Bezahlkarten und Datenschutz

[geos]

ANZEIGE

Dürfen Händler Kredit- und Debitkartendaten dazu verwenden, um einen Kunden zu identifizieren (und sei es nur pseudonym), insbesondere um am POS Einkaufshistorien von Kunden zu erstellen und zu verfolgen? Sagen die Akzeptanzverträge etwas zu dem Punkt aus, ob Kartendaten (nicht) auch zu anderen Zwecken als zur reinen Zahlungsabwicklung gespeichert und verarbeitet werden dürfen?
Im Geltungsbereich der DSGVO dürfte es wohl illegal sein, solange der betroffene Kunde dem nicht zugestimmt hat; gibt es Erkenntnisse aus anderen Regionen, in welchem Umfang Zahlkartendaten zur Erstellung von Käuferprofilen und zur Nachverfolgung von Käufern verwendet werden?

 

[MaxBerlin]

Bei Transport for London findet Profilbildung natürlich statt.

Mit Sicherheit auch bei anderen Händlern, zwecks Missbrauchsschutz, wobei da die Abgrenzung zu "zur reinen Zahlungsabwicklung" nicht klar ist...

 

[geos]

TfL darf sicherlich die KK-Daten solange zur Nutzeridentifizierung vorhalten und verarbeiten, wie es für das Price-Cap erforderlich ist (bieten sie auf NFC-KK mehr als nur Tageshöchstpreise an?).
TfL ist sicherlich auch insofern speziell, als dass die Belastung meines Wissens erst zeitverzögert (nach Tagesende?) erfolgt.
Auch hier stellt sich die Frage, ob die KK-Daten nach erfolgter Belastung weitervorgehalten und auch für andere Dinge (insbesondere zum Tracking von Kunden über mehrere Abrechnungszeiträume hinweg) genutzt werden dürfen.
Aber bevor wir über den vergleichsweise speziellen Fall sprechen, die Frage nochmal auf den einfachen Anwendungsfall: dürfen Händler, z.B. Supermärkte oder Kaufhäuser, Zahlkartendaten verwenden, um damit (pseudonyme) Kundenprofile zu erstellen, sprich um daran den Kunden damit von Einkauf zu Einkauf wiederzuerkennen?

 

[geos]

Der Artikel https://www.handelsblatt.com/finanz...schutz-wie-glaesern-bin-ich/12982630-all.html von 2016 behauptet:
"Aber wenn ich zum Beispiel bei einem großen Handelsunternehmen mit Karte zahle, wird sehr oft geschaut, was bei der Kette im System gespeichert ist. Teilweise auch, um das mit einer Kundenkarte zu verbinden. Oder auch um zu schauen, ob man ein wiederkehrender Kunde ist und in welchen Filialen ich einkaufe."
Auf Deutschland bezogen Unsinn oder tatsächliche Praxis?

 

[bandito007]

Wir werden sowieso überall überwacht - ob wir das wollen oder nicht.

Es fängt bei den Kameras an jeder Ecke an, geht weiter mit den geliebten "notwendigen" Keeksen, die man überall im Netz akzeptieren muss, bis zu den Kreditkarten und nicht zu vergessen den Telefonanrufen, die "nur" zu Qualitätszwecken aufgezeichnet werden.
Von den smarten Tools wie Telefonen, Uhren, Autos etc. mit ihren Ortnungsdaten fangen wir nicht auch noch an.

Alles was irgendwie vernetzt ist, wird überwacht, ausgewertet, verkauft, etc.

Wer das Gegenteil behauptet lebt in einer Fantasiewelt.

 

[JFI]

Oft wird man als Aluhutträger und Verschwörungstheoreriker verunglimpft, wenn man eine Meinung (eigtl. sind ja eher Fakten) wie Deine vertritt.

 

[geos]

Wir werden sowieso überall überwacht - ob wir das wollen oder nicht.

leider sind solche allgemeinen Aussagen, egal wie richtig oder falsch, wenig hilfreich bei der Beantwortung der hier gestellten Frage (und auch nicht für betroffene/die Gesellschaft). Ich würde mich weiter über kompetente Beiträge zum Thema freuen.

 

[banshy]

Dürfen Händler Kredit- und Debitkartendaten dazu verwenden, um einen Kunden zu identifizieren (und sei es nur pseudonym), insbesondere um am POS Einkaufshistorien von Kunden zu erstellen und zu verfolgen? Sagen die Akzeptanzverträge etwas zu dem Punkt aus, ob Kartendaten (nicht) auch zu anderen Zwecken als zur reinen Zahlungsabwicklung gespeichert und verarbeitet werden dürfen?
Im Geltungsbereich der DSGVO dürfte es wohl illegal sein, solange der betroffene Kunde dem nicht zugestimmt hat; gibt es Erkenntnisse aus anderen Regionen, in welchem Umfang Zahlkartendaten zur Erstellung von Käuferprofilen und zur Nachverfolgung von Käufern verwendet werden?

Die Akzeptanzverträge sind für die datenschutzrechtliche Einschätzung zunächst nicht relevant, da der Händler mit dem Acquirer keine Verträge zu Lasten Dritter (des Kunden) schließen kann. Die Zahlungsabwicklung dürfte daher in Form eines Auftragsverarbeitung für den jeweiligen Händler stattfinden, dann ist auch nur exakt diese Zahlungsabwicklung zur Durchführung des zugrunde liegenden Vertrags "erforderlich" (Art. 6 Abs. 1 lit. a DSGVO). Eine Zustimmung in Form einer Einwilligung (Art. 6 Abs. 1 lit. b DSGVO) dürfte jedenfalls im Kontext der Vertragsabwicklung unwirksam sein, da sie, so sie obligatorisch wäre, gegen das Koppelungsverbot (Art. 7 Abs. 4 DSGVO) verstieße. Eine nicht-obligatorische Einwilligung ist für den Händler nicht attraktiv, weil die vermutlich niemand erteilt. Ob man das ganze wirksam in den ursprünglichen Kaufvertrag mit der jeweiligen Zahlungsklausel einwickeln kann, halte ich auch für äußerst fraglich. Das wäre in meinen Augen eine überraschende Vertragsklausel, die den Kunden benachteiligen würde.

 

[bandito007]

Wenn es ein Gesetzt dafür gibt, dann hält sich sicher auch jeder daran. Als ob das jemanden interessiert am anderen Ende der Welt oder wo auch immer.

Ich verstehe die Bedenken einfach nicht. Man surft im Netz, nutzt Smartphone etc. und überlegt sich was mit den Daten passiert. Google etc. wissen mehr über uns als wir selbst.

Will man das unterbinden einfach Bargeld zücken, solange es noch möglich ist.

 

[geos]

Die Akzeptanzverträge sind für die datenschutzrechtliche Einschätzung zunächst nicht relevant, da der Händler mit dem Acquirer keine Verträge zu Lasten Dritter (des Kunden) schließen kann. Die Zahlungsabwicklung dürfte daher in Form eines Auftragsverarbeitung für den jeweiligen Händler stattfinden, dann ist auch nur exakt diese Zahlungsabwicklung zur Durchführung des zugrunde liegenden Vertrags "erforderlich" (Art. 6 Abs. 1 lit. a DSGVO). Eine Zustimmung in Form einer Einwilligung (Art. 6 Abs. 1 lit. b DSGVO) dürfte jedenfalls im Kontext der Vertragsabwicklung unwirksam sein, da sie, so sie obligatorisch wäre, gegen das Koppelungsverbot (Art. 7 Abs. 4 DSGVO) verstieße. Eine nicht-obligatorische Einwilligung ist für den Händler nicht attraktiv, weil die vermutlich niemand erteilt. Ob man das ganze wirksam in den ursprünglichen Kaufvertrag mit der jeweiligen Zahlungsklausel einwickeln kann, halte ich auch für äußerst fraglich. Das wäre in meinen Augen eine überraschende Vertragsklausel, die den Kunden benachteiligen würde.

genau deshalb habe ich eingangs geschrieben, dass die Nutzung zum Zusammenführen von Einkäufen im Geltungsbereich der DSGVO illegal sein dürfte (außer der Kunde hat dem zugestimmt, was dann aber eher über Kundenkarten und nicht über Zahlkarten erfolgen dürfte).
Für die datenschutzrechtliche Einschätzung sind die Akzeptanzverträge sicherlich nicht relevant, aber dennoch ist es nicht uninteressant, ob sie nicht eine (zusätzliche) (vertrags-) rechtliche Barriere darstellen.

Nun ist es leider so, dass nur weil etwas illegal ist, es nicht vielleicht dennoch gemacht wird (oder zumindest dort, wo es eben nicht illegal ist, weil außerhalb des Geltungsbereiches der DSGVO). Daher meine Frage, inwieweit soetwas Praxis ist (und z.B. Kassen-/Warenwirtschaftssysteme die Daten von Zahlkarten erfassen und dauerhaft speichern können und auch zur Auswertung heranziehen können, also zumindest über diese Produkteigenschaft verfügen).

 

[Yuwoex]

Die Akzeptanzverträge sind für die datenschutzrechtliche Einschätzung zunächst nicht relevant, da der Händler mit dem Acquirer keine Verträge zu Lasten Dritter (des Kunden) schließen kann.

Mit der Behauptung wäre ich vorsichtig und empfehle mal das eingehender Lesen eines Vertrags zwischen Händler und PayPal.
Wobei sich in diesem Fall nicht die Frage stellt, was der Händler mit den Zahlungsdaten macht, sondern umgekehrt, was der Händler über seinen Kunden so an PayPal mitzuteilen hat.
Nimm dir aber Zeit, sind ca. 40 Seiten.

 

[tmmd]

ANZEIGE

Nun ist es leider so, dass nur weil etwas illegal ist, es nicht vielleicht dennoch gemacht wird (oder zumindest dort, wo es eben nicht illegal ist, weil außerhalb des Geltungsbereiches der DSGVO). Daher meine Frage, inwieweit soetwas Praxis ist (und z.B. Kassen-/Warenwirtschaftssysteme die Daten von Zahlkarten erfassen und dauerhaft speichern können und auch zur Auswertung heranziehen können, also zumindest über diese Produkteigenschaft verfügen).

Es ist in dieser Form keine Praxis. Im Geltungsbereich der DSGVO oder adäquater Regelungen in anderen EU-Ländern würde das zu sehr empfindlichen Strafen führen. Aufgrund der Vielzahl der betroffenen Kunden würde das wohl für manchen Händler, wenn dann die Strafe pro betroffenen Kunden vergeben wird, wohl das Aus bedeuten.