Unabhängig davon, wie der Fall Wirecard am Ende ausgeht – digitales Payment wird noch stärker an Bedeutung gewinnen. Nicht nur Shopbetreiber, sondern auch viele andere Unternehmen kommen an Online-Bezahldienstleistern nicht mehr vorbei. Ob Produktverkauf oder Dienstleistung, wie z.B. eine Ticketreservierung: In zunehmend mehr Geschäftsfeldern besteht die Notwendigkeit, umgehendes Bezahlen im Internet oder auch Payment via Smartphone vor Ort zu ermöglichen.
Für die meisten Unternehmen gilt: Je mehr Bezahlmöglichkeiten sie ihren Kunden anbieten, desto besser. Der Verzicht auf die Anbindung einzelner Payment-Anbieter kann durchaus ein Wettbewerbsnachteil sein. Man denke nur an Paypal – kaum ein Online-Shop kann es sich noch leisten, auf diesen Bezahlanbieter zu verzichten. Wer z.B. über seine Website in das Ausland verkauft, kann ebenso darauf angewiesen sein, die Kreditkarte als Zahlungsmittel zu akzeptieren.
Beim Bezahlen ist Datenschutz ein wichtiger Punkt
Unternehmen, die Leistungen externer Bezahldienstleister nutzen möchten, interessiert in der Praxis vor allem eine Sache. Eine reibungslose Ausführung der Transaktionen muss gewährleistet sein, d.h. die vom Kunden gezahlten Beträge sollen ohne größere Abzüge durch Gebühren zeitnah auf ihren Konten eingehen.
Allerdings ist dies nicht der einzig wichtige Punkte. Sobald es um Paypment geht, ist der Datenschutz von größer Bedeutung. Denn am Ende geht es um Geld, d.h. es kommt zur Übermittlung von Bankverbindungen und ähnlich sensiblen Daten. Einige Payment-Anbieter gehen sogar noch weiter, indem sie z.B. Bonitätsprüfungen vornehmen.
Ob Bankverbindung, Paypal-Konto oder Informationen über gekaufte Waren: Kein Verbraucher möchte, dass solche Informationen mit Bezug zu ihm öffentlich im Internet erscheinen oder auf anderem Wege in die falschen Hände gelangen. Folglich können sich Unternehmen in diesem Feld keine Datenpannen leisten.
Sollte es dazu kommen, drohen negative Schlagzeilen, welche die Reputation unter Umständen stark schädigen. Davon abgesehen gilt es sich den Fragen der zuständigen Aufsichtsbehörde zustellen und zugleich droht die Verhängung eines stattlichen Bußgeldes.
Erst DSGVO-Konformität prüfen, danach den Zahlungsanbieter einbinden
In Anbetracht solcher Risiken führt kein Weg daran vorbei, frühzeitig an betrieblichen Datenschutz zu denken. Noch vor der technischen Integration eines Bezahlanbieters in eine Website ist zu prüfen, ob die Einbindung DSGVO-konform erfolgen kann. Anschließend können weitere Schritte, wie z.B. der Abschluss eines Vertrags über eine Auftragsverarbeitung, notwendig sein, um den gesetzlichen Anforderungen gerecht zu werden.
Entscheidende Fragestellungen rund um dem Datenschutz beim Payment
Wahl des Anbieters: Es ist zu prüfen, ob der einzelne Payment-Dienstleister aus datenschutzrechtlicher Sicht überhaupt genutzt werden darf. Womöglich ist ein Anbieter in einem Drittstaat angesiedelt, wodurch erschwerte Bedingungen gelten können.
Analyse des Payment Prozesses: Unternehmen sollten sich damit auseinandersetzen, welche personenbezogenen Daten erfasst und an den Payment-Anbieter übermittelt werden. Ebenso: Ist der Kunde darüber informiert und damit einverstanden oder muss er ggf. separat zustimmen?
Auftragsverarbeitung: Es wurde bereits angedeutet, dass je nach Konstellation eine Auftragsverarbeitung vorliegen kann. Entsprechend ist zu prüfen, ob dies der Fall ist, ob eine Berechtigung zur Übermittlung der Daten besteht und ein Vertrag mit dem Auftragsverarbeiter zu schließen ist.
Verschlüsselung: Die Übermittlung personenbezogener Daten sollte grundsätzlich verschlüsselt erfolgen. Beim Online-Bezahlen gilt dies zwar seit Jahren üblich, dennoch ist zu prüfen, ob auf der Website eine angemessene SSL-Verschlüsselung verwendet wird.
Wahl der Plugins: Bei der technischen Integration in eine Website greifen viele Unternehmen auf Plugins zurück. Plugins sind komfortable Software-Erweiterungen für CMS Plattformen, auf denen Websites basieren. Viele Online-Shops bauen beispielsweise auf Magento oder Oxid eSales auf, andere Websites häufig auf WordPress. Sofern Plugins zum Einsatz gelangen, ist zu überprüfen, ob diese eine ausreichende Sicherheit bieten. Plugins können vom Payment-Anbieter selbst (Paypal bietet z.B. eine große Anzahl eigener Plugins an) oder auch von externen Anbietern stammen.
Datenschutzerklärung: In der Datenschutzerklärung der Website ist zu erläutern, in welchem Umfang und zu welchem Zweck personenbezogene Daten mit dem Bezahlanbieter ausgetauscht werden. Entsprechend ist es notwendig, die Datenschutzerklärung anzupassen.
Payment Datenschutz betrifft nicht nur Websites
Der Vollständigkeit halber möchten wir anmerken, dass digitale Payment-Lösungen schon lange kein reines Online-Thema mehr sind. Im stationären Handel befinden sich digitale Bezahldienste ebenfalls auf dem Vormarsch, insbesondere Apple und Google preschen in diesem Segment voran, indem sie u.a. bargeldloses Bezahlen via Smartphone ermöglichen.
In solchen Einsatzfeldern werden ebenfalls Daten mit Personenbezug übermittelt. Entsprechend ist es auch dort notwendig, im Vorfeld an den Datenschutz zu denken und die Integration genau zu überprüfen und vorzubereiten.
Datenschutzberatung vom Spezialisten
Ob Payment oder andere Fragen rund um den betrieblichen Datenschutz – unsere Spezialisten stehen Ihnen gerne zur Verfügung. Als externer Datenschutzbeauftragter betreuen wir Unternehmen aus verschiedensten Branchen, um maßgeschneiderte und damit rechtssichere Datenschutzkonzepte zu entwickeln und zu implementieren. Bei Fragen stehen wir Ihnen gerne telefonisch unter 0800 – 5600831 (gebührenfrei) oder via Kontaktformular zur Verfügung.