In den Bezahlprozess mittels
Kreditkarte sind, wie bereits bei der Vorstellung des Systems erwähnt, verschiedene Stellen involviert. An zentralster Position stehen dabei die Betreiber des Kreditkartennetzwerks, also z.B. Visa oder MasterCard, die jede Transaktion, die mit einer ihrer Karten abgewickelt wird, verarbeiten.
Da die größten Kreditkartenanbieter amerikanische Unternehmen sind und das Kreditkartennetzwerk in Ihrer Hand liegt, kann davon ausgegangen werden, dass alle Transaktionen amerikanischen Behörden zugänglich sind. Innerhalb der NSA sammelt beispielsweise die Abteilung „Follow the money“ diese Transaktionsdaten in der Datenbank Tracfin. Aber auch andere Behörden der USA sind an diesen Daten interessiert und verschaffen sich Zugriff auf diese. Selbst wenn die Daten außerhalb der USA liegen versucht die amerikanische Justiz Zugriff auf diese Daten zu erlangen, wenn dies ihren Zielen dient. Derzeit versucht Microsoft einen Zugriff der US-Justiz auf in der EU gespeicherten Daten zu verhindern, scheiterte aber vor Gericht. Dieses Urteil könnte für amerikanische Unternehmen einen Präzedenzfall darstellen, so dass auch die Kreditkartenunternehmen u.U. gezwungen sein könnten Daten aus Europa amerikanischen Behörden offen zulegen.
Deutsche Behörden haben ebenfalls die Möglichkeit Zugriff auf diese Daten zu erhalten, offiziell beispielsweise um Straftaten aufklären zu können. So gelang es im Herbst 2006 Oberstaatsanwalt Peter Vogt aus Halle (Saale) durch Überprüfung aller Visa- und MasterCard-Konten 322 Personen zu ermitteln, die kinderpornographisches Material erworben hatten. Zu welchen Zwecken Behörden diese Daten ansonsten noch abfragen ist nicht bekannt.
Aber die Anbieter der Kreditkartennetzwerke können die gesammelten Daten auch an andere weitergeben. So heißt es beispielsweise in den Datenschutzbestimmungen von MasterCard:
„MasterCard kann auch persönliche Verbraucherdaten offenlegen, ohne Personen die Möglichkeit des Optouts zu geben, (…) wenn MasterCard glaubt, dass die Offenlegung erforderlich oder angemessen ist, um physischen Schaden oder finanzielle Verluste abzuwenden, oder im Zusammenhang mit einer Untersuchung vermuteter oder tatsächlicher betrügerischer oder illegaler Aktivitäten“
Durch diesen Passus seiner Datenschutzbestimmungen liegt es allein im Ermessen von Master-Card dies zu entscheiden, was für den Nutzer äußerst intransparent ist, zumal er keine Möglichkeit hat, der Nutzung seiner Daten zu widersprechen oder davon erfährt.
Die Anbieter versuchen aus Ihren zentralen Datensammlungen mittlerweile noch weiteren Nutzen zu ziehen, indem die Daten aggregiert und ausgewertet werden, um beispielsweise zielgenaue Werbung zu ermöglichen. Das Programm „MasterCard Audiences“ bietet genau diesen Service für Unternehmen an und ermöglicht die Auswertung nach verschiedenen Kategorien, wie Gastronomie oder Finanzdienstleistungen. Aufgrund der genannten Punkte werden in dieser Kategorie 0 Punkte für das Kriterium der Anonymität vergeben, da durch die zentrale Datenhaltung, die in transparenten Datenschutzbestimmungen und die Nutzung der Daten das System keinerlei Anonymität für den Nutzer bietet.