Datenschutzprobleme bei der Einbindung von Zahlungsdienstleistern in Websites und Apps
Die Datenschutzbeauftragte des Freistaates Sachsen hat in ihrem aktuellen Bericht 2023 auf ein wachsendes Problem hingewiesen: die Einbindung von Zahlungsdienstleistern in Websites und Apps. Danach erreichten ihre Behörde im Jahr 2023 relativ häufig Beschwerden über die Einbindung von Zahlungsdienstleistern in Websites und Apps.
Hauptanliegen der Beschwerden
Ein zentrales Thema dieser Beschwerden war die Übermittlung von Nutzungsdaten an Zahlungsdienstleister, die von vielen als Datenschutzproblem wahrgenommen wurde. Ein weiteres Problem war das Setzen zahlreicher Cookies, gegen die oftmals keine Möglichkeit der Abwahl bestand.
Kern der Beschwerden war häufig eine als Datenschutzproblem wahrgenommene Übermittlung von Nutzungsdaten an solche Dienstleister und das Setzen von zahlreichen Cookies, gegen die oftmals keine Möglichkeit der Abwahl bestand.
Quelle: https://www.datenschutz.sachsen.de/download/taetigkeitsberichte/Taetigkeitsbericht_Datenschutz_2023.pdf Seite 153
Datenschutzrechtliche Kontrollen und deren Ergebnisse
Die Art und Weise, wie die Zahlungsdienstleister eingebunden waren, hielt bei der Überprüfung der Beschwerden einer datenschutzrechtlichen Kontrolle häufig nicht stand.
Die Beschwerden waren in vielen Fällen berechtigt. Im Anhörungsverfahren haben viele Verantwortliche, allesamt Online-Shops, welche natürlich ein starkes Interesse an einer guten Sichtbarkeit und einfachen Verfügbarkeit möglichst vieler Zahlungsmöglichkeiten haben, angegeben, dass sie wenig Einfluss auf die Datenflüsse nehmen können und auch das Cookie-Verhalten nur eingeschränkt steuerbar ist.
Quelle: s.o.
Anforderungen an die Einbindung von Zahlungsmöglichkeiten
Trotz des hohen Interesses seitens der Betreiber von Online-Shops an möglichst vielen und unkomplizierten Bezahlarten müssen diese den datenschutzrechtlichen Standards entsprechen. Dabei ist zu unterscheiden zwischen der Bewertung nach der Datenschutz-Grundverordnung (DSGVO) und der nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG).
Herausforderungen und praktische Umsetzungen
Die Einbindung von Zahlungsdienstleistern in Cookie-Banner und das Einholen von Einwilligungen ist laut der Datenschutzbeauftragten nicht praxisgerecht, da eine abgelehnte Einwilligung dazu führt, dass am Ende nicht bezahlt werden kann. Dies liegt weder im Interesse des Händlers noch des Kunden.
Eine Bewertung nach DSGVO lässt zunächst den scheinbar einfachen Schluss zu, alle Zahlungsdienstleister in das Cookie-Banner zu integrieren und eine Einwilligung abzufragen, um auf der „sicheren Seite“ zu sein. Aufgrund der Anforderung einer einfachen Möglichkeit, alle einwilligungsbedürftigen Datenverarbeitungen mit einem Klick abzulehnen, erweist sich das jedoch als praxisuntauglich, da eine abgelehnte Einwilligung dann dazu führt, dass am Ende nicht bezahlt werden kann, was weder im Interesse des Händlers noch des Kunden liegen dürfte.
Quelle: s. o. Seite 154
Ein Versuch, alle Zahlungsdienstleister als erforderlich im Sinne eines berechtigten Interesses nach Art. 6 Abs. 1 Buchst. f DSGVO zu erklären, ist ebenfalls nicht tragfähig. Kunden beschwerten sich häufig, dass bereits beim bloßen Besuch eines Online-Shops Daten an Zahlungsdienstleister wie PayPal oder Amazon übertragen wurden.
Fazit und Empfehlungen
Die Datenschutzbeauftragte des Freistaates Sachsen betont, dass die Einbindung von Zahlungsdienstleistern den datenschutzrechtlichen Standards entsprechen muss. Dies ist insbesondere dann wichtig, wenn es um die Übermittlung von Daten an Dritte geht. Ein pauschales berechtigtes Interesse kann hierbei nicht anerkannt werden.
Abschließend wird klargestellt, dass eine datenschutzkonforme Einbindung von Zahlungsdienstleistern für Online-Shops zwar aufwendig, aber notwendig ist.
Die Zahlungsanbieter datenschutzkonform einzubinden, stellt in Beschwerdeverfahren für Online-Shops in der Praxis oftmals einen erheblichen Aufwand dar. Dies ist möglich, es muss jedoch – und zwar bezogen auf jede Übermittlung an einen konkreten Dienstleister – erforderlich und ausdrücklich vom Kunden erwünscht sein.
Quelle: s.o. Seite 155
Sofern dies nicht erfolgt, trage der Online-Shop nur zu einer zielgerichteten Datenerfassung und -verarbeitung der ohnehin marktbestimmenden Dienstleister bei und riskiert eine Beschwerde, so die Sächsische Datenschutzbeauftragte.
Für eine detaillierte Auseinandersetzung mit dem Thema und weiteren Empfehlungen verweise ich auf den vollständigen Bericht der Sächsischen Datenschutzbeauftragten.