Datenschutz und Verbraucherpolitik

Der Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV)  für faire Verbraucherverträge sieht u. a. eine sektorale Bestätigungslösung für Energielieferverträge, die Verkürzung der Laufzeit bei Dauerschuldverhältnissen auf ein Jahr sowie umfassende Dokumentationspflichten für Einwilligungen nebst Bußgelder vor. "Der Entwurf sieht verschiedene Regelungen vor, die die Position der Verbraucher gegenüber der Wirtschaft in einem notwendigen Maß stärken, um so zu erreichen, dass Verbraucherverträge fairer werden.“ So lautet der Lösungsansatz des Referentenentwurfs eines Gesetzes für faire Verbraucherverträge. Der bevh befürchtet jedoch einen verfassungswidrigen Eingriff in die Privatautonomie ohne dabei tatsächliche Verbesserungen für die Verbraucher herbeizuführen.

bevh_Stellungnahme zum Referentenentwurf des Bundesministeriums der Justiz und für Verbraucherschutz - Entwurf eines Gesetzes für faire Verbraucherverträge

Am 10. Januar 2017 hat die EU-Kommission den Entwurf für eine Überarbeitung der sog. E-Privacy-Richtlinie vorgelegt. Vorgeschlagen wird eine Verordnung, die dann unmittelbar Anwendung finden würde. Die bislang geltenden datenschutzrechtlichen Vorgaben des Telemediengesetzes (TMG) und zum Belästigungsschutz nach dem Gesetzes gegen den unlauteren Wettbewerb (UWG) würden ersatzlos entfallen. Auch der Umgang mit Cookies soll neu geregelt werden. Der Entwurf ist sehr restriktiv ausgestaltet und gestattet von wenigen Ausnahmen abgesehen die Verarbeitung von „Internetdaten“ nur auf Grundlage der Einwilligung des Users. Schnell war absehbar, dass der ursprüngliche Plan, die neue Verordnung zeitgleich mit der EU-Datenschutzgrundverordnung in Kraft zu setzen, nicht einzuhalten ist. Das Verfahren dauert weiter an. Wie seit dem Tag des Wirksamwerdens der DSGVO am 25. Mai 2018 das Setzen von Cookies und das Verarbeiten von darin gespeicherten Informationen rechtlich zu bewerten ist, ist hoch umstritten.

E-Privacy-Verordnung - Änderungsvorschläge des bevh

bevh-Stellungnahme zur Positionsbestimmung der Datenschutzaufsichtsbehörden zur weiteren Anwendbarkeit des TMG

bevh-Stellungnahme zum Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien sowie zur Änderung des Telemediengesetzes (TTDSG)

Durch 4 Gesetzgebungsverfahren plant der nationale Gesetzgeber die Umsetzung der EU-Omnibus-Richtlinie ((EU) 2019/2161). Die Einführung von Bußgeldvorschriften, Schadensersatzansprüchen von Verbrauchern im Wettbewerbsrecht und der Verlängerung der Beweislastumkehr von 6 auf 12 Monate hatten wir bereits im europäischen Gesetzgebungsverfahren heftig kritisiert. Insofern begrüßen wir, dass der nationale Gesetzgeber mit einer weitest gehenden 1:1 Umsetzung keine weiteren Verschärfungen vorsieht.

bevh-Stellungnahme zum Referentenentwurf eines Gesetzes zur Stärkung des Verbraucherschutzes im Wettbewerbs- und Gewerberecht

bevh-Stellungnahme zum Entwurf eines Gesetzes zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags

Mit dem sog. Schrems II-Urteil hat der Europäische Gerichtshof entschieden, dass Unternehmen mit Sitz in der Europäischen Union sich beim Transfer von Daten außerhalb der EU nicht auf bestehende Standardvertragsklauseln verlassen dürfen. Im November 2020 hat die Europäische Kommission einen Vorschlag für neue Standardvertragsklauseln vorgelegt, die einen Schutz der Daten von EU-Bürgern vor Zugriffen von Behörden außerhalb des europäischen Rechtsraums sicherstellen sollen.  Der bevh hat diesen Entwurf der Umsetzungsrichtlinie am 10. Dezember 2020 kommentiert.

bevh-Postion on the European Commission's draft implementating decision on Standard Contractual Clauses

Außerdem hat der Europäische Datenschutzausschuss Vorschläge für ergänzende Maßnahmen zu bestehenden Datentransfer-Tools vorgelegt. Der bevh hat diese Maßnahmen am 21. Dezember 2020 kommentiert.

bevh-Position on the EDPB’s Reccomendations on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data

Durch 4 Gesetzgebungsverfahren plant der nationale Gesetzgeber die Umsetzung der EU-Omnibus-Richtlinie ((EU) 2019/2161). Die Einführung von Bußgeldvorschriften, Schadensersatzansprüchen von Verbrauchern im Wettbewerbsrecht und der Verlängerung der Beweislastumkehr von 6 auf 12 Monate hatten wir bereits im europäischen Gesetzgebungsverfahren heftig kritisiert. Insofern begrüßen wir, dass der nationale Gesetzgeber mit einer weitest gehenden 1:1 Umsetzung keine weiteren Verschärfungen vorsieht.

bevh-Stellungnahme zum Referentenentwurf eines Gesetzes zur Stärkung des Verbraucherschutzes im Wettbewerbs- und Gewerberecht

bevh-Stellungnahme zum Entwurf eines Gesetzes zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags

Am 31.07.2019 stellte der Freistaat Bayern im Bundesrat einen Entschließungsantrag zur Einführung einer Haftung der Betreiber von E-Commerce-Plattformen. Ein nationaler Alleingang bei der Einführung einer Plattformhaftung würde jedoch zu einer Wettbewerbsverzerrung und insbesondere zum Nachteil vieler kleinerer Plattformen führen und somit auch Händlern den nationalen und grenzüberschreitenden Vertrieb erschweren. Zudem wäre eine nationale Regelung aufgrund der Vorgaben der Art. 14 und 15 der erwähnten RL 2000/31/EG (E-Commerce-Richtlinie) europarechtswidrig. Insofern sehen wir die Zuständigkeit nicht beim nationalen Gesetzgeber, sondern verweisen auf eine etwaige Überarbeitung der genannten Richtlinie.

bevh-Stellungnahme zum Entschließungsantrag des Freistaates Bayern bezüglich der Einführung einer Haftung der Betreiber von E-Commerce-Plattformen

Der bevh ist in mehreren Fokusgruppen des Nationalen Digital-Gipfels engagiert. Die Fokusgruppe Datenschutz der Plattform „Sicherheit, Schutz und Vertrauen für Gesellschaft und Wirtschaft“ im Rahmen des Nationalen Digitalgipfels 2018 hat ein Arbeitspapier erstellt, das sich den Anforderungen an den datenschutzkonformen Einsatz von Pseudonymisierungslösungen widmet. Das Papier nimmt eine rechtliche Einordnung der Pseudonymisierung vor und beschreibt Voraussetzungen und technisch-organisatorische Anforderungen an den Einsatz von Pseudonymisierungstechniken.

Arbeitspapier herunterladen

Nachdem im Koalitionsvertrag die Einführung einer zivilprozessualen Musterfeststellungsklage manifestiert wurde (Rz. 5790 ff), wurde Ende März ein Gesetzesentwurf hierzu veröffentlicht. Danach sollen eingetragene Verbraucherschutzverbände die Möglichkeit haben, zugunsten von mindestens zehn betroffenen VerbraucherInnen das Vorliegen oder Nichtvorliegen zentraler anspruchsbegründender bzw. anspruchsausschließender Voraussetzungen feststellen zu lassen.

bevh-Stellungnahme zum Entwurf eines Gesetzes zur Einführung einer zivilprozessualen Musterfeststellungsklage

Die im Januar 2016 in Kraft getretene Payment Services Direktive 2 (PSD2) soll eine europaweit einheitliche Rechtsgrundlage für Online-Zahlungen schaffen, unabhängigen Zahlungsdienstleistern den Zugang zu Informationen sichern, die für die sichere Abwicklung der Zahlung notwendig sind, und mehr Sicherheit im Online- Payment ermöglichen. Mit Stichtag 14. September 2019 müssen Onlinehändler die PSD2 durch Einführung der sogenannten Starken Kundenauthentifizierung (strong customer authentication, SCA) im E-Commerce-Vertriebskanal umsetzen. Der bevh informiert über die Umsetzungsmöglichkeiten.

Update vom 04.01.2021:

Besser spät als nie entschied sich die BaFin im Dezember doch noch zu einer Verlautbarung hinsichtlich der Umsetzung der Starken Kundenauthentifizierung für kartenbasierte Fernzahlungen.

Bereits der 14. September 2019 galt als Stichtag für die Umsetzung der Richtlinie zur Zweiten Payment Service Directive, der jedoch aufgrund verschiedener technischer Schwierigkeiten nicht gehalten werden konnte. Marktakteure, bestehend aus Handelsorganisationen, Zahlungsdienstleistern und Banken, haben seitdem Frühjahr 2019 um eine einvernehmliche und vernünftige Lösung für alle gerungen.

Ende gut, alles gut? Zum Ende des 1. Quartals 2021 werden Händler darüber Bilanz ziehen können, wie sich die SCA auf die Conversion Rate bei Kreditkartenzahlungen im E-Commerce ausgewirkt hat. 

Die Zwei-Faktor-Authentifizierung zum 01.01.2021
 
Mit E-Mail vom 3. Dezember 2020 informierte uns die BaFin darüber, dass sie zur Kenntnis genommen hat, dass die Zahlungsdienstleister ihre Implementierungsprozesse zur Zwei-Faktor-Authentifizierung abgeschlossen haben. Aus der E-Mail:
 
Aus Sicht der BaFin gilt es nun, die Nutzung der implementierten Verfahren der Starken Kundenauthentifizierung bei Kartenzahlungen im Internet möglichst reibungslos zu gestalten und die Stabilität des elektronischen Zahlungsverkehrs weiterhin sicherzustellen.
 
Eine Herausforderung bei der Nutzung der neuen Verfahren besteht darin, dass aktuell die Starke Kundenauthentifizierung in Deutschland in der Praxis des Internethandels nur eingeschränkt verlangt wird. Das muss sich ab dem nächsten Jahr ändern.
 
Zahlungsdienstleister sollten daher ihre Kommunikation in Richtung ihrer Kunden (insbesondere Internethändler und Verbraucher) weiter fortführen und ggf. noch intensivieren, um diese schon jetzt über die Vorgaben der Starken Kundenauthentifizierung weiter zu informieren.
 
Die BaFin wird mögliche Herausforderungen für die reibungslose Abwicklung des elektronischen Zahlungsverkehrs bei Kartenzahlungen im Internet ab dem 01.01.2021 im Rahmen ihres aufsichtsrechtlichen Ermessens berücksichtigen und allen Beteiligten ein sicheres Hochfahren ihrer neu implementierten Systeme ermöglichen. Die BaFin wird allerdings von ihren aufsichtsrechtlichen Möglichkeiten ab 2021 sukzessive verstärkt Gebrauch machen, wenn Zahlungsdienstleister kartengebundene elektronische Fernzahlungen, ohne die erforderliche Starke Kundenauthentifizierung durchführen, ohne von einem gesetzlichen Ausnahmetatbestand erfasst zu sein. Im Einzelnen gilt dies für Kartenzahlungen im Internet mit einem Betrag über 250 Euro ab dem 15.01.2021, mit einem Betrag über 150 Euro ab dem 15.02.2021 und unabhängig vom Betrag ab dem 15.03.2021.
 
Die BaFin weist in diesem Zusammenhang darauf hin, dass es im Rahmen des Risikomanagements zulässig ist, die Ablehnung von Zahlungen ohne erforderliche Starke Kundenauthentifizierung als sogenannten „soft decline“ auszugestalten; bei dieser Art von Ablehnung wird dem Händler signalisiert, dass die Transaktion nicht endgültig gescheitert ist, sondern ein erneuter Versuch – im vorliegenden Kontext mit Starker Kundenauthentifizierung – erfolgreich sein könnte.
 
Das beschriebene Vorgehen gibt den kartenausgebenden Zahlungsdienstleistern im Rahmen ihres Risikomanagements die Möglichkeit, anfangs noch auftretende Schwierigkeiten beim Durchführen der Starken Kundenauthentifizierung, die dann auf einen geringen Teil der Zahlungen begrenzt wären, effektiv zu beheben sowie die Performanz der Zahlungsverkehrssysteme unter schrittweise ansteigender Last ständig zu beobachten und bei auftretenden Herausforderungen effektiv gegenzusteuern. Ziel dieses Vorgehens ist es nicht, den individuellen Marktbeteiligten zusätzliche Zeit für die technische Umsetzung der neuen Anforderungen zu geben.

Update vom 21.08.2019:

Die BaFin hat uns heute darüber informiert, dass die zum 14.09.2019 geplante Einführung der SCA zwar weiterhin gültig ist, aber keine Beanstandung erfolgt, „wenn deutsche Zahlungsanbieter kartenbasierte Fernzahlungsvorgänge auch ohne Starke Kundenauthentifizierung ausführen“.

Die aktuelle Pressemitteilung der BaFin kann hier aufgerufen werden.

Die BaFin hatte bereits in der letzten Woche in einem Rundschreiben an die Deutsche Kreditwirtschaft, den Verband der Auslandsbanken, die Institute i.S.d. ZAG, die Zahlungsauslöse- und Kontoinformationsdienste erbringen, den Bundesverband der Zahlungs- und E-Geld-Institute und diverse Unternehmen mitgeteilt, dass die erheblichen Mängel an den derzeitigen technischen Umsetzungen zur PSD2 dazu führen, dass der Stichtag 14. September nicht eingehalten werden kann.

Welche konkreten Schlussfolgerungen sind dem aktuellen Schreiben zu entnehmen?

1. Kartenzahlungen im Internet können auch nach dem 14. September ohne Starke Kundenauthentifizierung ausgeführt werden.
2. Von der Starken Kundenauthentifizierung sind nur Kartenzahlungen über den 14. September hinaus ausgenommen.
3. Shop-Betreiber oder Payment Service Provider, die bereits das alte Authentifizierungsverfahren 3D Secure 1.0 anbieten, müssen dies auf die PSD2-konforme Version 3D Secure 2.x aktualisieren. 
4. Der Payment Bereich muss schnellstmöglich angepasst werden, um Starke Kundenauthentifizierung anzubieten.

Q&A zur Strong Customer Authentication