Ein Personalausweis ist keine Kundenkarte
Wahrscheinlich haben Sie kaum noch Bargeld in Ihrem Portemonnaie. Aber
Treuekarten schon. Bei einigen Karten erhalten Sie einen Sofortrabatt. Andere
Karten geben Ihnen einen Überblick über Ihre Einkäufe, und Sie erhalten an der
Kasse keinen Papierbeleg mehr. Und schließlich gibt es noch die Karten, mit
denen man Punkte sammeln kann. Warum nicht alles auf einer Karte haben: dem
Personalausweis?
Der lokale Getränkehändler
Ein Getränkehändler bot seinen Kunden Rabatte auf der Grundlage ihrer Einkäufe
an - ein Punktesystem. Doch anstatt den Kunden die x-te Plastikkarte anzubieten,
bat er sie, einfach ihren Personalausweis in den Kartenleser zu stecken.
Ein Kunde mit Prinzipien weigerte sich, seinen Personalausweis abzugeben,
verlangte aber den Rabatt. Und so kam der Fall vor die Datenschutzbehörde (DSB).
Die DSB ist eine unabhängige Einrichtung, die die Einhaltung der Grundprinzipien
des Schutzes personenbezogener Daten überwacht. Diese Grundprinzipien sind in
einer europäischen Verordnung von 2016 enthalten, die als DSGVO bekannt ist: die
Allgemeine Datenschutzverordnung. Sie können sich also an die DSB wenden, wenn
Sie glauben, dass Ihre Privatsphäre verletzt wurde.
DSB und Marktgerichtshof
Die DSB war sicherlich streng mit dem Getränkehändler.
Ein Personalausweis
enthält viele Informationen, die für einen Rabatt auf Getränke nicht relevant
sind. Neben Ihrem vollständigen Namen enthält sie auch Ihr Geburtsdatum und
Ihren Geburtsort, Ihr Geschlecht und Ihre nationale Registrierungsnummer.
Das DSGVO ist bereits streng, was die Verwendung aller Arten von
personenbezogenen Daten betrifft, aber die nationale Registernummer fällt unter
eine andere Verordnung, und diese ist noch strenger.
Obwohl es also sehr verlockend ist, die nationale Registernummer als eindeutige
Identifikationsnummer für Ihre Kunden zu verwenden, ist ihre Nutzung zu
kommerziellen Zwecken ebenfalls strengstens untersagt.
Der DSB beschloss daraufhin, ein Bußgeld in Höhe von 10.000 Euro gegen den
Getränkehändler zu verhängen
wegen Verstoßes gegen die Vorschriften über die Mindestdatenerhebung. Das heißt:
Sie dürfen nicht mehr Daten sammeln als unbedingt notwendig; und
wegen fehlender Zustimmung zur Verarbeitung dieser Daten.
Das Marktgericht, eine Berufungsinstanz, der auch die DSB angehört, hielt dies
für übertrieben. Schließlich hatte der Getränkehändler die Daten nicht
erhalten... Wie kann er also eine Straftat begangen haben?
Außerdem habe der Kunde eine Wahl gehabt, so das Gericht. Wenn er nicht wollte,
dass die Daten verarbeitet werden, brauchte er die Karte nicht in den
Kartenleser zu stecken. Dass er daraufhin den Rabatt verlor, war zwar eine Folge
dieser Weigerung, reichte aber für sich genommen nicht aus, um zu sagen, dass
der Kunde keine Wahl hatte.
Schließlich wurde der Fall vor den Kassationsgerichtshof gebracht. Und dieses
oberste Gericht unseres Landes hat die Auffassung der DSB bestätigt.
Nichts passiert...
Zunächst stellte sich die Frage, ob man eine Beschwerde bei der DSB einreichen
kann, wenn keine Straftat begangen wurde. Schließlich hatte der Getränkehändler
den Personalausweis nicht erhalten.
Der Kassationsgerichtshof bejahte diese Frage: Jede Person, die sich in ihren
Rechten nach der DSGVO verletzt sieht, hat das Recht, eine Beschwerde
einzureichen, woraufhin die Kontrollabteilung der DSB tätig werden kann oder
nicht.
Die Tatsache, dass die personenbezogenen Daten nicht tatsächlich
verarbeitet wurden, stellt kein Hindernis dar.
Wenn die Aufsichtsbehörde feststellt, dass die Grundsätze der DSGVO nicht
eingehalten wurden, kann sie Maßnahmen ergreifen. In diesem Fall stellte die
Aufsichtsbehörde fest, dass der Getränkehändler alle Daten der Personalausweise
aufbewahrt hat. Die meisten der auf diese Weise erhobenen Daten waren für den
Rabatt nicht erforderlich.
Erlaubnis
Aber wenn ein Kunde seinen Ausweis in ein Kartenlesegerät steckt, willigt er
dann nicht in die Verarbeitung dieser Daten ein?
Der Kassationsgerichtshof muss hier ein wenig ausholen, kommt aber zu dem
Schluss, dass die Kunden auf diese Weise nicht der Verarbeitung aller Daten
zustimmen. Dahinter steht die Überlegung, dass die Kunden keine wirkliche Wahl
haben, wenn sie nur dann einen Rabatt erhalten, wenn der Personalausweis in das
Kartenlesegerät eingeführt wird. Und wenn es keine Wahlmöglichkeit gibt, dann
ist auch die Zustimmung nicht frei.
Die Argumentation des Marktgerichts, der Kunde habe eigentlich nichts verloren,
er könne nur keinen Rabatt erhalten, wird vom Kassationsgerichtshof
zurückgewiesen: Auch der Verlust eines Vorteils führe zu einer Einschränkung der
Wahlfreiheit.
Mindestdatenerhebung und Alternative
Die Verwendung des Personalausweises als Kundenkarte ist an sich nicht verboten.
Die gesammelten Daten müssen jedoch dem Erfordernis der Mindestdatenerhebung
entsprechen.
Der Name scheint das Maximum zu sein, das von der Karte gelesen
werden kann. Sie können selbst weitere Daten hinzufügen, z. B. eine
Telefonnummer oder eine E-Mail-Adresse.
Wenn Sie hinzukommende Daten herunterladen möchten, z.B. Geburtsdatum oder
Wohnsitz, müssen Sie dazu um Erlaubnis fragen.
Es ist auch keine schlechte Idee, eine Alternative zu bieten: Apps, wo die
Kunden ihre eigenen Daten eingeben müssen, eine altmodische Stempelkarte oder
eine andere Karte aus Plastik... die Auswahl ist groß.
