Die SEPA-Umstellung und was datenschutzrechtlich zu beachten ist.

Die Single European Payments Area, kurz SEPA genannt, bezeichnet den Euro-Zahlungsraum, in dem alle Euro-Zahlungen wie inländische Zahlungen behandelt werden.  Ab dem 01.02.2014 wird das speziell hierfür definierte SEPA-Format für alle Euro-Zahlungen (Überweisungen und Lastschriftverfahren) verbindlich. Die bisherige Kontokennung von Kontonummer und Bankleitzahl wird abgelöst durch IBAN und BIC.

Wie trifft es das Unternehmen?

So ziemlich jedes Unternehmen unterhält eine Kunden- und eine Mitarbeiterdatenbank, in der sie auch Bankverbindungen gespeichert hat. Mit Hilfe der in der Kundendatenbank gespeicherten Bankdaten zieht das Unternehmen vor allem bei Kunden, die regelmäßig Leistungen des Unternehmens beziehen, via Lastschriftverfahren die Rechnungsbeträge ein. Mit Hilfe der in der Mitarbeiterdatenbank hinterlegten Bankdaten erhalten die Mitarbeiter regelmäßig ihr Gehalt ausgezahlt. Unter Umständen hat ein Mitarbeiter mehrere Konten beim Unternehmen, so z. B. ein weiteres Konto für die vermögenswirksamen Leistungen. Häufig ist der eigene Mitarbeiter auch gleichzeitig Kunde bei dem Unternehmen, so dass seine Bankdaten auch in der Kundendatenverwaltung auftauchen.

Handelt es sich bei der Konvertierung der Kontokennung eigentlich um eine datenschutzrechtlich relevante Angelegenheit?

Dies ist der Fall, wenn personenbezogene Daten verarbeitet oder genutzt werden.

Bankverbindungen sind ebenso personenbezogene Daten, wie der Name oder Adresse einer natürlichen Person.

Wenngleich bei der schlichten Konvertierung des Formats auch keine Verarbeitung im engeren Sinne vorliegen mag, so doch zumindest eine Nutzung – wir nutzen diese, um sie in das neue Format zu konvertieren.

Somit ist in der Tat auch die SEPA-Umstellung ein Fall für Ihren Datenschutzbeauftragten, den Sie in ihr Verfahren unbedingt mit einbeziehen sollten!

Welche Auswirkung hat das konkret auf meinen Umstellungsprozess?

Bei der Umstellung haben Sie grundsätzlich die beiden folgenden Möglichkeiten:

Entweder Sie konvertieren die Bankverbindungen mit einer eigenen Lösung, einem eigenen Projekt, mit eigenen Mitarbeitern und gegebenenfalls eigener (eigens hierfür angeschaffter) Software, dann ist die Konvertierung nach §32 Abs. 1 Satz 1 BDSG zulässig (sog. InHouse-Lösung).

Hier dokumentiert der Datenschutzbeauftragte lediglich, dass die Umstellung mit einer InHouse-Lösung erfolgte.

Oder Sie bedienen sich hierbei eines externen Dienstleisters (sog. externe Lösung), dann ist die Konvertierung der Bankdaten erst dann zulässig,

1. wenn Sie eine sorgfältige Auswahl Ihres Dienstleisters vorgenommen haben. Auswahlkriterien können sein: Seriosität, Marktansehen etc.
2. wenn Sie neben dem Projektvertrag eine gesonderte Auftragsdatenverarbeitungsvereinbarung (ADV) geschlossen haben. Professionelle Dienstleister haben eine solche Vereinbarung meist in der Anlage zu ihrem Projektvertrag. Darüber hinaus stellen seriöse Dienstleister den Abschluss einer solchen ADV auch nicht optional. Sie ist nämlich nach dem Gesetz in dem Fall zwingend.
3. und wenn Sie vorab bei Ihrem Dienstleister eine Auftragskontrolle durchgeführt haben. Diese enthält vor allem eine Prüfung ob und inwieweit die Verpflichtungen aus der ADV beim Dienstleister auch eingehalten werden können. Diese Prüfung muss vor der eigentlichen Konvertierung durchgeführt werden. Es empfiehlt sich, diese Prüfung zu protokollieren.

Fazit: Auch die Beauftragung eines externen Dienstleisters mit der Umstellung der Bankdaten ist datenschutzrechtlich unbedenklich soweit die vorbenannten Punkte beachtet werden.

Die Kunst ist es, wie in fast allen datenschutzrechtlichen Angelegenheiten, das richtige Maß zu treffen und den Aufwand stets im Verhältnis des konkreten Schutzgutes zu stellen. Hier kann ein erfahrener Datenschutzbeauftragter dem Unternehmen einen enormen Effizienzgewinn verschaffen, in dem er dem Unternehmen bei der Erfüllung der datenschutzrechtlichen Vorgaben das richtige Maß an Prüfungsaufwand vorgibt.