Der Zahlungsdienstleister Easycash muss wegen Verstoß gegen das Datenschutzgesetz 60.000 Euro Bußgeld zahlen. Das Unternehmen akzeptierte den Bescheid des Datenschutzbeauftragten NRW.
Die Daten wurden an die Easycash Loyalty Solution, einem Schwesterunternehmen der Easycash GmbH , das Kunden- und Bonusprogramme anbietet, übermittelt. Sie wurden dort nach den Feststellungen von Lepper statistisch ausgewertet.
400.000 Zahlungsverkehrsdaten an Hamburger Tochter
Easycash gehört zur französischen Ingenico Group und ist marktführender EC-Cash-Netzbetreiber in Deutschland. Der Dienstleister bietet Einzelhändlern neben der Abwicklung von EC-Cash-Transaktionen (Girocard) auch eine wesentlich kostengünstigere EC-Kartenzahlung per Lastschriftverfahren an.
Das Unternehmen verfügt daher über eine umfangreiche Datenbasis mit Zahlungsvorgängen von Kunden, die mit EC-Karten zahlen. Im ermittelten Fall wurden laut dem NRW-Datenschutzbeauftragten rund 400.000 Zahlungsverkehrsdaten zu Kontoverbindungen weitergegeben.
"Treuhänder der Einzelhändler"
"Wer Zahlungsvorgänge quasi als Treuhänder für Einzelhandelsunternehmen abwickelt, muss besonders sorgfältig mit diesen Daten umgehen. Er darf so sensible Daten über Zahlungsverhalten und Kontoverbindungen, die durchaus auch Profilbildungen erlauben, nicht für andere Zwecke an Dritte übermitteln. Deswegen musste ich hier einschreiten", kommentierte der NRW-Datenschutzbeauftragte Lepper das Verfahren.Der Datenschützer zeigte sich allerdings auch erfreut, dass das Unternehmen in Datenschutzfragen kooperativ sei und auch das Bußgeld akzeptiert und bereits gezahlt habe.
"Wir stellen derzeit die Datenverarbeitung rund um die Zahlungsabwicklung durch Easycash auf den Prüfstand", erläutert Lepper, "denn in diesem sensiblen Bereich müssen die Kundinnen und Kunden Sicherheit haben, dass mit ihren Zahlungsdaten vertrauenswürdig umgegangen wird."
Bisher habe Easycash die von ihm geforderten Änderungen umgesetzt, so Lepper. Die Weitergabe von Kontoverbindungsdaten an Dritte wurde umgehend eingestellt.
Keine Rechtsmittel gegen den NRW-Bescheid
Das Ratinger Unternehmer will keine Rechtsmittel gegen den Bescheid einlegen: "Im Sinne einer zügigen Beendigung der Diskussion werden wir den ergangenen Bescheid akzeptieren, obwohl wir rein rechtlich keinen Verstoß erkennen können, der ein Bußgeld rechtfertigen würde", heißt es in einer Stellungnahme."Händler übermitteln ausschließlich solche Daten an easycash, die tatsächlich zur Zahlungsverarbeitung erforderlich sind: Kontonummer, Bankleitzahl, Kartenfolgenummer, Kaufbetrag, Zeit sowie eine eindeutige Identifizierung des eingesetzten EC-Terminals", hieß es bei Easycash.
"Personenbezogene Daten wie Name, Adresse, Telefonnummer oder Detailinformationen zu Einkäufen werden nicht an easycash übermittelt", betont der Dienstleister, der seine Datenverarbeitung zwischenzeitlich durch den TÜV Rheinland auditieren ließ.
Keine Rechtsicherheit für ELV-Verfahren
Mit dem Abschluss des Verfahrens gegen Easycash ist allerdings noch keine Rechtsicherheit für das so genannte elektronische Lastschriftverfahren (ELV) hergestellt.Die Landesdatenschutzbeauftragten konnten bislang keine Einigung über die datenschutzrechtliche Bewertung der Sperrdateien und sonstigen Sicherheitsmechanismen (Black/White-Lists, Zufallsgeneratoren, Frequenzzähler) erzielen, die auch von anderen Kartenzahlungsdienstleistern eingesetzt werden.
Lediglich die Datschutzbeauftagten der drei Bundesländer in denen die wichtigsten EC-Cash-Netzbetreiber angesiedelt sind (Bayern, NRW, Hessen), konnten sich auf zentrale Eckpunkte verständigen.
Der Leiter des Unabhängigen Landeszentrums Schleswig-Holstein (ULD), Dr. Thilo Weichert, gilt auch diesbezüglich als Hardliner und drohte bereits rechtliche Schritte gegen die seiner Auffassung nach gesetzwidrigen Verfahren der ELV-Dienstleister an.
Weichert sorgt aktuell weit über die Landesgrenzen von Schleswig-Holstein mit seinem Vorgehen gegen Facebook-Partnerseiten für Aufsehen - vor einem öffentlichkeitswirksamen Konflikt mit dem Handel wird der Überzeugungstäter wohl nicht zurückschrecken.
