Man könnte meinen, dass man für das Klettern in einer Kletterhalle nur festes Schuhwerk und die entsprechende Ausrüstung benötigt. Doch in einer Kletterhalle im Saarland reichte dies nicht. Einen solchen Fall schildert die Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland (Unabhängiges Datenschutzzentrum Saarland) in ihrem 31. Tätigkeitsbericht für das Jahr 2022.
Erst Daten, dann kraxeln
Bevor es daran gehen konnte, die Kletterwand zu besteigen, musste ein spontaner Besucher seinen Namen angeben … und sein Geburtsdatum … und ein Foto von sich erstellen lassen.
Die Frau am Empfang erklärte dem verdutzten Besucher, dass die Daten benötigt werden, um Betrugsdelikte im Zusammenhang mit Monats- und Jahreskarten zu verhindern. Seinen Einwand, er wolle gar keine Dauerkarte, sondern sei nur am heutigen Tage da, ließ die Mitarbeiterin nicht gelten.
Alles nur ein Missverständnis … teilweise
Der Kunde wandte sich daher an die Landesbeauftragte und schilderte den Fall. Sie hakte bei der Hallenbetreiberin nach. Diese erklärte, dass das Foto nur ein großes Missverständnis gewesen sei und sich die Servicemitarbeiterin da geirrt habe. Fotos würden nur von Abonnenten auf freiwilliger Basis erstellt, um die Vorlage des Personalausweises überflüssig machen.
Bei dem Namen und dem Geburtsdatum blieb die Hallenbetreiberin aber hart. Die Abfrage und Speicherung im System sei unerlässlich, zudem würden die erhobenen Daten noch am gleichen Tag wieder gelöscht. Das Alter werde benötigt, um den Eintrittspreis zu ermitteln und den Jugendschutz einzuhalten. Außerdem müsse man bei Unfällen oder Bränden für die Rettungskräfte wissen, wer sich noch in der Halle aufhalte.
Den Olymp des Datenschutzes noch nicht erklommen
Die Landesbeauftragte sah keine Probleme in der Erstellung der Fotos, wenn dies freiwillig geschehe. Bei der Abfrage des Namens und des Geburtsdatums war sie allerdings deutlich kritischer. Hier konnte die Aufsichtsbehörde nicht erkennen, zu welchem Zweck dies erforderlich sein könnte. Der Jugendschutz als Rechtsgrundlage kann aus Sicht der Landesbeauftragten nicht dafür herhalten, das Geburtsdatum zu speichern. Hier genüge die Vorlage eines geeigneten Altersnachweises (Personalausweis, Führerschein, Schülerausweis etc.). Eine Speicherung im System sei nicht erforderlich. Warum es des Namens und Geburtsdatums bei Unfällen oder im Brandfall bedarf, blieb der Landesbeauftragten weiter ein Rätsel. Für Rettungskräfte reicht nach ihrer Ansicht die Anzahl der Hallennutzer aus.
Die Hallenbetreiberin lenkte ein und sicherte zu, dass die bereits gespeicherten Daten gelöscht werden und zukünftig auf die Abfrage der Daten bei Nicht-Abonnenten zu verzichten. Außerdem sicherte sie zu, das Servicepersonal zu schulen.
Fazit
Es ergibt Sinn, sich als Unternehmen mit Kundenverkehr gedanklich mit der Frage zu beschäftigten, welche Daten man von den Kunden wirklich benötigt. Wenn einem eine für Außenstehende plausible Begründung für die Datenspeicherung einfällt, ist das schon die halbe Miete. Ist dies nicht der Fall, sollte man nach dem Gebot der Datenvermeidung und Datensparsamkeit auf diese Angaben verzichten. Dies verhindert Irritationen bei den Kunden, Ärger mit Aufsichtsbehörden und hält die eigene Datenmenge, die man verwalten muss, übersichtlich.
18. Oktober 2023 @ 9:54
Name und Geburtsdatum abzufragen macht durchaus Sinn – es geht um die Haftung und den entsprechenden Haftungsausschluss und die Hallenregeln. Einen Haftungsausschluss verlangen viele Kletterhallen, wie soll der vereinbart werden ohne diese Daten? Auch halte ich eine Speicherung des Haftungsausschlusses über den Klettertag hinaus für möglich, da der Kunde noch Tage später kommen kann und meint er hätte sich in der Halle verletzt.