Datenschutzkonforme Einbindung von Zahlungsdienstleistern in Websites und Apps
10. Juni 2024
Die Einbindung von Zahlungsdienstleistern in Websites und Apps stellt eine besondere Herausforderung für den Datenschutz dar. Der 24. Tätigkeitsbericht des Landesbeauftragten für Datenschutz (LfD) Sachsen 2023, veröffentlicht am 24.04.2024, zeigt, dass häufig Beschwerden über die Übermittlung von Nutzungsdaten an Zahlungsdienstleister und das Setzen zahlreicher Cookies eingereicht werden. Diese Beschwerden waren in vielen Fällen berechtigt und verdeutlichen die Notwendigkeit, die Einbindung von Zahlungsdienstleistern datenschutzkonform zu gestalten.
Anforderungen der Datenschutz-Grundverordnung (DS-GVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG)
Einwilligung und Transparenz
Die DS-GVO und das TDDDG stellen klare Anforderungen an die Verarbeitung personenbezogener Daten. Eine Einwilligung der Nutzer ist erforderlich, bevor personenbezogene Daten an Zahlungsdienstleister übermittelt oder Cookies gesetzt werden. Passives Verhalten, wie das bloße Navigieren auf der Website, reicht nicht aus. Stattdessen müssen Nutzer aktiv zustimmen, bevor Daten verarbeitet werden dürfen.
Herausforderungen bei der Einwilligung
Die Praxis zeigt, dass die Einbindung von Zahlungsdienstleistern in Cookie-Banner und die Abfrage einer Einwilligung oft problematisch ist. Eine einfache Möglichkeit, alle einwilligungsbedürftigen Datenverarbeitungen abzulehnen, muss gegeben sein. Wenn Nutzer jedoch die Einwilligung verweigern, kann dies dazu führen, dass die Bezahlung nicht möglich ist. Dies ist weder im Interesse der Händler noch der Kunden.
Berechtigtes Interesse
Die Alternative, alle Zahlungsdienstleister als erforderlich im Sinne eines berechtigten Interesses nach Art. 6 Abs. 1 Buchst. f DS-GVO zu erklären, hält keiner datenschutzrechtlichen Prüfung stand. Die Übermittlung von Daten an Dritte zum Zweck der Zahlungsabwicklung ist beim bloßen Besuch eines Online-Shops nicht erforderlich und kann daher nicht auf berechtigtes Interesse gestützt werden.
Spezifische Anforderungen des TDDDG
Das TDDDG legt fest, dass Cookies und ähnliche Technologien nur mit ausdrücklicher Einwilligung der Nutzer gesetzt werden dürfen, es sei denn, es liegt eine aktive Auswahl der Zahlungsart und des Zahlungsdienstleisters durch den Kunden vor. Ohne diese Einwilligung ist das Setzen von Cookies und die Übermittlung von Daten unzulässig.
Empfehlungen für Online-Shops
1. Transparente Einwilligung einholen:
Stellen Sie sicher, dass Nutzer aktiv zustimmen, bevor Daten an Zahlungsdienstleister übermittelt oder Cookies gesetzt werden. Informieren Sie die Nutzer klar und verständlich über die Datenverarbeitung.
2. Cookie-Banner korrekt gestalten:
Integrieren Sie Zahlungsdienstleister in Ihr Cookie-Banner und bieten Sie eine einfache Möglichkeit, alle einwilligungsbedürftigen Datenverarbeitungen abzulehnen.
3. Vermeidung des berechtigten Interesses:
Vermeiden Sie es, die Einbindung von Zahlungsdienstleistern auf berechtigtes Interesse zu stützen. Die Übermittlung von Daten an Dritte muss stets durch eine ausdrückliche Einwilligung des Nutzers gedeckt sein.
4. Auswahlmöglichkeit des Zahlungsdienstleisters:
Im Rahmen des Bestellvorgang kann der Nutzer seinen Zahlungsdienst auswählen, was dann als Einwilligung für den jeweiligen Dienst gewertet werden kann. Dann braucht es keiner zusätzlichen Einwilligung im CMP.
Unterstützung durch unsere Kanzlei
Unsere Kanzlei ist auf Onlinerecht spezialisiert und verfügt über Fachanwälte im IT-Recht, die Ihnen helfen können, Ihre Webseite und App datenschutzkonform zu gestalten. Wir unterstützen Sie bei der Implementierung eines effektiven Datenschutzmanagements und stellen sicher, dass Ihre Prozesse den gesetzlichen Anforderungen entsprechen. Kontaktieren Sie uns für eine individuelle Beratung und vermeiden Sie rechtliche Fallstricke.