Kreditinstitut

Die rechtliche Qualifizierung der Beziehung zwischen den kartenemittierenden Kreditinstituten und den Evidenzzentralen ist entscheidend für die Beantwortung der Frage, ob die Nutzung der Geldkarte zur Verarbeitung personenbezogener Daten führt. Wenn die Datenverarbeitung der Evidenzzentralen als Datenverarbeitung im Auftrag i.S.d. Datenschutzgesetze (vgl. z. B. § 4 HDSG) zu qualifizieren ist, verfügen die Kreditinstitute als Auftraggeber über personenbezogene (Bezahl-)Daten - wenn nicht, sind die Transaktionsdaten weder für die Evidenzzentrale noch die Kreditinstitute personenbezogen.

Ziff. 13 der Vereinbarung verpflichtet die dem System angeschlossenen Kreditinstitute, zur Gewährleistung der Sicherheit des Systems geeignete Maßnahmen durchzuführen und festzustellen, ob gefälschte oder verfälschte Umsätze eingereicht werden, ob Umsätze mehrfach eingereicht werden, Systemangriffe, wie z. B. Laden von ohne vorhergehende Autorisierung, erfolgen oder unberechtigte Reklamationen vorkommen. Mit diesen Prüfungen müssen die Kreditinstitute eine Börsenevidenzzentrale beauftragen. Als beauftragte Stelle können nur solche Einrichtungen tätig werden, die zu einer Kreditinstitutsgruppe gehören oder von der Kreditwirtschaft getragen werden. Die Börsenevidenzzentrale darf ihre Tätigkeit aufnehmen, wenn sie die im Technischen Anhang der Vereinbarung dazu enthaltenen Voraussetzungen erfüllt und dies von den Vertragspartnern der Vereinbarung bestätigt worden ist.

Ziff. 15 verweist für die Einzelheiten der von der Börsenevidenzzentrale zu erfüllenden Aufgaben auf den Technischen Anhang. Die Vereinbarung bestimmt in Ziff. 15 außerdem, dass sich die Börsenevidenzzentrale und die sie beauftragenden Kreditinstitute auf Verrechnungsbanken zu verständigen haben. Der Einzug von durch die Kreditinstitute der Vertragsunternehmen beim kartenausgebenden Kreditinstitut darf nur über die jeweils zuständigen Verrechnungsbanken erfolgen. Die eingeschalteten Börsenevidenzzentralen haben sicherzustellen, dass den jeweils zuständigen Börsenevidenzzentralen der kartenausgebenden Institute ein Abgleich zwischen dem Betrag der eingezogenen Lastschrift und der zugrunde liegenden Einzelumsätze möglich ist, indem sie die dafür erforderlichen Daten zur Verfügung stellen.

Die Vereinbarung spricht zwar davon, dass die kartenausgebenden Kreditinstitute die Börsenevidenzzentrale beauftragen. Damit ist jedoch weder eine zivilrechtliche noch datenschutzrechtliche Festlegung beabsichtigt. Zivilrechtlich dürfte es sich um eine entgeltliche Geschäftsbesorgung handeln. Datenschutzrechtlich stellt sich die Frage, ob die Evidenzzentrale als Auftragnehmer für die kartenausgebenden Kreditinstitute tätig wird oder ob sie eigenständig auf Grund einer Funktionsübertragung tätig wird.

Ersteres wäre der Fall, wenn die Evidenzzentrale lediglich als Erfüllungsgehilfe für die kartenausgebenden Institute fungierte, wenn die Leistung nur darin bestünde, für die Erfüllung der Aufgaben und Geschäftszwecke der Kreditinstitute die technische Durchführung der Datenverarbeitung zu übernehmen. Die Evidenzzentrale ist jedoch nicht nur eine Relaisstation im zwischen Vertragsunternehmen (Akzeptanzstelle) und kartenausgebendem Kreditinstitut, sondern sie nimmt eine eigenständige Funktion im Zahlungssystem wahr. Sie führt die Sicherheitsüberprüfung der von den Unternehmen zur Verrechnung eingereichten Transaktionen durch und liefert die für die Abwicklung des Zahlungsverkehrs durch die Verrechnungsbanken der jeweiligen Evidenzzentrale erforderlichen Daten. Die Evidenzzentrale wird außerdem bei Reklamationen tätig. Stellt sie fehlerhafte Händlereinreichungen fest, informiert sie über seine Händlerbank den betreffenden Händler und bittet um Klarstellung bzw. Korrektur. Bei defekten Börsenkarten kann über die für das kartenausgebende Kreditinstitut zuständige Evidenzzentrale der Restsaldo der festgestellt werden; nur so ist eine Rückerstattung möglich. Die Aufgabenbeschreibung macht deutlich, dass die Evidenzzentrale mit der Datenverarbeitung auch eigene Geschäftszwecke verfolgt.

Auftragsdatenverarbeitung setzt außerdem voraus, dass der Auftragnehmer nicht selbständig über die Daten verfügen kann, sondern die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung allein beim Auftraggeber verbleibt. Dies trifft jedoch nach Aussagen des BWS für die Transaktionsdaten nicht zu.

Die Kreditinstitute erhalten danach grundsätzlich von der Evidenzzentrale keine Auskunft über diese Daten. Nur in Ausnahmefällen teilt ihnen die Evidenzzentrale den Saldo einer Karte mit.

4.7

Personenbezogene oder anonyme Daten

Das Bundesdatenschutzgesetz definiert in § 3 Abs. 1 personenbezogene Daten als Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Bestimmt ist die Person, wenn die Einzelangaben mit identifizierenden Daten, z. B. Namen oder Kennziffern, verbunden sind, so dass sich unmittelbar der Bezug zu einer Person herstellen läßt. Für die Bestimmbarkeit kommt es auf das verfügbare Zusatzwissen der speichernden Stelle an. Sie muss die Daten mit den ihr normalerweise zur Verfügung stehenden Mitteln und ohne unverhältnismäßig hohen Aufwand an Zeit, Kosten und Arbeitskraft einer Einzelperson zuordnen können (§ 3 Abs. 7 BDSG). Der Begriff personenbezogenes Datum ist also relativ. Es genügt nicht, dass die Daten mit irgendwo vorhandenen anderen Daten zusammengeführt und damit einer Person zugeordnet werden können, sondern das Zusatzwissen muss der speichernden Stelle zugänglich sein.