Was ist Mastercard?
Mastercard ist ein Zahlungsdienstleister mit Sitz in New York. Unternehmen können Mastercard als Zahlungsoption auf ihrer Webseite einbinden. Kunden können dann Produkte und Dienstleistungen darüber bezahlen – vorausgesetzt, sie besitzen eine Kreditkarte des Anbieters. Welche datenschutzrechtlichen Vorgaben müssen Unternehmen beachten, wenn sie Mastercard als Paymentoption anbieten?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Mastercard datenschutzrechtlich relevant?
Integrieren Unternehmen Mastercard im Zahlungsbereich ihrer Webseite, erheben sie darüber personenbezogene Daten. Denn: Kunden müssen bei der Bezahlung über Mastercard schützenswerte Daten wie
- Name,
- Anschrift,
- E-Mail und
- Kreditkartennummer
angeben. Diese Daten sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Vorschriften beachten.
So können Händler Mastercard datenschutzkonform nutzen
Verwenden Unternehmen Mastercard als Zahlungsoption auf ihrer Webseite, warten auf sie diese rechtlichen Plichten:
Datenschutzerklärung anpassen
Unternehmen müssen in ihrer Datenschutzerklärung aufführen, dass sie Mastercard als Zahlungsdienstleister nutzen. In diesem Kontext müssen sie erklären,
- warum sie dabei personenbezogene Daten erheben,
- wie lange sie diese Daten speichern und
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 DSGVO).
Gemäß DSGVO können Nutzer einer Datenerhebung jederzeit widersprechen. Darauf müssen Unternehmen in ihrer Datenschutzerklärung hinweisen. Aber: User können nicht der Datenerhebung widersprechen, die für die Zahlungsabwicklung über Mastercard zwingend notwendig ist.
Datensparsamkeit beachten
Um eine Zahlung über einen Dienstleister abzuwickeln, benötigen Unternehmen in der Regel lediglich Kundendaten wie den Namen und die Kreditkartennummer. Weitere Daten sollten sie in diesem Kontext nicht abfragen. Ansonsten verstoßen sie gegen den Grundsatz der Datensparsamkeit der DSGVO.
Vertrag zur Auftragsverarbeitung abschließen?
Mastercard entscheidet selbst, welche personenbezogenen Daten es von Kunden verwendet, um eine Zahlung abzuwickeln. Das heißt: Mastercard verarbeitet die Daten nicht weisungsgebunden. Damit liegt keine Auftragsverarbeitung vor. Unternehmen müssen mit Mastercard daher keinen Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen.
Rechtsprechung zu Mastercard
Aus Unternehmenssicht gibt es – soweit ersichtlich – keine Rechtsprechung zum Datenschutz von Mastercard. Aus Verbrauchersicht kam es im August 2019 jedoch zu einem Datenleck bei Mastercard. So tauchten über 90.000 Kundendaten des Bonusprogramms „Priceless Specials“ in einem Online-Forum auf. Darunter waren Namen, Kontonummern, E-Mail-Adressen, Anschriften und Telefonnummern zu finden. Mastercard sah sich jedoch nicht selbst, sondern Drittpartner verantwortlich. Mehr als 2000 Kunden wandten sich daher an die Europäische Gesellschaft für Datenschutz (EuGD). Ein Verfahren landete vor dem Landgericht (LG) Karlsruhe. Dies entschied: Mastercard muss keinen Schadensersatz zahlen. Es handelt sich um einen Bagatellschaden.
Ein weiterer Fall landete vor dem LG Stuttgart. Dies wies die Klage ebenfalls ab. Die Begründung: Der Kläger konnte nicht beweisen, dass Mastercard gegen den Datenschutz verstoßen hat (Urteil vom 11.11.2020, Az. 14 O 273/20). In der nächsten Instanz berief sich der Kläger darauf, dass die Beweislast in diesem Fall umgekehrt werden müsse. Mastercard müsse nachweisen, dass es alle Sicherheitsstandards wie eine ausreichende Verschlüsselung nach dem PCI-DSS-Standard eingehalten hat. Und: Der Kläger gab zu bedenken, dass Mastercard vermutlich keinen Penetrationstest durchgeführt habe, um Sicherheitslücken aufzudecken. Das Oberlandesgericht (OLG) Stuttgart wies die Klage ebenfalls ab (Urteil vom 31.03.2021, Az. 9 U 34/21). Das Gericht ließ wissen, dass der Kunde beweisen muss, dass Mastercard gegen seine Pflichten aus Art. 32 Abs. 1 DSGVO verstoßen hat. Derzeit läuft das Revisionsverfahren vor dem Bundesgerichtshof (Az. VI ZR 111/21).