Reuschlaw

Das Weiß­buch der fran­zö­si­schen Datenschutzaufsicht

Neue Infor­ma­tio­nen zum Umgang mit Bank- und Zahlungsdaten

In ihrem im Okto­ber 2021 neu erschie­ne­nen “Weiß­buch” (PDF) wid­met sich die fran­zö­si­sche Daten­schutz­auf­sichts­be­hör­de, die Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés (CNIL), unter dem Titel “Wenn sich Ver­trau­en aus­zahlt – heu­ti­ge und zukünf­ti­ge Zah­lungs­mit­tel und die Her­aus­for­de­run­gen des Daten­schut­zes” dem digi­ta­len Zah­lungs­ver­kehr aus daten­schutz­recht­li­cher Perspektive.

Anlass für die­se Ver­öf­fent­li­chung sind die ste­tig stei­gen­den Nut­zungs­zah­len digi­ta­li­sier­ter Zah­lungs­me­tho­den, wie der klas­si­schen Kar­ten­nut­zung (EC- und Kre­dit­kar­te), aber vor allem auch von digi­ta­len Wal­lets wie Goog­le Pay, Apple Pay sowie von Ange­bo­ten diver­ser FinTechs wie bei­spiels­wei­se PayPal.

In ihrem Weiß­buch stellt die CNIL die daten­schutz­recht­li­chen Her­aus­for­de­run­gen digi­ta­ler Zah­lungs­me­tho­den dar und gibt im Anschluss dar­an Hin­wei­se und prak­ti­sche Hand­lungs­emp­feh­lun­gen für die am digi­ta­len Zah­lungs­ver­kehr betei­lig­ten Akteure.

Was sind Zahlungsdaten?

Unter den Begriff “Zah­lungs­da­ten” bzw. “Zah­lungs­in­for­ma­tio­nen” fal­len nach Ansicht der CNIL Zah­lungs­da­ten im eigent­li­chen Sin­ne, wie bei­spiels­wei­se das ver­wen­de­te Zah­lungs­mit­tel oder die Höhe der Trans­ak­ti­on, dazu Daten, die sich auf den Kauf selbst bezie­hen, wie bei­spiels­wei­se die Eigen­schaf­ten des erwor­be­nen Pro­dukts oder der Ort und die Zeit des Ein­kaufs, sowie kon­tex­tu­el­le oder ver­hal­tens­be­zo­ge­ne Daten, wie bei­spiels­wei­se die Geo­lo­ka­li­sie­rung oder Merk­ma­le des für einen Online-Kauf ver­wen­de­ten Endgeräts.

Zah­lungs­da­ten las­sen sich aus Sicht der CNIL somit zusam­men­fas­sen als alle per­so­nen­be­zo­ge­nen Daten, die bei der Erbrin­gung eines Zah­lungs­diens­tes an eine natür­li­che Per­son ver­wen­det wer­den, inklu­si­ve Zusatz­da­ten wie der Geo­lo­ka­li­sie­rung, kon­text­be­zo­ge­ner Daten und gege­be­nen­falls Ein­zel­hei­ten zu dem Ein­kauf selbst.

Zahl­rei­che Her­aus­for­de­run­gen für den Datenschutz

Die Eigen­schaf­ten von digi­ta­len Zah­lungs­vor­gän­gen stel­len den Schutz der dabei erho­be­nen und ver­ar­bei­te­ten Daten vor gro­ße Herausforderungen.

Eine ers­te Her­aus­for­de­rung stellt die gro­ße Anzahl der Betrof­fe­nen dar: Die über­wie­gen­de Mehr­heit der Bevöl­ke­rung nutzt regel­mä­ßig bar­geld­lo­se Zah­lungs­me­tho­den, sei es bei der Kar­ten­zah­lung im Kauf­haus vor Ort oder beim sich – nicht zuletzt auf­grund der Corona-Pandemie – immer grö­ße­rer Beliebt­heit erfreu­en­den Online-Shopping.

Als wei­te­re Her­aus­for­de­rung nennt die CNIL die obli­ga­to­ri­sche Spei­che­rung und Rück­ver­folg­bar­keit der Daten eines jeden Zah­lungs­vor­gangs. Die­se Daten müs­sen doku­men­tiert wer­den, um Kon­ten, Kun­den und Gut­ha­ben spei­chern zu kön­nen – sie ent­hal­ten aber zugleich auch zahl­rei­che Infor­ma­tio­nen über die Hand­lun­gen, Eigen­schaf­ten und Inter­es­sen eines jeden Men­schen. Im Zusam­men­spiel die­ser Infor­ma­tio­nen besteht das Risi­ko, die­se Daten zu “sen­si­blen” Daten i. S. v. Art. 9 DSGVO, wie bei­spiels­wei­se Infor­ma­tio­nen zu poli­ti­schen Auf­fas­sun­gen, reli­giö­sen Über­zeu­gun­gen oder der sexu­el­len Ori­en­tie­rung, kom­bi­nie­ren zu können.

Neben der seit dem NSA-Skandal bekann­ten staat­li­chen Über­wa­chung digi­ta­ler Zah­lungs­vor­gän­ge nut­zen auch die Zah­lungs­diens­te die von ihnen ver­ar­bei­te­ten Daten für zusätz­li­che Diens­te wie der Prü­fung der Ver­trau­ens­wür­dig­keit des Kun­den oder zur Ver­bes­se­rung der User-experience. Bei­des ist nach Ansicht der CNIL aus daten­schutz­recht­li­cher Sicht nicht unproblematisch.

Schließ­lich sieht die CNIL in der fort­schrei­ten­den Ent­wick­lung ver­netz­ter Pro­duk­te (sog. Inter­net of Things) wei­te­re Her­aus­for­de­run­gen für die per­so­nen­be­zo­ge­nen Daten im Rah­men auto­ma­ti­sier­ter und selbst­stän­di­ger Zah­lungs­vor­gän­ge durch ein­zel­ne Geräte.

Hand­lungs­emp­feh­lun­gen der CNIL

Um sich die­sen Her­aus­for­de­run­gen zu stel­len, ist nach Ansicht der CNIL eine stren­ge Ein­hal­tung der Vor­schrif­ten der DSGVO unerlässlich.

Dies erfor­dert zunächst die Beach­tung der Grund­sät­ze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus Art. 5 DSGVO, wie ins­be­son­de­re die Zweck­bin­dung und die Daten­spar­sam­keit. Hier emp­fiehlt die CNIL eine kon­kre­te, vor­he­ri­ge Zweck­bin­dung und die Fest­le­gung die­ses Zwecks in einem Ver­ar­bei­tungs­ver­zeich­nis, wel­ches alle ver­ar­bei­te­ten Daten erfasst. Hin­sicht­lich der Zweck­bin­dung ist dar­auf zu ach­ten, dass der jewei­li­ge Zweck auch für die Abwick­lung der Zah­lung tat­säch­lich erfor­der­lich ist. Aus Sicht der CNIL sind dies im Rah­men eines Zah­lungs­vor­gangs mit einer Kre­dit­kar­te ledig­lich die jewei­li­ge Kar­ten­num­mer, das Ablauf­da­tum und ggf. das Kryp­to­gramm der Karte.

In die­sem Zusam­men­hang betont die CNIL auch, dass es neben der Ein­hal­tung der Recht­mä­ßig­keit der Ver­ar­bei­tung aus Art. 6 DSGVO uner­läss­lich ist, den jeweils an einem Zah­lungs­vor­gang betei­lig­ten Akteu­ren die jewei­li­ge Funk­ti­on als Ver­ant­wort­li­cher, Auf­trags­ver­ar­bei­ter oder als gemein­sam Ver­ant­wort­li­cher zuzu­wei­sen, um dies­be­züg­lich für eine kla­re Rol­len­ver­tei­lung und ein­deu­ti­ge Zustän­dig­kei­ten zu sor­gen und die­se auch zu dokumentieren.

Zur Beant­wor­tung der Fra­ge, in wel­chen Fäl­len eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO erfor­der­lich ist, hat die CNIL eine Lis­te von Ver­ar­bei­tungs­tä­tig­kei­ten erstellt.

Kon­kre­te Hand­lungs­emp­feh­lun­gen gibt die CNIL auch zur Dau­er der Spei­che­rung per­so­nen­be­zo­ge­ner Daten im Zusam­men­hang mit Zahlungsvorgängen:

  • Die für die Rea­li­sie­rung eines Zah­lungs­vor­gangs erho­be­nen Daten dür­fen nur bis zum Abschluss der Zah­lung bzw. bis zum Erhalt der Sache oder Dienst­leis­tung gespei­chert wer­den. Im Fal­le eines Abon­ne­ments bis nach der letz­ten Zahlungsrate.
  • Die für das Beschwer­de­ma­nage­ment erho­be­nen Daten dür­fen nach Ansicht der CNIL 13 Mona­te ab dem Tag der Abbu­chung auf­be­wahrt wer­den (15 Mona­te im Fal­le von Debit­kar­ten mit Zahlungsaufschub).
  • Das even­tu­ell vor­han­de­ne Kryp­to­gramm einer Zah­lungs­kar­te darf hin­ge­gen nur bis zum Abschluss der Trans­ak­ti­on auf­be­wahrt werden.

Dar­über hin­aus betont die CNIL, dass eine ander­wei­ti­ge Nut­zung der im Rah­men eines Zah­lungs­vor­gangs erhal­te­nen Infor­ma­tio­nen, ins­be­son­de­re zu kom­mer­zi­el­len Zwe­cken, unzu­läs­sig ist. Bei­spiels­wei­se darf eine E‑Mail-Adresse, die für den Ver­sand eines Kauf­be­legs oder einer Zah­lung erfasst wur­de, nicht ohne Ein­wil­li­gung des Kun­den zu Wer­be­zwe­cken ver­wen­det wer­den. Auch dür­fen Bank­da­ten durch den Händ­ler nicht ohne Ein­wil­li­gung des Kun­den für spä­te­re Ein­käu­fe gespei­chert wer­den. Eine Aus­nah­me hier­von kann ledig­lich das berech­ti­ge Inter­es­se des Händ­lers im Fal­le eines Abon­ne­ments des Kun­den bzw. im Fal­le einer regel­mä­ßi­gen Geschäfts­be­zie­hung mit dem Kun­den sein.

War­nung vor stei­gen­der Kri­mi­na­li­tät in Bezug auf Zahlungsdaten

Die wach­sen­de Beliebt­heit digi­ta­ler Zah­lungs­vor­gän­ge wirkt sich auch auf die Kri­mi­na­li­täts­sta­tis­tik aus: Neben den geschil­der­ten Her­aus­for­de­run­gen warnt die CNIL vor einer ste­tig stei­gen­den Kri­mi­na­li­tät in Bezug auf Zah­lungs­da­ten, ins­be­son­de­re durch Ran­som­wa­re. Der Ein­satz von Ran­som­wa­re ermög­licht Kri­mi­nel­len die Ver­schlüs­se­lung der Fest­plat­ten der Betrof­fe­nen, um die­se nur gegen die Zah­lung von Löse­geld wie­der zu ent­schlüs­seln. Zah­lungs­da­ten jeg­li­cher Art sind auf­grund der Bedeu­tung für Händ­ler und Kun­den dabei im Fokus der Erpresser.

Zur Bekämp­fung emp­fiehlt die CNIL den Ein­satz von sog. „Tokens“. Dabei wer­den sen­si­ble Zah­lungs­da­ten, wie z. B. eine Kon­to­num­mer (IBAN) oder eine Bank­kar­ten­num­mer, durch ein nach dem Zufalls­prin­zip gene­rier­tes, für den ein­ma­li­gen Gebrauch kon­zi­pier­tes Daten­ele­ment (das Token) ersetzt. Im Fal­le eines Hacker­an­griffs gera­ten auf die­se Wei­se kei­ne beson­ders sen­si­blen Daten in die Hän­de der Kriminellen.

Fazit

Bank- und Zah­lungs­da­ten stel­len eine daten­schutz­recht­li­che Her­aus­for­de­rung dar. Umso wich­ti­ger ist es für am Zah­lungs­ver­kehr betei­lig­te Unter­neh­men, sich recht­zei­tig über die eige­nen Pflich­ten zu infor­mie­ren und geeig­ne­te Maß­nah­men zum Schutz die­ser sen­si­blen Daten zu ergrei­fen. Ver­säum­nis­se kön­nen im Scha­dens­fall neben einer nega­ti­ven öffent­li­chen Pres­se auch hohe Buß­gel­der nach sich ziehen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.