Wie ist das Elektronische Lastschriftverfahren aus Ihrer Sicht grundsätzlich zu bewerten?
Nach Auffassung des Landesamtes für Datenschutzaufsicht (LDA) Bayern können die wesentlichen Geschäftsprozesse im Rahmen des Elektronischen Lastschriftverfahrens - soweit uns diese bekannt sind, insbesondere wie sie uns seitens der Unternehmen dargestellt wurden - in datenschutzrechtlicher Hinsicht bei Beachtung bestimmter Erfordernisse dem Grunde nach auf bestehende Rechtsvorschriften gestützt werden. Entscheidende Bedeutung kommt dabei in jedem Falle einer klaren und transparenten Information der Kunden über alle wesentlichen Verarbeitungsschritte bezogen auf ihre personenbezogenen Daten zu.
Die deutschen Datenschutzaufsichtsbehörden haben auch über die Frage diskutiert, ob die Umgänge mit personenbezogenen Daten im ELV möglicherweise auf datenschutzrechtliche Einwilligungen der Kunden gestützt werden könnten. Insoweit sind die beteiligten Aufsichtsbehörden zu dem Ergebnis gekommen, dass dies angesichts der Vielzahl der Datenverarbeitungsschritte im ELV nicht in Betracht kommt, da dem Kunden an der Kasse nicht genügend Zeit zur Verfügung steht, um in alle maßgeblichen Datenumgänge so fundiert Einblick zu gewinnen, dass tatsächlich von einer bewussten, informierten und damit wirksamen datenschutzrechtlichen Einwilligung ausgegangen werden könnte. Aus diesem Grund kommt es entscheidend auf die Frage an, ob die im ELV derzeit praktizierten Umgänge mit personenbezogenen Daten auf gesetzliche Vorschriften gestützt werden können.
Wie ist es zu erklären, dass die Rechtslage im Hinblick auf das Lastschriftverfahren so unterschiedlich bewertet wird?
Die gesetzlichen Regelungen zum Schutz personenbezogener Daten stellen häufig auf eine Abwägung zwischen berechtigten - in der Regel geschäftlichen - Interessen der datenverarbeitenden Stellen und den Interessen der Betroffenen (im vorliegenden Fall der Kunden) am Unterbleiben der Verarbeitung ihrer personenbezogenen Daten ab. Bei derartigen Abwägungsentscheidungen liegt es in der Natur der Sache, dass man für bestimmte Verfahren im Einzelfall zu unterschiedlichen Abwägungsergebnissen gelangen kann. Dies ist auch keine Besonderheit des Datenschutzrechts, sondern findet sich ebenso bei der Anwendung von Rechtsvorschriften aus anderen Bereichen, die Abwägungsentscheidungen erfordern.
Wer sind die "Hardliner" in dieser Frage?
Eine Einteilung in "Hardliner" und sonstige Akteure ist verfehlt. Vielmehr bestehen zum Teil unterschiedliche Ergebnisse im Rahmen der Abwägung zwischen den berechtigten Interessen der Unternehmen - insbesondere dem Interesse, Zahlungsausfälle im ELV zu verhindern - und dem allgemeinen Interesse von Kunden, dass mit ihren personenbezogenen Daten in so geringem Umfang wie möglich umgegangen wird.
Eine weitere Frage, die unterschiedlich beurteilt wird, ist, inwieweit die vom Gesetzgeber mit Wirkung zum 01. September 2009 in Kraft gesetzten besonderen Erfordernisse an Übermittlungen personenbezogener Daten über Forderungen an Auskunfteien - dies ist die Vorschrift des § 28 a Absatz 1 Bundesdatenschutzgesetz - auf die Übermittlung von Daten über Rücklastschriften an einen Netzbetreiber anzuwenden sind, der insoweit für mehrere Händler ("händlerübergreifend") tätig ist.
Aus Sicht des LDA Bayern sind die sehr engen Voraussetzungen dieser Vor schrift auf das ELV jedenfalls nicht zugeschnitten; auch ist die Interessen- und datenschutzrechtliche Gefährdungslage bei der händlerübergreifenden Speicherung und Nutzung von Rücklastschriftdaten nach unserer Auffassung wohl nicht mit derjenigen bei der Übermittlung von Informationen über Zahlungsausfälle an "klassische" Auskunfteien vergleichbar. Denn beim ELV bleiben die Rücklastschriftinformationen letztlich "im System" ELV. Dies muss in der Praxis durch die Netzbetreiber allerdings auch sichergestellt wer den, sodass etwa keine Weitergabe solcher Daten an Auskunfteien stattfinden darf. Andere Aufsichtsbehörden kommen bei der Frage der Anwendung des § 28 a BDSG zu einem anderen Ergebnis und sehen schon aus diesem Grund keine Möglichkeit, Rücklastschriftdaten in datenschutzrechtskonformer Weise zentral bei einem Netzbetreiber zu speichern.
Aus Sicht des LDA Bayern ist bei der datenschutzrechtlichen Bewertung des ELV auch zu berücksichtigen, dass das ELV durchaus ein Konkurrenzverfahren zu anderen Zahlungsmethoden ist - etwa zu der Zahlung mit ec-Karte und PIN. Jedes dieser Verfahren hat seine spezifischen datenschutzrechtlichen Implikationen und auch Risiken, allerdings ist es auch aus unserer Sicht grundsätzlich positiv und, etwa unter Kostengesichtspunkten, auch im Kundeninteresse, wenn mehrere konkurrierende Verfahren zur Verfügung stehen, solange diese datenschutzrechtskonform ausgestaltet werden.
An welcher Stelle unterscheidet sich Ihre Sicht zum Beispiel von der des ULD Schleswig -Holstein?
Unterschiedliche Sichtweisen gibt es insbesondere in der Frage, inwieweit Informationen über sogenannte Rücklastschriften - das heißt, über nicht eingelöste oder aber widerrufene Lastschriften - an eine zentrale Stelle, insbesondere einen Netzbetreiber, übermittelt, dort gespeichert und zur Erteilung händlerübergreifender Zahlungswegeempfehlungen im Rahmen des ELV genutzt werden dürfen. Gleiches gilt für die händlerübergreifende Speicherung und Nutzung sogenannter Positivdaten (im Wesentlichen von Kontonummer, Bankleitzahl, Transaktionsbetrag, Zeit und Ort der Zahlung) bei Netzbetreibern. Hier vertreten einige Aufsichtsbehörden die Auffassung, dass solche händlerübergreifenden Datenumgänge nicht mehr auf geltende gesetzliche Vorschriften gestützt werden können, andererseits aber angesichts der Zeitknappheit an der Kasse auch keine datenschutzrechtlich wirksamen Einwilligungen der Kunden eingeholt werden können. Das LDA Bayern und andere Aufsichtsbehörden, insbesondere auch diejenigen, in deren Zuständigkeitsbereich die bekannten Netzbetreiber ihren Sitz haben, bewerten diese Datenumgänge bei Einhaltung bestimmter Rahmenbedingungen so, dass sie auf geltende Rechtsvorschriften gestützt werden können.
Im Mai hat der Düsseldorfer Kreis nur einen Teilkompromiss einiger Bundesländer erreicht. Demnach ist die Speicherung und Nutzung von Positiv- und Rücklastschriftdaten aus eigenen Kundenkontakten des Händlers für Zwecke der Missbrauchsbekämpfung, Limitsteuerung und Verhinderung von Zahlungsausfällen zulässig. Wie wird diese Einschätzung begründet?
Die Speicherung und Nutzung von Positivdaten und Rücklastschriftdaten (außer in Fällen, in denen der Kunde durch den Widerruf der Lastschrift Rechte aus dem zugrunde liegenden Geschäft geltend macht, zum Beispiel wegen eines Sachmangels bei einem Kauf) aus eigenen Kundenkontakten des Händlers kann aufgrund berechtigter Interessen des Händlers zunächst dann zulässig sein, wenn der Händler diese Daten bei sich selbst speichert.
Als legitimer Zweck der Datenverarbeitung und -nutzung kommt neben der Bekämpfung von Zahlungsausfällen, insbesondere durch Kartenmissbrauch, auch die Steuerung von ELV-Zahlungshöchstbeträgen für die einzelne ec-Karte innerhalb bestimmter Zeiträume in Betracht. Es macht grundsätzlich keinen entscheidenden Unterschied, wenn der Händler diese Speicherung nicht selbst vornimmt, sondern sich hierfür eines Dienstleisters, insbesondere eines Netzbetreibers, bedient, jedenfalls dann nicht, wenn die vom Händler stammenden Daten aus ELV-Transaktionen beim Dienstleister nicht mit Daten zusammengeführt werden, die von anderen Händlern stammen. Nach Ansicht einiger Aufsichtsbehörden soll aber auch in dieser Konstellation die Einschaltung des Dritten nur dann zulässig sein, wenn der Dienstleister als Auftragsdatenverarbeiter agiert, also streng weisungsgebunden ist. Nach wohl überwiegender Auffassung unter den Aufsichtsbehörden wird es aber auch akzeptiert, wenn der Dienstleister als eigene verantwortliche Stelle im datenschutzrechtlichen Sinne tätig wird.
Was ist bei der Verwendung händlerübergreifender Daten zu beachten? Und wann dürfen Positivdaten verwendet werden?
Nach Auffassung des LDA Bayern sind an händlerübergreifende Verarbeitungen und Nutzungen personenbezogener Daten im ELV erhöhte Anforderungen zu stellen. Soweit es um Rücklastschriftdaten geht, ist grundsätzlich aber auch ein berechtigtes Interesse des Handels anzuerkennen, sich vor Zahlungsausfällen im ELV bei künftigen Zahlungen zu schützen. Allerdings muss die Information über eine Rücklastschrift gelöscht werden, sobald die zugrunde liegende Forderung beglichen wurde.
Von vornherein nicht gespeichert werden darf beziehungsweise umgehend gelöscht werden muss der Eintrag in Fällen, in denen der Kunde durch Widerruf der Lastschrift Rechte aus dem zugrunde liegenden Geschäft (etwa einen Sachmangel bei einem Kauf) geltend macht. Diese Möglichkeit soll dem Kunden nicht genommen werden, daher ist in diesen Fällen das Interesse des Kunden am Unterbleiben der Verarbeitung und Nutzung der Rücklastschriftinformation höher zu gewichten.
Soweit es um Positivdaten geht, kann eine händlerübergreifende Speicherung und Nutzung nur in sehr engen Grenzen als vertretbar angesehen werden. Als berechtigtes Interesse des Handels ist hier die Bekämpfung von Kartenmissbrauch - und damit letztlich wiederum die Verhinderung von Zahlungsausfällen infolge späterer Lastschriftwiderrufe oder aber infolge mangelnder Kontodeckung - anzuerkennen. Kartenmissbrauch kann nach den Darstellungen der Wirtschaft insbesondere anhand bestimmter charakteristischer Kartennutzungsmuster erkannt werden.
Allerdings werden insoweit auch Kartennutzungen erfasst, denen keine Missbrauchsmotivation zugrunde liegt. Daher kann im Rahmen der Interessenabwägung eine solche händlerübergreifende Speicherung und Nutzung nach unserer Bewertung lediglich in einem sehr engen Rahmen im Ergebnis nur wenige Tage lang - im Rahmen der Interessenabwägung als vertretbar angesehen werden.
Ein Händler darf nach Bewertung des LDA Bayern - und insoweit wohl allgemeiner Bewertung der Aufsichtsbehörden - zum Zwecke der Bekämpfung von Kartenmissbrauch, aber auch zur Steuerung von Zahlungshöchstbeträgen im Lastschriftverfahren bestimmte Positivdaten, die aus seinen eigenen Kundenkontakten stammen, grundsätzlich für eine gewisse Zeit speichern.
Was ist mit dem Kompromiss der Länder Bayern, Hessen und Nordrhein-Westfalen für Händler und ihre Dienstleister gewonnen?
Nachdem im vergangenen Jahr in Teilen der Presse und auch etwa seitens des Bundesverbandes der Verbraucherzentralen heftige Kritik am Elektronischen Lastschriftverfahren geäußert wurde, war es selbstverständlich, dass die Datenschutzaufsichtsbehörden die derzeit im ELV praktizierten Verfahren einer aktuellen Bestandaufnahme unter spezifisch datenschutzrechtlichen Gesichtspunkten unterziehen. Dies gilt umso mehr, als sich die Verfahren im ELV - in technischer Hinsicht und auch bezogen auf den Umfang des Umgangs mit personenbezogenen Daten -ständig weiterentwickeln.
Es liegt im Interesse aller Beteiligten, so weit wie möglich Klarheit über die datenschutzrechtlichen Anforderungen und die entsprechenden Positionen der zuständigen Aufsichtsbehörden zu gewinnen. Das Bestreben des LDA Bayern war es deshalb, angesichts der öffentlichen Kritik so rasch wie möglich eine Meinungsbildung unter den Datenschutzaufsichtsbehörden herbeizuführen. Deshalb hat das LDA Bayern 2010 sehr zeitnah nach Beginn der öffentlichen Diskussion die Gründung einer entsprechenden Arbeitsgruppe des Düsseldorfer Kreises angeregt.
Dass derzeit noch nicht in allen Einzelfragen einheitliche Auffassungen erzielt wer den konnten, liegt nicht zuletzt daran, dass sich die Verfahren ständig weiterentwickeln und damit ständig neue datenschutzrechtliche Fragestellungen aufwerfen. Es liegt in der Natur der Sache, dass die datenschutzrechtliche Diskussion und Meinungsbildung eine gewisse Zeit in Anspruch nimmt. Dies ist auch bei anderen datenschutzrechtlichen Themen, etwa im Zusammenhang mit dem Internet, in ähnlicher Weise zu beobachten.
Was bedeutet das für Händler, die in mehreren Bundesländern tätig sind, beziehungsweise deren Netzbetreiber? Müssen jetzt länderspezifische Geschäftsbedingungen/Vorgangsweisen eingeführt werden? Welche praktikable Lösung sehen Sie?
Letztlich kann den Unternehmen gegenwärtig nur empfohlen werden, mit den Aufsichtsbehörden, in deren Zuständigkeitsbereich sie geschäftliche Aktivitäten entfalten, in Kontakt zu treten und die dortige Haltung konkret zu erfragen.
Diejenigen Aufsichtsbehörden, in deren Zuständigkeitsbereich die bekannten deutschen Netzbetreiber ihren Sitz haben und die sich auf eine gemeinsame datenschutzrechtliche Position geeinigt haben, haben vereinbart, dass die jeweilige Aufsichtsbehörde Kontakt zu den ELV-Netzbetreibern in ihrem Zuständigkeitsbereich aufnehmen und anhand der dort konkret zum Einsatz kommenden Verfahren für die Umsetzung der erarbeiteten gemeinsamen datenschutzrechtlichen Position dieser Aufsichtsbehörden sorgen wird. Das LDA Bayern hat aber sowohl den Handel als auch die Netzbetreiber darauf hingewiesen, dass die datenschutzaufsichtliche Zuständigkeit für jedes Bundesland bei der jeweiligen dortigen Aufsichtsbehörde liegt; wir empfehlen daher den Unternehmen, mit den für sie jeweils relevanten Aufsichtsbehörden aktiv in Kontakt zu treten.
Welche Chancen sehen Sie für eine Einigung der Datenschutzbehörden aller Bundesländer?
Es bleibt abzuwarten, wie sich die Diskussion weiterentwickelt. Eine Prognose insoweit abzugeben, ist derzeit indessen schwierig.
Sollte es zu keiner Einigung kommen - wäre dann der Gesetzgeber am Zug? Oder wäre dann der Fortbestand des Lastschriftverfahrens grundsätzlich gefährdet?
Grundsätzlich wäre es auch denkbar, dass die Wirtschaft (wenn sie die aktuellen Verfahren im ELV angesichts der Diskussionslage unter den Datenschutzaufsichtsbehörden als zu risikobehaftet ansehen sollte) alternative Verfahrensgestaltungen entwickelt. Insoweit können wir uns vorstellen, dass gerade diejenigen Aufsichtsbehörden, die strengere Anforderungen an das ELV stellen, für neue Vorschläge offen sind. Von Seiten des LDA Bayern werden wir uns jedenfalls bemühen, mit den Aufsichtsbehörden, die unsere Rechtsauffassung nicht teilen, eine Klärung der Konsequenzen der derzeit unterschiedlichen aufsichtsbehördlichen Positionen für die betroffenen Akteure in der Praxis herbeizuführen.