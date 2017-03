Waiblingen. Bargeldloses Bezahlen mit Karte an der Kasse ist Alltag. Im Kommen ist darüber hinaus das kontaktlose Bezahlen per Smartphone-App und nun also auch berührungslos per Karte mit NFC-Chip. Doch welche Daten werden bei alledem übertragen und gespeichert? Hier ein umständlich geratener Versuch, das herauszufinden.

„Selbstverständlich halten wir uns an alle Datenschutzbestimmungen. Bitte haben Sie Verständnis dafür, dass wir keine weiterführenden Auskünfte geben möchten.“

So lautete die knappe Antwort der Pressestelle der Rewe Group, einer von mehreren angefragten Supermarktketten mit Filialen im Rems-Murr-Kreis, auf die Frage, wie die Datenübertragung beim bargeldlosen Bezahlen an der Kasse funktioniere und welche Dateninhalte übertragen würden.

Der Umgang mit personenbezogenen Daten

Also, ein zweiter Anlauf: „(...) Nun, dann frage ich Sie jetzt halt als ... (Privatperson), die regelmäßig bei Ihnen einkauft – auch mit Girokarte, und fordere Sie gemäß § 34 BDSG auf, mir zu beantworten, welche personenbezogenen Daten über mich von Ihrem Unternehmen“ gespeichert werden/wurden – woher die Daten stammen, wann sie erfasst wurden und zu welchen Zwecken die Daten verwendet werden. Das Bundesdatenschutzgesetz (BDSG) nimmt Unternehmen seit 2009 in die Pflicht, Privatpersonen über den Umgang mit personenbezogenen Daten Auskunft zu erteilen.

Die schnelle Erwiderung der Supermarktkette: „Vielen Dank für Ihre E-Mail. Natürlich senden wir Ihnen gerne die Ihnen gemäß § 34 BDSG zustehenden Informationen zu. Dies kann jedoch einige Tage dauern. Wir melden uns wieder unaufgefordert bei Ihnen.“

Ein Schelm, der dabei Böses denkt

Sieben Tage später kam eine Mail dieses Inhalts: „Zu Ihrem Auskunftsbegehren (...) ist festzustellen, dass wir Ihnen allein unter Angabe Ihres Vor- und Nachnamens keine Auskunft erteilen können. Wenn Sie Ihr Auskunftsrecht gemäß § 34 BDSG wahrnehmen möchten, würden wir Sie um die Bereitstellung weiterer Daten (z. B. IBAN, E-Mail, Adresse …) zu Ihrer Person bitten, um unsere Systeme dahingehend zu prüfen, ob bzw. welche dieser Daten bei uns vorgehalten werden.“

Ein Schelm, der dabei Böses denkt. Nun, im zweiten Teil der Mail, dann aber doch Zufriedenstellenderes: „Vorab und unabhängig von Ihrem Auskunftsbegehren stellen wir Ihnen gerne die Kundeninformation zur Verfügung, die laut unserer Anweisung in jedem Markt mit bargeldloser Bezahlmöglichkeit ausgehängt sein soll. Sie wurde mit den Datenschutzbehörden abgestimmt. Anhand dieses Aushangs kann sich jeder unserer Kunden oder Interessenten darüber informieren, wie bei Nutzung des EC-Lastschriftverfahrens – unter bestimmten Rahmenbedingungen – mit welchen personenbezogenen Daten wie umgegangen wird.“

„Zahlungsinformationen – ohne Namen“

In diesem Rewe-Aushang wird den Kunden versichert, dass beim bargeldlosen Bezahlen (etwa per Lastschriftverfahren) an der Kasse an „Zahlungsinformationen – ohne Namen“ an Rewe Group Card Service lediglich Folgendes weitergeleitet werde:

Kontonummer, Bankleitzahl und Kartenverfallsdatum sowie

Datum, Uhrzeit, Betrag der Zahlung, Terminal-Kennung (Ort, Unternehmen und Filiale).

„Diese Daten werden zur Prüfung und Durchführung Ihrer Zahlung benötigt. Darüber hinaus dienen sie zur Verhinderung von Kartenmissbrauch und zur Begrenzung des Risikos von Zahlungsausfällen.“ Eine Nutzung der Daten für Bonitätszwecke/zum Zweck der Bonitätsprüfung finde nicht statt. Sobald der Lastschrifteinzug vonstattengegangen, die Geldforderung erfüllt, die Frist zum Widerspruch abgelaufen seien, werde die Meldung, der Zahlungsdatenvorgang, gelöscht.

Falls es jedoch zu Rücklastschriften komme, erfahre Rewe Group Card Service auch davon und speichere diese Informationen. Mit Hilfe dieser Informationen könne Rewe Group Card Service an Händler, die deren System angeschlossen sind, Empfehlungen für ihre Entscheidung erteilen, ob sie eine Zahlung mit Girocard und Unterschrift (von diesem Kunden noch, Anm. d. Red.) akzeptieren wollen.

Bargeldlose Bezahlvorgänge

Somit verfährt Rewe bei bargeldlosen Bezahlvorgängen also doch technisch und datenschutzrechtlich wie alle anderen angefragten Supermarktketten auch. Seitens der Pressestellen von Edeka Südwest, Kaufland, Norma, Lidl und Aldi Süd hieß es bereits in der ersten Antwortmail beinahe gleichlautend: Egal ob mit Karte oder neuerdings per Smartphone-App oder (eventuell bald) NFC-Chip-Karte, personenbezogene Daten würden nicht gespeichert, sondern nur Zahlungsdaten, die das Bedienen der Geldforderungen, die Abbuchung vom Konto der Kunden, ermöglichen. Zahlungsdaten in den EDV-Systemen der Supermarktketten werden gewöhnlich nach zwei Wochen wieder gelöscht.