Giropay nicht mehr ohne Registrierung?

Datenschutz
,
55

Ich habe dem Datenschutzbeauftragten von Paydirekt Fragen über die heutige Praxis im Umgang mit den Daten, insbesondere der eventuellen Speicherung von Warenkorbinformationen gestellt.

Meine erste Anfrage

Ich dachte immer der Vorteil einer Onlinezahlung mit Giropay oder Paydirekt sei, dass die Bankdaten nicht an den Händler und die Art der Einkäufe nicht an die Bank übermittelt werden. Nun lese ich in den Giropay Datenschutzinformationen.pdf von ihrer Webseite auf Seite 3/7 unter Punkt 2.3: "Die paydirekt GmbH erhebt und speichert die Transaktionsdaten der Zahlungen. Transaktions- daten sind die Transaktionsreferenz, die Transaktionsnummer und gegebenenfalls Warenkorbinformationen, sofern der Händler dies unterstützt"

Sofern der Händler die unterstützt, kann es es also sein, dass Giropay
über die Warenkorbinformationen über die Art der Einkäufe, z.B 100ml
Zahnpastatube der Marke X, Kenntnis erlangt und speichert.
Dies würde dann meiner oben angenommenen Trennung zwischen
Zahlungsdienstleister und Händler widersprechen.
Zudem las ich auf
https://noyb.eu/de/giropay-weiss-was-du-letzten-sommer-gekauft-hast
genau von einem solchen Fall aus dem Jahr 2021, bei dem im Zuge der
Händlerunterstützung sensible Daten über Gesundheit und sexuelle
Orientierung übermittelt wurden.

Meine Fragen lauten nun:

  1. Ist diese detaillierte Übermittlung des Warenkorbes auch heute
    (August 2023) noch übliche Praxis, sofern es der Händler unterstützt?
  2. Wie kann ich bei einem Onlinekauf erkennen, ob der Händler diese
    Informationen an sie als Zahlungsdienstleister weitergibt?
  3. Warum erheben sie überhaupt diese Daten, wenn sie doch optional (da
    der Händler dies ja erst unterstützen muss) und somit zur
    Zahlungsabwicklung nicht notwendig sind?

Antwort Datenschutzbeauftragter Paydirekt

Zu Ihrer Anfrage kann ich Ihnen folgende Informationen geben. Bereits seit dem vergangenen Jahr verarbeiten wir im Rahmen des giropay-Verfahrens (incl. paydirekt) bei Einkaufstransaktionen keine Warenkorbinformationen mehr.

Allenfalls wenn die Bearbeitung einer Kundennachfrage oder einer Reklamation Informationen zum Kaufgegenstand erforderlich macht, bitten wir gegebenenfalls die Nutzer, uns diese Informationen freiwillig zu übermitteln.

Meine Nachfrage

Vielen Dank für ihre Rückmeldung, ich muss aber noch einmal nachhaken:

  1. Wenn seit dem vergangenen Jahr keine Warenkorbinformationen verarbeitet werden, warum steht dies immer noch in der aktuellen Datenschutzinformation?

  2. Wenn keine Warenkorbinformationen verarbeitet werden, warum hat der Händler dann auch weiterhin die Möglichkeit diese einzutragen und damit auch an sie zu übermitteln?
    In der aktuellen Dokumentation der Händler Rest Api Schnittstelle auf https://www.paydirekt.de/giropay-specs/full-giropay-checkout-api.html unter „Checkout“ → „Create a checkout“ → „Request“ steht weiterhin in der Spalte „Field“ der Punkt „items“ wo die genaue Artikelbezeichnung eingetragen werden kann, zwar optional, aber empfohlen „The individual items of the shopping cart. It is recommended to pass these values.“
    Das heißt, selbst wenn sie die Warenkorbinformationen nicht mehr verarbeiten, kann sie weiterhin vom Händler übermittelt werden, was dann automatisch zur Folge hat, dass diese sensiblen Informationen bei ihnen gespeichert werden?

Antwort zu meiner Nachfrage des Datenschutzbeauftragten von Paydirekt

Händler können auf freiwilliger Basis bei einem Einkauf im Internet über die von Ihnen genannte API Informationen zur Beschreibung des Kaufgegenstandes (Warenkorbinformationen) an die paydirekt GmbH als Betreiber des Bezahlverfahrens übermitteln.

Diese Informationen wurden in der Vergangenheit für mehrere Zwecke genutzt:

  1. Anzeige der Warenkorbinformationen an den Nutzer vor Abschluss der Transaktion zur Überprüfung der Korrektheit des Einkaufs und Bestätigung der Zahlung
  2. Anzeige und Speicherung der Warenkorbinformationen in der Transaktionsübersicht, die der Nutzer nach der Identifizierung mittels Benutzernamen und Passwort sowie 2FA-Verfahren online ansehen kann
  3. Anzeige und Speicherung der Warenkorbinformationen im internen Kundenserviceportal der paydirekt GmbH um bei Kundenreklamationen gezielt Informationen beim Händler anfordern zu können
  4. Speicherung und Nutzung im Rahmen der Betrugsprävention zum Schutz von Käufern und Händlern vor betrügerischen Transaktionen

Wir haben zwischenzeitlich im Sinne der Datensparsamkeit entschieden, dass eine Speicherung zu den Zwecken 2) und 3) nicht mehr erfolgen soll und haben dies -beginnend im Herbst letzten Jahres- seit dem Frühjahr 2023 auch vollständig umgesetzt.

Zur Überprüfung durch den Nutzer beim Checkout und zur effektiveren Betrugsprävention werden Warenkorbinformationen -sofern der Händler diese übermittelt- nunmehr für einen Zeitraum von 48 Stunden gespeichert und anschließend vollständig gelöscht.

Für die Beschreibung der API ergibt sich daher kein Anpassungsbedarf. Die Datenschutzinformationen werden wir bei der nächsten turnusmäßigen Anpassung entsprechend präzisieren.

Somit stellt sich für mich die Frage, ob Giropay/Paydirekt mit Account nicht doch eine empfehlenswerte Alternative darstellt, insbesondere gegenüber Vorkasse, Lastschrift und Kreditkarte?

2 „Gefällt mir“