Die neu Rahmenbedingungen
Mit Inkrafttreten der europäischen Datenschutzverordnung am kommenden 25.Mai müssen auch die Onlinezahlungssysteme überarbeitet werden.
Der Beschluss der CNIL (die französische Datenschutzbehörde) Nr. 2017-222 vom 20. Juli 2017, mit dem der Beschluss Nr. 2013-358 vom 14. November 2013 aufgehoben wurde, legt in Frankreich die Modalitäten der Verarbeitung von Zahlungskartendaten im Zusammenhang mit dem Fernabsatz von Gütern oder Dienstleistungen fest.
Wie bei jeder anderen Verarbeitung personenbezogener Daten dürfen nur die Daten erhoben werden, die zweckentsprechend, relevant und nicht über den Zweck der Verarbeitung hinausgehend sind, wobei die Verwendung der Daten auf die Zwecke beschränkt sein muss, die ausdrücklich angegeben worden sind.
1. In welchen Fällen dürfen die Daten der Bankkarte erhoben werden?
Für festgelegte, eindeutige und rechtmäßige Zwecke wie:
• die Bezahlung eines Gutes oder einer Dienstleistung,
• die Reservierung eines Gutes oder einer Dienstleistung,
• regelmäßige Begleichung mehrerer fälliger Beträge eines Online-Abonnements,
• Abschluss eines Angebots von Zahlungsdienstleistern über Zahlungslösungen für den Fernabsatz,
• Erleichterung eventueller späterer Einkäufe auf der Webseite des Händlers,
• Bekämpfung des Zahlungskartenbetrugs.
2. Welche unbedingt erforderlichen Daten dürfen erhoben werden?
Standardmäßig:
-Â die Kreditkartennummer,
-Â das Verfallsdatum,
- die Prüfnummer.
Diese Liste ist erschöpfend.
Mit anderen Worten, die Identität des Inhabers der Bankkarte, die häufig verlangt wird, braucht nicht erhoben werden, wenn sie für die Durchführung der Online-Transaktion nicht unbedingt notwendig oder die Verfolgung eines festgelegten, rechtmäßigen Zwecks, wie etwa die Betrugsbekämpfung, nicht gerechtfertigt ist.
Die CNIL stellt klar, dass die Zahlungskartennummer nicht als Identifizierungszeichen benutzt werden sollte und dass die Fotokopie oder digitale Kopie der Vorder- und/oder Rückseite der Zahlungskarte nicht verlangt werden sollte, auch dann nicht, wenn die Prüfnummer und ein Teil der Nummern geschwärzt sind.
3. Wie lange dürfen die erforderlichen Daten gespeichert werden?
Die erforderlichen Daten dürfen grundsätzlich nicht über den Zeitraum des Geschäfts hinaus gespeichert werden.
Auf der Webseite des Händlers muss es möglich sein, auf einfache und unentgeltliche Weise die anfangs erteilte Einwilligung zu widerrufen.
Falls es dennoch möglich ist, dem Karteninhaber anzubieten, seine Daten in Bezug auf die Vereinfachung weiterer Käufe zu speichern, darf keinesfalls die Prüfnummer nach Abschluss der ersten Transaktion gespeichert werden. Was die übrigen notwendigen Daten betrifft, so ist die vorherige Einwilligung des Kunden in Form einer eindeutigen Willensäußerung obligatorisch. Diese darf nicht aufgrund eines standardmäßig bereits angeklickten Kästchens vermutet werden. Gleichermaßen darf die Annahme der Nutzungsbedingungen oder der allgemeinen Geschäftsbedingungen nicht mit einer eindeutigen Willensäußerung gleichgesetzt werden.
Im Falle der Betrugsbekämpfung geht die Speicherung der Daten der Zahlungskarte nach der Durchführung einer Transaktion über den Rahmen des Vertrags hinaus. Die Aufbewahrung ist nur erlaubt wenn sie im berechtigten Interesse des für die Verarbeitung Verantwortlichen erfolgt, und zwar nur dann, wenn das Interesse oder die Rechte und Freiheiten des Einzelnen in Anwendung des Artikels 7 (Absatz 5) des Gesetzes Nr. 78-17 vom 6. Januar 1978 in geltender Fassung nicht verletzt werden.
Zusammenfassend ist festzustellen, dass die Speicherzeit der Bankkartendaten von den verfolgten Zwecken abhängt:
Zweck Speicherzeit der Zahlungsdaten
Termingenaue ZahlungÂ
• Bis zur Zahlung
• Bis zum Erhalt des Gutes oder der Erbringung der Dienstleistung, wobei sich die Frist systematisch um die für den Fernabsatz von Gütern und Dienstleistungen vorgesehene Widerrufsfrist verlängert
Abonnement ohne/mit automatischer VerlängerungÂ
• Bis zum letzten Zahlungstermin, wenn das Abonnement keine stillschweigende Verlängerung vorsieht
• Bis zur Kündigung des Abonnements bei stillschweigender Verlängerung, vorbehaltlich der anwendbaren Bestimmungen, insbesondere der Benachrichtigung der betreffenden Personen vor der Verlängerung
Verwaltung von Reklamationen
• 13 Monate nach dem Datum der Belastung
• 15 Monate bei Zahlungskarten mit Termindebitierung
• Die zu Beweiszwecken aufbewahrten Daten müssen in einem Zwischenarchiv gespeichert werden und dürfen nur im Falle der Anfechtung der entsprechenden Transaktion benutzt werden
Erleichterung künftiger Einkäufe
• Bis zum Widerruf der Einwilligung
• und/oder dem Verfallsdatum der Zahlungskartendaten, denn der Zeitraum der Speicherung darf nicht länger sein als der Zeitraum, der für die Verwirklichung dieses Zwecks notwendig ist
Betrugsbekämpfung
• Bis zum Ablauf des Zeitraumes, der für die Verwirklichung dieses Zwecks notwendig ist
Bekämpfung der Geldwäsche
• Wenn die Zahlungsdaten hinsichtlich des Angebots einer Zahlungslösung in Verbindung mit dem Fernabsatz von einer Stelle erhoben werden, die den Pflichten zur Bekämpfung der Geldwäsche unterliegt, dürfen die Daten bis zum Abschluss des Kontos aufbewahrt und dann ggf. entsprechend den anwendbaren gesetzlichen Pflichten archiviert werden
Ergänzte Fassung der Tabelle der CNIL, sehe Link
4. Welche Informationspflichten bestehen?
Die betreffenden Personen müssen über jede Benutzung der Zahlungskartennummer, gleich für welchen Zweck, umfassend und eindeutig informiert werden.
Die betreffende Person ist generell über die Identität des für die Verarbeitung Verantwortlichen, die Zwecke der Verarbeitung, den obligatorischen oder fakultativen Charakter der erfragten Informationen, eventuelle Folgen einer Antwortverweigerung, die Empfänger der Daten, die Aufbewahrungsdauer der verarbeiteten Datenkategorien, das Bestehen sowie die Modalitäten der Ausübung der Zugangs-, Berichtigungs- und Widerspruchsrechte, einschließlich der Festlegung von Richtlinien hinsichtlich der Verarbeitung personenbezogener Daten nach dem Tod, sowie gegebenenfalls die Übermittlung der Daten in Länder außerhalb der Europäischen Union zu informieren.
Hat der Händler personenbezogene Daten an einen Dritten weitergegeben, so muss er diesen unverzüglich über die Ausübung des Widerspruchs- oder Berichtigungsrechts durch die betreffende Person unterrichten.