Das Speichern von Kreditkartendaten für zukünftige Käufe ist eine Funktion, mit der die Betreiber von Onlineshops das Einkaufserlebnis wiederkehrender Kunden komfortabler gestalten möchten. Der Europäische Datenschutzausschuss (EDSA) schafft nun Klarheit, was die konkreten Anforderungen an eine solche Speicherung sind. Wir erklären Ihnen die wichtigsten Punkte und wie Sie diese einfach rechtskonform umsetzen.
Rechtsgrundlage als Grundvoraussetzung für die Speicherung
Die EU-Datenschutz-Grundverordnung (DSGVO) bietet Verantwortlichen mehrere Möglichkeiten, auf die eine Datenverarbeitung gestützt werden kann. Nicht immer ist eindeutig welche der Rechtsgrundlagen die richtige ist. Regelmäßig kommen auch mehrere davon in Betracht.
Im Fall der Speicherung von Kreditkartendaten zum alleinigen Zweck der Ermöglichung weiterer Online-Transaktionen werden regelmäßig herangezogen:
- Ein überwiegendes berechtigtes Interesse an der Verarbeitung
- Die Erforderlichkeit zur Erfüllung eines Vertrags
- Die Erforderlichkeit für eine vorvertragliche Maßnahme
- Eine Einwilligung der betroffenen Person
Speicherung erfordert Einwilligung
Der EDSA hat nun Stellung bezogen und sich klar dafür ausgesprochen, dass eine solche Datenverarbeitung nur mit einer Einwilligung erlaubt sein kann. Daran werden sich die Datenschutz-Aufsichtsbehörden zukünftig orientieren.
Die schlüssige Begründung des EDSA lautet, dass der Kunde, der seine Kreditkartendaten für eine einmalige Transaktion angibt, vernünftigerweise nicht erwartet, dass die Kreditkartendaten länger gespeichert werden, als es für die Bezahlung der gekauften Waren oder Dienstleistungen erforderlich ist. Die Möglichkeit sich auf ein berechtigtes Interesse zu berufen, wie das aktuell noch häufig zu finden ist, wird durch den EDSA ausdrücklich abgelehnt. Es sei nicht ersichtlich, dass die Speicherung der Kreditkartendaten zur Erleichterung künftiger Käufe erforderlich ist, um das berechtigte Interesse des für die Verarbeitung Verantwortlichen oder eines Dritten zu verfolgen.
Auf den Vertrag oder vorvertragliche Maßnahmen wird überhaupt nicht eingegangen. Diese Möglichkeiten erschienen dem EDSA vermutlich zu abwegig. Jedenfalls können der Vertrag oder die vorvertragliche Maßnahme nicht herangezogen werden, da es am notwendigen Merkmal der Erforderlichkeit fehlt. Die erneute Abfrage der Kreditkartendaten ist bei einem weiteren Einkauf ohne weiteres möglich und Komfort ist kein Kriterium, wenn es um die Frage nach der Erforderlichkeit geht.
Zur Klarstellung: Es geht hier nicht um den Fall der regelmäßigen Abbuchung in einem Dauerschuldverhältnis (z.B. Abonnement). Dann dürfen die Daten zu diesem Zweck natürlich aufgrund des geschlossenen Vertrags über die gesamte Laufzeit gespeichert und verarbeitet werden. Allerdings auch nur dafür und nicht für den nächsten Einkauf. Denn dann würde sich der Zweck nicht mehr vom erstgenannten Fall unterscheiden.
Anforderungen an eine wirksame Einwilligung
Damit eine Einwilligung gültig ist, müssen Verantwortliche einige Punkte beachten:
- Informiertheit: Betroffenen Personen müssen die Konsequenzen der Einwilligung bekannt sein. Dazu gehört insbesondere zu wissen, wem gegenüber man die Erklärung abgibt und welche Zwecke sie genau umfasst. Auch der Hinweis auf das Recht, die Einwilligung jederzeit widerrufen zu können, ist vorgeschrieben.
- Freiwilligkeit: Die betroffene Person muss eine echte und freie Wahl haben. Dies drückt sich dadurch aus, dass es keine Nachteile mit sich bringt, die Einwilligung nicht zu geben. Zudem muss sie jederzeit nachträglich widerrufen werden können. Das wäre zum Beispiel nicht der Fall, wenn der Käufer durch die Verweigerung der Einwilligung am Kauf gehindert würde.
- Aktives Verhalten: Vorangekreuzte Kästchen oder die bloße Information über die Speicherung genügen nicht. Die Abfrage muss eine konkrete Willensbekundung der betroffenen Person widerspiegeln. Dies erfolgt regelmäßig durch ein anzukreuzendes, optionales Kästchen.
- Nachweisbarkeit: Der Verantwortliche muss die Einwilligung an sich, aber auch die oben aufgeführten Umstände nachweisen können. Mit den meisten Shopsystemen lässt sich das ohne Probleme umsetzen.
Wenn Ihre Einwilligungserklärung diese Kriterien erfüllt, steht der Speicherung der Kreditkartendaten für den nächsten Einkauf Ihrer Kunden nur noch wenig entgegen. Es ist dann noch sicherzustellen, dass Sie die obligatorischen Informationspflichten erfüllen und garantieren, dass die Datenspeicherung ausreichend sicher ist. An die Maßnahmen zur Sicherheit der Daten ist bei Kreditkartendaten ein hoher Maßstab zu setzen, da der mögliche Schaden für die Karteninhaber bei einer Datenpanne aufgrund der Missbrauchsgefahr als eher hoch einzustufen ist.
Rechtskonformität mit wenig Aufwand
Die von vielen Kunden gewünschte Komfortfunktion, ihre Kreditkartendaten für den nächsten Einkauf hinterlegen zu können, muss nicht aufgrund des Datenschutzes wegfallen. Der Aufwand eine den Anforderungen der DSGVO entsprechende Einwilligung einzuholen, ist auch nicht sehr hoch. Ein kurzer erläuternder Text für die Einwilligungserklärung, die Abfrage mittels zu setzenden Häkchens, die Dokumentation des ganzen sowie das Vorhalten der Möglichkeit, einen Widerruf entgegenzunehmen, stellen für moderne Shopsysteme keine große Herausforderung dar.
Dabei schützt die DSGVO-Konformität nicht nur vor vermeidbaren Bußgeldern, sondern schafft auch Vertrauen bei Ihren Kunden und sorgt so für mehr Zufriedenheit und Kundenbindung.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!