Neues zum Datenschutzrecht
17.9.2021
Speicherung von Kreditkartendaten zur Erleichterung weiterer Online-Transaktionen
Werden Kreditkartendaten im Online-Handel und im sonstigen Wirtschaftsverkehr ausschließlich zur Erleichterung weiterer Transaktionen gespeichert, bedarf es nach Ansicht des Europäischen Datenschutzausschusses (EDSA) einer Einwilligung der betroffenen Person. Darauf weist der EDSA, der sich aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammensetzt, in seinen Empfehlungen zur Rechtsgrundlage für die Speicherung von Kreditkartendaten ausschließlich zum Zweck der Erleichterung weiterer Online-Transaktionen v. 19. Mai 2021 hin.
Der EDSA geht explizit davon aus, dass einzig eine Einwilligung als Rechtsgrundlage in Betracht kommt. Alle anderen in Art. 6 Abs. 1 DSGVO genannten Grundlagen werden ausdrücklich ausgeschlossen. Das gilt nicht nur für Art. 6 Abs. 1 Buchstabe b DSGVO, weil die in Frage stehende Datenspeicherung im Anschluss an eine Transaktion zur Erleichterung weiterer Käufe gerade nicht als für die Erfüllung des Vertrags, bei dem die betroffene Person bereits die Zahlung geleistet hat, unbedingt erforderlich angesehen werden kann.
Allerdings sieht der EDSA auch In Art. 6 Abs. 1 Buchstabe f DSGVO keine geeignete Rechtsgrundlage. Er stellt bereits die Erforderlichkeit der Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen in Frage. Jedenfalls überwiegen die Interessen und Grundrechte der betroffenen Personen das berechtigte Interesse des Verantwortlichen. Hierbei betont der EDSA, dass Kreditkartendaten als „vertrauliche personenbezogene Daten“ einzustufen sind, deren Verletzung mit ernsthaften Konsequenzen für die betroffenen Personen einhergeht. Das Risiko einer solchen Verletzung steige mit der Verarbeitung. Zudem gehen die betroffenen Personen nach – insoweit zutreffender – Ansicht des EDSA zum Zeitpunkt eines konkreten Kaufs oder der Inanspruchnahme einer einmaligen Dienstleistung bei der Bereitstellung ihrer Kreditkartendaten für die Zahlung nicht davon aus, dass diese Daten länger gespeichert werden, als es für die Abwicklung des Bezahlvorgangs und des zugrundeliegenden Geschäfts erforderlich ist.
Wichtig
Die Empfehlungen und darin veröffentlichte Ansicht des EDSA betrifft einzig den Fall der Speicherung von Kreditkartendaten, um weitere Transaktionen zu erleichtern. Davon zu trennen sind andere Zwecke wie die Erfüllung einer rechtlichen Verpflichtung oder die Einrichtung einer wiederkehrenden Zahlung im Rahmen eines Vertrags über eine fortlaufende Leistungserbringung oder langfristige Dienstleistung wie das Abonnement eines Musik- oder Film-Streaming-Dienstes. Hier kommen andere Rechtsgrundlagen wie Art. 6 Abs. 1 Buchstabe b DSGVO (Erforderlichkeit zur Vertragserfüllung) zum Tragen. Ebenso thematisieren die Empfehlungen des EDSA nicht die Speicherung von Kreditkartendaten durch Zahlungsinstitute oder Behörden. Daher ist – wie bei jeder Empfehlung oder Leitlinie des EDSA sorgfältig auf die jeweils umfasste Konstellation zu achten.
Sollten Sie Fragen zur Speicherung von Kreditkartendaten oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht