Datenschutz von Kontodaten bei elektronischem Rechnungsversand und SEPA-Lastschriftverfahren

Informationen über
veröffentlicht am

Aufgrund der unverschlüsselten Versendung von Rechnungen mit unmaskierten Kontodaten (IBAN und BIC) per E-Mail kritisierte der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LDI) die Deutsche Telekom. Auch dadurch rückt die Frage in den Vordergrund, ob und inwieweit IBAN und BIC als personenbezogene Daten einem höheren Schutzniveau unterliegen.

Kritik des LDI an der Telekom


Berichten der “Allgemeinen Zeitung“ nach versandte die Telekom Anfang des Jahres an Millionen von Kunden per E-Mail deren aktuelle Rechnung als angehängte PDF-Datei. Auf dieser waren unter anderem die neuen SEPA-Daten der jeweiligen Kontoverbindung – International Bank Account Number (IBAN) und Bank Identifier Code (BIC) – vollständig und unmaskiert – mit der Bitte um Überprüfung der Angaben enthalten. Hierfür steht die Telekom in der Kritik – unter anderem des LDI. Gerügt wurde die mangelnde Sensibilität im Umgang mit personenbezogenen Daten, insbesondere im Hinblick auf IBAN und BIC.
Ob IBAN und BIC personenbezogene Daten mit besonderer Schutzwürdigkeit sind und welche Konsequenzen sich daraus für die Praxis im Hinblick auf den elektronischen Rechnungsversand und das SEPA-Lastschriftverfahren ergeben, wird nachfolgend genauer betrachtet.

Kontodaten als besonders schutzwürdige personenbezogene Daten


IBAN und BIC sind als Kontodaten personenbezogene Daten, also nach der gesetzlichen Definition Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Personen. Bei der IBAN handelt es sich um eine internationale, standarisierte Kontonummer, wobei der BIC der Identifizierung von Kreditinstituten dient. Durch IBAN und BIC ist die zweifelsfreie Zuordnung eines Bankkontos bei einem bestimmten Kreditinstitut möglich. Eine Bestimmbarkeit des Betroffenen ergibt sich regelmäßig entweder aus der vielfachen Verwendung der Kontodaten im täglichen Geschäftsleben oder – wie im Fall des Rechnungsversands – aus der Verbindung von Adressat und Kontodaten.

Das BDSG sieht dabei für “besondere Arten personenbezogener Daten” gemäß § 3 Abs. 9 BDSG, wie z. B. Gesundheitsdaten, einen besonderen Schutz vor. Darunter fallen Kontodaten jedoch gerade nicht. Dennoch kann ein höheres Schutzniveau aus dem gesteigerten Geheimhaltungsinteresse des Betroffenen und aus der Nennung von Bank und Kreditkartendaten neben besonderen personenbezogenen Daten in § 42a BDSG hergeleitet werden. In der Gesetzesbegründung werden diese Datenkategorien als “besonders sensible personenbezogene Daten” qualifiziert, insbesondere aufgrund des hoch eingeschätzten Gefährdungspotenzials, sollte ein unbefugter Dritter von den Daten Kenntnis erlangen. Auch ein Inkrafttreten der von der Europäischen Kommission vorgeschlagenen Richtlinie für Zahlungsdienste im Binnenmarkt („Payment Services Directive 2“; kurz „PSD 2“) würde die Qualifizierung von Kontodaten als besonders schutzwürdige Daten unterstützen, da nach dieser Zahlungsdaten als sensibel gelten. Zwar unterliegen Kontodaten folglich nicht demselben Schutzniveau wie Daten im Sinne des § 3 Abs. 9 BDSG, dennoch erfordert der Umgang mit ihnen eine erhöhte Sensibilität.

Rechnungsversand, SEPA-Mandat und Pre-Notification


Diese erhöhten Schutzanforderungen werden unter anderem bei dem bereits erwähnten elektronischen Rechnungsversand, wie er durch die Telekom erfolgte, und im Rahmen des SEPA- Mandates und der Vorabinformation für die SEPA-Lastschrift (sogenannte “Pre-Notification”) relevant.

Rechnungsversand


Eine unverschlüsselte Versendung unmaskierter Kontodaten insbesondere in Verbindung mit zusätzlichen Identifizierungsmerkmalen, wie zum Beispiel Name und Adresse des Betroffenen, wie es auf einer Rechnung regelmäßig der Fall ist, wird der besonderen Schutzwürdigkeit von Kontodaten nicht gerecht. Daher empfehlen wir, soweit Rechnungen IBAN und BIC enthalten, die Daten zu maskieren oder das zu versendende Dokument zu verschlüsseln und dem Empfänger den entsprechenden Schlüssel beispielsweise per SMS oder innerhalb des Kunden-Accounts zur Verfügung zu stellen.

SEPA-Mandat


Ähnliche Probleme ergeben sich im Rahmen des SEPA-Mandates. Dieses stellt die rechtliche Legitimation für den Einzug von SEPA-Lastschriften dar. Es umfasst sowohl die Zustimmung des Zahlungspflichtigen zum Einzug der Zahlung per SEPA-Lastschrift an den Zahlungsempfänger als auch den Auftrag an den eigenen Zahlungsdienstleister zur Einlösung der Zahlung (sogenannte Doppelweisung). Die Gestaltung des SEPA-Mandates bestimmt sich insbesondere nach dem “SEPA Core Direct Debit Scheme Rulebook“ (Regelwerk für das SEPA-Basis-Lastschriftverfahren, kurz „SEPA-Regelwerk“) des European Payment Council (EPC), eine Vereinigung der Zahlungsinstitute. Demnach müssen auf einem SEPA-Mandat unter anderem Name, Adresse, Kontoverbindung und Unterschrift des Kontoinhabers enthalten sein.

Den vorgenannten Vorgaben zu genügen und dabei auch den datenschutzrechtlichen Anforderungen gerecht zu werden, ist für Zahlungsempfänger problematisch. Für eine autorisierte Zahlung muss das SEPA-Mandat alle erforderlichen Angaben enthalten, also auch die Kontodaten. Das vollständige SEPA-Mandat wird an den Zahlungsempfänger versendet, der dann das Mandat als Erklärungsbote des Zahlungspflichtigen an dessen Zahlungsdienstleister weiterleitet. Das Verfahren zur Einholung des SEPA-Mandates wurde den Marktteilnehmern weitgehend selbst überlassen, was in dem SEPA-Regelwerk des EPC mündete. Jedoch müssen die Zahlungsinstitute jedenfalls die aus dem Datenschutzrecht resultierende hohe Schutzwürdigkeit von Kontodaten berücksichtigen. Daraus ergeben sich für die Zahlungsinstitute im Wesentlichen folgende Möglichkeiten:

  • Maskierung der Kontodaten im Original-Mandat
    Zwar ist dies aus datenschutzrechtlicher Sicht empfehlenswert, jedoch kann es dazu führen, dass ein Nachweis der Autorisierung erschwert oder eine Autorisierung von dem jeweiligen Zahlungsdienstleister angezweifelt wird. Mithin ist dies wohl kein praktikabler Weg.
  • Postversand ohne Maskierung
    Dies ist etwas umständlich, aber durchaus praktikabel. Dabei kann das entsprechende Formular beispielsweise online bei dem Zahlungsempfänger heruntergeladen und dann ausgefüllt per Post versendet werden.
  • E-Mail-Versand ohne Maskierung mit Verschlüsselung
    Zwar ist der E-Mail-Versand gerade im Lichte jüngerer Meldungen über die massenhafte Entwendung von Passwörtern problematisch. Jedoch erscheint es mit dem erhöhten Schutzniveau vereinbar, wenn das SEPA-Mandat verschlüsselt versendet wird und dem Empfänger der entsprechende Schlüssel z. B. per SMS oder innerhalb des Kunden-Accounts zur Verfügung gestellt wird.

Pre-Notification


Die Pre-Notfication dient der erforderlichen Vorabinformation des Zahlungspflichtigen vor Einzug der ersten SEPA-Lastschrift. Der Zahlungspflichtige muss dabei über Höhe und Zeitpunkt des Lastschrifteinzugs vorab informiert werden.

Da die Pre-Notification nicht dem Nachweis einer Zahlungsautorisierung dient, sondern lediglich der Ankündigung gegenüber dem Zahlungspflichtigen über den bevorstehenden Vollzug der Lastschrift, ist eine datenschutzrechtlich beanstandungsfreie Lösung einfacher. Hier ist nämlich das Aufführen von Kontodaten nicht erforderlich. Wir empfehlen daher, die Kontodaten in der Pre-Notification gar nicht anzugeben oder diese zumindest zu maskieren.

Weitere Informationen zum SEPA-Verfahren erhalten Sie auf unserer Themenseite .

weitere Artikel von Kategorien ,