top of page
  • AutorenbildMarie-Avril Roux SteinkĂŒhler

đŸ‡©đŸ‡Ș - Die Nutzung personenbezogener Daten der Bankkarte im Rahmen von Fernzahlungen

Die neu Rahmenbedingungen

Person buying online
© rupixen.com

Mit Inkrafttreten der europĂ€ischen Datenschutzverordnung am kommenden 25.Mai mĂŒssen auch die Onlinezahlungssysteme ĂŒberarbeitet werden.


Der Beschluss der CNIL (die französische Datenschutzbehörde) Nr. 2017-222 vom 20. Juli 2017, mit dem der Beschluss Nr. 2013-358 vom 14. November 2013 aufgehoben wurde, legt in Frankreich die ModalitĂ€ten der Verarbeitung von Zahlungskartendaten im Zusammenhang mit dem Fernabsatz von GĂŒtern oder Dienstleistungen fest.


Wie bei jeder anderen Verarbeitung personenbezogener Daten dĂŒrfen nur die Daten erhoben werden, die zweckentsprechend, relevant und nicht ĂŒber den Zweck der Verarbeitung hinausgehend sind, wobei die Verwendung der Daten auf die Zwecke beschrĂ€nkt sein muss, die ausdrĂŒcklich angegeben worden sind.


1. In welchen FĂ€llen dĂŒrfen die Daten der Bankkarte erhoben werden?


FĂŒr festgelegte, eindeutige und rechtmĂ€ĂŸige Zwecke wie:

‱ die Bezahlung eines Gutes oder einer Dienstleistung,

‱ die Reservierung eines Gutes oder einer Dienstleistung,

‱ regelmĂ€ĂŸige Begleichung mehrerer fĂ€lliger BetrĂ€ge eines Online-Abonnements,

‱ Abschluss eines Angebots von Zahlungsdienstleistern ĂŒber Zahlungslösungen fĂŒr den Fernabsatz,

‱ Erleichterung eventueller spĂ€terer EinkĂ€ufe auf der Webseite des HĂ€ndlers,

‱ BekĂ€mpfung des Zahlungskartenbetrugs.


2. Welche unbedingt erforderlichen Daten dĂŒrfen erhoben werden?


StandardmĂ€ĂŸig:

- die Kreditkartennummer,

- das Verfallsdatum,

- die PrĂŒfnummer.

Diese Liste ist erschöpfend.


Mit anderen Worten, die IdentitĂ€t des Inhabers der Bankkarte, die hĂ€ufig verlangt wird, braucht nicht erhoben werden, wenn sie fĂŒr die DurchfĂŒhrung der Online-Transaktion nicht unbedingt notwendig oder die Verfolgung eines festgelegten, rechtmĂ€ĂŸigen Zwecks, wie etwa die BetrugsbekĂ€mpfung, nicht gerechtfertigt ist.


Die CNIL stellt klar, dass die Zahlungskartennummer nicht als Identifizierungszeichen benutzt werden sollte und dass die Fotokopie oder digitale Kopie der Vorder- und/oder RĂŒckseite der Zahlungskarte nicht verlangt werden sollte, auch dann nicht, wenn die PrĂŒfnummer und ein Teil der Nummern geschwĂ€rzt sind.


3. Wie lange dĂŒrfen die erforderlichen Daten gespeichert werden?


Die erforderlichen Daten dĂŒrfen grundsĂ€tzlich nicht ĂŒber den Zeitraum des GeschĂ€fts hinaus gespeichert werden.


Auf der Webseite des HÀndlers muss es möglich sein, auf einfache und unentgeltliche Weise die anfangs erteilte Einwilligung zu widerrufen.


Falls es dennoch möglich ist, dem Karteninhaber anzubieten, seine Daten in Bezug auf die Vereinfachung weiterer KĂ€ufe zu speichern, darf keinesfalls die PrĂŒfnummer nach Abschluss der ersten Transaktion gespeichert werden. Was die ĂŒbrigen notwendigen Daten betrifft, so ist die vorherige Einwilligung des Kunden in Form einer eindeutigen WillensĂ€ußerung obligatorisch. Diese darf nicht aufgrund eines standardmĂ€ĂŸig bereits angeklickten KĂ€stchens vermutet werden. Gleichermaßen darf die Annahme der Nutzungsbedingungen oder der allgemeinen GeschĂ€ftsbedingungen nicht mit einer eindeutigen WillensĂ€ußerung gleichgesetzt werden.


Im Falle der BetrugsbekĂ€mpfung geht die Speicherung der Daten der Zahlungskarte nach der DurchfĂŒhrung einer Transaktion ĂŒber den Rahmen des Vertrags hinaus. Die Aufbewahrung ist nur erlaubt wenn sie im berechtigten Interesse des fĂŒr die Verarbeitung Verantwortlichen erfolgt, und zwar nur dann, wenn das Interesse oder die Rechte und Freiheiten des Einzelnen in Anwendung des Artikels 7 (Absatz 5) des Gesetzes Nr. 78-17 vom 6. Januar 1978 in geltender Fassung nicht verletzt werden.


Zusammenfassend ist festzustellen, dass die Speicherzeit der Bankkartendaten von den verfolgten Zwecken abhÀngt:


Zweck  Speicherzeit der Zahlungsdaten


Termingenaue Zahlung 

‱ Bis zur Zahlung

‱ Bis zum Erhalt des Gutes oder der Erbringung der Dienstleistung, wobei sich die Frist systematisch um die fĂŒr den Fernabsatz von GĂŒtern und Dienstleistungen vorgesehene Widerrufsfrist verlĂ€ngert

Abonnement ohne/mit automatischer VerlÀngerung 

‱ Bis zum letzten Zahlungstermin, wenn das Abonnement keine stillschweigende VerlĂ€ngerung vorsieht

‱ Bis zur KĂŒndigung des Abonnements bei stillschweigender VerlĂ€ngerung, vorbehaltlich der anwendbaren Bestimmungen, insbesondere der Benachrichtigung der betreffenden Personen vor der VerlĂ€ngerung

Verwaltung von Reklamationen

‱ 13 Monate nach dem Datum der Belastung

‱ 15 Monate bei Zahlungskarten mit Termindebitierung

‱ Die zu Beweiszwecken aufbewahrten Daten mĂŒssen in einem Zwischenarchiv gespeichert werden und dĂŒrfen nur im Falle der Anfechtung der entsprechenden Transaktion benutzt werden

Erleichterung kĂŒnftiger EinkĂ€ufe

‱ Bis zum Widerruf der Einwilligung

‱ und/oder dem Verfallsdatum der Zahlungskartendaten, denn der Zeitraum der Speicherung darf nicht lĂ€nger sein als der Zeitraum, der fĂŒr die Verwirklichung dieses Zwecks notwendig ist

BetrugsbekÀmpfung

‱ Bis zum Ablauf des Zeitraumes, der fĂŒr die Verwirklichung dieses Zwecks notwendig ist

BekÀmpfung der GeldwÀsche

‱ Wenn die Zahlungsdaten hinsichtlich des Angebots einer Zahlungslösung in Verbindung mit dem Fernabsatz von einer Stelle erhoben werden, die den Pflichten zur BekĂ€mpfung der GeldwĂ€sche unterliegt, dĂŒrfen die Daten bis zum Abschluss des Kontos aufbewahrt und dann ggf. entsprechend den anwendbaren gesetzlichen Pflichten archiviert werden

ErgÀnzte Fassung der Tabelle der CNIL, sehe Link


4. Welche Informationspflichten bestehen?


Die betreffenden Personen mĂŒssen ĂŒber jede Benutzung der Zahlungskartennummer, gleich fĂŒr welchen Zweck, umfassend und eindeutig informiert werden.


Die betreffende Person ist generell ĂŒber die IdentitĂ€t des fĂŒr die Verarbeitung Verantwortlichen, die Zwecke der Verarbeitung, den obligatorischen oder fakultativen Charakter der erfragten Informationen, eventuelle Folgen einer Antwortverweigerung, die EmpfĂ€nger der Daten, die Aufbewahrungsdauer der verarbeiteten Datenkategorien, das Bestehen sowie die ModalitĂ€ten der AusĂŒbung der Zugangs-, Berichtigungs- und Widerspruchsrechte, einschließlich der Festlegung von Richtlinien hinsichtlich der Verarbeitung personenbezogener Daten nach dem Tod, sowie gegebenenfalls die Übermittlung der Daten in LĂ€nder außerhalb der EuropĂ€ischen Union zu informieren.


Hat der HĂ€ndler personenbezogene Daten an einen Dritten weitergegeben, so muss er diesen unverzĂŒglich ĂŒber die AusĂŒbung des Widerspruchs- oder Berichtigungsrechts durch die betreffende Person unterrichten.

Comments


bottom of page