DSGVO: Das sind die Auswirkungen auf die Payment-Daten Ihrer Kunden

Peter Cooper

Wie sich die neue Datenschutz-Grundverordnung, englisch GDPR, auf Ihre Zahlungsabwicklung auswirkt und wie Sie Verbraucherrechte schützen können.

Von Peter Cooper, Information Security Specialist, Adyen

Mit über 20 Jahren Arbeitserfahrung in Infrastructure, Security, IT-Systemen und Prozessen verfügt Peter über umfangreiches Wissen zur Informationssicherheit. Kein Tag ist wie der andere. Um die DSGVO einzuhalten, braucht es vielleicht technische Sicherungsmaßnahmen und Analysen, strategische Planungssitzungen mit dem Vorstand oder Task-Force-Projekte zur Compliance, die Sie den Behörden vorlegen.


Aktuell ist die neue DSGVO in aller Munde. Ich habe viele Anfragen von Unternehmen erhalten, die sich Sorgen um das bevorstehende Fristende machen und nicht genau wissen, welche Maßnahmen sie bei ihren Payment-Daten durchführen sollten.

Dieser Artikel wird Ihnen hoffentlich Aufschluss geben und folgende Dinge verständlich machen:

  • Was die DSGVO ist und warum sie eine gute Entwicklung für Unternehmen darstellt
  • Welche Auswirkungen die DSGVO auf Payment-Daten hat (und wie sich die Situation von Marketingdaten unterscheidet)
  • Verbraucherrechte und deren Schutz bzw. Gewährung
  • Welche Schritte bis zum 25. Mai (und darüber hinaus) zu beachten sind

Lesen Sie auch: Wie sich PSD2 auf die Payment-Landschaft auswirkt

Die DSGVO kurz erklärt

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Die DSGVO-Bestimmungen können zusammengefasst werden als Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („Privacy by design“ und „Privacy by default“). Das bedeutet, dass jegliche Aktion, bei der personenbezogene Daten verarbeitet werden, mit integrierter Datensicherheit und Datenschutz bei jedem Arbeitsschritt durchgeführt werden muss. Nach der Herausgabe eines Produkts oder einer Dienstleistung müssen standardmäßig die strengsten Datenschutzeinstellungen gelten.

Es ist praktisch eine Weiterentwicklung der bereits geltenden Bestimmungen.

Es geht um den Respekt für die Menschen und das ist im Grunde nichts Neues, sondern praktisch eine Weiterentwicklung der bereits geltenden Bestimmungen zum Schutz von Verbraucherdaten.

Bei Adyen ist das ein Kernthema, über das wir schon seit meinem ersten Tag hier reden. Datenschutz gehört zu unserer Firmenidentität und diese neuen Bestimmungen werden nur geringe Auswirkungen auf unsere eigenen internen Abläufe haben. Das bedeutet im Umkehrschluss eine Erleichterung des Aufwands für unsere Kunden, die sich Sorgen um den Schutz der Daten ihrer Kunden machen.

Grenzübergreifende Geschäfte vereinfachen

In der EU gibt es schon lange das Ideal vom Schutz personenbezogener Daten und die neue DSGVO standardisiert die vorhandenen Best Practices für mehrere Länder. So ist sichergestellt, dass das Datenschutzniveau auf allen Märkten in der EU gleich ist und die Rechte der Verbraucher an ihren Daten stets kraft Gesetzes durchgesetzt werden können.

Aus Sicht der Unternehmen wird alles einheitlicher, die Leitlinien sind klarer und es gibt keine landesspezifischen Besonderheiten mehr. Sie müssen sich nicht mehr den Kopf darüber zerbrechen, was in Frankreich anders geregelt wird als in Deutschland, oder welche Rechte in Spanien, aber nicht in den Niederlanden gelten.

Es ist auch eine gute Entwicklung für Unternehmen außerhalb der EU, die an europäische Verbraucher verkaufen. So können sie feststellen, welche Gemeinsamkeiten das EU-Recht mit ihren eigenen Gesetzen hat, sodass Äquivalente gefunden und Prozesse noch einfacher gestaltet werden können.

Diese Auswirkungen hat die DSGVO auf Payment-Daten

Die Rechtsgrundlage für die Verarbeitung von Payment-Daten kann sich von der Grundlage für Marketingdaten unterscheiden. Wenn Sie etwas an Personen vermarkten wollen, brauchen Sie deren Einwilligung. Das ist ziemlich simpel. Aber brauchen Sie bei Zahlungen eine Einwilligung? Oder doch etwas anderes?

Vertragserfüllung

Es gibt noch eine Reihe weitere Gründe zur rechtmäßigen Datenverarbeitung im Rahmen der GDPR. Bei Payment-Daten ist der naheliegendste Grund natürlich die Erfüllung eines Vertrags, d. h. ich brauche diese Angaben, damit ich Ihnen die Waren/die Dienstleistung bereitstellen kann, die Sie angefordert haben.

Die „Vertragserfüllung“ hängt nicht von fortdauernder Zustimmung ab.

Das Interessante an der Vertragserfüllung als Rechtsgrundlage für die Datenverarbeitung ist die Tatsache, dass dafür keine fortdauernde Zustimmung erforderlich ist, falls die Daten für den Lebenszyklus des Produkts oder der Dienstleistung benötigt werden (beispielsweise Abos, Garantien oder Kreditkarten-Chargebacks). Trotzdem können Sie diese Daten nicht für andere Zwecke einsetzen. Aber es ist viel einfacher, die Bereitstellung von Waren oder Dienstleistungen nachzuweisen, als eine Einwilligung vorzuweisen oder sich mit dem Widerruf einer Einwilligung zu befassen.

GDPR Illustration

Umgang mit Verbraucherrechten

Laut DSGVO gibt es folgende Rollen:

  • Die betroffene Person: der Verbraucher
  • Der Verantwortliche: das Unternehmen (also Sie)
  • Der Auftragsverarbeiter: ein externer Datenverarbeiter, der vom Verantwortlichen angewiesen wurde (z. B. Adyen)

Als Verantwortlicher tragen Sie die Verantwortung für die Beziehung zur betroffenen Person. Sie können einen Dritten (wie Adyen) mit der Verarbeitung der Daten beauftragen; aber Sie müssen den Zweck (oder die Ziele) und die Rechtsgrundlage für die Verarbeitung liefern.

Alle Dritten müssen die Bedingungen einhalten, die zwischen dem Verantwortlichen und der betroffenen Person vereinbart wurden. Zur Sicherheit muss der Verantwortliche mit jedem Auftragsverarbeiter ein Data Processing Agreement DPA (Datenverarbeitungsvereinbarung) abschließen. Unser DPA wurde gestaltet, um Sie zu schützen: Es orientiert sich stark an Zahlungstransaktionen und beweist so, dass Sie die DSGVO einhalten (zumindest aus Payment-Sicht).

Rechte der betroffenen Personen

Die Rechte der betroffenen Personen bergen einige interessante Besonderheiten in Bezug auf Payment-Daten.

Zugriffsrecht („Right of Access“)

Betroffene Personen haben das Recht, jederzeit auf alle Daten zuzugreifen, die ein Unternehmen über sie speichert. Das umfasst auch Payment-Daten und ich werde oft gefragt:

Was mache ich, wenn ein Kunde seine Daten einsehen will?

Als Auftragsverarbeiter haben wir die gesetzliche Pflicht, dem Verantwortlichen bei der Bereitstellung dieser Daten zu helfen. Wir haben unsere Verfahren so einfach wie möglich gestaltet: Kontaktieren Sie einfach unser Support-Team und geben Sie die „PSP-Referenz“ an.

Sie sollten allerdings bedenken, dass Rechtsanfragen von betroffenen Personen ein großes Risiko bergen: Sie können für Betrugsversuche genutzt werden. Sie müssen unbedingt den Kunden authentifizieren, bevor Sie die Daten herausgeben. Sie wollen schließlich nicht, dass Identitätsdiebe Ihr System ausnutzen, um Verbraucherdaten zu stehlen.

Das Recht auf Vergessenwerden („Right to be Forgotten“) – welche Daten Sie löschen können und welche nicht

Ein weiteres wichtiges Recht von betroffenen Personen ist das Recht auf Vergessenwerden. Im Marketing bedeutet das, dass alle Einträge zum Verbraucher gelöscht werden und er nie wieder kontaktiert wird. Das ist recht einfach. Bei Payment-Daten ist die Lage nicht ganz so klar und es gibt Situationen, in denen bestimmte Daten nicht einfach gelöscht werden können.

Es gibt Situationen, in denen bestimmte Daten nicht einfach gelöscht werden können.

Zum Beispiel können bei einem Produktverkauf gesetzliche Garantien greifen; bei manchen Kartenanbietern gilt dann ein Chargeback-Zeitraum von bis zu 3,5 Jahren. Oder wenn Ihr Kunde ein Jahresabo hat, das noch nicht gekündigt wurde, müssen Sie die Daten behalten, um weiterhin abbuchen zu können.

Klären Sie immer den genauen Grund mit Ihrem Kunden ab, der eine Datenlöschung verlangt:

Vielleicht macht Ihr Kunde sein Recht auf Vergessen geltend, weil er die Marketing-E-Mails satt hat. Guter Kundenservice bedeutet, dass Sie Ihren Kunden zuhören, Fragen stellen und das Problem lösen. In diesem Fall müssen Sie ihn vielleicht einfach nur von Ihrem Marketing-Verteiler streichen.

Sie müssen erklären, welche Informationen gelöscht werden können, und welche aus Compliance-Gründen für bestimmte Zeiträume gespeichert werden müssen. Aber wir helfen Ihnen gern. Wir prüfen die Anfrage vor dem Hintergrund einer Vertragserfüllung (und anderer Verpflichtungen, die wir als Finanzinstitut haben). Und wir erledigen das innerhalb der Fristen, welche die DSGVO vorgibt.

Was Sie jetzt tun sollten: Vorbereitung auf den 25. Mai – und die Zeit danach

Die DSGVO ist kein Sprint, sondern ein Marathon. Am 25. Mai ist noch gar nichts vorüber.

Die Regulierungsbehörden werden die Unternehmen nacheinander überprüfen, also sollten Sie jetzt mit den Vorbereitungen beginnen (falls Sie es noch nicht getan haben). Folgende Schritte würde ich als erstes vorschlagen:

Achten Sie darauf, dass Sie über DPAs mit all Ihren Dienstleistern verfügen. Das ist essenziell für die Compliance.

Die DSGVO ist kein Sprint, sondern ein Marathon.

Prüfen Sie sorgsam Ihre Datenschutzrichtlinien und Ihre Rechtsgrundlage für die Datenverarbeitung.

Fangen Sie mit diesen kleinen Schritten an und arbeiten Sie sich langsam voran. Sie müssen zeigen können, dass Sie die DSGVO ernst nehmen und proaktiv an der Einhaltung der neuen Richtlinien arbeiten.

Natürlich ist es noch früh und die Bestimmungen werden erst mit Inkrafttreten der DSGVO wirklich klar definiert werden. Der 25. Mai ist nur der Anfang. Aber letztlich sollten Sie sich daran erinnern, dass die DSGVO der Anstoß dafür ist, das Richtige zu tun. Auch ich bin ein Verbraucher und ich weiß Konsumentenschutz zu schätzen – und Ihre Kunden werden es ebenso.

Wenn Sie ein DPA von Adyen erhalten möchten, füllen Sie bitte folgendes Formular aus. Bei weiteren Fragen zur DSGVO haben, kontaktieren Sie bitte Ihren Account Manager oder den Sales Support und fordern Sie weitere Informationen an.


Hat Ihnen dieser Artikel gefallen?

Melden Sie sich einfach für unseren Newsletter an, um immer über alle Neuigkeiten rund um Payment-Themen und Bestimmungen auf dem Laufenden zu bleiben.