Oftmals ist man der Meinung, dass Supermärkte, Getränkehändler oder generell der Einzelhandel noch nicht so digital und online aufgestellt sind. Durch die Erfahrung aus unseren Kundenprojekten können wir Ihnen jetzt schon mitteilen, dass ein Supermarkt mit hoher Wahrscheinlichkeit nicht offline ist. Was im Online-Geschäft schon zum alltäglichen Gebrauch geworden ist, findet sich auch im stationären Handel wieder: Das Auswerten von Käuferverhalten zu verschiedenen Zwecken.
Ob Videoüberwachung im Supermarkt, Bezahlung per EC-Karte, Bestellung von Waren an der Fleischtheke oder Gewinnspiele auf Facebook-Fanpages diese Verarbeitungen gehören zum täglichen Geschäft im Lebensmitteleinzelhandel. Wir wissen, dass es nicht leicht ist, in einem Wettbewerb mit online basierten Lebensmittel-Anbietern. Desto mehr sind Sie darauf angewiesen Ihren Supermarkt digitaler auszurichten als Sie es zuvor getan haben. Daher klären wir Sie darüber auf was Sie als Supermarkt-Betreiber beim Datenschutz beachten müssen.
Videoüberwachung im Supermarkt
Völlig egal ob EDEKA, Marktkauf, REWE oder Trinkgut, alle Supermärkte setzen heute auf eine Videoüberwachung, um die Einbruchszahlen so gering wie möglich zu halten.
Videoüberwachung und Videoaufzeichnung sind wichtige Elemente beim Objekt- und Einbruchsschutz für den Lebensmitteleinzelhandel. Dadurch wird es möglich, das gesamte Gelände inklusive Parkplatz oder Gebäudekomplexe ohne großen Aufwand – oftmals auch per App aufs Handy – zu beobachten. Sollten Fälle wie Vandalismus eintreten, so können die Bilder dann zu einer schnelleren Täterverfolgung beitragen.
Diese Maßnahmen greifen jedoch gleichzeitig auch tief in die Persönlichkeitsrechte der Kunden ein. Das ist der Grund dafür, dass Sie besonders aufmerksam sein müssen beim Betrieb einer Videoüberwachung.
Wenn mit der Videoüberwachung in Ihrem Supermarkt nur notwendige und zulässige Bereiche aufgezeichneten werden, die betroffenen Personen korrekt informiert worden sind und die gesammelten Daten vor unbefugter Nutzung geschützt worden sind – dann müssen Sie die Verarbeitung “nur noch” datenschutzkonform dokumentieren.
Hierfür wird ein Löschkonzept entwickelt, die Verarbeitung gemäß Artikel 30 DSGVO erfasst und das Risko innerhalb der Datenschutz-Folgenabschätzung festgehalten.
Bezahlung mit EC-Karte
Das bargeldlose Bezahlen bringt viele Vorteile mit sich mit. Einkaufen im Supermarkt bedeutet für die Kunden auch, viel zu lesen. Ausgerechnet an der Kasse, wenn es um das Bezahlen mit der EC-Karte geht, schauen aber wohl die meisten gar nicht richtig hin – und unterschreiben kurzerhand auf dem Bon. Doch wissen Sie in was Ihr Kunde hier einwilligt?
Oftmals werden externe Zahlungsdienstleister beauftragt. In der Regel sind es nur wenige Zeilen, welche der Datenschutz an Platz auf dem Bon bekommt. Damit erlaubt der Kunde dem Supermarkt, den Betrag vom Konto einzuziehen und die damit verbundenen Daten datenschutzkonform zu verarbeiten. Schwieriger wird es, wenn weitere Daten zum Kunden (Kaufverhalten) abgefragt werden.
Ist eine Einwilligungserklärung auf dem Kassenbon nicht nach den Maßgaben der Datenschutz-Grundverordnung (DSGVO) gestaltet, kann eine Einwilligung auch als unwirksam betrachtet werden.
Verarbeiten Sie personenbezogene Daten ohne die Rechtsgrundlage (in diesem Falle die Einwilligung), so verstoßen Sie gegen die Grundsätze der DSGVO. Hierfür werden gemäß Artikel 83 DSGVO Bußgelder verhängt ab 50.000€. Daher ist es von hoher Bedeutung, dass Sie die Einwilligungserklärungen im Detail überprüfen lassen.
Kauf auf Rechnung oder Reservierung
Jeder kennt es, es ist wieder Weihnachten und alle Kunden möchten an der Fleischtheke ihre Gans vorbestellen und am 23. Dezember abholen. Doch wie soll das funktionieren ohne die Aufnahme von Daten?
Ganz einfach: Das ist nicht möglich! Daher hat der europäische Gesetzgeber folgenden Erlaubnistatbestand und somit Rechtsgrundlage für die Verarbeitung entworfen. Die Rede ist von Artikel 6 Absatz 1 b) DSGVO:
Das bedeutet für Sie als Betreiber eines Supermarktes, dass Sie diese Verarbeitung selbstverständlich tätigen dürfen. Dennoch sind hierbei ebenfalls die Anforderungen an die Sicherheit der Verarbeitung nach Artikel 32 DSGVO und die Transparenzpflichten nach Artikel 12 und 13 DSGVO zu beachten.
Hier stellt sich zunächst die Frage, ob Sie die Kunden bei Erhebung der Daten (an der Fleischtheke) korrekt informiert haben wie Sie die erhobenen Daten verarbeiten. Ebenfalls stellt sich die Frage wie Sie diese Daten verarbeiten, entspricht dies Artikel 32 DSGVO?
Datenschutzbeauftragter erforderlich?
Diese Frage stellen sich seit dem Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) viele Einzelhändler, denn eine einfache Antwort hierauf gibt es leider nicht. Daher fassen wir für Sie einmal kompakt zusammen, unter welchen Bedingungen Sie verpflichtet sind die Leistungen eines Datenschutzbeauftragten in Anspruch zu nehmen.
Nicht lediglich die Anzahl der Mitarbeiter ist entscheidend für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten, sondern auch weitere Faktoren wie die Art der Datenverarbeitung.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.