Zum Inhalt springen Zur Navigation springen
Stationärer Einzelhandel – personenbezogene Daten auf Belegen

Stationärer Einzelhandel – personenbezogene Daten auf Belegen

Nachdem wir uns bereits mit datenschutzrechtlichen Aspekten bei Rückgabe und Umtausch mangelfreier Kaufsachen im stationären Einzelhandel beschäftigt haben, reisen wir heute ein wenig in der Zeit zurück und fokussieren uns auf den Schritt unmittelbar vor diesem Stadium. Nachfolgend schauen wir uns an, welche personenbezogenen Daten auf Belegen des stationären Einzelhandels stehen und was stationäre Einzelhändler, wie Kunden daher im Umgang mit solchen Belegen beachten sollten.

Welche Belege erstellt werden und warum

Unabhängig davon, ob stationäre Einzelhändler als Einzelunternehmer, Personen- oder Kapitalgesellschaft am Wirtschaftsleben teilnehmen, unterliegen sie gewissen Steuerpflichten. Mit diesen untrennbar einher gehen steuerrechtliche Buchführungs- und Aufzeichnungspflichten, etwa nach der Abgabenordnung (AO), denn gem. § 158 Abs. 1 AO

„(…) [sind die] Buchführung und die Aufzeichnungen des Steuerpflichtigen, die den Vorschriften der §§ 140 bis 148 [AO] entsprechen, (…) [grundsätzlich] der Besteuerung zugrunde zu legen.“

Um ihren steuerrechtlichen Buchführungs- und Aufzeichnungspflichten gerecht zu werden, müssen stationäre Einzelhändler unter anderem ihre Buchführung gem. § 145 Abs. 1 AO so gestalten, dass

„(…) sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann. Die Geschäftsvorfälle müssen sich in ihrer Entstehung und Abwicklung verfolgen lassen.“

Ferner haben sie gem. § 146 Abs. 1 S. 1 AO

„(…) [die] Buchungen und die sonst erforderlichen Aufzeichnungen (…) einzeln, vollständig, richtig, zeitgerecht und geordnet vorzunehmen.“

und insbesondere gem. § 146 Abs. 1 S. 2 AO

„Kasseneinnahmen und Kassenausgaben (…) täglich festzuhalten.“

Zum Verständnis wichtig: Unter Geschäftsvorfällen werden gemeinhin sämtliche Ereignisse verstanden, die sich auf das Vermögen eines Unternehmens auswirken (vgl. insofern etwa Rn. 16 des BMF-Schreibens vom 28.11.2019 – IV A 4 – 0316/19/10003:001 -, BStBl I S. 1269, „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“). Zu solchen Ereignissen gehören insbesondere auch sämtliche Verkaufsvorgänge im stationären Einzelhandel.

Mitunter zwecks Erfüllung des vorgenannten Pflichtenprogramms sowie sonstiger steuerrechtlicher und etwaiger weiterer Buchführungs- und Aufzeichnungspflichten, erstellen stationäre Einzelhändler für jeden ihrer Verkäufe Belege. Wie viele und welche? Das hängt unter anderem von der jeweiligen Wahl des Zahlungsmittels ab.

Stets erstellt: Der Kassenbeleg

So individuell ein Einkauf im stationären Einzelhandel auch sein mag, beschlossen wird er doch überall und stets einheitlich mit „Möchten Sie einen Beleg haben?“ oder ähnlichen Formulierungen. Zurück geht diese so vertraute Frage auf § 146a Abs. 2 S. 1, Abs. 1 S. 1 AO. Die dort normierte Belegausgabepflicht hält stationäre Einzelhändler, die ein elektronisches oder computergestütztes Kassensystem einsetzen, dazu an, jedem Kunden unmittelbar nach Abschluss eines Zahlungsvorganges einen Beleg über den soeben getätigten Einkauf anzubieten und bei Bedarf zur Verfügung zu stellen. Während Kunden wechselseitig nicht zur Entgegennahme der zwingend anzubietenden Kassenbelege – umgangssprachlich auch (Kassen-)Bons – verpflichtet sind, reicht die Belegausgabepflicht – wie es etwa ein online verfügbares FAQ des Bundesministeriums der Finanzen zu diesem Thema zeigt – so weit, dass stationäre Einzelhändler, welche dieser unterfallen, den angebotenen Kassenbeleg selbst dann erstellen müssen, wenn der jeweilige Kunde den Erhalt eines solchen gar nicht wünscht.

Zusätzlich bei Kartenzahlung erstellt: Der Händler- und der Kundenbeleg

Begleichen Kunden ihren Einkauf mittels Kartenzahlung, wird zusätzlich zum Kassenbeleg stets ein Händlerbeleg und – jedenfalls auf Wunsch des Kunden – auch ein Kundenbeleg erstellt.

Welche personenbezogenen Daten auf welchen Belegen auftauchen können und was es insofern zu beachten gilt

Personenbezogene Daten sind gem. Art. 4 Nr. 1 Datenschutz-Grundverordnung (DSGVO)

„(…) alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen (…).“.

Welche personenbezogenen Daten auf Belegen des stationären Einzelhandels auftauchen, hängt von Faktoren wie den folgenden ab:

  • Art des Beleges,
  • Wahl des Zahlungsweges sowie
  • „OB“ und „WIE“ des Ausfüllens eines dem einzelnen stationären Einzelhändler, gegebenenfalls neben rechtlichen Anforderungen verbleibenden, Gestaltungsspielraumes durch diesen.

Gleich, welche personenbezogenen Daten auf welchen Belegen des stationären Einzelhandels auftauchen, die hiermit stets einhergehende Verarbeitung personenbezogener Daten bedarf zu ihrer datenschutzrechtlichen Zulässigkeit in jedem Fall einer datenschutzrechtlichen Rechtsgrundlage (Art. 5 Abs.1 lit. a), Art. 6 Abs. 1 DSGVO).

Informationen über den Kassierer/Bediener auf Kassenbelegen

Weit verbreitet – wenn nicht sogar flächendeckend und teilweise nur nicht (ad hoc) für den Kunden ersichtlich – auf Kassenbelegen vorzufinden, ist eine Information über den Kassierer respektive Bediener. So finden sich auf Kassenbelegen Formulierungen wie:

  • „Es bediente Sie: (…).“
  • „Es bedankt sich (…).“
  • „Es beriet Sie (…).“

Unterschiede bestehen indes in der Fortführung dieser Formulierung. So sind insofern zu finden:

  • eine, dem jeweiligen Kassierer/Bediener intern zugeordnete, Nummer oder Zahlenabfolge,
  • „Herr“ oder „Frau“ gefolgt von einem Nachnamen,
  • der Anfangsbuchstabe des Vornamens gefolgt von einem Nachnamen,
  • der Vorname oder gar
  • der vollständige Vor- und Nachname.

Das Anbringen von, den jeweiligen Kassierer/Bediener identifizierenden oder identifizierbar machenden, Informationen auf Kassenbelegen dürfte für sich betrachtet, der Sache nach zunächst nicht auf datenschutzrechtliche Bedenken stoßen. Vielmehr kommt insofern eine datenschutzrechtliche Zulässigkeit nach Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO in Betracht. Als berechtigte Interessen des stationären Einzelhändlers sind insofern etwa denkbar:

  • die vollständige und nachvollziehbare Dokumentation des jeweiligen Verkaufsvorganges,
  • die Umsetzung einer persönlichen und daher besonders kundenfreundlichen Betreuung und
  • die Ermöglichung des Anbringens gezielter Beschwerden über Kassierer/Bediener sowie etwaiger sonstiger Anliegen mit Bezug zu bestimmten Kassierern/Bedienern durch Kunden.

Es kann jedoch das Anbringen einer den jeweiligen Kassierer/Bediener identifizierenden oder identifizierbar machenden Information durch einen stationären Einzelhändler auf einem Kassenbeleg stets nur dann auf Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO gestützt werden, wenn das Anbringen gerade dieser Informationen auch zur Wahrung des oder der insofern seitens des stationären Einzelhändlers „ins Feld geführten“ berechtigten Interesses/n erforderlich im Sinne des Art. 6 Abs.1 UAbs. 1 lit. f) DSGVO ist. Einige der eingangs benannten, in der Praxis auf Kassenbelegen auftauchenden, Informationen über den jeweiligen Kassierer/Bediener dürften hieran scheitern.

So dürfte es für die Wahrung des berechtigten Interesses an einer vollständigen und nachvollziehbaren Dokumentation des jeweiligen Verkaufsvorganges stets bereits ausreichen und daher hierfür einzig erforderlich sein, eine intern dem jeweiligen Kassierer/Bediener zugeordnete Nummer oder Zahlenabfolge auf Kassenbelegen zu vermerken.

Zwar wird dies für die Wahrung der weiteren, oberhalb aufgeführten, denkbaren berechtigten Interessen gerade nicht ausreichen. Es wird jedoch für die Wahrung dieser regelmäßig wohl die Angabe ausschließlich entweder des Nach- oder des Vornamens genügen und mithin insofern einzig erforderlich im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO sein. Nur ausnahmsweise, etwa, wenn im Ladengeschäft eines stationären Einzelhändlers mehrere Kassierer/Bediener ein und desselben Nach- beziehungsweise Vornamens tätig sind, wird eine ergänzende Angabe, wie etwa diejenige des ersten Buchstabens des Vor- beziehungsweise Nachnamens, für die Wahrung der hier korrespondierenden berechtigten Interessen erforderlich im Sinne des Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO sein.

Wie so oft, zeigt sich auch hier: „Es kommt darauf an.“.

Ergänzende Informationen bei Kundenkartennutzung

Wenig überraschen dürfte, dass im Falle der Nutzung einer Kundenkarte dies (wohl) stets auf dem Kassenbeleg vermerkt wird. Unterschiede bestehen jedoch auch hier in der Intensität beziehungsweise dem Umfang der Datenverarbeitung. Während auf den Kassenbelegen einiger stationärer Einzelhändler lediglich die Kartennummer aufgeführt ist, findet sich auf den Kassenbelegen anderer etwa der Vorname des Kundenkarteninhabers wieder.

Ob die vorgenannten, im Rahmen von Kundenkartenprogrammen erfolgenden, Datenverarbeitungen datenschutzrechtlich zulässig sind, dürfte auch von der Ausgestaltung der den jeweiligen Kundenkartenprogrammen zugrundeliegenden, zwischen dem anbietenden stationären Einzelhändler und dem Kunden abgeschlossenen, Verträge (vgl. Art. 6 Abs. 1 UAbs. 1 lit. b) DSGVO) sowie von möglicherweise ergänzend eingeholten Einwilligungen (vgl. Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO) abhängig sein. Kunden sollten sich vor der Entscheidung über die Teilnahme an etwaigen Kundenkartenprogrammen auch über die diese betreffenden datenschutzrechtlichen Aspekte informieren.

Kassenbelege über rezeptpflichtige Medikamente

Indes überraschen dürfte, dass Apotheken mitunter – unabhängig des etwaigen Führens von Kundendateien – für den Kauf von rezeptpflichtigen Medikamenten, bei denen der Kunde also das auf ihn ausgestellte Rezept in der Apotheke vorlegt, personalisierte Kassenbelege erstellen. Die Personalisierung reicht hier von der Angabe „nur“ des Nachnamens, bis hin zur vollständigen Angabe des Vor- und Nachnamens.

Auf dem Kassenbeleg über den Kauf eines rezeptpflichtigen Medikamentes in der Apotheke befindet sich der Name beziehungsweise die Bezeichnung des erworbenen Medikamentes. Wird der Kassenbeleg um das personenbezogene Datum des Namens des Kunden ergänzt und dieses so mit der Angabe des Medikamentes verbunden, werden durch das Erstellen des jeweiligen Kassenbeleges Gesundheitsdaten und mithin personenbezogene Daten besonderer Kategorien im Sinne des Art. 9 Abs. 1 DSGVO des jeweiligen Kunden verarbeitet. Eine Verarbeitung solcher personenbezogenen Daten ist nur bei dem Vorliegen der Voraussetzungen einer der in Art. 9 Abs. 2 DSGVO aufgeführten Varianten zulässig. Es ist Verantwortlichen in diesen Fällen insbesondere das Stützen einer diesbezüglichen Datenverarbeitung auf deren etwaige berechtigte Interessen, wie normiert in Art. 6 Abs. 1 UAbs.1 lit. f) DSGVO, verwehrt.

Sofern also Apotheken vorbrächten, sie wollten einen besonders kundenorientierten Service bieten und in diesem Zusammenhang dem antizipierten oder Erfahrungswerten entnommenen Wunsch ihrer Kunden nach dem Erhalt von personalisierten Kassenbelegen über rezeptpflichtige Medikamente zuvorkommen, könnten jene sich hinsichtlich der datenschutzrechtlichen Zulässigkeit einer solchen Personalisierung nicht auf ein entsprechendes berechtigtes Interesse stützen.

Dies vorweggeschickt spricht einiges dafür, dass Apotheken, die eine Personalisierung von Kassenbelegen über (rezeptpflichtige) Medikamente anbieten wollen, letztlich nur der Gang über das Einholen einer ausdrücklichen Einwilligung (vgl. Art 9 Abs. 2 lit. a), Abs. 1 DSGVO) verbleibt. Jedenfalls aber sollten Apotheken, welche derzeit ohne das Vorliegen einer solchen Einwilligung personalisierte Kassenbelege über den Kauf rezeptpflichtiger Medikamente erstellen, diese Praxis hinterfragen und prüfen, ob in ihrem konkreten Fall tatsächlich die Voraussetzungen einer der Varianten des Art. 9 Abs. 2 DSGVO vorliegen.

Darüber hinaus sollten Apotheken unbedingt darauf achten, etwaige personalisierte Kassenbelege über (rezeptpflichtige) Medikamente, welche sie ausschließlich für ihre Kunden in Erfüllung der Belegausgabepflicht erstellt haben, die jedoch nicht durch die jeweiligen Kunden entgegengenommen wurden, datenschutzkonform zu vernichten.

Personenbezogene Daten auf dem Händlerbeleg

Auf dem Händlerbeleg finden sich etwa die folgenden personenbezogenen Daten vollständig und im Klartext:

  • Primary Account Number (PAN), mit welcher das kartenausgebende Kreditinstitut und die Kontonummer eindeutig ermittelt werden können,
  • Kartenfolgenummer
  • Kartenverfallsdatum

Ist als Zahlungsweg das elektronische Lastschriftverfahren (ELV) gewählt worden und hält der stationäre Einzelhändler kein elektronisches Display vor, auf welchem der Kunde seine in diesem Zusammenhang erforderliche Unterschrift leisten kann, so wird auch diese als personenbezogenes Datum seitens des jeweiligen Kunden auf dem ausgedruckten Händlerbeleg angebracht. Ferner dürfte sich auf Händlerbelegen – entsprechend der hierzu ausgestellten Kundenbelege – statt der PAN eine Kurz-BLZ, die Kontonummer sowie die IBAN befinden.

Die Erstellung eines Händlerbelegs mit den oben aufgeführten Bestandteilen dürfte auf der Grundlage des Art. 6 Abs. 1 UAbs.1 lit. f) DSGVO datenschutzrechtlich zulässig sein. Als berechtigte Interessen des stationären Einzelhändlers kommen insofern in Betracht:

  • die Erfüllung seiner steuerrechtlichen sowie etwaiger sonstiger Buchführungs- und Aufzeichnungspflichten sowie
  • die Schaffung einer Möglichkeit für den stationären Einzelhändler im Falle von Fehlbuchungen, Fehlüberweisungen oder Zahlungsstörungen die im betreffenden Zahlungsvorgang eingesetzte Karte beziehungsweise den Inhaber dieser ermitteln zu können.

Die hier in Rede stehenden Datenverarbeitungen dürften für die Wahrung der vorbenannten möglichen berechtigten Interessen des stationären Einzelhändlers auch erforderlich sein und nicht durch etwaige schutzwürdige Interessen der betroffenen Kunden dieses, die den Schutz personenbezogener Daten erfordern, überwogen werden.

Personenbezogene Daten auf dem Kundenbeleg

Die personenbezogenen Daten auf dem Kundenbeleg entsprechen regelmäßig – bis auf die etwaig im Zusammenhang des ELV seitens des Kunden auf dem Händlerbeleg geleistete Unterschrift – ihrer Art nach denjenigen auf dem Händlerbeleg. Allerdings finden sich jene auf dem Kundenbeleg – anders als auf dem Händlerbeleg – weit überwiegend nicht vollständig im Klartext wieder. So sind von der PAN nur einige wenige Ziffern (zumeist die letzten drei Ziffern der Kontonummer sowie die PAN Prüfziffer) im Klartext aufgeführt, während die übrigen Ziffern unkenntlich gemacht sind. Auch das Kartenverfallsdatum ist – so es denn aufgeführt wird – häufig unkenntlich gemacht. Lediglich die Kartenfolgenummer taucht weit überwiegend im Klartext auf. Wird im ELV bezahlt, tauchen statt der PAN, eine unkenntlich gemachte „Kurz-BLZ“ und – jeweils teilweise unkenntlich gemacht – die Kontonummer sowie die IBAN auf.

Teilweise findet sich auf Kundenbelegen zudem ergänzend eine Information wieder, die den jeweiligen Kassierer/Bediener identifiziert beziehungsweise identifizierbar macht. Anders als bei derartigen Angaben auf Kassenbelegen, handelt es sich hierbei jedoch wohl stets „lediglich“ um eine dem jeweiligen Kassierer/Bediener intern zugeordnete Nummer oder Zahlenabfolge.

Treten Fehlbuchungen, Fehlüberweisungen, Zahlungsstörungen, Sachmängel oder ähnliches auf und möchte der Kunde diesbezüglich tätig werden oder kommt umgekehrt aus einem dieser Gründe der stationäre Einzelhändler auf den Kunden zu, bedarf letzterer eines Nachweises über den insofern in Rede stehenden beziehungsweise in diesem Zusammenhang getätigten Zahlungsvorgang. Daran, dass Kunden einen solchen Nachweis erbringen können respektive daran, den Kunden einen solchen „an die Hand zu geben“, werden auch stationäre Einzelhändler ein berechtigtes Interesse haben; etwa, weil durch einen solchen Nachweis eine Aufklärung sowie reibungslose Abwicklung derartiger Fälle gewährleistet wird oder weil, stationäre Einzelhändler durch das Erstellen derartiger Kundenbelege einem entsprechenden Kundenwunsch gerecht werden können.

Diese Überlegungen vorweggeschickt, werden sich stationäre Einzelhändler hinsichtlich des Erstellens von Kundenbelegen mit den oben beschriebenen, überwiegend pseudonymisierten, personenbezogenen Daten genau desjenigen Kunden, für den und wohl auch nur auf dessen Wunsch hin (wenn auch ausgelöst durch eine entsprechende Nachfrage des stationären Einzelhändlers) sie den Kundenbeleg erstellen, aller Voraussicht nach auf Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO stützen können.

Takeaway: Augen auf im Umgang mit Belegen des stationären Einzelhandels

Während die tatsächlich mitunter auf Händler- und Kundenbelegen sowie bei der Nutzung von Kundenkarten auf Kassenbelegen auftauchenden personenbezogenen Daten wohl erwartbar waren, dürfte insbesondere die teilweise erfolgende Verarbeitung von Gesundheitsdaten auf Kassenbelegen über rezeptpflichtige Medikamente für Überraschung gesorgt haben. Gerade vor dem Entsorgen von Kassenbelegen aus der Apotheke sollten Kunden also noch einmal ganz genau hinschauen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.