Zahlungsdienstleister als Auftragsverarbeiter - Was datenschutzrechtlich bei Zahlungsdienstleistern zu beachten ist - Datenschutz - DSGVO - Gemeinsame Verantwortlichkeit - Kundeninformation

Zahlungsdienstleister als Auftragsverarbeiter? – Was datenschutzrechtlich bei Zahlungsdienstleistern zu beachten ist

Die Zahlungsabwicklung über Dienstleister ist bequem, schnell und einfach – für Kunden und verantwortliche Unternehmen. Wir erklären im Folgenden, was verantwortliche Unternehmen datenschutzrechtlich beachten müssen, wenn sie bei der Zahlungsabwicklung mit ihren Kunden Zahlungsdienstleister einsetzen wollen.

Zahlungsdienstleister sind im Regelfall keine Auftragsverarbeiter

Kennzeichnend für eine Auftragsverarbeitung ist, dass der Auftragsverarbeiter nur auf und im Rahmen der Weisung des Auftraggebers personenbezogene Daten verarbeiten darf. Dies trifft auf Zahlungsdienstleister nicht zu. Sie mögen zwar den Auftrag erhalten, eine bestimmte Geldsumme zu transferieren, jedoch unterliegen sie dabei keiner datenschutzrechtlichen Weisungsgebundenheit gegenüber dem Auftraggeber. Des Weiteren ist zu beachten, dass auch der Kunde ein Vertragsverhältnis mit dem Zahlungsdienstleister hat – eine einseitige Weisungsbindung gegenüber dem Verkäufer würde der Realität somit nicht gerecht werden. Vielmehr handelt der Zahlungsdienstleister auch auf Basis eines Vertrags mit dem Kunden, welcher die Zahlung in Auftrag gibt. Der Zahlungsdienstleister stellt sich somit als eigenverantwortlicher Dritter dar, der nicht auf Weisung des verkaufenden Unternehmens tätig wird, sondern in eigener Verantwortung Daten verarbeitet. Auch laut BayLDA sind Bankinstitute für Geldtransfer sowie Zahlungsdienstleister für elektronische Zahlungen in der Regel keine Auftragsverarbeiter.

Gemeinsame Verantwortlichkeit mit Zahlungsdienstleistern

Wenn keine Auftragsverarbeitung vorliegt, dann stellt sich die Frage, ob es sich um eine gemeinsame Verantwortlichkeit im Sinne des Art. 26 DSGVO handelt. Hierfür ist in der Regel kennzeichnend, dass mehrere Verantwortliche die Mittel und Zwecke der Datenverarbeitung festlegen. Allerdings erbringt ein Zahlungsdienstleister eine fremde Fachleistung und handelt damit als eigenständig Verantwortlicher. Verkaufendes Unternehmen und der Zahlungsdienstleister bestimmen nicht gemeinsam über Mittel und Zwecke der Verarbeitung, sondern im Regelfall jeder verarbeitet als eigenständig Verantwortlicher die Daten für sich, mit seinen Mitteln und für seine Zwecke.

Kundeninformationen

Die DSGVO sieht umfangreiche Informationspflichten in Art. 13 und 14 DSGVO vor, die verantwortliche Unternehmen gegenüber ihren Kunden erfüllen müssen. Kunden müssen transparent und in verständlicher Sprache über die Verarbeitung ihrer Daten informiert werden. Dies muss möglichst vor oder wenigstens bei der Erhebung ihrer Daten geschehen.

Diese Anforderung der DSGVO stellt viele vor Herausforderungen, lässt sich jedoch durch zweistufige Informationen meist erfüllen.

Erfolgt die Bezahlung vor Ort an der Kasse, sollte man einen kurzen, aber deutlichen sicht- und lesbaren Hinweis für die Kunden über die Datenverarbeitung anbringen. Dieser Hinweis sollte mindestens enthalten, wer Verantwortlicher für die Datenverarbeitung ist sowie den Zweck der Verarbeitung. Zudem sollte der Hinweis dann einen Verweis auf weiterführende Informationen enthalten. Dies kann bspw. ein Link auf die Homepage oder ein QR-Code sein, mittels dessen Kunden auf die ausführlichen und vollständigen Informationen gelangen.

Erfolgt die Bezahlung online auf der Website. So kann man hier ebenfalls einen kurzen Hinweistext auf der Bezahlseite einrichten, der eine Verlinkung auf die Datenschutzinformationen enthält.

Mit dem abgestuften Vorgehen sollte eine situationsgerechte Erfüllung der Informationspflichten erreicht werden, die den Kunden zum einen effektiv informiert, jedoch in der konkreten Situation auch nicht mit Informationen überlädt. Dieses Vorgehen wird auch von der EDSA im Working Paper No. 260 für zulässig betrachtet.

Mitarbeiter anweisen

Wie bei den meisten Verarbeitungstätigkeiten ist es entscheidend, dass die Mitarbeiter ausreichend geschult sind und über die Abläufe Bescheid wissen. Aufgrund der Rechenschaftspflicht in der DSGVO ist es auch sinnvoll, eine Arbeitsanweisung zu verschriftlichen, wonach den Kunden o.g. Datenschutzinformationen zur Verfügung zu stellen sind. Dies dient dem Nachweis gegenüber Aufsichtsbehörden, sollten Kontrollen durchgeführt werden. Da eine schriftliche Anweisung alleine jedoch nicht ausreicht, sollten Mitarbeiter auch regelmäßig geschult und unterwiesen werden.

Sind Sie noch unsicher, was Sie beim Einsatz von Zahlungsdienstleistern konkret beachten müssen – sprechen Sie uns an! Wir finden gemeinsam eine für Sie individuell passende Lösung. Hier kommen Sie zu unserer Website.

This post is also available in: Englisch