In einigen Kommunen ist die Bezahlkarte zur Auszahlung von Leistungen nach dem Asylbewerberleistungsgesetz (AsylbLG) bereits im Einsatz, in vielen anderen ist die Einführung zeitnah vorgesehen. Die Datenschutzkonferenz (DSK) hat daher am 19.08.2024 ein Positionspapier beschlossen, welches sich mit den datenschutzrechtlichen Grenzen des Einsatzes von Bezahlkarten zur Leistungsgewährung nach dem AsylbLG auseinandersetzt.

Datenschutzrechtliche Zulässigkeit von Bezahlkarten

Durch die Leistungsgewährung per Bezahlkarte sowie die angekündigten weiteren Funktionsmöglichkeiten der Karte kommt es zur Verarbeitung personenbezogener Daten der Leistungsberechtigten. Damit wird in die grundrechtlich verankerte informationelle Selbstbestimmung der Leistungsberechtigten eingegriffen, welche im Lichte des Rechts auf den Schutz personenbezogener Daten nach Art. 8 Charta der Grundrechte der EU (GRCh) in Verbindung mit Art. 7 GRCh auszulegen ist und für deutsche sowie ausländische Staatsangehörige, welche sich im Bundesgebiet aufhalten, gleichermaßen gilt.

Zwar ist die Bezahlkarte als eine Möglichkeit der Leistungserbringung in den §§ 2, 3 und 11 AsylbLG gesetzlich normiert. Eine gesetzliche Rechtsgrundlage zur Verarbeitung personenbezogener Daten ergibt sich hieraus jedoch nicht.

Als Rechtsgrundlage kann nach Auffassung der DSK jedoch aufgrund der geringen Eingriffsintensität auf Art. 6 Abs. 1 lit. e, Abs. 3 DSGVO in Verbindung mit den jeweiligen landesdatenschutzrechtlichen Generalklauseln zurückgegriffen werden.

Grenzen der datenschutzrechtlichen Zulässigkeit

Da eine Datenverarbeitung unter Heranziehung der landesdatenschutzrechtlichen Generalklauseln jedoch nur innerhalb der im AsylbLG vorgesehenen Zwecke erfolgen darf, hat die DSK folgende Grenzen der Zulässigkeit benannt.

a) Keine Einsichtnahme in den Guthabenstand

Nach Auffassung der DSK ist es den Behörden nicht gestattet, Einsicht in den Guthabenstand der Leistungsberechtigten zu nehmen, denn der Gesetzgeber habe in den Regelungen zum AsylbLG gerade nicht vorgesehen, dass die Bezahlkarte den Leistungsbehörden mehr Informationen zu verschaffen, als es bisher der Fall war. Eine vergleichbare Kontrollmöglichkeit bei der Ausgabe von Sachleistungen, Wertgutscheinen oder Bargeld existiere nicht, weshalb der Guthabenabruf auch bei Bezahlkarten nicht erforderlich sei.

Sollte bei einem Verlust der Bezahlkarte ausnahmsweise der Guthabenstand für die Behörde relevant sein, so könne die leistungsberechtigte Person als milderes Mittel entsprechend den Mitwirkungspflichten nach § 9 Abs. 3 AsylbLG i.V.m. §§ 60 ff. SGB I dazu angehalten werden, der Behörde vor Ort an einem Behördencomputer die Einsicht in den Guthabenstand zu gewähren.

b) Keine pauschale Einschränkung auf Postleitzahlen-Gebiete

Mit einer Beschränkung der Bezahlkarten auf Postleitzahlen-Gebiete werden nach Auffassung der DSK über die Leistungsgewährung hinausgehende Zwecke verfolgt, namentlich die Durchsetzung räumlicher Aufenthaltsbeschränkungen nach dem Asylgesetz (AsylG) oder dem Aufenthaltsgesetz (AufenthG). Diese seien gerade keine Voraussetzung für die Bewilligung von Grundleistungen nach den für die Bezahlkarte maßgeblichen Regelungen des AsylbLG, weshalb es an der Erforderlichkeit der Datenverarbeitung fehle.

Zwar stelle § 11 Abs. 2 AsylbLG einen Zusammenhang zwischen dem Leistungsbezug und der Verletzung räumlicher Aufenthalts- und Wohnsitzpflichten her. Allerdings müsse eine solche Verletzung zunächst festgestellt werden, bevor auf der Grundlage von § 11 Abs. 2 AsylbLG Leistungsbeschränkungen erfolgen dürfen. Dies sei bereits deshalb geboten, da der Aufenthalt außerhalb des zugewiesenen Bereichs nicht zwingend gegen räumliche Beschränkungen verstoße, wie sich etwa aus den Möglichkeiten nach § 12 Abs. 5 AufenthG sowie § 57 AsylG zum rechtskonformen Verlassen des Aufenthaltsbereichs ergebe.

Eine Datenverarbeitung zur Beschränkung der Bezahlkarte auf den Einsatz im Bundesgebiet ist nach Ansicht der DSK hingegen datenschutzrechtlich unproblematisch, da der Aufenthalt im Bundesgebiet gemäß § 1 Abs. 1 Hs. 1 AsylbLG Voraussetzung für die Leistungsberechtigung sei, wodurch ein unmittelbarer Bezug zwischen dem Zweck des AsylbLG und der Datenverarbeitung bestehe.

c) Trennung der Datensätze

Beim Einsatz von Bezahlkarten muss auf einen Dienstleister zurückgegriffen werden, der die Durchführung aller Transaktionen auf Bankebene übernimmt. Ist ein Dienstleister für mehrere Leistungsbehörden tätig, werden durch ihn die Datensätze unterschiedlicher Verantwortlicher verarbeitet. Hierbei muss der Dienstleister sicherstellen, dass er die Daten der Verantwortlichen strikt getrennt hält, sodass kein behördenübergreifendes Register entsteht. Auch ein behördenübergreifender Datenabgleich ist nicht zulässig. Hier verweist die DSK auf das Ausländerzentralregister, welches bereits ein bundesweites Register aller Personen mit ausländischer Staatsangehörigkeit darstellt, um divergierende ausländer- oder asylrechtliche Entscheidungen zur gleichen Person zu vermeiden. Es besteht nach Ansicht der DSK daher kein Bedarf für ein weiteres Register.

d) Keine Weitergabe der Ausländerzentralregister-Nummer an den Dienstleister

Nach Auffassung der DSK ist eine Übermittlung der Ausländerzentralregister-Nummer (AZR-Nummer) an den Dienstleister rechtswidrig. Es fehle an einer entsprechenden Rechtsgrundlage. Zwar sehe das Gesetz über das Ausländerzentralregister (AZRG) Ausnahmeregelungen zur Übermittlung an nicht-öffentliche Stellen vor. Diese seien jedoch nicht einschlägig.

Im Übrigen fehlt es nach Auffassung der DSK auch hier an der Erforderlichkeit der Übermittlung, denn in Zweifelsfällen können den Leistungsbehörden die Daten aus dem Ausländerzentralregister zur Verfügung gestellt werden.

e) Zugriff der Sicherheitsbehörden auf Buchungsdaten

Durch die Nutzung der Bezahlkarte werden personenbezogene Daten erhoben und gespeichert, die umfangreiche Rückschlüsse auf die private Lebensgestaltung der leistungsberechtigten Personen ermöglichen. Behördliche Zugriffe dürfen daher nach Ansicht der DSK nur nach den gesetzlichen Vorgaben der einschlägigen Sicherheitsgesetze (bspw. Strafprozessordnung) erfolgen, die auch für andere Personen und deren Bankaktivitäten gelten.

Fazit

Im Ergebnis bieten Bezahlkarten verschiedene Möglichkeiten, Informationen über den jeweiligen Karteninhaber und dessen private Lebensgestaltung zu sammeln. Diese Problematik hat die DSK erkannt und eine Datenverarbeitung seitens der leistungsgewährenden Stellen an entsprechend enge Zulässigkeitsvoraussetzungen geknüpft. Behörden sollten daher zwingend sicherstellen, dass sie Daten im Umgang mit Bezahlkarten nur insoweit verarbeiten, als dies für die Leistungsgewährung selbst tatsächlich erforderlich ist. Andernfalls dürfte es sich entsprechend dem Positionspapier der DSK um eine unzulässige und somit beanstandungswürdige Verarbeitung personenbezogener Daten handeln.