Der Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg hat als zuständige Aufsichtsbehörde Strafantrag wegen der unbefugten Verarbeitung personenbezogener Daten gegen die Verantwortlichen der in Hamburg ansässige Firma easycash Loyalty Solutions nach § 44 Abs. 2 BDSG gestellt.
Nachdem eine Präsentation der Firma easycash Loyalty Solutions für ein Geschäftsmodell vorlag, in der die Firma für die Erstellung von Zahlungsverkehrsanalysen durch die Verknüpfung von Transaktionsdaten für den bargeldlosen Zahlungsverkehr und personenbezogenen Daten von Kundenkarten geworben hatte, hat die Hamburgische Aufsichtsbehörde am Donnerstag letzter Woche eine unangemeldete Vor-Ort-Prüfung durchgeführt. Konkrete Anhaltspunkte für einen Abgleich zwischen Kontodaten und Kundenkartendaten im befürchteten großen Ausmaß ergaben sich zunächst nicht. Nach Angaben von easycash Loyalty Solutions habe man zwar ein Modell zur Erstellung von Zahlungsverkehrsanalysen entwickelt, dieses sei allerdings nicht im Geschäftsverkehr umgesetzt worden. Auf Nachfrage räumte die Firma jedoch ein, man habe in einem Fall über einen Zeitraum von ca. 2 Monaten von der Mutterfirma Easy Cash in Ratingen über den bargeldlosen Zahlungsverkehr Daten erhalten zur Erstellung einer Zahlungsverkehrsanalyse für einen Geschäftskunden. Es habe sich dabei jedoch um pseudonymisierte Datensätze gehandelt, so dass keine Datenschutzverstöße vorlägen.
Dieser Darstellung widersprechen jedoch Erkenntnisse, die die Datenschutzaufsichtsbehörde in NRW anlässlich einer zeitgleichen Überprüfung der Mutterfirma easycash in Ratingen erlangt hatte. Hiernach muss von einer Übermittlung nicht verschlüsselter Daten durch die Firma, gegen die der zuständige dortige Datenschutzbeauftragte in der letzten Woche Strafantrag gestellt hat, an die Hamburger Tochterfirma ausgegangen werden.
Hierzu der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar: „Zur Beantwortung der offenen Fragen setzte ich der Firma easycash Loyalty Solutions am Freitag eine Frist, uns bis Montag dieser Woche u.a. mitzuteilen, um welche Daten es sich bei der Übermittlung gehandelt hat, wo die Daten verblieben sind und ob und in welcher Weise eine Verknüpfung mit den Daten von Kundenkarten erfolgt sei. Uns teilte die Firma am Montag über einen Anwalt mit, dass eine Aufklärung des Sachverhalts längere Zeit in Anspruch nehme und spätestens bis zum 28. Oktober 2010 erfolgen solle.
Nach alledem besteht der Verdacht einer vorsätzlichen unbefugten Verarbeitung von personenbezogenen Daten mit Bereicherungsabsicht zumindest in einem Fall. Das Geschäftsmodell von easycash Loyalty Solutions dokumentiert eine Außerachtlassung wesentlicher Grundsätze des Datenschutzes. Es sieht vor, dass Zahlungsanalysen über Kunden durch die Zusammenführung von Daten aus den dem bargeldlosen Zahlungsverkehr mit Daten von Kundenkarten als „kostengünstiges Substitut zur Marktforschung“ gegen Entgelt erstellt werden. Dass tatsächlich von der Übermittlung von personenbezogenen Daten aus dem Zahlungsverkehr durch die Ratinger Mutterfirma auszugehen ist, verstärkt den Verdacht eines strafbaren Verstoßes durch die Verantwortlichen der in Hamburg ansässigen Tochterfirma. Nachdem die easycash Loyality Solutions die Chance einer zügigen und transparenten Klärung der Vorwürfe nicht genutzt hat, habe ich mich entschlossen, gegen die Verantwortlichen der Firma Strafantrag zu stellen und den Hamburgischen Generalstaatsanwalt Herrn von Selle hiervon vorab in Kenntnis gesetzt. Es liegt nun in der Hand der Staatsanwaltschaft, den Sachverhalt – und zwar mit den der Strafverfolgungsbehörden zur Verfügung stehenden Mitteln – aufzuklären.“
Prof. Dr. Johannes Caspar
HHer Beauftragter Datenschutz und Information
