Matt: Speichern von Bankdaten in Datenbank

Hallo,

wir haben ein Online-Buchungsportal in welchem Kunden Ihre Bankdaten eingeben müssen, wenn sie etwas kaufen. Diese Daten werden per Email an die Buchhaltung übertragen, welche diese dann an die Bank weitergeben (Bankeinzug). Ein Epayment System zahlt sich hierbei nicht aus.

Bisher werden die Daten solange in unserer Datenbank gespeichert, bist das Geld eingetroffen ist.

Gibt es dort rechtlich eine Vorschrift, ob man dies überhaupt speichern darf oder diese bereits nach der Buchung wieder verwerfen muss?

  1. Hellihello

    wir haben ein Online-Buchungsportal in welchem Kunden Ihre Bankdaten eingeben müssen, wenn sie etwas kaufen. Diese Daten werden per Email an die Buchhaltung übertragen, welche diese dann an die Bank weitergeben (Bankeinzug).

    Mail ist ziemlich "offen".

    Bisher werden die Daten solange in unserer Datenbank gespeichert, bist das Geld eingetroffen ist.

    Weist Du die Kunden darauf hin? Und warum? Wenn die Daten an die Bank übermittelt wurden, sind sie dort doch bereits gespeichert, dass heißt, ihr habt Zugriff darauf.

    Gibt es dort rechtlich eine Vorschrift, ob man dies überhaupt speichern darf oder diese bereits nach der Buchung wieder verwerfen muss?

    Ich gehe davon aus, dass das der Kunde selbst entscheiden kann, was er Dir da erlaubt, wenn Du ihn darüber informierst. Ansonsten wie oben schon gesagt wäre die echte Schwachstelle eher die Email. Besser, die Buchhaltung könnte mit https die Datenbank abfragen. Auch die Übermittlung vom Kunden an Euch könnte mit https erfolgen.

    Dank und Gruß,

    frankx

    1. Mail ist ziemlich "offen".

      Ja, darin sehe ich auch ein Problem.

      Ich gehe davon aus, dass das der Kunde selbst entscheiden kann, was er Dir da erlaubt, wenn Du ihn darüber informierst. Ansonsten wie oben schon gesagt wäre die echte Schwachstelle eher die Email. Besser, die Buchhaltung könnte mit https die Datenbank abfragen. Auch die Übermittlung vom Kunden an Euch könnte mit https erfolgen.

      Https ist ein weiteres Thema. In welchem preislichen Rahmen bewegt sich das heutzutage? Hat jemand gute Erfahrung mit einer Firma?

      1. Hellihello

        Mail ist ziemlich "offen".
        Ja, darin sehe ich auch ein Problem.
        Ich gehe davon aus, dass das der Kunde selbst entscheiden kann, was er Dir da erlaubt, wenn Du ihn darüber informierst. Ansonsten wie oben schon gesagt wäre die echte Schwachstelle eher die Email. Besser, die Buchhaltung könnte mit https die Datenbank abfragen. Auch die Übermittlung vom Kunden an Euch könnte mit https erfolgen.

        Https ist ein weiteres Thema. In welchem preislichen Rahmen bewegt sich das heutzutage? Hat jemand gute Erfahrung mit einer Firma?

        Also bei dem einen Strato-Paket ist https als Möglichkeit mit drinne. Bei den virtuellen Servern auch. Es gibt dann einen Ordner https dafür. Die kleinen Webpakete müsst ich nachschauen, aber mit provider https wird google sicher schnell fündig.

        Dank und Gruß,

        frankx

      2. Mail ist ziemlich "offen".
        Ja, darin sehe ich auch ein Problem.

        E-Mails lassen sich kostenfrei mit OpenPGP, namentlich GnuPG verschlüsseln.

        Serverseitig ist es lediglich erforderlich, dass ein Programm (hier: gpg) ausgeführt werden darf, um die Daten vor Versand zu verschlüsseln, auf Empfängerseite muss das E-Mail-Programm mit OpenPGP umgehen können.

  2. Mahlzeit,

    Gibt es dort rechtlich eine Vorschrift, ob man dies überhaupt speichern darf oder diese bereits nach der Buchung wieder verwerfen muss?

    Ich wüsste nichts, was Daten zur Bankverbindung eines Kunden von anderen personenbezogenen Daten dieses Kunden unterscheidet (im rechtlichen Sinne). Insofern müssten die einschlägigen rechtlichen Regelungen zu personenbezogenen Daten (im Allgemeinen) auch für Bankdaten (im Besonderen) gelten.

    Alles natürlich vorbehaltlich IANAL.

    MfG,
    EKKi

    --
    sh:( fo:| ch:? rl:( br:> n4:~ ie:% mo:} va:) de:] zu:) fl:{ ss:) ls:& js:|