Rabatt gibt’s nur gegen persönliche Daten – die Verwendung der Angaben ist fragwürdig
Rabattkarten machen den Besuch des Dessauer Sportbades günstig: Bis zu einem Viertel der Kosten für Einzeltickets können Inhaber*innen solcher Karten sparen. Der Preis für die Ersparnis: Personenbezogene Daten. Wer günstig baden möchte, muss Name, Vorname, Geburtsdatum, Straße mit Hausnummer und Wohnort sowie Telefonnummer angeben. Bei Bademeisterinnen und Bademeistern.
Die Stadt Dessau-Roßlau erhebt persönliche Daten ihrer Bürger*innen an einer Stelle, die alles andere als qualifiziert ist für den Umgang mit solchen Daten. Und das zu einem Zweck, den die Verwaltung selbst nicht so genau beschreiben kann.
Schauen wir uns das genauer an.
Daten zum Zweck des Diebstahls?
Zu Sinn und Zweck der Datenspeicherung sagt die Dessau-Roßlauer Verwaltung auf ihrer Website unter der Rubrik „kultur-tourismus/baeder-in-dessau-rosslau“ unter „Sportbad Dessau“, sie „pflegt personenbezogene Daten unserer Kunden für folgende Zwecke in unsere Kundenkartei ein: Rabattgewährung und Verlust oder Diebstahl der Geldwertkarte“ (abgerufen am 23.12.2025).
Man lasse sich den Satz auf der Pupille zergehen: Daten werden zum Zweck des Diebstahls der Geldwertkarte gespeichert. Das ist derart sinnfrei, dass niemandem ernsthaft entsprechender Vorsatz unterstellt werden soll – sehr wohl aber die Unfähigkeit, einen einfachen Aussagesatz geradeaus zu formulieren. Ein für die Dessau-Roßlauer Verwaltung nicht gerade untypisches Phänomen. Gemeint ist wahrscheinlich, dass die Verwaltung ihren Badegästen im Falle eines Diebstahles eine neue Karte aushändigen und die bisherige sperren möchte. Das ist zwar nett gemeint, rechtfertigt aber weder eine verpflichtende Angabe entsprechender Daten noch den Umgang mit denselben vor Ort.
Daten im Papierkorb
Der Autor dieser Zeilen geht selbst gern schwimmen. Mit Rabattkarte. Seit Jahren. Beim Bezahlen mit derselben hieß es eines Tages: „Wir haben ja Ihre Daten noch gar nicht. Die brauchen wir. Sonst können Sie hier nicht schwimmen.“ Verblüfft gab ich meine Daten preis. Noch verblüffter wurde ich Zeuge, wie eine freundliche Mitarbeiterin des Sportbades meine Angaben auf einen Schmierzettel notierte.
Einige geschwommene Bahnen später verlangte ich beim Verlassen des Bades die umgehende Löschung meiner Daten aus dem System. Das Recht auf eine solche Löschung ergibt sich aus Artikel 17 (Recht auf Löschung) der Datenschutzgrundverordnung (DSGVO).
Schon die Löschung aus dem System gestaltete sich schwierig: Es gab schlicht keine Möglichkeit, den angelegten Datensatz ins elektronische Nirvana zu verschieben. Augenscheinliche Abhilfe: Die immer noch freundliche aber angesichts des Verlangens nach Löschung verunsicherte Mitarbeiterin ersetzte die Daten durch Phantasieangaben.
Als völlig unvereinbar mit jeglichem Datenschutz entpuppte sich der Verbleib des Zettels, auf dem die Daten ursprünglich notiert waren: Der lag im Papierkorb. Und so ein Papierkorb ist der schlechteste vorstellbare Ort für die geschützte Aufbewahrung personengebundener Daten.
Fazit bislang: Mitarbeiter*innen fehlt augenscheinlich sowohl das Bewusstsein, dass es sich um schützenswerte Daten handelt als auch die Kenntnis, wie dieselben auch wieder aus dem System gelöscht werden können. Eben das Recht auf Löschung – und zwar sofortige, wenn die von der Datenerhebung betroffene Person das verlangt – ist ein zentraler Punkt der DSGVO.
Die Frage der Rechtmäßigkeit
Datenschutz beginnt nicht erst mit der Speicherung von Daten, sondern bereits mit deren Erhebung. Für die muss es vernünftige Gründe geben. Gibt es solche Gründe nicht, ist bereits das Verlangen nach Speicherung persönlicher Daten anderer Personen unrechtmäßig. Gründe für die rechtmäßige Erhebung und Speicherung persönlicher Daten zählt die DSGVO in Artikel 6 auf.
Artikel 6 sagt im Grunde nichts anderes, als dass die Verarbeitung persönlicher Daten nur zulässig ist, wenn dies der Erfüllung eines Vertrages oder dem Schutz lebenswichtiger persönlicher Belange dient respektive für die Erfüllung öffentlicher Aufgaben unabdingbar ist.
Mit dem Erwerb einer Rabattkarte kommt ein Vertrag zustande zwischen der Person, die günstiger baden möchte, und dem Betreiber des Schwimmbades. Entsprechende Verträge bestanden jahrelang, ohne das Daten erhoben, gespeichert und für den Zweck des Diebstahls in die Kundenkartei eingepflegt wurden. Wieso ein solcher Vertrag plötzlich nichtig sein soll, wenn sich eine Person weigert, ihre Daten anzugeben oder deren Löschung verlangt, erschließt sich nicht. Die vereinbarten Leistungen – günstigerer Eintritt für die eine Vertragspartei und Gewährung der Nutzung des Schwimmbades für die andere – können ohne Daten problemlos erbracht werden.
Stadt täuscht Bürger*innen
Einzig Absatz 1 des Artikel 6 DGSVO kann als Rechtfertigung der Datenerhebung im Schwimmbad herangezogen werden. Denn dort steht, dass jede Datenerhebung rechtens ist, wenn die betroffene Person ihr Einverständnis gibt. Ein solches Einverständnis ist aber juristisch nichtig, wenn die jeweilige Person über Sinn und Zweck der Datenerhebung getäuscht wurde.
Im Schwimmbad heißt es trocken sinngemäß: Keine Daten, keine Rabattkarte – oder, wenn die Rabattkarte schon vorhanden ist, aber die Daten es noch nicht sind – kein Eintritt mit Rabattkarte. Das ist schlicht Täuschung. Denn Bürgerinnen und Bürgern wird suggeriert, der Badbetrieb habe irgendwie das Recht, die Daten zu erheben. Es gibt aber keine Rechtsgrundlage, weil die Datenerhebung nicht für die Vertragserfüllung notwendig ist (Artikel 7 Absatz 4 DSGVO).
Keine Reaktion der Verwaltung
deropolis hat natürlich nachgefragt bei der Stadt Dessau-Roßlau, wie sie denn die Datenerhebung und -verarbeitung im Schwimmbad bewertet und rechtfertigt. Angeschrieben haben wir das Sportamt und die Pressestelle der Stadt; aus dem Sportamt liegt eine elektronische Empfangsbestätigung zu unserer Mail vor.
Geantwortet hat die Stadt Dessau-Roßlau bis heute nicht.
