Datenschutz im Supermarkt: Bonitätsprüfungen bei Nutzung des ec-Lastschriftverfahrens
Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska (externer Datenschutzbeauftragter) und Frau Rechtsanwältin Alma Lena Fritz.
12.10.2010 - Ob und wie eine Bonitätsprüfung datenschutzrechtlich zulässig sein kann, steht nicht erst seit der BDSG-Novelle im letzten Jahr im Fokus der datenschutzrechtlichen Diskussion. Zahlungs- und Kontodaten werden zwar vom Gesetz nicht als „besondere Arten personenbezogener Daten“ per se eingestuft, dennoch werden diese Daten etwa in § 42a BDSG besonders geschützt. Seit kurzem wird in einer breiteren Öffentlichkeit diskutiert, inwieweit die Auswertung von Daten über das Zahlverhalten bei Nutzung des ec-Lastschriftverfahrens datenschutzrechtlich zulässig sei. Der Beitrag gibt einen Einblick in den aktuellen Stand der Diskussion.
Zwei technische Verfahren bei der Bezahlung mit der ec-Karte
Wenn im Supermarkt oder in anderen Geschäften nicht mit Bargeld sondern mit der ec-Karte bezahlt werden soll, gibt es grundsätzlich zwei verschiedene technische Bezahlverfahren, die der Händler einsetzen kann: entweder wird ein „PIN-Code“-Verfahren genutzt, bei dem sich der Käufer mit seiner ec-PIN identifizieren muss, oder die Bezahlung erfolgt mittels Lastschriftverfahren, bei dem der Käufer mit seiner Unterschrift die spätere Lastschriftbuchung von seinem Konto gestattet.
Beim PIN-Code-Verfahren ist seitens der Bank sichergestellt, dass das Konto des Käufers entsprechende Deckung aufweist: die Zahlung wird sofort an den Händler veranlasst.
Beim ec-Lastschriftverfahren besteht eine solche Sicherheit für den Händler nicht: letztlich riskiert der Händler hier, dass das Konto des Käufers keine entsprechende Deckung aufweist oder der Käufer später die Lastschriftbuchung von seiner Bank retournieren lässt.
Im Gegensatz zum PIN-Code-Verfahren kostet das ec-Lastschriftverfahren nur einen Bruchteil, weshalb der Handel in der Breite auf das ec-Lastschriftverfahren zurückgreift.
Was passiert nun an der Supermarktkasse?
Zum Schutz der Händler vor betrügerischen oder zahlungsunfähigen Käufern wird momentan die ec-Karte von den Zahlungsanbietern bzw. deren Dienstleistern überprüft. Fällt diese Prüfung negativ aus, wird dem Kunden entweder das PIN-Code-Verfahren angeboten oder eine alternative Zahlungsweise (Barkauf) empfohlen.
Auf welchen Daten basiert diese Entscheidung?
Um zu beurteilen, ob einem Kunden das ec-Lastschriftverfahren ermöglicht wird, werden derzeit unter anderem folgende Daten nach bestimmten Missbrauchsmustern analysiert: wurde die Karte gesperrt? Wurde die Karte innerhalb von kurzer Zeit an zwei weit entfernten unterschiedlichen Orten eingelesen? Ist die Karte gültig?
Das heißt: es wird kein Bild über die finanzielle Leistungsfähigkeit des Käufers erstellt. Vielmehr beruht die Entscheidung auf Wahrscheinlichkeitswerten hinsichtlich der potentiell missbräuchlichen Verwendung der ec-Karte.
Inwieweit stellt diese Auskunft damit überhaupt ein personenbezogenes Datum dar?
Letztlich wird damit aus unserer Sicht streng genommen kein personenbezogenes Datum über den Käufer veröffentlicht. Vielmehr besagt die Aussage nur: „die für diesen Kauf vorgeschlagene ec-Karte wird derzeit nicht für den Zahlungsvorgang mittels ec-Lastschriftverfahren empfohlen – egal, wer gerade an der Kasse steht.“
Dennoch: Verfahren ist datenschutzrechtlich umstritten
Diese Ansicht indes teilen viele Aufsichtsbehörden derzeit nicht. Vielmehr wird häufig vertreten, dass es sich bei diesen Angaben um datenschutzrechtlich relevante Daten handele, deren Verarbeitung datenschutzrechtlich unzulässig sei. Nach Ansicht vieler Aufsichtsbehörden steht derzeit noch in Frage, ob diese „Datenverarbeitung“ auf Grund eines gesetzlichen Erlaubnistatbestands zulässig sei oder nicht.
Lösungskonzept: Einwilligungserklärung
Auch das bislang von dem Handel verfolgte Konzept der Einwilligung wird von Teilen der Aufsichtsbehörden in Frage gestellt. Derzeit enthalten die Lastschriftbelege eine Formulierung, wonach der Kunde in die eingehend dargestellte „Datenverarbeitung“ einwilligt (Anm.: die genaue Ausgestaltung dieser Formulierung war bereits zu Jahresbeginn Gegenstand der öffentlichen Diskussion).
Die Aufsichtsbehörden vertreten nun in Teilen die Auffassung, dass diese Einwilligung per se nicht möglich sei, da sie zum einen weder freiwillig und zum anderen verspätet (also nach der „Datenverarbeitung“) erfolge. Damit würden die Aufsichtsbehörden hierbei zumindest im Vergleich zu den Anforderungen im Versicherungs- und Gesundheitsbereich wesentlich strengere Maßstäbe anlegen.
Ausblick
Unseres Erachtens ist das ec-Lastschriftverfahren datenschutzrechtlich zulässig.
- Es steht bereits in Frage, ob die Restriktionen des BDSG überhaupt greifen.
- Bejaht man dies, wäre das Verfahren zumindest nach § 28 Abs. 1 S. 1 Nr. 1 BDSG zulässig.
- Der Käufer willigt in die „Datenverarbeitung“ ein.
- Zusätzlich bringt der Handel inzwischen Hinweistafeln an, auf denen das Verfahren transparent erläutert wird.
Weder Verbrauchern noch den Datenschützern kann damit gedient sein, das ec-Lastschriftverfahren zu Lasten des Handels (und damit letztlich zu Lasten der ehrlichen Verbraucher) zu verschlechtern (bzw. zu Gunsten des teureren PIN-Code-Verfahrens abzuschaffen).
Fazit
Aus unserer Sicht ist die Verwendung des ec-Lastschriftverfahrens datenschutzrechtlich zulässig und in der Praxis bewährt. Das bisher verwendete Verfahren wurde in der Vergangenheit von verschiedenen Datenschutz-Aufsichtsbehörden geprüft und für zulässig befunden. Bei der derzeitigen datenschutzrechtlichen Diskussion sollte berücksichtigt werden, dass die Kosten eines faktischen Verbots des ec-Lastschriftverfahrens letztlich von den ehrlichen Endkunden zu trägen wären.