Die Datenschutz-NGO Noyb hat schon so manche Klage auf den Weg gebracht – manche sind aber pikanter als andere. So wandte sich nun eine Kundin an die NGO, nachdem sie eine detaillierte Auflistung all ihrer in einer Online-Apotheke und einem Sexshop gekauften Produkte in ihrem Giropay-Konto aufgelistet gesehen hatte. Solche Daten sind nach der DSGVO besonders schützenswert und dürfen nicht ohne Einwilligung verarbeitet werden, heißt es seitens von Noyb. Daher reicht man am Freitag Beschwerde beim hessischen Landesbeauftragten für Datenschutz und Informationsfreiheit gegen Giropay ein.

Den Klägern zufolge lässt sich aus der Sichtbarkeit der Produkte im Konto schließen, dass anders als bei Sepa- oder Kreditkartenzahlungen bei Giropay nicht nur für die Zahlung absolut notwendige Daten verarbeitet werden: Der Zahlungsdienst behalte zusätzlich detaillierte Informationen über den Inhalt des Warenkorbs, heißt es von der Organisation.

Schützenswerte Daten

Die von Giropay verarbeiteten Daten betreffen auch Gesundheit und sexuelle Vorlieben der Kundin, heißt es weiter: Derartig sensible Daten seien laut DSGVO besonders schützenswert. Sie dürfen keinesfalls ohne ausdrückliche Einwilligung der Kundin verarbeitet werden, wie in Artikel 9 (2) (a) DSGVO festgehalten ist.

"Nur weil ich mit Karte zahle, bekommt meine Bank auch nicht die Supermarktrechnung mit allen Details. Es gibt überhaupt keinen Grund, dass Giropay diese mitunter sehr sensiblen Daten zentral erfasst und dauerhaft speichert," so die Kundin in einer Aussendung der NGO.

Reaktion von Giropay

Zur Einordnung der Thematik muss erwähnt werden, dass die Paydirekt GmbH die beiden Bezahlverfahren Giropay und Paydirekt betreibt, die aktuell unter der Marke Giropay zusammengeführt werden. Es handelt sich aber eigentlich noch um zwei verschiedene Verfahren, und im geschilderten Fall handelt es sich um das Paydirekt-Verfahren.

Auf Anfrage des STANDARD heißt es seitens des Unternehmens, dass Paydirekt Informationen zu einzelnen Käufen nach dem Prinzip der Datensparsamkeit ausschließlich für die Abwicklung der Transaktion erhebe – und dies nur, wenn diese Informationen vom Händler bereitgestellt werden. "Dabei handelt die Paydirekt GmbH selbstverständlich gemäß den Vorgaben der DSGVO und hat das Vorgehen darüber hinaus mit den zuständigen Aufsichtsbehörden abgestimmt", heißt es in der Stellungnahme. "Es erfolgt keine Auswertung oder Weitergabe zu Marketing- oder Werbezwecken."

Im Rahmen der eigenen Datenschutzerklärung informiere man die Nutzer transparent, welche Daten für die Abwicklung einer Transaktion erhoben werden, heißt es weiter: "Warenkorbinformationen unterstützen Nutzer in einem Konfliktfall. Ein Konfliktfall liegt vor, wenn der Nutzer seine Ware nicht erhalten hat. Für einen solchen Fall hat er Anspruch auf einen Käuferschutz, durch den er sein Geld zurückerstattet bekommt."

Marktüblich?

"Die Übermittlung von Warenkorbinformationen ist marktüblich und vereinfacht die Bearbeitung von Reklamationen für Nutzer und Händler erheblich", heißt es weiter vom Unternehmen. "Insbesondere bei Bestellungen mehrerer Artikel sind Reklamationen hierdurch leicht dem betreffenden Artikel zuzuordnen und im Sinne der Nutzer schnell abzuwickeln."

Bei dem Aspekt der marktüblichen Vorgangsweise widerspricht man wiederum bei Noyb. "In der Regel können einzelne gekaufte Artikel einfach auf der jeweiligen Rechnung oder in der Zahlungshistorie eines Onlineshops nachvollzogen werden", heißt es von den Datenschützern. "Eine weitere Partei, die standardmäßig und ohne Zustimmung der Kundinnen und Kunden solche Daten verarbeitet, ist nicht notwendig."

Obwohl "Marktüblichkeit" datenschutzrechtlich irrelevant ist, wollen Unternehmen damit oft Datenschutzverstöße legitimieren, heißt es seitens von Noyb abschließend. "Stattdessen sollten sie anfangen, Datenschutz endlich ernst zu nehmen und die Privatsphäre ihrer Kundinnen und Kunden zu respektieren." (stm, 25.2.2022)