die VEU im Prinzip ungeeignet, um etwa
Gehaltszahlungen zu prüfen und per VEU freizugeben, weil nicht auszuschließen
ist, dass nicht berechtigte Mitarbeiter einen Blick auf die möglicherweise
vertraulichen Informationen werfen.
Die EBICS-Gesellschaft
sollte sich deshalb beim XML für den HVT eine Erweiterung überlegen, mit der
künftig auch diese wichtigen Informationen für die Art der Zahlung übermittelt
werden. Solange dies nicht geschieht, lässt sich die VEU für Gehaltszahlungen nur
eingeschränkt nutzen.
Autor: Michael Schunk