Die Konferenz der Datenschutzaufsichtsbehörden der Länder und des Bundes haben einen Beschluss zur Bezahlkarte gefasst. Darin setzen sie sich mit datenschutzrechtlichen Grenzen der Bezahlkarte auseinander. Sie kommen unter anderem zu folgenden Ergebnissen:
– Die eigenständige Einsichtnahme in den Guthabenstand durch die Leistungsbehörde ist unzulässig. Wie wir hören, passiert dies aber wohl regelmäßig. So soll z.B. in Bayern am Ende des Monats das Restguthaben auf der Karte, das über 200 Euro pro Person hinausgeht, mit der nächsten Zahlung verrechnet werden (wegen des „Vermögensfreibetrags“ von 200 Euro). Dies ist datenschutzrechtlich demnach nicht zulässig.
– Die Beschränkung auf bestimmte Postleitzahlengebiete aufgrund einer räumlichen Beschränkung ist unzulässig. Denn damit würde diese räumliche Beschränkung auf der Karte gespeichert und wäre für die Leistungsbehörde und die Kartenfirma einsehbar. Diese aufenthaltsrechtliche Auflage geht die Kartenfirma oder die Leistungsbehörde jedoch erst einmal nichts an, da sie nichts mit der Frage des Leistungsanspruchs an sich zu tun hat.
– Die AZR-Nummer darf nicht mit der Bezahlkarte verknüpft werden. Denn das AZR-Gesetz und die Durchführungsverordnung lassen die Weitergabe der Nummer an eine Privatfirma nicht zu.
– Sicherheitsbehörden dürfen an sich keinen Zugriff auf die auf der Karte gespeicherten Daten haben. Dies wäre nur im Rahmen der entsprechenden Sicherheitsgesetze zulässig.
Die Datenschutzbehörden stellen fest, dass für all diese Dinge eine ausdrückliche Rechtsgrundlage erforderlich wäre. Da es die aber nicht gibt, sind sie unzulässig.
In dem Papier haben sich die Datenschützer*innen nicht mit der Frage auseinandergesetzt, wie es mit dem Datenschutz bei den so genannten „Whitelists“ aussieht. Hier kann man ja beantragen, dass bestimmte Überweisungen an bestimmte Empfänger*innen freigeschaltet werden. Dafür müssen jedoch gegenüber der Behörde sämtliche Daten der Empfängerin offengelegt (Name, Ort, IBAN) und auch der Grund der Zahlung angegeben werden. Dies ist datenschutzrechtlich wohl kaum zulässig.