Mobiles Bezahlsystem „Mpass“ setzt auf Lastschriftverfahren

Das mobile Bezahlen wird für Onlinehändler eine immer wichtigere Sparte im E-Commerce. Eine der prominentesten Lösungen stellt das von Vodafone, O2 und Telekom betriebene System „Mpass“ dar. Voraussetzung dafür ist, dass der Kunde sich vorab bei „Mpass“ mit seinen persönlichen Daten und seiner Kontoverbindung registriert hat. So kann er bei den Webshop-Betreibern, die Vertragspartner sind, seine ausgewählten Produkte mit dem Smartphone oder Tablet-PC unterwegs bezahlen. Er erhält nach Eingabe seiner Zugangsdaten per SMS eine TAN, mit der er die Zahlung bestätigen kann. Anders als bei der „Google-Wallet-Lösung“ lädt der Kunde kein Guthaben bei „Mpass“. Vielmehr erfolgt die Zahlung im Wege des Lastschriftverfahrens.

Von Martin Boden

Für den Händler ergeben sich dabei keine anderen Risiken als bei der herkömmlichen Lastschrifterteilung durch einen Kunden. Unautorisierte Zahlungen lösen Ersatzansprüche des Kunden gegenüber dem Zahlungsdienstleister aus. Der Händler hat, wie bei anderen E-Geld- Lösungen auch, einen Anspruch auf Ausgleich der Forderung durch den Zahlungsdienstleister. Diese sichern sich dadurch ab, dass sie sowohl bei der Registrierung als auch bei jedem Zahlungsvorgang eine Bonitätsprüfung vorschalten. Dies wird zum Beispiel in der Datenschutzerklärung von „Mpass“ dem Kunden vor Registrierung mitgeteilt. Da der Händler selbst diese Bonitätsprüfung nicht durchführt, muss der Onlinehändler im Rahmen der Datenschutzerklärung eigentlich keine eigene Erklärung vornehmen. Es empfiehlt sich jedoch ein klarer Hinweis, dass Daten durch die jeweiligen Drittanbieter erhoben werden, mit einem Link zu den Datenschutzbestimmungen des jeweiligen Anbieters. Zudem sollte meines Erachtens aus Gründen der Transparenz der Hinweis erfolgen, dass der Anbieter bei jedem Zahlungsvorgang eine Bonitätsprüfung vornimmt und sich der Kunde mit Wahl dieser Zahlungsart damit einverstanden erklärt.

Der Shopbetreiber sollte darauf achten, dass keine Daten übermittelt werden, die nicht für die Durchführung der Zahlung benötigt werden. Das ergibt sich bereits aus dem Grundsatz der Datenvermeidung und Datensparsamkeit, der in § 3a BDSG festgeschrieben ist. Da der Kunde aber bereits seine Daten bei „Mpass“ hinterlegt hat, dürfte es ausreichen, wenn der Händler lediglich Name, Anschrift, Artikelnummer und den Zahlbetrag übermittelt. Weitere Datenübermittlungen sind für die Ausführung des Zahlungsvorgangs schlichtweg nicht notwendig.

Sicherlich bedeutet die Zwischenschaltung eines weiteren Dienstleisters das Risiko von Datenverlusten und Hackerangriffen. Diesem Risiko ist jeder Onlinehändler aber täglich ausgesetzt, so dass sich allein aus dem Angebot einer modernen Zahlungsart keine besonderen neuen Probleme ergeben.

Unabhängig von der Zahlungsart empfiehlt es sich für Shopbetreiber den Bestellvorgang zu verschlüsseln (SSL Verschlüsselung). Im Bundesdatenschutzgesetz (Anlage zu §9) wird detailliert normiert, welchen Anforderungen Unternehmen genügen müssen. Unter anderem müssen Kontrollen eingerichtet werden, wer Zugang zu welchen Daten hat, wie diese weiterbearbeitet werden, wer wann welche Daten eingegeben hat oder ob Daten im Rahmen der Auftragsbearbeitung weisungsgebunden verarbeitet wurden. Als eine Maßnahme, um insbesondere Zugangs- und Zugriffsanforderungen gerecht zu werden, benennt das Gesetz eine Verschlüsselungstechnik nach dem Stand der Technik.

Wichtig ist für Händler, dass Sie bei der Implementierung der Mobile-Payment-Lösungen den Zugriff auf die Daten des Zahlungsdienstleisters und der Kunden durch weitere Dritte möglichst vermeiden und ausschließen. Dies ist wiederum keine besondere Voraussetzung des „Mobile Payments“, sondern eine on- und offline bestehende Verpflichtung aufgrund des bestehenden Datenschutzrechts.

Zusammenfassend lässt sich festhalten, dass Händler bei der Auswahl der passenden Mobile-Payment-Lösung darauf achten sollten, ein System zu wählen, das die Daten verschlüsselt überträgt. Weiter sollte darauf geachtet werden, dass dem Zahlungsanbieter nur die für die Vertragsdurchführung absolut notwendigen Daten weitergegeben werden. Des Weiteren ist ein System zu favorisieren, das leicht in die Shopsoftware zu integrieren ist und so den Zugriff weiterer Dritter auf die Daten möglichst ausschließt.

Über den Autor: Martin Boden ist Fachanwalt für gewerblichen Rechtschutz bei Boden Rechtsanwälte in Düsseldorf.