P&C speichert illegal Personalausweisnummern
Geschrieben von Anna Tiede, veröffentlicht am 11.10.2022Das Modehaus Peek & Cloppenburg, ein Unternehmen mit 15.000 Mitarbeiter weltweit, steht in der Kritik. Bei der Abholung von online bestellter Ware aus der Potsdamer Filiale im Stern-Center wurde die Personalausweis-Nummer vom Peek & Cloppenburg im Kassensystem gespeichert – doch dieses Vorgehen ist datenschutzrechtlich unzulässig.
Das Modehaus versichert auf Ihrer Webseite „Ihre Privatsphäre ist uns wichtig“. Doch das Speichern von Personalausweis-Nummern bei der Abholung von online bestellter Ware steht diesem Versprechen datenschutzrechtlich gravierend entgegen.
. Ein Beleg zur Paketübergabe, der der Berliner Zeitung (BZ) vorliegt, enthält jedoch die aufgenommene Personalausweis-Nummer des Kunden und musste zudem von diesem unterschrieben werden. Nach Konfrontation räumte Peek & Cloppenburg gegenüber der BZ ein: „Das Vorgehen entspricht nicht dem in unserem Unternehmen vorgesehenen Prozess. Wir haben daher unverzüglich die Prüfung des konkreten Vorgangs in die Wege geleitet.“
Rechtliche Einordnung
Das Speichern von Ausweisdokumenten wird oft als einfache Möglichkeit der Identifizierung gesehen. Ausweisdokumente enthalten jedoch zahlreiche personenbezogene Daten, von denen nicht alle gespeichert werden dürfen.
Doch wie soll Peek & Cloppenburg nachvollziehen können, dass der Abholer der Ware tatsächlich auch der Käufer ist?
Je nach Art des Vertrages kann es sein, dass es auf die Identität der Parteien ankommt. So auch im konkreten Fall. Peek & Cloppenburg muss sich versichern können, dass die Ware dem Käufer und keiner anderen Person herausgegeben wird.
Sofern es also auf die Identität der Vertragsparteien ankommt, kann es erforderlich sein, die Identität der Parteien durch Vorlage des Personalausweises nachzuweisen – Die darauf enthaltenen Daten dürfen jedoch nicht uneingeschränkt erfasst werden:
Ausschlaggebend sind hierfür die Regelungen nach § 20 Abs. 1 Personalausweisgesetz. Hiernach darf der Personalausweis auch gegenüber Händlern und Unternehmen zum Nachweis der Identität und als Legitimationspapier verwendet werden. Es dürfen jedoch nur die Daten verarbeitet und gespeichert werden, die für das Vertragsverhältnis notwendig sind. Dies deckt sich mit den datenschutzrechtlichen Grundsätzen der Rechtmäßigkeit und Datenminimierung.
Der Grundsatz der Rechtmäßigkeit besagt, dass personenbezogene Daten nur dann erhoben und verarbeitet werden dürfen, wenn es hierfür eine Legitimationsgrundlage gibt, z.B. also ein Gesetz die Verarbeitung erlaubt. In diesem Fall wäre die Rechtsgrundlage Art. 6 Art. 1 S. 1 lit.b) DSGVO – die Verarbeitung zum Zweck der Vertragserfüllung.
Der Grundsatz der Datenminimierung besagt zusammengefasst, dass personenbezogene Daten nur in dem Umfang und für die Dauer erhoben werden dürfen, wie es für die Erreichung des jeweiligen Zweckes erforderlich ist. Hierdurch soll Datensicherheit garantiert und der mögliche Missbrauch an gespeicherten Daten eingeschränkt werden. Denn durch die Einhaltung dieses Grundsatzes wird der Datenberg so klein wie möglich gehalten
Erforderliche Daten im konkreten Fall, der Abholung von bestellter Ware, sind solche, die für die Identifikation des Käufers regelmäßig ausreichend sind:
- Vorname
- Nachname
- gegebenenfalls die Adresse
- gegebenenfalls auch die Gültigkeitsdauer des Personalausweises
Das Notieren der Personalausweis-Nummer (Seriennummer, Zugangsnummer) ist datenschutzrechtlich hingegen nicht zulässig, weil mit den oben genannten Daten die für das Vertragsverhältnis notwendige Identifikation bereits ausreichend sichergestellt werden kann. Die Personalausweis-Nummer hingegen ist für das Vertragsverhältnis nicht weiter erforderlich.
Fazit
Das Speichern der Personalausweis-Nummer bei der Abholung von online bestellter Ware ist rechtswidrig, weil sie für die Identifikation der Person als Käufer nicht erforderlich ist. Peek & Cloppenburg hatte zwar eine Rechtsgrundlage zur Verarbeitung des Personalausweises in Form einer Prüfung durch Augenschein (Art. 6 Art. 1 S. 1 lit.b) DSGVO). Eine Rechtsgrundlage für die Speicherung der Personalausweis-Nummer lag jedoch nicht vor.
Die Sprecherin des Unternehmens versicherte derweil, „dass wir sämtliche fälschlicherweise aufgenommenen Personalausweis-IDs aus unseren Systemen gelöscht haben“. Der Vorfall sei Anlass, „den Prozess genau zu prüfen und – soweit erforderlich – Anpassungen vorzunehmen“.