Chipkarten und personenbezogene Daten
In vielen Kantinen wird mit Chipkarten bezahlt. Die unterstützen Systeme sind unterschiedlich: Oft wird ein Lastschrift-Verfahren über EC-Karte, Visa oder MasterCard eingesetzt, aber auch Abrechnungen über das Lohn- und Gehaltskonto sind über eine Schnittstelle mit dem Personal- oder ERP-System möglich. Je nachdem, wie das System im Einzelnen aussieht, fallen personenbezogene Daten (besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG) an, die im Abrechnungssystem gespeichert werden – beispielsweise Bankdaten kombiniert mit Personaldaten.
Chipkarten als Möglichkeit der Leistungs- und Verhaltenskontrolle
An der Kantinenkasse wird mit den Chipkarten (Personalkarte, Kantinenkarte etc.) "bezahlt". Das System speichert Datum und Uhrzeit der Buchung, sowie Menü und Getränke. Kombiniert mit den oben genannten Daten ermöglicht dies eine Art der Mitarbeiterkontrolle – wann war der Mitarbeiter in der Kantine, wie oft, wie lange, innerhalb oder außerhalb der festen Pausenzeiten? Auch bei festgelegten Pausenzeiten sind nur stichprobenartige Kontrollen erlaubt. Folglich kann ein Kantinenabrechnungssystem der Verhaltenskontrolle dienen und unterliegt damit der Vorabkontrolle nach § 4d Abs. 5 BDSG (Bundesdatenschutzgesetz).
Datenschutz bei Chipkarten
Um das Abrechnungssystem zu "entschärfen", muss auch hier dem Grundsatz der Datensparsamkeit Rechnung getragen werden. Die Daten der einzelnen Buchungen sollten nach der Monatsabrechnung gelöscht werden. Die Auswertungsmöglichkeiten der Chipkarten sind natürlich auch für die Kantinenleitung von Interesse – aber hier genügt der monatliche Gesamtumsatz einer Ware unabhängig von einzelnen Konsumenten.
Weiterhin benötigt auch das Abrechnungssystem der Kantine ein Berechtigungskonzept, denn hier werden immerhin personenbezogene Daten erhoben, verarbeitet und genutzt. Regeln Sie den Datenzugriff eindeutig. Auch zu empfehlen ist es, in der Betriebsvereinbarung zur Kantinennutzung den Datenschutz unterzubringen.