sb - Mit dem Thema Datenschutz im Zahlungsverkehr ist ein großes Fass aufgemacht worden. Das hat Thilo Weichert, der Landesbeauftragte für Datenschutz Schleswig-Holstein, auf der Payment World 2010 mehr als deutlich gemacht.
Bei ELV geht es im Kern um die Frage, ob die verarbeiteten Daten personenbezogene Daten sind. Wird dies bejaht, und darauf haben sich die Landesdatenschutzbehör den am 12. Oktober bereits geeinigt, er gibt sich daraus eine ganze Reihe von Fragen.
Sowohl bei der Offline- als auch bei der Onlinevariante wird die Zulässigkeit der Sperrdateiübermittlung beziehungsweise des Abgleichs gegen eine Sperrdatei infrage gestellt. Pikanterweise gerät dabei sogar das in Zusammenarbeit mit den Polizeibehörden entwickelte System Kuno in Verdacht, gegen geltendes Datenschutzrecht zu verstoßen. Keine Rechtsgrundlage gebe es deshalb für vom System gegebene Zahlungswegeempfehlungen auf Basis der gespeicherten Transaktionen. Denn hier werde der Netzbetreiber als Auskunftei tätig und müsste entsprechende Auflagen erfüllen, die in der Datenschutznovelle festgeschrieben wurden. Beispielsweise müssten die Ergebnisse gegenüber dem Kunden beauskunftungsfähig sein. Auch wäre die Datenübertragung nach zweimaligem Mahnen und einer Wartezeit zulässig. Dass diese Anforderungen in der Praxis nicht erfüllt werden können und der Versuch des Gesetzgebers, bestehende Datenschutzprobleme zu lösen, nicht unbedingt konstruktiv war, räumt Weichert dabei durchaus ein. In der Sache ändere dies aber nichts. Besonders viele rechtliche Probleme gebe es schließlich dann, wenn der Netzbetreiber eine Zahlungsgarantie anbietet. Das wäre dann Factoring, und hier greift das Bankrecht, das mit dem Datenschutzrecht nicht konform sei. Als Fazit kommt Weichert zu dem Schluss, dass beim ELV sämtliche Transaktionen fragwürdig sind.
Ende für ELV?
Die Anforderungen, die ein datenschutzrechtskonformes ELV ihm zufolge erfüllen müssten, sind nicht unbedingt praxisnah: Die Einwilligungserklärung wäre vor Beginn der Datenverarbeitung zu unterschreiben und müsste widerrufen werden können. Auch müsste die Frage der Freiwilligkeit geklärt werden: Denn nach Einschätzung Weicherts ist das bloße Zücken der Karte nicht gleichbedeutend mit der Bereitschaft, die Daten verarbeiten zu lassen.
Um sich kurzfristig aus der Bredouille zu ziehen, könnten die Dienstleister mit jedem Kunden eine "Auftragsdatenverarbeitung" vereinbaren, so der Vorschlag. Das aber hieße: Die händlerübergreifenden Sperrdateien dürfen nicht mehr genutzt werden. Namentlich für kleinere Händler wäre eine Bonitätsprüfung damit kaum noch möglich. Damit wäre ELV vermutlich praktisch am Ende.
BaFin ohne datenschutzrechtliche Sensibilität
Euphorie bei der Kreditwirtschaft ist gleichwohl nicht angesagt. Denn nicht nur, dass eine solche Entwicklung das Bundeskar tellamt auf den Plan rufen könnte: Auch das PIN-gestützte Verfahren wird von Datenschützern zunehmend kritisch bewertet. Und die Frage, wie es mit den Fraud-Ma-nagement-Systemen im Kreditkartenbereich aussieht, ist noch gar nicht beantwortet. Denn auch hier könnte man bei der Suche nach Betrugsmustern die Erstellung von "Bewegungsprofilen" der Karteninhaber unterstellen. Letztlich macht Weichert deutlich: Mit Blick auf den Datenschutz kann kein elektronisches Zahlungssystem so bleiben, wie es heute besteht. "Barzahlungen sind datenschutzkonform", so seine Antwort auf eine entsprechende Frage. Der Vorwurf geht nicht zuletzt an die BaFin, die "keinerlei datenschutzrechtliche Sensibilität" habe.
Ein schwacher Trost bleibt: Weichert gilt als einer der radikaleren Datenschützer in Deutschland. Da sich die Datenschutzbehörden der Länder darauf verständigt haben, eine einheitliche Rechtsauffassung zu der Thematik zu erarbeiten, wird die eine oder andere Position also vermutlich letztlich noch abgeschwächt werden. Doch auch dann darf man davon ausgehen, dass Änderungsbedarf entsteht. Und allein das ist für eine davon in jüngster Zeit schon genügend gebeutelte Branche schon eine schlechte Nachricht. Die entstehende Unsicherheit macht strategische Entscheidungen für alle Beteiligten nicht einfacher, und das ist der Wettbewerbsfähigkeit im Sepa-Umfeld nicht unbedingt zuträglich. Dass die deutsche Datenschutznovelle letztlich nur europäisches Recht umsetzt, ist da nur ein schwacher Trost. Denn wenn Weichert feststellt: "Wenn datenschutzrechtliche Problem auftauchen, dann tauchen sie in Deutschland zuerst auf", dann zeigt dies, dass man in anderen Ländern manches lockerer sieht. Es bleibt also nur zu hoffen, dass die Dinge hierzulande nicht unnötig erschwert werden.