Key Take aways
- Bei der Auswahl eines Dienstleisters zur Abwicklung von Zahlungen und zur Bonitätsprüfung sind die vertraglichen Modalitäten festzulegen
- Die tatsächlichen datenschutzrechtlichen Verantwortlichkeiten sind genau zu überprüfen
- Vor Aufnahme der Tätigkeit durch den Dienstleister sollte der unterschriebene Vertrag vorliegen
Wie bereits in dem Blogbeitrag von David Schmidt „Datenschutz im Online-Handel – Was müssen Webshop-Betreiber beachten?“ erwähnt, ist die Einbindung von Zahlungsdiensteanbietern auch im Bereich des Online-Handels mit datenschutzrechtlichen Anforderungen verbunden.
Natürlich ist uns allen der Bestellprozess beim Online-Handel geläufig. Nachdem wir unsere Waren in den Warenkorb gelegt haben, erfolgt als nächste Angabe die unseres Lieferortes und dann auch die Auswahl der Zahlungsart. Dabei wird nach einer Studie des E-Commerce Center (ECC) Köln aus dem Jahr 2021 der Studie „Payment im E-Commerce“ zwischen den typischen vier Zahlarten Rechnung, Lastschrift, Karte oder PayPal unterschieden. Den größten Teil der Bezahlung im Internet macht dabei die Rechnung aus. Bei Konsumenten unter 30 Jahren kennen bzw. nutzen durchschnittlich 86 Prozent den Kauf auf Rechnung. Bei Konsumenten über 50 Jahren sind es sogar 95 Prozent. Für den Online-Händler ergibt sich daraus natürlich ein Risiko, dass der Kunde nach Erhalt der Lieferung die Rechnung nicht bezahlen wird oder der Händler einem Betrüger aufgesessen ist. Laut der ECC-Studie sind bereits 40 Prozent der Online-Händler Opfer von Betrügern geworden.
Um das Risiko zu minimieren, nutzen viele Betreiber von Web-Shops bereits die Unterstützung von Zahlungsdiensteanbietern. Das reicht von der einfachen Bonitätsprüfung oder das Inkasso bis zum kompletten Factoring. Zur Bonitätsprüfung hat unser Kollege Tim Taschau vor einiger Zeit schon berichtet.
Um das Risiko für den Forderungsausfall bereits im Vorfeld zu reduzieren, werden in Online-Shops häufig die Zahlungsarten in Abhängigkeit des Ausfallsrisikos angeboten. Dabei unterscheidet man zwei Arten der Zahlartensteuerung, passive und aktive Zahlartensteuerung.
Passive Zahlartensteuerung
Bei der passiven Zahlartensteuerung erfolgt die Überprüfung des Käufers erst, nachdem dieser die Zahlungsart seiner Wahl ausgewählt hat. Ergibt sich eine zu hohe Ausfallwahrscheinlichkeit, durch die Auswahl einer für den Händler unsicheren Zahlart, wie z.B. die Rechnung dann wird der Kunde gebeten, sich für eine andere Zahlungsart zu entscheiden. Von der Prüfung der Kreditwürdigkeit bekommt der Kunde nichts mit, da der Prozess im Hintergrund läuft und in wenigen Sekunden abgeschlossen ist. Bei der passiven Zahlartensteuerung besteht die Gefahr, dass der Kunde den Kauf abbricht und ein negatives Kauferlebnis hat, wenn die gewünschte Zahlungsart nicht zur Verfügung steht. Rund 57 Prozent der befragten Online-Händler an der EHI-Studie „Online-Payment 2019“, gaben an, die passive Zahlartensteuerung einzusetzen. Datenschutzrechtlich lässt sich die passive Zahlartensteuerung über die Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO legitimieren. So lässt der Erwägungsgrund 47 Satz 6 die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang ausdrücklich im Rahmen der Interessenabwägung zu.
Aktive Zahlartensteuerung
Die aktive Zahlartensteuerung setzt einen Schritt vorher an, denn sie steuert im Vorfeld, welche Zahlarten dem Kunden überhaupt angezeigt werden. Auf Basis einer im Hintergrund laufenden Echtzeitprüfung wird die Auswahl der Zahlart für jeden Kunden individuell getroffen. Spezialisierte Dienstleister bieten Schnittstellen zu einer große Palette an Auskunfteien an, denn dies erhöht die Verlässlichkeit der Informationen. Da hier in jedem Fall eine Bonitätsprüfung durchgeführt wird, unabhängig von der ausgewählten Zahlart, ist die Verarbeitung nicht über die Interessenwägung zulässig. So hat die Berliner Datenschutzaufsichtsbehörde bereits in ihrem Tätigkeitsbericht aus dem Jahr 2016 festgestellt, dass eine Bonitätsabfrage im Rahmen eines Online-Bestellvorgangs nur dann zulässig ist, „wenn die durch die Verbraucherin oder den Verbraucher ausgewählte Zahlungsart tatsächlich ein Ausfallrisiko mit sich bringt. Diese Zahlungsarten müssen deutlich gekennzeichnet und die Konsequenzen für die Kundinnen und Kunden ausreichend transparent gemacht werden. Erst wenn die Kundin oder der Kunde sich nach vollständiger und transparenter Information für eine Zahlungsart mit nachgelagerter Zahlung (z. B. Kauf auf Rechnung) und damit für eine Zahlungsart mit kreditorischem Risiko entscheidet, kann eine Bonitätsabfrage als erforderlich und damit zulässig angesehen werden.“
Die aktive Zahlartensteuerung ist somit nur mit der Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit den Anforderungen an die Einwilligung nach Art. 7 DSGVO zulässig.
Factoring
Beim Factoring, dem Verkauf der Forderung an ein anderes Unternehmen, stellt sich auch die Frage nach der datenschutzrechtlichen Verantwortlichkeit. Die „klassischen“ Bonitätsprüfung, also die Risikoprüfung, ob im Rahmen der aktiven oder der passiven Zahlartensteuerung kann als eine Verarbeitung im Auftrag angesehen werden. Der Dienstleister verarbeitet die Daten nur entsprechend den Weisungen des Verantwortlichen. Für die Rechtmäßigkeit der Verarbeitung und die Wahrung der Betroffenenrechte ist der Online-Shopbetreiber verantwortlich. Er muss die Informationen nach Art. 13 DSGVO in seinen Datenschutzhinweisen zur Verfügung stellen.
Eventuell kann man bei einem Factoring auch zu dem Ergebnis kommen, dass es sich um eine gemeinsame Verantwortung nach Art 26 DSGVO handelt. Das gilt besonders in der Konstellation, in der man von einem unechten Factoring sprechen kann.
Echtes Factoring
Echtes Factoring unterscheidet sich maßgeblich vom unechten Factoring, dadurch, dass der „Käufer“, der Factor, das Ausfallrisiko für die Forderung übernimmt. So ist für den Online-Händler sichergestellt, dass er für den Zahlungsausfall seines Kunden nicht haften muss. Daher sind beim echten Factoring die Kosten höher, also bekommt der Verkäufer einen geringeren Preis für die Forderung.
Unechtes Factoring
Beim unechten Factoring übernimmt der Factor das Ausfallsrisiko nicht. Das bedeutet für der Online-Händler, dass er auch weiter das volle Risiko für den Zahlungsausfall seines Kunden trägt. Im Falle eines Zahlungsausfalls muss der vorfinanzierte Betrag sowie Gebühren an den Factor zurückgezahlt werden.
Beim echten Factoring kann man im Rahmen des Verkaufs von einer Übermittlung von personenbezogen Daten an einen Dritten ausgehen. Der ursprüngliche Gläubiger wird nicht über die Mittel und Zwecke der späteren Verarbeitung beim Factor entscheiden. Eine gemeinsame Verantwortung ist nicht anzunehmen.
Beim unechten Factoring werden beide Parteien, der Forderungskunde und der Factor, über den Zweck und die Mittel der Verarbeitung gemeinsam entscheiden. Besonders die Festlegung einer Speicherdauer für Verarbeitung beim Factor wird sich aus der Festlegung des „Kurzzeitdarlehens“ ergeben. Auch durch die Möglichkeit der Rückabwicklung des Forderungskaufs bleiben beide Parteien miteinander verbunden und treffen gemeinsame Entscheidungen. Damit sind die Kriterien der gemeinsamen Verantwortung nach Art, 26 DSGVO und der Orientierungshilfe des Europäischen Datenschutzausschusses (EDSA) „Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 1.0“ erfüllt.
Es muss also ein Vertrag entworfen werden und die wesentlichen Inhalte der Vereinbarung müssen der betroffenen Person zur Verfügung gestellt werden.
Inkasso
Die Unterstützung durch einen Dienstleister im Rahmen des Inkassos wird als Auftragsverarbeitung zu interpretieren sein. Inkassounternehmen können dabei helfen, offene Forderungen beizutreiben und das Risiko von Zahlungsausfällen zu reduzieren. Inkassounternehmen handeln, anders als der Factor beim Factoring, im Namen des Mandanten und verfügen über entsprechende Vollmachten. Mit dem Inkassounternehmen ist eine Vereinbarung nach Art. 28 Abs. 3 DSGVO abzuschließen.
Durch die Neuregelung des Bürgerlichen Gesetzbuchs § 327 BGB ist es auch möglich an die Stelle einer Bezahlung mit Geld den Kunden mit seinen Daten bezahlen zu lassen. In unserer Podcastfolge „Bezahlen mit Daten – der neue § 327 BGB“ erörtern wir, ob die Norm tatsächlich alles transparent definiert und ob diese eine eigene Rechtsgrundlage zur Verarbeitung von Daten darstellt.
Zum Autor
Markus Zechel ist seit 2004 Berater für Datenschutz und Informationssicherheit. Nach seiner Tätigkeit als selbstständiger Berater ist er seit 2011 Managing Consultant der Firma migosens GmbH. Zu den Aufgaben von Herrn Zechel gehören u.a. die Beratung, Betreuung und Schulung zu den Themen Datenschutz und Informationssicherheit, sowie die Übernahme der Funktion des externen Datenschutzbeauftragten oder des externen Informationssicherheitsbeauftragten.
