25. Tätigkeitsbericht (2003)

6

Datenschutz in der Wirtschaft

6.1

Werbung, die die Verbraucher nicht wollen

Den Verbrauchern ist keineswegs egal, was mit ihren Daten geschieht. Eine Umfrage belegt, dass die große Mehrheit den Adresshandel ohne Zustimmung der Kunden ablehnt.

Mehr als 80 % der Bürgerinnen und Bürger ärgern sich mehr oder weniger über unaufgefordert übersandte kommerzielle Werbezuschriften, die sie in ihren Briefkästen vorfinden. Das ergab eine Umfrage, die wir in der Fußgängerzone Kiels und auf dem Schleswig-Holstein-Tag in Bad Segeberg durchgeführt haben. Befragt wurden insgesamt 388 zufällig ausgewählte Personen. Eine überwältigende Mehrheit der Befragten forderte den Gesetzgeber auf, die Situation der Verbraucherinnen und Verbraucher zu verbessern. Im Einzelnen sehen die Ergebnisse wie folgt aus:

Auf die Frage: ”Haben Sie sich schon einmal über an Sie adressierte Werbesendungen in Ihrem Briefkasten geärgert?” wurde wie folgt geantwortet:

Ja.  270   = 69,6 % 
Ja, aber nicht sehr.  56  = 14,4 % 
Nein.  62  = 16,0 %  

Offensichtlich wissen viele Bürgerinnen und Bürger nicht, ob und wie man sich effektiv gegen unerwünschte Werbezusendungen zur Wehr setzen kann. Zwar gaben 46,9 % der Befragten an zu wissen, wie man Werbezuschriften unterbinden kann (39,9 % nein, 13,2 % unentschieden). Aus der im Anschluss gestellten Frage ergibt sich jedoch, dass die Unsicherheit groß ist. Auf die Frage nämlich, ob bekannt sei, dass man gegen unerwünschte Werbezuschriften ein gesetzlich garantiertes Widerspruchsrecht hat, wurde geantwortet mit:

Ja.  111  = 29,0 %  
Ja, aber ich weiß nicht, wie ich davon Gebrauch machen soll.   74  = 19,3 % 
Nein, aber ich hätte gerne mehr Informationen darüber.   148  = 38,6 % 
Nein, ist mir egal.  50  = 13,1 % 

Von allen Befragten, die angaben zu wissen, wie man sich gegen Werbezuschriften wehrt, wusste nur knapp die Hälfte (49 %), dass es ein gesetzlich garantiertes Widerspruchsrecht gibt, immerhin 57,1 % der anderen Hälfte hatten Interesse an weitergehenden Informationen.

Die große Mehrheit der Befragten wünscht eine Verbesserung der derzeitigen Gesetzeslage. Auf die Frage, ob der Gesetzgeber die Verwendung der Adressdaten zu Werbezwecken künftig so regeln solle, dass zuvor der Betroffene um Einwilligung zu bitten ist, ergaben sich folgende Antworten:

Ja, Gesetzesänderung ist erforderlich.   312  = 80,6 % 
Nein, kann so bleiben.  57   = 14,7 % 
Ist mir egal.  18  = 4,7 %  

Auffallend ist, dass sogar die Befragten, die zuvor angegeben hatten, sich nicht über unverlangt zugesandte Werbezuschriften zu ärgern, gleichwohl überwiegend die Schaffung einer Einwilligungslösung befürworteten.
siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

Wir ziehen aus den Ergebnissen dieser Umfrage den Schluss, dass die gegenwärtige Rechtslage, die die Verwendung von Adressdaten für Werbezwecke erlaubt, solange der Betroffene ihr nicht widersprochen hat, für die große Mehrzahl der Bürger unbefriedigend ist. Der Unmut über unverlangt zugesandte Werbesendungen ist weit verbreitet. Die Verbraucherinnen und Verbraucher sehen sich regelrecht hintergangen, wenn ihre Adressen hinter ihrem Rücken weitergegeben und zur Direktwerbung genutzt werden.

Informationen über die Reaktion des Deutschen Direktmarketingverbandes auf unsere Umfrage unter

www.datenschutzzentrum.de/material/themen/wirtscha/ddvumfra.htm

Was ist zu tun?
Wir werten die Umfrageergebnisse als einen Auftrag, die Bürgerinnen und Bürger noch intensiver als bisher über ihre Schutzmöglichkeiten zu informieren. Parallel dazu sollte der Bundestag endlich das Selbstbestimmungsrecht der Verbraucher im Zusammenhang mit der Direktwerbung stärken.

6.2

Handels- und Wirtschaftsauskunfteien/Inkassowesen

Wer einen Kredit aufnehmen möchte oder Waren auf Rechnungsbasis bestellt, ahnt nicht, dass seine Vertragspartner häufig in erheblichem Umfang Informationen über seine Kreditwürdigkeit einholen. Solche Bonitätsdaten werden von Handels- und Wirtschaftsauskunfteien systematisch gesammelt, ausgewertet und Kunden auf Anfrage zur Verfügung gestellt.

6.2.1

Ergebnisse von Kontrollen

Das erhebliche Risiko, das von Auskunfteien für die Bürgerinnen und Bürger ausgeht, war Anlass, dort flächendeckend die Einhaltung von wichtigen Datenschutzvorschriften zu überprüfen. Dabei offenbarten sich teilweise erhebliche Mängel

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

Nach dem Bundesdatenschutzgesetz (BDSG) müssen alle Handels- und Wirtschaftsauskunfteien die Verfahren, die sie zum Zweck der Übermittlung geschäftsmäßig verwenden, der Aufsichtsbehörde melden. Diese Meldepflicht dient sowohl dem betrieblichen Datenschutzbeauftragten als auch der Aufsichtsbehörde als Grundlage für Rechtmäßigkeitsprüfungen. Dementsprechend soll die Meldung einen Überblick über die Verarbeitungsvorgänge bei der meldenden verantwortlichen Stelle ermöglichen.

Die Kontrollen haben gezeigt, dass die überprüften Stellen überwiegend Unsicherheiten mit der Erstellung der Meldeunterlagen hatten. So meldeten einige Auskunfteien statt einer Beschreibung der betroffenen Personengruppen die Quellen, die sie zur Datenerhebung nutzten. Nahezu sämtliche Auskunfteien gaben statt der tatsächlichen Fristen für die Löschung die gesetzlichen Bestimmungen an, nach denen sie zur Löschung verpflichtet waren.

Bereits im 24. Tätigkeitsbericht (Tz. 6.2.6) berichteten wir über einen Einzelfall, in dem eine Auskunftei die von den Amtsgerichten herausgegebenen Listen über vorzeitige Löschungen aus dem Schuldnerverzeichnis (so genannte Löschlisten) nicht gesetzeskonform nach der Auswertung unverzüglich vernichtet hatte, sondern für die Dauer von drei Jahren speicherte. Die weiteren Kontrollen zeigten, dass nahezu alle anderen Auskunfteien, die die genannten Löschlisten in Papierform bezogen, auch gegen die gesetzlichen Bestimmungen verstießen. Angesichts des hohen Gefährdungspotenzials für das Persönlichkeitsrecht der Betroffenen hat der Gesetzgeber den Auskunfteien bei der Anordnung der unverzüglichen Löschung keinen Ermessensspielraum gelassen. Dass es auch richtig geht, bewies die Creditreform Kiel Isert KG, die als einzige überprüfte Wirtschaftsauskunftei in Papierform erhaltene Änderungsmitteilungen unverzüglich nach Auswertung der Daten vernichtete.

Die Überprüfung zeigte allerdings auch, dass sich das datenschutzrechtliche Problem der Löschlisten verlagert. Mittlerweile sind einige Amtsgerichte dazu übergegangen, die Löschungsmitteilungen auf Diskette zu übergeben, sodass die Beweisfunktion der schriftlichen Änderungsmitteilungen nicht mehr besteht. Damit fällt das Hauptargument der Auskunfteien für die fortdauernde Speicherung weg. Neben der oben genannten gab es weitere Auskunfteien, die aufgrund dieses Tatbestandes keine Änderungsmitteilungen mehr vorhielten. Es ist zu hoffen, dass sich deshalb das Problem der Behandlung von Löschlisten langfristig entschärfen wird.

Eine Vorratsspeicherung zu unbestimmten Zwecken ist datenschutzrechtlich grundsätzlich unzulässig. Für die Auskunfteien lässt das Datenschutzrecht ausnahmsweise eine Art geschäftsmäßige Vorratsspeicherung ”zum Zwecke der Übermittlung” zu. Eine Auskunftei darf personenbezogene Bonitätsdaten nur übermitteln, wenn der Datenempfänger zuvor ein berechtigtes Interesse an ihrer Kenntnisnahme glaubhaft dargelegt hat. Die Übermittlung von personenbezogenen Daten trotz fehlender oder unzureichender glaubhafter Darlegung eines berechtigten Interesses ist datenschutzrechtswidrig. Bereits im 24. Tätigkeitsbericht (Tz. 6.2.6) wurde bei einer Handels- und Wirtschaftsauskunftei die Verwendung von zu unbestimmten Anfragegründen und eine unzureichende Überprüfung des berechtigten Interesses durch die Auskunftei kritisiert. Genau diese Kritikpunkte fanden wir leider bei sämtlichen überprüften Auskunfteien vor.

Was ist zu tun?
Begriffe wie ”Bonitätsprüfung” und ”Geschäftsanbahnung” sind nichts sagend und müssen deshalb konkretisiert werden. Handels- und Wirtschaftsauskunfteien müssen auch weiterhin mit Wiederholungsprüfungen rechnen.

6.2.2

Benachrichtigung nach Aufhebung einer längerfristigen Datensperrung

Ist die Richtigkeit von gespeicherten Daten streitig, so sind sie zu sperren. Die Sperrung kann erst aufgehoben werden, wenn die Daten korrigiert sind. Über ihre Aufhebung sollte der Betroffene unterrichtet werden.

Ein Petent hatte einer Auskunftei gegenüber das Verbot ausgesprochen, seine personenbezogenen Daten an Dritte zu übermitteln. Nach seiner Auffassung waren die gespeicherten Daten unrichtig. Die Auskunftei hatte daraufhin ihm zugesichert, dass sein Datensatz mit sofortiger Wirkung gesperrt werden würde. Entgegen dieser Zusicherung erhielt eine Firma kurze Zeit später trotzdem eine Auskunft mit kreditrelevanten Daten über den Betroffenen. Wir haben erreicht, dass der Datensatz des Petenten tatsächlich gesperrt wurde. Die Auskunftei hat uns versichert, den Betroffenen rechtzeitig zu informieren, wenn sie diese Sperrung aufzuheben gedenkt.

Über den Einzelfall hinaus hat der Fall grundsätzliche Bedeutung. Wenn ein Betroffener die Richtigkeit der gespeicherten Daten substanziiert bestreitet, sind seine Daten zu sperren. Diese Sperrung stellt ein Verwertungsgebot dar, das so lange aufrechtzuerhalten ist, bis die Richtigkeit der gespeicherten personenbezogenen Daten geklärt ist. Hinzu kommt, dass der Betroffene bei einer längerfristigen Sperrung des gesamten Datensatzes nicht mehr mit einer Übermittlung durch die verantwortliche Stelle rechnen muss. Eine ”heimliche” Aufhebung der Sperrung dieser Daten verstößt gegen das Datenschutzrecht.

Deshalb haben wir von der Auskunftei verlangt, in den Fällen der längerfristigen Sperrung eines gesamten Datensatzes die jeweils Betroffenen künftig generell vor der geplanten Aufhebung der Sperrung zu benachrichtigen, um ihnen die Prüfung zu ermöglichen, ob die gespeicherten Daten richtig sind. Die Auskunftei hat eine Überprüfung dieses Vorschlages auf Verbandsebene zugesichert; eine Reaktion des Verbandes steht noch aus.

Was ist zu tun?
Macht ein Betroffener begründet geltend, dass seine bei einer Auskunftei gespeicherten Daten unrichtig sind, und wird sein Datensatz deshalb längerfristig gesperrt, haben die Auskunfteien den Betroffenen zeitlich vor der geplanten Aufhebung zu benachrichtigen.

6.3

Industrie, Handel, Handwerk

6.3.1

Abberufung eines betrieblichen Datenschutzbeauftragten

Der kaufmännische und Personalleiter eines Betriebes nahm zusätzlich auch die Funktion des Datenschutzbeauftragten wahr. Er konnte wegen der zu erwartenden Interessenkollisionen nicht als unabhängiger Kontrolleur im Amt bleiben.

Die Aufsichtsbehörde für den Datenschutz kann die Abberufung eines Beauftragten für den Datenschutz verlangen, wenn dieser die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. Die Funktion des betrieblichen Datenschutzbeauftragten besteht darin, auf die Einhaltung der datenschutzrechtlichen Bestimmungen durch die Geschäftsführung hinzuwirken. Eine effektive Kontrolle ist jedoch dann nicht gegeben, wenn der Kontrolleur sich selbst kontrollieren müsste. Das ist typischerweise bei Personen der Fall, die Aufgaben der Geschäftsführung wahrnehmen. Dementsprechend sieht das Bundesdatenschutzgesetz vor, dass der Beauftragte für den Datenschutz dem Leiter der nichtöffentlichen Stelle unmittelbar zu unterstellen ist. Dies bedeutet im Umkehrschluss, dass Personen, die innerhalb der Stelle eine Geschäftsleitungsfunktion wahrnehmen, nicht für die Bestellung eines betrieblichen Datenschutzbeauftragten in Betracht kommen. Darüber hinaus sind bei Personen mit Leitungsfunktionen erhebliche Interessenkollisionen zu befürchten.

Wie das Unternehmen selbst darlegte, beeinflusste der betreffende Datenschutzbeauftragte als kaufmännischer Leiter nahezu sämtliche Geschäftsvorgänge des Hauses. Damit mochte eine effektive datenschutzrechtliche Kontrolle der Arbeitnehmer stattfinden, es bestand jedoch zugleich die Gefahr, dass eine Kontrolle der Firmenleitung selbst nicht stattfand. Diese Kontrollaufgabe hat das BDSG für den betrieblichen Datenschutzbeauftragten aber vor allem vorgesehen. Das Unternehmen kam unserem Abberufungsverlangen zuvor und berief einen geeigneteren Datenschutzbeauftragten.

Was ist zu tun?
Geschäftsführer oder Personalleiter können nicht die Funktion des betrieblichen Datenschutzbeauftragten ausüben, weil aufgrund der Interessenkollisionen eine effektive Kontrolle im betrieblichen Datenschutzmanagement fraglich ist.

6.3.2

Offene Weitergabe von Lohnsteuerkarten durch Arbeitgeber

Auch innerhalb der Betriebe dürfen Personaldaten nicht unbefugten Personen zugänglich gemacht werden.

Verschiedene Eingaben betrafen den Umgang mit Lohn- und Gehaltsabrechnungen, insbesondere dann, wenn die Unternehmen die Lohnbuchhaltung durch Dritte abwickeln lassen. So waren z. B. die Lohnsteuerkarten in einigen Betrieben einer Büroangestellten ausgehändigt worden, die dann die Verteilung der Karten erledigte. Da sich die Lohnsteuerkarten nicht in geschlossenen Kuverts befanden, konnte sie die Steuerdaten der betroffenen Beschäftigten ohne weiteres zur Kenntnis nehmen.

Es versteht sich von selbst, dass die Höhe des Gehalts andere Kolleginnen und Kollegen nichts angeht. Auf unsere Beanstandungen hin versicherten die betroffenen Unternehmen, die Lohnsteuerkarten künftig in verschlossenen Umschlägen an die Betroffenen weiterzuleiten.

Was ist zu tun?
Ausgefüllte Lohnsteuerkarten gehören in einen geschlossenen Umschlag, bevor sie an Dritte ausgehändigt werden!

6.3.3

Zirkulation von Personaldaten im Weltkonzern

Die einzelnen Teile eines Konzernes gelten datenschutzrechtlich als selbstständige Unternehmen, auch dann, wenn sie technisch ein einheitliches Personalinformationssystem betreiben.

Ein ausgeschiedener Mitarbeiter eines Unternehmens war erbost, als er in Erfahrung brachte, was sein ehemaliger Arbeitgeber über ihn in seiner Personaldatei gespeichert hatte. Wegen schwacher Arbeitsleistung sei er nicht zur Wiedereinstellung geeignet. Das Arbeitszeugnis des Betroffenen besagte hingegen, dass seine Leistungen gut bis zufrieden stellend einzuschätzen seien. Besonders problematisch war die Speicherung, weil die verantwortliche Stelle das Tochterunternehmen eines weltweit operierenden Konzerns ist. Die Informationen wurden im Rahmen des Personalinformationssystems auch an die Konzernmuttergesellschaft in den USA und an andere Stellen in Drittstaaten übermittelt. Für eine solche Übermittlung gab es keine Rechtsgrundlage. Auch gesetzliche Ausnahmegründe, welche die Übermittlung von personenbezogenen Informationen über den Betroffenen rechtfertigen könnten, waren nicht gegeben.

Wir haben die Praxis des Unternehmens beanstandet und es aufgefordert, dafür Sorge zu tragen, dass die unzulässig übermittelten personenbezogenen Daten des Betroffenen bei sämtlichen ausländischen Stellen des Konzerns zeitnah gelöscht werden. Dies wurde uns zugesichert. Der Vorfall spiegelt die Schwierigkeiten mancher Konzernunternehmen wider, die rechtlichen Rahmenbedingungen für die Übermittlung von personenbezogenen Daten einzuhalten. Dabei mag es nachvollziehbar sein, dass andere Konzernunternehmen einen bequemeren Datenzugriff wünschen. Datenschutzrechtlich ist dies jedoch nicht zulässig. Entscheidet ein Konzern, sich in rechtlich eigenständige Stellen zu untergliedern, muss er auch die rechtlichen Folgen tragen. Datenübermittlungen zwischen den Konzernteilen sind nicht anders zu beurteilen als zwischen selbstständigen Unternehmen.

Was ist zu tun?
Konzernunternehmen haben bei der Übermittlung von personenbezogenen Daten an andere Unternehmen ihres Konzerns die gleichen Rechtmäßigkeitsbedingungen zu beachten wie bei der Datenübermittlung an dritte Stellen.

6.3.4

Was nicht in Personalfragebögen stehen darf

Die in einem Personalfragebogen zulässigen Fragen sind bereits seit geraumer Zeit durch die Rechtsprechung festgelegt worden. Auf vielen Fragebögen finden sich allerdings nach wie vor unzulässige Fragen.

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

Mehrere Eingaben und ein Zufallsfund im Internet führten dazu, dass wir uns eingehender mit der Frage befassten, welche personenbezogenen Daten im Rahmen eines so genannten Personalfragebogens erhoben werden dürfen. Hierzu gibt es eine Fülle von arbeitsgerichtlicher Rechtsprechung, die von Unternehmen leider nicht immer beachtet wird. Hier einige Beispiele:

  • Die Frage nach dem Gesundheitszustand des Bewerbers ist nicht generell unzulässig. Gerade in einem Fall der Bewerbung als Koch war diese Frage nicht zu kritisieren. Dabei sind insbesondere in einer Großküche die erforderliche Hygiene und die Gefahr der Infizierung der übrigen Belegschaft zu berücksichtigen.

  • Fragen nach dem Verlauf des vorherigen bzw. nach dem Bestehen eines gegenwärtigen Arbeitsverhältnisses werden von der Rechtsprechung als zulässig erachtet. Konkrete Fragen nach den Modalitäten der Kündigung des letzten Arbeitsverhältnisses sowie nach dem Grund des Stellenwechsels sind hingegen nicht zulässig.

  • Die Frage nach einer bestehenden Schwangerschaft muss von einer Bewerberin nur in seltenen Ausnahmefällen beantwortet werden, z. B. wenn eine befristete Tätigkeit erhebliche gesundheitliche Auswirkungen auf die Schwangere haben würde.

  • Die Zulässigkeit der Frage nach der finanziellen Situation des Bewerbers (z. B. Gehalt in der letzten Stellung, Darlehensverpflichtungen oder Gehaltspfändungen) ist abhängig von der Art des Arbeitsplatzes, um den es bei der Bewerbung geht. Nur wenn die finanzielle Zuverlässigkeit für die konkrete Tätigkeit eine Rolle spielt (z. B. als Kassierer oder Geldbote), ist die Frage zu akzeptieren.

In den meisten Problemfällen haben wir nach dem bestehenden BDSG leider keine direkten Einwirkungsmöglichkeiten, wenn die in den Personalfragebögen erfassten Informationen nicht in der EDV oder in einer nichtautomatisierten Datei gespeichert werden.

Was ist zu tun?
Die Arbeitgeber müssen diese Grundsätze bei Personaleinstellungen beachten.

6.3.5

Kontrolle der Internet-Nutzung durch den Arbeitgeber

Wenn ein Arbeitgeber seinen Beschäftigten die Nutzung des Internets nur zu dienstlichen Zwecken erlaubt, darf er grundsätzlich die Korrektheit der Internet-Nutzung stichprobenartig überprüfen. Ist die Internet-Kontrolle durch eine Betriebsvereinbarung geregelt, ist der Arbeitgeber an deren Vorgaben gebunden. Bei allen Kontrollen der Internet-Nutzung ist der Datenschutzbeauftragte zu beteiligen.

Mehrere Mitarbeiter eines Unternehmens wandten sich an uns, weil der Arbeitgeber die Internet-Nutzung regelmäßig kontrolliert hatte, obwohl eine Betriebsvereinbarung hierfür eine Kontrolle nur bei konkreten Verdachtsfällen gestattete. Dabei wurde die Firewall des Unternehmens auf angewählte Internet-Seiten mit pornografischen Inhalten und auf Internet-Auktionsseiten überprüft. Die betroffenen Nutzer wurden über die Identifizierung der IP-Adressen der Arbeitsplatzrechner ermittelt.

Unsere Ermittlungen ergaben, dass die Unternehmensleitung aufgrund von Hinweisen des Betriebsrates tätig geworden war. Bei diesem hatten sich einige Mitarbeiter beschwert, dass sich Kollegen während der Pausen pornografische Internet-Seiten ansehen würden. Geschäftsführung und Betriebsrat hoben mithilfe von so genannten ”Anlassvereinbarungen” den Schutz der Betriebsvereinbarung rückwirkend auf und schlossen dabei auch die Mitwirkung des Datenschutzbeauftragten aus.

Soweit dabei Nutzer ermittelt wurden, die pornografische Seiten besucht hatten, war dies von der Betriebsvereinbarung gedeckt, weil konkrete Hinweise für Missbräuche vorlagen. Im Übrigen haben wir die Vorgehensweise des Unternehmens als rechtswidrig beanstandet:

  • Die Kontrollbefugnisse des Datenschutzbeauftragten sind gesetzlich festgelegt und unterliegen nicht der Disposition des Unternehmens und des Betriebsrates. Die so genannten ”Anlassvereinbarungen” widersprachen diesen gesetzlichen Befugnissen des Datenschutzbeauftragten.

  • Soweit die Kontrollen den Besuch von Internet-Auktionsseiten betrafen, hatte der Arbeitgeber keinen konkreten Anlass zur Kontrolle. Die Tatsache der Nutzung von Internet-Auktionsseiten wurde erst durch das systematische Auswerten der Firewall ermittelt; vor dieser Kontrolle lag kein Verdacht gegen Mitarbeiter vor. Derartige rasterfahndungsähnliche Ermittlungsmethoden sollte die Betriebsvereinbarung ausschließen. Die rückwirkende Aufhebung der Betriebsvereinbarung bedeutete einen Verstoß gegen Grundsätze des Vertrauensschutzes.

Obwohl das betreffende Unternehmen unsere Rechtsauffassung nicht in allen Punkten teilte, hat es zugesichert, bei Kontrollen der betrieblichen Internet-Nutzung künftig seinen Datenschutzbeauftragten angemessen und rechtzeitig einzubinden. Darüber hinaus strebt es eine Änderung der Betriebsvereinbarung an, um die Durchführung von Kontrollen klar und unmissverständlich zu regeln.

6.3.6

Datenübermittlungen zwischen Autohändlern und Automobilherstellern

Zur Abwicklung von Garantie- und Kulanzanträgen kann es zulässig sein, dass ein Autohaus Kundendaten an den Hersteller übermittelt.

Dem Kunden eines Autohauses war zu Ohren gekommen, dass sowohl die Deutschland-Zentrale in Nordrhein-Westfalen als auch die Konzernmutter in Frankreich ungehinderten Zugriff auf alle seine im Autohaus gespeicherten Daten hatten. Dazu zählten nicht nur Name, Geburtsdatum und Adresse, sondern auch sämtliche Fahrzeugdaten vom Kennzeichen über Fahrgestellnummer bis hin zum Tag der ersten Zulassung und Kilometerstand sowie durchgeführte Reparaturen. Auf unsere Nachfrage stellte sich heraus, dass der umfassende Zugriff des Herstellers lediglich der papierlosen Abwicklung von Garantie- und Kulanzanträgen diente, über die bekanntermaßen nicht der Händler vor Ort, sondern der Fahrzeughersteller entscheidet.

Im Endeffekt war die Übermittlung der Kundendaten datenschutzrechtlich nicht zu beanstanden, da sie noch im Rahmen der Zweckbestimmung des zwischen dem Autohaus und dem Kunden bestehenden Vertragsverhältnisses lag. Die Abwicklung von Garantie- und Kulanzanträgen steht in enger Beziehung mit dem Reparatur- oder Servicevertrag und liegt überdies auch im Interesse des Kunden. Allerdings haben wir dem Autohaus empfohlen, in den Allgemeinen Geschäftsbedingungen (AGB) oder in den Reparaturaufträgen auf diese Datenübermittlungen im Zusammenhang mit etwaigen Garantie- oder Kulanzleistungen hinzuweisen. Hierdurch könnte die Transparenz des eingesetzten EDV-Verfahrens für die Kunden erheblich verbessert werden. Der Hersteller kündigte an, die Allgemeinen Geschäftsbedingungen zu ändern. Es bestehe außerdem die Absicht, dem einzelnen Kunden durch eine Modifizierung der Software die Möglichkeit zu geben, seine Daten individuell sperren zu lassen.

In einem weiteren Fall übermittelte ein Autohändler über einen Autohersteller Kundendaten an ein Callcenter, das dann bei den betroffenen Kunden eine ”Zufriedenheitsbefragung” durchführte. Dieser aufgedrängte ”Service” erzeugte bei einigen Kunden erheblichen Ärger. Wir konnten den Autohändler davon überzeugen, dass die Formulierung einer klaren Einwilligungserklärung zur Förderung der Akzeptanz führen würde.

Was ist zu tun?
Autohändler und Automobilhersteller sollten durch entsprechende Hinweise in den vertraglichen Unterlagen für mehr Transparenz ihrer Datenflüsse sorgen. Dies dient letztendlich auch der Kundenzufriedenheit.

6.4

Kreditinstitute

6.4.1

Auch Banken haben ein Müllproblem

Vertrauliche Bankunterlagen über Kunden müssen so entsorgt werden, dass Unbefugte sie nicht zur Kenntnis nehmen können.

Auf ein Müllproblem der besonderen Art machte uns die Polizei aufmerksam. Sie fand auf einer Mülldeponie Ausdrucke von Rücklastschriftmitteilungen einer Bank. Unsere Ermittlungen ergaben, dass die Bank eine große Aktenvernichtungsaktion unternommen hatte. Dabei wurden Altakten in Säcke eingefüllt, die von einem externen Aktenvernichter entsorgt wurden. Ein Mitarbeiter der Bank gab allerdings mindestens eine Akte ins normale Altpapier, anstatt sie ordnungsgemäß von dem beauftragten Unternehmen abholen zu lassen.

Pikanterweise hatte wenige Tage zuvor eine Mitarbeiterschulung stattgefunden, die unter anderem Datenschutzbelange betraf. Ganz offenbar hatte die Schulung noch nicht die notwendige Sensibilisierung für das Thema Persönlichkeitsrechtsschutz erbracht. Wir haben die Vorgehensweise der Bank als Verstoß gegen die gesetzlichen Vertraulichkeitspflichten beanstandet und angeregt, den Vorfall in der Hauszeitschrift der Bank als abschreckendes Beispiel zu veröffentlichen.

Was ist zu tun?
Datenschutzschulungen müssen Mitarbeiter auch tatsächlich sensibilisieren und zur Anwendung von Datenschutzprinzipien im Alltag befähigen.

6.4.2

Um welche Bank geht es eigentlich?

Das Datenschutzrecht verlangt eine korrekte Bezeichnung der Daten verarbeitenden Stelle.

Einige Petenten wandten sich an uns, weil ein Konzernunternehmen gegenüber seinen Kunden unter sage und schreibe acht verschiedenen Firmennamen auftrat. Das Datenschutzrecht besagt jedoch, dass eine verantwortliche Stelle die Betroffenen einer Datenverarbeitung auch über ihre Identität zu unterrichten hat.

Das Problem erwies sich aufgrund einer bevorstehenden Fusion als kurzlebig. Um einerseits den Interessen der Betroffenen, andererseits die bevorstehende Fusion zu berücksichtigen, forderten wir von der verantwortlichen Stelle, dass sie für die Zeit der rechtlichen Selbstständigkeit in die vertraglichen Unterlagen eine konkrete Belehrung aufnahm und die Mitarbeiter die Identität ihrer Firma bis zur erfolgten Fusion ordnungsgemäß angeben sollen.

Was ist zu tun?
Auch Unternehmen, die Leistungen eines Konzernverbundes anbieten, müssen berücksichtigen, dass Kunden nach dem Datenschutzrecht einen Anspruch darauf haben zu erfahren, mit wem sie es zu tun haben.

6.5

Vereine

6.5.1

Sponsoring und Datensammeln im Vereinswesen

Vereine dürfen die Daten ihrer Mitglieder an Sponsoren nur in eingeschränktem Umfang übermitteln. Pauschale ”Überlassungsverträge” sind unzulässig.

Weit verbreitet sind Partnerschaften zwischen Sportvereinen und großen Wirtschaftsunternehmen. Die Partner erhoffen sich eine win-win-Situation: Die Vereine werden durch Sach- und Geldmittel in ihrer Tätigkeit unterstützt, der Sponsor erhält Gelegenheit zur Eigendarstellung und Werbung. Datenschutzrechtlich problematisch kann eine solche Partnerschaft allerdings werden, wenn der Sponsor personenbezogene Mitgliederdaten als Gegenleistung für seine Unterstützung verlangt.

Wir haben mehrere Eingaben erhalten, in denen ein Sponsorenvertrag die Übermittlung aller Mitgliederdaten an den Sponsor vorsah. Eine solche Datenübermittlung ist nur zulässig, wenn sie berechtigten Interessen des Sponsors dient und keine schutzwürdigen Interessen der Betroffenen beeinträchtigt werden. Durch eine pauschale Verpflichtung des Vereins zur Übermittlung werden bestehende schutzwürdige Interessen der Mitglieder missachtet, wenn diesen nicht zuvor Gelegenheit zum Widerspruch eingeräumt worden ist.

Auch der inhaltliche Umfang der weitergegebenen personenbezogenen Daten ging in den Beschwerdefällen über das rechtlich Erlaubte hinaus. Besonders ”beliebt” war das Verlangen nach den genauen Geburtsdaten. Verständlich wäre vielleicht noch die Mitteilung der Altersgruppe, etwa um zu beurteilen, ob die Betroffenen einer Zielgruppe des Unternehmens entsprechen. Das genaue Geburtsdatum hingegen ist jedoch ein wichtiges Identifizierungsmerkmal und oft Grundlage für umfassendere Datenprofile. Eine Weitergabe des Geburtsdatums an Sponsoren ist nur erlaubt, wenn die Betroffenen in sie einwilligen. In allen Fällen konnten wir datenschutzgerechte Lösungen erzielen, sei es über Einwilligungen oder über eine Beschränkung der übermittelten Datenkategorien.

Was ist zu tun?
Vereine sollten personenbezogene Mitgliederdaten schon aus Transparenzgründen nur dann an mögliche Sponsoren weitergeben, wenn die Betroffenen mit einer solchen Übermittlung einverstanden sind. Mögliche Sponsoren sollten berücksichtigen, dass regelmäßig nur dann eine Produktinformation auf Akzeptanz stößt.

6.5.2

Wettkampfergebnisse am schwarzen Brett

Die Mitteilung von Wettkampfergebnissen an Vereinsfremde ist ohne Zustimmung der Betroffenen nicht ohne weiteres zulässig. Die Vereine sollten in ihren Satzungen die Verarbeitung von Mitgliederdaten präzise und für die Mitglieder nachvollziehbar regeln.

Bei einem Sportverein war es üblich, personenbezogene Ergebnisse auch von internen Wettkämpfen am schwarzen Brett im Vereinsheim auszuhängen. Vielleicht hätte man damit noch leben können, aber die Räumlichkeiten wurden ab und zu zur Aufbesserung der Vereinskasse für öffentliche Veranstaltungen (z. B. Geburtstage oder Ehejubiläen) vermietet. So konnten Dritte, die nicht Vereinsmitglieder waren, von den Wettkampfergebnissen Kenntnis erhalten. Nachdem uns Beschwerden erreichten, veranlassten wir die Entfernung der Aushänge vom schwarzen Brett. Bei dieser Gelegenheit wurde zusammen mit dem Vereinsvorstand eine Datenschutzklausel formuliert, die in die Satzung des Vereins aufgenommen werden soll. Diese Klausel ist in anonymisierter Form auch auf der Homepage des ULD veröffentlicht:

www.datenschutzzentrum.de/wirtschaft/praxis.htm

In der vom Sportverein ebenfalls neu formulierten Beitrittserklärung wird künftig explizit auf diese Klausel verwiesen.

Was ist zu tun?
Vereine sollten dazu übergehen, die Verarbeitung ihrer Mitgliederdaten eindeutig zu regeln und die Mitglieder entsprechend zu informieren.

6.6

Geschäftsidee mit unerwarteten Akzeptanzproblemen

Im Rahmen von Preisausschreiben, Verlosungen u. Ä. muss bei der Datenerhebung eine ausreichende Aufklärung der Teilnehmer erfolgen.

Gleich mehrere Eingaben betrafen die Geschäftsidee eines Diskothekenbetreibers. Er hatte die Rückseite seiner Eintrittskarten als Verlosungsschein gestaltet. Um an der Tombola teilnehmen zu können, sollten die Teilnehmer Angaben zu Name, Beruf, Wohnadresse, Telefon, Mail und Geburtstag machen. Einige nahmen das Angebot jedoch nicht an, weil sie einen Datenmissbrauch vermuteten. Das lag insofern nahe, als der Diskothekenbetreiber seine Kundinnen und Kunden weder über den Zweck der erhobenen Daten aufklärte noch eine Adresse für Rückfragen angab.

Wir haben dies als Verstoß gegen das BDSG gewertet. Die Reaktion des Betreibers erfolgte prompt: Er sagte nicht nur zu, entsprechende Eintrittskarten nicht mehr zu verwenden und künftige Verlosungen nur unter Beachtung der entsprechenden Unterrichtungspflichten durchzuführen, sondern teilte uns mit, dass er andere Kollegen seiner Branche über den Sachverhalt und seine rechtliche Bewertung informiert habe.

Was ist zu tun?
Bei Preisausschreiben, Verlosungen und Gewinnspielen sollten die Bürgerinnen und Bürger fair über die Verwendung ihrer personenbezogenen Daten informiert werden.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel