Die Breitenregistrierung mit der die Sparkassen ihren Kunden die Anmeldung bei Paydirekt erleichtern wollen, gerät ins Visier der Datenschützer. Die Datenschutzbeauftragten in Hessen und Thüringen prüfen, ob die Übermittlung der Kundendaten gegen das Bundesdatenschutzgesetz verstößt. Dem Online-Zahlverfahren, das die strengen deutschen Datenschutzregeln stets als Wettbewerbsvorteil für sich reklamiert, droht ein Debakel.
Weil die Nutzerzahlen von Paydirekt bislang hinter den Erwartungen zurückbleiben, soll das Internetzahlverfahren der Deutschen Kreditwirtschaft künftig automatisch Bestandteil der Online-Girokonten der Sparkassen-Finanzgruppe werden. Über die geplante Vertragsänderung werden die Kunden seit Anfang August mit einer Nachricht im elektronischen Postfach ihres Online-Banking-Portals informiert.
Zustimmung gilt als erteilt
„Zur Vereinfachung werden wir im Fall Ihrer Zustimmung zum Änderungsangebot die uns vorliegenden Stammdaten an die Paydirekt GmbH zur Nutzung von Paydirekt übermitteln“, heißt es etwa in dem Schreiben der Sparkasse Jena, das in die Kommentare dieses Blogbeitrags gepostet wurde. Die Zustimmung zu den geänderten AGB gelte als erteilt, wenn nicht binnen einer Frist von zwei Monaten widersprochen wird. Jena ist kein Einzelfall: „Nahezu alle Sparkassen haben ihre Teilnahme an dem Prozess der Komfortregistrierung erklärt. Der Prozess läuft überall identisch ab“, teilt ein Sprecher des Deutschen Sparkassen- und Giroverbands (DSGV) auf Anfrage der Lebensmittel Zeitung (LZ) mit.
Einwilligung oder Auftragsdatenverarbeitung?
Diese ungewöhnliche Art der Nutzerakquise beschäftigt nun die Landesdatenschutzbehörden in Hessen und Thüringen.
„Eine Einwilligung des Kunden zur Datenübermittlung oder Datenweitergabe allein aufgrund der Anerkenntnis der geänderten AGB halte ich grundsätzlich für nicht wirksam erteilt, da sie schwerlich den Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz Rechnung trägt“, erklärt die zuständige Fallbearbeiterin beim Thüringer Landesdatenschutzbeauftragten gegenüber der LZ. Die konkrete Vorgehensweise der Sparkasse Jena müsse allerdings noch ermittelt werden. „Die Beziehung zwischen Sparkasse und Paydirekt wird auch durch die Hinweise zum Datenschutz, die auf der Paydirekt-Homepage verfügbar sind, nicht hinreichend deutlich“, heißt es aus Erfurt.
Paydirekt als Auftragsdatenverarbeitung?
Der Hessische Datenschutzbeauftrage hat die in Frankfurt am Main ansässige Paydirekt GmbH und den DSGV um Auskunft über das genaue Prozedere der „Komfortregistrierung“ gebeten. „Wir prüfen, ob es eine Rechtsgrundlage für die Datenübermittlung gibt“, bestätigt Michael Kaiser, Leiter des Referats Kreditinstitute beim Hessischen Datenschutzbeauftragten. Wenn Paydirekt lediglich als technischer Dienstleister der Sparkassen agiere, wäre eine Einwilligung der Kunden vermutlich nicht erforderlich. Dann mache jedoch auch der Hinweis auf die Datenübertragung im Kundenanschreiben nicht unbedingt einen Sinn, so Kaiser. Der Fall erfordere eine eingehende Untersuchung der Vertragsstrukturen zwischen den Beteiligten, diese Überprüfung dauere an.
DSGV sieht kein Datenschutzthema
Beim Sparkassenverband sieht man die „Komfortregistrierung“ dagegen als datenschutzrechtlich unproblematisch an. Die teilnehmenden Sparkassen nähmen ihren Kunden lediglich das Ausfüllen des Formulars zur Paydirekt-Registrierung ab. „Da durch die AGB-Änderung Paydirekt zum Bestandteil des Online-Girokontos wird, haben die Kunden zwei Monate Zeit, um der AGB-Änderung zu widersprechen“, teilt ein DSGV-Sprecher mit. Paydirekt-Nutzer werde nur, wer einen Aktivierungslink klicke und ein Passwort festlegt.
AGB-Änderung als Basis für Datenübermittlung?
Ganz so einfach liegt der Fall aber wohl nicht: „Ich bin skeptisch, ob man eine Datenweitergabe auf AGB-Klauseln stützen kann. Das müsste darin schon sehr transparent gestaltet sein“, sagt Datenschutzrechtsexperte Dr. Martin Schirmbacher. „Es würde mich nicht wundern, wenn sich die Datenschützer sich hier quer stellen. Lässt man dieses Verfahren zu, öffnet das bei cleverer Ausgestaltung einer versteckten Datenweitergabe an Dritte Tür und Tor“, so der Rechtsanwalt der Berliner Kanzlei Härting.
Strenger deutscher Datenschutz als USP
Für Paydirekt sind freilich schon die Ermittlungen der Datenschutzbeauftragten allein ein peinlicher Vorgang. Der mit großen Ambitionen gestartete Newcomer unter den Internetzahlverfahren führt den strengen deutschen Datenschutz stets als Kundenvorteil gegenüber dem US-amerikanischen Payment-Primus Paypal und andere Konkurrenten ins Feld. Schon aus diesem Grunde hätte es den Sparkassen gut zu Gesicht gestanden, den 64-seitigen Rollout-Plan zur „Komfortregistrierung“ im Vorfeld mit den zuständigen Datenschutzbehörden abzustimmen. Die Volks- und Raiffeisenbanken, ebenfalls Gesellschafter von Paydirekt, verzichten bislang auf vergleichbare Maßnahmen. Schon bei der kontaktlosen Geldkarte „girogo“ zeigten sich die genossenschaftlichen Kreditinstitute sensibler für die Datenschutzbelange ihre Kunden als die roten Wettbewerber.
Von Paydirekt heißt es auf Anfrage lediglich: „Da es sich bei der Komfortregistrierung um eine Maßnahme der Sparkassen-Finanzgruppe handelt, bitte ich Sie, sich zur Vorgehensweise ebenfalls an die dortige Pressestelle zu wenden“. Man sei jedoch „selbstverständlich“ über die Pläne der Sparkassen informiert worden, so eine Sprecherin.
Update 24.8.2017:
Das Thema wurde inzwischen aufgegriffen von t3n, Focus Online, Chip, Heise, Computerbild, Onlinehändler News und etailment. Ich hatte zeitgleich mit diesem Blogpost eine kürzere Fassung auf LZnet veröffentlicht.
Ich erhalte viel erboste Post von Bänkern: „nur eine Zusatzleistung wie Lastschrift und Überweisung“, „nur ein Angebot“, „typisch deutsche Kritik“, „hysterisch“. Und viel Mails von Verbrauchern: „Unverschämtheit“, „Was erlauben Sparkasse?“, „Untermogeln“, „will nicht erst widersprechen müssen“, „wer betreibt, wem gehört Paydirekt?“.
Hätte man die Datenschutzbehörden doch einfach im Vorfeld eingebunden. Paydirekt schreibt Datenschutz doch groß, dachte ich.
Update 25.8.2017:
Focus Online schafft es die Geschichte zweimal weiterzudrehen, ohne eine News hinzuzufügen. Ein Lehrstück dafür, wie klickgesteuerter Onlinejournalismus heute funktioniert arbeitet: Was klickt wird fortgeschrieben: Grundstory, Leserreaktionen, Stellungnahme der Sparkassen. Letztere hätte freilich schon in die Grundstory gehört und bietet nichts Neues, allenfalls den Hinweis auf eine anwaltliche Prüfung und die „Kooperation“ mit den Datenschutzbehörden.
„Renommierte Rechtsanwaltskanzlei“
Das im Artikel erwähnte Gutachten der „renommierten Rechtsanwaltskanzlei“, die die Sparkassen mit der datenschutzrechtlichen Überprüfung der Breitenregistrierung beauftragt haben, gibt der DSGV auf Anfrage nicht heraus. Ein Schelm wer Böses denkt. Warum war es überhaupt nötig eine teure Anwaltskanzlei einzuschalten? Hatten die Inhouse-Juristen Bedenken? War die Rechtslage nicht eindeutig? Die „Kooperation“ mit den Datenschutzbehörden kommt nun etwas spät. Selbst wenn sich am Ende herausstellen sollte, dass – dank findiger Juristen – kein eindeutiger Verstoß gegen Datenschutzbestimmungen vorliegen sollte.
Die Sparkasse Aachen scheint die Bedenken bzw. Einwände ihrer Kunden gegen die übergriffige Datenübermittlung jedenfalls zu verstehen, wie nebenstehender Twitter-Dialog zeigt. Nicht alle Sparkassen betrachten ihre Kunden als Besitz, den man in die Waagschale werfen kann, um Online-Händler für Paydirekt zu akquirieren, um von Transaktionsgebühren zu profitieren. Nichts anderem soll die Breitenregistrierung schließlich dienen. Paydirekt ist kein „Service wie Lastschrift und Überweisung“.
„Mit weiterem Ausbau der Akzeptanzseite
tragen wir …
maßgeblich dazu bei, die Transaktionen und
damit auch unsere Erträge (Händlerentgelt) zu erhöhen“, lässt sich beispielsweise Stephan Scholl, Vorstandsvorsitzender der Sparkasse Pforzheim/Calw in einem internen Schreiben der Sparkassen-Finanzgruppe (SFG) zitieren.
274 Sparkassen nehmen an der umstrittenen Breitenregistrierung teil, ein Potenzial von 2,9 Mio. Neuregistrierungen verspricht sich die SFG von der Aktion. Zu, Vergleich: 1,2 Mio Kunden haben sich nach Angaben von Paydirekt bisher aus eigenen Antrieb registriert. Ab 24. Oktober soll eine „Aktivierungskampagne“ starten, mit der die Neukunden per Gewinnspielen und Rabatt-Gutscheinen dann auch zur Nutzung von Paydirekt animiert werden sollen. Viel Erfolg!
Schlussbemerkung / Klarstellung
Ich habe zu diesem Blogpost einige sehr böse E-Mails erhalten, so dass ich mich genötigt sehe (nochmals) festzuhalten: Ich halte Paydirekt für ein gutes Produkt und eine wettbewerbsfähige Alternative zu PayPal & Co. wäre eine Bereicherung für den Onlinehandel und seine Kunden.
Als treuer Sparkassenkunde will ich aber auch nicht, dass meine Daten quasi ungefragt an ein Unternehmen übertragen werden, zu dessen Gesellschaftern andere Banken, Vermögensberater (MLP) und Absatzfinanzierer (Santander Consumer Bank) gehören oder gehörten (meine letzte Bürgelabfrage dazu ist schon etwas angegilbt). Ganz egal, wie der Vorgang datenschutzrechtlich am Ende zu bewerten ist: Ich vertraue meine Daten meiner Bank an, das sollte diese wertschätzen und dieses Vertrauen nicht enttäuschen. Schon gar nicht für eine „Komfortregistrierung“, die ich vielleicht als Aufdringlichkeit oder Notrettungsprogramm wahrnehme.
Und ich kann die Onlinehändler verstehen, die derzeit sagen: Nicht zu diesen Gebühren, nicht bei diesen Transaktionsperspektiven. Punkt.
Pingback: Sparkassenwelt trifft auf Plattformökonomie | Bankstil
Pingback: Identity Economy – Ein kurzer Wochenrückblick #5 | Identity Economy
Vielen Dank für Ihren informativen Beitrag. Ich glaube aber das hinsichtlich Paydirekt der Datenschutz eine große Rolle spielt. Ich habe Ihre Seite abonniert. Weiter so.
Vorab:
Es ist nicht zu sehen, warum sich jemand für ordnungsgemäße Berichterstattung entschuldigen sollte oder müßte. Es wäre eher wünschenswert, dass die Banken transparenter werden, auch und gerade in der Kommunikation. Und schon gar nicht ist es erforderlich, dass Journalisten Referenznoten zu Produkten abgeben, über die sie berichten. Am Ende tut man sich selbst keinen Gefallen, wenn versucht unliebsame Produktdetails zu verbergen. Die Banken haben in der Vergangenheit schon viel ihres ehemaligen Vertrauensvorschußes verspielt. Zumindest die DB versucht hier inzwischen unter John Cryan im Privatkundenbereich gegenzusteuern.
Zu der (berechtigten) Frage des Datenschutzes, die alle Kunden angeht:
Die Paydirekt wurde, wie jeder weiß, sehr schnell „aus dem Boden gestampft“. Das wird häufig übersehen, auch im Hinblick auf das, was das Produkt leistet oder leiten kann. Nachdem die Banken sich geeinigt hatte, mußte es eben schnell gehen. Das bleibt nicht ohne Folgen.
Vermutlich wurden deshalb viele Arbeiten auf der ausführenden Ebene an externe Dienstleister vergeben. Das betrifft sowohl Service- als auch IT- Dienstleistungen. Von den Servicedienstleistern, die knapp 3 Jahre die Aufbauarbeiten durchgeführt haben, sind die meisten vermutlich inzwischen weg. Geblieben ist davon die Abteilungsleiterebene unterhalb von Niklas Bartelt und Helmut Wißmann von ca. 10 Abteilungsleitern, mit in der Regel keinem oder einem Mitarbeiter.
Geblieben ist auch eine IT-Infrastruktur, und das ist im Zusammenhang mit Datenschutz durchaus relevant, die zu 100% extern betrieben wird. Extern heißt hier außerhalb der Paydirekt und auch außerhalb der Banken IT, bei externen IT Dienstleistern. Die Werbung einiger Sparkassen ist hier manchmal irreführend. Es gibt lediglich Schnittstellen zu der jeweiligen Banken IT. Es gibt andere Bezahlsysteme, die tatsächlich von einer Bank und bei einer Bank betrieben werden.
D.h. die Kundendaten der Paydirekt liegen nicht bei der Paydirekt und auch nicht (nur) bei den Banken, sondern sie liegen zu 100% bei diversen externen Rechenzentrumsbetreibern. Nicht umsonst verlangt das BDSG hier Transparenz, damit die Kunden einigermaßen verstehen, wo ihre Daten liegen und wer damit was tut.
Die Auslagerung der IT umfasst die Email-, Büro- und Telefonservices für die Büros in der Hamburger Allee bei einem großen Deutschen Telekom Anbieter (und seiner diversen Töchter), den Call-Center Betrieb bei einem norddeutschen Anbieter und FiBu Dienstleistungen und Abrechnungsdienste mit den Banken. Dazu kommt natürlich der Betrieb der eigentlichen Bezahlfunktionen durch einen hessischen Generalunternehmer und seine eigenen Dienstleister (einschließlich eines süddeutschen RZ-Betreibers mit wiederum weiteren IT-Dienstleistern).
Nicht ganz einfach zu überschauen, könnte man meinen, zumal sich die Funktionen zwischen einer Reihe von IT/RZ Betreibern aufteilen, die jeweils Unterfunktionen im Bezahlvorgang durchführen, wie oben angedeutet, teilweise wiederum mit eigenen RZ Dienstleistern, bis runter auf die Ebene der diversen Internetprovider. Man könnte sich auch vorstellen, dass die Paydirekt selbst gar nicht so genau weiß, wo welche Daten liegen.
Unter diesen Vorzeichen scheint es verständlich, wenn sich die Datenschützer das bunte Treiben einmal anschauen möchten. Die Paydirekt ist hier kein Einzelfall. Es ist zu vermuten, dass eine ganze Reihe von sogenannten FinTechs (falls die Paydirekt dazu gehört), ähnliche Strategien verfolgen. Ob das insgesamt für diese sensitiven Dienste wünschenswert ist, bleibt abzuwarten. Aber der Gesetzgeber hat hier zum Schutz der Kunden eine Reihe von Anforderungen vorgegeben, genannt seien hier BDSG und MaRisk, und man sollte die jetzt anstehenden Prüfungen abwarten. In Bezug auf MaRisk wäre die Frage interessant, ob die Paydirekt als Zahlungsdienstleister i.S. der ZD-Richtlinie verstanden wird.