Das Weißbuch der französischen Datenschutzaufsicht

Stefan Hessel

Neue Informationen zum Umgang mit Bank- und Zahlungsdaten

In ihrem im Oktober 2021 neu erschienenen "Weißbuch" (PDF) widmet sich die französische Datenschutzaufsichtsbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL), unter dem Titel "Wenn sich Vertrauen auszahlt – heutige und zukünftige Zahlungsmittel und die Herausforderungen des Datenschutzes" dem digitalen Zahlungsverkehr aus datenschutzrechtlicher Perspektive.

Anlass für diese Veröffentlichung sind die stetig steigenden Nutzungszahlen digitalisierter Zahlungsmethoden, wie der klassischen Kartennutzung (EC- und Kreditkarte), aber vor allem auch von digitalen Wallets wie Google Pay, Apple Pay sowie von Angeboten diverser FinTechs wie beispielsweise PayPal.

In ihrem Weißbuch stellt die CNIL die datenschutzrechtlichen Herausforderungen digitaler Zahlungsmethoden dar und gibt im Anschluss daran Hinweise und praktische Handlungsempfehlungen für die am digitalen Zahlungsverkehr beteiligten Akteure.

Was sind Zahlungsdaten?

Unter den Begriff "Zahlungsdaten" bzw. "Zahlungsinformationen" fallen nach Ansicht der CNIL Zahlungsdaten im eigentlichen Sinne, wie beispielsweise das verwendete Zahlungsmittel oder die Höhe der Transaktion, dazu Daten, die sich auf den Kauf selbst beziehen, wie beispielsweise die Eigenschaften des erworbenen Produkts oder der Ort und die Zeit des Einkaufs, sowie kontextuelle oder verhaltensbezogene Daten, wie beispielsweise die Geolokalisierung oder Merkmale des für einen Online-Kauf verwendeten Endgeräts.

Zahlungsdaten lassen sich aus Sicht der CNIL somit zusammenfassen als alle personenbezogenen Daten, die bei der Erbringung eines Zahlungsdienstes an eine natürliche Person verwendet werden, inklusive Zusatzdaten wie der Geolokalisierung, kontextbezogener Daten und gegebenenfalls Einzelheiten zu dem Einkauf selbst.

Zahlreiche Herausforderungen für den Datenschutz

Die Eigenschaften von digitalen Zahlungsvorgängen stellen den Schutz der dabei erhobenen und verarbeiteten Daten vor große Herausforderungen.

Eine erste Herausforderung stellt die große Anzahl der Betroffenen dar: Die überwiegende Mehrheit der Bevölkerung nutzt regelmäßig bargeldlose Zahlungsmethoden, sei es bei der Kartenzahlung im Kaufhaus vor Ort oder beim sich – nicht zuletzt aufgrund der Corona-Pandemie – immer größerer Beliebtheit erfreuenden Online-Shopping.

Als weitere Herausforderung nennt die CNIL die obligatorische Speicherung und Rückverfolgbarkeit der Daten eines jeden Zahlungsvorgangs. Diese Daten müssen dokumentiert werden, um Konten, Kunden und Guthaben speichern zu können – sie enthalten aber zugleich auch zahlreiche Informationen über die Handlungen, Eigenschaften und Interessen eines jeden Menschen. Im Zusammenspiel dieser Informationen besteht das Risiko, diese Daten zu "sensiblen" Daten i. S. v. Art. 9 DSGVO, wie beispielsweise Informationen zu politischen Auffassungen, religiösen Überzeugungen oder der sexuellen Orientierung, kombinieren zu können.

Neben der seit dem NSA-Skandal bekannten staatlichen Überwachung digitaler Zahlungsvorgänge nutzen auch die Zahlungsdienste die von ihnen verarbeiteten Daten für zusätzliche Dienste wie der Prüfung der Vertrauenswürdigkeit des Kunden oder zur Verbesserung der User-experience. Beides ist nach Ansicht der CNIL aus datenschutzrechtlicher Sicht nicht unproblematisch.

Schließlich sieht die CNIL in der fortschreitenden Entwicklung vernetzter Produkte (sog. Internet of Things) weitere Herausforderungen für die personenbezogenen Daten im Rahmen automatisierter und selbstständiger Zahlungsvorgänge durch einzelne Geräte.

Handlungsempfehlungen der CNIL

Um sich diesen Herausforderungen zu stellen, ist nach Ansicht der CNIL eine strenge Einhaltung der Vorschriften der DSGVO unerlässlich.

Dies erfordert zunächst die Beachtung der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO, wie insbesondere die Zweckbindung und die Datensparsamkeit. Hier empfiehlt die CNIL eine konkrete, vorherige Zweckbindung und die Festlegung dieses Zwecks in einem Verarbeitungsverzeichnis, welches alle verarbeiteten Daten erfasst. Hinsichtlich der Zweckbindung ist darauf zu achten, dass der jeweilige Zweck auch für die Abwicklung der Zahlung tatsächlich erforderlich ist. Aus Sicht der CNIL sind dies im Rahmen eines Zahlungsvorgangs mit einer Kreditkarte lediglich die jeweilige Kartennummer, das Ablaufdatum und ggf. das Kryptogramm der Karte.

In diesem Zusammenhang betont die CNIL auch, dass es neben der Einhaltung der Rechtmäßigkeit der Verarbeitung aus Art. 6 DSGVO unerlässlich ist, den jeweils an einem Zahlungsvorgang beteiligten Akteuren die jeweilige Funktion als Verantwortlicher, Auftragsverarbeiter oder als gemeinsam Verantwortlicher zuzuweisen, um diesbezüglich für eine klare Rollenverteilung und eindeutige Zuständigkeiten zu sorgen und diese auch zu dokumentieren.

Zur Beantwortung der Frage, in welchen Fällen eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO erforderlich ist, hat die CNIL eine Liste von Verarbeitungstätigkeiten erstellt.

Konkrete Handlungsempfehlungen gibt die CNIL auch zur Dauer der Speicherung personenbezogener Daten im Zusammenhang mit Zahlungsvorgängen:

  • Die für die Realisierung eines Zahlungsvorgangs erhobenen Daten dürfen nur bis zum Abschluss der Zahlung bzw. bis zum Erhalt der Sache oder Dienstleistung gespeichert werden. Im Falle eines Abonnements bis nach der letzten Zahlungsrate.
  • Die für das Beschwerdemanagement erhobenen Daten dürfen nach Ansicht der CNIL 13 Monate ab dem Tag der Abbuchung aufbewahrt werden (15 Monate im Falle von Debitkarten mit Zahlungsaufschub).
  • Das eventuell vorhandene Kryptogramm einer Zahlungskarte darf hingegen nur bis zum Abschluss der Transaktion aufbewahrt werden.

Darüber hinaus betont die CNIL, dass eine anderweitige Nutzung der im Rahmen eines Zahlungsvorgangs erhaltenen Informationen, insbesondere zu kommerziellen Zwecken, unzulässig ist. Beispielsweise darf eine E-Mail-Adresse, die für den Versand eines Kaufbelegs oder einer Zahlung erfasst wurde, nicht ohne Einwilligung des Kunden zu Werbezwecken verwendet werden. Auch dürfen Bankdaten durch den Händler nicht ohne Einwilligung des Kunden für spätere Einkäufe gespeichert werden. Eine Ausnahme hiervon kann lediglich das berechtige Interesse des Händlers im Falle eines Abonnements des Kunden bzw. im Falle einer regelmäßigen Geschäftsbeziehung mit dem Kunden sein.

Warnung vor steigender Kriminalität in Bezug auf Zahlungsdaten

Die wachsende Beliebtheit digitaler Zahlungsvorgänge wirkt sich auch auf die Kriminalitätsstatistik aus: Neben den geschilderten Herausforderungen warnt die CNIL vor einer stetig steigenden Kriminalität in Bezug auf Zahlungsdaten, insbesondere durch Ransomware. Der Einsatz von Ransomware ermöglicht Kriminellen die Verschlüsselung der Festplatten der Betroffenen, um diese nur gegen die Zahlung von Lösegeld wieder zu entschlüsseln. Zahlungsdaten jeglicher Art sind aufgrund der Bedeutung für Händler und Kunden dabei im Fokus der Erpresser.

Zur Bekämpfung empfiehlt die CNIL den Einsatz von sog. „Tokens“. Dabei werden sensible Zahlungsdaten, wie z. B. eine Kontonummer (IBAN) oder eine Bankkartennummer, durch ein nach dem Zufallsprinzip generiertes, für den einmaligen Gebrauch konzipiertes Datenelement (das Token) ersetzt. Im Falle eines Hackerangriffs geraten auf diese Weise keine besonders sensiblen Daten in die Hände der Kriminellen.

Fazit

Bank- und Zahlungsdaten stellen eine datenschutzrechtliche Herausforderung dar. Umso wichtiger ist es für am Zahlungsverkehr beteiligte Unternehmen, sich rechtzeitig über die eigenen Pflichten zu informieren und geeignete Maßnahmen zum Schutz dieser sensiblen Daten zu ergreifen. Versäumnisse können im Schadensfall neben einer negativen öffentlichen Presse auch hohe Bußgelder nach sich ziehen.

[November 2021]