Digitales Payment: Worauf Sie beim Datenschutz rund um Paypal und Co. achten müssen

12.09.2018

by-wlodek-428549_1280

Nie zuvor spielte das Thema Payment aus Unternehmenssicht eine solch bedeutsame Rolle. Nicht nur Shopbetreiber, sondern auch viele andere Unternehmen kommen an Bezahldienstleistern nicht mehr vorbei. Ob Produktverkauf oder Dienstleistungen, wie z.B. eine Ticketreservierung: In zunehmend mehr Geschäftsfeldern besteht die Notwendigkeit, umgehendes Bezahlen im Internet oder auch Payment via Smartphone vor Ort zu ermöglichen.

Für die meisten Unternehmen gilt: Je mehr Bezahlmöglichkeiten sie anbieten, desto besser. Der Verzicht auf die Anbindung einzelner Payment-Anbieter kann durchaus ein Wettbewerbsnachteil sein. Man denke nur an Paypal – kaum ein Online-Shop kann es sich noch leisten, auf diesen Bezahlanbieter zu verzichten. Wer z.B. über seine Website in das Ausland verkauft, kann ebenso darauf angewiesen sein, die Kreditkarte als Zahlungsmittel zu akzeptieren.

Beim Bezahlen ist Datenschutz ein wichtiger Punkt

Unternehmen, die Leistungen externer Bezahldienstleister nutzen möchten, interessiert in der Praxis vor allem eine Sache. Eine reibungslose Ausführung der Transaktionen muss gewährleistet sein, d.h. die vom Kunden gezahlten Beträge sollen ohne größere Abzüge durch Gebühren zeitnah auf ihren Konten eingehen.

Allerdings ist dies nicht der einzig wichtige Punkte. Sobald es um Paypment geht, ist der Datenschutz von größer Bedeutung. Denn am Ende geht es um Geld, d.h. es kommt zur Übermittlung von Bankverbindungen und ähnlich sensiblen Daten. Einige Payment-Anbieter gehen sogar noch weiter, indem sie z.B. Bonitätsprüfungen vornehmen.

Ob Bankverbindung, Paypal-Konto oder Informationen über gekaufte Waren: Kein Verbraucher möchte, dass solche Informationen mit Bezug zu ihm öffentlich im Internet erscheinen oder auf anderem Wege in die falschen Hände gelangen. Folglich können sich Unternehmen in diesem Feld keine Datenpannen leisten.

Sollte es dazu kommen, drohen negative Schlagzeilen, welche die Reputation unter Umständen stark schädigen. Davon abgesehen gilt es sich den Fragen der zuständigen Aufsichtsbehörde zustellen und womöglich wird sogar ein Bußgeld verhängt.

Erst DSGVO-Konformität prüfen, danach den Zahlungsanbieter einbinden

In Anbetracht solcher Risiken führt kein Weg daran vorbei, frühzeitig an betrieblichen Datenschutz zu denken. Noch vor der technischen Integration eines Bezahlanbieters in eine Website ist zu prüfen, ob die Einbindung DSGVO-konform erfolgen kann. Anschließend können weitere Schritte, wie z.B. der Abschluss eines Vertrags über eine Auftragsverarbeitung, notwendig sein, um den gesetzlichen Anforderungen gerecht zu werden.

Entscheidende Fragestellungen rund um dem Datenschutz beim Payment

Wahl des Anbieters: Es ist zu prüfen, ob der einzelne Payment-Dienstleister aus datenschutzrechtlicher Sicht überhaupt genutzt werden darf. Womöglich ist ein Anbieter in einem Drittstaat angesiedelt, wodurch erschwerte Bedingungen gelten können.

Analyse des Payment Prozesses: Unternehmen sollten sich damit auseinandersetzen, welche personenbezogenen Daten erfasst und an den Payment-Anbieter übermittelt werden. Ebenso: Ist der Kunde darüber informiert und damit einverstanden oder muss er ggf. separat zustimmen?

Auftragsverarbeitung: Es wurde bereits angedeutet, dass je nach Konstellation eine Auftragsverarbeitung vorliegen kann. Entsprechend ist zu prüfen, ob dies der Fall ist, ob eine Berechtigung zur Übermittlung der Daten besteht und ein Vertrag mit dem Auftragsverarbeiter darüber geschlossen wird.

Verschlüsselung: Die Übermittlung personenbezogener Daten sollten grundsätzlich verschlüsselt erfolgen. Beim Online-Bezahlen gilt dies zwar seit Jahren üblich, dennoch ist zu prüfen, ob auf der Website eine angemessene SSL-Verschlüsselung verwendet wird.

Wahl der Plugins: Bei der technischen Integration in eine Website greifen viele Unternehmen auf Plugins zurück. Plugins sind komfortable Software-Erweiterungen für die Plattformen, auf der eine Website basiert. Viele Online-Shops bauen beispielsweise auf Magento oder Oxid eSales auf, andere Websites wiederum häufig auf WordPress. Sofern Plugins zum Einsatz gelangen, ist zu überprüfen, ob diese eine ausreichende Sicherheit bieten. Plugins können vom Payment-Anbieter selbst (Paypal bietet z.B. eine große Anzahl eigener Plugins an) oder auch von externen Anbietern stammen.

Datenschutzerklärung: In der Datenschutzerklärung der Website ist zu erläutern, in welchem Umfang und zu welchem Zweck personenbezogene Daten mit dem Bezahlanbieter ausgetauscht werden. Entsprechend ist es notwendig, die Datenschutzerklärung anzupassen.

Payment Datenschutz betrifft nicht nur Websites

Der Vollständigkeit halber möchten wir abschließend anmerken, dass digitale Payment-Lösungen schon lange kein reines Online-Thema mehr sind. Im stationären Handel befinden sich digitale Bezahldienste ebenfalls auf dem Vormarsch, insbesondere Apple und Google preschen in diesem Segment voran, indem sie u.a. bargeldloses Bezahlen via Smartphone ermöglichen.

In solchen Einsatzfeldern werden ebenfalls Daten mit Personenbezug übermittelt. Entsprechend ist es auch dort notwendig, im Vorfeld an den Datenschutz zu denken und die Integration genau zu überprüfen und vorzubereiten.

Datenschutzberatung vom Spezialisten

Ob Payment oder andere Fragen rund um den betrieblichen Datenschutz – unsere Spezialisten stehen Ihnen gerne zur Verfügung. Als externer Datenschutzbeauftragter betreuen wir Unternehmen aus verschiedensten Branchen, um maßgeschneiderte und damit rechtssichere Datenschutzkonzepte zu entwickeln und zu implementieren. Bei Fragen stehen wir Ihnen gerne telefonisch unter 0800 – 5600831 (gebührenfrei) oder via Kontaktformular zur Verfügung.