Das Datenschutzunternehmen „noyb“ reichte im Februar 2022 Beschwerde beim Hessischen Landesbeauftragten für Datenschutz gegen den deutschen Zahlungsdienst „giropay“ (ehemalig „paydirekt“) ein. Grund dafür ist, dass „giropay“ nicht nur die Verarbeitung von Online-Zahlungen vornimmt, sondern auch Informationen über einzelne gekaufte Artikel bezieht. Unter diese Informationen fallen mithin auch sensible und personenbezogene Daten, die nach der DSGVO unter einem besonderen Schutz stehen und dessen Verarbeitung demnach nicht ohne die Einwilligung der betroffenen Person erfolgen darf.
Hintergrund der Beschwerde
Eine Kundin sah in ihrem giropay-Konto eine detaillierte Auflistung von allen ihrer bisher gekauften Produkte, mitunter vor allem Produkte, die sie in einer Online-Apotheke und einem Sexshop erworben hatte. In Folge dessen wandte sich die Kundin an das Unternehmen von Max Schrems „noyb“, welches daraufhin eine Beschwerde bei dem zuständigen Hessischen Landesbeauftragten für Datenschutz und Informationsfreiheit gegen giropay einlegte.
Giropay warb auf seiner Webseite sogar mit Datenschutz: Es hieß, dass „Privates auch privates bleibt“ oder auch „Datenschutz nach deutschen Richtlinien“ war auf der Webseite zu finden. Nach Auffassung der betroffenen Kundin und auch Noyb wurde dies jedoch nicht beachtet. Entgegen dem SEPA-Lastschriftverfahren und der Zahlung in Form von Kreditkarten, bei denen für die Zahlung lediglich nur notwendige Daten verarbeitet werden, missachtet giropay etwaige Datenschutzvorschriften. Bei giropay werden vor allem zusätzliche detaillierte Informationen über den Warenkorb behalten.
Auf Anschuldigungen und Stellungnahmen reagierte der deutsche Zahlungsdienst dahingehend nicht. Im Zuge dessen sah sich die Kundin gezwungen, Unterstützung von dem Datenschutzunternehmen Noyb zu beziehen. Dahingehend weist giropay jegliche Schuld und Verantwortung von sich. Diese liege laut giropay rein bei den Händlern, welche die Daten weitergeben. Allerdings verfügt nicht nur die Software von giropay über eine spezifische Funktion für die Weitergabe solcher Daten: auch das Webshop-Plugin des Zahlungsdienstes ist so konfiguriert, dass Händler diese Daten übermitteln müssen. Es ist offensichtlich, dass giropay hier nicht notwendige, personenbezogene Daten verarbeitet und somit gegen die Regelungen der DSGVO verstößt.
Der Datenschutzjurist bei Noyb, Alan Dahi, äußerte sich diesbezüglich wie folgt: „Man kann nicht einfach ein System bauen, verwenden, bewerben, damit illegal Daten aufsaugen, und dann mit dem Finger auf andere zeigen. Die DSGVO kennt klare Grundsätze zu Rechtmäßigkeit, Datenminimierung und Rechenschaft von Datenverarbeitungen, nach denen giropay hier klar verantwortlich ist.“
Besonderer Schutz der DSGVO bezüglich sensibler und personenbezogener Daten
Bei den von giropay verarbeiteten Daten handelt es sich um höchst sensible, personenbezogene Daten, die durch die DSGVO besonders schützenswert sind. Gem. Art 9(2)(a) DSGVO dürfen diese nur durch ausdrückliche Einwilligung der betroffenen Person verarbeitet werden.
“Nur weil ich mit Karte zahle, bekommt meine Bank auch nicht die Supermarkt-Rechnung mit allen Details. Es gibt überhaupt keinen Grund, dass giropay diese mitunter sehr sensiblen Daten zentral erfasst und dauerhaft speichert.” so die Kundin von giropay.
Übermittlung sensibler Daten stellt keine „Marktüblichkeit“ dar
Giropay weist jegliche Schuld von sich und begründet dies damit, dass das Sammeln von intimen Daten „marktüblich“ sei. Zudem wird argumentiert, dass diese Daten notwendig seien, „um Reklamationen einfacher abwickeln zu können. Dies ist jedoch dahingehend widerlegbar, indem grundsätzlich einzelne gekaufte Produkte auf der jeweiligen Rechnung oder in der Zahlungshistorie des Online-Shops nachvollzogen werden können. Die sogenannte „Marktüblichkeit“ ist zwar datenschutzrechtlich irrelevant, der Zeck der von Unternehmen dadurch verfolgt wird, ist jedoch lediglich Datenschutzverstöße zu legitimieren. Unternehmen sollen jedoch anfangen, Datenschutz ernster zu nehmen und die Privatsphäre anderer zu respektieren.
Beitrgsbild: rupixen auf pixabay