Du stimmst Datenschutzinformationen nicht zu. Dadurch entsteht kein Vertragsverhältnis. Es sind (wie der Name auch sagt) Informationen darüber, zu welchem Zweck deine Daten verarbeitet werden und welche Rechte du bspw. hast. Diese sind nicht in Stein gemeißelt und lassen sich auch anpassen.
Der Anbieter dürfte über die Änderungen aber zumindest informieren/hinweisen müssen.
Stimmt. Aber ich stimme ja den AGB zu. Diese findet man hier:
Titel der Seite „AGB“
Blättert man runter findet man „giropay AGB“ und dort sind die Datenschutzinformationen aufgelistet, sodass sie als Teil der AGB erscheinen.
Meiner Meinung nach hat Medicus Recht: Sofern der Eindruck einer Einwilligung vermittelt wird, unterliegen sie der AGB-Kontrolle, siehe auch die hier https://www.internet-law.de/2019/03/auf-datenschutzklauseln-in-agb-verzichten.html zitierte Entscheidung des KG.
Man möchte vermutlich die Speicherung von Warenkorbinformationen etc auf Notwendigkeit bzw. Interessen stützen und nicht auf Einwilligung. Das könnte man aber mal mit einer Beschwerde zur zuständigen Aufsichtsbehörde klären.
Und die AGB-Frage mal bei der Verbraucherzentrale ansprechen.
Ich möchte noch meinen Senf dazugeben:
Ich bin (war?) zufriedener und überzeugter Nutzer von GiroPay. Dann der Zusammenschluss mit Paydirekt. Das fiel mir im November auf, als ich mich bei einem Einkauf plötzlich entgegen des üblichen Verfahrens registrieren musste. Gestern dann hatte ich bei einem weiteren Einkauf die Wahl zwischen Paydirekt und altem „Online-Verfahren“. Auch im Zusammenhang mit der von Mike erwähnten Datenschutzinformation, scheint mir das immer noch (wieder) der alte datenschutzsparsame Weg, wenn ich das Juristendeutsch richtig verstehe.
Zitiere mal den Abschnitt den du meinst. So ist unklar, über was wir genau reden.
Um die vielen Spekulationen mal zu beenden und Fakten vorzutragen:
@Volker hat völlig Recht. Bei Zahlungen mittels Online-Banking-Zugangsdaten über die Domain www.giropay.de wird höchstens die IBAN/BIC zur Bankensuche verarbeitet, jedoch keinerlei Daten gespeichert¹. Verantwortliche bzw. die Entität, die personenbezogene Daten dabei verarbeitet, ist die Bank. Das steht eindeutig in der Fußnote 2 im Punkt 2.4 der Datenschutzinformationen – komplette Fußnote:
Bei Online-Überweisungen, die über die Domain www.giropay.de erfolgen, stellt die paydirekt GmbH die Webseite für die giropay-Transaktion im Auftrag des jeweiligen kontoführenden Instituts des Nutzers zur Verfügung. In diesem Rahmen erhebt und verarbeitet die paydirekt GmbH ggf. die IBAN des Nutzers im Rahmen der Bankensuche im Auftrag dieses Instituts. Sämtliche personenbezogenen Informationen werden damit nur durch das kontoführende Institut des Nutzers bzw. in dessen Auftrag erhoben und weitergehend verarbeitet. Das kontoführende Institut des Nutzers ist bezüglich der Datenverarbeitung im Rahmen des Zahlungsvorgangs Verantwortlicher im Sinne der DSGVO.
Oder anders formuliert: Wenn man das richtige Verfahren wählt, ist giropay genauso datensparsam wie zuvor.
¹ zusätzliche Quelle: Datenauskunft nach Art. 15 DS-GVO an die paydirekt GmbH mit dem Ergebnis, dass keinerlei Daten gespeichert sind.
Hier steht das Gegenteil: https://www.kuketz-forum.de/t/giropay-nicht-mehr-ohne-registrierung/1192/7
Man muss die Absätze unter Punkt 2.4 alle lesen.
Datenschutzinformationen
2.4 Bei der Durchführung von Zahlungen mittels Online-Banking Zugangsdaten (Online-Überweisung)
[…] Nach Abschluss des Zahlungsvorgangs speichert die paydirekt GmbH die Zahlungs- und Transaktionsdaten (z.B. Zahlungsbetrag, Lieferadresse, Transaktionsreferenz, die Transaktionsnummer sowie gegebenenfalls Warenkorbinformationen) und nutzt diese im Falle einer Rückabwicklung.
Also erstmal: Ich finde das gar nicht eindeutig und zitiere nun mal den gesamten Textblock aus den Datenschutzinformationen:
2.4 Bei der Durchführung von Zahlungen mittels Online-Banking Zugangsdaten (Online-Überweisung)
Wenn ein Nutzer sich für eine Zahlung mit seinen Online-Banking Zugangsdaten entscheidet, verarbeitet die paydirekt GmbH die im Rahmen des Vorgangs abgefragten Daten. Dies sind in der Regel IBAN, BIC und den Namen des Kontoinhabers sowie eine Transaktionsnummer, um die Zahlungsdaten an die jeweilige Bank weiterleiten zu können und um die Rückabwicklung von Zahlungen zu ermöglichen.²
Die eigentliche Zahlungsinitiierung erfolgt in den Systemen der Bank des Nutzers. Im Anschluss informiert die paydirekt GmbH den Händler über die initiierte Zahlung unter Verwendung einer Transaktionsnummer (Transaktionsnummer, um die Zahlung innerhalb des giropay-Verfahrens identifizieren zu können). Nach Abschluss des Zahlungsvorgangs speichert die paydirekt GmbH die Zahlungs- und Transaktionsdaten (z.B. Zahlungsbetrag, Lieferadresse, Transaktionsreferenz, die Transaktionsnummer sowie gegebenenfalls Warenkorbinformationen) und nutzt diese im Falle einer Rückabwicklung.
Sofern der Nutzer über einen giropay-Login mit derselben IBAN verfügt, mit der die Transaktion getätigt wurde, hinterlegt die paydirekt GmbH die Zahlungs- und Transaktionsdaten (z.B. Zahlungsbetrag, Lieferadresse, Transaktionsreferenz, die Transaktionsnummer sowie gegebenenfalls Warenkorbinformationen) im Account des Nutzers.
Und dann noch der Verweis ²:
² Bei Online-Überweisungen, die über die Domain www.giropay.de erfolgen, stellt die paydirekt GmbH die Webseite für die giropay-Transaktion im Auftrag des jeweiligen kontoführenden Instituts des Nutzers zur Verfügung. In diesem Rahmen erhebt und verarbeitet die paydirekt GmbH ggf. die IBAN des Nutzers im Rahmen der Bankensuche im Auftrag dieses Instituts. Sämtliche personenbezogenen Informationen werden damit nur durch das kontoführende Institut des Nutzers bzw. in dessen Auftrag erhoben und weitergehend verarbeitet. Das kontoführende Institut des Nutzers ist bezüglich der Datenverarbeitung im Rahmen des Zahlungsvorgangs Verantwortlicher im Sinne der DSGVO.
Ich finde das nicht eindeutig und ziemlich unglücklich formuliert. Aber ja, @bummelstein mag recht haben. Wie verstehen es denn die anderen Foristen?
Das Kuketz-Forum ist keine gute Quelle, um den Datenschutz bei giropay direkt zu bewerten.
Wenn man den Datenschutz einschätzen will, sollte man nicht nur die Absätze in dem Punkt, sondern auch die Fußnoten lesen. Eine Einschätzung wird durch das Auslassen von Fußnoten nicht richtiger.
Das geht mir genauso. Jedoch ändert das nichts an den Fakten, egal wie wir die Textstelle verstehen.
Ich gebe diese Rückmeldung mal an den Datenschutzbeauftragten weiter.
Mal abgesehen davon, dass hier schon die Experten an der Interpretation der Bedingungen scheitern, finde ich es maximal undurchsichtig für den Verbraucher, dass die Wahl des Zahlverfahrens über die Erfassung der Daten entscheidet. Das hat doch garantiert bisher niemand verstanden.
Also für den Bezahlvorgang mag Folgendes stimmen - sofern über giropay.de abgewickelt:
Bei Online-Überweisungen gemäß Ziffer 2.4 dieser Datenschutzinformationen, die über die Domain www.giropay.de erfolgen, stellt die paydirekt GmbH die Webseite für die giropay-Transaktion im Auftrag des jeweiligen kontoführenden Instituts des Nutzers zur Verfügung. In diesem Rahmen erhebt und verarbeitet die paydirekt GmbH ggf. die IBAN des Nutzers im Rahmen der Bankensuche im Auftrag dieses Instituts. Sämtliche personenbezogenen Informationen werden damit nur durch das kontoführende Institut des Nutzers bzw. in dessen Auftrag erhoben und weitergehend verarbeitet. Das kontoführende Institut des Nutzers ist bezüglich der Datenverarbeitung im Rahmen des Zahlungsvorgangs Verantwortlicher im Sinne der DSGVO.
Und danach? Nach Abschluss des Zahlungsvorgangs? Könnte da nicht das greifen?
Die eigentliche Zahlungsinitiierung erfolgt in den Systemen der Bank des Nutzers. Im Anschluss informiert die paydirekt GmbH den Händler über die initiierte Zahlung unter Verwendung einer Transaktionsnummer (Transaktionsnummer, um die Zahlung innerhalb des giropay-Verfahrens identifizieren zu können). Nach Abschluss des Zahlungsvorgangs speichert die paydirekt GmbH die Zahlungs- und Transaktionsdaten (z.B. Zahlungsbetrag, Lieferadresse, Transaktionsreferenz, die Transaktionsnummer sowie gegebenenfalls Warenkorbinformationen) und nutzt diese im Falle einer Rückabwicklung.
Dieser Absatz ist einfach irreführend. In der Fußnote² ist ja nur der Zahlungsvorgang beschrieben - nicht aber was eventuell danach stattfindet.
Unter diesen Bedingungen halte ich giropay für nicht empfehlenswert. Keinem Nutzer ist zuzumuten, immer genau zu prüfen, welches Bezahlverfahren er bei giropay/Paydirekt nun anwendet und welches davon die „datenschutzfreundliche“ Variante ist.
Das – über giropay.de – liegt doch beim Bezahlprozess über die Variante „Online-Überweisungen“ gar nicht vor? Man kommt ja über die individuelle Shop-Domain zur jeweiligen Hausbank?
Ich bin zwar nicht mehr 100% sicher, bilde mir aber ein, dass das Auswahl-Fenster auf der Shopseite kam. Screenshot hier:
https://www.kuketz-forum.de/t/giropay-nicht-mehr-ohne-registrierung/1192/5?u=deskvisible
Ich bezweifele das. Es erinnert mich an das PSD2-Verfahren. Da wurde ich zum Eingeben der Online-Banking-Daten auf eine Seite gelenkt, die das Layout meiner Hausbank hatte, die aber tatsächlich eine Subdomain eines Dienstleisters in Fankreich war. Es sah nur so aus wie die Seite meiner Bank.
Und genau das ist der Grund, warum ich mich für Paydirekt entschieden hatte. Lieber ein eigener Account als meine Online-Banking-Daten auf einem unbekannten Server eingeben. Ok, das mit den Warenkorbdaten hatte ich damals nicht auf dem Schirm.
Insgesamt hab ich hier das Gefühl, dass der Verbraucher (und der Experte) im Unklaren gelassen wird.
Das ist komplett falsch, sorry. Es geht oben um das Fenster, wo man die giropay-Methoden wählt, über die hier diskutiert wird. Die Zugangsdaten für die Bank sind immer (zumindest bei Variante „Online-Überweisungen“, die bis vor paar Wochen noch die Standart-Variante war) auf der Website der Bank, nicht bei einem Drittanbieter! Das war ja gerade der Vorteil gegenüber den Varianten paydirect und SOFORT-Überweisung, die keinen guten – oder gar keinen Datenschutz bieten.
Bezogen auf die Erwähnung Warenkorbinformationen in der Datenschutzinformation: Die Formulierung ist viel zu vage, um eine valdie Aussage treffen zu können. Natürlich macht es stutzig, dererlei in einer Datenschutzinformation zu finden. Allerdings ist von einer werbe- oder marketinggetriebenen Analyse in der Information keine Rede - die hierfür wahrscheinlichsten Rechtsgrundlagen wären nach m.E. 6(1)(a) DSGVO oder 6(1)(f) DSGVO.
Daher versuche ich es mit einer fundierten Annahme und orientiere mich an den Zweckbeschreibung(en):
Dazu in 2.3
(…) Die paydirekt GmbH erhebt und speichert die Transaktionsdaten der Zahlungen. Transaktionsdaten sind die Transaktionsreferenz, die Transaktionsnummer und gegebenenfalls Warenkorbinformationen, sofern der Händler dies unterstützt. Soweit Warenkorbinformationen vorliegen, werden diese ausschließlich zum Schutz des Nutzers vor Betrug ausgewertet und anschließend unverzüglich gelöscht (…)
Ich möchte hier besonders auf (…) sofern der Händler dies unterstützt, (…) hinweisen. Dies zunächst nicht aus rechtlicher Hinsicht, sondern weil es zur API-Dokumentation von Giropay / paydirect passt.
https://www.paydirekt.de/haendler/merchant-api.html
Feld „shoppingCartType“ Eigenschaft „Optional“
Kategorisiert den Warenkorb eines Checkouts anhand der Eigenschaften der enthaltenen Güter: Der Standardwert ist
MIXED.
PHYSICAL: Der Warenkorb enthält ausschließlich physische Güter.
DIGITAL: Der Warenkorb enthält ausschließlich digitale Güter.
MIXED: Der Warenkorb enthält sowohl phyische als auch digitale Güter.
ANONYMOUS_DONATION: Beim Warenkorb handelt es sich ausschließlich um eine anonyme Spende.
AUTHORITIES_PAYMENT: Beim Warenkorb handelt es sich ausschließlich um Behördenzahlungen.
In 2.4.
(…) paydirekt GmbH die Zahlungs- und Transaktionsdaten (z.B. Zahlungsbetrag, Lieferad-
resse, Transaktionsreferenz, die Transaktionsnummer sowie gegebenenfalls Warenkorbinfor-
mationen) und nutzt diese im Falle einer Rückabwicklung. (…)
Die Zweckformulierungen „Schutz der Nutzer vor Betrug“ und „Rückerstattung“ passen zu der von Paydirect/Giropay angegebenen Rechtsgrundlage 6(1)(b) DSGVO „Vertragserfüllung“. Was mir noch unklar ist, ist der Zusammenhang zwischen Shopping Card Type und den genannten Zwecken.
Aus obigen Werten geht, nach bisherigen Erkenntnisstand zumindest hervor, dass es sich nicht um die konkret gekauften Artikel handelt - die wohl „Laien“ als Warenkorbinformationen verstehen würden.
Ich denke worauf man sich schon mal problemlos verständigen kann ist, dass die Datenschutzerklärung nicht Artikel 12 DSGVO genügt. Hier ist alles verworren, nichts transparent oder leicht verständlich.
Wenn schon die Datenschutzexperten in diesem Forum herumrätseln müssen wie was gemeint sein könnte, dann kann das Artikel 12 DSGVO nicht genügen.
Von den Warenkorbinformationen mal ganz abgesehen hab ich aber auch ein Problem mit dem Punkt Lieferadresse. Die Lieferadresse geht den Händler etwas an, der bekommt die von mir direkt bei der Bestellung. Giropay/Paydirekt geht die gar nichts an. Und auch für eine Rückerstattung wird nichts von allem was Giropay/Paydirekt da speichert benötigt.
Ich seh es ja selber was in der Überweisung in meinem Online-Banking steht. Der Händler bekommt meinen Namen, IBAN, BIC, Betrag und die Transaktionsnummer. Meine Adresse hat er selber, er weiß auch was ich gekauft habe.
Ich kann das drehen und wenden wie ich will, ich seh hier nur vorgeschobenen Gründe in der Datenschutzerklärung. In der Praxis sind diese gespeicherten Daten alle nicht nötig bzw. relevant.
@Medicus Ich denke Du hast das Kernproblem gut formuliert: Eine klare Sprache wäre zielführender. Allerdings kann man, obwohl es Unklarheiten gibt, nicht beurteilen, ob die Daten objektiv erforderlich sind oder nicht.
Noch mal zum Bezahlprozess.
Bestelleung Shop-xy Domain:
shop.example.com
weiterleitung auf
Die Domain, auf der die Bankauswahl getroffen wird ist:
https://bankenauswahl.giropay.de/ftgbank/a/bankselection…
weiterleitung auf
Die Domain auf der die Bankkonto-Zugangsdaten eingegeben werden, ist z.B. bei der GLS:
https://www.gls-online-filiale.de/payment-giropay/…
(damit das für die immer wieder auftauchenden Ungläubigen geklärt ist. 
Die Bank-Zugangsdaten werden auf Bankwebseite eingegeben.)
Der Zahlungs-Empfänger ist bei diesem Bsp. aber nicht der Shop, sondern der Zahlungsdienstleister: Stripe Technology Europe Ltd
Die Domain konnte ich nicht schnell genug speichern! 
Es war aber zuerst eine Domain von stripe. com bei der Umleitung zurück zum Shop!
Die Stripe Domains – weil man die oft braucht – haben bei meinem Browserprofil für Bestellungen JavaScript Zugriff:
stripe. com
stripe.network
Was speichern die diversen Drittanbieter, die die Shops für giropay verwenden?
Hier geht es ja hoch (und schnell) her, deshalb spare ich mir das Zitieren. Die gemeinten Stellen wurden genannt (Punkt 2.4 DSI).
Stimmt.
Dieses Verfahren war auch beim alten Giropay üblich. Ich hatte da sogar mal nachgehakt. Ich glaube, im Falle von Steam ist das Global Collect. Das sind dann Third-Party-Dienstleister.
Ich möchte noch mal meinen Standpunkt deutlich machen: Zu keiner Zeit stand für mich zur Debatte, dass Giropay eine datenschutzfreundliche Zahlungsart war. Sie war aber die, mit der geringsten Angriffsfläche. Meine Anmeldung bei Paydirekt war begründet auf Verunsicherung und der ausschließlichen Möglichkeit. Mit der Option, das alte Online-basierte Giropay zu nutzen, bewege ich mich wieder in der entschärften Zone und werde den angelegten Paydirekt-Account löschen.
Und bin natürlich immer dabei, die Erzwingung einer Datenschutzkonformität für Giropay zu unterstützen.
Ok, aber ist dann bei den zwischengeschalteten Drittanbietern (schon immer?) das selbe Problem mit eventuell Warenkorb speichern, Lieferadresse etc.?
Was heißt das, wie kann man das unterstützen? Finde dazu auf Anhieb nichts.