Kartenzahlung ist einfach, schnell, komfortabel – und sicher! Ihre Kunden können guten Gewissens an allen Kartenterminals der Bezahlexperten per Karte zahlen: Jede Transaktion wird von unserem technischen Dienstleister Verifone Payments GmbH, einem der größten und zuverlässigsten Zahlungsdienstleister in Deutschland, abgewickelt. Verifone Payments GmbH speichert als von der BaFin und Bundesbank überwachtes Zahlungsinstitut die sensiblen Daten von Karteninhabern aus Zahlungstransaktionen sorgfältig und zweckgebunden. Und hält dabei äußerst hohe technische Sicherheitsstandards und alle gesetzlichen Vorschriften ein.
Was Sie als Händler / Unternehmer zum Thema DSGVO & Kartenzahlung wissen müssen:
Was haben Sie mit Datenschutz zu tun?
Als Händler (wir zählen darunter der Einfachheit halber jede/n, der/die Kartenzahlung für seine Kunden, Patienten, etc. anbieten) erheben Sie personenbezogene Daten Ihres Kunden, wenn dieser bei Ihnen mit einer Karte bezahlt: Die Kartennummer/IBAN Ihres Kunden sind beispielsweise personenbezogene Daten im Sinne der DSGVO, da sie sich auf eine identifizierbare natürliche Person beziehen. Das gilt auch für die weiteren bei einer Kartenzahlung anfallenden Daten, z.B. Betrag, Datum, Ort, Uhrzeit etc.
Sie als Händler sind somit eine datenverarbeitende Stelle und ein sogenannter. „Verantwortlicher“ im Sinne des Datenschutzrechts. Auch wir als Dienstleister bzw. unser technischer Netzbetreiber Verifone Payments GmbH sind Verantwortliche, wenn wir bzw. Verifone Payments GmbH die Daten Ihrer Kunden verarbeiten.
Müssen Sie einen Vertrag über eine Auftragsverarbeitung mit uns und/oder Verifone Payments GmbH abschließen?
Nein, denn…
- Nach der bisherigen Rechtslage haben die Landesaufsichtsbehörden für Datenschutz sowohl Händler als auch Netzbetreiber (und ebenso Acquirer) als Verantwortliche behandelt. Dies ist auch nach wie vor die gültige behördliche Einschätzung. Sollte hier wider Erwarten eine Neubewertung stattfinden, so kann das nur in einer Weise geschehen, die mit allen Beteiligten abgestimmt ist. Dazu gehören neben den Aufsichtsbehörden auch die Kreditkartenorganisationen, die Deutsche Kreditwirtschaft (DK) und der Handelsverband Deutschland (HDE). Kurzfristige Insellösungen sind weder zielführend noch erforderlich.
- Zusätzlich ist festzustellen, dass Verifone Payments GmbH als Netzbetreiber bzw. Acquirer nicht als Auftragsverarbeiter für Sie als Händler tätig wird , denn die Leistungen werden nicht weisungsgebunden, sondern standardisiert für alle bei Verifone Payments GmbH aufgeschalteten Kartenterminals einheitlich erbracht und sind weitgehend von der DK (Deutsche Kreditwirtschaft), den Kreditkarten-Schemes und den SEPA-Regularien vorgegeben.
Ergibt sich aus dem Status als “Verantwortlicher” für Sie nach der DSGVO eine besondere Pflicht?
Ja, denn in Bezug auf die Annahme bargeldloser (kartengestützter) Zahlungen sind vor allem die Informationspflichten nach Artikel 13 und 14 DSGVO von Bedeutung.
Was müssen Sie machen, um Ihre Kunden zu informieren?
Sie sollten an Ihrer Kasse einen Hinweis anbringen, der Informationen zum Betreiber der Kasse sowie der Verarbeitung der Daten durch den/die technischen Dienstleister enthält. Wir haben für Sie verschiedene Vorlagen erstellt, die Sie hier ganz einfach als PDF herunterladen, ausfüllen und dann ausschneiden können. Selbstverständlich steht es Ihnen frei, einen ähnlichen Hinweis selbst zu erstellen.
Wichtig: Sie sollten zudem eine Version unseres Informationsblatts für Kunden über die Datenverarbeitung ausgedruckt in der Nähe der Kasse haben. Dies ist wichtig für Kunden, die kein Smartphone haben, um den QR-Code zu scannen und somit weitere Informationen zu erhalten (die Infos, die Sie auf der Seite Datenschutz am Terminal finden).