giropay weiß was du letzten Sommer gekauft hast
Der deutsche Zahlungsdienst „giropay“ (ehem. „paydirekt“) verarbeitet nicht nur Online-Zahlungen, er sammelt auch Informationen über einzelne gekaufte Artikel. Dabei werden mitunter sensible, personenbezogene Daten verarbeitet. Eine Kundin wandte sich an noyb nachdem sie eine detaillierte Auflistung all ihrer gekauften Produkte in einer Online-Apotheke und einem Sexshop in ihrem giropay-Konto aufgelistet sah. Solche Daten sind nach der DSGVO besonders schützenswert und dürfen nicht ohne Einwilligung verarbeitet werden. noyb reichte deshalb heute Beschwerde beim Hessischen Landesbeauftragten für Datenschutz und Informationsfreiheit gegen giropay ein.
Gläserner Warenkorb statt "Privates bleibt privat"? Der deutsche Zahlungsdienst giropay warb auf seiner Website mit markigen Sprüchen wie „Privates bleibt privat“ und „Datenschutz nach deutschen Richtlinien“. Entgegen ihrer Erwartungen fand eine Kundin aber plötzlich detaillierte Auflistungen ihrer Einkäufe in ihrem giropay Konto: darunter auch Bestellungen in einer Online-Apotheke und einem Sexshop. Anders als bei SEPA- oder Kreditkartenzahlungen werden bei giropay demnach nicht nur für die Zahlung absolut notwendige Daten verarbeitet: der Zahlungsdienst behält zusätzlich detaillierte Informationen über den Inhalt des Warenkorbs. Da sich das Unternehmen unkooperativ zeigte, wandte sich die Kundin an noyb.
giropay putzt sich an den Händlern ab. Obwohl der Zahlungsdienst die Daten verarbeitet und speichert, weist er jegliche Verantwortung von sich. Diese liege rein bei den Händlern, welche die Daten weitergeben. Allerdings verfügt nicht nur giropay's Software über eine spezifische Funktion für die Weitergabe solcher Daten: auch das Webshop-Plugin des Zahlungsdienstes ist so konfiguriert, dass Händler diese Daten übermitteln müssen. Es ist offensichtlich, dass giropay hier nicht notwendige, personenbezogene Daten verarbeitet und sich dafür nach der DSGVO zu verantworten hat.
„Man kann nicht einfach ein System bauen, verwenden, bewerben, damit illegal Daten aufsaugen, und dann mit dem Finger auf andere zeigen. Die DSGVO kennt klare Grundsätze zu Rechtmäßigkeit, Datenminimierung und Rechenschaft von Datenverarbeitungen nach denen giropay hier klar verantwortlich ist.“ Alan Dahi, Datenschutzjurist bei noyb
Besonders schützenswerte Daten. Die von giropay verarbeiteten Daten betreffen auch Gesundheit und sexuelle Vorlieben der Kundin. Derartig sensible Daten sind laut DSGVO besonders schützenswert. Sie dürfen keinesfalls ohne ausdrückliche Einwilligung der Kundin verarbeitet werden, wie in Artikel 9(2)(a) DSGVO festgehalten ist.
“Nur weil ich mit Karte zahle, bekommt meine Bank auch nicht die Supermarkt-Rechnung mit allen Details. Es gibt überhaupt keinen Grund, dass giropay diese mitunter sehr sensiblen Daten zentral erfasst und dauerhaft speichert.” Kundin von giropay
Übermittlung sensibler Daten ist nicht „marktüblich“. giropay sammelt Daten über die intimsten Angelegenheiten seiner Kund:innen und argumentiert, dass das marktüblich sei. Man brauche diese Daten außerdem, um Reklamationen einfacher abwicklen zu können. In der Regel können einzelne gekaufte Artikel allerdings einfach auf der jeweiligen Rechnung oder in der Zahlungshistorie des Online-Shops nachvollzogen werden. Eine weitere Partei, die standardmäßig und ohne Zustimmung solche Daten verarbeitet, ist nicht notwendig. Obwohl „Marktüblichkeit“ datenschutzrechtlich irrelevant ist, wollen Unternehmen damit oft Datenschutzverstöße legitimieren. Stattdessen sollten sie anfangen, Datenschutz endlich ernst zu nehmen und die Privatsphäre ihrer Kund:innen zu respektieren.