24. Tätigkeitsbericht (2002)



6

Datenschutz in der Wirtschaft

6.1

Was hat das neue Bundesdatenschutzgesetz gebracht?

Über zehn Jahre hatte das bisherige Bundesdatenschutzgesetz (BDSG) ohne wesentliche Änderungen Bestand. Angesichts der erheblichen Weiterentwicklung der Technik ist eine umfassende Novellierung dringend erforderlich. Im Rahmen der Anpassung an die Anforderungen der Europäischen Datenschutzrichtlinie von 1995 ist der Gesetzgeber erst wenige kleine Schritte in Richtung Modernisierung des Datenschutzes gegangen.

Die am 23. Mai 2001 in Kraft getretene Novellierung bringt unter anderem folgende Änderungen für den nicht öffentlichen Bereich:

  • Das Gesetz findet nunmehr grundsätzlich auch bei der Datenerhebung (also der Beschaffung von personenbezogenen Daten) Anwendung.

  • Die Übermittlung von personenbezogenen Daten in das Ausland ist jetzt ausdrücklich geregelt. Für die Weitergabe personenbezogener Daten an Stellen mit Sitz in einem Mitgliedstaat der Europäischen Union oder des Abkommens über den Europäischen Wirtschaftsraum gelten dabei die normalen Datenschutzregelungen des BDSG. Sitzt der Empfänger in einem so genannten Drittstaat, muss dort ein angemessenes Datenschutzniveau gewährleistet sein.

  • Nicht öffentliche Stellen werden verpflichtet, bereits bei der Einrichtung von Datenverarbeitungsverfahren auf die Grundsätze der Datenvermeidung und Datensparsamkeit zu achten.

  • Die Meldepflicht für Dateien bei der staatlichen Aufsichtsbehörde wurde zu einer Meldepflicht für automatisierte Verfahren umgestaltet. In vielen Fällen erübrigt sich allerdings die Meldepflicht mit der Bestellung eines betrieblichen Datenschutzbeauftragten.

  • Automatisierte Einzelentscheidungen, die Videoüberwachung öffentlich zugänglicher Räume und die Verwendung von Chipkarten sind nur unter besonderen Voraussetzungen zulässig, weil sie erhebliche Risiken für die betroffenen Bürgerinnen und Bürger mit sich bringen.

  • Die Verarbeitung personenbezogener Daten mit hohem Gefährdungspotenzial für die Betroffenen, zum Beispiel Informationen über den Gesundheitszustand, ist an besondere Schutzmechanismen geknüpft. So besteht u. a. eine Verpflichtung zur Durchführung einer Vorabkontrolle.

  • Die Informationsrechte der von einer Datenverarbeitung betroffenen Bürgerinnen und Bürger sind erheblich gestärkt worden. Schreibt z. B. ein Unternehmen einen Betroffenen direkt zu Werbezwecken an, muss er diesen zugleich darauf hingewiesen werden, dass er ein Recht auf Widerspruch gegen die Datenverarbeitung zu Werbezwecken hat. Die Adresse der verantwortlichen Stelle ist ebenfalls mitzuteilen, damit er dieses Widerspruchsrecht auch geltend machen kann.

  • Die Kompetenzen der Aufsichtsbehörden sind erweitert und präzisiert worden. Insbesondere können Aufsichtsbehörden die Einhaltung der Datenschutzbestimmungen auch ohne einen Anlass überprüfen.

Aufgrund dieser Erweiterungen des Anwendungs- und Aufgabenbereiches ist auch der Prüfungsaufwand für uns erheblich gestiegen. So waren allein im Berichtszeitraum weit über zweihundert Eingaben und Anfragen von Bürgern und Unternehmen zum Datenschutz in Privatfirmen zu bearbeiten.







Wir haben den Normadressaten auf vielfältige Weise die wesentlichen Inhalte der Gesetzesänderung zu vermitteln versucht. Mit Hilfe der IHK zu Kiel und der Verbände wurden Informationsveranstaltungen durchgeführt und Veröffentlichungen in Verbandszeitschriften vorgenommen. In Zusammenarbeit mit anderen Aufsichtsbehörden wurden Broschüren entwickelt, die zum Teil auch branchenspezifisch über die Neuerungen informieren. Auch im virtuellen Datenschutzbüro sind Beiträge zum neuen BDSG veröffentlicht. Die DATENSCHUTZAKADEMIE bietet seit dem In-Kraft-Treten der Novelle Kurse über das neue BDSG an.

Eine umfassende Modernisierung des Datenschutzrechts ist mit der BDSG-Novellierung 2001 allerdings nicht gelungen. Den technischen Datenschutz zukunftsträchtig zu gestalten, bereichsspezifische Regelungen zusammenzuführen und zu vereinfachen, die Voraussetzungen für einen Datenschutz zu schaffen, der auch als Wettbewerbsvorteil zu verstehen ist, diese dringenden Aufgaben schiebt der Bundesgesetzgeber weiter vor sich her.

Was ist zu tun?
Durch Schulungen und Publikationen ist auf die wesentlichen Neuerungen der BDSG-Novellierung aufmerksam zu machen. Ebenso wichtig ist es aber, das BDSG endlich umfassend zu modernisieren.

6.2

Auskunfteien

6.2.1

Scoring der SCHUFA rechtswidrig

Bereits seit längerem haben wir darauf aufmerksam gemacht, dass das Scoring der SCHUFA datenschutzrechtswidrig ist. In einem Zivilprozess hat die SCHUFA dem Kläger gegen das Scoring durch Anerkenntnis Recht gegeben.

Das Amtsgericht Hamburg hat die SCHUFA im Rahmen eines Anerkenntnisurteils verurteilt, den Score-Wert des Klägers nicht an ihre Vertragspartner weiter zu geben. Ein Anerkenntnisurteil enthält keine Darstellung des Sachverhaltes und auch keine Urteilsgründe, weil der Beklagte des Verfahrens den prozessual geltend gemachten Anspruch des Klägers anerkennt. Ein solches Urteil erlegt dem Beklagten die gesamten Kosten des Verfahrens auf; es hat nur Wirkung zwischen den beiden streitenden Parteien.

www.datenschutzzentrum.de/faq/schufa.htm

www.datenschutzzentrum.de/material/themen/divers/scoring.htm

Die SCHUFA hat geltend gemacht, das Urteil beinhalte keine richterliche Wertung. Das trifft zwar zu; die SCHUFA muss sich jedoch die Frage gefallen lassen, warum sie einerseits die Auffassung vertritt, das Scoring-Verfahren sei rechtlich einwandfrei, andererseits in einem gerichtlichen Verfahren den zivilprozessualen Anspruch eines Klägers anerkennt. Tatsache ist, dass die SCHUFA beim Scoring personenbezogene Daten der Betroffenen mit negativen Kreditinformationen über Dritte verknüpft. Somit stellt dieses Scoring eine Auswertung von Daten dar, welche die Betroffenen nicht selbst beeinflussen können, selbst wenn sie sich im Geschäftsverkehr korrekt verhalten.

Die SCHUFA behauptet, dass der Score-Wert nicht gespeichert, sondern unmittelbar bei der Weitergabe von Daten an die Vertragspartner gebildet werde. Unseres Erachtens führt das erst recht zur Rechtswidrigkeit des SCHUFA-Scorings: Weil es für eine solche Datennutzung keine gesetzliche Rechtfertigung gibt, bedürfte sie gemäß § 4 Absatz 1 BDSG der Einwilligung der jeweils Betroffenen.

Der Score in seiner derzeitigen Gestaltung ist aber nicht einwilligungsfähig. Für eine wirksame Einwilligung ist Voraussetzung, dass die betroffene Person die Tragweite ihrer Entscheidung zu überblicken vermag. Die derzeitige Version der SCHUFA-Erklärung beschreibt jedoch das Scoring mit einem einzigen allgemein gehaltenen Satz, der keine Aussagekraft darüber besitzt, in welchem Umfang personenbezogene Daten ausgewertet werden, um den Score-Wert der jeweils betroffenen Person zu bilden. Mittlerweile erklärt sich die SCHUFA bereit, den Score-Wert zu sperren, wenn Betroffene hierauf bestehen.

Wir haben auch Score-Wert-Verfahren anderer Auskunfteien überprüft. Diese lassen sich nicht mit dem Scoring der SCHUFA vergleichen, weil sie sich zumeist auf die Teilnahme von Wirtschaftsunternehmen am Geschäftsverkehr beziehen. Wenn eine natürliche Person als Kaufmann am Wirtschaftsleben teilnimmt, muss sie mit der Veröffentlichung und der Auswertung ihres Verhaltens im Geschäftsverkehr bis zu einem gewissen Grade rechnen. Soweit Unternehmen personenbezogene Daten ihrer Kunden selbst hausintern im Rahmen eines Scorings auswerten, ist dies schon deshalb nicht mit dem Scoring zu vergleichen, weil eine unmittelbare vertragliche Beziehung mit den Betroffenen besteht bzw. bestanden hat.

Was ist zu tun ?

Betroffene, die unsere Bedenken teilen, können ihren Score-Wert bei der SCHUFA sperren lassen.

6.2.2

Missbräuchliche SCHUFA-Abfrage

Seit Jahren wird versucht, ohne Berechtigung an SCHUFA-Daten heranzukommen. Die ständige Ausweitung der Geschäftsfelder der SCHUFA schafft neue Ansatzpunkte für Missbrauchsversuche.

Ein Geschäftsmann bat einen ihm bekannten Steuerberater unter dem Vorwand angeblicher geschäftlicher Kontakte mit dem Betroffenen, für ihn eine SCHUFA-Abfrage zu veranlassen. Die SCHUFA beauskunftet nur gegenüber ihren Vertragspartnern oder Betroffenen. Deshalb wandte sich der Steuerberater seinerseits an eine Wohnungsverwaltungsgesellschaft, die dann die erwünschte SCHUFA-Auskunft einholte. Tatsächlich hat es zu keinem Zeitpunkt geschäftliche Beziehungen zwischen dem Geschäftsmann und dem Betroffenen gegeben. Letzterer befürchtete nun, dass die Informationen über seine Kreditwürdigkeit im Bekanntenkreis kursieren.

Der Steuerberater und die Wohnungsverwaltungsgesellschaft haben ihr Fehlverhalten sofort eingeräumt und dem Petenten gegenüber bedauert. Auf unser Betreiben hin hat die Verwaltungsgesellschaft ein neues Reglement geschaffen, das sicherstellen soll, dass künftig SCHUFA-Abfragen nur bei einem berechtigten Interesse erfolgen. Gegen den eigentlichen Veranlasser der SCHUFA-Abfrage wurde vom Betroffenen ein Strafantrag wegen Ausspähens von Daten gestellt, da er sich die Daten des Petenten unbefugt verschafft habe.

Der Vorgang zeigt, welche Risiken mit der Ausdehnung des Geschäftsfeldes der SCHUFA auf Unternehmen wie Wohnungsverwaltungsgesellschaften verbunden sein können, die nicht besonderen gesetzlichen Geheimhaltungspflichten unterliegen.

Was ist zu tun?
Gefälligkeitsabfragen, bei denen Dritte bei Auskunfteien kreditrelevante Informationen über Betroffene einholen, ohne hierfür ein berechtigtes Interesse zu haben, sind keine Kavaliersdelikte. Vertragspartner der SCHUFA und anderer Auskunfteien haben solche Anfragen zu unterlassen.

6.2.3

Bequemlichkeit mit Folgen

Das gegenwärtige SCHUFA-Verfahren kann Personenverwechslungen nicht ausschließen. Die Folgen für die Betroffenen können äußerst unangenehm sein.

Mit dem Hinweis auf einen negativen SCHUFA-Eintrag wurde einer Handybesitzerin von ihrem Mobilfunkanbieter hartnäckig die Auslandsfreischaltung verweigert, obwohl die Betroffene sich finanziell nichts zu Schulden hatte kommen lassen. Auf unsere Anfrage bei der SCHUFA stellte sich heraus, dass der Grund für die negative Auskunft letztlich auf eine fehlerhafte Zuordnung von Negativdaten zurückzuführen war.

Was war geschehen? Die Mobilfunkkundin hatte im Nachbarort eine Namensvetterin mit identischem Namen und Vornamen. Auch das Geburtsdatum stimmte überein, die Adressen und die Geburtsnamen waren allerdings unterschiedlich. Zu dieser Namensvetterin hatte die SCHUFA Negativdaten gespeichert. Als nun bei ihr die wegen der Auslandsfreischaltung übliche Anfrage der Mobilfunkfirma hinsichtlich der Bonität ihrer Kundin einging, fand die Mitarbeiterin im EDV-Bestand nur den mit den Negativmerkmalen behafteten Datensatz der Namensvetterin. Anstatt sich zu vergewissern, ob es sich bei der gespeicherten Person tatsächlich auch um die Person handelte, auf die sich die Anfrage des Mobilfunkanbieters bezog, setzte sie sich über die unterschiedlichen Adressen der beiden Betroffenen hinweg und unterstellte einen Umzug. Sie änderte einfach die Adresse der Namensvetterin auf die Adresse der Mobilfunkkundin mit der Folge, dass dieser jetzt die Negativdaten angehängt wurden.

Wir haben die aufgrund der Personenverwechslung fehlerhafte Datenübermittlung an die Mobilfunkfirma beanstandet. Die SCHUFA sprach von einem Bearbeitungsfehler ihrer Mitarbeiterin und hat sofort reagiert: durch einen internen Bearbeitungshinweis wurde klar gestellt, dass die beiden betroffenen Personen nicht identisch sind. Das SCHUFA-Verfahren sieht für derartige Konstellationen (identische Namen und Vornamen bei abweichender Anschrift) vor, den Vertragspartner auf die abweichende Anschrift hinzuweisen und um Identitätsprüfung zu bitten. Das reicht nach unserer Auffassung aber nicht aus, denn dadurch wird die Verantwortung lediglich auf den Vertragspartner abgewälzt und eine Personenverwechslung nicht hinreichend sicher ausgeschlossen.

Was ist zu tun?
Die SCHUFA darf die Verantwortung für korrekte Identitätsfeststellungen nicht länger auf ihre Vertragspartner abwälzen, sondern muss durch eigene Maßnahmen (z. B. Einholung von Meldeauskünften oder Rückfrage beim Betroffenen vor der Datenweitergabe) derartige Fehler verhindern.

6.2.4

Auch kleine Sünden bestraft die SCHUFA mit Einträgen nicht unter drei Jahren

Die SCHUFA kennt bei ihren Eintragungen keine Bagatellgrenzen. Da für die Auskunftsempfänger nur die Tatsache einer SCHUFA-Speicherung und nicht deren Hintergrund relevant ist, sind die Folgen in vielen Fällen völlig unverhältnismäßig. So entwickelt sich die SCHUFA immer weiter von dem ursprünglichen Ziel einer angemessenen Kreditsicherung hin zu einer Art Pranger.

Bereits im vergangenen Tätigkeitsbericht haben wir die Praxis der SCHUFA kritisiert, auch geringfügige Verbindlichkeiten an ihre Vertragspartner mitzuteilen (vgl. 23. TB, Tz. 6.4.2). Selbst bei langjährigen, gut funktionierenden Vertragsbeziehungen hat eine solche Mitteilung für die Betroffenen oft unverhältnismäßig schwerwiegende Folgen, wie folgendes Beispiel zeigt:

Vier Jahre lang war eine Petentin eine zuverlässig zahlende Inhaberin eines Festnetzanschlusses. Nach der Trennung von ihrem Lebenspartner wollte sie nun bei demselben Telekommunikationsunternehmen dessen Handyvertrag auf sich umschreiben lassen. Doch dabei stieß sie auf einen nachhaltigen Widerstand, den sie sich nicht erklären konnte. Auf ihre wiederholte Nachfrage hin bedeutete das Unternehmen seiner Kundin lediglich, sie genüge nicht den strengen Bonitätskriterien des Hauses, sie solle doch einmal eine SCHUFA-Selbstauskunft einholen. Diese brachte aber nur die Adressdaten der Petentin und die Tatsache der Abfrage durch das Telekommunikationsunternehmen zutage. Noch nicht einmal die Bankverbindung der Petentin war der SCHUFA bekannt.

Schließlich führte unser Tätigwerden zur Aufklärung: Das Unternehmen hatte noch im Jahre 2000 über eine SCHUFA-Abfrage erfahren, dass die Petentin 1997 eine Rechnung über sage und schreibe 50 DM nicht beglichen habe. Die Tatsache, dass die eigenen Erfahrungen über das Zahlungsverhalten der Kundin stets positiv waren, zählte da offenbar nicht mehr. Die Petentin hingegen konnte dieses Ergebnis nicht nachvollziehen, weil die SCHUFA-Selbstauskunft den besagten Eintrag jetzt nicht mehr aufwies. Die Petentin erhielt schließlich doch noch die begehrte Umschreibung - und das Telekommunikationsunternehmen von uns eine Beanstandung wegen mangelhafter Beauskunftung. Im Gegenzug versicherte das Unternehmen, künftig seine Beschäftigten durch Schulungsmaßnahmen sensibilisieren zu wollen.

Der Vorgang zeigt, welche Auswirkungen die Nichtbegleichung eines Bagatellbetrages haben kann, wenn er an die SCHUFA gemeldet wird.

Was ist zu tun?
Nach wie vor muss die SCHUFA angehalten werden, für die Speicherung von Negativdaten Bagatellgrenzen einzuführen.

6.2.5

Eine kleine Erpressung

Einige Inkassounternehmen verleihen ihren Mahnschreiben dadurch Nachdruck, dass sie unverhohlen mit einer Meldung an die SCHUFA drohen, falls der Schuldner dem Zahlungsverlangen nicht nachkommt. Derartige Drohungen kommen strafrechtlich relevanten Erpressungen bedenklich nahe.

Ein Petent wollte eine aus seiner Sicht unberechtigte Forderung nicht begleichen. Wenig später fand er in einem Mahnschreiben eines Inkassounternehmens folgende Formulierung: ”Bitte bedenken Sie, dass immer mehr Arbeitgeber die Bonität Ihrer Mitarbeiter über die SCHUFA oder sonstige Auskunfteien überprüfen und Ihr jetziger oder zukünftiger Arbeitgeber eine negative Auskunft als negatives Vertrauensmerkmal werten könnte. Es könnte in dieser Angelegenheit also nicht nur um Ihre private, sondern auch für lange Zeit um Ihre berufliche Zukunft gehen. Handeln Sie daher unverzüglich!”

Grundsätzlich dürfen Vertragspartner der SCHUFA nur solche negativen Informationen über Betroffene an die SCHUFA melden, die objektiv richtig sind. Informationen über gerichtlich festgestellte Zahlungsverpflichtungen werden beispielsweise als solche ”harte” Negativdaten angesehen. Eine bestrittene Forderung ist daher nicht meldefähig. Darüber hinaus sind Arbeitgeber nur in Ausnahmefällen dazu berechtigt, über ihre Arbeitnehmer eine SCHUFA-Auskunft einzuholen.

Die Drohung mit einer SCHUFA-Meldung war also irreführend, weil sie in Aussicht stellte, das Inkassounternehmen werde das Verhalten des Betroffenen der SCHUFA melden. Natürlich ist es nachvollziehbar, dass Inkassobüros auf säumige Schuldner einen gewissen Druck ausüben müssen, damit ausstehende berechtigte Forderungen der ursprünglichen Forderungsinhaber beglichen werden. Das darf jedoch nicht dazu führen, dass sich Vertragspartner eines Unternehmens durch irreführende Formulierungen gezwungen sehen, Zahlungen zu leisten, die sie rechtmäßig verweigert haben. Wir wandten uns deshalb sowohl an den Geschäftsführer des Inkassounternehmens, als auch an den betrieblichen Datenschutzbeauftragten seiner Auftraggeberin und erreichten die Streichung der kritisierten Klausel.

Was ist zu tun?
Die Drohung mit dem SCHUFA-Eintrag ist im Inkassowesen zu einer geläufigen Unsitte geworden. Sie ist jedenfalls dann rechtswidrig, wenn ein Unternehmen mit ihr droht, obwohl tatsächlich keine SCHUFA-Eintragung in Betracht kommt.

6.2.6

Mängel bei einer Handels- und Wirtschaftsauskunftei

Bei der Prüfung der schleswig-holsteinischen Auskunftsstelle einer bundesweit tätigen Handels- und Wirtschaftsauskunftei traten zum Teil erhebliche datenschutzrechtliche Mängel zu Tage.

Die Auskunftei führte neben dem automatisierten Datenbestand auch noch ein manuelles Archiv mit personen- bzw. firmenbezogenen Daten, welches seit 1994 nicht mehr gepflegt wurde. Dies hatte zur Folge, dass diese Daten überwiegend veraltet waren; zum Teil waren die Unterlagen 25 Jahre alt. Auf unsere Beanstandung rückte die Auskunftei von ihrer ursprünglichen Absicht ab, die Altdaten noch für weitere fünf Jahre aufzuheben. Die Vernichtung des Papierarchivs soll jetzt im Jahre 2002 erfolgen.

Nach den gesetzlichen Vorschriften sind die von den Amtsgerichten herausgegebenen Listen über vorzeitige Löschungen aus dem Schuldnerverzeichnis (so genannte Löschlisten) nach ihrer Auswertung in den Unternehmen unverzüglich zu vernichten. Geschieht dies nicht, so ergibt sich die paradoxe Situation, dass belastende Daten zwar gelöscht werden, aus der Löschliste aber nach wie vor die entsprechenden Informationen rekonstruiert werden können. Die geprüfte Auskunftei hatte die Löschlisten jeweils für drei Jahre aufgehoben und dies mit einer eventuell später einmal eintretenden Beweisnot begründet. Da dies eindeutig gegen die Vorschriften zum Schuldnerverzeichnis verstieß, haben wir die unverzügliche Vernichtung verlangt. Die bisher vorgehaltenen Listen wurden daraufhin in einer Sonderaktion vernichtet; künftig sollen sie sofort nach ihrer Auswertung (d. h. nach ihrer Eingabe in den EDV-Bestand) beseitigt werden. Die Auskunftei war allerdings nur zu einer sofortigen Vernichtung der Löschlisten in Schleswig-Holstein bereit. Wir haben daher die Datenschutzaufsichtsbehörden der übrigen Bundesländer angeschrieben und ein vergleichbares Tätigwerden gegen die dortigen Auskunftsstellen angeregt.

Das Datenschutzrecht verlangt, dass Auskunfteien nur dann personenbezogene Daten an ihre Vertragspartner übermitteln, wenn diese ein berechtigtes Interesse an dem Erhalt der Informationen glaubhaft darlegen. Die Auskunfteibranche verwendet dabei regelmäßig standardisierte Begriffe, die man auch als Anfragegründe bezeichnet. Angesichts der Häufigkeit von Anfragen ist das hinzunehmen, wenn die jeweiligen Begriffe ein berechtigtes Interesse hinreichend präzise beschreiben. Die von dieser Auskunftei verwendeten Anfragegründe ”Geschäftsanbahnung” und ”Bonitätsprüfung” sind nach unserer Ansicht aber zu allgemein und zu vage formuliert. ”Geschäftsanbahnung” sagt nichts über das berechtigte Interesse des Anfragenden aus. Der Begriff ”Bonitätsabfrage” trifft auf alle Anfragekategorien zu, ist also für sich allein genommen nicht aussagekräftig. Zumindest in diesen beiden Kategorien kann das berechtigte Interesse der Empfänger an den Daten nach unserer Auffassung nicht hinreichend glaubhaft dargelegt werden. Der Anfragegrund ”Geschäftsanbahnung” müsste daher im Anfrageschein präzisiert werden (z. B. ”Geschäftsanbahnung mit Kreditrisiko”). Denkbar wäre auch eine Klarstellung im Vertrag zwischen Auskunftei und Kunde. Die Kategorie ”Bonitätsprüfung” muss mangels Aussagekraft völlig gestrichen werden, da eigentlich jede Anfrage bei einer Auskunftei eine Überprüfung der Bonität des Vertragspartners zum Zweck hat. Die Auskunftei ist jedoch zu einer entsprechenden Änderung ihres Verfahrens insbesondere in Hinblick auf dessen Bundeseinheitlichkeit bislang nicht bereit.

Nach einer Vereinbarung zwischen den obersten Datenschutzaufsichtsbehörden und dem Verband der Handelsauskunfteien sollen die Auskunfteien das berechtigte Interesse der Anfragenden in einem bestimmten Promillesatz der erteilten Auskünfte stichprobenartig überprüfen. Die Überprüfung der Antwortschreiben der Kunden wurde nicht immer mit der notwendigen Sorgfalt durchgeführt (z. B. fehlende Belege zum Nachweis des berechtigten Interesses). Die fehlenden Überprüfungen des berechtigten Interesses wurden von der Auskunftei noch im Verlauf der Prüfung vervollständigt. Die Auskunftei sagte zu, künftig diesbezüglich mehr Sorgfalt walten zu lassen.

Handelsauskunfteien haben personenbezogene Daten am Ende des fünften Kalenderjahres (BDSG-neu: am Ende des vierten Kalenderjahres) nach ihrer erstmaligen Speicherung daraufhin zu prüfen, ob eine länger währende Speicherung erforderlich ist. Diese Prüfung fand bei der kontrollierten Auskunftei faktisch nicht statt. Bestimmte Daten (z. B. Handelsregisternummer, Name, Anschrift, Geburtsdatum) blieben grundsätzlich ”ewig” gespeichert. Es erfolgten in unregelmäßigen Abständen aus Kapazitätsgründen nur ”Löschläufe”, für solche Datensätze, bei denen die Betroffenen älter als 80 Jahre waren. Dadurch wurden Daten vorgehalten, die aufgrund ihrer Inaktualität ohnehin nicht ungeprüft beauskunftet werden durften. Wir forderten die Auskunftei auf, künftig dem gesetzlichen Überprüfungsgebot nachzukommen. Die Auskunftei ist dieser Aufforderung bislang unter Hinweis auf ihr ”bundeseinheitliches Verfahren” nicht nachgekommen. Sie ist der Meinung, ihrer gesetzlichen Pflicht dadurch Genüge zu tun, dass sie ältere Datensätze vor einer erneuten Beauskunftung stets nachrecherchiert.

Was ist zu tun?
Wir werden die strittigen Punkte in der Arbeitsgruppe ”Handelsauskunfteien” des ”Düsseldorfer Kreises” zur Diskussion stellen, um eine bundeseinheitliche Lösung herbeizuführen.

6.2.7

Schuldnerpranger im Internet

Die Veröffentlichung der Namen von Schuldnern im Internet zu dem Zweck, sie unter Druck zu setzen, ist rechtswidrig. Ein in Schleswig-Holstein betriebener ”Schuldnerpranger” musste daher seinen Betrieb einstellen.

Ein schleswig-holsteinischer Finanzdienstleister bot im Internet folgenden Service an: Wer Probleme beim Durchsetzen einer gerichtlich bestätigten Forderung hatte, sollte seiner Forderung mit der Drohung der Veröffentlichung im Internet Nachdruck verleihen können. Blieb diese Drohung ohne Resonanz, so sollten Name und Adresse mit einem Hinweis auf dessen Zahlungsunwilligkeit bzw. -fähigkeit weltweit elektronisch veröffentlicht werden.

Sicherlich sollte jeder seine Schulden bezahlen. Wer eine Forderung aber nicht begleichen kann oder nicht will, z. B. weil er meint, schon gezahlt zu haben oder weil er ihre Berechtigung bestreitet, der darf nicht weltweit an einen elektronischen Internet-Pranger gestellt werden. Die Zivilprozessordnung sieht hierfür andere als dieses modern-mittelalterliche Mittel vor. Datenschutzkonforme Bonitätsprüfungen und Verfahren zum Gläubigerschutz gibt es seit Jahren. Das Instrument des Internet-Schuldner-Prangers bietet ein gefährliches Mittel für Selbstjustiz und Rufmord. Der Betrieb des Dienstes wurde wieder vom Netz genommen, nachdem wir rechtliche Konsequenzen wegen des datenschutzwidrigen Angebots angedroht haben.

Wir haben dies durch eine Pressemitteilung bekannt gemacht:

www.datenschutzzentrum.de/material/themen/presse/pranger.htm

Dies hatte eine Vielzahl von Hinweisen auf weitere Internet-Dienste mit ähnlichem ”Service” zur Folge. Da diese Unternehmen ausnahmslos ihren Sitz außerhalb von Schleswig-Holstein hatten, haben wir die Adressen der Anbieter an die jeweils zuständigen Aufsichtsbehörden weitergegeben.

In einem vergleichbaren Fall hat das Oberlandesgericht Rostock unsere Rechtsauffassung bestätigt und zudem dargelegt, dass die Veröffentlichung von Schuldnerspiegeln im Internet zivilrechtlich selbst dann unzulässig ist, wenn davon ein Gewerbebetrieb betroffen ist. Die Verfassungsbeschwerde des verurteilten Betreibers wurde von dem Bundesverfassungsgericht inzwischen als unzulässig zurückgewiesen.

Was ist zu tun?
Wer derartige Schuldnerpranger im Internet findet, sollte die zuständige Datenschutzaufsichtsbehörde informieren.

6.3

Banken

Was gibt es zu erben?


Informationen über die Vermögensverhältnisse von Verstorbenen dürfen von Geldinstituten nur an Berechtigte herausgegeben werden, die sich mit Erbschein ausweisen.

Nach dem Erbschaftsteuerrecht müssen Kreditinstitute, Versicherungsunternehmen und berufsmäßige Vermögensverwalter nach dem Tod eines Konten- und Depotinhabers die in Verwahrung genommenen Vermögensgegenstände (also Kontenguthaben, fällig werdende Lebensversicherungen usw.) an das zuständige Finanzamt melden. An solchen Informationen haben bisweilen auch andere Interesse. Zwei Eingaben betrafen Banken und Sparkassen, die nach einem Todesfall nicht berechtigten Personen zum Teil umfassend Auskunft über die Vermögensverhältnisse des jeweiligen Erblassers gegeben hatten.

Das Bürgerliche Gesetzbuch (BGB) erlaubt eine entsprechende Übermittlung nur an eine Person, die ihre Berechtigung durch einen Erbschein ausweist. Im Übrigen ist eine Übermittlung von personenbezogenen Daten an private Dritte im Erbfall grundsätzlich zulässig, wenn dies durch eine andere Rechtsvorschrift erlaubt wird oder wenn eine Vollmacht des Erblassers vorliegt. Die Frage, wer als Erbe in das Vermögen des Erblassers eintritt, ist auch nicht durch ein handgeschriebenes Testament des Verstorbenen nachweisbar. Das ergibt sich bereits daraus, dass ein Testament grundsätzlich jederzeit durch ein späteres, anders lautendes Testament ersetzt werden kann.

Auch das Datenschutzrecht erlaubt nicht die Übermittlung der Vermögensdaten. Nach dem BDSG darf zwar eine Daten verarbeitende Stelle zur Wahrung berechtigter eigener Interessen personenbezogene Informationen übermitteln. Voraussetzung ist jedoch, dass keine Anhaltspunkte dafür bestehen, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt. Ein nicht durch Erbschein ausgewiesener Erbe hat jedoch kein berechtigtes Interesse an der Kenntnisnahme der Vermögensverhältnisse des Erblassers.

Die betroffenen Kreditinstitute haben den Fehler eingeräumt und entsprechende Hinweise an ihre Mitarbeiter weitergegeben.

Was ist zu tun?
Kreditinstitute müssen die Auskunft über die Vermögensverhältnisse eines Verstorbenen von der Vorlage eines Erbscheines abhängig machen.

6.4

Industrie, Handel, Handwerk und freie Berufe

6.4.1

Karten- und Datenflut nach Wegfall des Rabattgesetzes

Nach der Aufhebung des Rabattgesetzes schießen Rabattsparprojekte wie Pilze aus dem Boden. Besonders häufig anzutreffen sind Rabattsparkarten, die eine umfangreiche Sammlung und Auswertung von Kundendaten ermöglichen. Nur zu oft werden die betroffenen Kunden dabei über das Ausmaß der Datenverarbeitung im Unklaren gelassen.

Nach der Aufhebung des Rabattgesetzes sind Rabattsparkarten in Mode gekommen. Durch sie sollen die Konsumenten an ein Unternehmen gebunden werden. Datenschutzrechtlich hat diese Idee allerdings einen Haken. Während die Kunden Rabattpunkte sammeln, sammeln die Unternehmen nämlich fleißig Kundendaten mit. Viele Rabattkartenbetreiber erheben bereits im Rahmen des Antrages umfangreiche Informationen über den Antragsteller, beispielsweise über das monatliche Haushaltseinkommen sowie seine Kaufgewohnheiten im Internet. Verknüpft mit den Umsatzdaten lassen sich so hübsche Kundenprofile erstellen. Möglich ist auch, die Angaben zu analysieren, um die Kreditwürdigkeit der betroffenen Kunden zu bewerten. Dass das für die Betroffenen erhebliche Auswirkungen haben kann, liegt auf der Hand.

Nur so hat das Landgericht München im vergangenen Jahr die Allgemeinen Geschäftsbedingungen für die Payback-Karte als rechtswidrig bezeichnet, weil sie die Antragsteller nicht hinreichend informierten. Als Reaktion hierauf hat der Betreiber dieser Karte immerhin die Transparenz seines Verfahrens verbessert, ohne freilich den Umfang der ausgewerteten personenbezogenen Daten zu verringern. Aufgrund des beschriebenen Risikos und der Rechtsprechung haben wir mehrere Rabattsparkartensysteme eingehend untersucht. Dabei erreichten wir bei allen Betreibern eine erhebliche Verringerung des Umfanges der gespeicherten Daten.

Manchmal geben sich Kartenbetreiber allerdings ziemlich bürokratisch. Eine Kauffrau wollte bei einem Großhandelsunternehmen ihr Geburtsdatum nicht angeben. Unser Engagement führte zwar zu einer erheblichen Reduzierung des erhobenen Datensatzes, man wollte aber nach wie vor auf der Angabe des Geburtsdatums bestehen, weil man auf diese Weise die Volljährigkeit der Kauffrau ”feststellen” wollte. Es bedurfte einer gewissen Überzeugungskraft, bis das Unternehmen auf das Geburtsdatum generös verzichtete.

Was ist zu tun?
Verbraucher sollten die Allgemeinen Geschäftsbedingungen von Rabattsparkarten dahingehend genau unter die Lupe nehmen, ob die Datenverarbeitung wirklich verständlich dargestellt wird.

6.4.2

Datenschutz mit dem Verwöhnaroma

In Supermärkten und Kaufhäusern werden an den Kassen manchmal unnötiger Weise personenbezogene Daten erhoben. In einem Fall gab das Unternehmen einen Fehler unumwunden zu und entschuldigte sich bei der Betroffenen mit einem Präsent.

Bei der Kundin eines Supermarktes wurde an der Kasse ein Artikel im Wert von 3,98 DM versehentlich zweimal erfasst. Der Irrtum war schnell erkannt, die Rückzahlung des überzahlten Betrages war ebenfalls kein Problem. Im Gegenzug beharrte die Kassiererin jedoch darauf, dass Name, Anschrift und Telefonnummer der Kundin auf einem so genannten ”Retourbon” eingetragen wurden. Auf Rückfrage der Kundin erklärte die Kassiererin: ”Ich bekomme die Angelegenheit sonst nicht aus der Kasse heraus!” Die Kundin war mit dieser Aussage nicht zufrieden und wandte sich an uns.

Wir hielten die Erfassung der Kundendaten bei reinen Tipp- oder Erfassungsfehlern an der Kasse mangels Erforderlichkeit der Daten für unzulässig. Im Gegensatz zur Warenrückgabe oder Reklamation (hier könnte sich ja im Nachhinein heraus stellen, dass die zurückgegebene Ware beschädigt ist) ist bei reinen Preiserfassungsfehlern mit sofort anschließender Erstattung kein Fall denkbar, der die spätere Kenntnis der Kundendaten erfordern würde. Die Geschäftsleitung der Supermarktkette schloss sich unserer Auffassung an und begründete das Versehen mit Aufgeregtheit und mangelnder Erfahrung einer neuen Kassiererin. Tatsächlich existierte in dem Unternehmen eine interne schriftliche Vereinbarung, die eine Erfassung von Kundendaten nur bei Rückgabe bzw. Reklamation von Waren vorschreibt.

Die Firma reagierte galant. Sie leitete den versehentlich ausgefüllten Retourbon an die Kundin zurück und schenkte ihr gleichermaßen als Krönung der ganzen Angelegenheit ein Pfund Kaffee.

Was ist zu tun?
Der Einzelhandel sollte darauf achten, dass die Erhebung von Kundendaten an den Kassen nur in ganz wenigen Ausnahmefällen zulässig ist.

6.4.3

Neugierige Fitnessstudios

Die Informationstechnik hält auch Einzug in die Fitness- und Sportstudios. Manche Kunden fühlen sich allerdings angesichts der Speicherung ihrer Daten ziemlich unwohl.

Für ein Fitnessstudio eines Sportvereins hatte man computerlesbare Mitgliedsausweise eingeführt, um die Tatsache der Mitgliedschaft sowie die unterschiedlichen Zugangsberechtigungen der Mitglieder besser und schneller kontrollieren zu können. Eine aufmerksame Sportlerin wunderte sich aber darüber, dass ihr Ausweis nicht nur beim Betreten sondern auch beim Verlassen des Studios eingelesen wurde.

Auf unsere Anfrage begründete der Sportverein, die Erfassung der ”Kommt”- und ”Geht”-Zeiten mit der Erforderlichkeit dieser Daten zur Analyse individueller Trainingspläne, einem besonderen Service des Vereins. Die gespeicherten Besuchszeiten seien aber nur der Geschäftsstelle zugänglich. Schriftliche Regelungen für diese Datensammelei in der Vereinssatzung, in den Eintrittserklärungen oder in gesonderten Einwilligungserklärungen lagen nicht vor.

Wir wiesen den Verein auf die grundsätzliche Problematik der Speicherung von Bewegungsmustern (wer hat sich wann wo aufgehalten?) hin und vertraten die Auffassung, dass es für die Speicherung der individuellen Trainingszeiten der Vereinsmitglieder im vorliegenden Fall keine hinreichende Berechtigung gab. Da der Verein auf seinen Service der Analyse individueller Trainingspläne nicht verzichten wollte, wurde eine datenschutzgerechte Lösung gefunden: Künftig wird das Beitrittsformular des Vereins eine optisch hervorgehobene Einwilligungsklausel hinsichtlich der Speicherung der fraglichen Daten enthalten. Für die so genannten ”Alt-Mitglieder”, die noch das alte Beitrittsformular unterzeichnet haben, wird eine gesonderte schriftliche Einwilligung erstellt und im Studio ausgelegt. Wer nicht damit einverstanden ist, wird auch nicht erfasst.

Was ist zu tun?
Fitnessstudios sind bei der Sammlung von Mitgliederdaten an die Vereinssatzung bzw. an die Erforderlichkeit zur Durchführung des Vertragszweckes gebunden. Die Verarbeitung darüber hinaus gehender Daten der Studiobesucher ist grundsätzlich nur mit deren schriftlicher Einwilligung zulässig.

6.4.4

Vorsicht beim Faxversand

Auch Rechtsanwälte müssen die datenschutzrechtlichen Bestimmungen einhalten, selbst wenn dies im täglichen Massengeschäft nicht immer so einfach ist.

Ein Mitarbeiter der Stadtverwaltung Kiel staunte nicht schlecht, als er ein an seinen Arbeitgeber gerichtetes Fax seiner Rechtsanwältin, aus dem sich die Tatsache der Pfändung seines Gehalts ergab, im offenen Faxgerät seiner Fachabteilung vorfand. Dass derartige Informationen dem Personalamt der Stadtverwaltung mitzuteilen sind, hätte er ja noch eingesehen. Durch die Versendung des Faxes an seine eigene Abteilung befürchtete er jedoch zu Recht Spekulationen über seine finanziellen Verhältnisse innerhalb seines engsten Kollegenkreises und wandte sich an uns.

Die Rechtsanwältin erklärte, der Pfändungs- und Überweisungsbeschluss diene der Befriedigung ihrer eigenen Honorarforderung. Allerdings hätte die in ihrer Kanzlei beschäftigte Mitarbeiterin versehentlich eine falsche Fax-Nummer benutzt und außerdem den Zusatz ”Personalamt” im Anschriftenfeld des Faxes vergessen. Die Rechtsanwältin entschuldigte sich ausdrücklich und räumte ihren Fehler bzw. das Versehen ihrer Mitarbeiterin unumwunden ein. Eine Wiederholung wollte sie durch verstärkte Kontrolle und Schulung ihrer Mitarbeiterin erreichen.

Der Fall zeigt, dass die Versendung sensitiver Daten als Fax grundsätzlich problematisch ist, da in vielen Firmen und Behörden die Faxgeräte oft in mehr oder weniger offen zugänglichen Poststellen aufgestellt sind. Eine unbefugte Kenntnisnahme durch nicht zuständige Mitarbeiter kann bei einem Fax praktisch nie völlig ausgeschlossen werden. Daher ist bei sensitiven Daten im Zweifelsfalle der gute alte Brief immer noch die sicherere Versendeform.

Was ist zu tun?
Nicht nur für Rechtsanwälte gilt die Grundregel: Sensitive Daten gehören nicht auf das Faxgerät, sondern sind im verschlossenen Brief zu versenden!

6.4.5

Datenschutz im Kündigungsschutzprozess

Bei betriebsbedingten Kündigungen wird oft über die korrekte Auswahl der gekündigten Arbeitnehmer durch den Arbeitgeber gestritten. Wenn Arbeitgeber undifferenziert Listen sämtlicher Beschäftigten mit den kündigungsrelevanten Sozialdaten in den Prozess einführen, kann sich das nicht nur für die Betroffenen, sondern auch für den Betriebsfrieden negativ auswirken.

Zur Durchführung betriebsbedingter Kündigungen hat eine Firma eine alphabetische und eine nach Vergleichbarkeitskriterien sortierte Liste sämtlicher Arbeitnehmer sowie eine Liste aller gekündigten Beschäftigten erstellt. Alle drei Verzeichnisse beinhalteten zahlreiche sensitive Daten, unter anderem eine etwaige Schwerbehinderteneigenschaft und die Gehaltsstufen. Diese Listen wurden zunächst dem Betriebsrat zur Anhörung übergeben. Im Rahmen der Vorbereitung und der Durchführung des Prozesses übermittelte der Arbeitgeber die Listen an seinen Prozessvertreter, einen Arbeitgeberverband, um die ordnungsgemäße Anhörung des Betriebsrates und die ordnungsgemäße Sozialauswahl nachzuweisen. Der Verband gab die Listen seinerseits ungekürzt an das Arbeitsgericht und an die Prozessbevollmächtigten der gekündigten Kläger weiter, die sie ihren Mandanten zukommen ließen. Nur kurze Zeit später kursierten die Verzeichnisse im ganzen Unternehmen; mit erheblichen Auswirkungen:

  • Bislang nicht bekannte, weil nicht sichtbare körperliche Behinderungen wurden plötzlich öffentlich.

  • Aufgrund eines angeführten Punkteschemas, das die soziale Schutzwürdigkeit der jeweiligen Arbeitnehmer kennzeichnen sollte, wurden Arbeitnehmer damit konfrontiert, dass sie mit einer für sie ungünstigen Punktezahl ”die Nächsten” bei einer folgenden Kündigungswelle sein könnten.

  • Die Zugehörigkeit zu verschiedenen Lohn- und Gehaltsgruppen führte zu Gerechtigkeitsdiskussionen im Betrieb.

  • Es entstand eine erhebliche Mobbinggefahr. Der gesamte betriebliche Frieden wurde nachhaltig gestört.

Wir haben die Weitergabe der Listen an den Arbeitgeberverband und an die Prozessgegner als erheblichen Datenschutzverstoß gerügt. Zwar sind die Interessen der Parteien im Kündigungsschutzprozess zu berücksichtigen; insbesondere muss der gekündigte Arbeitnehmer die korrekte Auswahl nachvollziehen können. Die arbeitsgerichtliche Rechtsprechung verlangt aber nur, dass der Gekündigte die Informationen erhält, die er zur Beurteilung der Rechtmäßigkeit der Kündigung benötigt. Richtig verstanden führt Datenschutz nicht zu einer Schmälerung der Rechtsposition der Beteiligten, sondern zu der Gewährleistung des betrieblichen Friedens. Die Weitergabe an den Betriebsrat war hingegen datenschutzrechtlich nicht zu beanstanden. Aufgrund seiner betrieblichen Mitwirkungspflichten hat er ein berechtigtes Interesse an dem Erhalt der kompletten Listen. Der Schutz der Betroffenen ist dabei durch die besonderen Geheimhaltungspflichten des Betriebsrates hinreichend gesichert.

Unter Berücksichtigung der arbeitsgerichtlichen Rechtsprechung haben wir folgende Empfehlungen für das Verhalten in Kündigungsschutzprozessen gegeben:

  • Wenn der Arbeitgeber dem Betriebsrat eine vollständige Liste der Beschäftigten zur Verfügung stellt, genügt im Kündigungsschutzprozess zum Beweis der ordnungsgemäßen Anhörung des Betriebsrates regelmäßig eine schriftliche Empfangsbestätigung des Betriebsratsvorsitzenden, dass er die vollständige Liste erhalten hat. Hilfsweise kann sich der Arbeitgeber auch auf das Zeugnis des Betriebsratsvorsitzenden stützen. Die Vollständigkeit der Liste lässt sich dabei aus der Anzahl der aufgelisteten Beschäftigten entnehmen. Das besagte Verzeichnis darf den Bereich des Betriebsrates nicht verlassen; es ist nach erfolgter Anhörung entweder zu vernichten oder bei einer erforderlichen weiteren Aufbewahrung vom Betriebsrat unter Verschluss zu halten.

  • Im Rahmen des Prozesses muss der Arbeitgeber grundsätzlich keine vollständigen Beschäftigtenlisten an das Gericht übermitteln, es sei denn, dies wird vom Gericht ausdrücklich verlangt: Zum einen wird durch eine vollständige Liste nicht die erforderliche Sozialauswahl bewiesen, zum anderen ist sie für die Verteidigung der Rechtsposition des Gekündigten nicht erforderlich. Insbesondere ist nicht einsehbar, warum der Gekündigte über das Gericht die Sozialdaten anderer gekündigter Arbeitnehmer erfahren soll. Der Arbeitgeber darf nur diejenigen Sozialdaten derjenigen Arbeitnehmer preisgeben, die er für mit dem gekündigten Arbeitnehmer vergleichbar hält.

  • Macht der Prozessbevollmächtigte des Arbeitnehmers plausibel geltend, dass der Arbeitgeber nicht alle mit ihm vergleichbaren Arbeitnehmer aufgeführt hat, etwa weil er eine bestimmte Gruppe von Arbeitnehmern vergessen hat, kann der Arbeitgeber im Prozess seine Sozialauswahlnachbessern”, indem er die Sozialdaten der Arbeitnehmer der gerügten Kategorie nachreicht, sofern das Gericht dies verlangt.

  • Der Prozessbevollmächtigte des Klage führenden Arbeitnehmers sollte seinen Mandanten auf die Vertraulichkeit der übermittelten Daten hinweisen.

Sowohl der Arbeitgeber als auch der beteiligte Arbeitgeberverband haben im Rahmen der Gespräche zugesichert, diese Empfehlungen in künftigen Gerichtsverfahren zu beachten, soweit dies von den Arbeitsgerichten akzeptiert wird.

Was ist zu tun?
In Kündigungsschutzprozessen darf der Arbeitgeber nicht komplette Beschäftigtenlisten mit kündigungsrelevanten Sozialdaten an das Arbeitsgericht und damit mittelbar auch an den klagenden Arbeitnehmer übermitteln, es sei denn, das Gericht verlangt dies ausdrücklich aus Beweisgründen. Der Arbeitgeber darf nur die Sozialdaten der Arbeitnehmer preisgeben, die mit dem gekündigten Arbeitnehmer vergleichbar sind.

6.5

Neue Zuständigkeit für die Verfolgung von Ordnungswidrigkeiten

Durch die Änderung der Ordnungswidrigkeiten-Zuständigkeitsverordnung wurde die Aufgabe der Verfolgung von Ordnungswidrigkeiten nach dem BDSG dem Vorstand des ULD übertragen. Nach dem Wortlaut des Bußgeldkataloges im BDSG kann damit der Landesbeauftragte für den Datenschutz als Vorstand des ULD gegenüber privatwirtschaftlichen Stellen Bußgeldbescheide bis zu einer Höhe von 250.000 Euro erlassen. Die Verfolgung von Ordnungswidrigkeiten ist in das pflichtgemäße Ermessen der Verwaltungsbehörde gestellt. Die Verhängung von Bußgeldern wurde bislang nur in den Fällen in Betracht gezogen, in denen die verantwortlichen Stellen vorsätzlich Datenschutzverletzungen begangen haben. Werden nach unserer Intervention Maßnahmen ergriffen, die künftigen Verstößen wirksam entgegenwirken, dann ist die Verhängung von Bußgeldern kontraproduktiv bzw. rechtlich nicht geboten.






Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel