Ahrensburg. Schleswig-Holsteins Datenschutzbeauftragte Marit Hansen spricht nach zwei Beschwerden von Missbrauch. Was genau passiert ist.

Die Datenschutzbeauftragte des Landes Schleswig-Holstein, Marit Hansen, wirft dem Kaufhaus Nessler in Ahrensburg den Missbrauch von Kundendaten vor. Die Kritik richtet sich gegen eine Informationskampagne des Unternehmens im Vorfeld des Bürgerentscheids in Ahrensburg im September 2022. Damals hatten die Einwohner der Schlossstadt über die Zukunft der Parkplätze im Stadtzentrum abgestimmt.

Nessler-Geschäftsführer Stefan Skowronnek war einer der Initiatoren des Bürgerbegehrens, das letztlich zu dem Entscheid führte. Gemeinsam mit anderen Kaufleuten wollte er den Abbau weiterer Stellplätze in der Innenstadt verhindern. Vor allem richtete sich die Initiative gegen die von Ahrensburgs Politikern beschlossene Reduktion der Parkflächen an der Hamburger Straße im Zuge der Umgestaltung zur Flaniermeile.

Kaufhaus Nessler in Ahrensburg: Datenschützerin rügt Missbrauch von Kundendaten

Die Händler und Gastronomen befürchten, dass Kunden künftig fern bleiben, wenn es weniger Parkplätze gibt. Sie verweisen darauf, dass bereits zahlreiche Stellplätze durch die Bebauung des Lindenhofs und der Alten Reitbahn weggefallen seien. Die Verwaltung und die Fraktionen von Grünen, SPD und Wählergemeinschaft WAB sehen hingegen die Möglichkeit, durch weniger Verkehr die Aufenthaltsqualität im Zentrum zu steigern.

Während der Unterschriftensammlung zur Herbeiführung des Urnengangs, bei dem sich eine knappe Mehrheit von 51,6 Prozent der Bürger für den Erhalt der Parkplätze aussprach, hatten die Kaufleute eine umfangreiche Werbekampagne mit Plakaten und Flyern gefahren. Inhaber einer Nessler-Kundenkarte erhielten das Werbematerial zudem per Post.

Behörde wirft Nessler Zweckentfremdung zu politischen Zwecken vor

Genau darin sieht das Unabhängige Landeszentrum für Datenschutz (ULD) einen Verstoß. Die Behörde wirft Nessler eine „Zweckentfremdung von Kundendaten für politische Zwecke“ vor. Das Unternehmen habe die für die Kundenkarte erhobenen Daten zweckwidrig dazu genutzt, dafür zu werben, das Bürgerbegehren zu unterschreiben. „Dem ULD sind zwei einzelne Beschwerden dazu zugegangen“, sagt Hansen auf Anfrage.

Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, sieht im Vorgehen Nesslers einen Verstoß gegen das Datenschutzrecht.
Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, sieht im Vorgehen Nesslers einen Verstoß gegen das Datenschutzrecht. © ULD | uld

Daraufhin sei das Datenschutzzentrum tätig geworden und habe den Fall geprüft. Das Ergebnis: Das Vorgehen Nesslers sei rechtswidrig gewesen. Der Fall wird auch im Landesdatenschutzbericht 2022 aufgeführt. „Einer der Grundsätze für die Verarbeitung personenbezogener Daten sieht vor, dass diese für festgelegte, eindeutige und legitime Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen“, heißt es dort zur Begründung.

Für die Verwendung der Daten gab es keine Rechtsgrundlage

Im vorliegenden Fall hätten die Kunden ihre Adressdaten lediglich im Zusammenhang mit der Nutzung einer Kundenkarte übermittelt. „Für die Verwendung zur Übermittlung der Schreiben hinsichtlich des Bürgerbegehrens hätte es demnach einer gesonderten Rechtsgrundlage bedurft“, so das Datenschutzzentrum.

Verantwortliche von Nessler seien daraufhin von der Behörde angehört worden. Das Unternehmen habe sich mit Verweis auf Artikel 6 der Datenschutzgrundverordnung (DSGVO) verteidigt. Darin heißt es, dass die Verarbeitung von Daten rechtmäßig ist, wenn dies „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich“ ist und „sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen“. Die Verantwortlichen bei Nessler hätten angegeben, davon ausgegangen zu sein, dass für den angeschriebenen Personenkreis ein Interesse an dem Bürgerbegehren bestehe, weil sich dieses auf die Kunden auswirke.

Datenschützer folgen der Argumentation des Unternehmens nicht

Dieser Argumentation folgen die Datenschützer nicht: „Es liegt nicht im Erwartungshorizont der Nutzerinnen und Nutzer von Kundenkarten, dass diese unter den angegebenen Adressdaten wegen eines Bürgerbegehrens angeschrieben werden.“ Nessler könne nicht pauschal darauf verweisen, man nehme an, das Bürgerbegehren könnte für den angeschriebenen Personenkreis interessant sein. Nessler-Geschäftsführer Skowronnek ließ eine Anfrage unserer Zeitung zu dem Vorgang bis Donnerstag unbeantwortet.

Lesen Sie auch

Für Unternehmen kann ein Datenschutzverstoß unangenehme Folgen haben. Es drohen eine Verwarnung oder im schlimmsten Fall die Einleitung eines Bußgeldverfahrens. Im Fall Nessler hat das Datenschutzzentrum laut Hansen auf beides verzichtet. „Die Nessler GmbH erhielt von uns einen Hinweis zur künftigen Einhaltung des Grundsatzes der Zweckbindung“, sagt die Datenschutzbeauftragte. Sie betont, dass die Behörde über die einmalige zweckfremde Nutzung hinaus keine weiteren Verstöße festgestellt habe. „Vor diesem Hintergrund haben wir es dabei belassen und keine weiteren Maßnahmen ergriffen“, so Hansen.

Die Initiatoren, Andreas Werning (v. l.), Stefan Skowronnek und Hauke Wendt, bei der Vorstellung der Unterschriftenkampagne für das Bürgerbegehren im Januar 2022.
Die Initiatoren, Andreas Werning (v. l.), Stefan Skowronnek und Hauke Wendt, bei der Vorstellung der Unterschriftenkampagne für das Bürgerbegehren im Januar 2022. © HA | Filip Schwen

Verstoß hat keine Auswirkungen auf Gültigkeit des Bürgerentscheides

Unabhängig von der Behörde könnten aber geschädigte Kunden möglicherweise zivilrechtlich Schadenersatz geltend machen. „Solche Gerichtsverfahren müssten direkt von den Klägern aus betrieben werden“, erklärt Hansen. Inwieweit den Kunden Schadenersatz-Ansprüche zustehen, könne das Datenschutzzentrum nicht beurteilen. Voraussetzung sei grundsätzlich, dass die Kläger einen kausalen, materiellen oder immateriellen Schaden nachweisen könnten, der infolge der zweckfremden Verarbeitung eingetreten ist.

Auf die Rechtskräftigkeit des Bürgerentscheids, dessen Ergebnis zwei Jahre, also noch bis September 2024, bindend ist, hat der Datenschutzverstoß indes keine Auswirkungen, wie Tim Radtke, Sprecher des zuständigen Kieler Innenministeriums, erklärt. „Im Rahmen der Prüfung der Zulässigkeit eines Bürgerbegehrens werden die Unterschriften lediglich zur Ermittlung des erforderlichen Quorums herangezogen. Die Prüfung, wie die Unterschriften gesammelt wurden, ist nicht Aufgabe der zuständigen Kommunalaufsichtsbehörde und gehört nicht zu den Prüfungskriterien“, sagt er. Über die Gültigkeit des Ergebnisses eines Bürgerentscheids beschließe letztlich die Gemeindevertretung oder Stadtverordnetenversammlung.