Newsroom
Avatar Lesezeit ca. 5 Min.

Kassenbon und Datenschutz

Warum die Bon-Pflicht zu neuen Unsicherheiten beim Datenschutz führt.

Kassenbon und Datenschutz

5 min Lesezeit
Reading Time: 5 minutes

Seit Anfang des Jahres laufen die Bondrucker des Landes heiß. Für jeden noch so kleinen Einkauf wird ein Kassenzettel ausgestellt. Grund ist die allgemeine Belegpflicht, zumeist Bon-Pflicht genannt. Auch wenn sich Geschäfte, Gastronomien und Dienstleister mit wenig Begeisterung dem neuen Gesetz beugen, kommt keine Ruhe in die Sache. Umweltschutz, Papierverschwendung und Annahmezwang sind nur einige Themen, die immer wieder für Gesprächsstoff sorgen. Ein wichtiger, hochsensibler Aspekt ist bei vielen jedoch noch gar nicht angekommen: der Datenschutz beim Kassenbon. Welche Informationen dürfen und müssen auf dem Bon stehen und wer ist für den Schutz dieser Daten verantwortlich? Was bedeutet die Verbindung aus EU-Datenschutz-Grundverordnung (kurz DSGVO) und allgemeiner Belegpflicht für den Handel?

Datenschutz: Ein Thema das alle bewegt

Unternehmen aber auch viele Blogger, private Homepagebesitzer und Betreiber von Social-Media-Profilen erinnern sich mit Grauen an den 25. Februar 2018. An diesem Tag trat die Datenschutz-Grundverordnung vollumfänglich in Kraft. Dies führte dazu, dass zahlreiche Webseiten offline gingen und Newsletter eingestellt wurden. Fotografen bewegen sich seither in einer rechtlichen Grauzone. Kaum jemand wollte riskieren, Opfer der zu erwartenden Abmahnwelle zu werden. Wer sich eine professionelle Rechtsberatung nicht leisten konnte, ging auf Nummer sicher und zog sich aus dem Netz zurück. 

Auch analog trieb die Angst vor Strafen kuriose Blüten. So wird in manchen Arztpraxen der Patient nur noch als Nummer aufgerufen. Wer telefonisch ein Taxi bestellen möchte, darf sich zuerst eine Ansage anhören, die die Datenschutz-Richtlinie des Unternehmens erläutert. Diesen muss man per Tastendruck zustimmen – und das bei jedem Anruf. Mitarbeiter von Metzgereien und beim Bäcker wissen nicht, ob sie ihre Kunden noch mit Namen begrüßen dürfen. 

Wie die Datenschutz-Grundverordnung das Land verunsicherte

Generell sorgte die Verbindung Datenschutz und Namensnennung für viel Verwirrung. So rief der Immobilieneigentümerverein „Haus & Grund“ seine Mitglieder dazu auf die Klingelschilder ihrer Mieter zu entfernen und durch Nummern zu ersetzen. Anlass war ein Fall in Wien. Dort beschwerte sich ein Mieter, dass sein Familienname am Miethaus angebracht war. Daraufhin begann die dortige Hausverwaltung „Wiener Wohnen“ die circa 220.000 Namensschilder an ihren rund 2000 Wohnanlagen zu entfernen.

Da auch Bilder unter die personenbezogenen Daten fallen, zeigen sich die Auswirkungen der DSGVO hier sehr plastisch. Das betrifft besonders Schulen, Kindergärten oder Vereine. So ist man sich nicht sicher, wo der Datenschutz beginnt und wo er aufhört. Muss tatsächlich bei jedem Foto das Einverständnis aller abgebildeten Person eingeholt werden? Ist dieses auf bestimmte Einsatzzwecke begrenzt? Was ist, wenn es widerrufen wird? Gibt es eine Altersbeschränkung? Deshalb gibt es immer weniger Fotos von Veranstaltungen und wenn, sind nur Hinterköpfe oder unkenntlich gemachte Personen zu sehen. Also ein leeres Krapfen-Büfett mit Luftschlangen, statt Kindern im Karneval Kostüm und ein einsamer Stuhlkreis vor dem Adventskranz statt singender Senioren in weihnachtlicher Runde.

DSGVO vs. Bon-Pflicht: Das Thema Datenschutz geht in die 2. Runde 

Inzwischen ist die DSGVO zwei Jahre in Kraft und die Gemüter haben sich beruhigt. Viele offene Fragen konnten geklärt werden und zahlreiche Blogger, Kleingartenvereine, Schulen, etc. sind mit überarbeiteten Webseiten online. Es könnte alles so schön sein, würde nicht ein neues Gesetz die Ruhe stören: die allgemeine Belegpflicht. Vor allem Apotheken bekommen die Kombination aus Datenschutz-Grundverordnung und Ausgabepflicht zu spüren. 

Ende vergangenen Jahres informierte die Apothekerkammer Berlin ihre Mitglieder in einem Rundschreiben darüber, dass Kassenbons, die in der Apotheke zurückbleiben, zwingend datenschutzkonform vernichtet werden müssen. Sie einfach in den Mülleimer zu werfen reiche nicht aus. Vielmehr müssten die Zettel geschreddert oder per Datentonne vernichtet werden. Dafür bedarf es einem speziellen Aktenvernichter. Dieser muss mindestens der DIN-Norm 66399 Schutzklasse 3, Sicherheits-/Zerkleinerungsstufe 4 entsprechen. Wer die besagte Tonne nutzt, ist dazu angehalten, sich von dem Entsorgungsunternehmen einen Entsorgungsbeleg ausstellen lassen.

Datenschutz und Apotheke: Kammer weist auf besondere Verantwortung hin

Die meisten Apotheken müssen sich also neue Aktenvernichter anschaffen oder Verträge mit Entsorgungsdienstleistern abschließen um in Sachen Datenschutz abgesichert zu sein. Außerdem sollten Inhaber und Mitarbeiter stets auf der Hut sein: Wenn ein Kunde seinen Kassenbon innerhalb der Apotheke verliert, liegt die Verantwortung darüber, was mit den darauf aufgedruckten Daten passiert, bei eben dieser. Erst wenn er aus der Tür tritt, geht diese Pflicht auf ihn über.

Doch warum ist der Datenschutz beim Kassenbon aus der Apotheke ein so viel größeres Thema als zum Beispiel beim Bäcker, Kleidungsfachgeschäft oder in der Gastronomie? Der Grund ist, dass auf dem Zettel neben dem erworbenen Medikament häufig auch persönliche Daten des Kunden stehen. Dazu gehören die Anschrift, der Name und das Geburtsdatum. Genau diese Kombination aus Produkt und Personendaten macht den Bon datenschutzrechtlich so sensibel. Die Apothekerkammer rät deshalb künftig auf diese Form der Personalisierung zu verzichten. Solange nur die notwendigen Daten (Produkt, Adresse der Apotheke, Datum und Zeit des Verkaufs und grundlegende steuerliche Angaben) verzeichnet sind, ist der Kassenbon in puncto Datenschutz kein Problem. Kundenbezogene Daten sollen stattdessen auf einer Kundenkarte gespeichert werden. Allerdings ist man sich in diesem Punkt nicht ganz einig. So weist Jürgen Stemke von der Bäckerei Stemken darauf hin, dass auf den Kassenbons auch der Name des Mitarbeiters steht. Dadurch lässt sich ableiten, wann dieser wie lange gearbeitet hat. Auch dies seien personenbezogene Daten. Bestätigt wurde er in seiner Annahme vom Landesbeauftragten für Datenschutz. Dort erhielt er die Information, dass die im Geschäft verbliebenen Zettel fachgerecht vernichtet werden müssen.

Datenschutz leicht gemacht: Digitaler Kassenbon verbindet DSGVO und Bon-Pflicht

Wie geht man also nun mit der Situation um? Wer sicher sein will, setzt auf den elektronischen Kassenzettel, so wie ihn die App admin zur Verfügung stellt. Dieser wird von der Kasse direkt an das Smartphone des Kunden gesendet und dort gespeichert. Ein in dieser Form übermittelter Bon entspricht sowohl den Anforderungen der allgemeinen Belegpflicht, als auch denen der Datenschutz-Grundverordnung. Kein Dritter erhält Einsicht in die Daten, deren Verarbeitung DSGVO-konform erfolgt. Admin wurde genau auf die Anforderungen der aktuellen Verordnungen hin konzipiert. Zwar muss der Nutzer sich vor der ersten Verwendung registrieren, doch wird darüber hinaus kein Nutzerprofil angelegt. Alle persönlichen Daten sind geschützt. Ein solcher Bon kann nicht verloren gehen oder versehentlich liegen gelassen werden. Ein Ausdruck ist nicht notwendig. Damit spart der digitale Kassenbon nicht nur Zeit und Papier, sondern bewahrt Apotheken und Händler auch vor hohen Anschaffungskosten oder Servicegebühren.

Quellen:

1. https://www.akberlin.de

2. https://www.t-online.de