Datenschutz: Der nächste Streich von Easy­cash

Die Datenschützer hatten sich insbesondere daran gerieben, dass easycash Zahlungen nicht nur abwickelte, sondern aus den Vorgängen auch Erfahrungswerte generiert werden, die eine Risikoabschätzung bezüglich der Bonität einzelner Kunden zulassen. Bislang war nur fraglich, ob die erhobenen Daten einen Personenbezug aufweisen und so von einem gläsernen Kunden gesprochen werden kann. Die Richtigkeit dieser Behauptungen unterstellt, die Easycash vehement bestreitet, hätte die Problematik – wie der Hamburger Datenschutzbeauftragte Caspar zutreffend feststellte - eine "neue Dimension" erreicht.

Wenn man den neuesten Recherchen des NDR Info Glauben schenken darf, hat Easycash tüchtig Öl in das von Datenschützern entfachte Feuer gegossen: Das Tochterunternehmen Easycash Loyalty Solutions GmbH (ECLS) bietet angeblich Zahlungsverkehranalysen an auf der Grundlage eines Abgleichs von Daten, die im Rahmen eines Kundenkartenantrags mitgeteilt werden (wie etwa Name, Anschrift und Geburtsdatum), mit den von Easycash aus Zahlungsvorgängen gesammelten Daten.

Dies würde nicht nur zu einer für ECLS äußerst lukrativen Datenveredelung führen, sondern auch zu einer Personalisierung von Daten, die bisher - zumindest zum Teil - als nicht personenbezogen betrachtet werden konnten, und damit zu einer Verletzung des Bundesdatenschutzgesetzes. 

Zwei denkbare Wege – beide ähnlich problematisch

Ein Datenabgleich zwischen Easycash und ECLS ist in zwei Szenarien denkbar, die gleichermaßen höchst bedenklich wären: Entweder übermittelt ECLS Kundenstammdaten and Easycash, damit dort ein Abgleich stattfinden kann oder Easycash übermittelt - die wahrscheinlichere Alternative - die Zahlungsinformationen an ECLS, die den Abgleich vornimmt.

In Szenario 1 läge eindeutig eine Übermittlung personenbezogener Daten vor, da hier Name und Adresse von Privatpersonen betroffen sind. Eine solche Übermittlung ist ohne Einwilligung der Betroffenen nur in den engen Ausnahmefällen der §§ 28, 29 des Bundesdatenschutzgesetzes zulässig.

Eine Einwilligung wird kaum gegeben sein, da die Kunden der Datenerhebung zur Stammdatenanlage zwar zugestimmt haben mögen, diese Einwilligung jedoch sicherlich nicht auch dafür erteilt wurde, dass durch eine Übermittlung der Daten eine erweiterte Profilerstellung möglich ist. Auch werden die Grenzen der Ausnahmetatbestände überschritten und schließlich steht auch ohne Weiteres ein schutzwürdiges Interesse des Betroffenen einer derartigen Nutzung entgegen.

Szenario 2 kann danach unterteilt werden, ob man die von Easycash im Rahmen des Zahlungsvorgangs gesammelten Daten als personenbezogen im Sinne des Bundesdatenschutzgesetzes ansieht oder nicht.

Personenbezogene Daten oder nicht?

Werden die Zahlungsinformationen als personenbezogene Daten angesehen, würde es offensichtlich an einer Einwilligung der Zahlenden zu einer weiteren Verwendung der Daten fehlen, da lediglich einer Zahlungsabwicklung zugestimmt wurde. Auch Ausnahmetatbestände sind in diesem Fall nicht ersichtlich.

Geht man davon aus, dass die Daten nicht als personenbezogen anzusehen sind, entstünde das Problem spätestens mit dem Abgleich der Daten durch ECLS. Durch die "Anreicherung" der Daten von ECLS würde mit der Verknüpfung von Kontonummern mit Namen und Adressen der Personenbezug geschaffen. Diese Situation ist mit der Speicherung dynamischer IP-Adressen durch Content-Provider vergleichbar.

Für Content-Provider ist eine IP-Adresse zunächst nicht mehr als eine bestimmte Zahlenfolge, die sie selbst nicht ohne weiteres einer natürlichen Person zuordnen können; Access-Provider wie zum Beispiel die Telekom hingegen können eine IP-Adresse recht einfach einem Anschluss nebst Inhaber und Adresse zuordnen. Sobald ein Abgleich der von Content-Providern gesammelten IP-Adressen und Stammdaten des Accessproviders stattfindet, ist somit ein Personenbezug gegeben.

Schranken im Bundesdatenschutzgesetz

Eine Datenanreicherung ist gemäß § 28 Absatz 3 BDSG lediglich durch einen Abgleich mit Daten aus allgemein zugänglichen Verzeichnissen und nur zu Werbezwecken gegenüber Bestandskunden erlaubt. Der Abgleich mit anderen Datensätzen – wie etwa den Zahlungsinformationen -  würde am datenschutzrechtlichen Transparenzgebot scheitern. Spätestens der Verkauf dieser Daten an Dritte ist jedoch endgültig als eine Verletzung des Datenschutzrechts zu qualifizieren.

Das behauptete Vorgehen von Easycash und ECLS wäre also nicht nur verboten, sondern zöge auch praktische Konsequenzen nach sich: § 42a BDSG bestimmt, dass eine unrechtmäßige Kenntniserlangung von Daten den Betroffenen und der zuständigen Aufsichtsbehörde mitzuteilen ist. Eine unterlassene, verspätete oder unvollständige Mitteilung ist nach § 43 Absatz 2 Nr. 7 BDSG bußgeldbewehrt. 

Bereits der reine Übermittlungsvorgang der Daten zwischen Easycash und ECLS könnte je nach Szenario und Klassifikation der Daten als Ordnungswidrigkeit eingestuft werden. Sofern tatsächlich auch noch ein Verkauf der Daten an Dritte stattfinden sollte, ist dieser sogar mit einer Freiheitsstrafe von bis zu zwei Jahren bedroht.

Stimmen also die Berichte des NDR, so hat Easycash sich ein datenschutzrechtliches Eigentor geschossen. Herr Caspar müsste das Spiel dann nur noch "abpfeifen".

Der Autor Dr. Thomas Weimann ist Fachanwalt für Informationstechnologierecht und Partner bei BRP Renaud und Partner am Standort Stuttgart.

Der Autor Daniel Nagel ist Rechtsanwalt bei BRP Renaud und Partner am Standort Stuttgart.

Beide beschäftigen sich schwerpunktmäßig mit IT-Recht, Datenschutzrecht, AGB-Gestaltung und internationalem Recht und sind Verfasser diverser Veröffentlichungen auf diesen Gebieten.