Datenschutz & Haftung
Datenschutzinformationen
Händler mit physischem Terminal POS-Netzbetrieb
Sehr geehrte Damen und Herren,
am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Dazu haben wir zahlreiche Anfragen erhalten. Deshalb möchten wir Sie auf diesem Wege darüber informieren, was die DSGVO für die Akzeptanz kartengestützter Zahlungen im Handel bedeutet.
1. Was habe ich als Händler mit Datenschutz zu tun?
Als Händler erheben Sie personenbezogene Daten Ihres Kunden, wenn dieser bei Ihnen mit einer Karte bezahlt: Die Kartennummer Ihres Kunden ist ein personenbezogenes Datum, da die Kartennummer sich auf eine identifizierbare natürliche Person bezieht. Damit sind auch die weiteren Daten der Kartenzahlung, z.B. Betrag und Datum, personenbezogene Daten.
Sie als Händler sind sog. „Verantwortlicher“ im Sinne des Datenschutzrechts. Auch wir als Netzbetreiber sind Verantwortliche, wenn wir die Daten Ihrer Kunden verarbeiten.
2. Muss ich einen Vertrag über eine Auftragsverarbeitung mit meinem Netzbetreiber abschließen?
Viele der Anfragen, die uns erreichen, beziehen sich auf einen eventuell erforderlichen Vertrag zur Auftragsverarbeitung zwischen Händler und Netzbetreiber. Hierzu möchten wir Folgendes klarstellen:
Nach der bisherigen Rechtslage haben die Aufsichtsbehörden sowohl Händler als auch Netzbetreiber als Verantwortliche behandelt. Wir haben keinen Hinweis der Aufsichtsbehörden erhalten, dass sich daran unter der DSGVO etwas ändert. Der Bundesverband der electronic cash-Netzbetreiber (BecN), dessen Mitglied wir sind, steht dazu bereits im Kontakt mit den Aufsichtsbehörden. Jedoch sind diese momentan völlig überlastet, so dass die Abstimmung noch Zeit in Anspruch nehmen wird.
Es ist nicht ausgeschlossen, dass die Rollen der Beteiligten beim kartengestützten Zahlungsverkehr mittelfristig anders bewertet werden. Dies kann aber nur in einer Weise geschehen, die mit allen Beteiligten abgestimmt ist. Dazu gehören neben den Aufsichtsbehörden auch die Kreditkartenorganisationen (Schemes), die Deutsche Kreditwirtschaft (DK) und der Handelsverband Deutschland (HDE). Kurzfristige Insellösungen sind weder zielführend noch erforderlich.
Bitte beachten Sie insbesondere: Wir als Netzbetreiber können nicht als Auftragsverarbeiter für Sie als Händler tätig werden. Hintergrund ist, dass es uns faktisch nicht möglich ist, Daten ausschließlich auf Weisung eines Händlers zu verarbeiten. Unsere Prozesse müssen standardisiert für alle unsere Händler einheitlich ablaufen und sie sind weitgehend von der DK, den Kreditkarten-Schemes und den SEPA-Regularien vorgegeben.
3. Treffen mich als Händler Verpflichtungen als „Verantwortlicher“ nach der DSGVO?
Ja. Jeden Verantwortlichen treffen bestimmte Verpflichtungen nach der DSGVO. Im Hinblick auf die Akzeptanz kartengestützter Zahlungen im Handel sind vor allem die Informationspflichten nach Artikel 13 und 14 DSGVO von Bedeutung.
4. Was muss ich machen, um meine Kunden zu informieren?
Wir als Netzbetreiber und Acquirer (Ihr Vertragspartner für die Kreditkartenakzeptanz) arbeiten an einer Lösung, um Ihnen die Erfüllung dieser Informationspflichten so einfach wie möglich zu machen. Wir möchten, dass Sie als Händler zur Erfüllung der Pflichten nach Artikel 13 und 14 DSGV keinen größeren Aufwand haben, sondern lediglich folgende Maßnahmen ergreifen:
- Sie bringen einen gut sichtbaren Aushang mit der Aufschrift "Datenschutz-Hinweis für Karteninhaber" an der Kasse und an der Ladeneingangstür an. Der Aushang zeigt einen QR-Code und eine URL. Beides führt zu dieser Website mit den von der DSGVO geforderten Informationen.
- Auf dem Aushang ergänzen Sie von Hand den Namen Ihres Unternehmens und entsprechende Kontaktdaten. Falls Sie einen Datenschutzbeauftragten haben, ergänzen Sie auch dessen E-Mail-Adresse.
- Zusätzlich hinterlegen Sie an der Kasse eine Print-Version der von der DSGVO geforderten Informationen.
Die Print-Version der Informationen für die Kasse können Sie hier zum selbst Ausdrucken herunterladen:
Datenschutz-Informationen zu bargeldlosen Zahlungen - Print-Version
Wenn Sie auf Grund von sachlichen Verhältnissen abweichende Angaben zu unseren machen möchten, verwenden Sie bitte unsere editierbare Version:
Datenschutz-Informationen zu bargeldlosen Zahlungen - editierbare Version
Es gibt allerdings Fälle, in denen Sie als Händler noch mehr tun müssen:
- Wenn Sie auch Kreditkarten akzeptieren, müssen Sie den Kunden auch über den Acquirer als Verantwortlichen informieren. Im Zweifel bedeutet dies, dass Sie zwei Aushänge anbringen und zwei Print-Versionen der Informationen an der Kasse hinterlegen müssen, einmal von uns, als Ihrem Netzbetreiber und einmal von Ihrem Acquirer.
- Wenn Sie bei kartengestützten Zahlungen nicht nur die von uns in der Information für Ihre Kunden beschriebenen Standardverfahren nutzen, sondern die personenbezogenen Daten darüber hinaus verarbeiten, z.B. in Ihrem Kassensystem.
Diesbezüglich können wir Sie nicht unterstützen und Sie sollten sich im Zweifel entsprechend beraten lassen.
5. Wurden die Kunden nicht bereits von ihrer Bank ausreichend informiert?
Falls der Kunde bereits über die Informationen verfügen würde, müssten Sie als Händler nicht erneut informieren. Möglicherweise hat die kartenausgebende Bank dem Kunden schon Informationen gegeben. Ob und wie der Kunde allerdings tatsächlich informiert wurde, entzieht sich unserer und Ihrer Kenntnis. Sie und wir als Verantwortliche müssen nach der DSGVO aber selbst dafür gerade stehen, dass der Kunde vollständig informiert wird. Deshalb kann sich keiner von uns darauf verlassen, dass der Kunde bereits von seiner Bank informiert wurde.
Außerdem kann der Kunde von seiner Bank keine Informationen über Sie als Händler und über uns als Netzbetreiber erhalten haben, da die Bank ja nicht wissen kann, wo der Kunde seine Karte überall einsetzen wird. Diese Informationen kann der Kunde nur im Zeitpunkt der Zahlung, also bei Ihnen vor Ort, erhalten.
Unser Ansatz ist es daher, den Kunden bei jedem Zahlungsvorgang vollständig zu informieren.
6. Wie ist nun der weitere Ablauf?
Der BecN hat die Initiative ergriffen, die hier vorgestellte Lösung zu den Informationspflichten nach der DSGVO bei kartengestützten Zahlungen mit der DK und dem HDE abzustimmen. Nach erfolgter Abstimmung, die derzeit noch nicht abgeschlossen ist, gehen wir davon aus, dass wir sodann zeitnah mit dem Roll-out beginnen können. Der Rollout umfasst die Aktivierung der Website, die Bereitstellung der Aufkleber und der Print-Versionen durch uns als Ihr Netzbetreiber. Sie erhalten erneut Bescheid, sobald Sie die Materialien bei uns bestellen können.
Haftungserklärung
Haftung für Inhalte
Die Inhalte unserer Seiten wurden mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der Inhalte können wir jedoch keine Gewähr übernehmen. Als Diensteanbieter sind wir gemäß § 7 Abs.1 TMG für eigene Inhalte auf diesen Seiten nach den allgemeinen Gesetzen verantwortlich. Nach § 8 bis § 10 TMG sind wir als Diensteanbieter jedoch nicht verpflichtet, übermittelte oder gespeicherte fremde Informationen zu überwachen oder nach Umständen zu forschen, die auf eine rechtswidrige Tätigkeit hinweisen. Verpflichtungen zur Entfernung oder Sperrung der Nutzung von Informationen nach den allgemeinen Gesetzen bleiben hiervon unberührt. Eine diesbezügliche Haftung ist jedoch erst ab dem Zeitpunkt der Kenntnis einer konkreten Rechtsverletzung möglich. Bei Bekanntwerden von entsprechenden Rechtsverletzungen werden wir diese Inhalte umgehend entfernen.
Haftung für Links
Unser Angebot enthält Links zu externen Webseiten Dritter, auf deren Inhalte wir keinen Einfluss haben. Deshalb können wir für diese fremden Inhalte auch keine Gewähr übernehmen. Für die Inhalte der verlinkten Seiten ist stets der jeweilige Anbieter oder Betreiber der Seiten verantwortlich. Die verlinkten Seiten wurden zum Zeitpunkt der Verlinkung auf mögliche Rechtsverstöße überprüft. Rechtswidrige Inhalte waren zum Zeitpunkt der Verlinkung nicht erkennbar. Eine permanente inhaltliche Kontrolle der verlinkten Seiten ist jedoch ohne konkrete Anhaltspunkte einer Rechtsverletzung nicht zumutbar. Bei Bekanntwerden von Rechtsverletzungen werden wir derartige Links umgehend entfernen.
Texte dieser Website, die in die Zukunft gerichtete Aussagen enthalten, können Risiken oder Unsicherheiten einschließen. Prognosen können von den tatsächlichen künftigen Ereignissen und Ergebnissen wesentlich abweichen. VR Payment verpflichtet sich nicht, Abweichungen von früheren Prognosen zu veröffentlichen oder den Eintritt von Umständen bekannt zu geben, die zu einer Änderung von Prognosen führen können. Weiter können Texte Schätzungen von Analysten und andere Informationen enthalten, die von Dritten ausgearbeitet wurden. Für diese übernimmt die Redaktion keine Verantwortung. VR Payment verpflichtet sich nicht, die Erwartungen bzw. Schätzungen von Analysten oder anderen Dritten zu prüfen.