Ich sammele hier gerade Informationen. Mike hat die Antwort vom Datenschutzbeauftragten, hat einen Artikel im Microblog geschrieben, wir sezieren hier gerade die Datenschutzinformationen und ich habe eine DSGVO-Anfrage gestellt deren Antwort noch auf sich warten lässt.
Heute wollte ich mich mal daran machen und eine Bestellung/Bezahlung mit giropay Online-Banking durchführen und den Netzwerktraffic mitschneiden.
Je nachdem wie sich die Sachlage dann nach Vorlage aller verfügbaren Informationen darstellt würde ich an den LfDI herantreten wollen. Oder an Digitalcourage. Oder auch ein paar Euro in eine Rechtsanwältin investieren wollen. Letztere ist zum Glück günstig und liegt gerade noch schlafend neben mir.
Und ich wäre natürlich dankbar, wenn bei Anfragen an den LfDI oder dergleichen manche von Euch mit ins Boot einsteigen würden.
Für Fragen braucht man keine Anspruchsgrundlage, fragen kann man immer. Und ein Unternehmen, das Wert auf seine Reputation legt, wird sich um eine Antwort bemühen.
Da möchte ich nun doch widersprechen. Transparenz im Sinne des 5(1)(a) DSGVO kann man nicht herstellen, ohne die frühere Version der Datenschutzinformation zur Verfügung zu stellen. 5(1)(a) DSGVO i.V. mit ErwG 39 zusammengefasst, fordert schießlich die Nachvollziehbarkeit von Verarbeitungstätigkeiten. Und das schließt eben auch die Nachvollziehbarkeit einseitiger Änderungen mit ein.
In diesem Sinne auch das WP260 rev.01 der Artikel 29-Gruppe. As last Revised and Adopted on 11 April 2018. Seite 16 / RN 29.
(…) Being accountable as regards transparency applies not only at the point of collection of
personal data but throughout the processing life cycle, irrespective of the information or
communication being conveyed. This is the case, for example, when changing the contents
of existing privacy statements/ notices. The controller should adhere to the same principles
when communicating both the initial privacy statement/ notice and any subsequent substantive or material changes to this statement/ notice. (…)
die c’t hat sich auch giropay angeschaut. Ihr Fazit:
Die deutschen Banken setzen dem mit Giropay ein System entgegen, das die sensiblen Daten ihrer Kunden schützt. Sie besinnen sich damit bewusst oder unbewusst auf einen alten Wert: Vertraulichkeit.
Meine Meinung: Die c`t ist (inhaltlich und handwerklich) auch nicht mehr, was sie mal war.
Bezüglich GiroPay: Meinen oben genannten Account (den ich offensichtlich während einer Promo-Kampagne von PayDirect im Rahmen der Zusammenführung mit GiroPay) eröffnet habe, habe ich wieder löschen lassen. Ich zahle nun wieder, wie vorher, über die alte GiroPay-Schnittstelle ohne Account und bin damit zufrieden.
Vielleicht hat ja hier ein"AGB-Zerpflücker" Lust einen Leserbrief an die c’t zu schreiben. Ich würde es selber machen aber wäre dann natürlich versucht mir die Argumentationskette hier anzueignen. Fremde Lorbeeren möchte ich mir nicht selbst aufsetzen,…
Auch die Noyb-Argumentation bleibt ja unerwähnt bei der c’t - die paydirekt Warenkorberfassung wird ja nun von giropay übernommen
Hallo zusammen! Mich ließ das Zusammenspiel aus AGB, Datenschutzerklärung und FAQ auch ziemlich verwirrt zurück. Die FAQ unterscheiden das „bekannte giropay“ (Logo „giro“ rot; nur Online-Überweisung direkt bei der Bank ohne giropay-Account) und „neues giropay-Logo“ oder „Paydirekt-Logo“ (beides als Online-Überweisung oder mit giropay-Account). Ich wandte mich mit meinen Fragen an den Datenschutzbeauftragten.
In den FAQ schreiben Sie unter Datenschutz, dass beim bekannten giropay der Händler meine IBAN erhält – bei giropay jedoch nicht. Gilt die Nicht-Übermittlung der IBAN beim neuen giropay für Vorgänge mit und ohne giropay-Account?
Bei Zahlungen mittels giropay-Login und Passwort erhält der Händler durch uns keine Informationen über Ihre IBAN. Bei der Nutzung der giropay Online-Überweisung ist die IBAN des Absenderkontos in den Überweisungsdaten ersichtlich.
Der Käuferschutz soll lt. FAQ auch für Zahlungen über das bekannte giropay gelten. Dazu solle man den Support kontaktieren (Kontaktaufnahme auch ohne Account möglich). In den Voraussetzungen für den Käuferschutz wird darauf hingewiesen, dass ein Account erforderlich ist. Somit ist also die Online-Überweisung (ohne giropay-Account) und der Anspruch auf Käuferschutz ohne Account nicht möglich oder?
Der Käuferschutz kann in Anspruch genommen werden, wenn zuvor eine Registrierung für giropay-Login erfolgte.
Punkt 2.4 der Datenschutzinformationen (Zahlungen mittels Online-Überweisung): Die paydirekt GmbH speichert ggf. Warenkorbinformationen, sowie weitere Zahlungs- und Transaktionsdaten und nutzt diese im Falle einer Rückabwicklung. Unter Punkt 2.3 wird erklärt, dass die Warenkorbinformationen unverzüglich gelöscht werden. Wann? Nach Ablauf der Rückerstattungsfrist (100 Tage)?
Wir speichern keine Warenkorbdetails. Es wird lediglich gespeichert, ob es sich um einen gemischten Warenkorb handelt (physische Güter und digitale Güter) oder nicht.
Wie lange speichern Sie die IBAN bei Nutzung der Online-Überweisung (ohne giropay-Account)?
Die Transaktionsdaten werden für 6 Jahre gespeichert.
Werden Zahlungs- und Transaktionsdaten auch dann in einen giropay-Account übertragen, wenn dieser erst im Nachhinein angelegt wird?
Ja
Fazit für mich persönlich: Die Nutzung ohne giropay-Account macht keinen Sinn. Da kann ich auch direkt an den Shop überweisen und spare mir einen weiteren Anbieter, der dazwischengeschaltet ist. So bleibt eigentlich nur die Empfehlung von Mike: Vorkasse, Lastschrift, Rechnung, Echtzeitüberweisung oder mit Einschränkung Kreditkarte übrig.
Ich hoffe, dass ich mit meinem Beitrag etwas Licht ins Dunkel bringen konnte.
Ich habe dem Datenschutzbeauftragten von Paydirekt Fragen über die heutige Praxis im Umgang mit den Daten, insbesondere der eventuellen Speicherung von Warenkorbinformationen gestellt.
Meine erste Anfrage
Ich dachte immer der Vorteil einer Onlinezahlung mit Giropay oder
Paydirekt sei, dass die Bankdaten nicht an den Händler und die Art der
Einkäufe nicht an die Bank übermittelt werden. Nun lese ich in den
Giropay Datenschutzinformationen.pdf von ihrer Webseite auf Seite 3/7
unter Punkt 2.3:
"Die paydirekt GmbH erhebt und speichert die Transaktionsdaten der
Zahlungen. Transaktions- daten sind die Transaktionsreferenz, die
Transaktionsnummer und gegebenenfalls Warenkorbinformationen, sofern der
Händler dies unterstützt"
Sofern der Händler die unterstützt, kann es es also sein, dass Giropay
über die Warenkorbinformationen über die Art der Einkäufe, z.B 100ml
Zahnpastatube der Marke X, Kenntnis erlangt und speichert.
Dies würde dann meiner oben angenommenen Trennung zwischen
Zahlungsdienstleister und Händler widersprechen.
Zudem las ich auf https://noyb.eu/de/giropay-weiss-was-du-letzten-sommer-gekauft-hast
genau von einem solchen Fall aus dem Jahr 2021, bei dem im Zuge der
Händlerunterstützung sensible Daten über Gesundheit und sexuelle
Orientierung übermittelt wurden.
Meine Fragen lauten nun:
Ist diese detaillierte Übermittlung des Warenkorbes auch heute
(August 2023) noch übliche Praxis, sofern es der Händler unterstützt?
Wie kann ich bei einem Onlinekauf erkennen, ob der Händler diese
Informationen an sie als Zahlungsdienstleister weitergibt?
Warum erheben sie überhaupt diese Daten, wenn sie doch optional (da
der Händler dies ja erst unterstützen muss) und somit zur
Zahlungsabwicklung nicht notwendig sind?
Antwort Datenschutzbeauftragter Paydirekt
Zu Ihrer Anfrage kann ich Ihnen folgende Informationen geben. Bereits seit dem vergangenen Jahr verarbeiten wir im Rahmen des giropay-Verfahrens (incl. paydirekt) bei Einkaufstransaktionen keine Warenkorbinformationen mehr.
Allenfalls wenn die Bearbeitung einer Kundennachfrage oder einer Reklamation Informationen zum Kaufgegenstand erforderlich macht, bitten wir gegebenenfalls die Nutzer, uns diese Informationen freiwillig zu übermitteln.
Meine Nachfrage
Vielen Dank für ihre Rückmeldung, ich muss aber noch einmal nachhaken:
Wenn seit dem vergangenen Jahr keine Warenkorbinformationen verarbeitet werden, warum steht dies immer noch in der aktuellen Datenschutzinformation?
Wenn keine Warenkorbinformationen verarbeitet werden, warum hat der Händler dann auch weiterhin die Möglichkeit diese einzutragen und damit auch an sie zu übermitteln?
In der aktuellen Dokumentation der Händler Rest Api Schnittstelle auf https://www.paydirekt.de/giropay-specs/full-giropay-checkout-api.html unter „Checkout“ → „Create a checkout“ → „Request“ steht weiterhin in der Spalte „Field“ der Punkt „items“ wo die genaue Artikelbezeichnung eingetragen werden kann, zwar optional, aber empfohlen „The individual items of the shopping cart. It is recommended to pass these values.“
Das heißt, selbst wenn sie die Warenkorbinformationen nicht mehr verarbeiten, kann sie weiterhin vom Händler übermittelt werden, was dann automatisch zur Folge hat, dass diese sensiblen Informationen bei ihnen gespeichert werden?
Antwort zu meiner Nachfrage des Datenschutzbeauftragten von Paydirekt
Händler können auf freiwilliger Basis bei einem Einkauf im Internet über die von Ihnen genannte API Informationen zur Beschreibung des Kaufgegenstandes (Warenkorbinformationen) an die paydirekt GmbH als Betreiber des Bezahlverfahrens übermitteln.
Diese Informationen wurden in der Vergangenheit für mehrere Zwecke genutzt:
Anzeige der Warenkorbinformationen an den Nutzer vor Abschluss der Transaktion zur Überprüfung der Korrektheit des Einkaufs und Bestätigung der Zahlung
Anzeige und Speicherung der Warenkorbinformationen in der Transaktionsübersicht, die der Nutzer nach der Identifizierung mittels Benutzernamen und Passwort sowie 2FA-Verfahren online ansehen kann
Anzeige und Speicherung der Warenkorbinformationen im internen Kundenserviceportal der paydirekt GmbH um bei Kundenreklamationen gezielt Informationen beim Händler anfordern zu können
Speicherung und Nutzung im Rahmen der Betrugsprävention zum Schutz von Käufern und Händlern vor betrügerischen Transaktionen
Wir haben zwischenzeitlich im Sinne der Datensparsamkeit entschieden, dass eine Speicherung zu den Zwecken 2) und 3) nicht mehr erfolgen soll und haben dies -beginnend im Herbst letzten Jahres- seit dem Frühjahr 2023 auch vollständig umgesetzt.
Zur Überprüfung durch den Nutzer beim Checkout und zur effektiveren Betrugsprävention werden Warenkorbinformationen -sofern der Händler diese übermittelt- nunmehr für einen Zeitraum von 48 Stunden gespeichert und anschließend vollständig gelöscht.
Für die Beschreibung der API ergibt sich daher kein Anpassungsbedarf. Die Datenschutzinformationen werden wir bei der nächsten turnusmäßigen Anpassung entsprechend präzisieren.
Somit stellt sich für mich die Frage, ob Giropay/Paydirekt mit Account nicht doch eine empfehlenswerte Alternative darstellt, insbesondere gegenüber Vorkasse, Lastschrift und Kreditkarte?
Danke für Deine Mühen, @ToKu !!
Das habe ich mit großem Interesse gelesen, denn auf Grund des noyb Beitrags von 2021 habe ich alle Verbindungen zu Giropay/Paydirekt gekappt und möglichst nur noch Vorkasse via Banküberweisung bezahlt (bei den mir bekannten Shops).
Meine Entscheidung werde ich nun nochmal überdenken.
Bitte, bitte. Aber auch im Zusammenhang mit den Bemühungen von @MacGyver stellt sich für mich die Frage auch an @kuketzblog für eine Neubewertung von Giropay/Paydirekt.
Wir haben ja immer noch die Möglichkeit ohne Accountanmeldung zu zahlen, wobei sich @MacGyver die Frage stellt, was es denn dann für einen Unterschied macht, dem Händler direkt die Zahlungsdaten zu geben?
Im Falle einer Bezahlung mit Accountanmeldung bleibt die Frage, ob nun mit der Entschärfung der Verarbeitung der Warenkorbinformationen Giropay/Paydirekt wieder empfehlenswert ist?
Herzlichen Dank auch für deine fortführende Recherche. Ich stellte mir - genau wie du - die Frage einer Neubewertung. In Bezug auf Zahlungen ohne Anmeldung bleibe ich bei meiner Bewertung; denn:
Denn in diesem Fall ergibt es für mich keinen Sinn, dem Händler und giropay meine Kontodaten zu übermitteln. Dann genügt es, diese ausschließlich dem Händler mitzuteilen.
Möchte man dem Händler diese Daten vorenthalten, kommt man nicht um eine Anmeldung bei giropay herum (abgesehen von den bekannten giropay-Alternativen). Angesichts deiner neuen Erkenntnise könnte es wieder ein empfehlenswerter Dienst werden. Fraglich ist allerdings, wie lange man diese Regelungen beibehält. AGB und Datenschutzbestimmungen lassen sich wieder schnell ändern. Hoffe auch auf eine Neubewertung von Mike - falls es die Zeit hergibt.
