Werden Datenschutzverstöße öffentlich bekannt, kann dies zu Ärger mit dem Betriebsrat, hohen Bußgeldern der Aufsichtsbehörde oder Vertrauensverlust bei den Kunden führen. Solange die WBA anonym erhoben wird, also tatsächlich kein Rückschluss auf den einzelnen Kunden oder Mitarbeiter möglich ist, fallen die Daten nicht unter das Bundesdatenschutzgesetz. Bei pseudonymisierten Daten – wenn zum Beispiel die Konto-, Kredit- oder Kundenkartenummer so weit gekürzt wird, dass sie nur schwer einer Person zuzuordnen ist – greift das Gesetz. In solchen Fällen gelten Vorschriften für die Unternehmen, u. a. einen Zweck der Datenerhebung zu definieren, den Grundsatz der Datensparsamkeit zu beachten – Ist die Speicherung wirklich nötig? Gibt es Alternativen? – eine Löschfrist festzulegen, einzuhalten und den Umgang mit den Daten zu dokumentieren.
Auf den ersten Blick unkritische Einzelsysteme verletzen im Zusammenspiel mit nach und nach eingeführten Systemen „auf einmal“ den Datenschutz. Pseudonymisiert ein Unternehmen sowohl die EC-Karte als auch die Kundenkarte, lassen sich im Laufe der Zeit im Zusammenspiel beider gekürzter Nummern dennoch Rückschlüsse auf eine konkrete Person ziehen. Wird zudem eine Marketingaktion wie ein Gewinnspiel mit den Daten verknüpft, lässt sich die Person eineindeutig zuordnen. Dann greift das Bundesdatenschutzgesetz. War die Verfolgung von Datenschutzverstößen bis vor ein paar Jahren eher nachlässig, rüsten die Behörden nun auf. So stellte zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht hundert weitere Mitarbeiter ein und scheut sich nicht, Bußgelder im fünfstelligen Bereich zu verhängen. Andere Bundesländer handeln ähnlich.
Über die Belange von Mitarbeitern wacht neben den Datenschutzbehörden auch der Betriebsrat. Bei Datenerhebungen gilt es, das Betriebsverfassungsgesetz zu beachten. Wenn ein Unternehmen damit wirbt, dass sich in das Videobild des Mitarbeiters an der Kasse die Bondaten des aktuellen Zahlungsvorgangs automatisch einblenden und diese Bilder zur späteren Auswertung nutzen lassen, missachtet das Unternehmen die Mitarbeiterrechte: Anonyme Daten, die Auskunft über die Kassenauslastung geben und zum Beispiel die Personalplanung unterstützen, sind unproblematisch, die Kombination aus Videobild und eingeblendetem Kassenbon verletzen jedoch sowohl den Datenschutz als auch die Mitbestimmungsrechte.
Zusagen von Hard- und Softwarelieferanten sollten kritisch hinterfragt werden, da Systeme häufig als unbedenklich und gesetzeskonform verkauft werden oder sich die Unternehmen per Unterschrift des Kunden aus jeder Haftung befreien lassen. Zudem sollten sich Nutzer der Warenkorb- und Bondaten-Analyse auf die neue Rechtslage einstellen, die durch das einheitliche europäische Datenschutzrecht – die EU-Datenschutzgrundverordnung – ab 2018 auf die Unternehmen zukommt. Im Zuge dieser Gesetzesänderung müssen alle Prozesse, die mit personenbezogenen Daten arbeiten, überprüft und angepasst werden.
Foto: Fotolia/Eisenhans (1)
Weitere Informationen: www.projekt29.de
Milliardenschaden durch Ladendiebstahl
4 Mrd. Euro betragen die Inventurdifferenzen im Handel, mehr als 55 Prozent davon sind auf Ladendiebstahl zurückzuführen. Vor dem Hintergrund zunehmend professionell agierender Tätergruppen und einem wachsenden Anteil organisierter Kriminalität zeigten sich 120 Branchen-Experten beim EHI Inventur- und Sicherheitskongress am 21. und 22. Juni in Köln besorgt über den gestiegenen Anteil der Ladendiebstähle.
