In unserem täglichen Leben begegnen wir oft Situationen, in denen Datenschutzfragen auftauchen können – selbst bei scheinbar banalen Handlungen wie der Bestellung eines Kaffees direkt am Tresen. In diesem Blogbeitrag werden wir uns mit einem konkreten Fall befassen, in dem Kunden in einem Café gebeten werden, ihren Vornamen anzugeben, um ihre bestellten Getränke zuordnen zu können. Warum die Unordnung hinter dem Tresen von Vorteil für den Betreiber ist, erklärt uns der Tätigkeitsbericht 2023 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) auf Seite 39.
Was war passiert?
Der Kunde eines Cafés beschwerte sich bei der Aufsichtsbehörde darüber, dass er bei der Bestellung seines Heißgetränks von den Café-Mitarbeitern aufgefordert wurde, seinen Vornamen zwecks Zuordnung der Bestellung zu nennen. Die Kunden werden dort namentlich aufgerufen, sobald das Getränk fertig ist. In dieser Vorgehensweise sah der Kunde eine Verletzung des Datenschutzrechts. Doch ist das richtig?
Anwendbarkeit des Datenschutzrechts
Das Datenschutzrecht, insbesondere die Datenschutz-Grundverordnung (DSGVO), regelt den Umgang mit personenbezogenen Daten. Um festzustellen, ob hier ein Datenschutzverstoß vorliegt, müssen nach dem BayLDA zwei Aspekte geprüft werden, die Voraussetzung für eine Verarbeitung von personenbezogenen Daten sind:
- (zumindest teilweise) automatisierte Verarbeitung personenbezogener Daten. Hier sei angemerkt, dass die Nennung des Vornamens durch den Kunden eine Verarbeitung personenbezogener Daten darstellt. Dass die mündliche Weitergabe eine Datenverarbeitung ist, wurde erst vor Kurzem vom EuGH erörtert und grundsätzlich bejaht (wir berichteten).
- Verarbeitung in einem Dateisystem. Ein Dateisystem ist eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Zudem sollen die Daten nach mindestens zwei Kategorien auswertbar sein.
Und wenn der Getränkewunsch mit dem Vornamen zusammen notiert wurde? Nach dem Tätigkeitsbericht des BayLDA (Seite 39) kann es für die Cafébetreiber wichtig sein, darauf zu achten, dass Namenszettel „[…] ungeordnet auf dem Tresen liegen und nach dem Namensaufruf entsorgt werden […].“
Denn dann fehle es an der Strukturiertheit eines Dateisystems und eine automatisierte Verarbeitung liegt darüber hinaus auch nicht vor, da die Namen auch nicht in ein Kassensystem gegeben werden. Somit sei eine Verarbeitung personenbezogener Daten nicht gegeben und das Datenschutzrecht ist nicht anwendbar.
Des Weiteren sei der datenschutzrechtliche Anwendungsbereich auch nicht gegeben, weil die Sammlung nur nach einem einzigen Kriterium auswertbar sei, nämlich nach dem bestellten Getränk. Die gesetzliche Bestimmung verlange aber mindestens zwei Kriterien, sodass die Zettel auch aus diesem Grund kein Dateisystem im datenschutzrechtlichen Sinne sind, wie es Art. 2 Abs. 1 DSGVO aber vorsieht.
Der EuGH stellte in der oben genannten Entscheidung auch fest, dass eine manuelle (also nichtautomatisierte) Datenverarbeitung nur dann in den Anwendungsbereich der DSGVO fällt, wenn die verarbeiteten Daten Teil eines Dateisystems sind oder sein sollen.
Wären also die Zettel mit den Namen und der Bestellung z. B. nach Art der Getränke, alphabetisch nach Namen o. Ä. sortiert, könnte man auch hier von einem Dateisystem sprechen.
Empfehlung des BayLDA für Kunden
Das BayLDA hat für Kaffeetrinker auch einen praktischen Tipp parat: Trotz der fehlenden Anwendbarkeit des Datenschutzrechts können Kunden, die ihre Anonymität wahren möchten, einfach ein Pseudonym angeben. Dies ermöglicht weiterhin die korrekte Zuordnung der bestellten Getränke, ohne den richtigen Vornamen preiszugeben.
Dieser Tipp lässt sich auch für den Fall anwenden, dass der Name nicht nur ausgerufen, sondern auch bei einem Getränk zum Mitnehmen auf dem Pappbecher notiert wird.
Unordnung hilft nicht immer
Bei einem ähnlichen Sachverhalt entschied der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) zu Ungunsten des datenschutzrechtlichen Verantwortlichen (wir berichteten). In diesem Fall hatte eine Pizzabäckerei mehrere tausende Kassenbelege in einfachen Müllbehältern entsorgt. Naturgemäß waren diese Belege mit personenbezogenen Daten nicht geordnet oder sortiert. Daran störte sich der LfDI Baden-Württemberg nicht und erließ eine Geldbuße wegen eines Verstoßes gegen den Grundsatz der Integrität und Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten gemäß Art. 5 Abs. 1 lit. f DSGVO. Leider ist nicht bekannt, ob der LfDI Baden-Württemberg sich überhaupt mit der hier diskutierten und entscheidenden Problematik der Verarbeitung mittels eines Dateiensystems beschäftigt hat.
Anonymous
12. Juli 2024 @ 10:30
Ich schließe mich an: Wieso zwei Kriterien?
Das ist der eigentliche Unterschied zu früheren Gesetzgebungen (z.B. BDSG); damals konnte Datenschutzrecht erst ab drei Kriterien angewandt werden. Nach DSGVO und aktuellem BDSG (§ 3 Abs. 1 „Einzelangaben“) gilt ein Merkmal bereits als schützenswert. Das Dateisystem kann auch dezentral organisiert sein. Danke für Ihre Antwort.
Christian Hanusch
12. Juli 2024 @ 16:18
Vielen Dank für die Kommentare
auf die ich sehr gerne eingehe.
Die Passage aus dem hier vorgestellten Tätigkeitsbericht geht nicht weiter auf eine Begründung ein, sondern verweist auf den Gesetzestext:
„Zudem wäre die Sammlung allenfalls nach einem einzigen Kriterium – dem bestellten Getränk – auswertbar, während die gesetzliche Begriffsdefinition die Auswertbarkeit nach mindestens zwei Kriterien voraussetzt, so dass die Zettel auch aus diesem Grund kein Dateisystem im datenschutzrechtlichen Sinne bilden.“
Der Begriff „Dateisystem“ wird in Art. 4 Nr. 6 DSGVO legaldefiniert als „..Daten, die nach bestimmten Kriterien zugänglich sind..“. Das Gesetzt geht also vom Wortlaut her von einer Pluralform aus, also von mindestens zwei Kriterien. Auch im englischen Text findet sich keine Singularform:“..which are accessible according to specific criteria..“.
Die Kommentarliteratur, soweit ersichtlich, geht auch von mind. 2 Kriterien aus: „Die Sammlung bzw. die in ihr enthaltenen Daten müssen nach bestimmten, dh zumindest zwei Kriterien zugänglich sein. Da zwei ermöglichende Merkmale für eine Sortierung oder Auswertung genügen…“ „..Dementsprechend sind Prüfungsarbeiten in einem „Dateisystem“ gespeichert, wenn sie zwei Kriterien haben..“
(Gola/Heckmann/Gola, 3. Aufl. 2022, DS-GVO Art. 4 Rn. 61, 62)
„Im Umkehrschluss zu ErwG 15 Satz 2 fallen auch Akten, Aktensammlungen sowie deren Deckblätter unter den Schutz der DSGVO, sofern sie entsprechend geordnet und die jeweiligen Informationen nach mindestens zwei Kriterien zugänglich sind.“
(Taeger/Gabel/Arning/Rothkegel, 4. Aufl. 2022, DS-GVO Art. 4 Rn. 165)
„Insofern sind Dateisysteme Sammlungen personenbezogener Daten, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich sind und ausgewertet werden können.“
(Paal/Pauly/Ernst, 3. Aufl. 2021, DS-GVO Art. 4 Rn. 54)
DK_DSB
11. Juli 2024 @ 11:54
„Die gesetzliche Bestimmung verlange aber mindestens zwei Kriterien“ – können Sie bitte die Rechtsgrundlage nennen?
Anonymous
5. Juli 2024 @ 10:05
Die Antwort auf die Frage würde mich tatsächlich interessieren. Die Erwägungsgründe werden sogar noch expliziter:
„Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.“