27. Tätigkeitsbericht (2005)
5 | Datenschutz in der Wirtschaft
5.1 | Querschnittsprüfungen in der Kreditwirtschaft – erste Ergebnisse
Die Zahl der Beschwerden über Kreditinstitute ist in den letzten Jahren spürbar gestiegen. Daher haben wir hier im Berichtszeitraum mit Querschnittsprüfungen begonnen.
Die Ergebnisse einer Sparkassenprüfung dürften exemplarisch sein: Wir mussten die Bestellung und Tätigkeit des betrieblichen Datenschutzbeauftragten beanstanden: Unvereinbarkeit mit der gleichzeitigen Funktion als Geldwäschebeauftragter, mangelhafte Schulung neuer Mitarbeiter, fehlende Überprüfung der Filialen, keine periodischen Tätigkeitsberichte, zu geringer Arbeitszeitanteil für die Funktion als Datenschutzbeauftragter. Das Bundesdatenschutzgesetz verlangt vom Unternehmen, personenbezogene EDV-Verfahren in einem Register zu dokumentieren. Dieses Verfahrensregister war unvollständig z. B. bezüglich konkreter Anwendungen oder der Benennung von Löschfristen. Bei einem Verfahren zur Auswertung von Kundendaten erfolgte keine Protokollierung der Änderungszugriffe. Bei einem Verfahren "Finanzdienstleistungsfiliale" konnten Kundendaten aus unterschiedlichen Vertragsverhältnissen zusammengeführt und ausgewertet werden; es bestand zudem die Gefahr des Missbrauchs von Freitextfeldern.
Zur Einschätzung des Kreditrisikos wurden bei einem so genannten automatisierten Scoring Angaben zum Familienstand der Kunden ausgewertet. Für uns war der Bezug der Angaben "verheiratet", "verwitwet", "ledig", "geschieden", "getrennt lebend" oder "eheähnliche Lebensgemeinschaft" zur Vertragserfüllung nicht ersichtlich, weshalb wir eine Beanstandung aussprachen. Die fehlende Unterrichtung der Kunden über die Zweckbestimmung der Datenerhebung beim Scoring war ein weiterer Kritikpunkt. Da die Verfahren beim Scoring einrichtungsübergreifend festgelegt werden, löste unsere Prüfung eine grundsätzliche Diskussion aus, bei der zwischen uns und den Vertretern der Kreditinstitute noch viele Fragen strittig sind.
So genannte Löschlisten, mit denen die Löschung von Daten aus dem Schuldnerverzeichnis der Amtsgerichte mitgeteilt werden, müssten nach ihrer Auswertung unverzüglich vernichtet werden. Die bisherige Praxis der langfristigen Aufbewahrung der Löschlisten wurde auf unseren Hinweis hin sofort eingestellt. Auch die bisherige Praxis der Einholung von SCHUFA-Abfragen, selbst bei reinen Guthabenkonten, wurde nach unserer Kritik aufgegeben.
Teilweise trafen wir auch vorbildliche Praktiken an: Eine Analyse zur Kundenzufriedenheit mithilfe eines im Schalterraum aufgestellten Monitors wurde völlig anonym durchgeführt. Werbeschreiben an Kunden wurden nur versandt, wenn deren Einwilligung vorlag. Bezüglich der technisch-organisatorischen Datensicherheitsmaßnahmen, der Personalaktenführung und der eingesetzten Videoüberwachung hatten wir keinen Anlass zur Beanstandung.
Was ist zu tun?
Die Prüfungserfahrungen des ULD werden über Gespräche mit übergeordneten Einrichtungen auch auf andere Kreditinstitute übertragen. Weitere Kreditinstitute werden zu überprüfen sein.
5.2 | Kommt der gläserne Mieter?
Mieterwarndateien spielen auf dem Wohnungsmarkt eine immer größere Rolle. Damit wird die Gefahr begründet, dass offene Zahlungsforderungen aus völlig anderen Lebensbereichen dazu führen, dass Menschen nicht mehr oder nur noch schwer einen Mietvertrag bekommen.
Wir kritisierten schon die Geschäftsfelderweiterung der SCHUFA auf den Bereich der Wohnungswirtschaft, die es Vermietern ermöglicht, durch SCHUFA-Anfragen die allgemeine Kreditwürdigkeit potenzieller Mieterinnen und Mieter zu durchleuchten (26. TB, Tz. 5.7). Mit Blick auf die existenzielle Bedeutung von Wohnraum für alle Menschen ist es nicht hinnehmbar, wenn die Weitergabe von Informationen, z. B. über eine nicht gezahlte Handyrechnung, am Ende den Erhalt angemessenen Wohnraums behindert oder gar ausschließt. Leider hat sich die Position der Betroffenen zwischenzeitlich weiter verschlechtert: Neue Anbieter von Mieterwarndateien drängen auf den Markt. Zudem beschaffen sich Vermieter zunehmend Informationen allgemeiner Auskunfteien, z. B. von Creditreform oder Infoscore. Mittlerweile liegen uns viele Einzelfallbeispiele vor. So wurde einer allein erziehenden Mutter in Neumüster unter Verweis auf ihre allgemein schlechte wirtschaftliche Lage der Abschluss eines Mietvertrages verweigert. Da die Anfragen bei Auskunfteien oft von größeren Wohnungsgesellschaften mit einem dichten Bestand von Wohnungen in ganzen Stadtteilen vorgenommen werden, kann es für die Betroffenen schwierig werden, dort überhaupt noch Fuß zu fassen.
Im Berichtszeitraum erreichten uns zwei Anfragen zur Errichtung von speziell für Vermieterinteressen geplante meldepflichtige Warndateien. Die vorgestellten Geschäftsmodelle stießen bei uns auf erhebliche datenschutzrechtliche Bedenken. Vermieteranfragen bei der Warndatei sollten durch die Einwilligung der Betroffenen legitimiert werden. Angesichts der oft bei der Wohnungssuche bestehenden Zwangslage dürfte regelmäßig die für die Einwilligung erforderliche Freiwilligkeit fehlen. Pläne der Betreiber, sehr weit gehende und oft ungesicherte Informationen über Mieterinnen und Mieter aus ganz unterschiedlichen Lebensbereichen vorzuhalten, können von uns nicht akzeptiert werden. Allenfalls die im Rahmen von Gerichtsverfahren gesicherten Informationen, z. B. Titel aus Räumungsklagen, mit einem Bezug auf das konkrete Verhalten von Betroffenen im Mieterverhältnis können die Speicherung zum Zweck der Weitergabe an andere Vermieter rechtfertigen. Ob die geplanten Datenbanken tatsächlich in Betrieb gehen werden, war zum Zeitpunkt der Berichterstellung noch offen.
Was ist zu tun?
Wohnungswirtschaft und Auskunfteien müssen damit rechnen, zukünftig verschärft auf die Einhaltung der genannten gesetzlichen Vorgaben geprüft zu werden. Das berechtigte Interesse von Vermietern an Kreditwürdigkeitsabfragen über potenzielle Mieter begegnet erheblichen rechtlichen Bedenken.
5.3 | Bonitätsabfrage bei kostenlosen Testangeboten
Die Neugierde von Unternehmen über mögliche Kunden treibt manche hässliche Blüten. Wenn keine vertraglichen Bindungen eingegangen werden und kein kreditorisches Risiko besteht, darf sich ein Unternehmen bei einer Auskunftei auch keine Daten beschaffen.
Der Anbieter eines Informationsangebotes für Webseiten musste seine Praxis der Vertragsanbahnung korrigieren. Er warb mit einem für drei Monate kostenfreien Testangebot mit speziell dafür geschaffenen Internetseiten für das jeweilige Gewerbe. Ein Freiberufler meldete sich auf das verlockende Angebot und ließ sich für einen Platz im Internetangebot des Unternehmens registrieren. Er staunte nicht schlecht, als er kurze Zeit später eine unbegründete Absage erhielt. Noch überraschter war er über die Auskunft erst auf seine Nachfrage hin, eine Bonitätsabfrage bei einer bundesweit aktiven Auskunftei habe ergeben, dass ihm die notwendige Kreditwürdigkeit fehle.
Eine Bonitätsauskunft wegen der Reservierung für ein zunächst kostenfrei bleibendes Angebot ist unzulässig. Voraussetzung für die Einholung von solchen Auskünften ist ein "berechtigtes Interesse". Hieran fehlt es, wenn dem anfragenden Unternehmen zunächst in keiner Weise ein kreditorisches Risiko entsteht. Das Unternehmen hat zwischenzeitlich seine Anfragepraxis den gesetzlichen Bestimmungen angepasst.
Was ist zu tun?
Durch ein effektives Datenschutzmanagement haben die Auskunfteien sowie die anfragenden Unternehmen sicherzustellen, dass Anfragen ohne berechtigtes Interesse nicht gestellt bzw. nicht beantwortet werden. Liegen über entsprechende Schutzvorkehrungen keine ausreichenden Nachweise vor, so können aufsichtsbehördliche Maßnahmen nötig werden.
5.4 | Die äußerst fremdnützige Bonitätsabfrage
Eine steigende Anzahl von Privatunternehmen spezialisiert sich auf das scheinbar lukrative Geschäft des Handels mit Informationen über ihre Mitbürger. Viele private Unternehmen führen wegen ihres kreditorischen Risikos routinemäßig bei der Vertragsanbahnung Abfragen bei Auskunfteien durch. Da passiert es auch schon einmal, dass einzelne Mitarbeiter die eröffneten Abfragemöglichkeiten für ganz private Zwecke missbrauchen.
Als im Verlauf eines Rechtsstreits von der Gegenseite plötzlich eine Auskunft der Firma Bürgel vor Gericht präsentiert wurde, wandte sich ein Bürger Hilfe suchend an uns. Die Anfrage zu den Vermögensverhältnissen des Betroffenen war durch ein Unternehmen erfolgt, zu welchem zu keinem Zeitpunkt geschäftliche Beziehungen bestanden. Die Buchhalterin des Unternehmens hatte die Abfrage eigenmächtig durchgeführt, um ihre Cousine mit negativen Informationen für einen Prozess gegen den Betroffenen zu "munitionieren".
Die Abfrage der Kreditwürdigkeit des Betroffenen als auch die unbefugte Weitergabe für das anhängige Gerichtsverfahren waren erhebliche Verstöße gegen den Datenschutz. Wir mussten gegen die Verantwortliche ein der Schwere des Eingriffs angemessenes Bußgeld verhängen.
Was ist zu tun?
Verantwortliche Stellen, bei denen regelmäßig Auskunfteiabfragen durchgeführt werden, müssen ihre Mitarbeiter auf die Folgen unberechtigter Auskunfteiabfragen zu privaten Zwecken hinweisen. Missetäter haben mit empfindlichen Geldbußen zu rechnen.
5.5 | Erhebung von Ausweisdaten bei der EC-Kartenzahlung
Viele Geschäfte und Kaufhäuser bieten die EC-Kartenzahlung als Zahlungsmöglichkeit an. Dabei müssen die Kundinnen und Kunden aufpassen, dass sie die Nutzung der kundenfreundlichen Zahlungsmöglichkeit nicht mit der Offenlegung ihrer Privatsphäre bezahlen.
Einzelhandelsunternehmen verlangen nicht selten die Vorlage eines Personalausweises oder Reisepasses, wenn Bürger Produkte unter Einsatz einer EC-Karte bezahlen wollen. Teilweise werden die personenbezogenen Daten des Kunden notiert, eine Kopie des Ausweises angefertigt und dem EC-Zahlungsbeleg für die Bank beigefügt. Mit diesem Verfahren wollen sich die Unternehmen gegen Betrug schützen und die Durchsetzung ihrer Forderung verbessern.
Stichprobenkontrollen der Ausweise sind problemlos möglich. Hierbei wird ausschließlich die Namensgleichheit des Bezahlenden mit dem Karteninhaber festgestellt. Die Speicherung personenbezogener Daten kommt jedoch nur bei einer EC-Kartenzahlung mit Unterschrift in Betracht. Bei Nutzung des PIN-Verfahrens wird die Freigabe des konkreten Zahlungsbetrages online bei dem kartenausgebenden Kreditinstitut eingeholt. Die Deckung des Betrages wird in Echtzeit bestätigt. Eine Identifizierung zur Forderungsrealisierung ist hier daher nicht erforderlich.
Bei der EC-Kartenzahlung mit Unterschrift kann eine kurzzeitige Speicherung von Name und Anschrift erfolgen, wenn durch gut erkennbare Hinweisschilder an der Kasse auf den Zweck der Erhebung hingewiesen wird. Wegen der besonderen Umstände – dem Zeitdruck an der Kasse – kann auf die Schriftlichkeit der Einwilligung verzichtet werden. Eine über die Erfassung von Name und Anschrift hinausgehende Anfertigung einer Ausweiskopie ist als eine nicht erforderliche Datenerhebung in der Regel unzulässig.
Die Freiwilligkeit der Einwilligung setzt voraus, dass an den Kassen zusätzlich eine andere angemessene Zahlungsmöglichkeit eingeräumt wird. Beim Verkauf vorwiegend hochpreisiger Waren sollte außer der Barzahlung noch eine weitere Zahlungsmöglichkeit bestehen. Kunden ist es kaum zuzumuten, große Barbeträge mit sich zu führen, um die eigenen personenbezogenen Daten nicht preisgeben zu müssen.
Den Namen und die Anschrift des Kunden darf das Unternehmen nur bis zum Zeitpunkt der Zahlung durch das Kreditinstitut vorhalten. Daher sollten Unternehmen aus praktischen Gründen davon Abstand nehmen, Name und Anschrift auf den EC-Kartenbelegen zu notieren. Soweit sie längerfristigen Aufbewahrungsfristen – z. B. den handels- und steuerrechtlichen Aufbewahrungsfristen von sechs oder sogar zehn Jahren – unterliegen, wäre eine aufwändige Schwärzung von Name und Anschrift nach Abwicklung der Zahlung durchzuführen. Die Adressdaten dürfen von den Kreditinstituten während der Speicherdauer ausschließlich dazu verwendet werden, im Falle einer Nichtzahlung ihren jeweiligen Zahlungsanspruch durchzusetzen. Insbesondere eine Zusammenführung und Auswertung zu anderen Zwecken, z. B. Marktforschung oder Werbung, ist unzulässig.
Was ist zu tun?
Kunden sollten vor einer EC-Kartenzahlung mit Unterschrift prüfen, ob ihr Name und ihre Anschrift aufgenommen werden, und sich unter Umständen für eine datensparsamere Zahlungsart entscheiden. Kunden, die ihre personenbezogenen Daten bereits angegeben haben, können sich nach Abbuchung der EC-Zahlung von ihrem Konto bei dem Unternehmen die Löschung ihrer Daten bestätigen lassen.
5.6 | Personalausweis als Zwangspfand in der Disko
Im Berichtszeitraum häuften sich Beschwerden über die Eingangskontrolle von Diskotheken.
Eine Diskothek verlangte von ihren minderjährigen Besuchern die Hinterlegung des Personalausweises an der Eingangstür als Pfand. Der Ausweis wurde erst wieder herausgegeben, wenn die Jugendlichen die Diskothek verließen. Auf ihre Nachfrage, was dies soll, erhielt eine Besucherin zur Antwort: "Hier machen wir die Gesetze!" Uns teilte die Diskothek mit, die Ausweiskontrollen dienten der Altersfeststellung der Diskothekenbesucher nach dem Jugendschutzgesetz. Die Minderjährigen hätten grundsätzlich mehrere Möglichkeiten der Pfandhinterlegung. Allerdings fehlte es an einem deutlichen Hinweis auf die Alternativen.
Das Personalausweisgesetz erlaubt die Verwendung des Personalausweises im Bereich der Privatwirtschaft als Ausweis- und Legitimationspapier sowie zur Altersfeststellung für Zwecke des Jugendschutzes. Da der Personalausweis im Besitz des Betroffenen steht, ist er grundsätzlich auch als Pfand geeignet. Die Hinterlegung des Ausweises muss aber freiwillig sein und darf den Jugendlichen nicht aufgezwungen werden. Pfandalternativen sind Handy, Schlüsselbund, Uhr oder Ähnliches. Wir haben der Diskothek im Interesse verbesserter Transparenz vorgeschlagen, an geeigneter Stelle im Eingangsbereich auf die Tatsache der Ausweiskontrolle und Notwendigkeit der Pfandhinterlegung mit einem Schild hinzuweisen, und gleich einen Formulierungsvorschlag mitgeliefert. Die Diskothek setzte unseren Vorschlag umgehend um.
Was ist zu tun?
Gastronomiebetriebe sollten den Personalausweis nicht als Zwangspfand benutzen. Die Besucher müssen die Möglichkeit zur Wahl zwischen mehreren Pfandgegenständen haben. Auf die Alternativen sind sie hinzuweisen.
5.7 | Von wem kommt die Werbung denn nun?
Unternehmen müssen die Betroffenen bei der Ansprache zu Werbezwecken über die Identität der verantwortlichen Stelle – also des Absenders der Werbepost – unterrichten. Doch oftmals trügt der Schein.
Ein Bürger glaubte unaufgefordert eine Werbesendung eines staatlichen Lotterieeinnehmers erhalten zu haben. Jedenfalls ließen sowohl die äußere Aufmachung als auch der Inhalt der Sendung – Gewinnzertifikate und Lose einer Klassenlotterie – darauf schließen. Da sich in der Werbesendung aber auch Hinweise auf ein Telekommunikationsunternehmen befanden, bei dem der Bürger einen Handyvertrag hatte, vermutete er eine Weitergabe seiner Adresse durch den Telekommunikationsanbieter an den Lotterieeinnehmer. Tatsächlich hatte aber der Telekommunikationsanbieter die Werbeschreiben für die Klassenlotterie in deren Auftrag unter Verwendung seiner eigenen Kundendaten im eigenen Hause versandt. Eine Übermittlung von Adressdaten an Dritte hatte also gar nicht stattgefunden. Wir haben den Telekommunikationsanbieter aufgefordert, künftig seine Identität als Versender bei Werbeaktionen deutlich zum Ausdruck zu bringen. Das Unternehmen hat dies zugesagt.
Was ist zu tun?
Alle Versender von Werbepost sind verpflichtet, ihre Identität gegenüber dem Empfänger offen zu legen.
5.8 | Das staatliche Liegenschaftskataster ist kein Pool für Werbezwecke
Staatliche Liegenschaftskataster dienen vorrangig öffentlichen Zwecken. Die Nutzung der Daten durch private Energieversorgungsunternehmen ist eng begrenzt, für Werbezwecke ist sie unzulässig.
Mehrere Grundstückseigentümer wunderten sich über Werbepost eines schleswig-holsteinischen Energieversorgers, obwohl sie keine Kunden dieses Unternehmens waren. Sie wollten wissen, wer die Quelle ihrer Daten war. Das Energieversorgungsunternehmen, kürzlich durch Fusion eines hamburgischen mit einem schleswig-holsteinischen Unternehmen entstanden, hatte auf der Grundlage eines älteren Vertrages Daten von Grundstückseigentümern aus dem automatisierten Liegenschaftskataster der Stadt Hamburg erhalten. Nach der Fusion nutzte das Unternehmen die Adressdaten, um Neukunden zu gewinnen, was viele Betroffene verwunderte und ärgerte.
Der Umstand, dass die Adressen aufgrund eines Vertrages bei einer hamburgischen Behörde beschafft worden sind, ändert nichts daran, dass die Werbenutzung unzulässig war. Die entsprechende Verordnung der Hansestadt erlaubt die Datenweitergabe an Energieversorger nur zur Wahrnehmung ihrer Versorgungsaufgaben, z. B. zur Kontaktaufnahme mit Grundstückseigentümern zwecks Verlegung von Leitungen. Auch das schleswig-holsteinische Vermessungs- und Katastergesetz erlaubt die Weitergabe von Personendaten an Ver- und Entsorgungsunternehmen nur zur rechtmäßigen Aufgabenerfüllung.
Das Unternehmen zeigte sich zunächst nur bereit, die Daten der einzelnen Beschwerdeführer zu löschen. Unserer Forderung nach Sperrung sämtlicher bereits vorhandener Datensätze aus dem Liegenschaftskataster, soweit die Angeschriebenen inzwischen nicht zu Kunden geworden sind, wollte es nicht nachkommen. Dies sei aus übergeordneten Gründen gerechtfertigt: betriebswirtschaftliche Überlegungen, die Verdichtung des Kundennetzes, Verpflichtungen nach dem Energiewirtschaftsgesetz, die höhere Umweltverträglichkeit von Gas gegenüber Öl und schließlich die hohe Erfolgsquote der bisherigen Marketingaktionen. Es war für uns nicht einfach, das Unternehmen davon zu überzeugen, dass erfolgreiches Marketing nicht zwangsläufig auch zulässig ist. Schließlich versah das Unternehmen aber die Adressen aus dem Liegenschaftskataster mit einer Werbesperre.
Was ist zu tun?
Energieversorgungsunternehmen dürfen Adressen aus staatlichen Liegenschaftskatastern nur für ihre eigentlichen Versorgungsaufgaben nutzen, aber nicht für Werbezwecke.
5.9 | Flugdatenaffäre – Hoffnungen liegen nun beim EuGH
Das Jahr 2004 brachte im Streit um die Übermittlung von Fluggastdaten an die USA zwar eine Rechtsgrundlage in Form eines internationalen Abkommens, die endgültige Klärung über die Rechtmäßigkeit der Datenübermittlung auf der Grundlage dieses Abkommens ist nunmehr jedoch Sache des Europäischen Gerichtshofs.
Nach langwierigen und zähen Verhandlungen zwischen der EU-Kommission und dem US-Heimatschutzministerium kam 2003 (26. TB, Tz. 11.1) ein Abkommen über die Weitergabe der Passagierflugdaten zustande. Das zwischen den Mitgliedstaaten der Europäischen Union und den Vereinigten Staaten beschlossene Abkommen nimmt für sich in Anspruch, bei der Regelung der Übermittlung der so genannten PNR-Daten (Passenger Name Record) die in der Öffentlichkeit vehement eingeforderten Datenschutzmaßnahmen zu berücksichtigen (zur Liste der geforderten Datenschutzvorkehrungen siehe 26. TB, Tz. 11.1).
Die EU-Datenschutzkonformität dieses Abkommens wurde bereits vor der Unterzeichnung massiv angezweifelt. Das Europäische Parlament hatte die ungenügende Beteiligung und den fehlenden Einfluss auf die Verhandlungen mit den USA gerügt. Nach dem Abschluss des Abkommens sahen sich die Parlamentarier veranlasst, im April 2004 mehrheitlich die Anrufung des Europäischen Gerichtshofs (EuGH) zu beschließen. Die Kritik des Europäischen Parlaments beeindruckte die EU-Kommission sowie die EU-Außenminister offensichtlich nicht, sodass das Abkommen Ende Mai 2004 in Kraft trat. Die Außenminister schlossen sich der Ansicht der EU-Kommission an, die Angemessenheit des ausgehandelten Datenschutzniveaus sei gegeben.
Diese so genannte Angemessenheitsentscheidung der Kommission war Anlass für eine Stellungnahme der Artikel-29-Datenschutzgruppe der EU, in der zu Recht festgestellt wird, dass die zwingend geforderten Datenschutzmaßnahmen im Abkommen nur teilweise realisiert worden sind. Die Gruppe veröffentlichte Informationstexte, in welchen die Fluggäste über die Auswirkungen des Abkommens sowie ihre Rechte als Betroffene unterrichtet werden. Den Flugpassagieren soll bereits bei der Buchung ihres Flugtickets eine meinungsfördernde Kurzversion zur Verfügung stehen. Detaillierte Informationen sollten über die Internetpräsenz der Fluggesellschaft nachlesbar sein.
Im August 2004 sprach sich das Europäische Parlament abermals gegen die praktizierte Flugdatenweitergabe aus und forderte die Annullierung des bestehenden Abkommens über ein Schnellverfahren vor dem EuGH. Angegriffen wurde die Entscheidung des Rates zum Abschluss des Abkommens sowie die Entscheidung der Kommission zur Angemessenheit des verabredeten Datenschutzniveaus auf US-amerikanischer Seite. Der EuGH verweigerte jedoch eine Entscheidung im Schnellverfahren im September 2004. Nun ist mit einer Entscheidung im Hauptverfahren frühestens im Jahr 2005 zu rechnen. Weitere Informationen zur Flugdatenaffäre finden Sie im entsprechenden Dossier des Virtuellen Datenschutzbüros unter
www.datenschutz.de/feature/flugdaten/
Was ist zu tun?
Aufgrund einer von Parlamentariern und Datenschützern heftig kritisierten internationalen Regelung werden Passagierdaten zur Terrorismusbekämpfung in die USA weitergegeben. Dem können sich die Betroffenen nur durch Verzicht von Reisen in die USA entziehen. Es ist zu hoffen, dass es bei Prüfung dieses Abkommens nicht zu einem Absenken des europäischen Datenschutzniveaus kommt.
5.10 | Videoüberwachung – quo vadis?
Videoüberwachung durch Private greift im täglichen Leben immer mehr um sich. Der Preisverfall bei der Videotechnik treibt gefährliche, manchmal auch kuriose Blüten: Fast jeder kann es sich finanziell leisten, doch darf jeder nicht alles.
Videoüberwachung in Umkleidekabinen
Ein Freibad wollte die Schränke in den Umkleidekabinen per Video überwachen. Anlass waren diverse Diebstähle. Nun ist es nicht ausgeschlossen, dass Badegäste unbekleidet an ihren Spind treten und dass sie dann Videoaufnahmen als einen massiven Eingriff in ihre Intimsphäre empfinden. Wir haben den Betreiber aufgefordert, die Beobachtung auf den Außenbereich zu beschränken. Diebstahlschutz lässt sich auch ohne Videoüberwachung realisieren. Die Eingriffe in die Intimsphäre werden dadurch nicht geringer, dass mit Schildern auf die Videoüberwachung hingewiesen wird.
Videoüberwachung von öffentlichen Straßen und Gehwegen
Ein Bürger beschränkte das Blickfeld seiner Kameras nicht auf sein Grundstück, sondern erfasste auch Straße und Gehweg. Damit wollte er unzulässig Parkende sowie Menschen, die Abfälle auf sein Grundstück werfen, überführen: "Die Polizei tut ja nichts, also muss ich selbst etwas machen." Der Bürger war erst nach eindringlicher rechtlicher Aufklärung zähneknirschend bereit, den Erfassungsbereich der Kameras auf sein Grundstück zu beschränken. Auch eine Dienstaufsichtsbeschwerde und eine Eingabe beim Petitionsausschuss des Schleswig-Holsteinischen Landtages waren nicht geeignet, an der eindeutigen Rechtslage etwas zu ändern.
Videoüberwachung von Hauseingängen
Eine Wohnungsbaugesellschaft wollte ihren Mietern einen besonderen Service anbieten: Sie installierte an der Haupteingangstür eine Videokamera, deren Bilder per Kabel an die Fernseher aller Mieter übertragen wurden. Wer wollte, konnte über einen bestimmten Kanal mit seinem Fernsehgerät beobachten, wer wann das Haus betritt oder verlässt. Erst nach einem Ortstermin war die Wohnungsbaugesellschaft bereit, die Technik so zu verändern, dass nur noch derjenige Mieter, bei dem geklingelt wird, das Bild vom Hauseingang beobachten kann.
Diese Beispiele sind nur die Spitze eines immer größer werdenden Eisberges. Patentlösungen haben auch wir nicht. Offensichtlich ist das erst im Jahr 2001 erlassene Gesetz zur Videoüberwachung nicht in der Lage, dieses Problem wirksam einzugrenzen. Per Kamera überwacht zu werden ist den Menschen alles andere als egal. Dies konnten wir anlässlich einer von uns durchgeführten Meinungsumfrage feststellen.
www.datenschutzzentrum.de/material/themen/video/umfrage_2004.htm
Was ist zu tun?
Die ausufernde Videoüberwachung im Privatbereich kann wohl nur durch strengere gesetzliche Anforderungen, z. B. die Einführung einer Meldepflicht bei öffentlicher Videoüberwachung, eingedämmt werden.
5.11 | Datenschutz bei Steuerberatern, Rechtsanwälten und anderen freien Berufen
Steuerberater, Wirtschaftsprüfer und Rechtsanwälte unterliegen eigenen berufsrechtlichen Regelungen, die auch den Schutz personenbezogener Daten bewirken. Daneben findet das Bundesdatenschutzgesetz Anwendung.
Im Jahr 2004 liefen Umsetzungsfristen des im Jahr 2001 novellierten Bundesdatenschutzgesetzes aus. Dies nahmen Schulungsanbieter und Datenschutzdienstleister zum Anlass, bei Steuerberatern und Rechtsanwälten mit Hinweisen auf drohende Bußgelder bei Nichtumsetzung der datenschutzrechtlichen Vorgaben für ihre Dienste zu werben. Um der Verunsicherung vieler Freiberufler entgegenzuwirken, haben wir die betroffenen Berufsgruppen über die materiellen Vorgaben des Datenschutzrechts informiert und in Einzelfragen beraten.
Berufliche Geheimhaltungspflichten stellen eine spezielle, zusätzliche Ebene des Schutzes personenbezogener Daten dar. Das Bundesdatenschutzgesetz (BDSG) räumt solchen Vorschriften entweder Vorrang oder gleichrangige Geltung ein. Bestehen für bestimmte Bereiche keine berufsrechtlichen Vorgaben, so gelten die allgemeinen Regelungen des BDSG und gegebenenfalls des bereichsspezifischen Datenschutzrechts.
Da berufsrechtliche Regelungen der genannten Berufsgruppen keine internen Kontrollinstanzen für den Datenschutz vorsehen, sind insbesondere auch die Vorschriften über die Einführung eines betrieblichen Datenschutzmanagements auf die Steuerberater und Wirtschaftsprüfer anwendbar, soweit mehr als vier Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Um einen kostengünstigen, unbürokratischen Umgang mit den gesetzlichen Anforderungen zu ermöglichen, hat das ULD Informationen zur Umsetzung der rechtlichen Vorgaben bereitgestellt, die auf seiner Website und in den Kammernachrichten der schleswig-holsteinischen Steuerberaterkammer veröffentlicht sind.
www.datenschutzzentrum.de/wirtschaft/dsm_steuerberater.htm
Der Datenschutzausschuss der Bundesrechtsanwaltskammer ist der Ansicht, für die Verarbeitung von Mandantendaten durch Rechtsanwälte finde das BDSG keine Anwendung. Diese Ansicht trifft nicht zu, wie auch der Arbeitskreis Informationstechnologie des Deutschen Anwaltsvereins festgestellt hat. Soweit nicht die konkrete Prozesstätigkeit betroffen ist, sind die Aufsichtsbehörden nach dem BDSG für die Datenschutzkontrolle zuständig (26. TB, Tz. 5.9). Dass datenschutzrechtliche Kontrollen notwendig sind, zeigen die Fälle der letzten Jahre (24. TB, Tz. 6.4.4; 26. TB, Tz. 5.9).
www.datenschutzzentrum.de/wirtschaft/stellungnahme_brak.htm
Was ist zu tun?
Steuerberater, Wirtschaftsprüfer und Rechtsanwälte sollten bedenken, dass die Vertrauensbeziehung zu ihren Mandanten von besonderer Bedeutung für ihren Geschäftserfolg sein kann und die Beachtung des informationellen Selbstbestimmungsrechts daher in ihrem eigenen Interesse liegt. Das Datenschutzrecht gibt Hilfestellung für einen systematischen Schutz personenbezogener Daten. Sie sollten sich daher mit den gesetzlichen Vorgaben vertraut machen und diese für sich umsetzen.
5.12 | Ohne Unabhängigkeit keine Selbstkontrolle
Moderner Datenschutz beruht in starkem Maße auf eigenverantwortlicher Kontrolle durch betriebliche Datenschutzbeauftragte. Diese Kontrolle kann nur gelingen, wenn die dazu bestellten Personen ihre Aufgabe – wie vom Gesetz gefordert – unabhängig erfüllen können.
Der Betriebsrat eines mittelgroßen Unternehmens informierte uns über den Leiter der EDV-Abteilung, der zugleich die Funktion des betrieblichen Datenschutzbeauftragten wahrgenommen hatte. In Abstimmung mit der Firmenleitung machte dieser sich für die Einführung einer Fernwartungssoftware stark. Der Betriebsrat wehrte sich hiergegen, weil die Software eine Überwachung der Beschäftigten ermöglichte. Zudem wurde dem EDV-Leiter vorgeworfen, am Betriebsrat vorbei die überwachungsgeneigte Software auf einer Reihe von Rechnern installiert und angewendet zu haben.
Ein Leiter einer EDV-Abteilung darf grundsätzlich nicht zugleich die Aufgabe des betrieblichen Datenschutzbeauftragten übernehmen. Da können die vorhandenen Spezialkenntnisse für die Bewältigung dieser Aufgabe noch so gut sein. Grund ist die Interessenkollision, die fast zwangsläufig entsteht, wenn eine Person zwei sich widersprechende Funktionen ausüben muss. Die EDV-Leitung vollzieht zumeist die unter Produktivitätsgesichtspunkten getroffenen Entscheidungen der Geschäftsleitung und hat vorrangig das Funktionieren der automatisierten Datenverarbeitung im Blick. Der betriebliche Datenschutzbeauftragte nimmt demgegenüber eine unabhängige Kontrollfunktion innerhalb des Unternehmens wahr und ist der Wahrung der Persönlichkeitsrechte der Mitarbeiter und Kunden verpflichtet. Wie der konkrete Fall zeigt, können beide Aufgaben nicht wirksam von einer Person wahrgenommen werden. Unsere Intervention führte zur Abberufung des EDV-Leiters als Datenschutzbeauftragter und zur Bestellung eines anderen Mitarbeiters.
Was ist zu tun?
Die Verquickung unterschiedlicher Interessen in der Person des Datenschutzbeauftragten fördert den Unfrieden und gefährdet den Datenschutz im Unternehmen. Die Aufsichtsbehörde kann die Abberufung von nicht hinreichend unabhängigen Datenschutzbeauftragten anordnen. Unternehmen sollten es erst gar nicht so weit kommen lassen.
5.13 | Wer sich verweigert, der muss büßen
Datenverarbeiter müssen der Datenschutzaufsichtsbehörde auf Verlangen unverzüglich die für die Erfüllung ihrer Aufgaben erforderlichen Auskünfte erteilen. Spammer tun sich mit dieser gesetzlichen Verpflichtung schwer.
Die Versendung unerwünschter E-Mail-Werbung (Spamming) greift immer weiter um sich. Nicht nur Beschwerden von Betroffenen zeigen, wie lästig diese Art von Werbung ist. Auch das ULD wird wie jede andere öffentliche oder private Stelle damit zugeschüttet. Die Versender dieser Massen-E-Mails sind oft Einmannfirmen, deren datenschutzrechtliches Grundwissen und Bewusstsein gegen null tendiert. Sie sehen keine Veranlassung, auf Auskunftsanforderungen der Aufsichtsbehörde zu reagieren. Widersprüche der Betroffenen gegen die Datennutzung werden ignoriert, Nutzer werden weiterhin mit Werbemails bombardiert.
Ein Spamversender aus Schleswig-Holstein ignorierte mehrfach den Widerspruch eines Betroffenen. Unsere Auskunftsersuchen als Aufsichtsbehörde blieben unbeantwortet, Werbemails wurden weiter verschickt. Daher sahen wir uns gezwungen, ein Bußgeld in Höhe von 1000 Euro zu verhängen. Die prompte Reaktion des Spammers: Er sei Spätaussiedler, psychisch krank, lebe von der Sozialhilfe und stehe unter Betreuung. Seine finanzielle Situation erlaube ihm eine Bezahlung des Bußgeldes nicht. Der Betreuer, Mitarbeiter einer anerkannten, landesweit tätigen Wohlfahrtsorganisation, bestätigte die Angaben glaubhaft. Wir mussten die Vollstreckung der Bußgeldforderung aussetzen. Dies ist aber kein Freibrief für diesen Spamversender. Im Wiederholungsfall können weitergehende Maßnahmen nötig werden.
Was ist zu tun?
Die gesetzlichen Möglichkeiten zur Verhinderung des Spamming sind nicht befriedigend. In Extremfällen müsste es möglich sein, das eingesetzte Gerät einzuziehen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |