Datenschützer überprüfen Paydirekt

Die Sparkassen legen ihren Kunden Paydirekt ins Online-Girokonto. (Grafik: Paydirekt)

Die Breitenregistrierung mit der die Sparkassen ihren Kunden die Anmeldung bei Paydirekt erleichtern wollen, gerät ins Visier der Datenschützer. Die Datenschutzbeauftragten in Hessen und Thüringen prüfen, ob die Übermittlung der Kundendaten gegen das Bundesdatenschutzgesetz verstößt. Dem Online-Zahlverfahren, das die strengen deutschen Datenschutzregeln stets als Wettbewerbsvorteil für sich reklamiert, droht ein Debakel.

Weil die Nutzerzahlen von Paydirekt bislang hinter den Erwartungen zurückbleiben, soll das Internetzahlverfahren der Deutschen Kreditwirtschaft künftig automatisch Bestandteil der Online-Girokonten der Sparkassen-Finanzgruppe werden. Über die geplante Vertragsänderung werden die Kunden seit Anfang August mit einer Nachricht im elektronischen Postfach ihres Online-Banking-Portals informiert.

Zustimmung gilt als erteilt

„Zur Vereinfachung werden wir im Fall Ihrer Zustimmung zum Änderungsangebot die uns vorliegenden Stammdaten an die Paydirekt GmbH zur Nutzung von Paydirekt übermitteln“, heißt es etwa in dem Schreiben der Sparkasse Jena, das in die Kommentare dieses Blogbeitrags gepostet wurde. Die Zustimmung zu den geänderten AGB gelte als erteilt, wenn nicht binnen einer Frist von zwei Monaten widersprochen wird. Jena ist kein Einzelfall: „Nahezu alle Sparkassen haben ihre Teilnahme an dem Prozess der Komfortregistrierung erklärt. Der Prozess läuft überall identisch ab“, teilt ein Sprecher des Deutschen Sparkassen- und Giroverbands (DSGV) auf Anfrage der Lebensmittel Zeitung (LZ) mit.

Einwilligung oder Auftragsdatenverarbeitung?

Diese ungewöhnliche Art der Nutzerakquise beschäftigt nun die Landesdatenschutzbehörden in Hessen und Thüringen.

„Eine Einwilligung des Kunden zur Datenübermittlung oder Datenweitergabe allein aufgrund der Anerkenntnis der geänderten AGB halte ich grundsätzlich für nicht wirksam erteilt, da sie schwerlich den Anforderungen des § 4a Abs. 1 Bundesdatenschutzgesetz Rechnung trägt“, erklärt die zuständige Fallbearbeiterin beim Thüringer Landesdatenschutzbeauftragten gegenüber der LZ. Die konkrete Vorgehensweise der Sparkasse Jena müsse allerdings noch ermittelt werden. „Die Beziehung zwischen Sparkasse und Paydirekt wird auch durch die Hinweise zum Datenschutz, die auf der Paydirekt-Homepage verfügbar sind, nicht hinreichend deutlich“, heißt es aus Erfurt.

Paydirekt als Auftragsdatenverarbeitung?

Der Hessische Datenschutzbeauftrage hat die in Frankfurt am Main ansässige Paydirekt GmbH und den DSGV um Auskunft über das genaue Prozedere der „Komfortregistrierung“ gebeten. „Wir prüfen, ob es eine Rechtsgrundlage für die Datenübermittlung gibt“, bestätigt Michael Kaiser, Leiter des Referats Kreditinstitute beim Hessischen Datenschutzbeauftragten. Wenn Paydirekt lediglich als technischer Dienstleister der Sparkassen agiere, wäre eine Einwilligung der Kunden vermutlich nicht erforderlich. Dann mache jedoch auch der Hinweis auf die Datenübertragung im Kundenanschreiben nicht unbedingt einen Sinn, so Kaiser. Der Fall erfordere eine eingehende Untersuchung der Vertragsstrukturen zwischen den Beteiligten, diese Überprüfung dauere an.

DSGV sieht kein Datenschutzthema

Beim Sparkassenverband sieht man die „Komfortregistrierung“ dagegen als datenschutzrechtlich unproblematisch an. Die teilnehmenden Sparkassen nähmen ihren Kunden lediglich das Ausfüllen des Formulars zur Paydirekt-Registrierung ab. „Da durch die AGB-Änderung Paydirekt zum Bestandteil des Online-Girokontos wird, haben die Kunden zwei Monate Zeit, um der AGB-Änderung zu widersprechen“, teilt ein DSGV-Sprecher mit. Paydirekt-Nutzer werde nur, wer einen Aktivierungslink klicke und ein Passwort festlegt.

AGB-Änderung als Basis für Datenübermittlung?

Ganz so einfach liegt der Fall aber wohl nicht: „Ich bin skeptisch, ob man eine Datenweitergabe auf AGB-Klauseln stützen kann. Das müsste darin schon sehr transparent gestaltet sein“, sagt Datenschutzrechtsexperte Dr. Martin Schirmbacher. „Es würde mich nicht wundern, wenn sich die Datenschützer sich hier quer stellen. Lässt man dieses Verfahren zu, öffnet das bei cleverer Ausgestaltung einer versteckten Datenweitergabe an Dritte Tür und Tor“, so der Rechtsanwalt der Berliner Kanzlei Härting.

Strenger deutscher Datenschutz als USP

Für Paydirekt sind freilich schon die Ermittlungen der Datenschutzbeauftragten allein ein peinlicher Vorgang. Der mit großen Ambitionen gestartete Newcomer unter den Internetzahlverfahren führt den strengen deutschen Datenschutz stets als Kundenvorteil gegenüber dem US-amerikanischen Payment-Primus Paypal und andere Konkurrenten ins Feld. Schon aus diesem Grunde hätte es den Sparkassen gut zu Gesicht gestanden, den 64-seitigen Rollout-Plan zur „Komfortregistrierung“ im Vorfeld mit den zuständigen Datenschutzbehörden abzustimmen. Die Volks- und Raiffeisenbanken, ebenfalls Gesellschafter von Paydirekt, verzichten bislang auf vergleichbare Maßnahmen. Schon bei der kontaktlosen Geldkarte „girogo“ zeigten sich die genossenschaftlichen Kreditinstitute sensibler für die Datenschutzbelange ihre Kunden als die roten Wettbewerber.

Von Paydirekt heißt es auf Anfrage lediglich: „Da es sich bei der Komfortregistrierung um eine Maßnahme der Sparkassen-Finanzgruppe handelt, bitte ich Sie, sich zur Vorgehensweise ebenfalls an die dortige Pressestelle zu wenden“. Man sei jedoch „selbstverständlich“ über die Pläne der Sparkassen informiert worden, so eine Sprecherin.

Update 24.8.2017:r

Das Thema wurde inzwischen aufgegriffen von t3n, Focus Online, Chip, Heise, Computerbild, Onlinehändler News und etailment. Ich hatte zeitgleich mit diesem Blogpost eine kürzere Fassung auf LZnet veröffentlicht.

Ich erhalte viel erboste Post von Bänkern: „nur eine Zusatzleistung wie Lastschrift und Überweisung“, „nur ein Angebot“, „typisch deutsche Kritik“, „hysterisch“. Und viel Mails von Verbrauchern: „Unverschämtheit“, „Was erlauben Sparkasse?“, „Untermogeln“, „will nicht erst widersprechen müssen“, „wer betreibt, wem gehört Paydirekt?“.

Hätte man die Datenschutzbehörden doch einfach im Vorfeld eingebunden. Paydirekt schreibt Datenschutz doch groß, dachte ich.

Update 25.8.2017:

Focus Online schafft es die Geschichte zweimal weiterzudrehen, ohne eine News hinzuzufügen. Ein Lehrstück dafür, wie klickgesteuerter Onlinejournalismus heute funktioniert arbeitet: Was klickt wird fortgeschrieben: Grundstory, Leserreaktionen, Stellungnahme der Sparkassen. Letztere hätte freilich schon in die Grundstory gehört und bietet nichts Neues, allenfalls den Hinweis auf eine anwaltliche Prüfung und die „Kooperation“ mit den Datenschutzbehörden.

Renommierte Rechtsanwaltskanzlei

Das im Artikel erwähnte Gutachten der „renommierten Rechtsanwaltskanzlei“, die die Sparkassen mit der datenschutzrechtlichen Überprüfung der Breitenregistrierung beauftragt haben, gibt der DSGV auf Anfrage nicht heraus. Ein Schelm wer Böses denkt. Warum war es überhaupt nötig eine teure Anwaltskanzlei einzuschalten? Hatten die Inhouse-Juristen Bedenken? War die Rechtslage nicht eindeutig? Die „Kooperation“ mit den Datenschutzbehörden kommt nun etwas spät. Selbst wenn sich am Ende herausstellen sollte, dass – dank findiger Juristen – kein eindeutiger Verstoß gegen Datenschutzbestimmungen vorliegen sollte.

Die Sparkasse Aachen scheint die Bedenken bzw. Einwände ihrer Kunden gegen die übergriffige Datenübermittlung jedenfalls zu verstehen, wie nebenstehender Twitter-Dialog zeigt. Nicht alle Sparkassen scheinen ihre Kunden als Besitz zu betrachten, den man in die Waagschale werfen kann, um Online-Händler für Paydirekt zu akquirieren und von Transaktionsgebühren zu profitieren. Nichts anderem soll die Breitenregistrierung dienen.

„Mit weiterem Ausbau der Akzeptanzseite
tragen wir …
maßgeblich dazu bei, die Transaktionen und
damit auch unsere Erträge (Händlerentgelt) zu erhöhen“, lässt sich beispielsweise Stephan Scholl, Vorstandsvorsitzender der Sparkasse Pforzheim/Calw in einem internen Schreiben der Sparkassen-Finanzgruppe (SBF) zitieren.

274 Sparkassen nehmen an der umstrittenen Breitenregistrierung teil, ein Potenzial von 2,9 Mio. Neuregistrierungen verspricht sich die SFG von der Aktion. Zu, Vergleich: 1,2 Mio Kunden haben sich nach Angaben von Paydirekt bisher aus eigenen Antrieb registriert. Ab 24. Oktober soll eine „Aktivierungskampagne“ starten, mit der die Neukunden per Gewinnspielen und Rabatt-Gutscheinen dann auch zur Nutzung von Paydirekt animiert werden sollen. Viel Erfolg!

Schlussbemerkung / Klarstellung

Ich habe zu diesem Blogpost einige sehr böse E-Mails erhalten, so dass ich mich  genötigt sehe (nochmals) festzuhalten: Ich halte Paydirekt für ein gutes Produkt und eine wettbewerbsfähige Alternative zu PayPal & Co. wäre eine Bereicherung für den Onlinehandel und seine Kunden.

Als treuer Sparkassenkunde will ich aber auch nicht, dass meine Daten quasi ungefragt an ein Unternehmen übertragen werden, zu dessen Gesellschaftern andere Banken, Vermögensberater (MLP) und Absatzfinanzierer (Santander Consumer Bank) gehören oder gehörten (meine letzte Bürgelabfrage dazu ist schon etwas angegilbt). Ganz egal, wie der Vorgang datenschutzrechtlich am Ende zu bewerten ist: Ich vertraue meine Daten meiner Bank an, das sollte diese wertschätzen und dieses Vertrauen nicht enttäuschen. Schon gar nicht für eine „Komfortregistrierung“, die ich vielleicht als Aufdringlichkeit oder Notrettungsprogramm wahrnehme.

Und ich kann die Onlinehändler verstehen, die derzeit sagen: Nicht zu diesen Gebühren, nicht bei diesen Transaktionsperspektiven. Punkt.

Flattr this!

3 Gedanken zu „Datenschützer überprüfen Paydirekt

  1. Pingback: Sparkassenwelt trifft auf Plattformökonomie | Bankstil

  2. Pingback: Identity Economy – Ein kurzer Wochenrückblick #5 | Identity Economy

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.