Was habe ich als Händler mit Datenschutz zu tun? Als Händler erheben Sie personenbezogene Daten Ihres Kunden, wenn dieser mit einer Karte bezahlt. Sie sind sog. „Verantwortlicher“ im Sinne des Datenschutzrechts. Müssen Sie einen Vertrag über eine Auftragsverarbeitung mit Ihrem Netzbetreiber/Acquirer abschließen? Viele der Anfragen, die uns erreichen, beziehen sich auf einen eventuell erforderlichen Vertrag zur Auftragsverarbeitung zwischen Händler und Netzbetreiber/Acquirer. Hierzu möchten wir Folgendes klarstellen:

• Nach der früheren Rechtslage haben die Landesaufsichtsbehörden für den Datenschutz sowohl Händler als auch Netzbetreiber (und ebenso Acquirer) als Verantwortliche behandelt. Dies ist auch nach wie vor die gültige behördliche Einschätzung (siehe hierzu beispielsweise das DSK-Kurzpapier Nr. 13 zur Auftragsverarbeitung (Anhang B, S. 4) oder die Auslegungshilfe des BayLDA zur Abgrenzung Auftragsverarbeitung (S. 2)).
• Zusätzlich ist festzustellen, dass wir als Netzbetreiber bzw. Acquirer nicht als Auftragsverarbeiter für Sie als Händler tätig werden können, denn unsere Leistungen werden nicht weisungsgebunden, sondern standardisiert für alle unsere Händler einheitlich erbracht und sind weitgehend von der DK (Deutsche Kreditwirtschaft), den Kreditkartenorganisationen/Schemes und den SEPA-Regularien vorgegeben.

Treffen mich als Händler Verpflichtungen als „Verantwortlicher“ nach der DSGVO? Ja. Jeden Verantwortlichen treffen bestimmte Verpflichtungen. Im Hinblick auf Kartenzahlungen im Handel sind das vor allem die Informationspflichten nach Artikel 13 und 14 DSGVO. Was muss ich machen, um meine Kunden zu informieren? Sie als Händler haben zur Erfüllung der Pflichten nach Artikel 13 und 14 DSGVO keinen größeren Aufwand, sondern müssen nur folgende Maßnahmen ergreifen:

• Sie bringen einen gut sichtbaren Kassenhinweis mit der Aufschrift „Datenschutz-Informationen für Karteninhaber“ am POS-Terminal oder an der Ladenkasse an, möglichst auch zusätzlich beim Karten-Akzeptanzaufkleber an der Ladeneingangstür. Statt des Kassenhinweises sind auch Aufsteller oder Aushänge möglich. Der Kassenhinweis zeigt einen QR-Code und/oder eine URL. Beides führt zu einer Website Ihres Netzbetreibers (z.B. der PAYONE) mit den von der DSGVO geforderten Informationen.
• Auf dem Kassenhinweis ergänzen Sie von Hand den Namen Ihres Unternehmens und dessen Kontaktdaten.
• Zusätzlich hinterlegen Sie an der Kasse eine Print-Version der von der DSGVO geforderten Informationen.

Die Kassenhinweise und die Print-Version der Informationen für die Kasse erhalten Sie von Ihrem Netzbetreiber (z.B. von der PAYONE, soweit wir den Netzbetrieb übernehmen). Ihr Netzbetreiber betreibt auch die Website mit den Informationen. PAYONE hat zu diesem Zweck die Website www.payone.com/dsgvo eingerichtet. Diese Website beinhaltet alle notwendigen und nützlichen Informationen über die Datenverarbeitung durch PAYONE. Darüber hinaus wird auf der Vorderseite des Kassenbons ein Hinweis auf unsere Website abgedruckt, sofern Sie ein Terminal besitzen, welches diese technische Möglichkeit bietet und Sie PAYONE als Netzbetreiber nutzen.

Es gibt allerdings Fälle, in denen Sie als Händler noch mehr tun müssen:

• Wenn Sie auch Kreditkarten akzeptieren, müssen Sie an der Kasse oder als Aushang zusätzlich vorhalten: Name und Kontaktdaten des/der Acquirer(s), Kontaktdaten des jeweiligen Datenschutzbeauftragten, Kontaktdaten der jeweiligen Aufsichtsbehörde (z.B. der PAYONE, soweit wir (auch) das Acquiring übernehmen).
• Wenn Sie bei kartengestützten Zahlungen nicht nur die von uns in der Information für Ihre Kunden beschriebenen Standardverfahren nutzen, sondern die personenbezogenen Daten darüber hinaus verarbeiten, z.B. in Ihrem Kassensystem. Diesbezüglich können wir Sie nicht unterstützen und Sie sollten sich im Zweifel entsprechend rechtlich beraten lassen.
• Wenn Sie die Datenschutz-Informationen zur Kartenzahlung auf einer eigenen Website bereithalten möchten.

Die Vorlagen der PAYONE für den Kassenhinweis und die Print-Version können Sie untenstehend auf dieser Website zum Selbst-Ausdrucken herunterladen. Bitte wählen Sie den für Sie einschlägigen Kassenhinweis aus und bringen diesen bitte gut sichtbar für Karteninhaber und mit Ihren Angaben im Kassenbereich an. Zusätzlich legen Sie die Print-Version für Karteninhaber zum Mitnehmen bereit. Alternativ stellen wir auch eine Kurzinformation zur Datenverarbeitung (One-Pager) zum Download bereit, die Sie ebenfalls nutzen können. Das Vorgehen zur datenschutzrechtlichen Information mittels Kassenhinweis, Print-Version und Website hat der BecN e.V. mit der Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) abgestimmt. Das komplette Dokument „Datenschutz-Informationen zu kartengestützten Zahlungen gemäß Art. 13, 14 DSGVO“ finden Sie bei Interesse im Dokumentencenter auf der Website des BecN e.V.. „Die Aufsichtsbehörden sind mit der vom Bundesverband der electronic cash-Netzbetreiber in seinem Entwurf für Datenschutz-Informationen zu kartengestützten Zahlungen (Stand: 30. Januar 2019) vorgeschlagenen Vorgehensweise einverstanden.“ (Mitteilung des Vorsitzenden der DSK vom 9. Juli 2019, LfdI Rheinland-Pfalz Az.: 3.03.20. 100:16, Umlaufverfahren Nr. 16/2019, abgeschlossen am 4. Juli 2019). Downloadbereich:

• Kassenhinweis (Netzbetrieb PAYONE): Bitte nutzen Sie diesen Kassenhinweis, wenn die PAYONE für Sie als Netzbetreiber tätig ist.
• Kassenhinweis (Acquiring PAYONE): Bitte nutzen Sie diesen Kassenhinweis, wenn die PAYONE für Sie als Kreditkartenacquirer tätig ist.
• Kassenhinweis (Netzbetrieb und Acquiring PAYONE): Bitte nutzen Sie diesen Kassenhinweis, wenn die PAYONE für Sie als Netzbetreiber und als Kreditkartenacquirer tätig ist.
• Kassenhinweis (Netzbetrieb PAYONE und Fremdacquiring): Bitte nutzen Sie diesen Kassenhinweis, wenn die PAYONE für Sie als Netzbetreiber tätig ist und zusätzlich ein Dritter das Kreditkartenacquiring für Sie übernimmt.
• Print Version

• Kurzinformation/One-Pager (deutsch): Information zur Datenverarbeitung durch die PAYONE für Endkunden (Karteninhaber/Nutzer) gemäß Art. 14 DSGVO
• Kurzinformation/One-Pager (englisch): Information on data processing by PAYONE for end customers (card holder/user) according to Art. 14 GDPR

Weitere Sprachen der Kurzinformation (französisch, italienisch, niederländisch) können gerne auf Anfrage bereitgestellt werden. Wenden Sie sich hierzu bitte an privacy@payone.com. Nachfolgend erhalten Sie darüber hinaus die gesetzlich geforderten Informationen zum Datenschutz für Sie als Händler (soweit Sie als natürliche Person agieren):

• Datenschutz-Information Händler (deutsch): Information zur Datenverarbeitung durch die PAYONE für Interessenten und Vertragspartner (Händler) gemäß Art. 13 DSGVO
• Datenschutz-Information Händler (englisch): Information on data processing for interested parties and contracting parties (retailers) according to Art. 13 GDPR by PAYONE

Weitere Sprachen der Datenschutz-Information für Händler (französisch, italienisch, niederländisch) können gerne auf Anfrage bereitgestellt werden. Wenden Sie sich hierzu bitte an privacy@payone.com.

• Datenschutz-Gütesiegel (deutsch)
• Datenschutz-Gütesiegel (englisch)