Beschluss vom 19. August 2024: Positionspapier – Datenschutzrechtliche Grenzen des Einsatzes von Bezahlkarten zur Leistungsgewährung nach dem Asylbewerberleistungsgesetz (AsylbLG)

In einigen Kommunen ist eine sog. Bezahlkarte für die Auszahlung von Leistungen nach dem Asylbewerberleistungsgesetz (AsylbLG) bereits im Einsatz, in vielen anderen ist ihre Einführung in naher Zukunft vorgesehen. Auf Bund-Länder-Ebene wurden am 31. Januar 2024 bundeseinheitliche Mindeststandards¹ beschlossen. Aus diesen geht hervor, wie die Bezahlkarte ausgestaltet werden und welche technischen Möglichkeiten sie bieten soll. Seit dem 16. Mai 2024 ist zudem eine Änderung des AsylbLG in Kraft, wonach die Leistungsgewährung in bestimmten Konstellationen auch mithilfe einer Bezahlkarte erfolgen kann.² Bei der Bezahlkarte handelt es sich um eine guthabenbasierte Karte mit Debit-Funktion, aber ohne Verknüpfung mit einem herkömmlichen Girokonto. Die Einführung der Bezahlkarte erfolgt in der Praxis unter Einbindung eines Dienstleisters in Gestalt eines privatrechtlichen Bankunternehmens. Durch diese Art der Leistungsgewährung sowie die avisierten weiteren Funktionsmöglichkeiten der Karte entstehen zwangsläufig datenschutzrechtlich relevante Verarbeitungsvorgänge der personenbezogenen Daten von Leistungsberechtigten. Damit wird in das Recht der Leistungsberechtigten auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 Grundgesetz (GG) in Verbindung mit Art. 1 Abs. 1 GG eingegriffen, welches im Lichte des Rechts auf den Schutz personenbezogener Daten nach Art. 8 Charta der Grundrechte der EU (GRCh) in Verbindung mit Art. 7 GRCh auszulegen ist.³ Dieses Recht gilt gleichermaßen für deutsche wie ausländische Staatsangehörige, die sich in der Bundesrepublik Deutschland aufhalten. Aus dem Grundrecht folgen Bedingungen und Grenzen, die bei der Umsetzung der Leistungsgewährung mittels Bezahlkarten zu berücksichtigen sind.

I. Datenschutzrechtliche Zulässigkeit der Leistungsmethode „Bezahlkarte“

Der Bundesgesetzgeber hat die Bezahlkarte in den §§ 2, 3 und 11 AsylbLG als eine Methode zur Leistungserbringung nun ausdrücklich gesetzlich normiert.⁴ Dabei hat der Gesetzgeber darauf verzichtet, eine spezifische Rechtsgrundlage für die in den Leistungsbehörden bei Umsetzung der Bezahlkarte nunmehr anfallenden Verarbeitungen von personenbezogenen Daten zu schaffen. Für diese Vorgänge wird jedoch eine Rechtsgrundlage benötigt, die den Anforderungen von Art. 6 Abs. 1 UAbs. 1 Buchst. e, Abs. 3 DSGVO genügt. Deswegen hängt die datenschutzrechtliche Zulässigkeit der Leistungsmethode „Bezahlkarte“ davon ab, ob ein Rückgriff auf die Generalklauseln des Landesdatenschutzrechts⁵ erfolgen darf. Angesichts der in Bezug auf das Recht auf Schutz personenbezogener Daten hier als moderat zu bewertenden Eingriffsintensität ist dies prinzipiell möglich: Die behördliche Verarbeitungstätigkeit einschließlich der Datenweitergabe an den Dienstleister kann grundsätzlich auf die jeweilige landesdatenschutzrechtliche Generalklausel gestützt werden.⁶

Dies gilt allerdings nur, soweit ausschließlich die zur Leistungserbringung erforderlichen personenbezogenen Daten verarbeitet werden. Entscheidend für die Zulässigkeit der Verarbeitung personenbezogener Daten beim Einsatz der Bezahlkarte ist somit, welche Zwecke das AsylbLG fachrechtlich vorgibt und welche Verarbeitungsvorgänge zur Erreichung dieser Zwecke zwingend benötigt werden.

II. Datenschutzrechtliche Grenzen bei Umsetzung der Bezahlkarte

Die für Behörden geltenden rechtlichen Grenzen für die Verarbeitung von personenbezogenen Daten dürfen bei der Einbindung des privaten Zahlungsdienstleisters nicht überschritten werden. Insbesondere ist zu beachten, dass es gemäß Art. 6 Abs. 1 UAbs. 2 DSGVO Behörden selbst nicht gestattet ist, eine Datenverarbeitung unter Verweis auf ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs. 1 Buchst. f DSGVO durchzuführen. Diese Vorgabe des europäischen Gesetzgebers darf nicht durch eine Auslagerung der Datenverarbeitung an eine nicht-öffentliche Stelle umgangen werden. Es wäre daher datenschutzrechtlich unzulässig, den Dienstleister – unter Verweis auf Art. 6 Abs. 1 UAbs. 1 Buchst. f DSGVO – bestimmte Datenverarbeitungen im Interesse der Behörden vornehmen zu lassen, wenn die Behörde diese nicht selbst, gestützt auf eigene Rechtsgrundlagen, durchführen darf.

Wird also im Folgenden erläutert, dass ein angestrebter Verarbeitungsvorgang nicht von einer Leistungsbehörde ausgeführt werden darf, so gilt dies auch für den jeweiligen Dienstleister, soweit er die Verarbeitung lediglich für Leistungsbehörden durchführt.

1. Keine Einsichtnahme in den Guthabenstand

Eine eigenständige Einsichtnahme in den Guthabenstand von leistungsberechtigten Personen durch die Leistungsbehörden ist nach derzeitiger Rechtslage unzulässig. Ein solcher Abruf dieser Information ist eine Verarbeitung personenbezogener Daten, die eine Rechtsgrundlage benötigt. In Betracht käme hierfür einzig die o.g. datenschutzrechtliche Generalklausel nach dem jeweiligen Landesrecht. Deren Voraussetzung der Erforderlichkeit dieser Verarbeitung für die Gewährung der Leistungen nach dem AsylbLG ist jedoch nicht erfüllt.

Durch Einfügen des Wortes „Bezahlkarte“ in die §§ 2, 3 und 11 AsylbLG hat der Gesetzgeber zwar deutlich gemacht, dass die zuständigen Behörden Leistungen durch den Einsatz einer guthabenbasierten Karte mit Debit-Funktion erbringen dürfen. Weder im Gesetzestext noch in der dazugehörigen Begründung findet sich jedoch ein Hinweis darauf, dass Leistungsbehörden Einsicht in den Guthabenstand nehmen dürfen.⁷ Der Gesetzgeber hat gerade nicht vorgesehen, dass die Bezahlkarte den Leistungsbehörden ein Mehr an Informationen über die Leistungsberechtigten verschafft, als es bisher der Fall war. Eine vergleichbare Kontrollmöglichkeit bei der Ausgabe von Sachleistungen, Wertgutscheinen oder Bargeld existiert nicht. Dementsprechend würde durch eine Einsichtnahme-Funktion ein zusätzlicher Eingriff erfolgen, der geeignet ist, den betroffenen Leistungsberechtigten das Gefühl ständiger Überwachung zu vermitteln und der offenkundig nicht benötigt wird, um die Leistung zu gewähren.

Selbst wenn im Einzelfall eine Leistungsbehörde Kenntnis über einen Guthabenstand benötigt, etwa weil die leistungsberechtigte Person ihre Karte verloren hat und ein bestehendes Guthaben auf eine neue Karte übertragen werden soll, bedarf es keines technischen Direktzugriffs für die Behörde. Als milderes Mittel kann die leistungsberechtigte Person über die Mitwirkungspflichten nach § 9 Abs. 3 AsylbLG i.V.m. §§ 60 ff. SGB I dazu angehalten werden, der Behörde beispielsweise vor Ort an einem Behördencomputer die Einsicht in den Guthabenstand zu ermöglichen.

2. Keine pauschale Einschränkung auf Postleitzahlen-Gebiete

Für die räumliche Einschränkung der Einsatzmöglichkeit der Bezahlkarte muss die Information verarbeitet werden, dass für betroffene Leistungsberechtigte Aufenthaltsbeschränkungen bestehen. Diese Information stellt auch dann ein personenbezogenes Datum dar, wenn sie über die Karte nur mittelbar mit der leistungsberechtigten Person verknüpft wird. Denn jede Karte ist eindeutig einer nach dem AsylbLG leistungsberechtigten Person zugeordnet und würde im Falle einer räumlichen Einsatzbeschränkung zugleich die Information enthalten, inwiefern die betroffene Person in ihrer Freizügigkeit eingeschränkt ist, mithin asyl- oder aufenthaltsrechtlichen Beschränkungen unterliegt. Für die Verarbeitung dieser Information wird daher eine Rechtsgrundlage benötigt. Auch hier kommt allein die Generalklausel des jeweiligen Landesdatenschutzrechts in Betracht, da keine bereichsspezifischen Rechtsgrundlagen existieren.

Die Voraussetzungen der Generalklausel(n) liegen jedoch in der Regel nicht vor. Der Verarbeitungsvorgang ist zur Leistungsgewährung grundsätzlich nicht erforderlich. Erforderlich kann nur eine Datenverarbeitung sein, die den Zweck der Leistungsgewährung gemäß dem AsylbLG verfolgt. Mit einer Beschränkung auf Postleitzahlengebiete werden jedoch über die Leistungsgewährung hinausgehende Zwecke verfolgt, namentlich die Durchsetzung räumlicher Aufenthaltsbeschränkungen nach dem Asyl- oder dem Aufenthaltsgesetz. Diese sind jedoch keine Voraussetzung für die Bewilligung von Grundleistungen nach den für die Bezahlkarte maßgeblichen Regelungen (§ 2 Abs. 2, § 3 Abs. 2, 3 u. 5 AsylbLG). Zum Zeitpunkt der Bewilligungsentscheidung fehlt es daher grundsätzlich an dem notwendigen fachrechtlichen Anknüpfungspunkt und somit an der Erforderlichkeit der Datenverarbeitung.⁸

Dies steht auch im Einklang mit § 11 Abs. 2 AsylbLG, der eine Verbindung zwischen dem Leistungsbezug und der Verletzung räumlicher Aufenthalts- und Wohnsitzpflichten herstellt. Das Vorliegen einer solchen Verletzung muss allerdings zunächst im Einzelfall festgestellt werden, bevor auf der Grundlage von § 11 Abs. 2 AsylbLG Leistungsbeschränkungen erfolgen dürfen. Dies ist schon deswegen geboten, weil ein Aufenthalt außerhalb des zugewiesenen Bereichs nicht zwingend gegen räumliche Beschränkungen verstößt, wie sich etwa aus den Möglichkeiten nach § 12 Abs. 5 AufenthG sowie § 57 AsylG zum rechtskonformen Verlassen des Aufenthaltsbereichs ergibt. Anders verhält es sich im Übrigen mit einer Einschränkung der Einsatzmöglichkeit der Bezahlkarte auf das Bundesgebiet. Der Aufenthalt im Bundesgebiet ist gemäß § 1 Abs. 1 Hs. 1 AsylbLG Voraussetzung für die Leistungsberechtigung. Diesbezüglich besteht folglich ein unmittelbarer Bezug zwischen dem Zweck des AsylbLG und der Datenverarbeitung, sodass die mit dieser Einschränkung einhergehende Datenverarbeitung keinen datenschutzrechtlichen Bedenken begegnet.

3. Trennung der Datensätze

Für den praktischen Einsatz von Bezahlkarten muss die Verwaltung auf einen Dienstleister zugreifen, der die Durchführung aller Transaktionen auf Bankebene übernimmt. Ist ein Dienstleister leistungsbehördenübergreifend tätig, werden durch ihn die Datensätze einer Vielzahl von Verantwortlichen verarbeitet. Es darf dadurch aber nicht dazu kommen, dass ein behördenübergreifendes Register auf Seiten des Dienstleisters entsteht. Denn in Gestalt des Ausländerzentralregisters existiert bereits ein bundesweites Register aller Personen mit ausländischer Staatsangehörigkeit mit dem Ziel, durch eine zentrale Datenhaltung divergierende ausländer- oder asylrechtliche Entscheidungen zur gleichen Person zu vermeiden. Es besteht folglich zur Erreichung dieses Zwecks kein Bedarf für ein weiteres Register. Insbesondere ist noch auf Folgendes hinzuweisen:

1. Angemessene technische und organisatorische Maßnahmen, insbesondere: Mandantentrennung

   Mit Blick auf die Verpflichtung zur Gewährleistung der Sicherheit der Datenverarbeitung, Art. 32 DSGVO, ist zudem durch eine Mandantentrennung auf Seiten des Dienstleisters die Integrität und Vertraulichkeit der Daten der jeweiligen Leistungsbehörde sicherzustellen.

2. Kein behördenübergreifender Datenabgleich außerhalb der behördlichen Befugnisse

   Die bei einem Dienstleister zusammenfallenden Datenbestände mehrerer Behörden dürfen nach derzeitiger Rechtslage zudem nicht durch diesen abgeglichen werden. Für einen solchen Datenabgleich beim Dienstleister steht keine Rechtsgrundlage zur Verfügung. Die spezialgesetzlichen Regelungen des Ausländerzentralregistergesetzes (AZRG) versperren den Zugriff auf datenschutzrechtliche Generalklauseln.

   Überdies ergibt sich kein Mehrwert durch einen solchen Datenabgleich, insbesondere nicht hinsichtlich der Ermittlung eines etwaigen Leistungsmissbrauchs. Der Einsatz der Bezahlkarte ist eine Methode der Leistungsgewährung. Vor der Kartenausgabe, mithin auch vor der Weitergabe der Daten der Asylbewerber:innen an den Dienstleister, muss die Leistungsbehörde deren Leistungsberechtigung ohnehin prüfen. Bezöge die jeweilige Person bereits an anderer Stelle Leistungen, so würde sich dies aus dem Ausländerzentralregister ergeben. Ein Mehr an Erkenntnis könnte der Dienstleister nicht ermitteln. Vielmehr entstünde durch einen solchen Abgleich eine Parallelstruktur ohne erkennbaren Nutzen, dafür mit erheblichen Risiken für die Betroffenen und mit Blick auf die Datenrichtigkeit auch für die öffentlichen Stellen.

4. Keine Weitergabe der Ausländerzentralregister-Nummer an den Dienstleister

Nach gegenwärtiger Rechtslage ist eine Weitergabe der Ausländerzentralregister-Nummer (AZR-Nummer) an den Dienstleister rechtswidrig.

Die Übermittlung der AZR-Nummer an eine nicht-öffentliche Stelle sehen weder das AZRG noch die AZRG-Durchführungsverordnung für mit der hiesigen Konstellation vergleichbare Fälle vor. Die nach den §§ 25 und 27 AZRG zulässigen Übermittlungen von Informationen aus dem AZR an nicht-öffentliche Stellen sind nicht einschlägig.

Ferner ergibt sich aus § 10 Abs. 4 AZRG, dass die AZR-Nummer grundsätzlich nur im Verkehr mit dem vom Bundesamt für Migration und Flüchtlinge (BAMF) geführten Ausländerzentralregister genutzt werden darf. Zwar bestehen Ausnahmen nach § 10 Abs. 4 S. 2 AZRG. Diese beinhalten jedoch keine Weitergabe der AZR-Nummer an nicht-öffentliche Stellen.

Angesichts der abschließenden, spezialgesetzlichen Regelungen des AZRG ist der Rückgriff auf die datenschutzrechtlichen Generalklauseln gesperrt. Im Übrigen würde es auch hier an der Erforderlichkeit in Bezug auf die Verfügbarkeit der AZR-Nummer für den Dienstleister fehlen (vgl. Nr. 3.b): Es ist Aufgabe der Leistungsbehörden, die Leistungsberechtigung einer Person festzustellen. Zu diesem Zweck werden diesen Daten aus dem Ausländerzentralregister zur Verfügung gestellt, § 18a AZRG. Nach Feststellung der Leistungsberechtigung wird der Bezahlkarten-Dienstleister zur Ausführung dieser Entscheidung herangezogen. Ein dann stattfindender Abgleich der AZR-Nummer kann gegenüber der bereits erfolgten Prüfung keine neuen Erkenntnisse liefern und ist daher auch nicht erforderlich.

5. Zugriff der Sicherheitsbehörden auf Buchungsdaten

Infolge der Nutzung der Bezahlkarte werden personenbezogene Daten der leistungsberechtigten Personen erhoben und gespeichert, die erheblichen Aufschluss über die private Lebensgestaltung geben können. Zugriffe durch Sicherheitsbehörden dürfen vor diesem Hintergrund nur nach den gesetzlichen Maßgaben der einschlägigen Sicherheitsgesetze, z.B. der Strafprozessordnung erfolgen, die auch für andere Personen und deren Bankaktivitäten gelten.

¹ Siehe https://cdn.netzpolitik.org/wp-upload/2024/02/016-Anlage-2-Anforderungen-an-die-Bezahlkarte-Bundeseinheitliche-Mindeststandards.pdf (zuletzt abgerufen am 10. Juli 2024).

² BGBl. 2024 I Nr. 152 vom 15.05.2024, S. 29 f.

³ Siehe zu diesem Grundrechtsverständnis BVerfG, Beschluss vom 6.11.2019 – 1 BvR 16/13 Rn. 46, 60 ff.

⁴ Siehe BT-Drucksache 20/1106.

⁵ Siehe § 4 Abs. 1 BayDSG; § 5 Abs. 1 BbgDSG; § 3 BlnDSG; § 3 Abs. 1 BremDSGVOAG; § 4 DSAG LSA; § 4 Abs. 1 DSG M-V; § 3 DSG NRW; § 3 Abs. 1 HDSIG; § 4 HmbDSG; § 4 LDSG BW; § 3 LDSG RLP; § 3 Abs. 1 LDSG SH; § 3 NDSG; § 3 Abs. 1 SächsDSDG; § 4 Abs. 1 SDSG; § 16 Abs. 1 ThürDSG.

⁶ Von der Eingriffsintensität zu trennen ist die Risikobewertung, wie sie im Rahmen einer Datenschutz-Folgenabschätzung anhand der konkreten Funktionen der Bezahlkarte vorzunehmen ist.

⁷ Siehe BT-Drucksache 20/11006, S. 101 ff.

⁸ Das Erfordernis eines fachrechtlichen Anknüpfungspunkts führt i.Ü. dazu, dass auch sonstige, dem AsylbLG fremde Zwecke nicht berücksichtigt werden dürfen, um eine PLZ-Beschränkung zu begründen. Dies gilt beispielsweise für die Erwägung, Kaufkraft innerhalb der jeweiligen Kommune halten zu wollen.