Datenschutz-Grundverordnung: Informationspflichten gegenüber Kunden

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat.

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.

Die Arbeitsgruppe Datenschutz des HDE hat daher zu den einzelnen Themenfeldern Merkblätter erarbeitet, die wir Ihnen – gesondert für jedes Thema – zur Verfügung stellen. Die Hinweise in den Merkblättern spiegeln die Diskussionen in der Arbeitsgruppe wider, in die auch die derzeit verfügbaren Kommentierungen zur DS-GVO eingeflossen sind. Viele Auslegungsfragen des neuen Datenschutzrechts werden höchstrichterlich allerdings erst im Laufe der nächsten Jahre geklärt werden.

Dieses Praxiswissen beschäftigt sich im Wesentlichen mit den Informationspflichten des Unternehmers im stationären Einzelhandel. In Art. 13 und 14 DS-GVO sind umfangreiche Informationspflichten vorgegeben, wenn personenbezogene Daten verarbeitet werden, die hier anhand typischer Situationen im stationären Einzelhandel beispielhaft erläutert werden.

Personenbezogene Daten sind alle Daten, die einer bestimmten Person direkt oder mittelbar zugeordnet werden können, wie z. B. Name, Kontaktdaten, Kundendaten, Videoaufzeichnungen. Die Informationspflichten umfassen insbesondere folgende Angaben:

• Name und Kontaktdaten des Verantwortlichen 
• Kontaktdaten des Datenschutzbeauftragten, wenn ein Datenschutzbeauftragter benannt ist 
• die Verarbeitungszwecke und die Rechtgrundlagen für die Verarbeitung 
• die berechtigten Interessen, wenn die Verarbeitung aufgrund eines berechtigten Interesses erfolgt 
• bei einer beabsichtigten Weitergabe von Daten der/die Empfänger der Daten 
• die Speicherdauer 
• die Rechte der Betroffenen auf Auskunft, Berichtigung, Löschung, Einschränkung und Datenübertragung sowie das Widerspruchsrecht im Fall der Verarbeitung aufgrund eines berechtigten Interesses 
• das Recht, eine Einwilligung jederzeit zu widerrufen, wenn die Verarbeitung auf der Einwilligung beruht 
• das Beschwerderecht bei einer Aufsichtsbehörde
  

Wenn die Daten nicht unmittelbar vom Betroffenen, sondern von einem Dritten erhoben werden, sind nach Art. 14 DS-GVO weitere Angaben erforderlich und ist der Betroffene bei der ersten Kontaktaufnahme, spätestens aber innerhalb eines Monats nach Datenerhebung über die Datenerhebung zu informieren.

Auch im Einzelhandel werden in einigen Situationen personenbezogene Daten, zumeist von Kunden, erhoben, so dass auch in diesen Fällen Informationen über die Datenverarbeitung nach Art. 13 bzw. Art. 14 DS-GVO bereitzustellen sind. Beispiele für Situationen, in denen Kundendaten im Einzelhandel erhoben werden, sind:

• Einsatz von Videoüberwachung 
• Kartenzahlung 
• Reparaturaufträge/Änderungsaufträge 
• Kundenanfragen, Kundenangebote, schriftliche Kaufverträge, Kauf auf Rechnung, 
• Bestellungen, Reservierungen Services und Dienstleistungen 
• Mietverträge, z. B. über Werkzeug 
• Umtauschsituationen 
• Gewährleistungsfälle 
• Kundenbeschwerden am POS
  

Zum Zweck der Marktforschung werden Kunden an der Kasse manchmal um die Nennung ihrer Postleitzahl gebeten. Allein durch die Speicherung der Postleitzahl ist ein Rückschluss auf einzelne Personen nicht möglich. Daher ist nach unserer Auffassung dabei nicht von einer Verarbeitung personenbezogener Daten auszugehen, wenn die Postleitzahl nicht mit anderen Kundendaten mit Personenbezug (Kundenname, Zahlungsinformationen o. ä.) zusammengeführt wird. Eine gesonderte Datenschutzinformation ist daher nicht erforderlich, wenn nur die Postleitzahl erhoben und verarbeitet wird.

Da die DS-GVO keine konkreten Anforderungen an die Form der Informationserteilung enthält, sollten die Informationen so zur Verfügung gestellt werden, wie ein durchschnittlicher Kunde dies erwarten wird. Bei der Art und Weise der Informationen kann als Maßstab dienen, dass derjenige, dessen Daten verarbeitet werden, vor oder bei der Datenerhebung in die Lage versetzt wird, dass er sich tatsächlich über die anstehende Datenverarbeitung informieren kann. Jedenfalls sollten die Informationen gemäß Art. 12 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.

Sofern bei einem Datenverarbeitungsvorgang eine gemeinsame Verantwortlichkeit vorliegt (gem. Art. 26 DS-GVO), muss zwischen den gemeinsam Verantwortlichen festgelegt werden, wer welche Informationspflichten erfüllt.

Videoüberwachung ist ein häufiger Fall von Datenverarbeitung im stationären Handel. Zur Erfüllung der Informationspflichten bei der Videoüberwachung hat das Bayerische Landesamt für Datenschutz Muster veröffentlicht, die unter folgendem Link zu finden sind: www.lda.bayern.de/de/thema_videoueberwachung.html.

Sie bestehen aus einem Hinweisschild für eine vorgelagerte Information und einem ausführlichen nachgelagerten Informationsblatt zur Videoüberwachung. Beide Dokumente fügen wir als Anlage 1 und Anlage 2 diesem Praxiswissen bei. Die Information über die Betroffenenrechte ist beispielweise nur auf dem ausführlichen Hinweisschild enthalten. Der vorgelagerte Hinweis ist nur in Kombination mit ausführlichen Hinweisschild ausreichend, wenn beispielsweise an der Eingangstür nur ein kleineres Schild aufgehängt werden soll.

Zumindest die vorgelagerte Information muss gut lesbar, d. h. mindestens auf Größe DIN A4, spätestens dort gegeben werden, wo die Videoüberwachung räumlich beginnt. Werden nur die Geschäftsräume überwacht, muss die Information an der Eingangstür gegeben werden. Wenn nur ein bestimmter abgegrenzter Teil der Räume überwacht wird, kann die Information auch später erfolgen. Sie muss an allen Zugängen zu dem überwachten Raum erfolgen. Wenn auch der Parkplatz, die Zufahrt oder eine andere Außenfläche, z. B. eine Gartenmöbelausstellung oder sonstige Aktionsfläche im Freien, überwacht wird, muss auch hier zu Beginn des überwachten Bereichs über die Videoüberwachung informiert werden. Beim Parkplatz ist die Information beispielsweise an der Einfahrt zu geben. Die vorgelagerte Information muss auch einen Hinweis darauf enthalten, wo die ausführlichen Informationen verfügbar sind. Möglich sind ein Aushang oder eine Auslage an gut erreichbarer Stelle und ggfs. ergänzend die Bereitstellung der Information auf der Internetseite. Als Aushang ist das ausführliche Schild mindestens im DIN A3-Format zur Verfügung zu stellen. Wenn zu Beginn des überwachten Bereichs gleich mit dem ausführlichen Schild in Größe DIN A3 informiert wird, ist kein weiterer Aushang erforderlich. Bei mehreren Zugängen sollte an jedem Eingang mindestens die vorgelagerte Information ausgehängt werden. Wenn beispielsweise am Haupteingang die ausführlichen Informationen zur Verfügung gestellt werden, kann an den anderen Eingängen im Rahmen der vorgelagerten Information auf die ausführliche Information am Haupteingang verwiesen werden.

Das Hinweisschild am Eingang sollte zudem so platziert werden, dass es für Kunden auch tatsächlich weiter sichtbar ist. Glasschiebetüren und Rolltore, bei denen die Information nicht mehr zu sehen ist, wenn ein Kunde das Geschäft betritt, eignen sich weniger gut. Auch wenn das Schild durch eine dauerhaft offenstehende Tür während der Öffnungszeiten verdeckt wird, ist die Information nicht ausreichend.

Neben dem Namen und den Kontaktdaten des Verantwortlichen und ggfs. des betrieblichen Datenschutzbeauftragten sind

• der Verarbeitungszweck 
• die Rechtsgrundlage 
• das berechtigtes Interesse und 
• die Speicherdauer anzugeben.
  

Die Angabe des Verarbeitungszwecks hängt von den der Videoüberwachung tatsächlich zugrundeliegenden Umstände ab.

Denkbare Zwecke sind Diebstahlsprävention, Vandalismusprävention, Wahrnehmung des Hausrechts, Überprüfung des tatsächlichen Wareneingangs (Lieferanteneingang). Gründe für die Durchführung der Videoüberwachung können sein:

• Ladendiebstahl 
• Überfälle auf Kassenpersonal oder Kunden 
• Taschendiebstähle zum Nachteil von Kunden 
• Zutrittskontrolle an Eingängen, die nicht für den Kundenverkehr bestimmt sind 
• Ablagerung von Sperrmüll auf dem Parkplatz 
• Überprüfung des tatsächlichen Wareneingangs

Es wird daher empfohlen, Vorfälle, die eine Videoüberwachung rechtfertigen können, grundsätzlich – auch im Hinblick auf einen zukünftigen Einsatz von Videoüberwachung – zu dokumentieren. Auch die im unmittelbaren Umfeld des Ladengeschäfts stattfindenden Straftaten können ggfs. zur Begründung einer Videoüberwachung beitragen.

Bei der Diebstahl- und Vandalismusprävention ist beispielsweise der Eigentumsschutz meist das berechtigte Interesse. Auch die berechtigten Interessen Dritter, wie der Kunden und Mitarbeiter, dürfen seit Inkrafttreten der DS-GVO berücksichtigt werden. Die Rechtsgrundlage ist regelmäßig Art. 6 Abs. 1 Buchstabe f) DS-GVO.

Bei der Speicherdauer akzeptieren die deutschen Aufsichtsbehörden derzeit grundsätzlich nur eine Speicherung von 48 bis 72 Stunden. Hier ist abzuwarten, ob die Auslegung der DS-GVO auf europäischer Ebene einen weiteren Rahmen für die Speicherdauer schafft. Im Einzelfall akzeptieren die Aufsichtsbehörden auch eine längere Speicherdauer, wenn individuell dargelegt wird, warum die regelmäßige Speicherdauer von 48 bis 72 Stunden nicht ausreicht, sondern eine längere Speicherdauer in diesem konkreten Fall erforderlich ist.

Die meisten Händler bieten heute neben Barzahlung auch im stationären Handel die Möglichkeit an, mit verschiedenen Kredit- oder Debitkarten sowie mit Bezahl-Apps über das Smartphone zu bezahlen. Bei der Abwicklung der Zahlung werden personenbezogene Daten an die Zahlungsdienstleister und nicht zuletzt an die kontoführende Bank des Kunden übermittelt. Die Daten werden nach überwiegender Ansicht beim Einlesen der Karte durch den Händler erhoben. Im Fall der Zahlung per Lastschrift bleiben personenbezogene Daten auch in der Sphäre des Händlers, z. B. die Unterschrift des Kunden.

Daher ist davon auszugehen, dass Händler bei der Karten- und Smartphone-Zahlung Informationen nach Art. 13 DS-GVO zur Verfügung stellen müssen.

Der Bundesverband der EC-Netzbetreiber (BECN e. V.) hat in Kooperation mit dem HDE ein Muster für die Erfüllung der Informationspflichten bei Kartenzahlung mit dem Hessischen Beauftragten für den Datenschutz und die Informationsfreiheit abgestimmt. Das Muster finden Sie alsAnlage 3 am Ende dieses Praxiswisssens.

In der Kassensituation stellt sich jedoch oft die Frage, wie die umfangreichen Informationen für den Kunden wahrnehmbar dargestellt werden können. Dies kann auf folgenden Wegen geschehen:

• Vollständiger Aushang an der Kassensäule. Dabei sollte auf die Lesbarkeit der Informationen geachtet werden. 
• Einsichtnahme an der Kasse oder Information. Oftmals steht im Kassenbereich nicht hinreichend Platz für einen vollständigen Aushang zur Verfügung. Alternativ kann auf die Möglichkeit der Einsicht in die Datenschutzinformationen an der Kasse oder an der Information hingewiesen werden. 
• Link oder QR-Code auf Internetseite.
  

Insbesondere bei mobilen Kartenlesegeräten bietet es sich an, die Kunden auf die an der Kasse bzw. Information ausliegenden Informationen hinzuweisen und das Gerät mit einem QR-Code zu versehen, mit Hilfe dessen die Kunden die Informationen online einsehen können.

Welche Art der Information möglich ist, hängt von den individuellen Gegebenheiten ab. In vielen Fällen bietet sich eine Kombination aus einem Aushang mit Basisinformationen und einem Verweis auf die Internetseite sowie die Bereitstellung einer Broschüre zur Einsichtnahme an der Kasse bzw. Information an. Auf die Möglichkeit zur Einsichtnahme an der Kasse oder Information sollte auf dem Basis-Aushang ebenfalls hingewiesen werden. Sofern beim Bezahlvorgang selbst nur eine mündliche Information auf die ausführlichen Informationen online oder an der Kasse bzw. Information erfolgen kann, sollte eine entsprechende Arbeitsanweisung gegenüber den Mitarbeitern erfolgen. Diese sollte dokumentiert werden. Es ist wichtig, gegenüber den Aufsichtsbehörden nachweisen zu können, dass eine Auseinandersetzung mit dem Thema erfolgt ist.

Zur Erfüllung der Informationspflicht gegenüber Kunden hat das bayerische Landesamt für Datenschutzaufsicht verschiedene Informationspflichten zusammengestellt. Die Brandenburgische Landesbeauftragte für Datenschutz und Akteneinsicht hat zudem ein weiteres sehr hilfreiches Papier veröffentlicht, das Sie unter folgendem Link finden: www.lda.brandenburg.de/media_fast/4055/InfoblattInformationspflichten.pdf

Einige Händler bieten neben dem Kauf neuer Ware auch Reparaturen an, z. B. bei Elektronik, Uhren und Schmuck. Dabei wird häufig ein Auftragsformular ausgefüllt, in dem Namen und Anschrift bzw. Telefonnummer genannt werden. Auch wenn Kleidungsstücke geändert werden, wird oft ein Name notiert, manchmal auch die Konfektionsgröße oder Maße, auf die die Kleidung des Kunden geändert werden soll. Auch hierbei handelt es sich um personenbezogene Daten, wenn sie einer bestimmten Person zugeordnet werden können.

Die Information über die Datenverarbeitung kann bei Reparaturaufträgen mit dem Auftragsformular oder durch einen Aushang in räumlicher Nähe zu dem Ort der Auftragsannahme erfolgen. Wichtig ist, dass der richtige Verantwortliche genannt wird. Wenn z. B. die Änderungen an einem Anzug zwar im Ladengeschäft des Händlers, aber durch einen selbständigen Schneider im Rahmen des eigenen Geschäftsbetriebes des Schneiders aufgenommen werden, ist der Schneider für die Datenverarbeitung verantwortlich. Wenn ein Reparaturauftrag zwar vom Händler als Vertragspartner des Kunden aufgenommen wird, er den Auftrag unter Weitergabe von personenbezogenen Daten jedoch durch einen anderen ausführen lässt (z. B. Hersteller, selbständige Werkstatt oder Kundendienst), muss auf die Weitergabe der Daten hingewiesen werden. Außerdem sind neben den allgemeinen Informationen wie zu den Betroffenenrechten alle Datenkategorien zu nennen, die erhoben werden. Rechtsgrundlage für die Verarbeitung ist in der Regel die Durchführung des Vertrages (Art. 6 Abs. 1 b) DS-GVO). Die Speicherdauer richtet sich meist nach den gesetzlichen Aufbewahrungsfristen des HGB (6 Jahre) oder der AO (10 Jahre).

Gleiches gilt grundsätzlich für schriftliche Kaufverträge, wie sie im Möbelhandel üblich sind, und Mietverträge (z. B. über Werkzeuge und Maschinen). Dabei empfiehlt sich jedoch eine Datenschutzinformation unmittelbar mit den Vertragsdokumenten.

Bei Bestellungen auf Kundenwunsch, für die die Angabe von Namen und Kontaktdaten erforderlich ist, müssen die Kunden ebenfalls über die Datenverarbeitung informiert werden. Dabei empfiehlt sich eine Datenschutzinformation unmittelbar mit dem Bestellformular.

Sollte ein Händler die Möglichkeit eines Verkaufs auf Rechnung anbieten, bei dem die Ware i. d. R. gleich mitgenommen wird, muss der Kunde bei der Angabe seiner Rechnungsdaten (Name, Kontaktdaten) über die Verarbeitung seiner Daten zum Zwecke der Rechnungsstellung informiert werden.

Teilweise werden Kunden beim freiwilligen Umtausch von Waren unter Erstattung des Kaufpreises gebeten, Ihren Namen und Ihre Adresse anzugeben. Manchmal wird auch eine Unterschrift des Kunden verlangt. Auch wenn es in der Praxis schwer sein dürfte, manche Unterschrift einer bestimmten Person zuzuordnen, wird bei einigen Unterschriften auch der gesamte Name leserlich ausgeschrieben. So oder so handelt es sich schon bei der Unterschrift um ein personenbezogenes Datum. Wenn beim Umtausch Daten von Kunden erhoben werden, ist auch hier eine Information nach Art. 13 DS-GVO erforderlich, sofern eine automatisierte Verarbeitung oder jedenfalls eine Speicherung in einem Dateisystem stattfindet und die betroffene Person nicht bereits über die Informationen verfügt. Bei nicht strukturierter Ablage in einer nicht auswertbaren Dokumentensammlung dürften die Informationspflichten mangels Anwendbarkeit der DS-GVO nicht erfüllt werden müssen.

Die Datenerhebung geschieht oft aus Gründen der Betrugsprävention, die gleichzeitig auch als berechtigtes Interesse an der Datenverarbeitung genannt werden sollte. Rechtsgrundlage für die Datenverarbeitung ist in diesen Fällen Art. 6 Abs. 1 f) DS-GVO. Im Übrigen sind die Standardinformationen zu geben.

Bei der Abwicklung von Gewährleistungs- und Garantiefällen gibt es unterschiedliche Fallkonstellationen. Wenn das defekte Produkt im Wege der Nachlieferung sofort gegen ein neues ausgetauscht wird, werden oft keine Daten erhoben, so dass auch keine gesonderte Datenschutzinformation erforderlich ist. Wird ein mangelhaftes Produkt zur Reparatur eingeschickt, z. B. an den Hersteller gesandt, ist zu informieren wie bei einem Reparaturauftrag (vgl. 4.). Ist zur Abwicklung des Gewährleistungsfalls die Telefonnummer des Kunden erforderlich (z. B. zu Terminvereinbarungen mit einem Kundendienst, mit Handwerkern bei einer defekten eingebauten Sache oder mit einer Spedition bei Nachlieferung einer sperrigen Sache) darf diese erhoben werden.

Wird dagegen der Kaufpreis erstattet, sind die beim Umtausch erforderlichen Informationen zur Verfügung zu stellen, wenn personenbezogene Daten der Kunden erhoben werden.

Auch wenn die meisten Newsletteranmeldungen online erfolgen, so ist es oftmals auch in stationären Ladengeschäften möglich, sich schriftlich (bspw. auf Papierbögen oder Karteikarten) für einen Newsletter anzumelden. Für die Versendung von Newslettern benötigt der Händler von seinen Kunden eine nachweisbare Einwilligung. Für eine Newslettereinwilligung muss eine datenschutzrechtliche und wettbewerbsrechtliche Einwilligung eingeholt werden. Unter anderem ist erforderlich, dass bereits in der Einwilligungserklärung dargelegt wird, welche Produkte oder Dienstleistungen in dem Newsletter beworben werden. Rechtsgrundlage für die Nutzung der personenbezogenen Daten zur Versendung von Newslettern ist die Einwilligung gemäß Art. 6 Abs. 1 a) DS-GVO.