Informationspflichten bei Zahlung am POS

Wie können Ladengeschäfte die Informationspflichten für den Bezahlvorgang am POS-Terminal unter Beachtung der Vorgaben zur Datenschutzinformation nach Art. 13, 14 DSGVO einhalten?

Wenn im stationären Handel mit Karte bezahlt wird, sind an diesem kartengestützten Zahlungsverkehr verschiedene Verantwortliche beteiligt. Kundenkontakt besteht jedoch regelmäßig nur zwischen den (Einzel-)Händlern im Geschäftslokal und der Kundschaft. Wie können bei dieser komplexen Datenverarbeitung die Informationspflichten unter Beachtung der Vorgaben zur Datenschutzinformation nach Art. 13, 14 DSGVO eingehalten werden?

In einem Zahlungsprozess mit Karte oder Kreditkarte sind mehrere Beteiligte involviert, und jeder von ihnen verarbeitet Kundendaten. Akzeptiert der stationäre Handel die Zahlung mit Karte, wird für die Kartenzahlung ein sog. Terminal am Point-of-Sale (POS-Terminal) benötigt, das über eine Bank oder einen sog. Netzbetreiber erhältlich ist. Netzbetreiber stellen nicht nur die Kartenterminals zur Verfügung, sondern betreiben insbesondere das Netz, an dem die Terminals angeschlossen sind. Sie nehmen dabei mehrere Funktionen wahr, unter anderem die technische Überwachung des Netzes, Weiterleitung, Routing und Rückmeldung von ec-cash-Autorisierungsanfragen und Kreditkarten-Autorisierungsanfragen, eventuell Überwachung von internen Sperrlisten und am Tagesende (nach Kassenschnitt oder Tagesabschluss des Terminals) die Einleitung der Zahlungsverkehrs-Abwicklung. Wenn Händler auch Kreditkarten akzeptieren, schließen sie einen Vertrag mit dem Acquirer als Transaktionsabwickler der (Kredit)-Karten und als Verrechner. Ein Acquirer wird auch Händlerbank genannt und ist ein Unternehmen, das die Händler als Vertragspartner für Kreditkartenzahlungen betreut und Akzeptanzverträge für die Kreditkartenorganisationen (zum Beispiel MasterCard, Visa) abschließt. Auch Acquirer verarbeiten im kartengestützten Zahlungsverkehr die personenbezogenen Daten der Karteninhaber. Erheben die Händler im kartengestützten Zahlungsverkehr personenbezogene Daten ihrer Kundschaft im Kassensystem, so sind neben Netzbetreiber, und – bei Kreditkartenzahlung – Acquirer auch die Händler im datenschutzrechtlichen Sinne Verantwortliche der Datenverarbeitung. Alle drei Beteiligten treffen die Informationspflichten nach Art. 13, 14 DSGVO.

Wie soll also ein so komplexer Verarbeitungsprozess schnell transparent gemacht werden?

In der Praxis haben allein die Händler den direkten Kontakt zu den betroffenen Karteninhabern und müssen in die Lage versetzt werden, ihre Informationspflichten zu erfüllen. Umgekehrt bedürfen die übrigen Beteiligten, Netzbetreiber und ggf. Acquirer, der Mithilfe der im direkten Kundenkontakt stehenden Händler, um rechtzeitigt „bei Erhebung“ der für den Bezahlvorgang am POS-Terminal erforderlichen Daten ihre Informationspflichten nach Art. 13,14 DSGVO erfüllen zu können.

Der Bundesverband der electronic cash – Netzbetreiber (BecN) e.V. mit Sitz in Frankfurt hatte den deutschen Aufsichtsbehörden ein Informationsblatt gemäß Art. 13, 14 DSGVO an Point of Sale-Terminals zu kartengestützten Zahlungen zukommen lassen. Die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) hat dem Bundesverband Hinweise erteilt und sich am 4. Juli 2019 mit der von dem Verband BecN vorgeschlagenen Vorgehensweise einverstanden erklärt.

Danach erfüllen Händler die Informationspflichten des Netzbetreibers und, sofern er Kreditkarten akzeptieren, auch die Informationspflichten des/der Acquirer(s) zusätzlich zu den ggf. sie betreffenden eigenen Informationspflichten nach der DSGVO. Hierfür wird ein gut sichtbarer Aufkleber mit der Aufschrift „Datenschutz-Informationen für Karteninhaber“ am POS-Terminal oder an der Ladenkasse angebracht, möglichst auch zusätzlich beim Karten-Akzeptanzaufkleber an der Ladeneingangstür. Statt des Aufklebers sind auch Aufsteller oder Aushänge möglich. Dort sind die Kontaktdaten des Händlers bzw. der Händlerin angegeben. Der Aufkleber zeigt zusätzlich einen QR-Code und/oder eine URL. Beides führt zu einer Website des Netzbetreibers mit den nach der DSGVO erforderlichen Informationen. Zusätzlich wird an der Kasse ein Papierausdruck der Datenschutzinformationen hinterlegt. Werden auch Kreditkarten akzeptiert, müssen an der Kasse oder als Aushang zusätzlich der Name und die Kontaktdaten des/der Acquirer(s) sowie die Kontaktdaten seines bzw. seiner jeweiligen Datenschutzbeauftragten und der jeweiligen zuständigen Aufsichtsbehörde vorgehalten werden.

Das von BecN entwickelte einheitliche Informationsblatt der am kartengestützten Zahlungsverfahren Beteiligten, also Händler, Netzbetreiber und Acquirer, erfüllt die datenschutzrechtlichen Vorgaben der Art. 13, 14 DSGVO. Zwar sind die konkreten Datenströme von den jeweiligen Zahlverfahren und Kassensystemen abhängig, so dass die konkrete Ausgestaltung, wer der drei im Bezahlvorgang Beteiligten welche Daten bereitstellt, vom Einzelfall abhängig ist. Gleichwohl ist eine Aufspaltung in bis zu drei Informationspakete nicht sinnvoll. Ein einheitliches Informationsblatt wahrt – bei entsprechender Ausgestaltung – hinreichend die Funktion der Art. 13, 14 DSGVO, dem von der Datenverarbeitung Betroffenen in eigener Selbstbestimmung über die Datenverarbeitung zu entscheiden, hierzu bei Erhebung Stellung zu nehmen und seine Betroffenenrechte wirksam auszuüben. Auch ist ein Verbot des Medienbruchs, also des Wechsels der Kommunikationsform, der DSGVO nicht zu entnehmen. Vielmehr kann sich der Verantwortliche unterschiedlicher Mittel und Wege bedienen, wie hier eines Papierausdrucks des Informationsblattes an der Kasse sowie zusätzlich eines QRCodes und/oder einer URL, so lange er die gesetzlichen Anforderungen an den Umfang und den Zeitpunkt einhält. Der Einbeziehung weiterer Beteiligter bei Kartenzahlungen, wie zum Beispiel das kartenausgebende Unternehmen (Issuer), bedarf es nicht. Händler, Netzbetreiber und Acquirer können ihre Informationspflichten auf eine transparente und verständliche Weise ohne diese weiteren Beteiligten erfüllen.

Quelle: LDI NRW

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
• Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
• Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO

Dieser Absatz enthält Affiliatelinks/Werbelinks