5         Datenschutz in der Wirtschaft

Ein turbulentes Jahr für den Datenschutz im nicht öffentlichen Bereich liegt hinter uns mit Skandalen wegen Arbeitnehmerüberwachung (Tz. 5.3), Nutzung von Telekommunikationsdaten und illegalem Datenhandel (Tz. 5.4), mit öffentlicher Aufmerksamkeit und verstärktem gesetzgeberischem Tätigwerden (Tz. 2.2 und Tz. 5.1).

 

5.1         BDSG-Novellen

Zwei Änderungsanträge für das Bundesdatenschutzgesetz (BDSG) befinden sich im Gesetzgebungsverfahren. Der erste betrifft die Schaffung neuer Regelungen im Bereich des Auskunfteiwesens und des Scorings. Der zweite Antrag ist initiiert durch die Vorgänge im Zusammenhang mit dem illegalen Datenhandel und bezieht sich auf die Datenverarbeitung zu Werbezwecken und die Einführung eines Audit­gesetzes.

 

5.1.1      Gesetzentwurf zum Auskunfteibereich und zum Scoring

Mit einigem Vorlauf beschloss die Bundesregierung Ende Juli 2008 einen Entwurf zur Änderung des BDSG. Er geht – im Grundsatz zutreffend – davon aus, dass die bisherigen Regelungen nicht mehr den Anforderungen einer anonymer werdenden Geschäftswelt und der gesteigerten Bedeutung von Auskunfteien genügen.

Das BDSG wird zwar materiellrechtlich weitgehend den Erwartungen von Ver­braucherinnen und Verbrauchern beim Einsatz neuer Technologien wie Scoring oder Online-Warnverfahren in der Wirtschaft gerecht. Es besteht aber in diesem Bereich ein hohes Transparenzdefizit, das u. a. auf ein großes Vollzugsdefizit zurückzuführen ist. Die vom Entwurf angenommene Rechtsunsicherheit besteht nur in wenigen Punkten. Die Bewertungen durch die Datenschutzaufsichtsbehör­den erfolgen weitgehend einheitlich, nach gemeinsamen Standards und in enger Abstimmung. Unterschiedliche Bewertungen können der Fortentwicklung des Rechtes dienen. Richtig ist, dass die Unternehmen im Auskunfteigeschäft ihre gesetzlichen Pflichten oft leugnen und praktisch nicht akzeptieren. Insofern sind gesetzliche Klarstellungen und Verbesserungen zu begrüßen.

Erstmalig soll die Erstellung und Nutzung von Wahrscheinlichkeitswerten – das Scoring – im BDSG geregelt werden. Die Vorschläge bleiben allerdings in mancher Hinsicht hinter der bestehenden Rechtslage zurück. Anschriftendaten sollen fast unbeschränkt für ein Wohnort-Scoring genutzt werden dürfen, was eine hohe Diskriminierungsgefahr birgt. Detailliert werden die Auskunftsrechte der Betroffenen beim Scoring geregelt. Da die Praxis diesbezüglich bisher die beste­hende Rechtslage ignorierte und die Unternehmen die Umsetzung verweigerten, sind die geplanten Transparenzregelungen zu begrüßen. Highlights sind der Anspruch auf eine kostenlose Selbstauskunft pro Jahr und die seit Langem von Datenschützern geforderte Bußgeldsanktionierung der Nichterteilung von Aus­künften gegenüber den Betroffenen.

Problematisch sind Regelungen zur Einmeldung von untitulierten Forderungen bei Auskunfteien. Schon nach zwei erfolglosen Mahnungen und unbestrittener Forderung soll dies bei einer Auskunftei als Negativmerkmal eingemeldet werden dürfen. Im Telekommunikations- und im Medienbereich erleben wir zunehmend, dass Verträge fingiert werden, d. h., dass der Abschluss eines Vertrages nach einem Telefonanruf eines Callcenters, dem Aufruf einer Webseite oder der Nutzung eines sonstigen Telemediendienstes vom Unternehmen behauptet wird, obwohl keine Willenserklärung durch den Verbraucher abgegeben wurde oder der Vertrag aus rechtlichen Gründen nicht zustande gekommen ist. Sich aus solchen fingierten Verträgen vermeintlich ergebende Zahlungspflichten können mit der geplanten Regelung künftig an Auskunfteien einfacher eingemeldet werden. Die Betroffenen würden so gezwungen, auf einen behaupteten, aber tatsächlich nicht berechtigten Zahlungsanspruch zu reagieren. Positiv ist, dass die Betroffenen rechtzeitig vor der Einmeldung unterrichtet werden müssen. Einmeldungen erfol­gen heute oft, ohne dass der Betroffene Kenntnis davon hat.

Es wäre ein wichtiges Zeichen, wenn der Bundesgesetzgeber speziell die – vielfach versprochenen – transparenzverbessernden Vorgaben endlich in konkrete gesetz­liche Regelungen umsetzen würde.

 

5.1.2      Gesetzentwurf zur Datenverarbeitung zu Werbezwecken

Das Bundesministerium des Innern kündigte beim Datenschutzgipfel Anfang September 2008 als Reaktion auf das Bekanntwerden des illegalen Handels mit sensiblen Personendaten, insbesondere Kontodaten, umfassende Verbes­serungen an.

Im Zentrum seines Vorschlags steht das Erfordernis der Einwilligung bei der Datennutzung für fremde Werbezwecke. Nach einer kurzen Zeit des Schweigens liefen Lobbyisten, vor allem aus der Werbebranche, gegen die geplante Änderung Sturm. Bei dem Wechsel zum Permission Marketing wurde der Untergang des Direktmarketings prophezeit. Dieser Wechsel ist nicht nur verfassungsrechtlich möglich und aus Daten- und Verbraucherschutzsicht wünschenswert, er liegt auch im Interesse der Gesamtwirtschaft. Will die Wirtschaft wirklich den Dialog mit den Verbrauchern, so müssen diese gehört und es darf nicht über deren Köpfe hinweg entschieden werden.

Eine offene Bund-Länder-Arbeitsgruppe unter der Leitung Brandenburgs machte aus Sicht der Länder Vorschläge für die Änderung des BDSG. Der im Dezember 2008 vom Kabinett beschlossene Gesetzentwurf blieb leider hinter den formulierten Erwartungen zurück. Zentrale Forderungen der Bund-Länder-Gruppe, die insbe­sondere die Stärkung der Aufsichtsbehörden und deren Kontrollinstrumente betrafen, wurden nicht übernommen. Zu begrüßen ist die Einführung eines Kündi­gungsschutzes für den betrieblichen Datenschutzbeauftragten.

Bei den materiellen Regelungen hat die Angstkampagne der Wirtschaft Spuren hinterlassen: Man hat sich nicht durchgerungen, die Datenverarbeitung zu Werbe­zwecken umfassend von einem „Opt-In“, also von einer vorab erteilten Zustim­mung des Betroffenen abhängig zu machen und das sogenannte Listenprivileg zu streichen. Der Entwurf enthält zahlreiche Ausnahmen, nicht nur bei der Daten­verwendung zu Werbezwecken für „eigene“ Angebote. Erlaubt wird weiter im Grunde die Übermittlung listenmäßig zusammengefasster Daten, womit die Gefahr missbräuchlicher Weiterverwendung von Daten bei der empfangenden Stelle weiterhin besteht. Erfreulich sind konkretisierende Vorgaben für die Erteilung der Einwilligung, nämlich dass die Zustimmung bewusst erfolgt und zweifelsfrei zum Ausdruck gebracht wird.

Andere Vorschläge, etwa die Pflicht zur Herkunfts- und Zweckkennzeichnung von Daten, z. B. über Metadaten bzw. sogenannte „sticky Policies“ (30. TB, Tz. 8.2), blieben vollkommen unberücksichtigt. Positiv erwähnenswert ist aller­dings die Informationspflicht bei Datenschutzverstößen.

Was ist zu tun?
Die beiden BDSG-Entwürfe sind noch in der laufenden Legislaturperiode zu verabschieden. So wird den Verbraucherinnen und Verbrauchern signalisiert, dass der Gesetzgeber deren Recht auf informationelle Selbstbestimmung zu schützen bereit ist.

 

5.2         Geodaten  – Regeln für die wirtschaftliche Nutzung

Das ULD hat sein Engagement zum Schutz Betroffener bei der Verwendung von georeferenzierten Informationen fortgeführt. Geodaten spielen eine zunehmende Rolle bei der Planung von raumbedeutsamen Projekten, der Berechnung von natürlichen Risiken oder der Einschätzung von Auswirkun­gen menschlichen Handelns auf die Umwelt.

Viele Wirtschaftsbranchen haben ein vitales Interesse an der Verwertung von Geoinformationen. Durch immer weiter verfeinerte Verschneidungs- und Analyse­techniken verstärken sich die Gefahren für die Persönlichkeitsrechte der Betrof­fenen. Hinzu kommt, dass die Erhebung der Daten in der Regel ohne Mitwirkung und ohne Wissen der Betroffenen erfolgt. Der Inhalt der Daten ist durch diejeni­gen, die sie betreffen, häufig nicht veränder- oder beeinflussbar.

Klärungsbedürftig ist zunächst, unter welchen Bedingungen georeferenzierte Infor­mationen Personenbezug haben und wie stark Geoinformationen die Persönlich­keitsrechte Einzelner beeinträchtigen können. In erster Linie sind Geoinformatio­nen inhaltliche Aussagen zu georeferenzierten Objekten oder Landflächen. Diese objektbezogenen Informationen können Aussagen über die persönlichen oder wirt­schaftlichen Verhältnisse Einzelner beinhalten, z. B. des Eigentümers eines Grund­stücks oder Gebäudes.

Das ULD erstellte für die Kommission für Geoinformationswirtschaft des Bundes­ministeriums für Wirtschaft und Technologie (GIW-Kommission) eine sogenannte „Ampelstudie“. Wir entwickelten die dogmatischen Grundlagen für eine Katego­risierung von Geodaten und bewerteten hiernach eine von der Kommission vorge­legte Liste von Datenarten. Zudem wurden die verschiedenen Zugangsmöglich­keiten zu den Daten systematisiert.

Geoinformationen besitzen nach den Ergebnissen des ULD Personenbezug, wenn der Inhalt einer Information auch eine Aussage über eine Person trifft. Nicht jede Information, die mit einer Person technisch verknüpft werden kann, fällt damit in den Anwendungsbereich des Datenschutzrechts. Personenbezug besitzen Geo­informationen erst, wenn sie auf die Rechte und Interessen einer natürlichen Person einwirken (Ergebniskontext), Betroffene bewerten oder ihr Verhalten bzw. ihre Stellung innerhalb einer gegebenen Gruppe beeinflussen (Zweckkontext) oder direkt eine inhaltliche Aussage über die Persönlichkeit einer Person enthalten (Inhaltskontext).

Das ULD klassifizierte die vorgegebenen Geodatensätze hinsichtlich der Gefähr­dung für die Persönlichkeitsrechte. Dies kann nicht losgelöst von dem jeweiligen Verarbeitungs- und Nutzungszusammenhang erfolgen. Das ULD entwickelte daher Kriterien zur Bewertung der Sensibilität von Informationen, wobei die Gefähr­dung weiterer Grundrechte sowie Nutzungsinteressen der Betroffenen, des Staates und der Wirtschaft sowie die Verfügbarkeit der Geoinformationen einfließen.

Die für die wirtschaftliche Nutzung von Geodaten erforderliche punkt- oder flä­chenbezogene Verschneidung von Informationen kann zu einer erhöhten Gefährdung der Persönlichkeitsrechte führen und bis zu einer umfassenden Profil­bildung zu einzelnen Personen gehen. Eine derartige Datenakkumulation zu Einzelprofilen ist unzulässig.

Das Ampelsystem der Studie basiert auf den Gefährdungseinschätzungen und den vorhandenen rechtlichen Normen. „Grün“ eingestufte Daten besitzen keinen Personenbezug bzw. keine relevante Gefährdung für die Persönlichkeit des Ein­zelnen. Informationen der Kategorie „Gelb“ haben Personenbezug mit einem im Einzelnen variierenden Gefährdungspotenzial. Datenarten mit „Rot“ sind perso­nenbezogen und besonders schutzwürdig. Die wirtschaftliche Nutzung dieser Daten ist in der Regel ausgeschlossen und unterliegt besonderen rechtlichen Anforderungen. Die Studie ist im Internet abrufbar unter:

http://www.geobusiness.org/

Die Erkentnisse der Studie wurden von uns sowohl in dem von uns geleiteten „Unterarbeitskreis Geodaten“ der Datenschutzbehörden als auch im „Arbeitskreis Geodateninfrastruktur des Landes Schleswig-Holstein“ eingebracht. Wir beglei­teten die Umsetzung der INSPIRE-Richtlinie im Land Schleswig-Holstein und auf Bundesebene und wirkten an der Sensibilisierung beim Thema Geodaten und Datenschutz mit (30. TB, Tz. 8.14).

Ein nächster Schritt wird darin bestehen, konkrete Praxisanwendungen auf deren datenschutzrechtliche Zulässigkeit hin zu untersuchen und dabei z. B. die Grenzen der Verschneidung von Geoinformationen abzustecken, um diese ohne Bedrohung für die Persönlichkeitsrechte der Betroffenen zu ermöglichen. Dabei sind Methoden und Technologien zu entwickeln, über welche die wirtschaftlichen Potenziale von Geodaten genutzt werden können, ohne die Persönlichkeitsrechte der Betroffenen zu gefährden. Die Anonymisierung und Aggregierung von Daten sind insofern von hoher Relevanz. Mindestanforderung an eine datenschutzkonforme Nutzung ist es, die Transparenz für die Betroffenen und deren Recht auf effektiven Widerspruch zu sichern.

http://www.datenschutzzentrum.de/geodaten/

Was ist zu tun?
Die nachhaltige wirtschaftliche Nutzung von Geodaten und deren gesellschaftli­che Akzeptanz kann nur durch die Schaffung von Rechtssicherheit für Betrof­fene und Datennutzer sichergestellt werden.

 

5.3         Lebensmitteldiscounter – der nichts wissen wollte und doch alles wusste

Im März 2008 brach ein Sturm der Entrüstung los: Ein Detektiv hatte Berichte über seine Tätigkeit für einen großen deutschen Lebensmittel­discounter an die Presse weitergegeben. Im Einzelhandel wurden offensicht­lich systematisch Mitarbeiter bespitzelt.

Den Überwachungsberichten waren detaillierte Protokolle über das Verhalten der Mitarbeiter des Discounters sowie Informationen aus deren Privatleben zu ent­nehmen. Die Mitarbeiter sowie die Kunden waren mit Miniaturkameras beobachtet worden. Bei unseren aufsichtsbehördlichen Ermittlungen zeigte sich immer ein ähnliches Muster der Detektiveinsätze. Die rechtlich selbstständigen Regio­nalgesellschaften des Discounters beauftragten eine oder mehrere Sicherheitsfirmen und wählten zwischen zwei verschiedenen Einsatzarten:

Bei der sogenannten Ladendiebstahlskontrolle wurden für einen Zeitraum von ca. einer Woche Miniaturkameras in der Filiale instal­liert. Die Bilder wurden in Echtzeit auf im Aufenthaltsraum aufgestellte Monitore übertra­gen, vor denen der Mitarbeiter der beauftrag­ten Sicherheitsfirma saß und die Bilder kon­trollierte. Die Beschäftigten der Filiale beka­men die Installation der Kameras mit; auch die Anwesenheit des Detektivs war für sie erkenn­bar. Was sie nicht wussten: Es ging nicht nur darum, Ladendiebe zu fassen. Im Wesentlichen wurden zur Aufklärung von Inventurdifferenzen auch die einzelnen Mitarbeiter unter die Lupe genommen. Die eingesetzten Detektive kontrollierten nicht nur die Monitore, sondern führten akribisch darüber Protokoll, was ihrer Ansicht nach „verdächtig“ war. Sie hielten die Verhaltensweisen der einzelnen Mitarbeiter fest, zeichneten die Informationen auf, die sie aus eigenen Gesprächen mit den Mitarbeitern auch über deren Privatleben erhalten hatten, belauschten die Gespräche der Mitarbeiter untereinander bzw. die Gespräche, die sie z. B. in ihren Pausen privat mit dem Handy führten, und protokollierten die so gewonnenen Erkenntnisse. Von den Detektiven wurden über Eigenschaften und Gefühlszustän­de der Mitarbeiter zum Teil die absurdesten Einschätzungen festgehalten. Das Verhalten eines Mitarbeiters wurde vom eingesetzten Detektiv als verdächtig gekennzeichnet, weil der Mitarbeiter bei seinem Privattelefonat mit dem eigenen Handy den Raum verließ und „auffällig leise“ sprach. In den Berichten werden ganze Gespräche und Aussagen von Mitarbeitern wörtlich zitiert. Sie enthalten zum Teil intimste Informationen aus dem Privatleben der Beschäftigten, die diese im Gespräch mit dem Detektiv vertrauensvoll offenbart hatten oder die von anderen Mitarbeitern über Kollegen preisgegeben wurden. Zum Abschluss des Einsatzes wurden all diese Informationen in einem Einsatzbericht festgehalten, der dem Auftraggeber übergeben wurde.

In der zweiten Variante, dem sogenannten Observationseinsatz, wurden am Wochenende Miniaturkameras installiert. Diese zeichneten das Geschehen über einen Zeitraum von einer Woche auf, ohne dass die Mitarbeiter oder die Filiallei­tung informiert waren. Die Aufnahmen wurden von Mitarbeitern der Sicherheits­firma nach „verdächtigen“ Szenen ausgewertet. Die zusammengestellten Video­sequenzen wurden zum Abschluss des Einsatzes der Auftrag gebenden Regional­gesellschaft übergeben. Bei diesen Observierungseinsätzen ging es ausschließlich darum, die Mitarbeiter zu beobachten. Zumeist konzentrierte sich die Aktion auf einzelne Mitarbeiter einer Filiale, die sich nach Ansicht der Regionalgesellschaft zuvor „auffällig“ verhalten hatten. Aufgezeichnet wurde allerdings das Verhalten aller Mitarbeiter der betroffenen Filialen.

In schleswig-holsteinischen Filialen wurden insgesamt 11 Einsätze festgestellt, von denen zwei als Observierungs- und neun als Ladendiebstahlskontrolleinsätze durchgeführt wurden. Das ULD verhängte ein Bußgeld gegen die in Schleswig-Holstein ansässige Regionalgesellschaft. Diese bemühte sich festzustellen, dass die Ergebnisse der Überwachung sowie die Videosequenzen, soweit sie keine Hin­weise auf Eigentumsdelikte enthielten, unbeachtet geblieben seien. Dennoch hatte sie die Ergebnisse der Überwachungen und die Videosequenzen entgegengenom­men und vorgehalten, ohne die Berichte und Videos zurückzuweisen bzw. zu löschen.

Das Interesse eines Unternehmens, ungewöhnlich hohe Inventurverluste aufzuklä­ren und die Ursachen zu ermitteln, ist anzuerkennen. Dies rechtfertigt jedoch nicht die Einholung von Erkenntnissen durch Vollüberwachungsmaßnahmen und derart invasive Eingriffe in die Persönlichkeitsrechte und Privatsphäre der Beschäftig­ten. Die oft sehr subjektiven Einschätzungen der Detektive waren nicht durch nach außen wirkende objektive Merkmale messbar bzw. einer objektiven Über­prüfbarkeit zugänglich. Die Informationen waren in großem Umfang ungeeignet, um valide Erkenntnisse im Hinblick auf potenzielle Eigentumsdelikte von Mitar­beitern zu erlangen. Unabhängig von Seriosität, Zuverlässigkeit und Validität vermögen derartige Informationen, sind sie einmal ausgesprochen oder sogar schriftlich fixiert, den Betroffenen einen Makel anzuhaften. Selbst wenn diese Darstellungen unbeachtet geblieben sind, so wurden sie doch zur Kenntnis genom­men. Bei zukünftigen Unregelmäßigkeiten werden diese dann leicht zulasten der Betroffenen herangezogen. Diese können gegen den haften bleibenden Eindruck, „nicht ganz koscher zu sein“, keine wirksamen Maßnahmen ergreifen. Die Betrof­fenen wurden erst informiert, als die Vorgänge schon öffentlich geworden waren und die Aufsichtsbehörden ihre Verfahren eingeleitet hatten.

Die Aufsichtsbehörden der Länder arbeiteten bei ihren Ermittlungen eng zusam­men. Sie ahndeten zudem die Nichtbestellung betrieblicher Datenschutzbeauf­tragten. Auch gegen in anderen Bundesländern ansässige Regionalgesellschaften wurden Bußgelder verhängt. Insgesamt betrug die Bußgeldsumme eine für Daten­schutzverstöße in Deutschland bis dahin noch nicht erreichte Rekordhöhe von 1,462 Mio. Euro. Die baden-württembergische Datenschutzaufsicht, das dortige Innenministerium, koordinierte das gemeinsame Vorgehen der Aufsichtsbehörden und erstellte einen Gesamtbericht, der im Internet abrufbar ist.

https://www.datenschutzzentrum.de/presse/20080911-lidl-bussgeldverfahren.html

Arbeitgeber trifft die Pflicht zu prüfen, ob und inwieweit sie Informationen über Mitarbeiterinnen und Mitarbeiter erheben und speichern dürfen. Insbesondere Privates, Informationen vom Hörensagen sowie Dritteinschätzungen über Gefühls­zustände und spezifische Eigenschaften der Mitarbeiter sind für Arbeitgeber tabu. Vollprotokollierungen des Mitarbeiterverhaltens am Arbeitsplatz greifen unverhältnismäßig in die Persönlichkeitsrechte von Arbeitnehmern ein. Die Nutzung derart gewonnener Informationen zur Leistungs- und Verhaltenskontrolle ist unzulässig. Sollen im Betrieb Ermittlungen zur Verhinderung von Inventur­verlusten vorgenommen werden, so müssen klare Festlegungen, z. B. in Form einer mit dem Betriebsrat geschlossenen Betriebsvereinbarung, erfolgen; die Maßnahmen müssen für die Mitarbeiter transparent sein und dürfen die Grenzen des Verhältnismäßigen nicht überschreiten. Sollen im Ausnahmefall von Dritten Informationen eingeholt werden, so ist der Mitarbeiter zu benachrichtigen; es müssen Beschwerde- oder Eskalationsverfahren vorgesehen sein, die es dem Mit­arbeiter ermöglichen, eine Gegendarstellung abzugeben. Heimliche Videoüberwa­chung in öffentlichen Räumen ist schon vom Bundesdatenschutzgesetz verboten. Technische Beobachtungen müssen ausnahmslos gekennzeichnet werden. Video­überwachung ist nur in Ausnahmefällen zulässig; die Dauerüberwachung eines Arbeitsplatzes ist in jedem Fall unzulässig. Den Mitarbeitern müssen zudem unbeobachtete Rückzugsräume gewährt werden.

Was ist zu tun?
Arbeitgeber müssen sich an die engen Grenzen zulässiger Mitarbeiterkontrolle halten. Der Discounter muss ein Datenschutzmanagement einführen, das dies nachhaltig gewährleistet.

 

5.4         Bei Anruf Betrug – illegaler Handel  mit Adress-, Telefon- und Bankdaten

Was früher fast unmöglich schien, erweist sich heute als bedrohlich. Tausen­de Bürgerinnen und Bürger erhalten unerwünschte Anrufe von Callcentern, die ihnen Verträge, z. B. Lotterieteilnahme, anbieten. Obwohl die Betroffe­nen die telefonischen Angebote zumeist ablehnen, werden kurze Zeit später Geldbeträge von ihren Bankkonten abgebucht. Das Vorgehen erfolgt mit auf illegale Weise beschafften Bankdaten.

  • Sachverhalt

Im Sommer 2008 übergab die Verbraucherzentrale Schleswig-Holstein dem ULD eine ihr zugespielte CD aus einem Lübecker Callcenter. Auf der CD befanden sich mehr als 17.000 Datensätze mit Angaben zu Namen, Adresse, Geburtsdatum, Telefonnummer und Kontoverbindung. Die Struktur der Datensätze wies auf eine Herkunft aus dem Bereich einer Klassenlotterie hin. Weitere CDs folgten mit zusätzlichen Angaben wie E-Mail-Adressen und Verbraucherangaben. Einzelne Datenbestände bezogen sich gezielt auf ältere Menschen. Zurzeit verfügt das ULD über fast acht Millionen illegale Datensätze, die entweder aus der Übergabe durch die Verbraucherzentrale, von anonym zugespielten CD-ROMs oder einem Lock­vogelankauf des Verbraucherzentrale Bundesverbands (vzbv) stammen. Die Daten­sätze werden zur Ermittlung der Quellen und für die Beauskunftung an Betroffene genutzt (Tz. 6.5).

Die Kundendaten einschließlich der Bankverbindungen wurden auf unterschiedli­che Weise erlangt. Die meisten Datensätze stammen offensichtlich aus Glücks­spielunternehmen. Diese Unternehmen geben zum Teil an, die Daten nicht verkauft zu haben. Folgende Szenarien kommen in Betracht: Entweder haben unzuverlässige Mitarbeiter Firmendatenbestände kopiert und an Adresshändler weiterverkauft, oder Callcenter haben die Daten nach Abschluss ihrer Aufträge nicht gelöscht, sondern gesammelt und für eigene Zwecke verwendet. In Einzel­fällen wurden im Rahmen von telefonischen Kaltakquisen Eigenangaben von Betroffenen durch Callcenter erfasst. Andere Datenbestände stammen aus der Inanspruchnahme von Internetdiensten, aus dem Zeitschriftenvertrieb, aus Spen­densammlungen, von Preisausschreiben oder aus Kundendatenbeständen anderer Unternehmen.

Die illegal erhobenen Daten wurden in vielen Fällen an Adressdatenhändler weitergegeben, die diese dann auf dem Schwarzmarkt weiterverkauften. Viele Callcenter nutzten die ihnen anvertrauten oder die gekauften Daten einschließlich Kontoverbindung und Telefonnummer für die weitere Telefonakquise oder für das Fingieren von Verträgen, insbesondere in den Branchen Lotterie, Telekom­munikation, Zeitschriftenvertrieb, Online-Angebote oder Spendenanwerbung. Anschließend wurden die Daten an die Unternehmen weitergegeben, für die tat­sächlich oder vermeintlich Verträge abgeschlossen wurden. Diese wiederum zahl­ten hierfür Provisionen und buchten von den Konten der – oft vermeintlich – gewonnenen Kunden Beträge ab. Die Kontoabbuchungen wurden von den Kreditinstituten regelmäßig ungeprüft akzeptiert, selbst dann, wenn es sich um Massenabbuchungen handelte und aufgrund von Widersprüchen von Kunden und dadurch notwendigen Rückbuchungen der Verdacht bestand, dass real keine Abbuchungsermächtigungen der Kunden vorlagen. Die Rückbuchungen werden von den Banken innerhalb einer Frist von sechs Wochen ohne weitere Hinter­fragung durchgeführt. Erfolgen Widersprüche später, wird die Rückbuchung zu einem langwierigen Prozess.

  • Datenschutzrechtliche Bewertung

Nach den derzeitigen Regelungen des Bundesdatenschutzgesetzes ist die Nutzung personenbezogener Daten für Werbezwecke in der Regel zulässig, wenn sie sich auf Name, Adresse, Geburtsjahr, Branche und Gruppenzugehörigkeit beschränkt. Man spricht vom „Listenprivileg“. Bankverbindung und Telefonnummer gehören nicht zu diesem gesetzlich definierten Datenkatalog. Deren Nutzung für Werbe­zwecke ist unzulässig, es sei denn, der Betroffene hat ausdrücklich und wirksam hierin eingewilligt. Dem ULD ist bisher kein einziger Fall bekannt, bei dem ein Betroffener eine derartige Einwilligung erteilt hätte.

Die Tätigkeit von Callcentern erfolgt in vielen Fällen als Datenverarbeitung im Auftrag. Auftragnehmer haben nach Durchführung eines Auftrags, z. B. der Kundenbetreuung, die vom Auftraggeber zur Verfügung gestellten Daten zu löschen oder sie an diesen wieder zurückzugeben. Eine Nutzung dieser Daten zu anderen und eigenen Zwecken ist unzulässig. Der Auftraggeber hat den Auftrag­nehmer sorgfältig auszuwählen und die Einhaltung bestimmter vertraglicher Vor­gaben zu überwachen. Zudem muss der Auftraggeber sorgfältig prüfen, welche Daten für die Auftragserfüllung tatsächlich erforderlich sind, und darf auch nur diese weitergeben. In vielen Fällen spielt die Kontoverbindung keine Rolle und darf folglich nicht dem Zugriff der Dienstleister ausgesetzt werden. Sowohl Auf­tragnehmer als auch Auftraggeber missachteten in den Datenmissbrauchsfällen ihre datenschutzrechtlichen Pflichten.

Die materiell unzulässige Verarbeitung von Kontodaten ist eine Ordnungswidrig­keit, die mit einem Bußgeld von bis zu 250.000 Euro geahndet werden kann. Erfolgen derartige Handlungen vorsätzlich gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder zu schädigen, so liegt eine Straftat vor, die mit einer Freiheitsstrafe bis zu zwei Jahren bestraft werden kann. In den Fällen der Nutzung von Kontodaten zur unberechtigten Abbuchung vom Konto kann in der Regel von einer Bereicherungsabsicht ausgegangen werden.

  • Was hat das ULD gemacht?

In den ersten Wochen des Datenskandals wurde das ULD mit Anfragen besorgter Bürger – per Brief, Fax, E-Mail oder telefonisch – regelrecht zugeschüttet. Wir haben allen Anfragenden geantwortet und Auskunft erteilt. Den anfragenden Betroffenen wurde mitgeteilt, ob sie in dem Bestand mit zunächst 17.000 und dann fast acht Millionen Datensätzen enthalten sind oder nicht. Die Betroffenen konnten so entscheiden, ob sie sich ein neues Konto oder eine neue Telefonnummer einrichten wollten. Das ULD empfahl zudem, eine besondere Sorgfalt bei der Kontrolle der Kontoauszüge walten zu lassen. In Einzelfällen stellte das ULD Banken, deren Kunden vom illegalen Datenhandel betroffen waren, auf deren Angebot hin die sich hierauf beziehenden Datensätze zur Verfügung, um die Kunden im Auftrag des ULD über die unzulässige Datenspeicherung zu informie­ren.

Den Anfragenden wurden Ratschläge erteilt, z. B. wie man sich künftig vor unerlaubten Abbuchungen schützen kann, wie man die unzulässig abgebuchten Beträge zurückerhält oder dass man regelmäßig seine Kontoauszüge überprüfen sollte. Diese sind als häufig gestellte Fragen (FAQ) und Antworten im Internet abrufbar.

https://www.datenschutzzentrum.de/kontodaten/faq-kontodaten.html

Das ULD hat umgehend nach Erhalt der Daten diese an die zuständigen Staats­anwaltschaften weitergeleitet und entsprechende Strafanträge gestellt. Eine Rück­meldung von den Staatsanwaltschaften hat das ULD bisher nicht erhalten.

  • Forderungen an die Politik und andere Institutionen

Alle Beteiligten – also vorrangig die Politik, die Auftrag gebenden Unternehmen, die Callcenter und die Kreditinstitute – sind aufgefordert, alles zu unternehmen, damit der illegale Datenhandel nicht weitergeführt wird. Aus den aktuellen Erfah­rungen zieht das ULD folgende Schlussfolgerungen:

  • Das Bundesdatenschutzgesetz muss überarbeitet werden. Die Weitergabe von personenbezogenen Daten für Werbezwecke sollte von der informierten Ein­willigung des Betroffenen abhängig gemacht werden (Permission Marketing) (Tz. 2.2). Die bisherige Privilegierung der Werbenutzung ist verfassungsrecht­lich fragwürdig und rechtspolitisch anachronistisch. Zudem sollte geprüft werden, ob der Sanktionsrahmen im Bereich des Ordnungswidrigkeitenrechts und des Strafrechts im Bundesdatenschutzgesetz vor dem Hintergrund der Datenschutzskandale noch ausreicht.
  • Es ist sorgfältig zu prüfen, ob und unter welchen Bedingungen – nach US-ame­rikanischem Vorbild – die Unternehmen verpflichtet werden, die Betroffenen bei Datenpannen zu informieren. Dabei muss allerdings verhindert werden, dass Menschen unnötig beunruhigt werden.
  • Unternehmen sollte untersagt werden, die Zustimmung zur Datennutzung für Werbezwecke zur Bedingung für den Vertragsabschluss zu machen. Dieses – aus dem Telemedienrecht bisher bekannte – sogenannte Koppelungsverbot sollte für alle Branchen gelten.
  • Die Möglichkeiten, den durch Datenmissbrauch entstandenen Gewinn von den Unternehmen wieder einzuziehen (Gewinnabschöpfung), müssen geprüft werden. Praktische Voraussetzung hierfür ist allerdings eine erhebliche personelle Auf­stockung für die behördlichen Ermittlungen.
  • Unternehmen, die Drittfirmen wie z. B. Callcenter als Auftragnehmer oder Dienstleister einschalten, müssen diese besser kontrollieren. Die Auftragnehmer müssen sich strikt an die Weisungen des Auftraggebers halten und dürfen die Daten nicht für eigene Zwecke nutzen. Zudem dürfen nur solche Daten weitergegeben bzw. übermittelt werden, die auch tatsächlich erforderlich sind, um die Aufgabe zu erfüllen.
  • Die Kreditinstitute sollten verpflichtet werden, Fälle von Massenabbuchungen und häufigen Rückbuchungen zu überprüfen. Wenn der Verdacht besteht, dass keine Einzugsermächtigungen vorliegen, dürfen die Abbuchungsaufträge nicht ungeprüft ausgeführt werden.
  • Mit Warndateien über solche Unternehmen, bei denen der begründete Ver­dacht auf Datenschutz- bzw. Verbraucherschutzverstöße besteht, könnten die schwarzen Schafe vom Rest der Branche getrennt werden. Hierfür gibt es im Bundesdatenschutzgesetz schon heute hinreichende Rechtsgrundlagen.
  • An einer erheblichen Verbesserung der personellen Ausstattung der Daten­schutzaufsichtsbehörden geht kein Weg vorbei. Eine einstellige Zahl von Mitarbeitern ist regelmäßig für mehrere Hunderttausend Firmen zuständig; Vollzugsdefizite sind so zwangsläufig.

Der Landtag Schleswig-Holstein hat die Erfahrungen mit dem illegalen Daten­handel zum Anlass genommen, durchgängig zu begrüßende Forderungen an den Bundesgesetzgeber zu formulieren (LT-Drucksache 16/2421). Weitere Einzelhei­ten zum Thema sind im Internet abrufbar unter:

https://www.datenschutzzentrum.de/kontodaten

Was ist zu tun?
Alle Beteiligten und Betroffenen sind gefordert. Statt mit den Fingern immer auf die anderen zu zeigen, muss jede und jeder prüfen, was sie bzw. er selbst zur Vermeidung von Datenmissbrauch tun kann, und dies dann auch umsetzen.

 

5.5         Neues aus der Versicherungswirtschaft: Licht und Schatten

5.5.1      Auf dem Weg zu branchenweiten Verhaltensregeln?

Der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) erstellt derzeit Verhaltensregeln, die die zulässigen Datenverarbeitungen der Mit­gliedsunternehmen konkretisieren und selbstverpflichtend festlegen sollen.

Bisher wurde versucht, die Datenverarbeitung bei Versicherungsunternehmen über umfängliche Einwilligungserklärungen der Versicherungsnehmer zu legitimieren. Die Krux an der Sache: Wer die Zustimmungsklauseln nicht unterzeichnet, erhält keinen Versicherungsvertrag. Dies gilt für die gesamte Branche. Die Klauseln sind weitestgehend angeglichen. Die Versicherungsnehmer sind gezwungen, den Daten­verarbeitungen zuzustimmen, weil sie sonst keinen Versicherungsschutz erhalten.

Erstellung von Verhaltensregeln nach § 38a Bundesdatenschutzgesetz (BDSG)

§ 38a Bundesdatenschutzgesetz (BDSG) sieht die Möglichkeit vor, dass Be­rufsverbände oder andere Vereini­gungen, die bestimmte Branchen ver­treten, sich selbst einen Verhaltens­kodex auferlegen. Diese sogenannten Verhaltensregeln ersetzen die Vor­schriften des Bundesdatenschutzge­setzes nicht. Sie dienen dazu, die sehr abstrakt gehaltenen Regelungen des BDSG im Hinblick auf die branchen­typischen Datenverarbeitungen zu konkretisieren. Sie bringen für die Mitgliedsunternehmen der Verbände Vorteile: Die Aufsichtsbehörde prüft die Verhaltensregeln und schafft damit Rechtssicherheit im Hinblick auf branchentypische Datenflüsse. Für die Betroffenen erhöht sich durch sie die Transparenz über die Art der Verwendung ihrer Daten. Die Bran­che legt die Datenverarbeitung seiner Unternehmen in den Verhaltensregeln offen und verpflichtet sich hierauf verbindlich. So wird auch die Über­prüfbarkeit der Datenverarbeitung verbessert. Die Betroffenen können auf die Festlegungen bauen, weil die Aufsichtsbehörde diese überprüft hat. Trotz dieser Vorteile wurde vom § 38a BDSG bisher praktisch kein Gebrauch gemacht. Genehmigte Ver­haltensregeln gab es in Deutschland bisher nicht.

Von einer „freiwilligen“ Einwilligung kann daher nicht die Rede sein. Dies gilt ebenso für die Erklärungen zur Ent­bindung von der Schweigepflicht, die in bestimmten Versicherungssparten für die Anfrage bei Ärzten oder anderen beruflichen Geheimnisträgern eingeholt wird. Für diese hat das Bundesverfas­sungsgericht im Jahr 2006 festgestellt, dass die Freiwilligkeit bei der Abgabe einer solchen Erklärung nur gewahrt werden kann, wenn dem Versicherungs­nehmer die Möglichkeit gegeben wird, in jedem einzelnen Fall zu entscheiden, ob er einen Arzt oder eine andere Stelle von der Schweigepflicht entbinden möchte. Klar ist aber auch: Für die Abwicklung eines Versicherungsver­hältnisses müssen personenbezogene Daten verarbeitet werden. Die Legiti­mation hierfür kann sich allerdings bereits aus dem Bundesdatenschutz­gesetz ergeben, soweit ausschließlich die für die Abwicklung erforderlichen Daten verarbeitet werden. Einer Ein­willigung des Betroffenen bedarf es dann nicht; diese ist auch nicht ange­zeigt: Mit der Einwilligung wird dem Betroffenen fälschlicherweise suggeriert, er könne über die Datenverarbeitung selbst bestimmen. Diese ist vielmehr zwingende Grundlage für die Abwick­lung und Durchführung des Vertrags. Einwilligungen dürfen grundsätzlich nur dort eingesetzt werden, wo für die Betroffenen eine echte Entscheidungs­möglichkeit gegeben ist. Alle anderen Datenverarbeitungen müssen an den gesetzlichen Verarbeitungsmöglichkeiten gemes­sen und den dort vorgeschriebenen beschränkten Möglichkeiten angepasst werden.

Mit der Erstellung der Verhaltensregeln versucht jetzt erstmalig die Versiche­rungsbranche ihre Verarbeitungsprozesse konkret festzulegen und auf ihre Verein­barkeit mit dem Datenschutzrecht überprüfen zu lassen. Mit dieser Unterwerfung verpflichten sich die Versicherungsunternehmen, nach den festgelegten Regeln zu verfahren. Datenschutzeinwilligungen dürfen daneben nur eingeholt werden, wenn besonders sensible Daten, z. B. Gesundheitsdaten, verarbeitet werden, oder eine echte, freiwillige Entscheidungsmöglichkeit für den Versicherungsnehmer besteht, z. B. im Bereich der Werbung. Dort kann der Versicherungsnehmer die Einwilli­gung verweigern, ohne dass dies das Versicherungsverhältnis berührt.
Seit nunmehr anderthalb Jahren verhandelt das ULD, das den Vorsitz der Arbeits­gruppe (AG) Versicherungswirtschaft – der Zusammenschluss der Datenschutz­aufsichtsbehörden zum Thema Versicherungen – innehat, mit Vertretern des GDV, der Mitgliedsunternehmen sowie mit Vertretern der Verbraucherschützer (Ver­braucherzentrale Bundesverband – vzbv) über die Erstellung der Verhaltensregeln und die Formulierung von Mustereinwilligungserklärungen. Nach endgültiger Einigung zwischen Aufsichtsbehörden und GDV sollen die Verhaltensregeln gemäß dem Bundesdatenschutzgesetz zertifiziert werden. Die Entwürfe der Verhaltensregeln sowie der Mustererklärungen zur datenschutzrechtlichen Einwil­ligung und zur Schweigepflichtentbindung sollen dem Düsseldorfer Kreis, d. h. dem Zusammenschluss der obersten Datenschutzaufsichtsbehörden in Deutschland, im April 2009 vorgelegt werden. Das ULD ist der Überzeugung, dass die Verhaltensregeln eine Verbesserung im Hinblick auf Rechtmäßigkeit, Transpa­renz und Kontrolle des bisherigen Wildwuchses der Datenverarbeitung in der Versicherungswirtschaft bringen können.

Was ist zu tun?
Aufsichtsbehörden und Versicherungsunternehmen müssen zu den erarbeiteten Formulierungsvorschlägen Stellung nehmen. Konkretisieren die Vorschläge das BDSG und liefern einen Datenschutzmehrwert, so sind die Verhaltensregeln zu zertifizieren – und von Unternehmen zu beachten.

 

5.5.2      Hinweis- und Informationssystem  – Kein Land in Sicht!

Der Versicherungswirtschaft gelang es nicht, ihr Hinweis- und Informations­system (HIS) bis zum Jahresbeginn 2009 datenschutzkonform umzugestalten. Begründet wird eine Verzögerung dieses Vorhabens um weitere zwei Jahre mit dem unerwartet hohen Entwicklungsaufwand.

Die Versicherungswirtschaft konnte davon überzeugt werden, dass ihr bisher zum Zweck der Risikobewertung und Betrugsprävention betriebenes System HIS den Anforderungen des Datenschutzes nicht genügt (30. TB, Tz. 5.1). Eine Beschreibung des bestehenden Systems findet sich im Internet unter:

https://www.datenschutzzentrum.de/wirtschaft/20070703-his.htm

Im November 2007 wurde den Aufsichtsbehörden vom Gesamtverband der Deut­schen Versicherungswirtschaft (GDV) ein Konzept zur Umgestaltung des Sys­tems vorgestellt, das eine datenschutzkonforme Umsetzung möglich macht. Das Konzept sieht wesentliche Verbesserungen vor. HIS soll zukünftig als zentrale Auskunftei beim GDV betrieben werden. Wie bisher erfolgt eine Trennung der Auskunftserteilung nach Sparten. Wegen der teilweise unterschiedlichen Zielset­zungen wird zwischen Antrags- und Leistungsprüfung differenziert. Die Kommu­nikation soll über das neue HIS ausschließlich elektronisch erfolgen, sodass Einmeldungen und Abrufe protokolliert und – was bisher nicht möglich ist – so einer Datenschutzkontrolle unterzogen werden können. Die über HIS vermittelten Daten dürfen weiterhin nicht als alleinige Entscheidungsgrundlage herangezogen werden, sondern sollen lediglich Hinweise zur weiteren Prüfung geben. Nach dem neuen System soll die datenschutzrechtlich geforderte Transparenz – die gesetzlich vorgesehenen Benachrichtigungen und Auskunftserteilungen sind bisher noch nicht effektiv realisiert – umgesetzt werden.

Allerdings wurde dieses Konzept nicht – wie von den Aufsichtsbehörden gefor­dert – bis zum Jahresbeginn 2009 umgesetzt. Die Umgestaltung von einem dezentralen Auskunfteisystem, bei dem die einzelnen Mitgliedsunternehmen miteinander in Kontakt treten und unkontrolliert Informationen austauschen, zu einer zentralen, vom GDV betriebenen Auskunftei gestaltet sich insbesondere technisch schwieriger als vom GDV gedacht. Die Online-Anbindung an die Unternehmen, mit der die Verschickung von CD-ROMs abgelöst werden soll, verursacht offensichtlich einen hohen Aufwand.

Die Verzögerung ändert nichts an den rechtlichen Pflichten nach dem BDSG. Daher sind kurzfristig Maßnahmen zur Verbesserung der datenschutzrechtlichen Position der Betroffenen nötig, vor allem hinsichtlich mehr Transparenz. Der GDV hat zugesagt, vom zweiten Quartal 2009 an eine zentrale Auskunftserteilung an die Betroffenen zu gewährleisten. Darüber hinaus sollen die Betroffenen bei Neueinmeldungen durch die Mitgliedsunternehmen benachrichtigt werden.

Zwischen Aufsichtsbehörden und Versicherungswirtschaft besteht noch großer Klärungsbedarf im Hinblick auf die Kriterien für HIS-Meldungen. Wann darf an andere Versicherungsunternehmen ein Warnhinweis bezüglich Versicherungs­missbrauch und -betrug sowie bezüglich erhöhter Risiken im Antragsfall gegeben werden? Dies kann nur für Daten gelten, denen Aussagekraft im Hinblick auf diese angestrebten Zwecke zukommt. Eine Arbeitsgruppe mit Vertretern der Auf­sichtsbehörden und der Versicherungswirtschaft soll die einzelnen Merkmale auf ihre Einmeldefähigkeit hin überprüfen.

Ergeben sich für Versicherte Unstimmigkeiten bei der Antragstellung oder im Leistungsfall, so ist ihnen zu empfehlen, eine Selbstauskunft über die gespeicherten Daten beim GDV einzuholen. Anhand dieser Informationen können sie – eventuell unter Mithilfe der zuständigen Datenschutzaufsichtsbehörde – überprüfen, ob eine Einmeldung im Einzelfall zu Unrecht erfolgte.

Was ist zu tun?
Antragsteller und Versicherungsnehmer sind über den Einsatz von HIS zu informieren und bei Einmeldung in das System zu benachrichtigen. Der GDV steht mehr denn je in der Pflicht, ein datenschutzkonformes HIS zu gestalten und schon jetzt jede mögliche Maßnahme zu ergreifen, die zur Verbesserung der Transparenz und der datenschutzrechtlichen Position der Betroffenen dient.

 

5.5.3      Finanzdienstleistungsaufsicht kontra Datenschutz

Versicherungsunternehmen sind immer wieder verunsichert, weil sie sich scheinbar widersprechenden Anforderungen der Finanzaufsicht und der Datenschutzaufsicht ausgesetzt sehen. In einem Gespräch zwischen den zuständigen Behörden konnte geklärt werden, dass beide Aufsichtsstränge unabhängig voneinander wahrgenommen werden.

Für die AG Versicherungswirtschaft wandte sich das ULD an die Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin), um widersprechende aufsichtsrechtliche Vorgaben zu vermeiden. Immer wieder kommt es zu scheinbar widersprüchlichen Bewertungen zwischen der BAFin und den Datenschutzbehörden. So betrachteten Versicherungsunternehmen die Genehmigung von Funktionsübertragungen nach dem Versicherungsaufsichtsgesetz auf eine andere juristische Person als eine Befugnis zur Übermittlung von Versichertendaten zwischen Funktionsgeber und Funktionsnehmer. Eine datenschutzrechtliche Prüfung wurde aber von der BAFin nicht vorgenommen. Dennoch vertrat die BAFin die Ansicht, derartige Übermitt­lungen seien zulässig. Die Datenschutzaufsichtsbehörden sahen hierfür aber keine Rechtsgrundlage.

Vergleichbare Konflikte treten auf, wenn die BAFin im Interesse einer möglichst umfassenden Grundlage für ihre Aufsicht die Aufbewahrung von Unterlagen fordert, die aus Datenschutzgründen gelöscht werden müssen. Manches Versiche­rungsunternehmen meinte aufgrund von Vorgaben der BAFin Versicherungsver­mittler bei Auskunfteien ohne datenschutzrechtliche Legitimation auf ihre Bonität hin überprüfen zu dürfen. Unter dem Stichwort „Solvency II“ fordert die BAFin Risikoüberprüfungen der Versicherer, die aber keinesfalls die Durchführung von Scoring-Verfahren bei Versicherten rechtfertigen können.

Um eine Verunsicherung der Versicherungsunternehmen zu vermeiden, suchte die AG Versicherungswirtschaft das Gespräch mit der BAFin. Dabei wurde klarge­stellt, dass deren Aufsichtstätigkeit sich auf Missbrauchsfälle bei wirtschaftlichen Fragen konzentriert. In keinem Fall ist damit eine datenschutzrechtliche Bewer­tung verbunden, selbst wenn die Vorgaben und Entscheidungen der BAFin Auswirkungen auf die Verarbeitung personenbezogener Daten haben.

Was ist zu tun?
Finanzdienstleister unterliegen sowohl einer fachspezifischen Gewerbeaufsicht als auch einer Datenschutzaufsicht. Diese stehen unabhängig nebeneinander und ergänzen sich. Daher muss bei personenbezogener Datenverarbeitung unabhängig vom Votum der BAFin eine datenschutzrechtliche Zulässigkeitsprüfung vorge­nommen werden.

 

5.6         Dubioses Geschäft mit Zeitschriftenabos

Das Geschäft mit Zeitschriftenabonnements floriert. Ein in Schleswig-Holstein ansässiger Verlagsdienstleister wickelt zwischen dem Leser und dem jeweiligen Vertragspartner Lieferung und Rechnungslegung ab, ohne dass die Verantwortlichkeiten in dieser Dreiecksbeziehung durchschaubar waren.

Auftragsdatenverarbeitung nach
§ 11 Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz privile­giert den Dienstleister, der eine Datenverarbeitung streng nach Wei­sung seines Auftraggebers durchführt, ohne eigene Entscheidungsmacht über die Daten zu haben. Diese Kon­stellation nennt das BDSG Auftrags­datenverarbeitung in Abgrenzung zur sogenannten Funktionsübertragung.

Im Falle der Auftragsdatenverarbei­tung wird der Dienstleister so behan­delt, als gehöre er zur Daten verar­beitenden Stelle. Er ist mithin kein „Dritter“ im Sinne des Gesetzes, sodass die Weitergabe der Daten vom Auftraggeber an den Dienstleister nicht den strengen Anforderungen des § 4 Absatz 1 BDSG unterliegt. Es muss weder die Einwilligung des Betroffenen noch eine gesetzliche Rechtsgrundlage gegeben sein, die die Weitergabe legitimiert. Der Auf­traggeber muss den Dienstleister allerdings sorgfältig auswählen, ihn vertraglich gem. § 11 BDSG ver­pflichten, nur nach seinen Weisungen zu handeln und die übergebenen Daten nicht zu eigenen Zwecken zu verwenden sowie die erforderlichen technisch-organisatorischen Maßnah­men für die Verarbeitung zu ergrei­fen. Der Auftraggeber muss sich zudem der Einhaltung des Vertrages vor Ort versichern. Im Gegensatz dazu findet eine Funktionsübertra­gung statt, wenn ein gesamter Ge­schäftsprozess ausgelagert wird und der Dienstleister bei der Datenverar­beitung eigene Entscheidungen trifft.

Der Verlagsdienstleister betreut nach eigenen Angaben mehrere Millionen Verträge. Betroffene Bürgerinnen und Bürger wunderten sich, die Rechnung vom Dienstleister zu erhalten, obwohl sie doch ein Zeitschriftenabonnement bei einer anderen Stelle bestellt hatten. Ihre Auskunfts- und Löschungsan­träge blieben unbeantwortet. Vielfach existierten gar keine Verträge, da die Betroffenen kein Abonnement bestellt hatten. Trotzdem erhielten sie eine Rechnung vom Dienstleister als Absen­der. Sie wollten wissen, woher dieser ihre Daten hatte.

Wir stellten fest, dass der Dienstleister im Wege der Auftragsdatenverarbei­tung tätig wird. Er übernimmt die reine Abwicklung der Verträge auf Weisung des Auftraggebers, wobei die Beliefe­rungsrechte vollständig beim Auftrag­geber verbleiben. Datenschutzrechtlich führt dies dazu, dass der jeweilige Auf­traggeber verantwortliche Stelle bleibt und damit auch für die Auskunftsertei­lung zuständig ist. Die Datenverarbei­tung ist natürlich nur zulässig, wenn tatsächlich ein Vertrag besteht. Die Schreiben der Betroffenen gingen immer beim Dienstleister als Absender der Rechnung ein, wurden aber nicht weitergeleitet und so auch nicht bear­beitet.

Das ULD forderte eine Umgestaltung der Vertragsformulare, der Rechnun­gen usw., sodass deutlich ist, wer Vertragspartner des Abonnements ist. Zudem ist kenntlich zu machen, dass der Dienstleister als Auftragsverarbeiter die Abrechnung übernommen hat. Für die Betroffenen ist nunmehr transparent, wer zu welchem Zweck personenbezogene Daten verarbeitet. Die Auskunfts- und Löschungsbegehren können weiterhin an den Dienstleister gerichtet werden, da dieser durch Beauftragung des Auftraggebers die Erfüllung dieser Datenschutz­rechte übernommen hat.

Problematisch bleiben die fingierten Verträge. Der Dienstleister kann über das Bestehen oder Nichtbestehen der Belieferungsrechte nicht entscheiden, da er nur die Weisungen des Auftraggebers ausführt. Der Dienstleister muss die Beschwer­den an den Auftraggeber weitergeben. Im Fall von Datenschutzbeschwerden muss sich der Betroffene an die für den jeweiligen Auftraggeber zuständige Aufsicht wenden.

Was ist zu tun?
Die Verarbeitung personenbezogener Daten ist für die Betroffenen transparent zu gestalten. Nur so können datenschutzrechtliche Anfragen ordnungsgemäß beant­wortet werden.

 

5.7         Videoüberwachung  – Best of

5.7.1      Webcam  zum Kaffee – eine beliebte Mischung

Der Einsatz von Videoüberwachung im Freizeitbereich nimmt weiter zu. Gefilmt wird nicht mehr nur „zum Dienstgebrauch“; die Aufnahmen landen häufig im Internet oder werden für dieses gemacht.

In einem schon länger anhängigen Verfahren geht es um die übermäßige Video­überwachung von Kunden und Beschäftigten eines über die Grenzen Schleswig-Holsteins hinaus tätigen Caféhausbetreibers (30. TB, Tz. 5.8.1). Jugendliche und Studierende gehören zur vorrangigen Zielgruppe des Unternehmens, das aus­drücklich mit der „Loungeatmosphäre“ und der Möglichkeit wirbt, sich dort mit Freunden zu treffen und zu entspannen. Nahmen die Angesprochenen dieses Angebot wahr, konnten sie sicher sein, dass der Betreiber auch elektronisch ein Auge darauf warf, dass er sein Werbeversprechen einhält. Überwacht wurden nicht nur die Freizeitbereiche, sondern auch die Räume, in denen sich die Beschäftigten des Unternehmens aufhielten und arbeiteten. Niemand blieb unbeobachtet. Erschwerend kam hinzu, dass Kameras teilweise unauffällig oder verdeckt ange­bracht waren und auf den Umstand der Überwachung nicht wirksam hingewiesen wurde.

Das Unternehmen rechtfertigte sich mit dem Schutz vor Diebstahl und Vandalis­mus, aber auch mit der Einhaltung von Hygienevorschriften durch die Beschäftig­ten. Nicht nur dass eine wirksame Rechtsgrundlage für die Überwachung der Beschäftigten fehlte, die Videoüberwachung war so umfangreich, dass selbst bei viel Verständnis für unternehmerische Gründe keine ausreichende Rechtfertigung bestand. Die optisch-elektronische Überwachung von Arbeitnehmerinnen und Arbeitnehmern greift umfassend in deren Persönlichkeitsrechte ein und kann einen Anpassungsdruck und Verhaltensänderungen bewirken. Anders als bei der Über­wachung eines unbestimmten Personenkreises in öffentlich zugänglichen Räumen, sind sie persönlich bekannt; jede Verhaltensweise und Kommunikation unterliegt der Beobachtung, Kontrolle und der grundsätzlich unbegrenzten Bildreproduktion und -auswertung durch den Arbeitgeber. Wer nicht sicher ist, zu welchem Zweck und wann er überwacht wird, wird versuchen, sich angepasst zu verhalten. Dieser Anpassungsdruck wird durch die wirtschaftliche Abhängigkeit der Beschäftigten vom Arbeitgeber verstärkt. Auch im nicht öffentlichen Bereich darf durch techni­sche Überwachung kein Duckmäusertum erzeugt werden.

Betroffen sind zudem die überwachten Gäste, welche die Gasträume und die bereitgestellten Bereiche vor allem in ihrer Freizeit aufsuchen, z. B. zur Erholung und zur Kommunikation mit Freunden. In dieser Situation sind die Betroffenen besonders schutzwürdig; Freizeitverhalten ist gekennzeichnet durch eine geringere Beachtung gesellschaftlicher Konventionen. Üblicherweise benimmt man sich in solchen Situationen ungezwungener und weniger förmlich. Durch die Videoüber­wachung verliert der Augenblick seine Flüchtigkeit. Das private Verhalten wird zum Gegenstand einer potenziell dauerhaften und in jedem Fall intransparenten Kontrolle. Wegen der fehlenden klaren Information konnten die Kundinnen und Kunden nicht erkennen, ob und in welchem Maße sie einer Videoüberwachung ausgesetzt waren.

Das ULD sah sich veranlasst, im konkreten Fall die Datenschutzverstöße mit einem Bußgeld in nicht unerheblicher Höhe zu ahnden.

Videokontrolle ist ein immer häufiger zu beobachtendes Phänomen in der Gastro­nomie. In einem anderen Fall stellte der Betreiber eines Strandcafés Aufnahmen des Außenbereichs und der dort sitzenden Gäste ins Internet. Weltweit konnte so nachvollzogen werden, wer sich hier mit wem traf und was konsumierte. Der Betreiber wollte sein Unternehmen derart werbewirksam im weltweiten Netz präsentieren, übersah jedoch, dass er massiv in die Persönlichkeitsrechte der Kundinnen und Kunden eingriff. Darauf hingewiesen, änderte er umgehend den Erfassungsbereich der Kamera, sodass Personen nicht mehr erkennbar waren. Der Werbeeffekt der Kamera blieb erhalten, und die Rechte der Betroffenen werden gewahrt.

Für Liveaufnahmen im Internet gilt wie für eingestellte Inhalte generell, dass die Betreiber unverzüglich die Kontrolle über die Inhalte und diese ihre Flüchtigkeit verlieren. Die Bildsequenzen können weltweit von Unbekannten nicht nur einge­sehen, sondern auch gespeichert und reproduziert werden. Den Betroffenen ist es unmöglich zu erfahren, was mit diesen Aufnahmen geschieht. Gegen deren Miss­brauch gibt es praktisch kein wirksames Mittel. Zahlreiche Beispiele auf einschlä­gigen Internetdiensten wie z. B. Youtube zeigen dies eindringlich. Die Speicherung und Reproduktion der Aufnahmen ist selbst für Laien kein Problem.

Durch Webcams ins Internet gestellte Videosequenzen beeinträchtigen die Betrof­fenen unabhängig vom Kontext der Aufzeichnung. Sie können deren Verbreitung und Nutzung weder lenken noch verhindern. Auch für die Betreiber von Webcams können die Kameras zum unkalkulierbaren Risiko werden, z. B. wenn ein Betroffener seine persönlichkeitsrechtlichen Ansprüche zivilrechtlich geltend macht. Dies kann immer passieren, wenn Personen erkennbar sind, selbst wenn diese nur mit Zusatzwissen identifiziert werden können.

Was ist zu tun?
Videoüberwachung betrifft die Persönlichkeitsrechte der Menschen und ist daher nur in Ausnahmefällen gerechtfertigt. Die Veröffentlichung von per Webcam erstellten Personenaufnahmen im Internet ist in jedem Fall unzulässig. Beim Webcam-Einsatz muss jedes Mal sichergestellt werden, dass die Persönlichkeits­rechte Dritter nicht verletzt werden.

 

5.7.2      Videoüberwachung  im Rauchmelder

Bei zwei Datenschutzkontrollen fielen Arbeitgeber durch besonders perfide Überwachungsmaßnahmen auf: Sie hatten illegal Videokameras als Rauch­melder getarnt installiert.

Die falschen Rauchmelder wurden vom ULD bei einem Hersteller von Orthopä­diegeräten und bei einem Zahnarzt entdeckt. Die optisch-elektronische Überwa­chung von öffentlich zugänglichen Bereichen, also Räumen, die für den Zugang eines unbestimmten Personenkreises bestimmt und geeignet sind, darf nach dem Gesetz nur offen erfolgen. Betroffene müssen in der Lage sein, ohne Weiteres zu erkennen, ob sie sich im Erfassungsbereich einer Kamera befinden. Als Rauch­melder getarnte Kameras verschleiern den Umstand der Überwachung und sind daher unzulässig. Entsprechendes gilt für den Einsatz solcher Kameras im nicht öffentlichen Bereich.

Risikohaft kann zudem sein, dass sich Menschen darauf verlassen, dass der ver­meintliche Rauchmelder im Fall eines Feuers Alarm schlägt. Beim Einsatz in der Zahnarztpraxis kam erschwerend hinzu, dass die Kamera so angebracht war, dass auch Patientinnen und Patienten erfasst wurden. Damit war die Gefahr der Verlet­zung des Arztgeheimnisses gegeben. In beiden Fällen führte die Intervention des ULD zum Abbau der Geräte.

Was ist zu tun?
Eine Überwachungskamera muss offen und als solche erkennbar installiert sein. Auf den Umstand der Überwachung muss unzweifelhaft hingewiesen werden. Wird dies missachtet, ist der Einsatz der Kamera unabhängig von Einsatzzweck und -ort unzulässig.

 

5.7.3      Bild und Ton im Bordell

Kein Bereich des gesellschaftlichen Lebens wird von der Videoüberwachung verschont. So prüfte das ULD Bild- und Tonaufnahmen in einem Bordell.

Die Betreiber eines Laufhauses hatten auf den Gängen und Treppen eine Video- und Tonüberwachungsanlage installiert. Kunden der dort tätigen Frauen und die geführten Gespräche wurden nicht nur visuell, sondern auch akustisch überwacht, jedoch – nach unseren Erkenntnissen – nicht gespeichert. Die überwachten Berei­che konnten durch einen Bordellmitarbeiter auf einem Monitor eingesehen und abgehört werden. Die gewonnenen Erkenntnisse wurden von uns auch anderen Bordellen im Land mitgeteilt, verbunden mit der Aufforderung, die Datenschutz­regeln einzuhalten.

Das ULD geht von einem hohen Schutzbedürfnis der in einem Bordell tätigen Frauen aus und erhob keine Einwände gegen die Bildüberwachung der Flure und Treppen. Das Gefährdungspotenzial für Leib und Leben der Frauen in diesem Bereich ist so hoch einzuschätzen, dass die Persönlichkeitsrechte der Kunden zurückstehen und diese die Videobeobachtung dulden müssen. Voraussetzung ist aber, dass die Videoüberwachung schon vor dem Betreten des Bordells erkennbar ist, d. h. gut sichtbar angezeigt wird, die Daten nicht gespeichert und ausschließlich zum Schutze der Frauen genutzt werden.

Anderes gilt für die Tonüberwachung. Damit ist kein signifikanter Sicherheits­gewinn für die Frauen verbunden. Vielmehr werden diese unter dem Eindruck, es könnten Dritte das Gespräch mithören, gehindert, offene Gespräche mit Freiern zu führen, aber auch z. B. mit Vertretern der Ordnungsbehörden oder der Polizei. Unser Strafgesetzbuch stellt das Abhören des nicht öffentlich gesprochenen Wortes unter Strafe.

Was ist zu tun?
Videoüberwachung in der Privatwirtschaft, die dem Schutz von Leib und Leben dient, kann nach Interessenabwägung zulässig sein. Tonüberwachung ist generell unzulässig.

 

5.7.4      Videoüberwachung  im Bus – Weitergabe an die Presse

Der Beitrag eines Fernsehsenders machte das ULD auf ein Linienbusunter­nehmen aufmerksam, das seine Mitarbeiterinnen und Mitarbeiter in den Fahrerkabinen einer permanenten Videoüberwachung aussetzt und Aufnah­men eines Zwischenfalls an die Presse weitergab.

Einwilligung der Betroffenen nach § 4 Abs. 1 Bundesdatenschutzgesetz

§ 4 Abs. 1 Bundesdatenschutzgesetz fordert u. a. für die Übermittlung personenbezogener Daten das Vor­liegen einer Rechtsgrundlage oder der Einwilligung (vorherige Zustim­mung) des Betroffenen. Im Arbeits­verhältnis müssen aufgrund des Abhängigkeitsverhältnisses stets hohe Anforderungen an die erforderliche Freiwilligkeit der Einwilligung ge­stellt werden.

Der Fernsehsender hatte Bilder über den Zusammenbruch eines Busfahrers ausgestrahlt, der beinahe zu einem Unfall geführt hätte. Der betroffene Fahrer war ohne Weiteres zu erkennen. Er hatte der Weitergabe an die Presse und der Aus­strahlung nicht zugestimmt.

Die Installation einer Videokamera am Arbeitsplatz setzt das Vorliegen eines berechtigten Grundes voraus, der gegenüber den schutzwürdigen Interessen der Beschäftigten überwiegt. Die Unternehmensleitung begründete die Kontrolle der Fahrerkabine mit dem Schutz der Mitarbeiterinnen und Mitarbeiter vor Überfällen. Es gab weder eine Betriebsvereinbarung noch anderweitige Regelungen zu Löschfristen, Verwendungszweck, Zugriff oder Dauer.

Das Verfahren ist noch nicht abge­schlossen. Schon jetzt ist klar, dass insbesondere die Weitergabe der unver­fremdeten Aufnahmen an die Presse einen Verstoß gegen geltendes Daten­schutzrecht darstellt, da weder eine Rechtsgrundlage ersichtlich ist, noch die Einwilligung des betroffenen Bus­fahrers vorlag. Die Installation einer Videoanlage zur Überwachung von Arbeitnehmern setzt eine sorgfältige Abwägung der Interessen beider Seiten voraus. Das pauschale Argument höhe­rer Sicherheit genügt nicht als Recht­fertigung. Ist ein Betriebsrat vorhanden, sollte in jedem Fall eine schriftliche Betriebsvereinbarung erarbeitet werden, in der Zweck, Dauer und Umfang der Überwachung geregelt werden. Eine Verarbeitung zum Zweck der Leistungs- und Verhaltenskontrolle muss schriftlich ausgeschlos­sen werden, insbesondere wenn es auschließlich um Sicherheitsinteressen der Mitarbeiter geht.

Was ist zu tun?
Videoüberwachung im Unternehmen sollte in jedem Fall mit dem Betriebsrat in einer Betriebsvereinbarung geregelt werden. Eine Weitergabe von unverfrem­deten Aufnahmen an die Presse ohne die ausdrückliche Einwilligung des Betrof­fenen muss unterbleiben. Auch verfremdete Aufnahmen sollten nicht ohne Einwilligung an Dritte übermittelt werden.

 

5.8         Einzelfälle

5.8.1      Mülltonnen – Spiegel funktionierender Datenvernichtung

Aufmerksame Bürgerinnen und Bürger haben das ULD in zwei Fällen auf die unzulässige Entsorgung von teilweise sensiblen personenbezogenen Daten­beständen in Mülltonnen hingewiesen.

Im ersten Fall wurden ganze Bewerbungsmappen in einem öffentlichen Abfall­eimer gefunden. Das ULD hat zunächst die betroffenen Bewerberinnen und Bewerber benachrichtigt. Das verantwortliche Unternehmen gab auf unsere Fragen nach den konkreten Umständen und den bestehenden generellen Regelungen an, ein Auszubildender, der inzwischen nicht mehr im Unternehmen tätig sei, habe die „Entsorgung“ ohne Wissen der Verantwortlichen vorgenommen. Bewerbungs­unterlagen, die neben Adressdaten meist ausführliche Informationen über Werde­gang und Persönlichkeit eines Menschen enthalten, sind – sollten sie nach einer erfolglosen Bewerbung nicht an die Bewerberin bzw. den Bewerber zurückgesandt werden – ordnungsgemäß zu vernichten. Mit Einwilligung der Betroffenen können die Unterlagen auch über die Frist des Allgemeinen Gleichbehandlungsgesetzes hinaus aufbewahrt werden, um sie zu weiteren Auswahlverfahren hinzuzuziehen. Allgemein sollte festgelegt werden, an welchem Ort die Bewerberdaten aufzube­wahren sind und wer Zugriff auf sie erhält.

Im zweiten Fall wurde versucht, teilweise sehr sensible Unterlagen der Zweigstelle einer großen Versicherungsgruppe zu beseitigen. Das Material wurde in einer Mülltonne auf einem Hinterhof, auf die alle anderen Bewohner des Hauses Zugriff hatten, gefunden. Da die Verantwortlichen angaben, keine Kenntnis von den Vorfällen gehabt zu haben, hat das ULD die zuständige Hauptstelle benachrichtigt und Nachweise einer grundsätzlich ordnungsgemäßen Aktenvernichtung und einer entsprechenden Schulung der Mitarbeiterinnen und Mitarbeiter gefordert.

Was ist zu tun?
Unterlagen mit Personenbezug sind, sobald sie nicht mehr benötigt werden, ordnungsgemäß zu vernichten. Regelungen zu Aufbewahrung und Zugriff sollten festgelegt werden, um das Risiko des Abhandenkommens oder eines unberech­tigten Zugriffs möglichst gering zu halten. Unzulässiger Datenentsorgung wird durch Schulungen der Mitarbeiter und durch ein geregeltes Abfallmanagement mit Einsatz von Aktenvernichtern entgegengewirkt.

 

5.8.2      Wertpapierhandelsgesetz – die umfangreichen Kundenfragebögen 

Die Versendung von Fragebögen durch Sparkassen in Schleswig-Holstein löste eine Beschwerdewelle beim ULD aus. Es handelte sich um Bögen für die Durchführung von Wertpapierdienstleistungen mit detaillierten Fragen zum Bildungsstand, Beruf der Betroffenen und vieles mehr.

Die Petenten zeigten sich verwundert über die umfängliche Datenerhebung. Die Erfassung der Daten ihrer Art und ihrem Umfang nach entspricht im Grunde der Gesetzeslage. Eine europäische Richtlinie verpflichtet die nationalen Gesetzgeber, die Wertpapierdienstleistungsunternehmen zu veranlassen, Daten über Bildungs­stand, Beruf, Einkommen und Wertpapiererfahrungen zu erheben, um sicherzu­stellen, dass eine für den Verbraucher verständliche und an seinen Bedürfnissen orientierte Beratung erfolgt. Wird ausweislich dieser Angaben falsch beraten, so erhöht dies für den Dienstleister das Haftungsrisiko. Die Regelung dient also im Grundsatz dem Verbraucherschutz. Die Daten unterliegen dem „Beratungs­geheimnis“ und dürfen nur streng zweckgebunden gespeichert und verwendet werden und nicht an andere Sparten bzw. Unternehmensteile des Wertpapier­dienstleisters weitergegeben und dort genutzt werden.

Allerdings ist der versendete Fragebogen in einigen Teilen intransparent und führt zu Verunsicherungen bei den Kunden. So wird z. B. nicht darauf hingewiesen, dass die Angaben bei einer bloßen An- oder Verkauforder ohne weitere Beratung nicht erhoben werden müssen. Zudem wird aus dem Fragebogen nicht deutlich, dass die Daten ausschließlich zum Zweck der Prüfung von Angemessenheit und Geeignet­heit einer bestimmten Wertpapierdienstleistung in Bezug auf den individuellen Kunden erhoben und verarbeitet und anderweitig nicht genutzt werden dürfen. Es entspricht zudem nicht dem Grundsatz der Erforderlichkeit und dem Verbot einer Vorratsdatenerhebung, wenn Daten erhoben und erfasst werden, die für die konkret beabsichtigten Geschäfte nicht nötig sind, wohl aber im „Interesse einer umfassenden Geschäftsbeziehung“. Diese in den Fragebögen zu findende Formu­lierung ist zudem missverständlich, da sie die strenge Zweckbindung der Daten faktisch aufhebt. Es muss erkennbar sein, dass für unterschiedliche Beratungs­situationen auch ein unterschiedlicher Umfang an Daten erforderlich ist.

Bei der Formulierung von Fragebögen, Anträgen usw., mit denen Daten beim Kunden erhoben werden, ist ein aussagekräftiger und unmissverständlicher Daten­schutzhinweis aufzunehmen. Insbesondere ist der Kunde darüber zu informieren, zu welchem Zweck die Daten Verwendung finden sollen und welche konkreten Folgen es hat, wenn Angaben verweigert werden. Im Falle einer gesetzlichen Verpflichtung zur Erhebung von Daten ist die entsprechende Vorschrift zu zitie­ren. Wenn Angaben für das abzuwickelnde Geschäft nicht erforderlich sind, so sind sie als freiwillige Angaben explizit zu kennzeichnen. Es darf nicht der Eindruck erweckt werden, dass die Verweigerung von freiwillig zu machenden Angaben zu einem Ausschluss der Leistung führt. Das ULD steht im Austausch mit dem Sparkassenverband, um eine datenschutzkonforme Änderung der Fragebögen zu erreichen.

Was ist zu tun?
Die Formulare müssen gemäß den Datenschutzvorgaben, also transparent und unter Wahrung der Datensparsamkeit, gestaltet werden.

 

5.8.3      Laptop auf Abwegen

Ein Computerunternehmen hatte ein repariertes Notebook mit einer Fülle sensibler personenbezogener Daten auf der Festplatte anstatt dem Besitzer einem Dritten zugeschickt.

Das Brisante an dem Vorfall: Bei dem Empfänger des Notebooks handelte es sich um den geschiedenen Ehemann der jetzigen Lebensgefährtin des Bürgers. Auf der Festplatte des reparierten Notebooks befanden sich Informationen, die gericht­lich gegen den irrtümlichen Empfänger des Gerätes verwendet werden sollten und nun der Gegenseite bekannt geworden waren. Das Computerunternehmen erklärte, dass die Daten des geschiedenen Ehemannes, der ebenfalls Kunde war, im Zusammenhang mit der Seriennummer des Gerätes versehentlich für die Versen­dung des Notebooks verwendet wurden. Eindeutige schriftliche Regelungen hinsichtlich der Rücksendung von Geräten mit Datenspeichern existierten in der Firma nicht.

Die Rücksendung des Notebooks an den falschen Empfänger war eine unzulässige Datenübermittlung und wurde vom ULD zudem wegen fehlender technischer und organisatorischer Sicherheitsmaßnahmen beanstandet. Das Unternehmen wurde aufgefordert, entsprechende innerbetriebliche Arbeitsanweisungen zu erstellen, um derartige Fehler künftig möglichst zu vermeiden. Dem kam die Firma – zögerlich – nach. Der geschädigte Bürger wurde auf die Möglichkeit aufmerksam gemacht, gegebenenfalls gerichtlich gegen das Computerunternehmen vorzugehen.

Was ist zu tun?
Speziell Computerfirmen müssen streng darauf achten, dass Geräte mit Daten­speichern nach der Reparatur nur an den Berechtigten zurückgegeben werden.

 

5.8.4      Werbewiderspruch – mit guten Augen klar im Vorteil

Das Bundesdatenschutzgesetz verlangt, die Adressaten von Werbung deutlich darauf hinzuweisen, dass sie der Nutzung ihrer Daten zu Werbezwecken widersprechen können.

Ein norddeutsches Unternehmen mit mehreren Filialen führt regelmäßig umfang­reiche persönlich adressierte Briefkampagnen durch, um mit interessanten Neuig­keiten und Informationen zum Kauf zu werben. In den verwendeten Werbeflyern konnten wir den gesetzlich geforderten Widerspruchshinweis aufgrund der Fülle der Informationen erst nach mehrmaligem Durchsehen der gesamten Werbeinfor­mationen entdecken. Dies ist nicht Intention des Gesetzes. Es gibt zwar keine Formvorschriften für den Widerspruchshinweis, jedoch muss die Gestaltung der Bedeutung des Widerspruchsrechts entsprechen. Es bedurfte mehrmaliger Versu­che von Werbegestaltern, bis diesem Erfordernis genügt wurde. Künftig enthalten die Werbesendungen zwei Widerspruchshinweise: Einer wird bereits auf dem Briefumschlag, der zweite – deutlich vom übrigen Text getrennt – im persönlichen Anschreiben der Werbeflyer platziert.

Was ist zu tun?
Bei der Ansprache des Betroffenen zu Werbezwecken ist es erforderlich, den gesetzlich geforderten Widerspruchshinweis optisch hervorzuheben und von allen anderen Informationen deutlich zu trennen.

 

5.8.5      Es gibt kein Konzernprivileg 

Ein Bürger bekam von einer privaten Briefzustellfirma einen Telefonanruf, obwohl seine Telefonnummer seit Jahren in keinem öffentlich zugänglichen Telefonverzeichnis und auch nicht im Internet enthalten ist.

Bei dem Telefonanruf ging es um die Abholung einer unzustellbaren Briefsendung. Auf die Nachfrage des Bürgers, woher die Briefzustellfirma seine Telefonnummer habe, erhielt er keine zufriedenstellende Antwort. Erst nach Einschaltung des ULD und Zuziehung eines Rechtsanwalts durch das Unternehmen fand sich des Rätsels Lösung. Die Briefzustellfirma ist Tochtergesellschaft eines großen Zeitungsverla­ges. Bei diesem Zeitungsverlag hatte die Ehefrau des Bürgers seit vielen Jahren ein Abo für eine Tageszeitung. Die Daten der Ehefrau einschließlich der Telefon­nummer waren in der EDV-Anlage des Verlages gespeichert. Die Mitarbeiterin der Briefzustellfirma beschaffte sich die Telefonnummer – die auch die Telefonnummer des Ehemannes war – vom Verlag, also der Muttergesellschaft, und rief an.

Der anwaltlich vertretene Verlag meinte tatsächlich, die Übermittlung der nicht veröffentlichten Telefonnummer von der Mutter- an die Tochtergesellschaft sei zulässig. Im Konzern gebe es einen einheitlichen Verarbeitungszweck der Daten. Dem mussten wir widersprechen. Das Bundesdatenschutzgesetz kennt nicht den Begriff des Konzerns und auch kein Konzernprivileg. Jede einzelne Gesellschaft als juristische Person, auch die Mutter, ist Normadressat des Gesetzes. Datentrans­fers innerhalb eines Konzerns – soweit keine Auftragsdatenverarbeitung vorliegt – sind ebenso zu behandeln wie Übermittlungen aus dem Konzern heraus.

Es liegt nicht im Rahmen der Zweckbestimmung eines Abonnementvertrages mit einem Zeitungsverlag, eine Kundentelefonnummer einer Briefzustellfirma zu über­mitteln, auch nicht wenn die Empfängerfirma zum gleichen Konzern gehört. Die Übermittlung der Telefonnummer war unzulässig. Das schutzwürdige Interesse des Betroffenen an der Nichtweitergabe einer nicht veröffentlichten Telefonnummer überwiegt in jedem Fall gegenüber dem berechtigten Interesse der Briefzustell­firma. Im Rahmen einer Beanstandung hat das ULD den Zeitungsverlag aufgefor­dert, derartige Übermittlungen in Zukunft zu unterlassen.

Zuletzt teilte der Verlag dem ULD mit, die Telefonnummer der Ehefrau sei vom Ehemann bei der Aufgabe von mehreren Anzeigen selbst angegeben und dann an die Briefzustellfirma weitergegeben worden. Dieser Vortrag ändert nichts an der rechtlichen Bewertung. Das überwiegende schutzwürdige Interesse an der Nicht­weitergabe einer nicht veröffentlichten Telefonnummer bleibt bestehen. Gleich­zeitig machte der Verlag den Vorschlag, zusammen mit dem ULD eine wirksame Einwilligungserklärung für derartige Fälle zu erarbeiten. Vielleicht kann das grundsätzlich bestehende Problem so zu einem guten Ende geführt werden.

Was ist zu tun?
Der Aufklärungsbedarf scheint groß zu sein: Gerade große Unternehmen müssen endlich begreifen, dass es im Datenschutzrecht kein Konzernprivileg gibt. Andere Konzerngesellschaften sind zu behandeln wie Fremdfirmen.

 

5.8.6      Veröffentlichung von Spielergebnissen im Internet

Das Mitglied eines Tischtennisvereins wandte sich dagegen, dass regionale Turnier- und Meisterschaftsergebnisse ausführlich im globalen Internet präsentiert werden und von Internetsuchmaschinen zu finden sind.

Neben den reinen Spielergebnissen und der Vereinszugehörigkeit der Spielerinnen und Spieler konnten Informationen wie Mannschaftsaufstellungen und Ähnliches abgerufen werden – alles ohne Einwilligung oder auch nur vorherige Informatio­nen der Betroffenen. Insbesondere die Möglichkeit, über eine Suchmaschine an persönliche Daten zu gelangen, stieß beim Petenten auf Unverständnis, da so jeder Internetnutzer leicht darauf Zugriff erhält.
Die Einstellung der Informationen ins Internet erfolgt auf Veranlassung des zuständigen Sportverbands. Wegen der großen Anzahl betroffener Verbands­sportler wurde auf die Einholung und Berücksichtigung von Einwilligungen verzichtet. Das ULD schlug vor, den Vereinen im Rahmen der nächsten Versamm­lung des Verbandes zu erläutern, dass eine Veröffentlichung von personenbezo­genen Daten – etwa in Form von Spielergebnissen unter Nennung der Namen – im Internet ohne Einwilligung unzulässig ist. Sodann sollen die Vereine an ihre Mitglieder herantreten und entsprechende Einwilligungen einholen. Bei Nicht­vorliegen einer Einwilligung dürfen keine Informationen über eine Spielerin oder einen Spieler und auch nicht deren Spielergebnisse veröffentlicht werden.

Einwilligung
Bei Einholung einer Einwilligung ist darauf zu achten, dass diese freiwillig erteilt wird, jederzeit widerrufen wer­den kann und dass den Betroffenen die Tragweite ihrer Einwilligung be­wusst ist.

Einfacher umzusetzen ist der alternative Vorschlag des ULD. Bei Mannschafts­sportarten können die Ergebnisse ohne Nennung der einzelnen Spielerinnen und Spieler veröffentlicht werden. Um der Problematik des Zugriffs auf die Ergeb­nisse über eine Internetsuchmaschine ent­gegenzuwirken, kann die gesamte Web­seite so markiert werden, dass sie beim Suchen nicht erfasst wird. Möglich ist auch, einen geschlossenen Mitgliederbereich einzurichten. Allerdings müssen auch hierbei Einwilligungen der Betroffenen eingeholt werden.

Was ist zu tun?
Zur Veröffentlichung von personenbezogenen Daten im Internet ist im Vereins­bereich die Erteilung einer Einwilligung der betroffenen Mitglieder notwendig, da der Adressatenkreis im Internet nahezu unbegrenzt ist. Die Einwilligung kann bereits bei Vereinseintritt im Rahmen des Aufnahmeantrags eingeholt werden.

 

5.8.7      Radio-Gewinnspiel – Rückruf trotz Rufnummernunterdrückung?

Ein schleswig-holsteinischer Radiosender veranstaltete ein Telefongewinn­spiel, wobei Anrufer ohne Hauptgewinn durch Drücken der Telefontaste „1“ die Möglichkeit hatten, kostenlose Lottotipps abzugeben. Die Teilnehmenden wussten nicht, dass der Sender hierzu die Rufnummernunterdrückung der Anrufenden aufheben konnte.

In beiden Ansagevarianten, die den Anrufenden vorgespielt wurden, wurde zwar darauf hingewiesen, dass die Rufnummer gespeichert werden sollte. Dass der Gewinn der kostenlosen Lottotipps allerdings zwingend mit einem Rückruf des Partnerunternehmens des Radiosenders verbunden ist und zu diesem Zweck auch Rufnummernunterdrückungen ohne ausdrückliche Einwilligung der Anrufenden aufgehoben werden, wurde nicht deutlich gemacht.

Das Listenprivileg
Personenbezogene Daten, die unter das Listenprivileg nach dem Bundes­datenschutzgesetz fallen, also Name, Beruf, Anschrift und Geburtsjahr, dürfen zu Zwecken der Werbung oder Markt- und Meinungsforschung, so­weit keine schutzwürdigen Interessen des Betroffenen entgegenstehen, ge­nutzt oder an Dritte übermittelt werden. Der Betroffene hat allerdings die Möglichkeit, diesem Vorgehen zu widersprechen.

Die sich beschwerende Bürgerin war davon ausgegangen, ihre freien Lotto­tipps sofort abgeben zu können. Von einer Übermittlung ihrer Daten, insbe­sondere ihrer Telefonnummer, ahnte sie nichts. Die Telefonnummer fällt nicht unter das sogenannte Listenprivileg des Bundesdatenschutzgesetzes, ihre Nut­zung ist ohne Einwilligung des Betrof­fenen grundsätzlich unzulässig. Das ULD verlangte daher die Ergänzung der Ansagen um Informationen zur Auf­hebung der Rufnummernunterdrückung sowie zur Weitergabe der Daten an das kooperierende Lottounternehmen, das ebenfalls näher bezeichnet werden sollte.

Zudem wurde während des Telefonats auf die Teilnahmebedingungen, die man bereits durch Verbleiben in der Leitung akzeptierte, im Internet hingewiesen. Die Teilnehmenden hatten bei diesem Ablauf keine Möglichkeit, sich im Vorhinein über die Rahmenbedingungen des Gewinnspiels zu informieren. Das ULD schlug vor, bereits während der entsprechenden Radiobeiträge auf die Teilnahmebedingungen im Internet hinzuweisen und denjenigen, die nicht über einen Internetzugang verfügen, die Möglichkeit zu geben, die Teilnahmebedingungen postalisch zu erhalten.

Was ist zu tun?
Die technische Unterdrückung von Rufnummern darf nur mit Einwilligung der Betroffenen und unter Festlegung des Zwecks aufgehoben werden. Auf Teil­nahmebedingungen im Internet sollte bereits bei Ankündigung des Gewinnspiels hingewiesen werden. Interessierte ohne Internetzugang müssen eine alternative Kenntnismöglichkeit erhalten.

 

5.8.8      Creditreform – Aufforderung zum Datenabgleich an Betroffene

Die Wettbewerbszentrale machte das ULD darauf aufmerksam, dass Aus­kunfteien Personen anschrieben und diese aufforderten, ein beigefügtes Datenblatt mit den bei der Auskunftei über die Person gespeicherten Daten zu überprüfen und zu korrigieren, sollten die Daten nicht richtig sein. Werde auf das Anschreiben nicht reagiert – so wurde teilweise ausgeführt – „gehe man davon aus“, dass die Darstellungen korrekt seien.

Personenbezogene Daten – Daten juristischer Personen

Grundsätzlich fällt die Verarbeitung von Angaben zu juristischen Personen nicht unter das Bundesdatenschutz­gesetz, da dieses nur personenbezo­gene Daten, d. h. Daten von natür­lichen Personen erfasst. Wenn sich die Unternehmensdaten allerdings auf natürliche Personen beziehen lassen und die Einzelperson, z. B. den Firmeninhaber, persönlich betreffen, handelt es sich auch hier um perso­nenbezogene Daten.
Bei Einzelgewerbetreibenden, Einzel­firmen, Freiberuflern und Einmann-GmbHs steht hinter der juristischen Person regelmäßig eine natürliche Person, sodass Personenbezug gege­ben ist und das Datenschutzrecht An­wendung findet.

Betroffen waren Kleinstgewerbetreibende, Einzelkaufleute sowie ein Verein und seine Vorstandsmitglieder. Auf den Anschreiben fehlte ein ausdrücklicher Hinweis, dass die Angaben freiwillig sind. Die Auskunfteien wollten keinen datenschutz­rechtlichen Verstoß erkennen. Den Angeschriebenen stehe es frei, auf das Schrei­ben zu reagieren oder dies zu ignorieren. Diese Auffassung teilte das ULD nicht und beanstandete das Vorgehen.

Das Anschreiben der Auskunfteien initiiert eine Datenerhebung, auch wenn es nur um die Korrektur vorhandener Angaben geht, und ist Teil eines Erhe­bungsvorganges. Im Anschreiben muss daher den gesetzlich geforderten Unter­richtungsverpflichtungen genügt werden. Richtig ist, dass die Mitteilung des Datensatzes einen für den Betroffenen positiven Effekt haben kann. Gegenüber der verbreiteten Auskunfteivorgehens­weise erfolgt die Erhebung in diesem Fall nicht hinter dem Rücken der Betroffenen bei Dritten, sondern direkt bei diesem selbst. Der Betroffene kann Korrekturen oder Gegendarstellungen veranlassen, die ansonsten bis zur Selbstauskunft unaufgedeckt geblieben wären. Damit werden Transparenz und Einwirkungsmöglichkeiten erhöht. Zugleich erhält der Betroffene eine kos­tenlose Selbstauskunft.

Diese positiven Effekte stellen sich allerdings nur ein, wenn der Betroffene ausreichend darüber informiert wird, ob und wie seine Daten verarbeitet werden, und ihm hinreichend deutlich gemacht wird, dass die Angabe von Daten freiwillig ist. Dies ist nicht der Fall, wenn der Betroffene mit dem Anschreiben indirekt zur Mitwirkung gezwungen wird, indem an die Nichtäußerung eine bestimmte Konsequenz geknüpft wird. Das ULD hat die betroffenen Auskunfteien aufge­fordert, ihr Vorgehen zu ändern und ihre Anschreiben entsprechend umzugestalten.

 

5.8.9      Unberechenbare Fotobestellung

Celluloid ist out. Digitalfotografie ist in. Wer aber weiterhin Papierbilder in ein Fotoalbum kleben möchte, der muss bei einem Anbieter eine digitale Fotobestellung vornehmen. Dabei dürfen nicht mehr Daten als unbedingt nötig erfasst werden.

Digitale Fotobestellungen erfolgen über das Internet oder über einen Terminal in einem Fotoladen. Eine Kundin war sehr erstaunt, dass sie, nachdem sie per USB‑Stick Bilder bestellt hatte, nicht nur diese Bilder, sondern auch eine CD‑ROM erhielt, auf der nicht nur ihre Bilder, sondern viele andere private Dateien in verschiedenen Bild- und Textformaten gespeichert waren, die sich gemeinsam mit den Bildern auf dem zur Bestellung genutzten USB-Stick befanden. Der Anbieter erklärte uns lapidar, dass „aus technischen Gründen“ alle Daten des Datenträgers kopiert würden. Bearbeitet würden nur die Fotodateien. Erst nachdem das ULD dem Unternehmen ankündigte, öffentlich auf die Risiken hinzuweisen, die mit der Fotobestellung verbunden sind, sah sich der Anbieter veranlasst, inhaltlich zu antworten. Die ursprünglich eingesetzte Software, die eine vollständige Kopie des Ausgangsdatenträgers erstellt, sei inzwischen weitgehend ausgetauscht. Soweit dies noch nicht möglich war, wurden an den Terminals Warnhinweise aufgenommen. Das Unternehmen versicherte, dass alle nicht benötigten Daten zwar kopiert, aber nicht genutzt würden. Sofort nach Erledigung des Auftrags würden sämtliche Daten gelöscht. Nach Rückgabe der CD-ROM an den Kunden blieben keine Dateien mehr vorrätig.

Was ist zu tun?
Datensparsamkeit setzt voraus, dass nur benötigte Daten erhoben werden; hierfür müssen die technischen Voraussetzungen geschaffen werden. Wer Kunden nicht über eine übermäßige Datenerhebung informiert, handelt rechtswidrig.

 

5.8.10    Der Rechtsanwalt und sein Freund

Man sollte denken, es sei selbstverständlich, dass Anwaltskanzleien den Datenschutz und die Anforderungen der Datensicherheit routinemäßig beachten. Dies ist leider allzu oft nicht der Fall.

Immer wieder erhält das ULD Eingaben zur Datenverarbeitung von Rechts­anwälten. Nicht selten wird offensichtlich versucht, über eine Kritik der Daten­verarbeitung beim Anwalt des Prozessgegners die eigene Situation in einem Prozess zu verbessern. Insofern respektiert das ULD selbstverständlich die beson­dere Rolle des Anwaltes und dessen Vertrauensverhältnis zum Mandanten, das durch das Mandatsgeheimnis geschützt wird. Dies kann und darf auch nicht über den Umweg einer Datenschutzkontrolle ausgehebelt werden.

Es kommt aber immer wieder vor, dass von Rechtsanwälten die Kontrollkom­petenz des ULD generell mit dem Verweis auf das Mandatsgeheimnis bezweifelt wird. Würde das ULD dies akzeptieren, so würde der Anwaltsberuf generell weitgehend kontrollfrei gestellt. Bei einem direkten Bezug zum Mandatsgeheimnis verweist das ULD schon an die Rechtsanwaltskammer, die kontrollieren darf, ob sich ein Anwalt nicht standesrechtskonform verhalten hat. Außerhalb des klassi­schen Mandatsverhältnisses, insbesondere hinsichtlich technisch-organisatorischer Maßnahmen, kann sich ein Anwalt gegenüber der Aufsicht aber nicht seiner Verantwortung entziehen.

Ein Beispiel: Weil eine Anwaltskanzlei kein eigenes Faxgerät vorhalten wollte, nutzten die dortigen Anwälte die freundschaftlichen Verbindungen zu einem Firmeninhaber und Besitzer eines Faxgerätes. Über Jahre wurden anwaltliche Faxe auf dem Faxgerät der Firma empfangen und versendet. Wurde dies Mandanten bewusst, so konnte dies schon auch zur Auflösung des Mandatsverhältnisses kommen. Als wir eingeschaltet wurden, haben wir noch am selben Tag der Kanzlei die weitere Nutzung des Faxgerätes untersagt. Nun überlegt man, ob künftig auf technischen Fortschritt verzichtet oder ein eigener Faxanschluss installiert werden soll.


Was ist zu tun?
Anwälte sind in besonderem Maße verpflichtet, das BDSG zu beachten. Sie können sich nicht einfach mit der pauschalen Behauptung, ihr Mandatsgeheimnis werde verletzt, einer Datenschutzkontrolle entziehen.

 

5.8.11    Ein Rechtsanwalt, der zu viel wusste

E-Mails fallen unter das Fernmeldegeheimnis – auch in einer Anwaltskanzlei.

Die Eingabe des Ehemannes einer angestellten Rechtsanwältin verblüffte selbst uns. In ihrer Kanzlei war die private Nutzung von Kommunikationsmitteln, also auch des E-MailDienstes, erlaubt. Nach einer gesundheitlich bedingten längeren Abwesenheit stellte die Rechtsanwältin bei der Rückkehr an ihren Arbeitsplatz fest, dass während der Abwesenheit eine Umleitung der auf ihrem Konto eingehenden Nachrichten auf das Konto der Bürovorsteherin eingerichtet war; die an die Anwältin adressierten Nachrichten wurden also an die Bürovorsteherin übermittelt. Diese druckte die Nachrichten teilweise aus und legte sie dem Kanzleiinhaber vor. Der Bitte der Rechtsanwältin, die Umleitung zu löschen, wurde nur zum Schein entsprochen. E-Mails des Ehemannes an die Rechtsanwältin landeten weiterhin auf dem Rechner der Bürovorsteherin. Nach Beendigung des Beschäftigungsverhält­nisses wandte sich der Ehemann an die Rechtsanwaltskammer. Er sah seine Privat­sphäre durch diese Verhaltensweise verletzt. Die Rechtsanwaltskammer sah jedoch in dem Verhalten des Inhabers der Kanzlei keinen Verstoß gegen standesrechtliche Regeln. Daher wandte sich der Petent an das ULD. Aufgrund des unzulässigen Zugriffs auf personenbezogene Daten wurde gegen den Rechtsanwalt eine Verwarnung mit einem Verwarngeld ausgesprochen.

Was ist zu tun?
Private E-Mail-Kommunikation unterfällt dem Fernmeldegeheimnis. Das muss auch respektiert werden, wenn die Umleitung von Nachrichten vom Empfänger­konto auf ein anderes Konto technisch einfach zu realisieren ist.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel