DSGVO: Das sind die Auswirkungen auf die Payment-Daten Ihrer Kunden

Aktuell ist die neue DSGVO in aller Munde. Ich habe viele Anfragen von Unternehmen erhalten, die sich Sorgen um das bevorstehende Fristende machen und nicht genau wissen, welche Maßnahmen sie bei ihren Payment-Daten durchführen sollten.

Dieser Artikel wird Ihnen hoffentlich Aufschluss geben und folgende Dinge verständlich machen:

Die DSGVO-Bestimmungen können zusammengefasst werden als Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by design“ und „Privacy by default“). Das bedeutet, dass jegliche Aktion, bei der personenbezogene Daten verarbeitet werden, mit integrierter Datensicherheit und Datenschutz bei jedem Arbeitsschritt durchgeführt werden muss. Nach der Herausgabe eines Produkts oder einer Dienstleistung müssen standardmäßig die strengsten Datenschutzeinstellungen gelten.

Es geht um den Respekt für die Menschen und das ist im Grunde nichts Neues, sondern praktisch eine Weiterentwicklung der bereits geltenden Bestimmungen zum Schutz von Verbraucherdaten.

Bei Adyen ist das ein Kernthema, über das wir schon seit meinem ersten Tag hier reden. Datenschutz gehört zu unserer Firmenidentität und diese neuen Bestimmungen werden nur geringe Auswirkungen auf unsere eigenen internen Abläufe haben. Das bedeutet im Umkehrschluss eine Erleichterung des Aufwands für unsere Kunden, die sich Sorgen um den Schutz der Daten ihrer Kunden machen.

In der EU gibt es schon lange das Ideal vom Schutz personenbezogener Daten und die neue DSGVO standardisiert die vorhandenen Best Practices für mehrere Länder. So ist sichergestellt, dass das Datenschutzniveau auf allen Märkten in der EU gleich ist und die Rechte der Verbraucher an ihren Daten stets kraft Gesetzes durchgesetzt werden können.

Aus Sicht der Unternehmen wird alles einheitlicher, die Leitlinien sind klarer und es gibt keine landesspezifischen Besonderheiten mehr. Sie müssen sich nicht mehr den Kopf darüber zerbrechen, was in Frankreich anders geregelt wird als in Deutschland, oder welche Rechte in Spanien, aber nicht in den Niederlanden gelten.

Es ist auch eine gute Entwicklung für Unternehmen außerhalb der EU, die an europäische Verbraucher verkaufen. So können sie feststellen, welche Gemeinsamkeiten das EU-Recht mit ihren eigenen Gesetzen hat, sodass Äquivalente gefunden und Prozesse noch einfacher gestaltet werden können.

Die Rechtsgrundlage für die Verarbeitung von Payment-Daten kann sich von der Grundlage für Marketingdaten unterscheiden. Wenn Sie etwas an Personen vermarkten wollen, brauchen Sie deren Einwilligung. Das ist ziemlich simpel. Aber brauchen Sie bei Zahlungen eine Einwilligung? Oder doch etwas anderes?

Es gibt noch eine Reihe weitere Gründe zur rechtmäßigen Datenverarbeitung im Rahmen der GDPR. Bei Payment-Daten ist der naheliegendste Grund natürlich die Erfüllung eines Vertrags, d. h. ich brauche diese Angaben, damit ich Ihnen die Waren/die Dienstleistung bereitstellen kann, die Sie angefordert haben.

Das Interessante an der Vertragserfüllung als Rechtsgrundlage für die Datenverarbeitung ist die Tatsache, dass dafür keine fortdauernde Zustimmung erforderlich ist, falls die Daten für den Lebenszyklus des Produkts oder der Dienstleistung benötigt werden (beispielsweise Abos, Garantien oder Kreditkarten-Chargebacks). Trotzdem können Sie diese Daten nicht für andere Zwecke einsetzen. Aber es ist viel einfacher, die Bereitstellung von Waren oder Dienstleistungen nachzuweisen, als eine Einwilligung vorzuweisen oder sich mit dem Widerruf einer Einwilligung zu befassen.

Laut DSGVO gibt es folgende Rollen:

Als Verantwortlicher tragen Sie die Verantwortung für die Beziehung zur betroffenen Person. Sie können einen Dritten (wie Adyen) mit der Verarbeitung der Daten beauftragen; aber Sie müssen den Zweck (oder die Ziele) und die Rechtsgrundlage für die Verarbeitung liefern.

Alle Dritten müssen die Bedingungen einhalten, die zwischen dem Verantwortlichen und der betroffenen Person vereinbart wurden. Zur Sicherheit muss der Verantwortliche mit jedem Auftragsverarbeiter ein Data Processing Agreement DPA (Datenverarbeitungsvereinbarung) abschließen. Unser DPA wurde gestaltet, um Sie zu schützen: Es orientiert sich stark an Zahlungstransaktionen und beweist so, dass Sie die DSGVO einhalten (zumindest aus Payment-Sicht).

Die Rechte der betroffenen Personen bergen einige interessante Besonderheiten in Bezug auf Payment-Daten.

Betroffene Personen haben das Recht, jederzeit auf alle Daten zuzugreifen, die ein Unternehmen über sie speichert. Das umfasst auch Payment-Daten und ich werde oft gefragt:

Was mache ich, wenn ein Kunde seine Daten einsehen will?

Als Auftragsverarbeiter haben wir die gesetzliche Pflicht, dem Verantwortlichen bei der Bereitstellung dieser Daten zu helfen. Wir haben unsere Verfahren so einfach wie möglich gestaltet: Kontaktieren Sie einfachunser Support-Teamund geben Sie die „PSP-Referenz“ an.

Sie sollten allerdings bedenken, dass Rechtsanfragen von betroffenen Personen ein großes Risiko bergen: Sie können für Betrugsversuche genutzt werden. Sie müssen unbedingt den Kunden authentifizieren, bevor Sie die Daten herausgeben. Sie wollen schließlich nicht, dass Identitätsdiebe Ihr System ausnutzen, um Verbraucherdaten zu stehlen.

Ein weiteres wichtiges Recht von betroffenen Personen ist das Recht auf Vergessenwerden. Im Marketing bedeutet das, dass alle Einträge zum Verbraucher gelöscht werden und er nie wieder kontaktiert wird. Das ist recht einfach. Bei Payment-Daten ist die Lage nicht ganz so klar und es gibt Situationen, in denen bestimmte Daten nicht einfach gelöscht werden können.

Zum Beispiel können bei einem Produktverkauf gesetzliche Garantien greifen; bei manchen Kartenanbietern gilt dann ein Chargeback-Zeitraum von bis zu 3,5 Jahren. Oder wenn Ihr Kunde ein Jahresabo hat, das noch nicht gekündigt wurde, müssen Sie die Daten behalten, um weiterhin abbuchen zu können.

Klären Sie immer den genauen Grund mit Ihrem Kunden ab, der eine Datenlöschung verlangt:

Vielleicht macht Ihr Kunde sein Recht auf Vergessen geltend, weil er die Marketing-E-Mails satt hat. Guter Kundenservice bedeutet, dass Sie Ihren Kunden zuhören, Fragen stellen und das Problem lösen. In diesem Fall müssen Sie ihn vielleicht einfach nur von Ihrem Marketing-Verteiler streichen.

Sie müssen erklären, welche Informationen gelöscht werden können, und welche aus Compliance-Gründen für bestimmte Zeiträume gespeichert werden müssen. Aber wir helfen Ihnen gern. Wir prüfen die Anfrage vor dem Hintergrund einer Vertragserfüllung (und anderer Verpflichtungen, die wir als Finanzinstitut haben). Und wir erledigen das innerhalb der Fristen, welche die DSGVO vorgibt.

Die DSGVO ist kein Sprint, sondern ein Marathon. Am 25. Mai ist noch gar nichts vorüber. Die Regulierungsbehörden werden die Unternehmen nacheinander überprüfen, also sollten Sie jetzt mit den Vorbereitungen beginnen (falls Sie es noch nicht getan haben). Folgende Schritte würde ich als erstes vorschlagen:

Achten Sie darauf, dass Sie über DPAs mit all Ihren Dienstleistern verfügen. Das ist essenziell für die Compliance. Prüfen Sie sorgsam Ihre Datenschutzrichtlinien und Ihre Rechtsgrundlage für die Datenverarbeitung. Fangen Sie mit diesen kleinen Schritten an und arbeiten Sie sich langsam voran. Sie müssen zeigen können, dass Sie die DSGVO ernst nehmen und proaktiv an der Einhaltung der neuen Richtlinien arbeiten.

Natürlich ist es noch früh und die Bestimmungen werden erst mit Inkrafttreten der DSGVO wirklich klar definiert werden. Der 25. Mai ist nur der Anfang. Aber letztlich sollten Sie sich daran erinnern, dass die DSGVO der Anstoß dafür ist, das Richtige zu tun. Auch ich bin ein Verbraucher und ich weiß Konsumentenschutz zu schätzen – und Ihre Kunden werden es ebenso.

Wenn Sie ein DPA von Adyen erhalten möchten, füllen Sie bittefolgendes Formularaus. Bei weiteren Fragen zur DSGVO haben, kontaktieren Sie bitte Ihren Account Manager oder denSales Supportund fordern Sie weitere Informationen an.