DSB-D123.482/0005-DSB/2019 – Datenschutzbehörde Entscheidung

GZ: DSB-D123.482/0005-DSB/2019 vom 2.4.2019

[Anmerkung Bearbeiter: Namen und Firmen, Rechtsformen und Produktbezeichnungen, Adressen (inkl. URLs, IP- und E-Mail-Adressen), Aktenzahlen (und dergleichen), etc., sowie deren Initialen und Abkürzungen können aus Pseudonymisierungsgründen abgekürzt und/oder verändert sein. Offenkundige Rechtschreib-, Grammatik- und Satzzeichenfehler wurden korrigiert.]

BESCHEID

SPRUCH

Die Datenschutzbehörde entscheidet über die Datenschutzbeschwerde des Mag. Michael A*** (Beschwerdeführer), vertreten durch Rechtsanwalt Mag. Peter B***, vom 27. August 2018 gegen die N*** Aktiengesellschaft (Beschwerdegegnerin), vertreten durch C*** Rechtsanwälte GmbH, wegen Verletzung im Recht auf Geheimhaltung sowie Verletzung der Informationspflicht wie folgt:

- Die Beschwerde wird abgewiesen.

Rechtsgrundlagen : §§ 1 Abs. 1 sowie 24 Abs. 1 und 5 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999 idgF, Art. 4 Z 1 und 2, 6 und 13 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO), ABl. Nr. L 119 vom 4.5.2016, S. 1.

BEGRÜNDUNG

A. Vorbringen der Parteien und Verfahrensgang

1. Mit verfahrenseinleitendem Schreiben vom 27. August 2018 behauptete der Beschwerdeführer eine Verletzung der Informationspflicht sowie der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 DSGVO und brachte dazu im Wesentlichen vor, er habe die Angewohnheit seine Einkäufe bei den Handelsmarken und Tochterfirmen der D*** International AG hauptsächlich bargeldlos mit Karte zu bezahlen. Der Beschwerdeführer verfüge über keine gültige Kundenkarte der Beschwerdegegnerin. Bei jedem bargeldlosen Zahlungsvorgang in den Filialen des Beschwerdegegners werde vor dem eigentlichen Zahlungsvorgang am Kartenterminal eine Stammkundenabfrage angezeigt, worin sich die automationsunterstütze Datenverarbeitung für den Beschwerdeführer zweifelsfrei manifestiere. Für den Beschwerdeführer sei völlig unklar, ob eine Verknüpfung zwischen der Abfrage „Stammkunde“ bei bargeldlosen Zahlungen und dem Kundenbindungsprogramm bestehe und ob konzernweite Verknüpfungen erfolgten. Insbesondere erscheine unklar, welche Daten von der Beschwerdegegnerin bei dieser Stammkundenabfrage erhoben bzw. gespeichert würden. Mit E-Mail vom 11. Juni 2018 habe der Beschwerdeführer die Beschwerdegegnerin aufgefordert, Auskunft über die oben angeführte Datenverarbeitung zu erteilen. Als Antwort habe die Beschwerdegegnerin Folgendes mitgeteilt: „Bei der Bezahlung mit Bankomatkarte wird vom Bankomatkartenterminal abgefragt, ob auf der Bankomatkarte ein sogenanntes ‚Firmenbit‘ hinterlegt ist, sohin ob die Kundenkarte auf der Bankomatkarte gespeichert ist. In diesem Zusammenhang werden keine Daten verarbeitet . Es kommt auch zu keiner Zuordnung von Zahlungsdaten. Die bloße Abfrage, ob auf der Bankomatkarte eine Kundekarte gespeichert ist, ist keinesfalls rechtswidrig .“ Der Beschwerdeführer habe nie seine Einwilligung zur automatisierten Stammkundenabfrage durch ein Kundenterminal in den Filialen der Beschwerdegegnerin erteilt. Der Beschwerdeführer habe mit Schreiben vom 12. Juni 2018 dieser rechtsgrundlosen Datenverarbeitung ausdrücklich widersprochen. Die Beschwerdegegnerin habe es unterlassen, entsprechend ihrer Informationspflicht (im Rahmen der Datenschutzerklärung) die Zwecke anzuführen, für welche die personenbezogenen Daten des Beschwerdeführers verarbeitet würden. Die dargestellte Stammkundenabfrage sei eindeutig als Verarbeitung von Daten zu qualifizieren. Gemäß Art. 6 Abs. 1 DSGVO sei eine Datenverarbeitung nur dann rechtmäßig, wenn eine der Bedingungen des Unterabsatzes lit. a bis f erfüllt sei. Im Ergebnis sei die Datenverarbeitung weder von der Datenschutzerklärung noch von einer Einwilligung gedeckt.

2. Mit Stellungnahme vom 30. Oktober 2018 führte die Beschwerdegegnerin zusammengefasst aus, sie betreibe in ihrer Eigenschaft als Einzelhandelsunternehmen mit Filialen in ganz Österreich ein Kundenbindungsprogramm, wofür von der Beschwerdegegnerin Kundenkarten ausgegeben würden. Auf Wunsch des Kunden könne als Kundenkarte auch die Bankomatkarte verwendet werden. In einem solchen Fall werde auf der Bankomatkarte einmalig das „Firmenbit“ aktiviert und ein Speicherbereich aktiviert. Die Initialisierung des „Firmenbits“ auf der Bankomatkarte erfolge an den Kassen der Beschwerdegegnerin. Bei bargeldlosen Zahlungsvorgängen werde am Zahlungsterminal überprüft, ob die Funktion „Firmenbit“ aktiviert sei. Bejahendenfalls werde überprüft, ob der erwähnte Speicherbereich auf der Bankomatkarte aktiviert sei. Sei diese Funktion nicht aktiviert, würden keine weiteren Abfragen oder Datenverarbeitungen vorgenommen werden. Als Information an den Kunden, der die Bankomatkarte verwende, werde der Text „Stammkundenabfrage durchgeführt“ am Bankomatkarten-Terminal angezeigt. Dabei würden aber entgegen der Darstellung des Beschwerdeführers keine personenbezogenen Daten verarbeitet. Ausschließlich dann, wenn der Speicherbereich aktiviert sei, werde von der Beschwerdegegnerin – in einem zweiten Schritt – ein dort hinterlegter Zahlencode aus dem Chip ausgelesen. Erst dieser Zahlencode ermöglich im Ergebnis – nach diversen technischen Zwischenschritten – die Zuordnung der Bankomatkarte als Kundenkarte zum jeweiligen Mitglied des Kundenclubs der Beschwerdegegnerin. Da im gegenständlichen Fall keine Datenverarbeitung erfolge, weil der Beschwerdeführer nicht am Kundenbindungsprogramm der Beschwerdegegnerin beteiligt sei, sei die Beschwerdegegnerin nicht Verantwortliche einer Datenverarbeitung und es würden sie somit auch nicht die damit verbundenen Pflichten wie insbesondere Informationspflichten gemäß Art. 13 und 14 DSGVO treffen.

3. Mit Schreiben vom 5. März 2019 ergänzte die Beschwerdegegnerin ihre Stellungnahme in technischer Hinsicht und übermittelte die Auftragsverarbeiter-Vereinbarung zwischen der Betreiberin des Kartenterminals sowie der Beschwerdegegnerin. Zusammengefasst führte die Beschwerdegegnerin nochmals aus, dass keine Verarbeitung personenbezogener Daten des Beschwerdeführers erfolgt sei. Um Missverständnissen bezüglich der bargeldlosen Zahlung sowie der Datenverarbeitung der Beschwerdegegnerin vorzubeugen und dem Transparenzgebot gemäß Art. 5 Abs. 1 lit. a DSGVO noch besser zu entsprechen, habe die Beschwerdegegnerin ihre Datenschutzerklärung um einen entsprechenden Absatz zur Verwendung der Bankomatkarte als Kundenkarte für das Kundenbindungsprogramm ergänzt. Diese sei auch dem Beschwerdeführer nachträglich zur Kenntnis gebracht worden.

4. Im Rahmen des Parteiengehörs führte der Beschwerdeführer mit Schreiben vom 26. März 2019 in Bezug auf die Informationspflicht gemäß Art. 13 DSGVO zusammengefasst aus, es sei „unwiderlegbares Faktum“, dass die Beschwerdegegnerin vor Änderung der Datenschutzerklärung ihre Informationspflicht gemäß Art. 13 DSGVO verletzt habe. Zur Wahrung seiner berechtigten Interessen begehre der Beschwerdeführer, die Feststellung der Verletzung der Informationspflicht. In Bezug auf die Verletzung gemäß Art. 6 DSGVO führte der Beschwerdeführer im Wesentlichen aus, dass die Beschwerdegegnerin eine Verarbeitung personenbezogener Daten ohne eine entsprechende Formulierung in ihrer Datenschutzerklärung vorgenommen habe. Die zur Recht vom Beschwerdeführer kritisierte „Stammkundenabfrage“ sei seit Anfang Dezember 2018 nicht mehr als „Insert“ am Zahlungsterminal der Beschwerdegegnerin angezeigt worden. Sehr wohl würden jedoch noch zwei separate Datenabfragen erfolgen. Der Beschwerdeführer gehe davon aus, dass die Beschwerdegegnerin ihre gesetzwidrige Datenverarbeitung einfach ohne Anführen des Wortes „Stammkundenabfrage“ fortgesetzt habe. Im Weiteren würden personenbezogene Daten verarbeitet werden. Durch die Abfrage des sogenannten „Firmenbits“ könne die Zuordnung einer natürlichen Person zu einer Kennnummer bzw. deren Identifizierung erfolgen, wobei dies auch bei der „Pseudoanonymisierung“ der Fall sei. Sinn und Zweck der Stammkundenabfrage sei es, eine natürliche Person zu identifizieren und das Vorhandensein einer Mitgliedschaft im Kundenbindungsprogramm der Beschwerdegegnerin zu überprüfen. Es handle sich bei der Abfrage des „Firmenbits“ um keine sogenannte „Pseudoanonymisierung“, da gerade dadurch die Zuordenbarkeit einer natürlichen Person ermöglicht werden solle. Die Abfrage des sogenannten „Firmenbits“ sei daher in jedem Fall als Verarbeitung personenbezogener Daten zu qualifizieren.

5. Ergänzend führte der Beschwerdeführer mit Schreiben vom 28. März 2019 aus, dass nunmehr hervorgekommen sei, dass die Beschwerdegegnerin ihre Datenschutzerklärung nicht geändert habe. Die Beschwerdegegnerin habe diese einfache Verrichtung binnen drei Wochen nicht vorgenommen. Der Beschwerdeführer sei daher nach wie vor iSd Informationspflicht gemäß Art. 13 DSGVO beschwert.

B. Beschwerdegegenstand

Beschwerdegegenständlich stellt sich die Frage, ob die Beschwerdegegnerin durch die Abfrage des „Firmenbits“ im Rahmen der Stammkundenabfrage bei bargeldloser Zahlung den Beschwerdeführer in seinem Recht auf Geheimhaltung verletzt hat. Darüber hinaus stellt sich die Frage, ob der Beschwerdeführer aufgrund einer unzureichenden Datenschutzerklärung in Bezug auf die „Stammkundenabfrage“ am Zahlungsterminal in seinem Recht auf Information gemäß Art. 13 DSGVO verletzt worden ist.

C. Sachverhaltsfeststellungen

Bei der Beschwerdegegnerin handelt es sich um ein Einzelhandelsunternehmen mit Filialen in ganz Österreich. Die Beschwerdegegnerin betreibt im Zuge dieser Tätigkeit ein Kundenbindungsprogramm, das Kunden beim Vorzeigen einer von der Beschwerdegegnerin auszugebenden Kundenkarte, Rabatte und weitere Vorteile gewährt. Auf Wunsch des Kunden kann die Bankomatkarte als Kundenkarte verwendet werden.

Wird die Bankomatkarte als Kundenkarte verwendet, wird das „Firmenbit“ auf der Bankomatkarte des Kunden aktiviert.

Auf den in Österreich ausgegeben Bankomatkarten befindet sich das File „EF_RFU2“, bestehend aus 196 Bytes. Es beinhaltet die Stammkundennummer, die Händlerbitmap und die Händlerdaten. Davon werden 8 Bytes für die Stammkundennummer, 8 Byte für die Bitmap für Firmenbits , und 180 Byte für die Händlerdaten genutzt.

Das File „EF_RFU2“ ist weder frei lesbar noch frei beschreibbar.

Die Datei „EF_RFU2“ und die Bitmap stellen sich wie folgt dar:

[Anmerkung: Die im Original an dieser Stelle wiedergegebenen grafischen Dateien (Screenshots) mit einer tabellarischen Darstellung der betreffenden Dateien können im RIS nicht dargestellt werden.]

Ein Byte besteht aus 8 Bit (Anm.: Ein Bit entspricht einem Zeichen). Byte 0 bis 7 verfügen daher über insgesamt 64 Bit, wobei nur das Bit 1 für die Nutzung der Stammkundenabfrage bei der Beschwerdegegnerin vergeben ist. Alle weiteren Bits entsprechen dem Wert 0 und sind nicht vergeben. Im Zuge der Stammkundeabfrage beim Zahlungsterminal wird am Bit 1 ausgelesen, ob die Bankomatkarte für das Kundenbindungsprogramm der Beschwerdegegnerin initialisiert wurde.

Wird die Stammkundenfunktion auf der Bankomatkarte freigeschaltet, so wird bei der Initialisierung das Bit (Bit 1 der Bitmap) auf 1 gesetzt und die seitens der Handelskasse übermittelten Daten werden auf die Karte geschrieben. Diese Initialisierung erfolgt ausschließlich dann, wenn der Karteninhaber sich aktiv für die Nutzung des jeweiligen Stammkundenprogramms bereit erklärt hat und die Nutzung der Bankomatkarte anstelle der Kundenkarte wünscht.

Im Zuge der Stammkundenabfrage kann die Handelskasse mit Hilfe des Terminals abfragen, ob die Stammkundenfunktion auf der Bankomatkarte des Karteninhabers genutzt wird. In weiterer Folge liest das Terminal die verschlüsselten Daten aus der Karte und überprüft, ob das richtige Firmenbit gesetzt ist. Nach erfolgter Prüfung sendet das Terminal entweder nur die Meldung „kein Stammkunde“, oder „Stammkunde“ an die Handelskasse retour. Dazu stellt sich der technische Ablaufprozess schematisch wie folgt dar:

[Anmerkung: Die im Original an dieser Stelle wiedergegebene grafische Datei (Screenshot) mit einer tabellarischen Darstellung des betreffenden Prozesses kann im RIS nicht dargestellt werden.]

Die Handelskasse sendet im Rahmen der Stammkundenabfrage den Auftragssatz „Stkf-Abfrage ohne Kartenrückgabe“ an das Terminal:

[Anmerkung: Die im Original an dieser Stelle wiedergegebenen grafischen Dateien (Screenshots) mit einer tabellarischen Darstellung des betreffenden Prozesses können im RIS nicht dargestellt werden.]

Der Antwortsatz des Terminals an die Handelskasse enthält keine Kundendaten, sondern lediglich die Terminal-ID, Datum und Uhrzeit.

Nur in dem Fall, dass die Bankomatkarte als Kundenkarte initialisiert wurde, werden die bei der Initialisierung geschriebenen Daten an die Handelskassa zurückgeliefert.

Der Beschwerdeführer nimmt am Kundenbindungsprogramm der Beschwerdegegnerin nicht teil. Auf seiner Bankomatkarte ist das „Firmenbit“ nicht aktiviert (d.h. auf 0 gesetzt).

Beweiswürdigung : Die Feststellungen bezüglich der Nichtteilnahme am Kundenbindungsprogramm der Beschwerdegegnerin beruhen auf dem übereinstimmenden Vorbringen der Verfahrensparteien in ihren Schreiben an die Datenschutzbehörde. Die Feststellungen hinsichtlich des technischen Ablaufs der Stammkundenabfrage beruhen auf der Stellungnahme der Beschwerdegegnerin vom 5. März 2019, die nachvollziehbar und auch für Laien verständlich die technische Funktionsweise eines Firmenbits sowie den technischen Ablaufprozess bei Aktivierung und Nichtaktivierung des „Firmenbits“ im Rahmen der Stammkundenabfrage dargestellt hat. Diesen Ausführungen ist der Beschwerdeführer im Rahmen des Parteiengehörs auch nicht entgegengetreten. Das Vorbringen des Beschwerdeführers, wonach ein wesentlicher Zweck der Stammkundenabfrage beim bargeldlosen Zahlen darin bestehe, einen Personenbezug herzustellen, mag auch nicht zu überzeugen, da diese Abfrage nichts darüber aussagt, ob der Kunde generell am Kundenbindungsprogramm teilnimmt. Neben dem Verwenden der Bankomatkarte als Kundenkarte gibt die Beschwerdegegnerin gesondert Kundenkarten aus.

D. In rechtlicher Hinsicht folgt daraus:

Die Datenschutzbehörde geht davon aus, dass eine betroffene Person sich auf jede Bestimmung der DSGVO auch abseits der Betroffenenrechte nach Kapitel III stützen kann, sofern dies im Ergebnis zu einer denkmöglichen Verletzung des Rechts auf Geheimhaltung nach § 1 Abs. 1 DSG führen kann (vgl. dazu den Bescheid vom 30. November 2018, GZ DSB-D122.931/0003-DSB/2018). Im gegenständlichen Fall war das Vorbringen des Beschwerdeführers demnach im Hinblick auf eine Verletzung der Informationspflicht gemäß Art. 13 DSGVO sowie betreffend das Vorbringen einer Verletzung gemäß Art. 6 DSGVO in Bezug auf das Recht auf Geheimhaltung gemäß § 1 DSG zu überprüfen.

Verarbeitung personenbezogener Daten:

Gemäß § 1 Abs. 1 DSG hat jedermann, insbesondere im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Darunter ist der Schutz der betroffenen Person vor Ermittlung seiner Daten und der Schutz vor der Weitergabe der über ihn ermittelten Daten zu verstehen. Rein begrifflich setzt dieser Vorgang somit eine Verarbeitung personenbezogener Daten beim Verantwortlichen voraus. Auch Art. 1 Abs. 1 DSGVO legt fest, dass die Verordnung Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten enthält.

Voraussetzung dafür, dass eine Verletzung im Recht auf Geheimhaltung gemäß § 1 DSG sowie Information gemäß Art. 13 DSGVO überhaupt denkmöglich vorliegen kann, ist damit die Verarbeitung personenbezogener Daten durch den Verantwortlichen.

Personenbezogene Daten sind gemäß der Begriffsbestimmung des Art. 4 Z 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dabei wird eine natürliche Person dann als identifizierbar angesehen, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung oder zu mehreren besonderen Merkmalen identifiziert werden kann.

Als Verarbeitung wird jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang oder jede solche Vorgansreihe verstanden, die im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung steht (vgl. Art. 4 Z 2 leg.cit).

In der Sache:

Die verfahrensgegenständliche Datenverarbeitung betrifft die Abfrage betreffend die Stammkundeneigenschaft im Zuge der bargeldlosen Zahlung an einer Handelskassa der Beschwerdegegnerin. Dabei wird von der Handelskassa ein Auftrag an den Zahlungsterminal gesendet. Dieser liest sodann aus, ob das Bit 1 am File „EF_RFU2“ aktiviert ist, oder den Wert 0 aufweist. Im gegenständlichen Fall nimmt der Beschwerdeführer nicht am Kundenbindungsprogramm der Beschwerdegegnerin teil, weshalb auch keine Kundenkarte auf seiner Bankomatkarte aktiviert ist. Die Handelskasse bekommt daher bei bargeldloser Zahlung des Beschwerdeführers vom Terminal lediglich den Hinweis „kein Stammkunde“ übermittelt.

Der Antwortsatz des Terminals an der Kasse der Beschwerdegegnerin enthält keine Kundendaten, sondern lediglich die Terminal-ID sowie das Datum und die Uhrzeit. Beim Hinweis „kein Stammkunde“ sowie der Terminal-ID dem Datum und der Uhrzeit handelt es sich ohne Hinzutreten weiterer Daten um keine Information, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen kann. Weitere Daten werden in dem verfahrensgegenständlichen Verarbeitungsprozess nicht verarbeitet.

Im Ergebnis konnte der Beschwerdeführer – mangels Verarbeitung seiner personenbezogenen Daten – im Zuge der Stammkundenabfrage beim bargeldlosen Zahlen weder in seinem Recht auf Geheimhaltung gemäß § 1 DSG iVm Art. 6 DSGVO, noch in seinem Recht auf Informationspflicht gemäß Art. 13 DSGVO verletzt werden.

Eine allfällige Verarbeitung personenbezogener Daten im Rahmen des bargeldlosen Zahlens ist nicht Gegenstand des Verfahrens.

Da sich die Beschwerde als nicht berechtigt erweist, war sie gemäß § 24 Abs. 5 DSG abzuweisen .