Header graphic for print
Datenschutz News & Trends
Rubrik: Datensicherheit, Kundendatenschutz

Datenschutz im elektronischen Lastschriftverfahren

Der Trend hin zum bargeldlosen Zahlen im Handel ist deutlich: Bereits heute werden nur noch 57,2 % des Umsatzes im Einzelhandel bar erlöst, 39,7% hingegen mittels Kartenzahlung. Im Jahr 1994 lag der Anteil der Barzahlungen noch bei 78,7 % (vgl. Der Handel, Wirtschaftsmagazin für den Handel, http://www.derhandel.de/news/finanzen/pages/Kartenzahlung-Kunden-zahlen-haeufiger-mit-der-Karte-8482.html). Wenn die Tendenz hin zum bargeldlosen Zahlen auch klar ist, die datenschutzrechtliche Bewertung des Zahlungsverfahrens mittels Karte ist es bis heute nicht. Zwischen den Datenschutzbehörden der einzelnen Bundesländer bestehen noch immer unterschiedliche Auffassungen darüber, inwieweit die gegenwärtig verwendeten Verfahren mit dem deutschen Datenschutzrecht zu vereinbaren sind.

EC-Cash und Elektronisches Lastschriftverfahren

Bei der Zahlung mittels EC-Karte sind grundsätzlich zwei Verfahren zu unterscheiden. Beim sog. EC-Cash-Verfahren erfolgt die Zahlung per Eingabe einer PIN durch den Karteninhaber. Nach Eingabe wird das Konto des Karteninhabers daraufhin überprüft, ob es ausreichend Deckung aufweist. Ist dies der Fall, garantiert die ausführende Bank dem Händler den Zahlbetrag und erhält im Gegenzug eine Gebühr in Höhe von 0,3% des Umsatzes. Anders beim elektronischen Lastschriftverfahren (ELV): Hier unterschreibt der Kunde eine Einzugsermächtigung, eine Überprüfung der Kontodeckung findet dabei nicht statt. Für den Händler ist dieses Verfahren zwar kostengünstiger – da die Bankgebühr nicht anfällt – er trägt hierbei aber das Ausfallrisiko.

Die Händler bedienen sich in der Regel sog. Netzbetreiber, welche den Zahlungsvorgang für sie abwickeln. Bei der Zahlungsabwicklung übermitteln die Netzbetreiber dem Händler regelmäßig eine Empfehlung, ob dem Kunden eine Zahlung im ELV gestattet wird oder – aufgrund eines bestehenden Liquiditätsrisikos – auf das gebührenpflichtige EC-Cash-Verfahren zurückgegriffen werden soll. Um diese Empfehlung abgeben zu können, greifen die Netzbetreiber u.a. auf von ihnen aufgebaute Datenbestände („Sperrdateien“) zurück, die Auskunft darüber geben, ob hinsichtlich der jeweiligen EC-Karte bereits in der Vergangenheit Forderungsausfälle zu verbuchen waren. Hierzu werden aus der Karte die relevanten (und auch personenbezogene) Daten, insbesondere Kontonummer, Bankleitzahl, Ablaufdatum der Karte und der zu zahlende Betrag an den Netzbetreiber übermittelt.

Beschränkt sich die Tätigkeit des Netzbetreibers rein auf die Abwicklung der Zahlung, bestehen keine datenschutzrechtlichen Bedenken. Erfolgt die Übermittlung aber zum Zwecke der Empfehlung bezüglich eines Zahlungsverfahrens an den Händler, so steht die datenschutzrechtliche Zulässigkeit dieses Vorgehens infrage.

Vorgaben der Landesdatenschutzbeauftragten Hessen, Bayern und NRW

Nicht zuletzt wegen des immensen praktischen Bedürfnisses an der Ermöglichung des ELV haben sich mittlerweile aber zumindest die Datenschutzbeauftragten für die Bundesländer Hessen, Bayern und Nordrhein-Westfalen auf Vorgaben für eine datenschutzrechtliche Zulässigkeit geeinigt. Mit den genannten Landesdaten-schutzbeauftragten ist davon auszugehen, dass eine Übermittlung von Daten an den Netzbetreiber zulässig ist, die allein der Feststellung dient, ob in Bezug auf das betroffene Konto bereits ungerechtfertigte Lastschriftrückgaben erfolgt sind. Dies muss selbst dann gelten, wenn in eine solche Sperrdatei händlerübergreifende Informationen einfließen. Zulässig kann im Einzelfall auch die Verarbeitung und Speicherung von sog. „Positivdaten“ sein. Hierunter sind solche Daten zu verstehen, die keine Hinweise auf ein „negatives“ Zahlungsverhalten geben. So kann beispielsweise eine große Entfernung zwischen zwei Einsatzorten der Karte dann ein Indiz für Kartenmissbrauch sein, wenn die räumliche Distanz zwischen den beiden Einsatzzeitpunkten realistischer Weise nicht zurückgelegt werden konnte.

Um die Datennutzung in den oben genannten Fällen zu legitimieren, ist es indes stets erforderlich, dass der Betroffene über Art und Ausmaß des Zugriffs auf seine Daten informiert wird. Hierfür wird von den genannten Datenschutzbehörden ein entsprechender Aushang im Kassenbereich des Händlers sowie eine Kurzfassung dieses Aushangs auf dem Kassenbeleg gefordert, aber auch für ausreichend erachtet.

Strengere Vorgaben des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein

Dass die obige Lösung leider keinen Konsens zwischen sämtlichen Datenschutzbehörden darstellt, wird indes bei der Lektüre des jüngsten Tätigkeitsberichts des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) deutlich. In diesem wird insbesondere die händlerübergreifende Speicherung von Lastschriftrückgaben zum Zwecke der Empfehlung eines Zahlungsverfahrens als unzulässig angesehen. Gespeichert werden dürften demnach nur fällige Forderungen, die entweder durch ein Urteil festgestellt oder zweimalig angemahnt wurden. Auch eine Speicherung von Positivdaten wird dem Grunde nach abgelehnt, da insofern nicht belegt sei, dass diese Daten tatsächlich nur zur Verhinderung von Missbrauch verwendet würden. Das ULD empfiehlt der gegenwärtig bewährten Lösung den Umstieg auf „datenschutzfreundlichere“ Alternativen. So wird vorgeschlagen, zufällig zwischen EC-Cash und Lastschriftverfahren zu wechseln oder die Wahl der Bezahlweise von der Höhe des zu zahlenden Betrages abhängig zu machen.

Dass diese „Alternativen“ wenig praktikabel und nicht dazu geeignet sind, Zahlungsausfälle im ELV zu vermeiden, liegt auf der Hand. Bei seiner Bewertung scheint das ULD insgesamt auch außer Acht zu lassen, dass ein sicheres und gegen Missbrauch geschütztes Zahlungsverfahren nicht nur im Interesse der Wirtschaft, sondern auch im Interesse der Kunden liegt. Insgesamt führt die sehr restriktive Ansicht des ULD nun einmal mehr dazu, dass datenverarbeitende Unternehmen in Schleswig-Holstein wesentlich strengeren Vorgaben unterliegen als in anderen Bundesländern. Dies dürfte kaum dem Gedanken bundeseinheitlicher Rahmenbedingungen für das ELV entsprechen.

Diese Webseite verwendet Cookies. Wenn Sie diese Webseite nutzen, akzeptieren Sie die Verwendung von Cookies. Mehr erfahren

Ich stimme zu