Payment-Provider und das Problem mit der DSGVO

Warum wir nicht mehr auf bitpay oder Coingate setzen.

Im Beitrag ​ Zahlungsanbieter für Kryptowährungen​ hatte ich eine Artikelserie zum Thema Payment-Provider angekündigt und begann diese mit der der Vorstellung des US amerikanische Unternehmens​ ​ bitpay​ .

Warum es keine weiteren Artikel zu dem Thema gab und warum ich heute sogar von diesen Payment-Providern Abstand nehme, möchte ich in diesem Artikel erläutern.

Die Tücken der DSGVO

Wie die meisten Leser sicherlich wissen, ist am 25.05.2018 die DSGVO in Kraft getreten. Dies hat für die Betreiber von Webseiten viele Konsequenzen.

Eine davon ist im Artikel 28 der DSGVO geregelt und besagt (vereinfacht ausgedrückt), dass ein so genannter Auftragsdatenverarbeitungsvertrag (im folgenden „AVV“ genannt) abgeschlossen werden muss, wenn ein Unternehmen einen externen Dienstleister (Auftragnehmer) damit beauftragt, weisungsgebunden personengebundene Daten zu verarbeiten.

Okay, jetzt mal im verständlichen deutsch:

Ein solcher Auftragnehmer wäre z.B. ein Payment-Provider, der im Auftrag eines Shopbetreibers Kryptozahlungen abwickelt. Nur werden dann auch personengebundene Daten übertragen?

Im Netz fand ich dazu viele unterschiedliche Meinungen. Mehr aus Interesse als aus Notwendigkeit wendete ich mich erstmalig im Juni 2018 schriftlich an bitpay und Coingate und fragte nach, ob ich mit ihnen einen AVV abschließen kann.

Nachdem ich auch nach mehrmaligem Nachfragen keine Antwort erhalten hatte, wollte ich auf Nummer sicher gehen und kontaktierte zu dem Thema einen Anwalt.

bitpay, coingate und der AVV

Rechtsanwalt Steffen Batscheider aus Nürnberg bestätigte mir auf meine Anfrage, dass ein AVV benötigt wird, wenn man für Kryptozahlungen einen Dienstleister wie bitpay oder Coingate beauftragt. Er erklärte mir:

„Anders als bei zum Beispiel Paypal, wo der Endkunde vor dem Bezahlvorgang einen Account angelegt haben muss, ist das bei bitpay oder coingate nicht der Fall. Der Payment-Provider arbeitet somit weisungsgebunden im Auftrag des Shopbetreibers und ist direkte (und einzige) Schnittstelle zwischen Kunde und Shop.

Es ist davon auszugehen, dass während des Zahlungsvorganges über bitpay oder coingate Details der Bestellung mit aufgeführt sind und im Rahmen des Abwicklungsvorgangs personenbezogene Daten verarbeitet werden. Zwar sind sogenannte Zahlungsdaten keine besonderen Daten im Sinne der DSGVO, dennoch werden personenbezogene Daten verarbeitet wie zum Beispiel die IP-Adresse, welche ein personenbezogenes Datum darstellt (vergleiche BGH mit Urteil vom 16.05.2017 – VI ZR135/13).

Im Ergebnis werden durch das Outsourcen der Zahlungsabwicklung durch den Shopbetreiber an externe Zahlungsdienstleister Auftragsverarbeitungen personenbezogener Daten vorgenommen, sodass meines Erachtens zwingend ein AVV notwendig ist.“

Ich habe aber keinen AVV …

Damit war für mich die Sache klar: Solange ich keinen AVV habe, werde ich keinen Payment-Provider auf den von mir betreuten Webseiten einbinden. Das Risiko ist mir einfach zu groß.

Aber wie heißt es bekanntlich? “Jedes Problem könnte eine Chance sein!

Demnächst werde ich das Thema noch mal aufgreifen  😀

Anmerkung:

Nur weil ich vom bitpay bzw. Coingate-Support keine Antwort erhalten habe heißt das nicht, dass diese Unternehmen keinen AVV abschließen. Vielleicht hatte ich einfach nur Pech und der Support hat meine Anfragen übersehen.

Konntest du einen AVV mit bitpay oder Coingate anbschließen oder möchtest vielleicht etwas zu dem Thema anmerken? Dann schreibe mir! Ich freue mich über jegliches Feedback und werde mich bemühen dir zeitnah zu antworten.

21. März 2019