Datenschutz und die Online-Zahlungsabwicklung

Datenschutz und die Online-Zahlungsabwicklung

Unsere Geschäfte – sowohl im Arbeits- als auch im privaten Leben – wickeln wir zunehmen online ab: Viele tätigen ihre Einkäufe online. Wir bestellen Dekorationsstücke für die Wohnung von Künstlern, die ihre Werke auf entsprechenden Plattformen anbieten. Die Bürogetränke stocken Lieferanten aufgrund einer Online-Bestellung auf. Für Seminare melden wir uns über ein Online-Portal an und nehmen oftmals auch online teil. Für die Anbieter als Verantwortliche bedeutet dies einerseits eine weitere Möglichkeit, Kunden zu erreichen. Andererseits bringt dies auch mit sich, dass sie oftmals selbst zusätzliche Dienste für die Vertragsabwicklung heranziehen müssen. Hier reden wir speziell von den Zahlungsmöglichkeiten, damit die Kunden ihren Teil des Vertrages erfüllen können. Da kommen nun der Datenschutz und die Online-Zahlungsabwicklung zusammen. Was es dabei für Verantwortliche zu beachten gibt, erläutern wir in diesem Beitrag.

Zahlungsanbieter

In der Regel bieten die Verantwortlichen sogenannte Payment Service Provider (PSP) an, die die Zahlungsabwicklung mittels verschiedener Zahlungsmittel anbieten. Diese Payment Service Provider bieten Lösungen für die Bezahlung von Waren oder Diensten per Rechnung, Vorkasse, verschiedene Kreditkarten, Giropay, Paypal, Sofortüberweisung etc. an und übernehmen auch die Bonitätsprüfung mittels eigener Datenbestände oder Auskunfteien. Vorteile für Verantwortliche, die die Dienste solcher PSP-Anbieter nutzen, ist, je nach vereinbarten Service- oder Leistungsumfang, dass die Verantwortlichen ihr Geld vom Kunden abzüglich der an den PSP zu zahlenden Entgelte (Disagio) erhalten, unabhängig davon, ob das Geld vom eigentlichen Käufer schon eingegangen ist. Die Risiken hierbei übernimmt das Unternehmen, welches als Mittelmann agiert: Es ist also selbst dafür verantwortlich, den Zahlungsbetrag beim Kunden einzufordern.

Aspekte des Datenschutzes

Wie auch bei jeglichen anderen Diensten, die ein Verantwortlicher in Anspruch nimmt, gibt es auch beim Einsatz solcher Zahlungsdienste aus Sicht des Datenschutzes verschiedene Aspekte zu beachten:

Rechtsgrundlage

Die Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten im Rahmen der Zahlungsabwicklung als Teil der Vertragsdurchführung liegt auf der Hand: Es ist Art. 6 Abs. 1 lit. b) DSGVO. in Verbindung mit dem jeweiligen Vertragsverhältnis, welches Grund für die Zahlung ist.

Hauptniederlassung des PSP-Dienstleisters

Viele Zahlungsdienstleister, gerade die führenden Kreditkartenunternehmen, haben ihren Hauptsitz in den USA. Nach aktuellem Stand gilt die USA als unsicheres Drittland, nicht jedoch die US-Unternehmen, die sich selbst zum EU-U.S. Data Privacy Framework gegenüber dem US-Handelsministerium verpflichten.  Somit können Verantwortliche mit diesen US-amerikanischen Dienstleistern personenbezogene Daten austauschen bzw. Daten an diese Dienstleister übermitteln, ohne zusätzliche Maßnahmen oder weitere Übermittlungsinstrumente ergreifen zu müssen. Handelt es sich aber beispielsweise um einen Dienstleister mit Hauptsitz in einem unsicheren Drittland, also einem Land ohne Angemessenheitsbeschluss gemäß Art. 45 DSGVO, muss ein Verantwortlicher sicherstellen, dass die Vorgaben nach Artt. 4648 DSGVO gegeben sind.

Ausmaß der Verarbeitung personenbezogener Daten

Natürlich ist bei der Wahl des Dienstleisters auch darauf zu achten, in welchem Ausmaß er die personenbezogenen Daten verarbeitet. Bei diesem Gedanken spielen wir auf die Frage an, ob der Dienstleister nur so viele Daten verarbeitet, wie nötig ist (Grundsatz der Datenminimierung gemäß Art. 5 Abs. 1 lit. c) DSGVO), damit der komplette Zahlungsvorgang abgewickelt werden kann. Möglicherweise möchte er aber auch Daten verarbeiten, die darüber hinausgehen. Dies ist nun nicht unbedingt ein Grund, mit diesem Zahlungsdienstleister nicht zusammenarbeiten zu können. Jedoch ist darauf zu achten, dass es für die Verarbeitungstätigkeiten, die über die strikt notwendigen Verarbeitungstätigkeiten hinausgehen, eine Rechtsgrundlage gibt.

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Es liegt nach Auffassung der Datenschutzkonferenz (kurz: DSK; Link zum Kurzpapier) bei der Abwicklung des Zahlungsverkehrs weder eine Auftragsverarbeitung noch eine gemeinsame Verantwortlichkeit vor. Demnach muss ein Verantwortlicher auch keinen entsprechenden datenschutzrechtlichen Vertrag abschließen, wenn er einen Zahlungsdienstleister beauftragt – zumindest, wenn es ausschließlich darum geht, den Zahlungsvorgang durchzuführen. Bietet der PSP-Dienstleister aber beispielsweise die Erstellung von Statistiken anbietet, die auf den verarbeiteten personenbezogenen Daten basieren, drängt sich der Gedanke auf, dass entweder eine Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO oder eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vorliegen könnte. Hier gilt es, die Verarbeitungsvorgänge u. a. genauer zu betrachten und welche Vertragspartei die Mittel und Zwecke bestimmt.

Cookies

Bindet ein Verantwortlicher die Dienste eines Zahlungsdiensteanbieters in seinem Online-Shop ein, sollte er auch beachten, ob und welche Cookies dabei gesetzt werden. Je nachdem, welche Cookies gesetzt werden, muss der Verantwortliche als Webseiten- und Online-Shop-Betreiber analysieren, ob er die Cookies nur mit Einwilligung setzen darf oder ob eine Ausnahme vom Einwilligungserfordernis einschlägig ist (siehe § 25 TTDSG). Ist Letzteres der Fall, dürfen diese erst dann gesetzt werden, wenn sie wirklich notwendig sind. Sobald das jeweilige notwendige Cookie dann zu einem späteren Zeitpunkt gesetzt wird, empfehlen wir, den Nutzer zum entsprechenden Zeitpunkt – beispielsweise mittels einer kurzen Information – darüber zu informieren.

– Weitere Beiträge von uns zum Thema Cookies finden Sie hier. –

Datenschutzinformation

Nicht zu vergessen ist die Pflicht eines jeden Verantwortlichen, die Nutzer – hier: die Online-Shop-Besucher und Kunden – über die Verarbeitung ihrer personenbezogenen Daten im Zuge der Zahlungsabwicklung zu informieren (Art. 13 DSGVO).

– Mehr zum Inhalt einer Datenschutzinformation erfahren Sie hier. –

Maßnahmen zum Schutz der personenbezogenen Daten

Beim Online-Bezahlvorgang werden personenbezogene Daten übermittelt. Diese Daten gelten nun zwar in der Regel nicht gemäß Art. 9 Abs. 2 DSGVO als personenbezogene Daten besonderer Kategorien bzw. sensible personenbezogene Daten (anders ist dies z. B. bei Mitgliedsbeiträgen für eine politische Partei, Überweisungen an einen Arzt oder ähnliche Zahlungsvorgänge, bei denen sich aus dem Empfänger oder Verwendungszweck sensible Informationen i. S. d. Art. 9 Abs. 1 DSGVO entnehmen lasse), dennoch kann ein Missbrauch dieser Daten weitreichende negative Folgen für die betroffenen Personen haben. Das heißt also, es sind angemessene technische und organisatorische Maßnahmen zu ergreifen. Eine solcher Maßnahmen, die wir explizit erwähnen möchten, ist die Transportverschlüsselung.

Allgemein gibt es umfangreiche IT-Sicherheitsanforderungen an Internetzahlungen, die durch gesetzliche oder aufsichtsbehördliche Anforderungen festgelegt sind und an die sich die PSP-Anbieter halten müssen (siehe Gesetz über die Beaufsichtigung von Zahlungsdiensten). Dies sollte sich ein Verantwortlicher vom Anbieter bestätigen lassen und etwaige Zertifizierungen zeigen lassen.

Natürlich gilt es auch aufseiten des Verantwortlichen Maßnahmen zum Schutz der von ihm noch zu verarbeitenden Daten zu ergreifen. Gleichzeitig sollte ein Verantwortlicher bei der Wahl des Dienstleisters aber auch auf dessen Maßnahmen gemäß Art. 32 DSGVO achten.

Fazit

Ein Online-Shop kann eine weitere Einnahmequelle für einen Verantwortlichen bedeuten. Bindet er dabei Zahlungsdienstleister bzw. genauer genommen Zahlungsauslösedienste (§ 49 ZAG) datenschutzkonform ein, kann er zusätzlich auch das Vertrauen seiner Kunden stärken, was sich vorteilhaft für den Online-Shop auswirken kann. Des Weiteren schwindet dann aber auch das Risiko von Schadenersatzansprüchen, Abmahnungen und Bußgeldern.

Gern unterstützen wir Sie beim Aufbau eines datenschutzkonformen Online-Shops und bei der datenschutzrechtlichen Bewertung von Zahlungsdiensteanbietern. Kontaktieren Sie uns gern noch heute dafür.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.