Datenschutz: Gläserner Kunde an der Kasse

In Deutschland kann in der Regel bargeldlos oder mit girocard- bzw. EC-Karte bezahlt werden. Beim elektronischen Bezahlvorgang wird ein Betrag angegeben, die Karte mit Hilfe von Kartenlesegeräten ausgelesen, eine persönliche Identifikationsnummer (PIN) eingegeben und der Vorgang online und unmittelbar abgewickelt.

Beim Lastschriftverfahren autorisiert der Kunde die Zahlung mit seiner Unterschrift auf einer Einzugsermächtigung, die den zu zahlenden Betrag ausweist. Mit seiner Unterschrift erteilt der Kunde dem Händler eine Einwilligung, dass der Zahlungsbetrag per Lastschrift von seinem Konto abgebucht werden darf. Das Konto wird dann entsprechend belastet und die Überweisung dem Händler gutgeschrieben. Da hier die Solvenz des Kunden nicht unmittelbar überprüft wird, kann es vorkommen, dass letztlich nicht gezahlt wird. Händler bedienen sich daher Transaktionsdienstleistern wie die easycash GmbH, um dieses Risiko zu minimieren. Personenbezogene Transaktionsdaten werden dazu an easycash oder einen vergleichbaren Dienstleister übermittelt, der überprüft, ob die EC-Karte zur Zahlung freigegeben ist.

Laut easycash werden dazu die Kontonummer, Bankleitzahl, Kartenfolge-Nummer, Kartenverfallsdatum aus dem Magnetstreifen und zusätzlich Datum, Uhrzeit, Ort und der Zahlungsbetrag bei jedem Lastschriftverfahren erhoben. Den Namen des Kontoinhabers könne easycash bei Zahlungsausfällen (Rücklastschriftenservice) ermitteln.

Transparenz für EC-Karten-Inhaber, Sicherheit für den Handel

Easycash hat in einer Presseerklärung klargestellt, dass Namen und Adressdaten des Karteninhabers nicht erhoben werden. Mit Sicherheit werden aber Informationen über Zahlungsausfälle und gesperrte EC-Karten für bestimmte Kontonummern gespeichert, um die Bonität zu prüfen.

Allerdings können die Transaktionsdaten auch ohne unmittelbaren Namensbezug personenbezogene Daten gemäß § 3 Abs. 1 BDSG sein, da der Kontoinhaber objektiv z.B. von der Bank bestimmbar ist. Nach diesem Ansatz müsste die Übermittlung der personenbezogenen Daten vom Händler an den Transaktionsdienstleister gemäß § 4 BDSG durch eine Einwilligung des Kontoinhabers oder einen gesetzlichen Erlaubnistatbestand gestattet sein. Das ist jedenfalls dann abwegig, wenn die zu unterschreibende Einzugsermächtigung nicht detailliert über die Übermittlung unterrichtet. Auch eine gemäß § 4a BDSG geforderte freiwillige Entscheidung ist nicht praktikabel.

Gesetzlich könnte die Datenübermittlung an Anbieter wie easycash gemäß § 28 BDSG erlaubt sein. Die Übermittlung personenbezogener Daten ist danach als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn dies zur Durchführung von Schuldverhältnissen oder zur "Wahrung berechtigter Interessen" des Händlers erforderlich ist. Datenschützer halten das für nicht erforderlich: Der Händler könne auch das sichere PIN-Verfahren wählen, wofür kein Dritter eingeschaltet werden müsse.

Im Rahmen der Datenschutzreform wurde zum 1. April 2010 eine neue Vorschrift eingeführt. Die Datenübermittlung an Auskunfteien, wie beispielsweise die Schufa, richtet sich seither nach § 28a BDSG. Daten über Forderungen, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht wurde, können als so genannte Negativdaten an Scoring-Auskunfteien übermittelt werden. Allerdings sind Transaktionsdaten keine Negativdaten. Die Vorschrift scheidet deshalb in diesem Fall aus.

Nach der hier erläuterten Ansicht stellt sich die Bonitätsprüfung im Rahmen von Lastschriftverfahren als datenschutzrechtliche Herausforderung dar. Nach dem relativen Ansatz zur Bestimmung des Personenbezugs könnte auch vertreten werden, dass die Transaktionsdaten für den Dienstleister keine personenbezogenen Daten sind. An dieser Stelle gibt es datenschutzrechtlichen Diskussionsbedarf, der auch im Rahmen der Tagung der Landesdatenschützer in Ansbach am Dienstag Berücksichtigung finden dürfte.

Der Autor Michael Marc Maisch ist Doktorand und wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau und am Deutsche Telekom Institute for Connected Cities (TICC) der Zeppelin University, Friedrichshafen. Er ist Verfasser zahlreicher Publikationen zum Datenschutz- und Internetrecht.