Datenschutz im Supermarkt

Oftmals ist man der Meinung, dass Supermärkte, Getränkehändler oder generell der Einzelhandel noch nicht so digital und online aufgestellt sind. Durch die Erfahrung aus unseren Kundenprojekten können wir Ihnen jetzt schon mitteilen, dass ein Supermarkt mit hoher Wahrscheinlichkeit nicht offline ist. Was im Online-Geschäft schon zum alltäglichen Gebrauch geworden ist, findet sich auch im stationären Handel wieder: Das Auswerten von Käuferverhalten zu verschiedenen Zwecken.

Ob Videoüberwachung im Supermarkt, Bezahlung per EC-Karte, Bestellung von Waren an der Fleischtheke oder Gewinnspiele auf Facebook-Fanpages diese Verarbeitungen gehören zum täglichen Geschäft im Lebensmitteleinzelhandel. Wir wissen, dass es nicht leicht ist, in einem Wettbewerb mit online basierten Lebensmittel-Anbietern. Desto mehr sind Sie darauf angewiesen Ihren Supermarkt digitaler auszurichten als Sie es zuvor getan haben. Daher klären wir Sie darüber auf was Sie als Supermarkt-Betreiber beim Datenschutz beachten müssen.

 

Videoüberwachung im Supermarkt

Völlig egal ob EDEKA, Marktkauf, REWE oder Trinkgut, alle Supermärkte setzen heute auf eine Videoüberwachung, um die Einbruchszahlen so gering wie möglich zu halten.

Videoüberwachung und Videoaufzeichnung sind wichtige Elemente beim Objekt- und Einbruchsschutz für den Lebensmitteleinzelhandel. Dadurch wird es möglich, das gesamte Gelände inklusive Parkplatz oder Gebäudekomplexe ohne großen Aufwand – oftmals auch per App aufs Handy – zu beobachten. Sollten Fälle wie Vandalismus eintreten, so können die Bilder dann zu einer schnelleren Täterverfolgung beitragen.

Diese Maßnahmen greifen jedoch gleichzeitig auch tief in die Persönlichkeitsrechte der Kunden ein. Das ist der Grund dafür, dass Sie besonders aufmerksam sein müssen beim Betrieb einer Videoüberwachung.

Wenn mit der Videoüberwachung in Ihrem Supermarkt nur notwendige und zulässige Bereiche aufgezeichneten werden, die betroffenen Personen korrekt informiert worden sind und die gesammelten Daten vor unbefugter Nutzung geschützt worden sind – dann müssen Sie die Verarbeitung “nur noch” datenschutzkonform dokumentieren.

Hierfür wird ein Löschkonzept entwickelt, die Verarbeitung gemäß Artikel 30 DSGVO erfasst und das Risko innerhalb der Datenschutz-Folgenabschätzung festgehalten.

1. Prüfung der Rechtmäßigkeit

Eine Videoüberwachung ist nur rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Überwachenden oder Dritter erforderlich ist und die Interessen oder Grundrechte der betroffenen Personen nicht überwiegen. Zusätzlich muss immer eine Datenschutz-Folgenabschätzung erfolgen.

2. Verzeichnis der Verarbeitungstätigkeiten

Der Einsatz einer Videoüberwachung muss gemäß Artikel 30 DSGVO dokumentiert als Verarbeitungstätigkeit. Demnach sind die grundsätzlichen Angaben festzuhalten wie zum Beispiel: Zwecke, Rechtrsgrundlage, Löschfristen, Empfänger.

3. Erstellung Hinweisschilder

Die Kunden ihres Supermarktes müssen über die Videoüberwachung hingewiesen werden und zwar bevor sie den Markt betreten. Ein Muster für ein solches Hinweis-Schild finden Sie hier.

4. Überprüfung Speicherdauer

Nach Auffassung der Aufsichtsbehörden dürfen die Daten aus der Videoüberwachung maximal 72 Stunden gespeichert werden. Gerichte haben zum Teil entschieden, dass unter Umständen auch eine Speicherdauer von 10 Tagen zulässig sein kann. Daten der Videoüberwachung sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.

 

Bezahlung mit EC-Karte

Das bargeldlose Bezahlen bringt viele Vorteile mit sich mit. Einkaufen im Supermarkt bedeutet für die Kunden auch, viel zu lesen. Ausgerechnet an der Kasse, wenn es um das Bezahlen mit der EC-Karte geht, schauen aber wohl die meisten gar nicht richtig hin – und unterschreiben kurzerhand auf dem Bon. Doch wissen Sie in was Ihr Kunde hier einwilligt?

Oftmals werden externe Zahlungsdienstleister beauftragt. In der Regel sind es nur wenige Zeilen, welche der Datenschutz an Platz auf dem Bon bekommt. Damit erlaubt der Kunde dem Supermarkt, den Betrag vom Konto einzuziehen und die damit verbundenen Daten datenschutzkonform zu verarbeiten. Schwieriger wird es, wenn weitere Daten zum Kunden (Kaufverhalten) abgefragt werden.

Ist eine Einwilligungserklärung auf dem Kassenbon nicht nach den Maßgaben der Datenschutz-Grundverordnung (DSGVO) gestaltet, kann eine Einwilligung auch als unwirksam betrachtet werden.

Verarbeiten Sie personenbezogene Daten ohne die Rechtsgrundlage (in diesem Falle die Einwilligung), so verstoßen Sie gegen die Grundsätze der DSGVO. Hierfür werden gemäß Artikel 83 DSGVO Bußgelder verhängt ab 50.000€. Daher ist es von hoher Bedeutung, dass Sie die Einwilligungserklärungen im Detail überprüfen lassen.

Datenschutz im Einzelhandel
 

Kauf auf Rechnung oder Reservierung

Jeder kennt es, es ist wieder Weihnachten und alle Kunden möchten an der Fleischtheke ihre Gans vorbestellen und am 23. Dezember abholen. Doch wie soll das funktionieren ohne die Aufnahme von Daten?

Ganz einfach: Das ist nicht möglich! Daher hat der europäische Gesetzgeber folgenden Erlaubnistatbestand und somit Rechtsgrundlage für die Verarbeitung entworfen. Die Rede ist von Artikel 6 Absatz 1 b) DSGVO:

“die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen”

Das bedeutet für Sie als Betreiber eines Supermarktes, dass Sie diese Verarbeitung selbstverständlich tätigen dürfen. Dennoch sind hierbei ebenfalls die Anforderungen an die Sicherheit der Verarbeitung nach Artikel 32 DSGVO und die Transparenzpflichten nach Artikel 12 und 13 DSGVO zu beachten.

Hier stellt sich zunächst die Frage, ob Sie die Kunden bei Erhebung der Daten (an der Fleischtheke) korrekt informiert haben wie Sie die erhobenen Daten verarbeiten. Ebenfalls stellt sich die Frage wie Sie diese Daten verarbeiten, entspricht dies Artikel 32 DSGVO?

Datenschutz im Lebensmitteleinzelhandel
 

Datenschutzbeauftragter erforderlich?

Diese Frage stellen sich seit dem Inkrafttreten der DSGVO (Datenschutz-Grundverordnung) viele Einzelhändler, denn eine einfache Antwort hierauf gibt es leider nicht. Daher fassen wir für Sie einmal kompakt zusammen, unter welchen Bedingungen Sie verpflichtet sind die Leistungen eines Datenschutzbeauftragten in Anspruch zu nehmen.

Nicht lediglich die Anzahl der Mitarbeiter ist entscheidend für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten, sondern auch weitere Faktoren wie die Art der Datenverarbeitung.

Anzahl der Mitarbeiter

Sollten mehr als mindestens 10 Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, besteht die Pflicht. Die automatisierte Datenverarbeitung ist zum Beispiel schon der Fall, wenn Mitarbeiter über E-Mail kommunizieren.

Art der Daten

Sollten besonders personenbezogene Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht ebenfalls eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.

Tätigkeit des Unternehmens

Die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. In der Regel können Sie diese Verarbeitungsvorgänge daran erkennen, dass Sie hierfür eine Datenschutz-Folgenabschätzung erstellen müssen (z.B. die Videoüberwachung).

Ob eine Bestellung eines Datenschutzbeauftragen notwendig ist, kann ausschließlich bei individueller Betrachtung des Unternehmens entschieden werden.

Menü