Kanzlei Lachenmann Onlinerecht IT-Recht

Datenschutz bei der SEPA-Umstellung

Von RAin Lachenmann | Veröffentlicht: 12. November 2013

So langsam wird es ernst mit der Umsetzung von SEPA! Bei der Umstellung sind auch Normen zum Datenschutz zu beachten, insbesondere wenn externe Dienstleister einbezogen werden. Für SEPA müssen Unternehmen wichtige Änderungen vornehmen, insbesondere, wenn sie mit Lastschriften Gelder einziehen möchten (siehe mein älterer Blogbeitrag). Vorliegend soll beschrieben werden, wie Unternehmen die Konvertierung von Bankverbindungsdaten Datenschutz-konform vornehmen können. Dies gilt insbesondere für Gehaltskonten, bei denen auch der Mitarbeiterdatenschutz zu beachten ist.

Datenschutz bei der SEPA-Umstellung: Konvertierung von Bankverbindungsdaten

1. Stufe: Ermittlung von Systemen/Anwendungen mit Bankverbindungsdaten: Mitarbeiter haben oft mehr als ein Gehaltskonto, neben der Lohnauszahlung auch zu vermögenswirksamen Leistungen, Nebenleistungen oder für den Mitarbeiter als Kunden. Alle gespeicherten Bankverbindungen sind zu ermitteln. Dies ist bereits eine datenschutzrechtliche Verarbeitung personenbezogener Daten. Da diese zwingend notwendig ist, um Zahlungen auch nach der SEPA-Umstellung vornehmen zu können, ist diese zulässig gem. § 32 Abs. 1 S. 1 bzw. § 28 Abs. 1 S. 1 BDSG.

2. Stufe: Umsetzung der Konvertierung: Liegen alle Bankdaten vor, sind diese von dem jetzigen BLZ/Kontonummer-System zu konvertieren in das SEPA-Format IBAN und BIC. Hierfür stehen spezielle Softwarelösungen zur Verfügung, die über spezielle Algorithmen die Umstellung automatisiert vornehmen können. Diese können entweder über eigene Inhouse-Lösungen angewandt werden oder durch Einschaltung eines externen Dienstleisters. In kleineren Unternehmen mit wenigen zu verarbeitenden SEPA-Datensätzen, können auch die Überweisungsempfänger einzeln angeschrieben werden und zur Mitteilung der neuen Daten aufgefordert werden. Dies ist aus dem Gesichtspunkt des Datenschutzes unproblematisch, kann jedoch zu deutlichen Verzögerungen führen. Der automatische Konvertierungsvorgang ist eine Verarbeitung bzw. Nutzung gem. § 3 Abs. 4 und 5 BDSG und somit Datenschutz-relevant.

Die Inhouse-Lösung der SEPA-Umstellung ist hinsichtlich Datenschutz problemlos zulässig gem. § 32 Abs. 1 S. 1 bzw. § 28 Abs. 1 S. 1 BDSG, da dies für die Erbringungen der Gehaltszahlung erforderlich ist. Falls ein Betriebsrat besteht, ist dabei jedoch dessen Beteiligungsrecht zu beachten. Dies gilt auch bei Bestehen einer Betriebsvereinbarung zum Datenschutz.

Bei Einschaltung eines externen Dienstleisters ist festzulegen, ob eine Auftragsdatenverarbeitung vorliegt oder eine sog. Funktionsübertragung, d.h. sogar eine Übermittlung stattfindet. Letztes wäre nur der Fall, wenn der Dienstleister z.B. selbständig darüber entscheidet, welche Bankdaten gespeichert werden und welche nicht. Regelfall bei der SEPA-Umstellung wird daher eine Auftragsdatenverarbeitung sein, da in einem rein technischen Vorgang bestehende Daten in neue Daten umgewandelt werden. Es handelt sich bei der Stammdatenpflege um eine reine Hilfsfunktion. Notwendig ist dann ein Vertrag über die Auftragsdatenverarbeitung, der anwaltlich geprüft und ausgearbeitet werden sollte. Erfolgt die Umstellung über eine Online-Schnittstelle, ist auf eine ausreichende Verschlüsselung zu achten.

3. Stufe: Planung und Abschluss: Wer noch nicht mit der Umstellung der SEPA-Datensätze begonnen hat, sollte schnell damit beginnen und einen Zeitplan zur Umsetzung aufstellen und prüfen, ob die SEPA-Umstellung intern oder extern erfolgen soll. Ein Umsetzungspuffer sollte im Zeitplan enthalten sein. Die Sicherstellung der Datenschutz-rechtlichen Anforderungen der SEPA-Umstellung ist in das Konzept einzubeziehen. Nicht zu vergessen ist, dass eine Information der Mitarbeiter erfolgen sollte.

 

Allgemeine Infos zur SEPA-Umstellung: Mehr Informationen erhalten Sie bei Ihrer Bank, bei Branchenverbänden und natürlich bei Ihrem Rechtsanwalt. Ein Beispiel, wie eine SEPA-Lastschrift in einem Online-Shop aussehen kann, finden Sie unter diesem Link bei dem Anbieter „Payone“. Leseempfehlungen zu SEPA und dem Lastschriftverfahren:

Dieser Beitrag wurde in Arbeitsrecht, Blog, Datenschutzrecht, Vertragsrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.