In unserem täglichen Leben begegnen wir oft Situationen, in denen Datenschutzfragen auftauchen können – selbst bei scheinbar banalen Handlungen wie der Bestellung eines Kaffees direkt am Tresen. In diesem Blogbeitrag werden wir uns mit einem konkreten Fall befassen, in dem Kunden in einem Café gebeten werden, ihren Vornamen anzugeben, um ihre bestellten Getränke zuordnen zu können. Warum die Unordnung hinter dem Tresen von Vorteil für den Betreiber ist, erklärt uns der Tätigkeitsbericht 2023 des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) auf Seite 39.

Was war passiert?

Der Kunde eines Cafés beschwerte sich bei der Aufsichtsbehörde darüber, dass er bei der Bestellung seines Heißgetränks von den Café-Mitarbeitern aufgefordert wurde, seinen Vornamen zwecks Zuordnung der Bestellung zu nennen. Die Kunden werden dort namentlich aufgerufen, sobald das Getränk fertig ist. In dieser Vorgehensweise sah der Kunde eine Verletzung des Datenschutzrechts. Doch ist das richtig?

Anwendbarkeit des Datenschutzrechts

Das Datenschutzrecht, insbesondere die Datenschutz-Grundverordnung (DSGVO), regelt den Umgang mit personenbezogenen Daten. Um festzustellen, ob hier ein Datenschutzverstoß vorliegt, müssen nach dem BayLDA zwei Aspekte geprüft werden, die Voraussetzung für eine Verarbeitung von personenbezogenen Daten sind:

  1. (zumindest teilweise) automatisierte Verarbeitung personenbezogener Daten. Hier sei angemerkt, dass die Nennung des Vornamens durch den Kunden eine Verarbeitung personenbezogener Daten darstellt. Dass die mündliche Weitergabe eine Datenverarbeitung ist, wurde erst vor Kurzem vom EuGH erörtert und grundsätzlich bejaht (wir berichteten).
  2. Verarbeitung in einem Dateisystem. Ein Dateisystem ist eine strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist. Zudem sollen die Daten nach mindestens zwei Kategorien auswertbar sein.

Und wenn der Getränkewunsch mit dem Vornamen zusammen notiert wurde? Nach dem Tätigkeitsbericht des BayLDA (Seite 39) kann es für die Cafébetreiber wichtig sein, darauf zu achten, dass Namenszettel „[…] ungeordnet auf dem Tresen liegen und nach dem Namensaufruf entsorgt werden […].“

Denn dann fehle es an der Strukturiertheit eines Dateisystems und eine automatisierte Verarbeitung liegt darüber hinaus auch nicht vor, da die Namen auch nicht in ein Kassensystem gegeben werden. Somit sei eine Verarbeitung personenbezogener Daten nicht gegeben und das Datenschutzrecht ist nicht anwendbar.

Des Weiteren sei der datenschutzrechtliche Anwendungsbereich auch nicht gegeben, weil die Sammlung nur nach einem einzigen Kriterium auswertbar sei, nämlich nach dem bestellten Getränk. Die gesetzliche Bestimmung verlange aber mindestens zwei Kriterien, sodass die Zettel auch aus diesem Grund kein Dateisystem im datenschutzrechtlichen Sinne sind, wie es Art. 2 Abs. 1 DSGVO aber vorsieht.

Der EuGH stellte in der oben genannten Entscheidung auch fest, dass eine manuelle (also nichtautomatisierte) Datenverarbeitung nur dann in den Anwendungsbereich der DSGVO fällt, wenn die verarbeiteten Daten Teil eines Dateisystems sind oder sein sollen.

Wären also die Zettel mit den Namen und der Bestellung z. B. nach Art der Getränke, alphabetisch nach Namen o. Ä. sortiert, könnte man auch hier von einem Dateisystem sprechen.

Empfehlung des BayLDA für Kunden

Das BayLDA hat für Kaffeetrinker auch einen praktischen Tipp parat: Trotz der fehlenden Anwendbarkeit des Datenschutzrechts können Kunden, die ihre Anonymität wahren möchten, einfach ein Pseudonym angeben. Dies ermöglicht weiterhin die korrekte Zuordnung der bestellten Getränke, ohne den richtigen Vornamen preiszugeben.

Dieser Tipp lässt sich auch für den Fall anwenden, dass der Name nicht nur ausgerufen, sondern auch bei einem Getränk zum Mitnehmen auf dem Pappbecher notiert wird.

Unordnung hilft nicht immer

Bei einem ähnlichen Sachverhalt entschied der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI Baden-Württemberg) zu Ungunsten des datenschutzrechtlichen Verantwortlichen (wir berichteten). In diesem Fall hatte eine Pizzabäckerei mehrere tausende Kassenbelege in einfachen Müllbehältern entsorgt. Naturgemäß waren diese Belege mit personenbezogenen Daten nicht geordnet oder sortiert. Daran störte sich der LfDI Baden-Württemberg nicht und erließ eine Geldbuße wegen eines Verstoßes gegen den Grundsatz der Integrität und Vertraulichkeit bei der Verarbeitung von personenbezogenen Daten gemäß Art. 5 Abs. 1 lit. f DSGVO. Leider ist nicht bekannt, ob der LfDI Baden-Württemberg sich überhaupt mit der hier diskutierten und entscheidenden Problematik der Verarbeitung mittels eines Dateiensystems beschäftigt hat.