Erfolgsfaktoren für Prepaid-Karten in Europa - HAMMERSENs
Erfolgsfaktoren für Prepaid-Karten in Europa - HAMMERSENs
Erfolgsfaktoren für Prepaid-Karten in Europa - HAMMERSENs
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Fortsetzung von Seite 6<br />
öffentliche Erklärung abzugeben –<br />
allerd<strong>in</strong>gs nur über den Pressebereich<br />
von Visa Europe <strong>in</strong> London<br />
zugänglich. MasterCard hat zwar<br />
ebenso wie Visa Mitte November<br />
<strong>in</strong>nerhalb kürzester Zeit e<strong>in</strong>en gewaltigen<br />
Andrang telefonischer<br />
Journalisten-Anfragen bewältigt,<br />
Gastbeitrag von<br />
Jens Christoph Hammersen<br />
Der Datendiebstahl bei e<strong>in</strong>em spanischen<br />
Prozessor sorgte vor Kurzem<br />
<strong>für</strong> Schlagzeilen. Wurden<br />
„Datenpannen“ früher möglichst<br />
diskret abgewickelt, geht der<br />
Trend nunmehr zu e<strong>in</strong>em offeneren<br />
Umgang. E<strong>in</strong>en nicht unerheblichen<br />
Grund <strong>für</strong> diese Entwicklung<br />
dürfte die seit 1. September<br />
2009 geltende Meldepflicht bei<br />
Datenpannen nach § 42a Bundesdatenschutzgesetz<br />
(BDSG) darstellen:<br />
„Stellt e<strong>in</strong>e nichtöffentliche<br />
Stelle (…) fest, dass bei ihr gespeicherte<br />
(...) personenbezogene<br />
Daten zu Bank- oder Kreditkartenkonten<br />
unrechtmäßig übermittelt<br />
oder auf sonstige Weise Dritten<br />
unrechtmäßig zur Kenntnis gelangt<br />
s<strong>in</strong>d, und drohen schwerwiegende<br />
Bee<strong>in</strong>trächtigungen <strong>für</strong> die<br />
Rechte oder schutzwürdigen Interessen<br />
der Betroffenen, hat sie<br />
dies (…) unverzüglich der zuständigen<br />
Aufsichtsbehörde sowie den<br />
Betroffenen mitzuteilen.“<br />
E<strong>in</strong>e der zentralen Fragen lautet:<br />
Wer ist meldepflichtig?<br />
Nach dem Wortlaut der Vorschrift<br />
ist die speichernde Stelle meldepflichtig.<br />
Werden bestimmte Daten<br />
bei mehreren Stellen gespeichert<br />
(zum Beispiel <strong>Karten</strong>herausgeber,<br />
Prozessoren, Acquirer, Vertragsunternehmen),<br />
stellt sich die<br />
Frage, ob im Falle e<strong>in</strong>es Datenverlustes<br />
jedes dieser Unternehmen<br />
mitteilungspflichtig ist. Andere<br />
Normen, wie beispielsweise der<br />
Schadensersatzanspruch nach § 7<br />
BDSG, richten sich nur gegen die<br />
Nr. 12, 16. Dezember 2009, www.b-b-hamburg.de<br />
sich ansonsten aber mit Informationen<br />
bedeckt gehalten.<br />
Der H<strong>in</strong>weis der <strong>Karten</strong>organisationen,<br />
mit e<strong>in</strong>er frühzeitigen Information<br />
der Öffentlichkeit hätte<br />
man die Banken verärgert, kann<br />
kaum überzeugen. Denn der Versuch,<br />
die Informationen so lange<br />
wie möglich zurückzuhalten, hat<br />
Meldepflicht bei Datenklau: Rechtsunsicherheit<br />
„verantwortliche Stelle“ (vgl. § 3<br />
Abs. 7 BDSG). Kommt es demnach<br />
auf die „Datenverantwortlichkeit“<br />
nicht an?<br />
Das BDSG kennt zwei Kategorien<br />
von Datenverarbeitern: Verantwortliche<br />
Stellen und Auftragsdatenverarbeiter.<br />
Für letztere folgt<br />
aus § 11 Abs. 4 BDSG, dass sie<br />
nicht meldepflichtig s<strong>in</strong>d. Denn<br />
hier werden die Pflichten des Auftragsdatenverarbeitersabschließend<br />
aufgezählt, ohne dass auf<br />
§ 42a BDSG verwiesen würde.<br />
Auftragsdatenverarbeiter haben<br />
somit lediglich ihren Auftraggeber<br />
zu benachrichtigen. Diese Verlagerung<br />
der Meldepflicht setzt aber<br />
voraus, dass e<strong>in</strong>e Auftragsdatenverarbeitung<br />
wirksam vere<strong>in</strong>bart<br />
ist. Daher verdient die Umsetzung<br />
der seit 1. September 2009 neu<br />
gefassten Anforderungen an die<br />
Vere<strong>in</strong>barung e<strong>in</strong>er Auftragsdatenverarbeitung<br />
(§ 11 Abs. 2 BDSG)<br />
besondere Beachtung, nicht nur<br />
wegen der möglichen Bußgelder.<br />
Potentiell meldepflichtig s<strong>in</strong>d demnach<br />
nur Unternehmen, die als<br />
verantwortliche Stelle im S<strong>in</strong>ne<br />
des BDSG anzusehen s<strong>in</strong>d. Als<br />
Beispiel mögen <strong>Karten</strong>herausgeber<br />
und Vertragsunternehmen dienen.<br />
Beide erheben, verarbeiten<br />
und nutzen relevante Daten <strong>in</strong> der<br />
Regel <strong>für</strong> sich selbst, so dass zwischen<br />
beiden ke<strong>in</strong>e Auftragsdatenverarbeitung<br />
stattf<strong>in</strong>det. Letztlich<br />
muss die Antwort auf die Frage<br />
nach der Meldepflicht daher aus<br />
e<strong>in</strong>em anderen Merkmal des<br />
§ 42a BDSG gewonnen werden:<br />
Die Meldepflicht wird durch die<br />
7<br />
dazu geführt, dass die Banken<br />
jetzt erst recht verärgert s<strong>in</strong>d: über<br />
Negativ-Schlagzeilen und verunsicherte<br />
<strong>Karten</strong><strong>in</strong>haber. Und dass<br />
e<strong>in</strong>ige Vertreter der Kreditwirtschaft<br />
ihrem Ärger bereits öffentlich<br />
Luft gemacht haben, kann<br />
ebenfalls kaum im S<strong>in</strong>ne von<br />
MasterCard und Visa se<strong>in</strong>.<br />
Feststellung ausgelöst, dass relevante<br />
Daten „unrechtmäßig übermittelt<br />
oder auf sonstige Weise<br />
Dritten unrechtmäßig zur Kenntnis<br />
gelangt s<strong>in</strong>d“.<br />
Die Frage, an wen e<strong>in</strong> Unternehmen<br />
Daten rechtmäßig übertragen<br />
darf, kann nicht pauschal beantwortet<br />
werden. Die Antwort ergibt<br />
sich <strong>in</strong> erster L<strong>in</strong>ie aus dem Zweck<br />
der Datenverarbeitung (z.B. Zahlungsabwicklung).<br />
An den Zweck<br />
s<strong>in</strong>d letztlich die Befugnis zur<br />
Weitergabe sowie die Kategorien<br />
zulässiger Empfänger geknüpft.<br />
Daher hängt die Informationspflicht<br />
nicht nur von der Identität<br />
der speichernden Stelle ab, sondern<br />
auch von den Bed<strong>in</strong>gungen<br />
der Kreditkartenorganisationen,<br />
sowie der <strong>in</strong>volvierten Banken und<br />
Unternehmen. Nicht zuletzt können<br />
e<strong>in</strong>e mögliche E<strong>in</strong>willigung<br />
des <strong>Karten</strong><strong>in</strong>habers und deren<br />
Reichweite maßgeblich se<strong>in</strong>.<br />
Wenngleich erste Stimmen <strong>in</strong> der<br />
Fachliteratur die dargestellte<br />
Sichtweise unterstützen, bleiben<br />
Stellungnahmen der Aufsichtsbehörden<br />
und Gerichte abzuwarten.<br />
Die gesamte Vorschrift wird aufgrund<br />
ihrer Unschärfe noch e<strong>in</strong>ige<br />
Zeit <strong>für</strong> e<strong>in</strong>e gewisse Rechtsunsicherheit<br />
sorgen. Der Gesetzgeber<br />
ist hier zur Nachbesserung aufgerufen.<br />
Jens Christoph Hammersen ist<br />
Gründer der Kanzlei Hammersen<br />
Rechtsanwälte <strong>in</strong> München, die<br />
auf Bankrecht, Wirtschaftsvertrags-,<br />
Gesellschafts- und Arbeitsrecht<br />
spezialisiert ist.