Datenschutz an der Kasse
Es ist bequem für den Kunden und günstig für den Händler: das elektronische Lastschriftverfahren (ELV). Mit der Unterschrift an der Kasse ermächtigt der Kunde den Händler zur Belastung seines Kontos, die erforderlichen Daten werden im Terminal aus der EC-Karte ausgelesen und durch den Netzbetreiber an die Bank übertragen. Doch welche Daten werden übertragen und welche werden wo und wie lange gespeichert?
Es ist bequem für den Kunden und günstig für den Händler: das elektronische Lastschriftverfahren (ELV). Mit der Unterschrift an der Kasse ermächtigt der Kunde den Händler zur Belastung seines Kontos, die erforderlichen Daten werden im Terminal aus der EC-Karte ausgelesen und durch den Netzbetreiber an die Bank übertragen. Doch welche Daten werden übertragen und welche werden wo und wie lange gespeichert?
Um Kartenmissbrauch zu verhindern und das Risiko von Zahlungsausfällen zu begrenzen, werden zum Teil auch Sperrdateien zur Autorisierung einer ELV-Transaktion verwendet. Dieser Schutzmechanismus ist gerade für Händler wichtig, da anders als beim Electronic Cash-Verfahren der Kreditwirtschaft im ELV keine Garantie der Kontodeckung gegeben ist. Die Datenschutzbehörden in Bayern, Hessen und NRW haben nun einen Vorstoß unternommen und die aus ihrer Sicht maßgeblichen Kriterien für eine datenschutzrechtlich zulässige Ausgestaltung des ELV definiert. So wurden u. a. Mustertexte für einen Aushang am Point of Sale sowie die Ermächtigung auf dem Zahlungsbeleg erarbeitet. Vorausgegangen waren intensive Beratungen im Düsseldorfer Kreis. Dieser dient den Landesdatenschutzbehörden als (informelle) oberste Aufsichtsbehörde, in der landesübergreifende Themen diskutiert und nach Möglichkeit einheitliche Beschlüsse gefasst werden. In Bezug auf das ELV scheiterte eine solche Beschlussfassung jedoch gerade erst.
„Gleichwohl besteht die Hoffnung, dass die jetzt vorliegenden Mustertexte sich mittelfristig zum Standard entwickeln“, erläutert Nils Rauer von Hogan Lovells. „Sie setzen auf eine adäquate Information des Kunden und sollen Händlern wie Netzbetreibern endlich Rechtssicherheit bieten. Der Zweck der Datenerhebung und -verarbeitung wird klar definiert.“ Über die eigentliche Zahlungsabwicklung hinaus dürfen die Daten ausschließlich zur Missbrauchsbekämpfung und Begrenzung des Risikos von Zahlungsausfällen verwendet werden. „Binnen kurzer Zeit nach Zahlungsabwicklung müssen die Daten gelöscht werden. Eine Speicherung ‚auf Vorrat‘ ist ebenso unzulässig wie die Erstellung von Nutzerprofilen“, so Rauer. Da die Datenschutzaufsicht Ländersache ist, bietet die aktuelle Entwicklung vorerst nur Händlern und Netzbetreibern in Bayern, Hessen und NRW Rechtssicherheit. Die Datenerhebung und -verarbeitung in anderen Bundesländern unterliegen der Aufsicht der dortigen Behörden. „Betroffene sollten sich daher an den Landesdatenschutzbeauftragten
vor Ort wenden“, so der Rat des Rechtsanwalts.