Die Sparkassen verstoßen mit der automatischen Übermittlung von Kundendaten an Paydirekt im Zuge der „Breitenregistrierung“ nicht gegen Datenschutzbestimmungen. Zu dieser Einschätzung kommt der Hessische Datenschutzbeauftragte nach einer Überprüfung der Vorgehensweise. Die Datenschutzkollegen aus Thüringen sehen allerdings in einem Punkt Nachbesserungsbedarf (siehe Update).
Auch sonst gibt es ein paar Neuigkeiten rund um das Online-Zahlverfahren der Deutschen Kreditwirtschaft.
Auch wenn die Sparkassen mit ihrer eigenmächtigen Voranmeldung aller Online-Banking-Kunden bei Paydirekt hier und da für Kopfschütteln und Erstaunen sorgen, rechtlich ist das Verfahren offenbar nicht zu beanstanden: „Wir haben die Stellungnahmen von Paydirekt und des Deutschen Sparkassen- und Giroverbandes geprüft und sind zu dem Ergebnis gekommen, dass keine Bedenken gegen die Komfortregistrierung bestehen“, teilt Wilhelm Rytzy, zuständiger Abteilungsleiter beim Hessischen Datenschutzbeauftragten, auf Anfrage mit. BargeldlosBlog hatte über die Aufnahme der Überprüfung durch die Datenschutzbehörden in Hessen und Thüringen berichtet.
Änderung des Girokontovertrags
Grundlage für die Übermittlung der Kundenstammdaten an Paydirekt ist laut Rytzy die Änderung des Girokontenvertrags. Dieser werde durch die in den Kundenanschreiben angekündigte AGB-Änderung wirksam um einen neuen Funktionsbestandteil ergänzt. Nach der vollzogenen Vertragsänderung bestehe dann eine gesetzliche Übermittlungsbefugnis, so dass datenschutzrechtlich keine zusätzliche Einwilligung zur Übergabe der Daten an Paydirekt erforderlich sei.
Auch im Hinblick auf die Transparenz sei das Procedere der Sparkassen aufgrund der erteilten Datenschutzhinweise und der begleitenden Informationen – insbesondere auch zur Widerspruchsmöglichkeit – nicht zu beanstanden.
Da es sich um eine bundesweite Aktion handele, teile man diese Rechtsauffassung auch anderen Landesdatenschutzbehörden mit, so Rytzy. An die Aufsichtsbehörde in Niedersachsen sei etwa eine entsprechende Mitteilung ergangen. In Thüringen prüft man den Fall nach Informationen von BargeldlosBlog dagegen noch. Überraschungen sind aber wohl nicht mehr zu erwarten (siehe „Update“ am Ende des Beitrags).
Nur Stammdaten betroffen
Bei Lichte betrachtet, werden ja auch nur die jeweiligen Stammdaten der Sparkassenkunden an Paydirekt übermittelt, soweit der Kunde nicht zuvor widerspricht. Wenn der Onlinebanking-Kunde nicht tätig wird und die Registrierung nicht aktiviert, passiert nichts weiter. Schaut man sich die derzeitige Datenschutzhysterie etwa bei der Debatte um die ePrivacy-Verordnung aktuell an, sollte man die Kirche vielleicht auch im Dorf lassen.
Anderseits: Ein cleverer Workaround, um die Einwilligung in die Datenweitergabe per ABG-Änderung zu umschiffen. Das könnte Schule machen. Lässt man dieses Verfahren zu, könnte „bei cleverer Ausgestaltung einer versteckten Datenweitergabe an Dritte Tür und Tor geöffnet werden“, hatte Datenschutzrechtsexperte Dr. Martin Schirmbacher von der Kanzlei Härting Rechtsanwälte gegenüber BargeldlosBlog kritisiert.
274 Sparkassen nehmen an der Breitenregistrierung teil, ein Potenzial von 2,9 Mio. Neuregistrierungen verspricht sich die Sparkassen-Finanzgruppe internen Unterlagen zufolge von der Aktion. Bislang haben sich nach Angaben von Paydirekt 1,5 Mio. Kunden aus eigenem Antrieb registriert. In dieser Woche laufen die ersten Widerspruchsfristen der Komfortregistrierung aus, parallel läuft seit dem 24. Oktober eine „Aktivierungskampagne“ der Sparkassen. Mal sehen, wie sich Nutzerzahler und Transaktionen nun im Weihnachtsgeschäft 2017 entwickeln.
Genossenschaftliche Institute gehen andere Wege
Die Volks- und Raiffeisenbanken wollen anders vorgehen und ihre Kunden nicht per AGB-Änderung mit Paydirekt beglücken.
„Wir werden den Registrierungsprozess weiter vereinfachen und durch gezielte Werbemaßnahmen noch transparenter gestalten. Bei Neukunden ist die Paydirekt-Registrierung Teil des Gesamtpakets. Diese Weiterentwicklungen sollen mit dem Frühjahrsrelease 2018 zur Verfügung stehen. Erste Vereinfachungen der Registrierung werden bereits im Herbstrelease 2017 umgesetzt sein“, teilt eine Sprecherin der DZ Bank auf Anfrage mit. Beispielsweise soll die E-Mai-Adresse demnächst als Benutzername genutzt werden können.
Weitere News zu Paydirekt
Nach einem aktuellen Bericht von @SchreiberDohms in der Süddeutschen Zeitung soll Paydirekt eine Finanzspritze von 300 Mio. Euro erhalten, 100 Mio. davon von den Sparkassen. Zudem soll dem Artikel nach Ex-PayPal-DACH-Chef Arnulf Keese gefragt worden sein, ob er die Leitung des (Möchtegern-)Konkurrenten von PayPal übernehmen will.
Und laut IT-Finanzmagazin können Onlinehändler und Dienstleister auch bei Wirecard eine Anbindung an Paydirekt erhalten.
BTW: Auch innerhalb der Sparkassen-Organisation ist die Breitenregistrierung nicht unumstritten. „Wir haben uns gegen die automatische Eröffnung eines Paydirekt-Kontos entschieden. Ein Widerspruch ist deshalb nicht nötig, und es werden auch keine Daten an Paydirekt weitergeleitet“, erklärte eine Sprecherin der Sparkasse Halle gegenüber der Neuen Westfälischen in einem Beitrag unter dem Titel „Lokale Sparkassen lehnen automatische Registrierung für Onlinebezahldienst ab“.
Update 7.11.2017: Inzwischen hat auch der Thüringer Landesbeauftragte für Datenschutz und Informationsfreiheit (TLfDI) die Überprüfung der Breitenregistrierung abgeschlossen. Auch dort kommt man zu dem Ergebnis, dass die Vertragsänderung per AGB eine ausreichende rechtliche Grundlage für die Datenübermittlung liefert.
„Nach wirksamer Vertragsänderung ist die Sparkasse befugt, die Stammdaten an
die Firma Paydirekt GmbH weiterzuleiten, damit diese Kontakt zum Kunden aufnehmen kann, § 28 Abs. 1 Nr. 1 BDSG. Einer gesonderten Einwilligung der Betroffenen zur Datenübermittlung bedarf es hierzu nicht“, teilt der TLfDI gegenüber BargeldlosBlog mit.
Allerdings stelle sich die Frage, was mit den Daten geschieht, wenn der Kunde sich nicht bei Paydirekt anmeldet. Hierzu seien keine Regelungen getroffen.
„Da die Stammdaten in diesem Fall nicht für die Erfüllung eigener Geschäftszwecke der paydirekt GmbH erforderlich sind, müssten sie nach Ablauf einer angemessenen zu setzenden Frist gelöscht werden. Hierauf werde ich die Sparkasse Jena-Saalfed-
Holzland hinweisen“, heißt es vom Datenschutzbeauftragten Thüringen.
Wie sagte ein DSGV-Sprecher auf meine erste Presseanfrage zum Thema „Breitenregistrierung und Datenschutz“? „Da haben Leute drübergeschaut, die mehr von Datenschutz verstehen, als wir beide zusammen.“ Offenbar haben diese Experten einen Punkt übersehen.
Und wenn’s 80 Millionen Kunden-Neuregistrierungen gibt: Das hilft alles nix, solange es keine Händler gibt, bei denen man damit bezahlen kann. Und es wird keine (nennenswerten) Händler geben, weil die von Paydirekt und den Banken eher vergrault als hofiert werden – und weil es für die Händler eigentlich auch gar keinen ernsthaften Grund gibt, Paydirekt anzubieten (und schon gar nicht vor dem Hintergrund von SEPA Instant Pay ab – vielleicht – Februar 2018).
Das ganze ist genau so eine Totgeburt wie die Geldkarte… (wobei ich die ja sogar gut fand, aber durchgesetzt hätte sich die nur, wenn ich bei jedem Bäcker mein 35-ct-Brötchen damit hätte bezahlen können. Aber auch dafür braucht man eigentlich keine neue Karte – z.B. in Frankreich ist es heutzutage durchaus üblich, auch seinen 1,60-EUR-Espresso mit der „stinknormalen“ Visa-Karte zu bezahlen).
Vielen Dank für das Dranbleiben in dieser Sache. Eine spannende Entwicklung, es bleibt abzuwarten, wie hier in Zukunft von den verschiedenen Beteiligten entschieden werden wird. Ich sehe allerdings auch das Problem für Paydirekt, dass es noch immer lange nicht so präsent ist, wie andere Konkurrenten und da hinzukommen nur schwerer und schwerer wird.
Die Frage ist, was genau der Hessische Datenschützer dort geprüft hat bzw. prüfen konnte. Bekanntlich besitzt die PayDirekt keine eigene IT, sondern läßt alle Anwendungen extern hosten. D.h. die Registrierungsdaten liegen dann u.U. bei einem externen Call-Center Betreiber in Norddeutschland mit ggfs. weiteren Unterdienstleistern? Häufig ist aber die Praxis, dass bei einer Datenschutzprüfung das Prüfungsmandat nicht auf die weiteren Unter- und Unter-Unter-Dienstleister erweitert wird, sondern es genügt in der Regel eine Dokument, in dem sich der Dienstleister verpflichtet alle Gesetze einzuhalten. Aber: ob dies tatsächlich so ist, bleibt ungeprüft. Gleiches gilt dann wieder für den Dienstleister des Dienstleister, der sich ebenfalls über ein Stück Papier exkulpiert. Und: Ich möchte den Geschäftsführer einer GmbH sehen, der sich weigert, ein Dokument zu untertschreiben, dass er alle Gesetze einhält.
Gleiches träfe auch auf die Zahlungsdaten zu, die dann ggfs. in einem RZ in Mittelfranken liegen mögen, bzw. diversen dort angeschlossenen RZs und Unter-RZs. Die Frage ist, ob die sogenannte „Komfortregistrierung“ tatsächlich etwas mit der PayDirekt zu tun hat. Gffs. wäre die PayDirekt juristisch betroffen und die technische (Un)Sicherheit läge ganz woanders.
An dem zugrunde liegenden Webfehler (Web… von weben) ändert auch die (rein) juristische Frage, ob die Komfortregistrierung rechtens ist, nichts. Die PayDirekt ist bekanntlich nicht aufgrund eines Marktbedarfes entstanden. Sondern weil die deutschen Banken für die Händler und Kunden entscheiden möchten, ob es nicht für alle besser wäre, wenn in Deutschland über ein Bezahlsystem in Regie der deutschen Kreditwirtschaft bezahlt würde. Dafür bezahlt man aber einen Preis. Nämlich, dass man u.U. die Daten einer IT-Infrastruktur einigermaßen unbekannter Provenienz anvertraut. Der Name PayDirekt an der Tür würde daran nichts ändern.
Legt man einmal zugrunde, dass sich die Daten, die ein mittelständisches Unternehmen typischerweise verarbeitet, schnell über 25 – 30 Rechenzentren verteilen können, wird das Problem deutlich. Für Großkonzerne ist die Anzahl der datenhaltenden RZs kaum noch überschaubar. Das betrifft Transaktionsdaten, Kontendaten, Benutzerdaten, Authentifizierungsdaten, Logdaten, Monitoringdaten, sowie Auswertungen, Archivierungen und Backups dazu, auf diversen Elementen der Infrastruktur wie z.B. Webserver, Firewall, Backend mit jeweils eigenen Datenbanken und Backups, zur Ausfallsicherheit jeweils gespiegelt in 2 RZs. Wenn sich diese Elemente auf die Sub-Sub-Strukturen diverser RZ-Betreiber verteilen, wäre ein Testat für eine rein vertraglich verbundene GmbH an der Spitze von zweifelhaftem Wert.
Es wäre zu begrüßen, wenn die kolportierte Finanzspritze verwendet würde, auch technisch etwas dickere Bretter zu bohren. Falsch wäre es, wenn man mit der Praxis fortführe, Händlertransaktionen mit viel Geld zu kaufen, wie Berichten nach bei Otto geschehen. Das ginge nur solange gut, wie man das Geld hat sich die Händler gewogen zu halten. Da wären 300 Mio. nicht viel, bis sich das Marktgleichgewicht wieder einstellt. Und eines sollten Banken wissen: niemals gegen den Markt wetten.
Die Datenschutzbeauftragten sollten allesamt entlassen werden!!! Noch Sparkassenkunden empfehle ich dringends die Bank zu wechseln, damit die Arschlöxxer mal mitbekommen, dass man so nicht mit Kunden umzugehen hat! Ach ja die ScheiXX-Sparkassen registrieren auch Nicht-Online-Banking-Kunden für Paydirekt! Was habt Ihr geraucht Ihren oberdummen geldgeilen Saftsäcke!!!