Mehr Erfolg durch Kartenzahlungen

Ertrag ist einfach

Mehr Erfolg durch Kartenzahlungen

DSGVO: Was Sie zur neuen Datenschutzgrundverordnung wissen müssen

Am 25. Mai 2018 ist die neue Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Die Neuregelung führt zu Handlungsbedarf bei allen Akzeptanzstellen. Nachfolgend ist zusammengefasst, was die DSGVO für die Akzeptanz kartengestützter Zahlungen bedeutet und welche Informationspflichten sich ergeben.

Was habe ich als Akzeptanzstelle mit Datenschutz zu tun?

Als Händler erheben Sie personenbezogene Daten Ihres Kunden, wenn dieser bei Ihnen mit einer Karte bezahlt: Die Kartennummer Ihres Kunden ist ein personenbezogenes Datum, da die Kartennummer sich auf eine identifizierbare natürliche Person bezieht. Damit sind auch die weiteren Daten der Kartenzahlung, z. B. Betrag und Datum, personenbezogene Daten. Sie als Händler sind sog. „Verantwortlicher“ im Sinne des Datenschutzrechts. Auch wir als Netzbetreiber sind Verantwortliche, wenn wir die Daten Ihrer Kunden verarbeiten. Dasselbe gilt für uns, wenn Sie Kreditkarten akzeptieren und wir Ihr Acquirer sind.  

Muss ich einen Vertrag über eine Auftragsverarbeitung mit meinem Netzbetreiber abschließen?

Viele der Anfragen, die uns erreichen, beziehen sich auf einen eventuell erforderlichen Vertrag zur Auftragsverarbeitung zwischen Händler und Netzbetreiber (bzw. Acquirer). Hierzu möchten wir Folgendes klarstellen:

  • Nach der bisherigen Rechtslage haben die Aufsichtsbehörden Händler, Netzbetreiber und Acquirer als Verantwortliche behandelt. Wir haben keinen Hinweis der Aufsichtsbehörden erhalten, dass Händler unter der DSGVO nicht mehr Verantwortliche sein sollen. Es ist zwar nicht ausgeschlossen, dass die Rollen der Beteiligten beim kartengestützten Zahlungsverkehr mittelfristig neu bewertet werden. Dies kann aber nur in einer Weise geschehen, die mit allen Beteiligten abgestimmt ist. Dazu gehören neben den Aufsichtsbehörden auch die Kreditkartenorganisationen (Schemes), die Deutsche Kreditwirtschaft (DK) und der Handelsverband Deutschland (HDE). Kurzfristige Insellösungen sind weder zielführend noch erforderlich.

  • Bitte beachten Sie insbesondere: Wir als Netzbetreiber bzw. Acquirer können nicht als Auftragsverarbeiter für Sie als Händler tätig werden. Hintergrund ist, dass es uns faktisch nicht möglich ist, Daten ausschließlich auf Weisung eines Händlers zu verarbeiten. Unsere Prozesse müssen standardisiert für alle unsere Händler einheitlich ablaufen und sie sind weitgehend von der DK (Deutsche Kreditwirtschaft), den Kreditkarten-Schemes und den SEPA-Regularien vorgegeben.

Dort, wo wir Acquirer sind, haben wir bei der Abwicklung von Kartenzahlungen darüber hinaus eine Vielzahl gesetzlicher Verpflichtungen insbesondere aus dem Zahlungsdienste- und Geldwäscherecht zu erfüllen.

Treffen mich als Akzeptanzstelle Verpflichtungen als „Verantwortlicher“ nach der DSGVO?

Ja. Jeden Verantwortlichen treffen bestimmte Verpflichtungen nach der DSGVO. Im Hinblick auf die Akzeptanz kartengestützter Zahlungen im Handel sind vor allem die Informationspflichten nach Artikel 13 und 14 DSGVO von Bedeutung.

Was muss ich machen, um meine Kunden zu informieren?

Wir als Netzbetreiber bzw. Acquirer haben eine Lösung erarbeitet, um Ihnen die Erfüllung dieser Informationspflichten so einfach wie möglich zu machen. Diese dient zugleich der Erfüllung unserer eigenen Informationspflichten. Denn nur Sie als Händler haben direkten Kontakt zum Kunden. Daher können auch nur Sie als Händler den Karteninhaber informieren.  Wir möchten, dass Sie zur Erfüllung der Pflichten nach Artikel 13 und 14 DSGV keinen größeren Aufwand haben, sondern lediglich folgende Maßnahmen ergreifen:

  • Sie bringen einen gut sichtbaren Kassenhinweis für Karteninhaber an der Kasse und an der Ladeneingangstür an bzw. nutzen die von uns vorbereitete Vorlage für einen Thekenaufsteller. Beide Hinweisvarianten zeigen einen QR-Code und eine URL, die zu den geforderten DSGVO Informationen für Karteninhaber führen.
  • Auf den Vorlagen ergänzen Sie von Hand den Namen Ihres Unternehmens und dessen Kontaktdaten. Falls Sie einen Datenschutzbeauftragten haben, ergänzen Sie auch dessen E-Mail-Adresse.

Die Vorlagen für die Kassenhinweise und die gedruckte Version der Informationen für die Kasse erhalten Sie von uns unten stehend hier auf dieser Seite zum Download. Wir betreiben auch die Website mit den Informationen für Kartenzahler.

Es gibt allerdings Fälle, in denen Sie als Händler noch mehr tun müssen:

  • Wenn Sie auch Kreditkarten akzeptieren und wenn Ihr Netzbetreiber und Ihr Acquirer unterschiedliche Dienstleister sind, müssen Sie den Kunden auch über den Acquirer als Verantwortlichen informieren. Im Zweifel bedeutet dies, dass Sie zwei Hinweise anbringen und zwei gedruckte Versionen der Informationen für Kartenzahler an der Kasse hinterlegen müssen, einmal von Ihrem Netzbetreiber und einmal von Ihrem Acquirer.
  • Wenn Sie bei kartengestützten Zahlungen nicht nur die von uns in der Information für Ihre Kunden beschriebenen Standardverfahren nutzen, sondern die personenbezogenen Daten darüber hinaus verarbeiten, z. B. in Ihrem Kassensystem. Diesbezüglich können wir Sie nicht unterstützen und Sie sollten sich im Zweifel entsprechend beraten lassen.

Wurden die Kunden nicht bereits von ihrer Bank ausreichend informiert?

Falls der Kunde bereits über die Informationen verfügen würde, müssten Sie als Händler nicht erneut informieren. Möglicherweise hat die kartenausgebende Bank dem Kunden schon Informationen gegeben. Ob und wie der Kunde allerdings tatsächlich informiert wurde, entzieht sich unserer und Ihrer Kenntnis. Sie und wir als Verantwortliche müssen nach der DSGVO aber selbst dafür gerade stehen, dass der Kunde vollständig informiert wird. Deshalb kann sich keiner von uns darauf verlassen, dass der Kunde bereits von seiner Bank informiert wurde.

Außerdem kann der Kunde von seiner Bank keine Informationen über Sie als Händler und über uns als Netzbetreiber bzw. Acquirer erhalten haben, da die Bank ja nicht wissen kann, wo der Kunde seine Karte überall einsetzen wird. Diese Informationen kann der Kunde nur im Zeitpunkt der Zahlung, also bei Ihnen vor Ort, erhalten.

Unser Ansatz ist es daher, den Kunden bei jedem Zahlungsvorgang vollständig zu informieren.

Informationen zur Datenverarbeitung gemäß Artikel 14 DSGVO

Informationen für Kartenzahler (Online)

Informationen für Kartenzahler zum Ausdrucken (PDF)

Aufsteller für den Kassenbereich zum Ausdrucken (PDF)

Wie ist nun der weitere Ablauf?

DK und HDE hatten Gelegenheit zur Stellungnahme zu der hier vorgestellten Lösung. Die Abstimmung mit den Aufsichtsbehörden ist in die Wege geleitet. Der Bundesverband der Zahlungsinstitute (BVZI), dessen Mitglied wir sind, steht dazu über den Bundesverband der electronic cash-Netzbetreiber (BecN) im Kontakt mit den Aufsichtsbehörden. Jedoch sind diese momentan völlig überlastet, so dass die Abstimmung noch Zeit in Anspruch nehmen wird. Der Rollout hat daher begonnen.

Alle Beteiligten gehen davon aus, dass sich weitere Änderungen ergeben können, insbesondere im Zuge der noch nicht abgeschlossenen Abstimmung mit den Aufsichtsbehörden. Wir werden uns bemühen, Änderungen so weit wie möglich über eine Anpassung der Informationstexte auf der Website umzusetzen, so dass für Sie als Händler kein zusätzlicher Aufwand entsteht.

S-Händlerservice Vertrieb Jetzt kostenlos und unverbindlich über bargeldlose Zahlungslösungen für Ihren Bedarf informieren.