Die Datenschutzbeauftragten haben (endlich) die Praxis der Kartenzahlung in deutschen Supermärkten ins Visier genommen: Man möchte die bisherige Praxis angeblich prüfen und ggsfs. auch Verstöße mit Sanktionen ahnden. Ich selbst habe bereits vor mehr als zwei Jahren auf das Problem hingewiesen, doch: Ist das nun der nächste Aufreger? Oder nur ein Sturm im Wasserglas?
Ich sehe drei Einstiegspunkte, um Kritik zu üben: Die Bestimmheit der Einwilligung, die Informiertheit der Kunden und die Freiwilligkeit der Einwilligung. Alles drei sind notwendige Voraussetzungen der datenschutzrechtlichen Einwilligung, Fehler lassen die Einwilligung unwirksam werden.
Bei der Bestimmtheit muss man vorne anfangen: Für mich steht fest, dass zu wenige Menschen wissen, wie das mit der „Kartenzahlung“ funktioniert. Bei vielen, so habe ich den Eindruck, gibt es sogar die (naive) Vorstellung, man würde beim „zahlen“ mit der Karte direkt das Geld an das Unternehmen (den Supermarkt) übergeben. Das ist sicherlich falsch, allerdings muss man sich bei diesem komplexen System nicht wundern, wenn Verbraucher nicht durchblicken.
Im Regelfall wird man 5 Parteien haben, die an der Zahlung beteiligt sind (manchmal 4, keinesfalls aber 2): Einmal den Kunden, dann den Supermarkt, dann das Unternehmen, das für den Supermarkt die Transaktion leitet – und „auf der anderen Seite“ das Kreditinsitut des Kunden, das ihm die Karte ausgegeben hat sowie ein Transaktionsinsitut, das zwischen Kreditinstitut des Kunden und Transaktionsinstitut des Supermarkts geschaltet ist. Dazu kommt natürlich noch das Kreditinsitut des Supermarktes, womit wir in der Summe sogar auf bis zu 6 Parteien kommen können. Ich denke, alleine dieses Vertragsgeflecht dürfte manchen Leser schon jetzt überfordern.
Doch dieses Geflecht spielt nicht nur für die beteiligten Parteien oder Juristen eine Rolle: Wer sich halbwegs bildlich vorstellt, was da im Hintergrund abläuft bei einer „Zahlung“ mit Karte, der merkt direkt, was da an Daten zwangsläufig fließen muss. Würde man wirklich jeden Beteiligten auf der zu unterschreibenden und notwendigen Einwilligung auflisten, gäbe es gleich zwei Probleme:
- Die Liste wäre derart lang, dass ich nicht glaube, irgendein Verbraucher könnte sie ernsthaft lesen
- In jedem Supermarkt gäbe es das Problem, dass man jeweils eigene Kreditinstitute nutzt – also jeweils eigene Einwilligungserklärungen benötigt. Man könnte also nicht die massenhaft auf dem Markt verfügbaren Kassenzettel nutzen, sondern müsste individuelle Drucken lassen. Die Kosten würden letztlich beim Kunden landen.
Es bleibt auch fraglich, ob der Kunde überhaupt namentlich sämtliche Beteiligten benötigt, letztlich dürfte vor allem das vom Supermarkte genutzte Transaktionsunternehmen von Interesse sein – das bisher schon auf den Zetteln erwähnt wird. Inwiefern man bei der Einwilligung Kritik üben möchte, weil Sie nicht hinreichend bestimmt ist, sollte man sich also letztlich überlegen und Kundenorientiert arbeiten. Bei diesem komplexen System eine derart hinreichend bestimmte Einwilligungserklärung, dass alle beteiligten Parteien zu erkennen sind, dürfte den Verbraucher letztlich nur überfordern und das jeweilige Unternehmen mit unsinnigen Kosten belasten.
Mit der Bestimmtheit geht die Informiertheit einher: Die Kritik der Datenschützer, dass man kein Doppel erhält, ist durchaus berechtigt. Kunden sollten nicht nur wissen, wer ihre Kartendaten speichert, sondern sie müssen es auch wissen. Hintergrund sind nicht zuletzt die – scheinbar übrigens gut zu funktionierenden – Sicherheitssysteme der Transaktionsunternehmen. Wenn eine „Zahlung“ zurück geht, so lese ich auf den Einwilligungen (denn ich lese sie immer – übrigens sehr aufmerksam) soll eine „Zahlung“ via Karte bei diesem Unternehmen nicht mehr möglich sein. Das ist gut zu wissen, insbesondere da die, die ein wenig fester im Leben stehen, wissen, dass es neben dem ungedeckten Konto eine Vielzahl von Gründen gibt, warum eine „Zahlung zurückgehen“ kann. Daneben wird der §34 BDSG mit seinem Auskunftsanspruch zur Farce, wenn wir gar nicht wissen, wer da unsere Daten speichert. Allerdings habe ich bei lockeren Gesprächen festgestellt, dass es nicht wenige zu geben scheint, die glauben, dass der Supermarkt selbst die Transaktion durchführt – hier offenbart sich Aufklärungsbedarf. Es ist mir zudem nicht einsichtig, was dagegen spricht, die unterschriebene Einwilligung einfach auf dem zweiten Beleg gleichsam auf der Rückseite aufzudrucken.
Rechtlich schwierig ist an dieser Stelle die von Datenschützern geäußerte Sorge, dass wohl ein Transfer an Wirtschaftsauskunfteien stattfindet. Mir selbst ist eine solche Klausel noch nicht begegnet (ich zahle nur sehr selten mit EC-Karte, in erster Linie aus Neugierde, um die Klauseln zu lesen), aber ich sehe hier mit Blick auf den neuen §28a BDSG erhebliche Schwierigkeiten. Auch ist je nach Formulierung fraglich, ob man noch „andere Erklärungen“ erhebt und somit nach §4a I S.3 BDSG eine besondere Hervorhebung wählen müsste, die ohnehin nicht eingehalten wird.
Die geäußerte Kritik an der Freiwilligkeit ist auch berechtigt, lässt sich aber nicht vermeiden: Ich wurde kürzlich an der Kasse angemault, weil ich (mangels 1-Euro-Münze) keinen Wagen dabei hatte. Druck wird ständig ausgeübt, sei es vom Kassierer oder sich aufspielenden wartenden in der Schlange hinter einem. Hier ist die normale Charakterfestigkeit gefragt. Dennoch muss ich feststellen, dass der Durchschnittskunde die zunehmende Masse an Text „blind“ unterschreibt, ohne sie zumindest zu lesen. Dies ist in der Tat ein erhebliches Problem, das man aber ganz generell angehen sollte: In der heutigen Zeit, geprägt von Betrügern und Abzockern, ist es ein gesellschaftlich nicht hinzunehmendes Problem, dass ohne zumindest oberflächliche Prüfung Verträge unterzeichnet werden (um etwas anderes handelt es sich hierbei nicht). Der einzelne Betroffene mag das herunterspielen und in der Tat habe auch ich beim Supermarkt um die Ecke weniger Sorge, die berühmte Waschmaschine mit Unterschrift angedreht zu bekommen. Dennoch ist es ein nicht zu unterschätzendes Problem – das man aber auch nicht durch gezielte Kritik an Supermarkt-Ketten in den Griff bekommt.
In der Tat fürchte ich, dass nun viele „Unbedarfte“ sich wieder in Reflexartiger Kritik an den lebensfremden Datenschützern üben. Die Erfahrung zeigt: So etwas verebbt, wenn man selbst durch Datenmissbrauch betroffen ist. Ich sehe dabei durchaus einigen Verbesserungsbedarf, wobei ich mich auf diese Punkte konzentrieren möchte:
- Es sollte Standard sein, dass auf Kassenzetteln bei Kartenzahlung nicht die gesamte Kontonummer zu sehen ist, sondern zum Teil anonymisiert
- Ein Duplikat der Einwilligung sollte gleichsam Standard sein. Supermärkte die sich hier aufregen, sollten daran denken, nur so einem noch teureren Auskunftsanspruch ausgesetzt zu sein
- Sofern Auskunfteien mit einbezogen sind, sind Kunden darauf in der Tat schon vorher hinzuweisen, wobei der §28a BDSG im Blick zu halten ist
- Die Einverständniserklärung sollte weniger eine formale als vielmehr kundenorienterte Fassung anzielen, so dass der Kunde durchaus in der Lage ist, dies auch wirklich im gebotenen Zeitrahmen zu lesen
Ansonsten halte ich weiter gehende Forderungen, speziell umfassende Aushänge, für eher kontraproduktiv – zumal die Vielzahl an Aushängen (Jugendschutz, Hinweis auf Kameras etc.) schon jetzt zu einer Abstumpfung der Kunden führt – und zu einer Unübersichtlichkeit.
Wichtiger wäre für mich dagegen, dass man gezielt das gesellschaftspolitische und juristische Problem des „blinden Unterschreibens“ in den Fokus nimmt und durch eine gezielte Aufklärungskampagne angeht. Gleichsam könnte ein Aufklärung über die „Kartenzahlung“ und den Prozess dazu führen, dass Menschen von sich aus wissen, wie das System insgesamt funktioniert – und was nötig ist an Datenfluss. Keinesfalls notwendig, wenn auch Sinnvoll, ist dabei das zur Zeit übliche Erstellen von Zahlungsprofilen – von dem auch kaum einer weiß. Hier sind die Unternehmen in der Pflicht ordentlich zu belehren.
Im Fazit glaube ich nicht, dass es der große Aufreger ist. Vielmehr sollte man sich fragen, warum die – in der Tat fragwürdigen – Einwilligungserklärungen nicht schon früher Thema waren. Ich hoffe darauf, dass das Thema nun in sachlicher Ruhe angegangen und erledigt wird.
Übrigens: Wer sich daran stört und das Problem umgehen möchte, kann mit Kreditkarte zahlen – auf Grund des hier anders laufenden Zahlungssystems sind hier entsprechende Einwilligungserklärungen nicht notwendig.
- Russische Militärische Cyber-Akteure nehmen US- und globale kritische Infrastrukturen ins Visier - 11. September 2024
- Ransomware Risk Report 2024 von Semperis - 11. September 2024
- Künstliche Intelligenz in Deutschland – Status, Herausforderungen und internationale Perspektiven - 10. September 2024