4.1 Der Hessische Datenschutzbeauftragte als Bußgeldbehörde


4.1.1 Überblick der Bußgeldverfahren im Jahr 2012

Im laufenden Jahr waren 32 Bußgeldverfahren abschließend zu bearbeiten. Darunter waren keine, die über den Einzelfall hinaus Bedeutung hatten.

Das Berichtsjahr war das erste vollständige Jahr, in dem ich auch die Zuständigkeit zur Verfolgung von Ordnungswidrigkeiten bei Verstößen gegen das BDSG hatte.

§ 24 Abs. 4 HDSG

(4) Der Hessische Datenschutzbeauftragte ist zuständige Behörde für die

  1. ...

  2. Verfolgung und Ahndung von Ordnungswidrigkeiten
    1. nach § 43 des Bundesdatenschutzgesetzes,
    2. nach § 16 Abs. 2 Nr. 2 bis 5 des Telemediengesetzes vom 26. Februar 2007 (BGBl. I S. 179), zuletzt geändert durch Gesetz vom 31. Mai 2010 (BGBl. I S. 692)

Die in meinem Haus abgewickelten Verfahren in Bußgeldsachen lassen sich in drei Gruppen einsortieren.

Zunächst gibt es die von mir als Aufsichtsbehörde angestoßenen Verfahren, insbesondere zu formalen Verstößen gegen Regelungen des BDSG. Diese erfüllen Tatbestände aus § 43 Abs. 1 BDSG.

§ 43 Abs. 1 BDSG

(1) Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

  1. entgegen § 4d Abs. 1, auch in Verbindung mit § 4e Satz 2, eine Meldung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
  2. entgegen § 4f Abs. 1 Satz 1 oder 2, jeweils auch in Verbindung mit Satz 3 und 6, einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt,
    1. entgegen § 10 Abs. 4 Satz 3 nicht gewährleistet, dass die Datenübermittlung festgestellt und überprüft werden kann,
    2. entgegen § 11 Abs. 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Abs. 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt,

  1. entgegen § 28 Abs. 4 Satz 2 den Betroffenen nicht, nicht richtig oder nicht rechtzeitig unterrichtet oder nicht sicherstellt, dass der Betroffene Kenntnis erhalten kann,
    1. entgegen § 28 Abs. 4 Satz 4 eine strengere Form verlangt,

  1. entgegen § 28 Abs. 5 Satz 2 personenbezogene Daten übermittelt oder nutzt,
    1. entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,
  1. entgegen § 29 Abs. 2 Satz 3 oder 4 die dort bezeichneten Gründe oder die Art und Weise ihrer glaubhaften Darlegung nicht aufzeichnet,
  2. entgegen § 29 Abs. 3 Satz 1 personenbezogene Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse aufnimmt,
  3. entgegen § 29 Abs. 3 Satz 2 die Übernahme von Kennzeichnungen nicht sicherstellt,
    1. entgegen § 29 Abs. 6 ein Auskunftsverlangen nicht richtig behandelt,
    2. entgegen § 29 Abs. 7 Satz 1 einen Verbraucher nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig unterrichtet,
  1. entgegen § 33 Abs. 1 den Betroffenen nicht, nicht richtig oder nicht vollständig benachrichtigt,
    1. entgegen § 34 Abs. 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Abs. 1a, entgegen § 34 Abs. 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Abs. 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Abs. 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder entgegen § 34 Abs. 1a Daten nicht speichert,
    2. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt,
    3. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die andere Stelle verweist,
  1. entgegen § 35 Abs. 6 Satz 3 Daten ohne Gegendarstellung übermittelt,
  2. entgegen § 38 Abs. 3 Satz 1 oder Abs. 4 Satz 1 eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt oder eine Maßnahme nicht duldet oder
  3. einer vollziehbaren Anordnung nach § 38 Abs. 5 Satz 1 zuwiderhandelt.

Weiterhin gibt es Eingaben von Bürgern, die vermeintliche Datenschutzverstöße zum Inhalt haben und ausdrücklich als Ordnungswidrigkeiten-Anzeige bezeichnet sind. Das ist häufig der Fall, wenn die entsprechenden Anzeigen durch Rechtsanwälte erfolgen. Diese Anzeigen hätten in vielen Fällen, wenn sie als Eingabe an die Aufsichtsbehörde gerichtet worden wären, nicht zu einem Bußgeldverfahren geführt, da keine oder nur marginale Verstöße festzustellen waren. Deswegen ist in dieser Kategorie die Anzahl der eingestellten Verfahren hoch.

Zur dritten Gruppe gehören Verfahren, die von Staatsanwaltschaften abgegeben werden. Häufig handelt es sich dabei um Fälle, in denen eine Tat keinen Straftatbestand erfüllt, die Verwirklichung eines Bußgeldtatbestandes jedoch nicht ausgeschlossen ist. Nicht immer hat die Staatsanwaltschaft dabei Überlegungen angestellt, ob ein Bußgeldtatbestand wirklich in Betracht kommt, sondern das Strafverfahren eingestellt, weil die Voraussetzungen des § 44 BDSG â?? Tat gegen Entgelt oder in Schädigungsabsicht â?? nach ihrer Einschätzung nicht vorlagen.
Meist liegt diesen Verfahren der Vorwurf zugrunde, dass unberechtigt Daten verarbeitet wurden.

§ 43 Abs. 2 BDSG

Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

  1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,
  2. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, zum Abruf mittels automatisierten Verfahrens bereithält,
  3. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, abruft oder sich oder einem anderen aus automatisierten Verarbeitungen oder nicht automatisierten Dateien verschafft,
  4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht,
  5. entgegen § 16 Abs. 4 Satz 1, § 28 Abs. 5 Satz 1, auch in Verbindung mit § 29 Abs. 4, § 39 Abs. 1 Satz 1 oder § 40 Abs. 1, die übermittelten Daten für andere Zwecke nutzt,
    1. entgegen § 28 Abs. 3b den Abschluss eines Vertrages von der Einwilligung des Betroffenen abhängig macht,
    2. entgegen § 28 Abs. 4 Satz 1 Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung verarbeitet oder nutzt,
  1. entgegen § 30 Abs. 1 Satz 2, § 30a Absatz 3 Satz 3 oder § 40 Absatz 2 Satz 3 ein dort genanntes Merkmal mit einer Einzelangabe zusammenführt oder
  2. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.

Der Rahmen der zu verhängenden Bußgelder ist gem. § 43 Abs. 3 BDSG zwar hoch, in der Mehrzahl der Fälle wird unter Berücksichtigung der Schwere des Verstoßes sowie auch der wirtschaftlichen Situation des Betroffenen dieser Rahmen bei weitem nicht ausgeschöpft.

§ 43 Abs. 3 BDSG

Die Ordnungswidrigkeit kann im Fall des Abs. 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Abs. 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.


Aus dem ersten Komplex wurden im Laufe des Jahres elf Fälle abgeschlossen, davon wurden sechs mit einem Bußgeld rechtskräftig beendet und fünf eingestellt. Einem Einspruch konnte nicht abgeholfen werden, sodass dieses Verfahren an die Staatsanwaltschaft abgegeben wurde zur Vorbereitung der gerichtlichen Entscheidung.

Von den sechs Verfahren der zweiten Gruppe wurden fünf eingestellt.

Von den 15 Verfahren, die von Staatsanwaltschaften abgegeben worden sind, führte nur eins zu einem rechtskräftigen Bußgeldbescheid. Vier Fälle wurden an die jeweils örtlich zuständige Bußgeldbehörde in einem anderen Bundesland abgegeben. Ein Verfahren wurde an das zuständige Ministerium (vgl. Ziff. 4.1.2.1) weitergereicht.

Insgesamt wurden im laufenden Jahr 3.900 EUR vereinnahmt.

Neben der Möglichkeit, einen Verstoß gegen Vorschriften des BDSG als Ordnungswidrigkeit zu verfolgen, stehen mir weitere Sanktionsmöglichkeiten zur Verfügung.

Die formalen Verpflichtungen der Daten verarbeitenden Stellen, insbesondere die Auskunftserteilung an den Datenschutzbeauftragten als Aufsichtsbehörde können auch mit einem Zwangsgeld durchgesetzt werden. Ein solches musste bis jetzt nicht festgesetzt werden, da schon die Androhung der Festsetzung dazu führte, dass die betroffenen Daten verarbeitenden Stellen ihrer Auskunftsverpflichtung nachgekommen sind.

In der Sache kann dieses Vorgehen im Einzelfall sinnvoller sein als ein Bußgeldverfahren. Denn selbst wenn das Bußgeldverfahren rechtskräftig abgeschlossen ist, ist nicht immer sichergestellt, dass dann auch die ausstehende Antwort im notwendigen Umfang erfolgt; so dass ggf. eine erneutes Vorgehen gegen diese Daten verarbeitende Stelle notwendig werden kann.

4.1.2 Datenschutzverstöße aus anderen Bereichen

Für die Verfolgung von Datenschutzverstößen bei der Anwendung anderer Gesetze ist der Hessische Datenschutzbeauftragte nicht zuständig. Die Übertragung der Zuständigkeit auch für solche Datenschutz-Ordnungswidrigkeiten sowie die Aufnahme eines weiteren Ordnungswidrigkeitentatbestandes zur Schließung einer Lücke sollte bei einer Novellierung erwogen werden.


4.1.2.1 Verstöße gegen das HDSG

Solche Verfahren spielen in der Praxis kaum eine Rolle. Dies liegt nicht zuletzt daran, dass in Hessen â?? anders als teilweise in anderen Landesdatenschutzgesetzen â?? lediglich die zweckwidrige Verwendung von Daten durch Private, die die entsprechenden Daten von einer öffentlichen Stelle für einen konkreten Zweck übermittelt bekommen haben, nach § 41 HDSG bußgeldbewehrt ist.

§ 41 HDSG

(1) Ordnungswidrig handelt, wer entgegen § 16 Abs. 2 oder § 33 Abs. 3 Daten nicht für den Zweck verwendet, zu dessen Erfüllung sie ihm übermittelt wurden.

(2) Die Ordnungswidrigkeit kann mit einer Geldbuße bis zu fünfzigtausend Euro geahndet werden.


Da die Bußgeldvorschrift des § 41 HDSG in der Aufzählung des § 24 Abs. 4 HDSG nicht enthalten ist, richtet sich die sachliche Zuständigkeit zur Verfolgung solcher Ordnungswidrigkeiten nach den gesetzlichen Regelungen im OWiG. Gemäß § 36 Abs. 1 Nr. 2a OWiG ist Ordnungswidrigkeitenbehörde die für solche Verfahren fachlich zuständige oberste Landesbehörde. Da jeweils die einzelnen Ministerien für ihren Bereich die Ausführung des Datenschutzgesetzes sicherzustellen haben, sind sie damit auch gleichzeitig zuständige Bußgeldbehörde.

Ich halte es für sachgerecht, bei einer zukünftigen Novellierung des HDSG mir auch die Zuständigkeit für die Verfolgung dieser Ordnungswidrigkeiten zu übertragen und § 22 Abs. 4 HDSG entsprechend zu ergänzen.


4.1.2.2 Verfolgung von Ordnungswidrigkeiten aufgrund anderer gesetzlicher Regelungen

Schließlich gibt es auch weitere datenschutzrechtliche Bußgeldtatbestände, für die ich derzeit nicht zuständig bin. Dies gilt insbesondere für Verstöße im Bereich des Sozialdatenschutzes. Da es auch in diesem Kontext keine ausdrückliche gesetzliche Regelung zur Zuständigkeit gibt, gilt hier ebenfalls die allgemeine Regelung, dass die fachlich zuständige oberste Landesbehörde zu entscheiden hat.

Da die Situation der des BDSG vergleichbar ist â?? gerade auch im Umfang der Bußgeldtatbestände â?? wäre für eine zukünftige Novellierung des HDSG überlegenswert, auch die Zuständigkeit entsprechend zu regeln, so wie es in einigen Bundesländern erfolgt ist.

Stelle ich im Rahmen meiner Zuständigkeit zur Datenschutzkontrolle Verstöße gegen die Datenschutzregelungen aus dem Bereich des Sozialdatenschutzes fest, die den Verdacht einer Straftat nahelegen, steht auch mir ausdrücklich das Recht zu, Strafanzeige zu erstatten. Dies entspricht der Anforderung aus Art. 28 Abs. 3 der EG-Datenschutzrichtlinie an die Kompetenzen der unabhängigen Datenschutzkontrollinstanzen.

Art. 28 Abs. 3 EG-Datenschutzrichtlinie

Jede Kontrollstelle verfügt insbesondere über

  • Untersuchungsbefugnisse, wie das Recht auf Zugang zu Daten, die Gegenstand von Verarbeitungen sind, und das Recht auf Einholung aller für die Erfüllung ihres Kontrollauftrags erforderlichen Informationen;
  • wirksame Einwirkungsbefugnisse, wie beispielsweise die Möglichkeit, im Einklang mit Artikel 20 vor der Durchführung der Verarbeitungen Stellungnahmen abzugeben und für eine geeignete Veröffentlichung der Stellungnahmen zu sorgen, oder die Befugnis, die Sperrung, Löschung oder Vernichtung von Daten oder das vorläufige oder endgültige Verbot einer Verarbeitung anzuordnen, oder die Befugnis, eine Verwarnung oder eine Ermahnung an den für die Verarbeitung Verantwortlichen zu richten oder die Parlamente oder andere politische Institutionen zu befassen;
  • das Klagerecht oder eine Anzeigebefugnis bei Verstößen gegen die einzelstaatlichen Vorschriften zur Umsetzung dieser Richtlinie.

Da es eine entsprechende Regelung im HDSG nicht gibt, sollte auch dies bei einer zukünftigen Novellierung Berücksichtigung finden.


4.1.2.3 Lücke bei der Ahndung von Datenschutzverstößen

Immer wieder wenden sich Eingeber an mich, um die Sanktionierung anderer Verstöße als die von § 41 HDSG erfassten zu erreichen. Im Rahmen des HDSG ist eine Verfolgung jedoch nur denkbar, wenn die Voraussetzung der Ahndung als Straftat erfüllt ist. Dazu muss der Verstoß mit Schädigungs- oder Bereicherungsabsicht begangen werden.

§ 40 HDSG

(1) Wer gegen Entgelt oder in der Absicht, sich oder einen anderen zu bereichern oder einen anderen zu schädigen, personenbezogene Daten entgegen den Vorschriften dieses Gesetzes

  1. erhebt, speichert, zweckwidrig verwendet, verändert, übermittelt, zum Abruf bereithält oder löscht,
  2. abruft, einsieht, sich verschafft oder durch Vortäuschung falscher Tatsachen ihre Übermittlung an sich oder einen Dritten veranlasst,
  3. wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

    (2) Abs. 1 findet nur Anwendung, soweit die Tat nicht in anderen Vorschriften mit Strafe bedroht ist.


Dass Fehler der Daten verarbeitenden Stelle als Teil der öffentlichen Verwaltung nicht bußgeldbewehrt sind, erklärt sich daraus, dass der Staat sich nicht selbst bestrafen kann. Solche Fälle kann ich nur dadurch sanktionieren, indem eine formale Beanstandung ausspreche.

Allerdings ist nicht jedes Fehlverhalten eines Mitarbeiters bei der Datenverarbeitung der Daten verarbeitenden Stelle selbst zuzurechnen. Dies gilt insbesondere für die Fälle, in denen einzelne Mitarbeiter Daten, auf die sie zu dienstlichen Zwecken zugreifen dürfen, nutzen, um sie im privaten Kontext zu verwenden. Vor allem dann, wenn mit solchen Kenntnissen gegenüber Dritten geprahlt wird oder etwa ein Polizeibeamter wissen möchte, ob über seine neuen Bekannten etwas bei der Polizei bekannt ist, wird in aller Regel die Voraussetzung für eine Straftat nicht vorliegen. Denn er handelt dann nicht gegen Entgelt oder in der Absicht, sich selbst oder einen anderen zu bereichern oder zu schädigen.

Zwar kann in solchen Fällen ein Disziplinarverfahren erfolgen, den Betroffenen ist aber häufig nur schwer vermittelbar, warum keine weitere Ahndung erfolgt. Insbesondere wenn sie wissen, dass sie selbst bei einer vergleichbaren Handlung im Anwendungsbereich des BDSG mit einem Bußgeldverfahren rechnen müssten. In anderen Bundesländern ist der Katalog der möglichen Ordnungswidrigkeiten weiter. Der Gesetzgeber sollte daher bei einer zukünftigen Novellierung des Gesetzes auch in Hessen an eine Ausweitung der Bußgeldtatbestände auf Verfehlungen von Behördenbediensteten denken.

4.1.3 Bußgeldverfahren, weil der gesetzliche Vertreter einer juristischen Person einen Datenschutzverstoß verantwortet

Verantwortlich für die Einhaltung des BDSG ist die Daten verarbeitende Stelle. Wenn diese eine juristische Person ist, handelt für sie ein gesetzlicher Vertreter. Bei der Ahndung in Bußgeldverfahren wird damit zunächst an seine Verantwortung angeknüpft.

Die Bußgeldstelle hat im vergangen Jahr wegen verschiedener Datenschutzverstöße gegen juristische Personen ermittelt. Gerade im Zusammenhang mit Fällen, in denen es darum geht, dass Auskunftsverlangen der Aufsichtsbehörde nicht beantwortet werden (§ 43 Abs. 1 Nr. 10 i. V. m. § 38 Abs. 3 Satz 1 BDSG), kam es nach Zustellung des Bußgeldbescheides zu heftigen Reaktionen der Verantwortlichen. Sie beschwerten sich telefonisch darüber, dass sie die Schreiben der Aufsichtsbehörde nicht erhalten hätten und man sie dafür nicht verantwortlich machen könne.

§ 30 OWiG ermöglicht es, Geldbußen gegen juristische Personen oder Personenvereinigungen zu verhängen, wenn eine ihrer Leitungspersonen eine Straftat oder Ordnungswidrigkeit begangen hat, die die juristischen Personen bzw. Personenvereinigungen treffende Pflichten verletzt oder die zu deren Bereicherung geführt hat, bzw. führen sollte.

Der juristischen Person selbst oder der Personenvereinigung kann keine Ordnungswidrigkeit vorgeworfen werden. Über § 30 OWiG wird das Handeln der Organe und Vertreter der juristischen Person oder Personenvereinigung zugerechnet und sie wird so gestellt, als hätte sie selbst (wie eine natürliche Person) die Tat begangen. Die Festsetzung der Geldbuße gegen die juristische Person bzw. Personenvereinigung erfolgt dann als Nebenfolge der Ordnungswidrigkeit eines gesetzlichen oder sonstigen Vertreters in leitender Stellung.

§ 30 Abs. 1 OWiG

(1) Hat jemand

  1. als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,
  2. als Vorstand eines nicht rechtsfähigen Vereins oder als Mitglied eines solchen Vorstandes,
  3. als vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft,
  4. als Generalbevollmächtigter oder in leitender Stellung als Prokurist oder Handlungsbevollmächtigter einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung oder
  5. als sonstige Person, die für die Leitung des Betriebs oder Unternehmens einer juristischen Person oder einer in Nummer 2 oder 3 genannten Personenvereinigung verantwortlich handelt, wozu auch die Überwachung der Geschäftsführung oder die sonstige Ausübung von Kontrollbefugnissen in leitender Stellung gehört,
eine Straftat oder Ordnungswidrigkeit begangen, durch die Pflichten, welche die juristische Person oder die Personenvereinigung treffen, verletzt worden sind oder die juristische Person oder die Personenvereinigung bereichert worden ist oder werden sollte, so kann gegen diese eine Geldbuße festgesetzt werden.

§ 9 OWiG ermöglicht es, den Vertreter zur Verantwortung zu ziehen. Zwar liegen die Tatbestandsmerkmale mit besonderem persönlichen Bezug, wie z. B. die Auskunftspflicht aus § 38 BDSG, beim Vertreter nicht vor, aber sie werden ihm über § 9 OWiG zugerechnet, ohne dass die juristische Person oder die Personenvereinigung entlastet wird. Pflicht und Handeln fallen in diesen Konstellationen auseinander. Die Lücke wird durch § 9 OWiG geschlossen, indem der Anwendungsbereich von Bußgeldvorschriften, die die juristische Person oder Personenvereinigung treffen, auch auf die gesetzlichen Vertreter und die Beauftragten ausgeweitet wird. Wer zum Kreis der Vertreter gehört, wird im Einzelnen durch das Privat-, Handels- und Gesellschaftsrecht bestimmt (z. B. Geschäftsführer, Vorstand, etc.). § 9 OWiG zählt die Zurechnungsmöglichkeiten abschließend auf.

§ 9 OWiG

(1) Handelt jemand

  1. als vertretungsberechtigtes Organ einer juristischen Person oder als Mitglied eines solchen Organs,
  2. als vertretungsberechtigter Gesellschafter einer rechtsfähigen Personengesellschaft oder
  3. als gesetzlicher Vertreter eines anderen,
so ist ein Gesetz, nach dem besondere persönliche Eigenschaften, Verhältnisse oder Umstände (besondere persönliche Merkmale) die Möglichkeit der Ahndung begründen, auch auf den Vertreter anzuwenden, wenn diese Merkmale zwar nicht bei ihm, aber bei dem Vertretenen vorliegen.

(2) Ist jemand von dem Inhaber eines Betriebes oder einem sonst dazu Befugten

  1. beauftragt, den Betrieb ganz oder zum Teil zu leiten, oder
  2. ausdrücklich beauftragt, in eigener Verantwortung Aufgaben wahrzunehmen, die dem Inhaber des Betriebes obliegen,
und handelt er auf Grund dieses Auftrages, so ist ein Gesetz, nach dem besondere persönliche Merkmale die Möglichkeit der Ahndung begründen, auch auf den Beauftragten anzuwenden, wenn diese Merkmale zwar nicht bei ihm, aber bei dem Inhaber des Betriebes vorliegen. Dem Betrieb im Sinne des Satzes 1 steht das Unternehmen gleich. Handelt jemand auf Grund eines entsprechenden Auftrages für eine Stelle, die Aufgaben der öffentlichen Verwaltung wahrnimmt, so ist Satz 1 sinngemäß anzuwenden.

(3) Die Absätze 1 und 2 sind auch dann anzuwenden, wenn die Rechtshandlung, welche die Vertretungsbefugnis oder das Auftragsverhältnis begründen sollte, unwirksam ist.


Deshalb hat die Bußgeldbehörde zwei Möglichkeiten. Wie sie sich entscheidet, hängt vom Einzelfall ab: Die Ahndung der Ordnungswidrigkeit erfolgt entweder im einheitlichen Verfahren (§ 30 Abs. 1 OWiG), dann wird eine Geldbuße gegen den Vertreter und eine Geldbuße gegen die juristische Person bzw. Personenvereinigung als Nebenfolge der Ordnungswidrigkeit des Vertreters festgesetzt (z. B. gegen eine GmbH und ihren Geschäftsführer). Oder aber die Ahndung erfolgt im selbstständigen Verfahren (§ 30 Abs. 4 OWiG), dann wird eine Geldbuße nur gegen die juristische Person bzw. die Personenvereinigung als Nebenfolge der Ordnungswidrigkeit des Vertreters festgesetzt.

Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.2 Videoüberwachung


Die Videoüberwachung wird als Sicherheitstechnik stets kontrovers diskutiert. Bereits im Jahre 2005 erlangte „die Videoüberwachung“ zweifelhaften Ruhm, als sie in der Kategorie Technik für die schleichende Degradierung von Menschen zu überwachten Objekten und Verharmlosung von Tendenzen zu flächendeckender Überwachung den „Big Brother Award“ zugesprochen bekam. Trotzdem nimmt die Zahl der installierten Überwachungssysteme im Privatbereich stetig zu.


4.2.1
Allgemeines

Seit dem 1. Juli 2011 obliegt mir die Datenschutzaufsicht neben dem öffentlichen auch für den privaten Bereich. Hierzu zählt u. a. die in § 6b BDSG geregelte Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung).

§ 6b BDSG

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie

  1. zur Aufgabenerfüllung öffentlicher Stellen,
  2. zur Wahrnehmung des Hausrechts oder
  3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Verarbeitung oder Nutzung von nach Abs. 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.


Die Anzahl von Beschwerden über installierte Überwachungskameras steigt stetig. Im zurückliegenden Berichtszeitraum haben sich viele Bürgerinnen und Bürger an mich gewandt, weil sie durch die Installation von Überwachungskameras ihr Recht auf informationelle Selbstbestimmung beeinträchtigt sehen.

Die Beschwerden richten sich hauptsächlich gegen Überwachungen in Kaufhäusern und Gastronomiebetrieben sowie deren Außenfassaden, Wohnanlagen und Firmengebäude. Aber auch am Arbeitsplatz und im privaten Bereich sehen sich Bürgerinnen und Bürger zunehmend einer Kameraüberwachung ausgesetzt.

Gemäß § 6b Abs. 1 BDSG ist eine Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) nur zur Aufgabenerfüllung öffentlicher Stellen, zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke zulässig. Es dürfen keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Grundsätzlich ist von einer Videoüberwachung abzusehen, wenn der Überwachungszweck auch mit milderen Mitteln erreicht werden kann. Der Umstand der Beobachtung und die verantwortliche Stelle (§ 3 Abs. 7 BDSG) sind nach § 6b Abs. 2 BDSG durch geeignete Maßnahmen erkennbar zu machen.

Auch Kameraattrappen (sog. „Dummies“) sind als Geräte zur Videoüberwachung zu werten. Hierbei wird vor allem auf den „Überwachungsdruck“ abgestellt, der bereits durch die bloße Möglichkeit einer Videoüberwachung entsteht. Die betroffenen Personen können sich nicht sicher sein, ob sie beobachtet und/oder aufgezeichnet werden oder nicht. So entsteht ein (beabsichtigter) Verhaltenszwang, der als unzulässiger Eingriff in das Persönlichkeitsrecht zu werten ist.

Liegt mir eine Beschwerde gegen eine Videoüberwachung vor, fordere ich die für die Videoüberwachung verantwortliche Stelle unter Schilderung der gesetzlichen Bestimmungen zu einer Stellungnahme auf. Hierfür wird der verantwortlichen Stelle ein Fragenkatalog übersandt. Nach § 38 Abs. 3 BDSG haben mir die verantwortlichen Stellen auf Verlangen die notwendigen Auskünfte zu erteilen. Kommt eine verantwortliche Stelle dieser Verpflichtung nicht, nicht vollständig oder nicht rechtzeitig nach, stellt dies eine Ordnungswidrigkeit dar und kann nach § 43 Abs. 3 BDSG mit einer Geldbuße bis zu 50.000 EUR geahndet werden.


4.2.2
Videoüberwachung in Kaufhäusern und Einzelhandelsgeschäften

Kaufhäuser und Einzelhandelsgeschäfte setzen zur Prävention von Straftaten immer mehr auf – mitunter flächendeckende – Videoüberwachung. Gegen eine Videoüberwachung in Anlieferungszonen, in Lagerräumen und nicht ständig besetzten Kassenbereichen bestehen in der Regel keine Bedenken, da der Arbeitsplatz von Bediensteten in diesen Fällen keiner permanenten Kameraüberwachung ausgesetzt ist.

Oftmals werden jedoch auch Bereiche erfasst, in denen eine Videoüberwachung datenschutzrechtlichen Bedenken begegnet oder unzulässig ist, beispielsweise in Umkleidekabinen und Aufenthaltsräumen der Bediensteten, oder wenn durch die Ausrichtung einer Videokamera permanent der Arbeitsplatz von Bediensteten erfasst wird. Letzteres ist ausschließlich unter den Voraussetzungen des § 32 Abs. 1 BDSG zulässig.

§ 32 Abs. 1 BDSG

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.


Insbesondere Bäckereien und Friseursalons habe ich im Berichtszeitraum zum Entfernen oder Neuausrichten von installierten Videokameras auffordern müssen.


4.2.3
Videoüberwachung in Gastronomiebetrieben

In Gastronomiebetrieben dürfen Kundenbereiche, die mit Tischen und Sitzgelegenheiten ausgestattet sind, nicht mit Videokameras überwacht werden. In öffentlich zugänglichen Räumen, in denen sich Menschen typischerweise länger aufhalten und/oder miteinander kommunizieren, wird das Persönlichkeitsrecht durch eine ständige Videoüberwachung erheblich beeinträchtigt.

Im Berichtszeitraum habe ich mehrere Gastronomiebetriebe überprüft. Neben den Kundenbereichen wurden mitunter auch Arbeitsplätze oder Straßen, Gehwege und Fußgängerzonen (Außenbestuhlung eines Cafes) von den Überwachungskameras erfasst. Durch das Entfernen oder Neuausrichten einzelner Überwachungskameras konnte stets ein datenschutzkonformer Zustand der Videoüberwachung hergestellt werden.


4.2.4
Videoüberwachung in Wohnanlagen

Die Zulässigkeit von Videokameras in Wohnanlagen ist einzelfallabhängig zu bewerten. Hier kommt es zunächst darauf an, wer verantwortliche Stelle nach § 3 Abs. 7 BDSG ist.

§ 3 Abs. 7 BDSG

Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.


Dies kann zum Einen die von der Wohnungseigentümergemeinschaft bestellte Hausverwaltung, aber auch ein Mieter oder Eigentümer sein.

Der Beschluss einer Wohnungseigentümergemeinschaft, dass eine Kameraüberwachung in den Eingangsbereichen von Hochhäusern einer Wohnanlage installiert werden soll, liegt in der Regelungskompetenz der Gemeinschaft gemäß den §§ 15, 21 des Gesetzes über das Wohnungseigentum und das Dauerwohnrecht (WEG) bezüglich des Gebrauchs des Gemeinschaftseigentums. Hier kann der Einsatz von Überwachungskameras beispielsweise dann zulässig sein, wenn es in der Vergangenheit nachweislich zu Schäden durch Vandalismus gekommen ist. Gleiches gilt für die Videoüberwachung in einer zu der Wohnanlage gehörenden Tiefgarage, zu welcher ausschließlich die Mieter und Eigentümer Zutritt haben.

In seinem Urteil vom 8. April 2011 (Az.: V ZR 210/10) erachtet der Bundesgerichtshof eine Videokamera in einem Klingeltableau einer Wohnanlage als zulässig, wenn die Kamera ausschließlich durch Betätigung der Klingel aktiviert wird, eine Bildübertragung allein in die Wohnung erfolgt, bei der geklingelt wurde, die Bildübertragung nach spätestens einer Minute unterbrochen wird und die Anlage nicht das dauerhafte Aufzeichnen von Bildern ermöglicht.

Einzelnen Mietern oder Wohnungseigentümern ist zur Wahrung des Hausrechts lediglich die Überwachung ihres Sondereigentums gem. § 6b Abs. 1 Ziff. 2 BDSG gestattet.


4.2.5
Videoüberwachung im privaten Bereich

Eine Videoüberwachung zur Wahrung des Hausrechts ist im privaten Bereich grundsätzlich zulässig. Somit bestehen gegen die Kameraüberwachung des eigenen Grundstücks der verantwortlichen Stelle (dies kann gem. § 3 Abs. 7 BDSG eine natürliche, als auch juristische Person sein) grundsätzlich keine Bedenken.

Werden jedoch auch öffentlich-zugängliche Bereiche erfasst, beispielsweise öffentliche Straßen, Parks und Gehwege, ist eine Kameraüberwachung nur zulässig, wenn die Voraussetzungen des § 6b Abs. 1 BDSG erfüllt sind.

§ 6b Abs. 1 BDSG

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie

  1. zur Aufgabenerfüllung öffentlicher Stellen,
  2. zur Wahrnehmung des Hausrechts oder
  3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke

erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

Im Berichtszeitraum hat sich eine große Anzahl von Bürgerinnen und Bürgern an mich gewandt, die sich durch Videokameras von Nachbarn oder Firmen in der Nachbarschaft in ihrem Recht auf informationelle Selbstbestimmung beeinträchtigt sahen.

In vielen Fällen konnte durch ein persönliches Gespräch mit den verantwortlichen Stellen ein datenschutzgerechter Zustand der Kameraüberwachung herbeigeführt werden, da vielen Bürgerinnen und Bürgern das Bundesdatenschutzgesetz schlichtweg unbekannt ist. Vereinzelt stößt mein Tätigwerden bei Privatpersonen jedoch auf Unverständnis. Die von mir angeforderten Stellungnahmen werden nicht, nicht vollständig oder nicht rechtzeitig abgegeben. Einige zeigen sich auch gegen Erinnerungen resistent, sodass in diesen Fällen die Einleitung eines Ordnungswidrigkeitenverfahrens unumgänglich ist.

Durch verlockende Angebote von Discountern und Elektrofachmärkten gehe ich davon aus, dass die Zahl der Beschwerden im Bereich der privaten Videoüberwachung weiter steigen wird.


4.2.6
Videoüberwachung durch Tierbeobachtungskameras in hessischen Wäldern

Mir lagen im Berichtszeitraum mehrere Anfragen bezüglich der Rechtmäßigkeit des Einsatzes von Tierbeobachtungskameras vor. Als Tierbeobachtungskameras werden hier alle Geräte und Einrichtungen bezeichnet, die dazu dienen, Bilder und/oder Filme aufzuzeichnen.

Im 23. Tätigkeitsbericht für den nicht-öffentlichen Bereich in Hessen (2009), LTDrucks. 18/2942, wurde bereits unter Ziff. 13.1 zur Videobeobachtung an einer „Wildschweinkirrung“ Stellung bezogen.

Wie verbreitet der Einsatz von Tierbeobachtungskameras in hessischen Wäldern ist, ist leider nur schwer nachvollziehbar.

§ 24 des Hessischen Forstgesetzes (ForstG) erlaubt in Abs. 1, S. 1 grundsätzlich jedem das Betreten des Waldes, sodass der Wald als öffentlich zugänglicher Bereich im Sinne des § 6b BDSG zu sehen ist. Auch ein Wald, der sich im Privateigentum befindet, ist öffentlich zugänglich, da § 24 des ForstG explizit von „jedem“ Wald spricht. § 6b Abs. 1 Ziff. 2 BDSG (Ausübung des Hausrechts) ist daher nicht anwendbar.

Nach § 6b Abs. 1 Ziff. 3 BDSG ist die Videobeobachtung zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke zulässig, soweit sie erforderlich ist und keine Anhaltspunkte bestehen, das schutzwürdige Interessen der Betroffenen überwiegen.

Mit dem HMUELV (Oberste Jagdbehörde) vertrete ich gemeinsam folgende Rechtsauffassung:

Die Interessen der Betroffenen (Waldbesucher, Spaziergänger etc.) haben regelmäßig Vorrang und das rein private Betreiben von Tierbeobachtungskameras im öffentlich zugänglichen Raum ist datenschutzrechtlich grundsätzlich (auch z. B. zum Schutz vor Eigentum) nicht erlaubt. Eine Ausnahme bildet der Betrieb von Tierbeobachtungskameras zu konkreten, wissenschaftlichen Zwecken. Dies bedeutet:

  1. Der Betrieb von Tierbeobachtungskameras wird von einer zuständigen Behörde (entgeltlich oder unentgeltlich) beauftragt oder findet im Rahmen einer solchen Beauftragung statt und die Ergebnisse werden der zuständigen Behörde zur Verfügung gestellt.
  2. Das Vorhaben ist konkret beschrieben, nachvollziehbar begründet und dokumentiert (Ziel und Zweck des Vorhabens, Einsatzbereich, Zeitraum des Einsatzes, verantwortliche Person/Institution).
  3. Der Umstand der Beobachtung sowie die verantwortliche Stelle sind im Umfeld der Tierbeobachtungskameras erkennbar zu machen.

  4. Abbildungen von Personen sind unverzüglich unkenntlich zu machen oder zu löschen.

Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.3 Keine Bestätigung eines in den Medien behaupteten Missbrauchs der Videoanlage in einem Discountermarkt in Südhessen


Enthüllungsjournalismus vermag zwar oft auch der Datenschutzbehörde sachdienliche Hinweise zu geben. Im konkreten Fall gingen jedoch die Behauptungen – soweit überprüfbar – datenschutzrechtlich ins Leere. Sie beschädigten die Reputation eines nur vermeintlich Betroffenen.

Der Aufmacher-Bericht eines Nachrichtenmagazins verbunden mit einer am Vorabend gesendeten Talkshow schreckte an einem Montagmorgen auf: Bei einem großen Discounter soll in einigen hessischen Filialen die Videoanlage in den Verkaufsräumen dazu genutzt worden sein, „sommerlich-leicht bekleidete Kundinnen“ heimlich zu filmen. Die „Filmchen seien dann auf CD gebrannt sogar unter der Hand im Kollegenkreis“ verteilt worden. Es sei ein „offenes Geheimnis“, dass sich Filialleiter einen Spaß daraus machten, vor allem die Bildaufzeichnungen von Frauen in kurzen Röcken oder mit ausgeschnittenen Tops, wenn sie sich über die Kühltheke beugten oder vor Regalen bückten, heranzuzoomen. Zudem soll es durch die Kameraeinstellung möglich sein, im EC-Karten-Bereich der Kassen die PINs auszuspionieren. Geschehen sei dies alles in den Filialen in Frankfurt und einem südhessischen Ort. Zeitgleich mit dem Artikel und der Sendung wurde die Neuerscheinung des Buches eines ehemaligen Mitarbeiters des Discounters beworben, der diese Vorwürfe erhob.

Ich habe auf die Veröffentlichungen unverzüglich reagiert und das Nachrichtenmagazin noch am selben Vormittag gebeten, nähere Angaben zu den meiner Zuständigkeit unterliegenden Filialen zu machen, damit ich diesen ungeheuerlichen Vorwürfen nachgehen konnte. Leider bekam ich von dem Magazin keine weiteren Informationen, sodass ich mich mit eigenen Recherchen begnügen musste.

Ich habe die einzige für mich aus dem Artikel eindeutig identifizierbare Filiale in dem südhessischen Ort unverzüglich aufgesucht und eine Vor-Ort-Überprüfung durchgeführt sowie den Filialleiter, der die Filiale seit 2006 übernommen hat, angehört. Die Zentralverwaltung habe ich aufgefordert, zu den Einstellungen der Videoanlage Stellung zu nehmen und mir anhand der vorhandenen Protokolldateien nachzuweisen, ob bzw. welche Zugriffe in das Videosystem erfolgt sind und ob Einstellungen der Kameras verändert oder Bilder (Daten) auf CDs übertragen wurden.

Die Zentrale der Gesellschaft zeigte sich von den Vorwürfen ebenfalls schockiert, sagte bereitwillige Kooperation und umfängliche Unterstützung bei der Aufklärung zu. Sie stellte die angeforderten Unterlagen und Auskünfte unverzüglich zur Verfügung. Da das Unternehmen ein umfangreiches Datenschutzkonzept zum Einsatz von Videokameras in seinen Filialen umsetzt, war insbesondere die zur Zugriffskontrolle eingesetzte Protokollierung für die Sachaufklärung von Bedeutung.

Die Auswertung der Protokolle ergab, dass im gespeicherten Zeitraum von einem Monat keine Zugriffe irgendwelcher Art erfolgten. Auch stellte sich heraus, dass die Vorwürfe, in der Filiale würden voyeuristische Aufnahmen gefertigt, in sich widersprüchlich und unstimmig waren. Eine Videoüberwachung gibt es dort erst, seitdem der jetzige Filialleiter die Leitung übernommen hat. Da dieser aber – wie einer der beiden Autoren in einem späteren Radio-Interview erklärte – nicht betroffen sei, können in dieser Filiale die behaupteten Aufnahmen gar nicht gemacht worden sein.

Zudem war die Filiale zwischenzeitlich in neue Räumlichkeiten umgezogen. Die dort vorgefundenen Einstellungen des Video-Systems lassen den geschilderten Missbrauch bereits technisch und organisatorisch nicht zu. CDs können mangels Laufwerk nicht verwendet werden. Lediglich bei besonderen Vorfällen (wie z. B. Überfällen) können, durch ein bestimmtes Procedere abgesichert, protokollierte Auszüge für polizeiliche Ermittlungen erstellt werden. Auch die Überprüfung der Kameraeinstellungen im Kassenbereich ergab, dass ein Ausspionieren von Karten-PINs nicht möglich ist. Weder Kunde noch Bezahlvorgang sind auf dem Bildschirm erkennbar. Die entsprechenden Bildabschnitte sind geschwärzt.

Erst zweieinhalb Monate nach der Überprüfung äußerte sich einer der beiden Autoren des Artikels des Nachrichtenmagazins und teilte mir mit, dass es aus grundsätzlichen Erwägungen keine Rechercheunterlagen herausgibt. Eine frühere Nachricht aus seinem Hause habe mich unerklärlicher Weise nicht erreicht. Die dennoch beigefügten – vertraulichen – Hinweise führten zu keinen anderen Feststellungen. Wenn die Vorfälle tatsächlich stattgefunden haben sollten, dann kann dies nur vor mindestens sechs Jahren geschehen sein. Nach dieser langen Zeit ist ein Nachweis nicht mehr zu führen. Auch das angeblich „offene Geheimnis“ der auf CD gebrannten voyeuristischen Videoaufnahmen war den befragten Mitarbeitern nicht bekannt.

Im Ergebnis haben sich die gegenüber der Filiale in dem südhessischen Ort erhobenen Vorwürfe nicht bestätigt. Die Veröffentlichung personenbeziehbarer Daten – ohne Nachprüfung des Wahrheitsgehaltes oder Bezugnahme auf den (lange zurückliegenden) Zeitraum – hat erhebliche Auswirkungen auf den vermeintlich betroffenen Filialleiter gehabt: Er war in diesen Tagen einem öffentlichen Spießrutenlauf ausgesetzt und musste mit großem Aufwand versuchen, sich vor Familie, Verwandten, Nachbarn und Kundschaft zu rechtfertigen und sich gegen die falschen Verdächtigungen zu verteidigen.

Der Fall zeigte aber auch, dass eine wirksame Umsetzung von technischen und organisatorischen Datenschutzmaßnahmen (§ 9 BDSG) in Unternehmen nicht Selbstzweck ist, sondern bereits aus Eigeninteresse der Firmen zur Abwehr von Vorwürfen von Datenschutzverletzungen erforderlich sein kann.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.4 Immer wieder „bcc“-Fehler beim Versenden von Massen-E-Mails


Das Versenden von Massen-E-Mails zu Werbezwecken und geschäftlichen Informationen stellt im Geschäftsalltag vieler Firmen oft eine Routinetätigkeit dar, die beiläufig erledigt wird. Die Verantwortlichen müssen trotzdem durch entsprechende (auch wiederholte) Anweisungen sicherstellen, dass ihre Beschäftigten die Empfängerliste datenschutzgerecht bearbeiten.

Auch in diesem Berichtsjahr kam es mehrfach zu Beschwerden, weil bei der Versendung von Massen-E-Mails durch Unternehmen alle E-Mail-Adressen im „An“ oder „cc“-Adressfeld für alle Empfänger offen lesbar aufgeführt wurden. Erneut waren es Unternehmen, die z. B. einen Newsletter oder Kundeninformationen verschickten.

Aus datenschutzrechtlicher Sicht handelt es sich bei jedem einzelnen Adressdatum, das im offenen Verteiler an alle Empfänger aufgeführt wird, um die Übermittlung personenbezogener Daten. Diese Übermittlung ist, soweit sie ohne Rechtsgrundlage erfolgt, nicht erforderlich und damit datenschutzrechtlich unzulässig. Es handelt sich um einen Ordnungswidrigkeitstatbestand, der mit einer Geldbuße bis zu 300.000 EUR geahndet werden kann.

Wie sich bei der jeweiligen Aufklärung der einzelnen Fälle herausstellte, geschahen die Vorfälle immer aufgrund von Flüchtigkeitsfehlern, in Eile oder durch Unaufmerksamkeit und fehlende Sorgfalt bei der Bearbeitung. Die Konsequenzen dieser Fahrlässigkeiten können mitunter jedoch erheblich sein:

Mit der Datenübermittlung werden Empfänger gegen ihren Willen als Kunde oder Kontaktperson des Unternehmens „geoutet“. Eine Information, die möglicherweise aus guten Gründen bislang vertraulich war und deren Offenlegung dann sehr verärgert. Hinzu kommt, dass andere E-Mail-Empfänger die erhaltenen E-Mail-Adressen ihrerseits für unverlangte Werbe-E-Mails nutzen können. Die hohe Zahl der dann eingehenden E-Mails kann zur Funktionsunfähigkeit eines E-Mail-Accounts führen. Zudem werden durch diese Adressiervariante die E-Mail-Adressen der Empfänger einer kaum einschätzbaren Gefährdung durch Schadprogramme ausgesetzt. Wenn z. B. auch nur ein einziger E-Mail-Empfänger nicht über einen aktuellen Virenschutz verfügt, kann ein entsprechendes Schadprogramm auf seinem PC die mit der Massen-E-Mail übermittelten Daten zur eigenen Weiterverbreitung und/oder zur Fälschung der Absenderangaben entsprechender Trojaner-E-Mails nutzen.

Je nach Art des Unternehmens und Inhalt der E-Mail können Betroffene das Vertrauen in das Unternehmen verlieren, das ja bereits mit den E-Mail-Adressdaten nicht sorgfältig umgeht und geschäftliche Konsequenzen ziehen, die sich auch auf die Beschäftigten auswirken können, die den Fehler verursacht haben.

Besonders folgenreich war die „offene“ Meinungsumfrage einer Personalberatung. Dort wurde einem Studienpraktikanten Gelegenheit gegeben, Informationen für seine Hausarbeit durch Versenden von Fragebögen an die Kunden einzuholen. Weil er dabei versehentlich alle Kunden im offenen Empfängerfeld aufführte, beendete der Arbeitgeber das Praktikum aufgrund des Vorfalles vorzeitig.

Grundsätzlich gilt, dass sich E-Mails mit offen gelegten E-Mail-Adressen oder für alle Empfänger offen lesbaren E-Mail-Verteilern nur für geschlossene Benutzergruppen (z. B. innerhalb eines Unternehmens) eignen und ansonsten nur als Blindkopie („bcc“) verschickt werden dürfen, bei der eine unzulässige Übermittlung personenbezogener Daten über ein E-Mail-Adressierfeld ausgeschlossen ist.

Die Unternehmensleitung ist für die sachgerechte Umsetzung dieser Datenschutzanforderung verantwortlich. Sie muss die Beteiligten immer wieder aufs Neue auf die Risiken aufmerksam machen, informieren und ggf. auch kontrollieren, wenn die bearbeitende Person in der Handhabung nicht geübt ist.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.5 Zuständigkeitsbereich des betrieblichen Datenschutzbeauftragten


Betriebliche Datenschutzbeauftragte sind nicht nur für die Überwachung der ordnungsgemäßen und datenschutzkonformen Verarbeitung von Kundendaten zuständig, sondern haben die gleiche Verantwortung auch für die personenbezogenen Daten der Mitarbeiter im Unternehmen.

Ein Mitarbeiter eines mittelständischen Unternehmens fragte bei mir an, was er dagegen tun könne, dass die Geschäftsleitung seine Krankmeldung jeweils durch eine an alle Mitarbeiter des Unternehmens verschickte E-Mail publik mache. Aus dieser könne man dann ersehen, dass er z. B. vier Tage krankgeschrieben sei.

Ich empfahl dem Petenten, sich mit seinem Anliegen zunächst an den betrieblichen Datenschutzbeauftragten zu wenden. Falls es diesem nicht gelinge, das datenschutzrechtlich unkorrekte Verhalten des Unternehmens abzustellen, könne er sich gerne wieder an mich wenden und ich würde dann entsprechend tätig werden.

Daraufhin entgegnete mir der Mitarbeiter ganz erstaunt, dass er davon ausgegangen sei, dass der betriebliche Datenschutzbeauftragte lediglich für die Kundendaten zuständig sei und ihm nicht bewusst gewesen sei, dass diesem auch die Aufsicht über die Mitarbeiterdaten obliege.

Diese Auffassung hörte ich nicht zum ersten Mal von Mitarbeitern, mit denen ich in Kontakt stand. Darüber hinaus musste ich feststellen, dass auch bestellte Datenschutzbeauftragte sich vorrangig für den Kundendatenschutz zuständig fühlen und der Arbeitnehmerdatenschutz oft völlig in den Hintergrund tritt.

Hier erscheint es sinnvoll, über die Berufsverbände der betrieblichen Datenschutzbeauftragten darauf hinzuweisen, dass der Arbeitnehmerdatenschutz mit der gleichen Intensität wie der Kundendatenschutz betrieben werden muss und dass die Verantwortlichkeit des betrieblichen Datenschutzbeauftragten auch für die Mitarbeiterdaten in den Unternehmen intensiver kommuniziert werden muss.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.6 Interessenkonflikte beim betrieblichen Datenschutzbeauftragten – „Inkompatibilität“


Bei der Bestellung eines nebenamtlichen Datenschutzbeauftragten sind nicht nur betriebliche Interessenskollisionen zu vermeiden. Auch private Beziehungen können ein Ausschlusskriterium für eine Bestellung sein.

Immer wieder erreichen mich Anfragen von Unternehmen, mit welcher Funktion und aus welchem Aufgabengebiet ein Mitarbeiter oder eine Mitarbeiterin zum bzw. zur betrieblichen Datenschutzbeauftragten (bDSB) bestellt werden kann.

Grundsätzlich ist bei der Bestellung von nebenamtlichen bDSB darauf zu achten, dass die betreffende Person nicht mit ihren übrigen Aufgaben in Interessenkollision gerät, da andernfalls die Zuverlässigkeit, die das BDSG in § 4f Abs. 2 fordert, infrage gestellt wird und die beabsichtigte Kontrollfunktion nicht erfüllt werden kann.

§ 4f BDSG

(1)...

(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. ...

(3) Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nicht-öffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei....

(4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.

(4a) Soweit der Beauftragte für den Datenschutz bei seiner Tätigkeit Kenntnis von Daten erhält, für die dem Leiter oder einer bei der öffentlichen oder nichtöffentlichen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht, steht dieses Recht auch dem Beauftragten für den Datenschutz und dessen Hilfspersonal zu. Über die Ausübung dieses Rechts entscheidet die Person, der das Zeugnisverweigerungsrecht aus beruflichen Gründen zusteht, es sei denn, dass diese Entscheidung in absehbarer Zeit nicht herbeigeführt werden kann. Soweit das Zeugnisverweigerungsrecht des Beauftragten für den Datenschutz reicht, unterliegen seine Akten und andere Schriftstücke einem Beschlagnahmeverbot.

(5) ...


Betriebliche Datenschutzbeauftragte können in eine Situation geraten, in der sie auch gegen die Interessen oder Meinungen der Unternehmensleitung handeln müssen. In keinem Fall kann daher der Inhaber selbst, der Geschäftsführer oder ein Vorstandmitglied gleichzeitig bDSB sein. Zum einen, weil er sich selbst kontrollieren müsste, und zum anderen, weil das BDSG die unmittelbare Unterstellung des bDSB unter die Leitung des Unternehmens verlangt (§ 4f Abs. 3 BDSG) und damit der Unternehmer selbst, die Mitglieder der Geschäftsleitung oder des Vorstandes von dieser Funktion ausgeschlossen sind.

Darüber hinaus sollte auch nicht der Leitung der Datenverarbeitung, der Leitung der Personalabteilung, der Leitung des Vertriebs oder der Leitung der Marketing-Abteilung die Funktion des nebenamtlichen bDSB übertragen werden, denn immer dann, wenn Beschäftigte zum bDSB bestellt werden, die als bDSB ihre eigene Tätigkeit in einer anderen Funktion im Unternehmen kontrollieren müssen, ist ein Interessenkonflikt vorprogrammiert.

Daher sollte vor jeder Bestellung von Personen, insbesondere aus einem der genannten Organisationsbereiche, immer kritisch geprüft werden, wie wahrscheinlich ein Interessenskonflikt sein kann, der über das unvermeidbare Maß hinausgeht, insbesondere, wenn z. B. eigene Vorgesetzte kontrolliert werden müssten.

Ein besonderer Fall lag mir vor, als die kaufmännische Assistentin eines Verlages anfragte, ob etwas dagegen spräche, dass sie als kaufmännische Assistentin und Ehefrau des Geschäftsführers zur bDSB bestellt würde. Die notwendige Fachkunde sei vorhanden und zuverlässig sei sie auch.

Das BDSG und einschlägige Kommentare stellen lediglich auf den Interessenkonflikt bezüglich der Funktion im Unternehmen ab. Mögliche verwandtschaftliche oder persönliche Beziehungen und daraus resultierende Konflikte werden nicht thematisiert.

Es spricht auch formaljuristisch nichts dagegen, wenn ein fachkundiger Verwandter oder Ehepartner des Geschäftsführers zum bDSB bestellt würde, trotzdem riet ich davon ab und empfahl, eine andere Lösung zu suchen. Denn auch verwandtschaftliche oder enge persönliche Beziehungen können problematisch sein, weil die notwendige Distanz zur verantwortlichen Stelle und die erforderliche Bereitschaft, einen Konflikt durchzustehen, fehlen können. Aufgrund der engen persönlichen Beziehung in der geschilderten Konstellation sind Interessenkonflikte ggf. auch privater Natur nicht auszuschließen, und damit kann die notwendige Zuverlässigkeit infrage stehen.

Darüber hinaus nimmt der bDSB auch eine Vertrauensstellung gegenüber den übrigen Mitarbeitern und Mitarbeiterinnen des Unternehmens ein. Gemäß § 4f Abs. 4 und 4a BDSG ist er zu Verschwiegenheit über die Identität des Betroffenen verpflichtet, und es steht ihm u. U. ein Zeugnisverweigerungsrecht zu. Hier sollte bereits jeglicher Anschein vermieden werden, der diese Vertrauensposition in Frage stellt und Mitarbeiter und Mitarbeiterinnen ggf. davon abhält, ihr Recht auf informationelle Selbstbestimmung gegenüber dem Arbeitgeber geltend zu machen.

Das Unternehmen war einsichtig und hat von der Bestellung der Ehefrau des Geschäftsführers als nebenamtliche Datenschutzbeauftragte abgesehen.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.7 Das unabdingbare Recht auf Auskunft über die eigenen Daten nach § 13 Abs. 7 TMG und § 34 Abs. 1 BDSG


Einigen Unternehmen ist immer noch nicht geläufig, dass Betroffene ein unabdingbares und unentgeltliches Recht auf Auskunft über die zu ihrer Person gespeicherten Daten und zu deren Herkunft haben. Auch der gesetzlich geregelte Umfang des Auskunftsrechts ist häufig unbekannt.

Das Recht darauf, nach § 13 Abs. 7 TMG und § 34 Abs. 1 BDSG Auskunft über die bei einer nicht öffentlichen Stelle gespeicherten Daten zur eigenen Person zu erhalten und dabei auch erfahren zu können, woher diese Stelle die Daten empfangen und an wen diese weitergegeben wurden, ist oft der erste datenschutzrechtliche Anspruch, den Betroffene gegenüber personalisiert mittels Postbrief oder E-Mail werbenden Unternehmen und allen anderen verantwortlichen Stellen, die personenbezogene Daten verarbeiten, geltend machen.

Erst wenn die Daten den Betroffenen genau benannt sowie Herkunft und mögliche Empfänger offenbart wurden, können weitere datenschutzrechtliche Schutzmechanismen, wie die Rechte auf Berichtigung, Löschung oder Sperrung (§ 35 BDSG) greifen. Den Betroffenen wird durch die Auskunftserteilung weiterhin die Möglichkeit eröffnet, ihre Rechte auch den Stellen gegenüber geltend zu machen, von denen ihre Daten stammten und an die ihre Daten übermittelt wurden. Das Auskunftsrecht gehört daher zu den unabdingbaren Rechten von Betroffenen nach § 6 Abs. 1 BDSG.

§ 6 Abs. 1 BDSG

(1) Die Rechte des Betroffenen auf Auskunft (§§ 19, 34) und auf Berichtigung, Löschung oder Sperrung (§§ 20, 35) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.

§ 34 Abs. 1 BDSG

Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über

  1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  3. den Zweck der Speicherung.


§ 13 Abs. 7 TMG

Der Diensteanbieter hat dem Nutzer nach Maßgabe von § 34 des Bundesdatenschutzgesetzes auf Verlangen Auskunft über die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten zu erteilen. Die Auskunft kann auf Verlangen des Nutzers auch elektronisch erteilt werden.


Obwohl es sich bei § 34 Abs. 1 BDSG um eine Rechtsvorschrift handelt, die auch schon vor den BDSG-Novellen der letzten Jahre Bestand hatte, wenden sich immer noch viele Betroffene mit der Bitte um Unterstützung an mich, da Unternehmen, Werbetreibende, Betreiber von Homepages und E-Mail-Versender ihre datenschutzrechtliche Auskunftspflicht gegenüber Betroffenen nicht genau kennen oder nicht sonderlich ernst nehmen.

Einige Bürgerinnen und Bürger beschwerten sich bei mir, weil verarbeitende Stellen ihr teilweise per Einschreiben versandtes Auskunftsersuchen nicht beantworteten und auch Nachfragen ignorierten. Alle betroffenen Daten verarbeitenden Gewerbetreibenden, Unternehmen und Anbieter von Telemedien (Homepages) wurden von mir über die Rechtslage in Kenntnis gesetzt und auf den seit 1. September 2009 geltenden Bußgeldtatbestand des § 43 Abs. 1 Nr. 8a BDSG (Nichtbeantwortung oder unvollständige Beantwortung des Auskunftsersuchens von Betroffenen) hingewiesen. Zur zeitnahen Erledigung wurde allen Stellen eine angemessene Frist gesetzt, innerhalb derer die Auskunft an den Betroffenen zu erteilen war.

Nur wenige dieser Stellen kamen meiner Aufforderung nicht unverzüglich nach. Hierzu zählte z. B. ein Dienstleistungsunternehmen, das auch noch deutlich verspätet meine Fragen beantwortete und damit zusätzlich gegen § 38 Abs. 3 Satz 1 BDSG verstieß. Gegen dieses Unternehmen wurde ein Bußgeldverfahren nach § 43 Abs. 1 Nr. 10 BDSG eingeleitet.

Bußgeldverfahren nach § 43 Abs. 1 Nr. 8a wurden eingeleitet gegen einen professionellen Adresshändler, der ein nachweislich zugestelltes Auskunftsersuchen nicht beantwortet hatte, sowie gegen einen Versender von unerwünschter E-Mail-Werbung, der das Auskunftsersuchen ignoriert und insbesondere die Frage nach der Herkunft der E-Mail-Adresse des Beschwerdeführers nicht beantwortet hatte.

Oft erhalten Bürgerinnen und Bürger auf ihre Auskunftsersuchen an Unternehmen, von denen sie z. B. Werbe-E-Mails oder Reklamebriefe zugesandt bekommen, unvollständige Antworten, in denen aus Unkenntnis der Rechtslage die Angaben zur Datenherkunft fehlen oder in denen die gespeicherten Daten nicht genau benannt, sondern nur die jeweiligen Datenarten (Name, Anschrift etc.) abstrakt aufgezählt werden. Immer wieder musste ich im Berichtsjahr daher aufgrund von Beschwerden Betroffener speichernde Stellen darauf hinweisen, dass die gespeicherten oder zur Werbung genutzten Daten selbst genau und vollständig zu nennen sind.

Auch Datenherkunft und -empfänger sind nach § 34 Abs. 1 Nr. 1, 2 BDSG mitzuteilen, wobei Informationen über Datenquelle und Datenempfänger nur dann sinnvoll von Betroffenen genutzt werden können, wenn diese genau mit Name und Postanschrift genannt werden. Ein hessischer Adresshändler und seine Fachanwälte konnten sogar erst nach langer Diskussion mit dem Hinweis auf die Bußgeldvorschrift des § 43 Abs. 1 Nr. 8a BDSG überzeugt werden, dass er seine Kunden, an die er Datensätze Betroffener zu Werbezwecken vermietet hatte, mit Name und Postanschrift zu benennen hat. Einem Betroffenen lediglich einen Firmen- oder Markennamen als Datenempfänger zu nennen, baut für die Umworbenen unnötige Hürden bei der dortigen Inanspruchnahme ihrer Datenschutzrechte auf und erfüllt die gesetzlichen Vorgaben daher nicht. Auch falls es sich bei dem Datenempfänger oder der Datenquelle um eine natürliche Person handelt, ist diese mit Name und Anschrift gegenüber dem Betroffenen zu benennen, da sie schließlich als verantwortliche Stelle nach § 3 Abs. 8 BDSG auftritt. Eine entsprechende Argumentation des Adresshändlers mit dem Ziel, diesbezüglich keine Auskunft zu erteilen, musste ich zurückweisen.

Über den gleichen Adresshändler wurde mir die Beschwerde vorgetragen, dieser mache in einem Fall den Nachweis einer Datenschutzverletzung zur Bedingung einer Selbstauskunft. Der Betroffene sollte zunächst beweisen, dass von dem Unternehmen ein Datenschutzverstoß begangen worden sei. Dies sei Bedingung für die Auskunftserteilung. Das BDSG kennt eine solche Bedingung allerdings nicht. Die Selbstauskunft an Betroffene ist deren unabdingbares Recht. Sie hat grundsätzlich von jeder Stelle, die Datenverarbeitung zu eigenen Geschäftszwecken betreibt, kostenlos und ohne weitere Voraussetzungen zu erfolgen. Auf meine Nachfrage bei dem Unternehmen stellte sich im vorliegenden Fall heraus, dass das Auskunftsersuchen den betrieblichen Datenschutzbeauftragten des Unternehmens nie erreicht hatte, sondern dass diese überraschende und grundfalsche Interpretation von § 34 Abs. 1 BDSG von einer neuen ungeschulten Mitarbeiterin im Kundenservice des Unternehmens stammte. Die Mitarbeiterin wurde entsprechend über die Rechtslage unterwiesen. Der Beschwerdeführer erhielt seine Selbstauskunft und die gewünschte Bestätigung der Sperrung seiner Daten (§ 35 Abs. 3 Nr. 2 BDSG).

Ein anderer Petent wies mich auf einen deutschsprachigen Zahlungsdienstleister hin, der nach der Gebührentabelle auf seiner Homepage für eine datenschutzrechtliche Selbstauskunft eine Gebühr von 10 EUR von anfragenden Bürgerinnen und Bürgern erhebt. Da die Konzernholding des englischen Unternehmens ihren Sitz in Hessen hat, habe ich dort unter Hinweis auf die gegenteilige Vorschrift des § 34 Abs. 8 BDSG nachgefragt, ob und wenn ja auf welcher Rechtsgrundlage eine Gebühr für die Inanspruchnahme eines grundlegenden Datenschutzrechts verlangt wird.

§ 34 Abs. 8 BDSG

Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen.


Die deutsche Konzernholding verwies in ihrer Antwort jedoch darauf, dass das BDSG in diesem Fall nicht gelte. Das deutsche Konzernunternehmen, das durchaus unter das BDSG falle, verarbeite selbst keine personenbezogenen Kundendaten. Dies geschehe ausschließlich durch ein Tochterunternehmen mit Sitz in London, das auch als Telemedienanbieter im Impressum ihrer Homepage genannt werde.

Auf die Datenverarbeitung dieses englischen Unternehmens ohne Niederlassung im deutschen Inland ist gem. § 1 Abs. 5 Satz 1 BDSG nicht das deutsche, sondern das englische Datenschutzrecht anzuwenden. Nach Abschnitt 7 des englischen Data Protection Act 1998 ist es im Gegensatz zum deutschen Datenschutzrecht zulässig, von anfragenden Betroffenen eine Bearbeitungsgebühr von 10 EUR für datenschutzrechtliche Selbstauskünfte zu erheben.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.8 Dauerwirkung von Interneteinträgen


Häufig werde ich um Hilfestellung bei der Beseitigung oder Berichtigung von via Internet veröffentlichten personenbezogenen Daten gebeten. Nicht immer gelingt das, wenn die Anbieter nicht die nach § 5 TMG vorgeschriebenen Angaben im Impressum machen. Manchen ist nicht bekannt, dass der Verstoß gegen die Impressumspflicht ein Bußgeldtatbestand ist.

Im Berichtsjahr erreichten mich viele Eingaben und Hilferufe Betroffener über die unerwünschte Online-Veröffentlichung ihrer persönlichen Daten auf privaten und gewerblichen Homepages, in Branchenbüchern, Online-Telefonbüchern und anderen Angeboten im Internet.

Dabei handelte es sich meist um die Angabe veralteter und falscher Anschriften, Telefonnummern und E-Mail-Adressen, um nicht gelöschte Alt-Einträge in Branchen- und Teilnehmerverzeichnissen entgegen § 104 TKG, aber auch um die Veröffentlichung von Bildern mit Namensnennung auf privaten Homepages oder die vergessene Schwärzung eines Namens in einem online veröffentlichten Gerichtsurteil. In allen Fällen waren die Anbieter der Inhalte von den Betroffenen nicht zu erreichen, pflegten ihr via Internet zur Verfügung gestelltes Angebot bereits lange nicht mehr oder reagierten einfach nicht auf deren Berichtigungs- oder Löschungsersuchen.

Bei der Bearbeitung der Eingaben stellte sich heraus, dass der Umgang von privaten und gewerblichen Anbietern mit ihren jeweiligen Angeboten sehr unterschiedlich ist. Während die meisten Anbieter ein korrektes Impressum mit allen Kontaktdaten und Angaben nach § 5 TMG (Anbieterkennzeichnung) führen und sich auch um die Aktualität und Korrektheit ihrer veröffentlichten personenbezogenen Inhalte bemühen, bin ich in den mir vorgelegten Beschwerdefällen immer wieder auf falsche Namen, gefälschte oder veraltete Anschriften sowie nicht funktionierende E-Mail-Adressen und Telefonnummern in den Anbieterkennzeichnungen gestoßen.

In einigen Fällen gelang es mir, die betroffenen Anbieter anhand der Domainregistrierungsdaten bei der DENIC e. G. oder durch eine Internetrecherche ausfindig zu machen und die Daten wie gewünscht löschen zu lassen. Diese Anbieter habe ich zudem alle darauf hingewiesen, dass bei einem Verstoß gegen die Pflicht zur Anbieterkennzeichnung ein Bußgeldverfahren gem. § 16 Abs. 2 Nr. 1 TMG von der hierfür zuständigen Hessischen Landesanstalt für privaten Rundfunk und neue Medien eingeleitet werden kann. Diese Information führte dann immer zu einer Aktualisierung der Angaben im dortigen Impressum. In anderen Fällen, wie z.  B. bei drei polnischen Anbietern veralteter deutscher Telefonbuchdaten, konnte ich eine Berichtigung oder Löschung der Daten der Betroffenen online über die Homepages der Anbieter erreichen, die entsprechende Entfernungslinks anbieten und sich recht kooperativ zeigten.

Aber nicht immer war es mir möglich, in solchen Fällen weiterzuhelfen. Insbesondere bei Branchenbuch-Angeboten, die unter internationalen Top-Level-Domains (z. B. com, net, org oder info) ins Internet gestellt wurden und bei denen die Verantwortlichen das Angebot aus unbekannten Gründen seit langem nicht mehr betreuen und weder den Datenbestand pflegen noch ihre Kontaktdaten veröffentlichen, bin ich in einigen Einzelfällen auch an die Grenzen meiner Möglichkeiten gestoßen. Solche Angebote enthielten dann jeweils auch kein Impressum und die internationalen Domainregistrierungen erfolgten über außereuropäische Dienstleister, die auf Verschleierung der Anbieterangaben spezialisiert sind und ihren Kunden Anonymität zusichern.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.9 Impressumspflicht bei Telemedien


Die Impressumspflicht bei Telemedien mit journalistisch-redaktionell gestalteten Inhalten beinhaltet nicht die Verpflichtung, Name und Anschrift von IT-Administratoren zu veröffentlichen.

In einer Beschwerde wandten sich IT-Administratoren dagegen, dass sie im Impressum einer Webseite als für die Redaktion Verantwortliche mit Namen und Kontaktdaten aufgelistet wurden. Das Impressum enthielt außerdem Angaben zum Verantwortlichen für den Inhalt und zum Verantwortlichen für die Technik. Die Administratoren gestalteten und pflegten nicht den Inhalt des Internetauftritts. Sie waren nicht mit redaktionellen Arbeiten betraut und hatten keinen eigenen Zugriff auf die Inhalte. Ihre Aufgabe bestand lediglich darin, die Inhalte an den Webhoster weiterzuleiten.

Webseitenbetreiber haben nach dem Telemediengesetz eine Reihe von Informationspflichten zu erfüllen. Dazu zählt, dass auf der Webseite Name und Anschrift des Diensteanbieters sowie bei juristischen Personen die Vertretungsberechtigten genannt werden. Bei Webseiten (Telemedien) mit journalistisch-redaktionell gestalteten Inhalten muss zusätzlich ein dafür Verantwortlicher genannt werden. Werden mehrere Verantwortliche benannt, muss kenntlich gemacht werden, wer für welchen Teil des Dienstes verantwortlich ist.

§ 5 Abs. 1 TMG

Diensteanbieter haben für geschäftsmäßige, in der Regel gegen Entgelt angebotene Telemedien folgende Informationen leicht erkennbar, unmittelbar erreichbar und ständig verfügbar zu halten:

  1. den Namen und die Anschrift, unter der sie niedergelassen sind, bei juristischen Personen zusätzlich die Rechtsform, den Vertretungsberechtigten ....


§ 55 Abs. 2 RStV

Anbieter von Telemedien mit journalistisch-redaktionell gestalteten Angeboten, in denen insbesondere vollständig oder teilweise Inhalte periodischer Druckerzeugnisse in Text oder Bild wiedergegeben werden, haben zusätzlich zu den Angaben nach den §§ 5 und 6 des Telemediengesetzes einen Verantwortlichen mit Angabe des Namens und der Anschrift zu benennen. Werden mehrere Verantwortliche benannt, so ist kenntlich zu machen, für welchen Teil des Dienstes der jeweils Benannte verantwortlich ist. ....


Die Regelung im Rundfunkstaatsvertrag ist den presserechtlichen Impressumsvorschriften nachgebildet (vgl. §§ 6 und 7 Hessisches Pressegesetz). Danach sind in Druckwerken Name und Anschrift des Verlegers und des verantwortlichen Redakteurs zu nennen. Der Impressumszwang dient in erster Linie dem Schutz des Persönlichkeitsrechts des von der Berichterstattung Betroffenen. Durch die Impressumspflicht erhält der Betroffene eine ladungs- und zustellungsfähige Anschrift, um sich zivilrechtlich durch Gegendarstellung und Klage auf Unterlassung, Widerruf oder Schadensersatz zur Wehr setzen zu können. Sie erleichtert außerdem den Strafverfolgungsbehörden die strafrechtliche Verfolgung von Pressedelikten.

In das Impressum sind die Personen aufzunehmen, die für die Veröffentlichung und den Inhalt der Veröffentlichung verantwortlich sind. Da die Administratoren nicht zur Leitung der Einrichtung zählten und auch keine redaktionelle Verantwortung trugen, sie lediglich die Inhalte an den Webhoster weiterzuleiten hatten, bestand telemedienrechtlich keine Notwendigkeit, ihre Kontaktdaten auf der Webseite zu veröffentlichen. Es existiert auch keine andere gesetzliche Grundlage, auf die sich unter den beschriebenen Voraussetzungen eine Veröffentlichung von Name und Anschrift der Administratoren auf der Internetseite stützen ließe. Die Veröffentlichung war daher unzulässig.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.10 Informationsaustausch zwischen bürgender Bank und Bürgschaftsgläubiger


Eine im Rahmen eines Avalkreditvertrags bürgende Bank kann sich ohne Wissen des Hauptschuldners beim Bürgschaftsgläubiger erkundigen, ob die Bürgschaft noch benötigt wird.

Ein Bankkunde beschwerte sich darüber, dass sein Kreditinstitut, das für ihn im Rahmen eines Avalkredits eine Bürgschaft über eine halbe Millionen Euro übernommen hatte, ohne sein Wissen beim Bürgschaftsgläubiger nachgefragt hatte, ob die Bürgschaft noch benötigt werde. Die Bank hatte den Bürgschaftsgläubiger dabei aufgefordert, ihr für den Fall, dass die Bürgschaft sich erübrigt habe, die Bürgschaftsurkunde im Original zurückzugeben. Der Beschwerdeführer behauptete, ihm sei durch das Vorgehen der Bank ein erheblicher Schaden entstanden.

Die Zulässigkeit der Anfrage der Bank bei dem Bürgschaftsgläubiger richtet sich nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG.

§ 28 Abs. 1 BDSG

Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,

  1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist, ...

Demzufolge müsste die Anfrage für die Durchführung oder Beendigung des Bürgschaftsvertrages erforderlich gewesen sein. Zwischen Bank und Bürgschaftsgläubiger müsste ein Bürgschaftsvertrag abgeschlossen worden sein. Bei einem Avalkredit bestehen Rechtsbeziehungen zwischen drei Parteien: dem Bankkunden als Hauptschuldner, der Bank als Bürge und dem Gläubiger des Bankkunden als Bürgschaftsgläubiger. Im Avalkreditvertrag verbürgt sich eine Bank für die Verbindlichkeit eines Kunden gegenüber einem Dritten. Es handelt sich um einen entgeltlichen Geschäftsbesorgungsvertrag zwischen der Bank und ihrem Kunden, durch den die Bank es gegen Zahlung einer Avalprovision übernimmt, sich zugunsten des Kunden gegenüber dessen Gläubiger zu verbürgen (§ 675 Abs. 1 BGB). Dieser Vertrag begründet Verpflichtungen lediglich zwischen der Bank und ihrem Kunden, nicht aber zugunsten des Dritten, dem gegenüber die Bank sich verbürgen soll. Ein Bürgschaftsverhältnis zwischen Bank und Gläubiger entsteht erst, wenn in Ausführung des Avalkreditvertrages zwischen Bank und Gläubiger ein Bürgschaftsvertrag (§ 765 BGB) geschlossen wird. Die Überprüfung ergab, dass zwischen dem Kreditinstitut und dem Bürgschaftsgläubiger ein solcher Bürgschaftsvertrag geschlossen worden war.

Für die Durchführung oder Beendigung des Bürgschaftsvertrages muss die Bank wissen, ob der Avalzweck weiterbesteht oder erledigt ist. Die für den Fall der Erledigung von der Bank gewünschte bedingungslose Rückgabe der Bürgschaftsurkunde im Original wäre eine konkludente Erklärung der Bürgschaftsgläubigerin, dass sie keine Ansprüche aus dem Avalkredit mehr geltend macht. Da es sich hier um ein Rechtsverhältnis zwischen Bank und Bürgschaftsgläubiger handelt, besteht datenschutzrechtlich keine Verpflichtung des Kreditinstituts, den Bankkunden zu informieren. Das Verhalten des Kreditinstituts war daher datenschutzrechtlich korrekt.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.11 Auskunfteien


Das Bundesdatenschutzgesetz enthält spezielle Vorschriften für die Datenverarbeitung durch Auskunfteien. Die Übermittlung an Auskunfteien ist seit dem 1. April 2010 neu geregelt. Der Gesetzgeber hat den Interessen der Auskunfteien und deren Kunden gegenüber den Interessen der Betroffenen den Vorrang eingeräumt, die Datenverarbeitung aber an spezifische Voraussetzungen geknüpft. Die Rechte der Betroffenen auf Berichtigung, Löschung oder Sperrung von Daten müssen gewahrt werden.

Im Bereich der Auskunfteien ist die Zahl der Eingaben besonders hoch. Ursächlich ist vielfach Unkenntnis der Rechtslage.

Mit der Novellierung des Bundesdatenschutzgesetzes im Jahr 2010 wurden mit den §§ 28a und 28b BDSG zwei neue Vorschriften geschaffen, welche sich ausschließlich an Auskunfteien wenden. Während § 28a BDSG die Datenübermittlung an Auskunfteien regelt, werden in § 28b BDSG die Voraussetzungen für das sog. „Scoring“ normiert. Dabei handelt es sich um ein analytisch-statistisches Verfahren, welches benutzt wird, um aus erhobenen Daten anhand von Erfahrungswerten zu Risikoeinschätzungen zu kommen. Das Scoring ist für die Betroffenen oft nicht transparent. Über diese Problematik werde ich im nächsten Tätigkeitsbericht berichten.

Die folgenden Ausführungen dienen dazu, Betroffenen die Rechtslage und Voraussetzungen für die Datenverarbeitungen von Auskunfteien zu erläutern. Wesentliche Grundlage hierfür ist der neue § 28a BDSG.

§ 28a BDSG

(1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und

  1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
  2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist,
  3. der Betroffene die Forderung ausdrücklich anerkannt hat,
    1. der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zwei mal schriftlich gemahnt worden ist,
    2. zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen,
    3. die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und
    4. der Betroffene die Forderung nicht bestritten hat oder
  4. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat.
Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet.

(2) Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. Der Betroffene ist vor Abschluss des Vertrages hierüber zu unterrichten. Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. Zur zukünftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig.

(3) Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. Die Auskunftei hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten.

4.11.1
Was ist eine Auskunftei?

In der Begründung zur BDSG-Novelle wird der Begriff der Auskunftei wie folgt definiert: „Unter Auskunftei ist grundsätzlich ein Unternehmen zu verstehen, das unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammelt, um sie bei Bedarf seinen Geschäftspartnern für die Beurteilung der Kreditwürdigkeit des Betroffenen gegen Entgelt zugänglich zu machen“ (BTDrucks. 16/10529, S. 9).

Die für die Kreditwirtschaft wohl bekannteste und größte Organisation ist die SCHUFA (Schutzgemeinschaft für allgemeine Kreditsicherung). Darüber hinaus gibt es eine Reihe weiterer Unternehmen, die ihren Kunden Bonitätsangaben zu Privatpersonen, aber auch zu Unternehmen zur Verfügung stellen. Die Tatsache, dass die SCHUFA, einige Creditreform KGs und weitere kleinere Auskunfteien ihren Sitz in Hessen haben, erklärt das hohe Eingabevolumen auf diesem Gebiet.


4.11.2
Welche personenbezogenen Daten dürfen Auskunfteien erheben?

Auskunfteien beziehen im Wesentlichen zwei Arten von Informationen: Zum einen sind dies sog. Negativdaten, also alle Angaben zu nicht vertragsgemäßem Verhalten des Kunden (z. B. Forderungen nach Kündigung eines Vertrags oder Daten aus öffentlichen Schuldnerverzeichnissen). Von Interesse für die Auskunftei sind aber auch weitere Kundeninformationen, etwa die Anzahl der abgeschlossenen Mobilfunkverträge, das Bestehen eines Girokontos oder die ordnungsgemäße Rückzahlung eines Ratenkreditvertrages.


4.11.3
Fallkonstellationen für die Erhebung, Speicherung und Übermittlung durch die Auskunftei

Das BDSG beschreibt in § 29 die Voraussetzungen für die Erhebung und Speicherung personenbezogener Daten u. a. durch Auskunfteien sowie der Datenübermittlung an Dritte.

§ 29 BDSG

(1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn

  1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat,
  2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder
  3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden.

§ 28 Abs. 1 Satz 2 und Abs. 3 bis 3b ist anzuwenden.

(2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn

  1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und
  2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.

§ 28 Abs. 3 bis 3b gilt entsprechend. Bei der Übermittlung nach Satz 1 Nr. 1 sind die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung von der übermittelnden Stelle aufzuzeichnen. Bei der Übermittlung im automatisierten Abrufverfahren obliegt die Aufzeichnungspflicht dem Dritten, dem die Daten übermittelt werden. Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen.

(3) Die Aufnahme personenbezogener Daten in elektronische oder gedruckte Adress-, Rufnummern-, Branchen- oder vergleichbare Verzeichnisse hat zu unterbleiben, wenn der entgegenstehende Wille des Betroffenen aus dem zugrunde liegenden elektronischen oder gedruckten Verzeichnis oder Register ersichtlich ist. Der Empfänger der Daten hat sicherzustellen, dass Kennzeichnungen aus elektronischen oder gedruckten Verzeichnissen oder Registern bei der Übernahme in Verzeichnisse oder Register übernommen werden.

(4) Für die Verarbeitung oder Nutzung der übermittelten Daten gilt § 28 Abs. 4 und 5.

(5) § 28 Abs. 6 bis 9 gilt entsprechend.

(6) Eine Stelle, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder verändert, hat Auskunftsverlangen von Darlehensgebern aus anderen Mitgliedstaaten der Europäischen Union oder anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum genauso zu behandeln wie Auskunftsverlangen inländischer Darlehensgeber.

(7) Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. Die Unterrichtung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 6a bleibt unberührt.


Die Erhebung, Speicherung und Übermittlung personenbezogener Daten an Dritte ist demnach zulässig, wenn

  • kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung hat.

    Gegen die Speicherung und Übermittlung des Umstands, dass eine gerichtlich bestätigte Forderung durch Maßnahmen der Zwangsvollstreckung eingetrieben werden musste, kann der Schuldner kein schützenswertes Interesse ins Feld führen. Denn dies gehört nicht mehr in den Bereich eines „normalen Schuldnerverhaltens“. Dagegen gibt es keinen Grund für die Erhebung und Übermittlung von personenbezogenen Daten über Schuldner, die ihre Forderung bereits ordnungsgemäß beglichen haben. Deren schutzwürdiges Interesse steht einer solchen Datenverarbeitung entgegen.

  • die Daten aus allgemein zugänglichen Quellen entnommen werden können.

    Dies sind z. B. öffentliche Register, zu denen der Zugang jedermann ohne besondere Voraussetzungen offen steht wie z. B. Handelsregister, Genossenschaftsregister, Vereinsregister. Auch die Nutzung von Medien (Radio, Fernsehen, Druckerzeugnisse) fällt hierunter.

  • einer der gesetzlich abschließend aufgezählten Erlaubnistatbestände zur Datenübermittlung an Auskunfteien nach § 28a Abs. 1 oder Abs. 2 BDSG vorliegt.

    Das ist z. B. der Fall, wenn die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil oder das Vorliegen eines Schuldtitels nach der Insolvenzordnung festgestellt und vom Schuldner nicht bestritten wurde oder wenn der Betroffene die Forderung ausdrücklich anerkannt hat. Zulässig ist die Übermittlung von Daten zu einer Forderung auch, wenn der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung unterrichtet hat und der Betroffenen die Forderung nicht bestritten hat. Kreditinstitute dürfen personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft an Auskunfteien übermitteln.


Bis zum 1. April 2010 lag der Datenerhebung bei Auskunfteien häufig eine Einwilligung des Betroffenen zugrunde. Am bekanntesten ist hier die „SCHUFA-Klausel“, die bei der Eröffnung eines Girokontos oder dem Abschluss eines Handyvertrages zu unterschreiben war.

Ob diese Unterschrift immer freiwillig erfolgte, war umstritten, denn in der Regel hatte der Betroffene keine Wahl, wenn er den Vertrag abschließen wollte. Die beschriebene Praxis war rechtlich also nicht unproblematisch. Da es jedoch unbestritten ebenfalls ein Bedürfnis etwa einer Bank gibt, vor Abschluss eines Darlehensvertrages die Bonität des Kunden zu überprüfen, hat der Gesetzgeber für diese Form der Datenerhebung und -verarbeitung mit der Vorschrift des § 28 Abs. 2 BDSG eine gesetzliche Grundlage geschaffen.

§ 28 Abs. 1 und 2 BDSG

(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig

  1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
  2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder
  3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.

(2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig

  1. unter den Voraussetzungen des Abs. 1 Satz 1 Nummer 2 oder Nummer 3,
  2. soweit es erforderlich ist,
    1. zur Wahrung berechtigter Interessen eines Dritten oder
    2. zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten

      und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder

  3. ...

Kreditinstitute und andere Unternehmen dürfen daher auch Angaben zu mit ihnen bestehenden Verträgen und deren Abwicklung und zu Krediten an Auskunfteien übermitteln.


4.11.4
Daten dürfen nicht unbegrenzt bei einer Auskunftei gespeichert werden

Die bei den Auskunfteien wie z. B. der SCHUFA gespeicherten Daten werden nach Ablauf bestimmter Fristen gelöscht. Diese ergeben sich aus der Vorschrift des § 35 BDSG.

§ 35 BDSG

(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Geschätzte Daten sind als solche deutlich zu kennzeichnen.

(2) Personenbezogene Daten können außer in den Fällen des Abs. 3 Nr. 1 und 2 jederzeit gelöscht werden. Personenbezogene Daten sind zu löschen, wenn

  1. ihre Speicherung unzulässig ist,
  2. es sich um Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit, Sexualleben, strafbare Handlungen oder Ordnungswidrigkeiten handelt und ihre Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann,
  3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
  4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine länger währende Speicherung nicht erforderlich ist.

Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt.

(3) An die Stelle einer Löschung tritt eine Sperrung, soweit

  1. im Fall des Abs. 2 Satz 2 Nr. 3 einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen,
  2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden, oder
  3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

(4) Personenbezogene Daten sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.

(4a) Die Tatsache der Sperrung darf nicht übermittelt werden.

(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.

(6) Personenbezogene Daten, die unrichtig sind oder deren Richtigkeit bestritten wird, müssen bei der geschäftsmäßigen Datenspeicherung zum Zweck der Übermittlung außer in den Fällen des Abs. 2 Nr. 2 nicht berichtigt, gesperrt oder gelöscht werden, wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. Auf Verlangen des Betroffenen ist diesen Daten für die Dauer der Speicherung seine Gegendarstellung beizufügen. Die Daten dürfen nicht ohne diese Gegendarstellung übermittelt werden.

(7) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.

(8) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn

  1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und
  2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.

Kreditverpflichtungen bleiben beispielsweise bis zur vollständigen Rückzahlung im Datenbestand. Danach werden sie als erledigte Kredite für weitere drei Jahre gespeichert und anschließend gelöscht. Dies ist zulässig, da eine ordnungsgemäße Rückzahlung eines Kredites anderen Unternehmen die Zahlungswilligkeit und Zahlungsfähigkeit des Kunden vermittelt und damit für den Kunden vorteilhaft ist.
Die Daten hinsichtlich einer nicht vertragsgemäßen Abwicklung werden am Ende des dritten Kalenderjahres nach dem Jahr gelöscht, in dem die Erledigung stattgefunden hat. Haben sich diese Daten vor Ablauf dieser Löschungsfrist erledigt, z. B. weil der Kunde nach Zwangsmaßnahmen eine offene Forderung beglichen hat, so wird dies bei der SCHUFA vermerkt. Eine vorzeitige Löschung findet allerdings nicht statt, da das Interesse anderer Kredit gewährender Unternehmen an der Information, dass ein potentieller Kunde sich bereits einmal vertragswidrig verhalten hat, höher zu bewerten ist als das Interesse des Betroffenen daran, dass diesen Umstand niemand erfährt.

Die Speicherfrist führt allerdings auch zur dreijährigen Speicherung erteilter Restschuldbefreiungen nach Durchführung von Verbraucherinsolvenzverfahren.


4.11.5
Anspruch auf Löschung oder Korrektur der gespeicherten Daten

Sofern die Auskunftei unkorrekte Angaben zum Betroffenen gespeichert hat, ergibt sich ein Anspruch auf deren Berichtigung nach § 35 Abs. 1 BDSG. Zu löschen sind personenbezogene Daten dann,

  • wenn ihre Speicherung unzulässig ist,
  • es sich um besonders sensible Daten z. B. über die Gesundheit oder rassische Herkunft handelt, deren Richtigkeit durch die speichernde Stelle nicht bewiesen werden kann,
  • die Speicherung nicht mehr erforderlich ist, weil ihre Kenntnis zur Zweckerfüllung nicht mehr erforderlich ist oder
  • die Daten geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung ergibt, dass eine länger währende Speicherung nicht erforderlich ist.

An die Stelle einer Löschung kann bei bestimmten Fallkonstellationen auch eine Sperrung treten. Die Voraussetzungen hierfür ergeben sich aus § 35 Abs. 3 BDSG.


4.11.6
Praktische Probleme

Im Geschäftsleben eines Verbrauchers kommt es zu einer Vielzahl von Datenübermittlungen und Datenanfragen an bzw. bei Auskunfteien. Ob Kleinkredit, Handyvertrag oder Bestellung beim Versandhandel: Stets werden Daten in den persönlichen Datenbestand des Betroffenen bei einer Auskunftei eingepflegt bzw. die dort gespeicherten Daten an Dritte übermittelt. Das entspricht dem Geschäftszweck einer Auskunftei. Dies ist dann unproblematisch, wenn es sich nicht um Negativdaten handelt. Die Einmeldung von Negativdaten, also vertragswidriges Verhalten, weil der Kredit nicht zurückgezahlt oder die Rechung des Versandhändlers nicht beglichen wurde, führt in der Regel für den Betroffenen auf die Zukunft gerichtet zu erheblichen Problemen. Künftige Geschäftspartner, Banken u. a. werden in der Regel von avisierten Geschäften in Kenntnis der Negativdaten Abstand nehmen.

Dabei muss der oder die Betroffene selbst noch nicht einmal schuldhaft gehandelt haben. Die Verwechslung von Personen im Rahmen der Einmeldung oder die Übermittlung unzutreffender Informationen an die Auskunftei kommt immer wieder vor. In diesen Fällen wie auch bei schuldhaftem Handeln ist es für Betroffene schwer, diese Informationen wieder aus dem Datenbestand löschen zu lassen, weil ihnen die Beweislast aufgebürdet ist. Aus diesem Grund ist es erforderlich, eine Einmeldung möglichst zu vermeiden. Auf Mahnbriefe eines Gläubigers sollte deshalb unmittelbar reagiert werden. Gegebenfalls ist der Forderung schriftlich zu widersprechen. Ist die Speicherung erfolgt, muss die Auskunftei veranlasst werden, sich mit der einmeldenden Stelle in Verbindung zu setzen, um den Sachverhalt zu klären und ggf. eine Löschung der Daten vorzunehmen, sofern die Voraussetzungen für die Einmeldung nicht vorgelegen haben.

Ferner müssen die Voraussetzungen des § 28a BDSG für die Einmeldung vorgelegen haben. Die Entscheidung bzw. die Prüfung, ob dem so ist, trifft der Vertragspartner der Auskunftei. Er ist damit für die Zulässigkeit der Datenübermittlung verantwortlich. Die Auskunftei als speichernde Stelle bleibt für die Richtigkeit der von ihr vorgehaltenen Daten verantwortlich, weil deren Speicherung bzw. die Erhebung für eigene Zwecke an die Bedingungen des § 29 Abs. 1 Nr. 1 bis 3 BDSG geknüpft sind.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.12 Datenschutzgerechte Ausgestaltung von Arztbewertungsportalen



Der bundesweit zunehmende Betrieb von Arztbewertungsportalen ist insbesondere von Ärzten kritisch diskutiert worden und war Anlass für Beschwerden bei meiner Dienststelle und anderen Datenschutzbeauftragten. Die für die Betreiber dieser Portale zuständigen Datenschutzaufsichtsbehörden haben sich 2012 auf eine gemeinsame Vorgehensweise zur Klärung und Bewertung der von den Portalen getroffenen Maßnahmen zur Gewährleistung des Persönlichkeitsschutzes der Ärzte verständigt und mit der Versendung eines Fragebogens zur aktuellen Verfahrensweise begonnen.


4.12.1
Einleitung

Öffentlich zugängliche Bewertungen von Waren und Dienstleistungen wie z. B. von Büchern, Restaurants und Hotels gibt es schon seit langer Zeit. Relativ neu ist jedoch der Aufbau von Portalen im Internet, in denen persönliche Urteile über Personen und ihre beruflichen Leistungen abgegeben werden, die dann von einem großen Benutzerkreis oder auch weltweit abgerufen werden können. Derartige Portale gibt es inzwischen in vielen Lebensbereichen, auch im Gesundheitsbereich.

In Deutschland gibt es bereits mehr als 15 Arztbewertungsportale. Die Reaktionen darauf sind unterschiedlich:

  • Einerseits werden sie kritisiert als „digitaler Ärztepranger“, der dem im Internet anonym bewerteten Arzt keine angemessene Möglichkeit gibt, auf Kritik zu reagieren. Hingewiesen wird dabei insbesondere auf die häufig geringe und damit nicht aussagefähige Anzahl von Bewertungen pro Arzt, nicht nachvollziehbare Bewertungskriterien und die Schwierigkeit, Mehrfachbewertungen durch einen Nutzer und anderen Missbrauch der Bewertungsmöglichkeiten zu verhindern; ferner wird auch die Objektivität und Kompetenz der Patienten zur Bewertung von Ärzten in Frage gestellt.
  • Andererseits werden die Portale begrüßt als wertvolles Instrument zur Herstellung von Transparenz für Patienten, das weiterentwickelt werden muss. Gerade im Gesundheitsbereich wird das Bedürfnis gesehen, die Informationsasymmetrie zwischen Leistungserbringern und Patienten bzw. Versicherten auszugleichen, Leistungen vergleichbar zu machen und die Qualität der Leistungen auf diesem Wege zu steigern. So können sich Versicherte z. B. bereits bei den Krankenkassen vergleichend über Qualitätsmerkmale der Krankenhäuser informieren. Auch der sog. Pflege-TÜV, bei dem der Medizinische Dienst der Krankenkassen die ambulanten und stationären Pflegeeinrichtungen bewertet und die Ergebnisse veröffentlicht, soll den Versicherten helfen, sich über die Qualität von Leistungen zu informieren. Im Bereich der niedergelassenen Ärzte wird ebenfalls ein Bedarf der Patienten hinsichtlich Transparenz und Vergleichbarkeit von Leistungen gesehen.

Vor dem Hintergrund der derzeitigen Defizite der Portale haben die Bundesärztekammer und die Kassenärztliche Bundesvereinigung bereits allgemeine Qualitätskriterien für Arztbewertungsportale formuliert (www.arztbewertungsportale.de). Für die Datenschutzaufsichtsbehörden ist die datenschutzgerechte Ausgestaltung der Portale der zentrale Aspekt. Die für Betreiber von privaten, kommerziellen Arztbewertungsportalen zuständigen Datenschutzaufsichtsbehörden – zu denen auch meine Dienststelle wegen des in Hessen betriebenen Portals www.sanego.de zählt – haben sich 2012 auf eine gemeinsame Vorgehensweise zur Klärung und Bewertung der von den Portalen getroffenen Maßnahmen zur Gewährleistung des Persönlichkeitsschutzes der Ärzte verständigt.


4.12.2
Ausgangspunkt: Die rechtlichen Rahmenbedingungen für Bewertungsportale

Die Veröffentlichung von Bewertungen der beruflichen Leistungen von Personen stellt eine Verarbeitung personenbezogener Daten im Sinne von § 3 Abs. 4 BDSG dar. Die Betreiber kommerzieller Portale müssen die Vorschriften der §§ 27 ff. BDSG beachten. Die rechtlichen Anforderungen sind in den letzten Jahren durch die Rechtsprechung konkretisiert worden. Die Rechtsprechung hat den Nutzern und Betreibern von Bewertungsportalen dabei recht weite Spielräume eröffnet. Von zentraler Bedeutung für alle Portale ist das Urteil des BGH von 2009 zu dem Lehrerbewertungsportal Spickmich.de (NJW 2009, 2888). Prüfungsmaßstab ist in dem Urteil § 29 BDSG, der das „geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung“ regelt. Der BGH kommt zu folgendem Ergebnis:

  • Die Erhebung und Nutzung von Namen, Schule sowie unterrichteten Fächern der Lehrer im Portal ist zulässig, weil diese Informationen aus allgemein zugänglichen Quellen (Homepage der Schulen) abgerufen werden können.
  • Die Speicherung von Bewertungen im Portal ist zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat.
  • Die Übermittlung von Daten an Dritte ist nach dem Wortlaut des § 29 BDSG zulässig, wenn der Dritte ein berechtigtes Interesse an ihrer Kenntnisnahme glaubhaft dargelegt hat und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Da bei einem Abruf von Bewertungen im Internet das Vorliegen eines berechtigten Interesses des Dritten jedoch faktisch nicht geprüft werden kann, wäre es dem BGH zufolge ein Verstoß gegen die grundrechtliche Kommunikationsfreiheit, wenn ein Abruf nur unter der Voraussetzung vorgenommen werden könnte, dass der einzelne Interessent sein berechtigtes Interesse glaubhaft dargelegt hat. Die Übermittlung von Bewertungen an die Nutzer des Portals ist daher stets schon dann als zulässig zu bewerten, wenn kein schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Übermittlung besteht. Im Einzelfall ist eine Abwägung vorzunehmen zwischen den Interessen des Bewerteten einerseits und den Interessen der Nutzer des Portals andererseits. Zu unterscheiden ist dabei zwischen Bewertungen in der Form von Meinungsäußerungen, die bis zur Grenze einer sog. „Schmähkritik“ (d. h. unsachlicher Kritik, deren Ziel die Diffamierung des Betroffenen ist) zulässig sind und Tatsachenbehauptungen, die grundsätzlich überprüfbar sind und der Wahrheit entsprechen müssen.

In dem vom BGH entschiedenen Fall konnte aus bestimmten Merkmalen des Lehrerbewertungsportals gefolgert werden, dass kein Interesse des Lehrers an einem Ausschluss der Übermittlung vorliegt, insbesondere weil die Portalbetreiber einer diffamierenden Herabsetzung in gewissem Maße vorbeugen durch
  • die Vorgabe von Bewertungskriterien,
  • die Möglichkeit von Missbrauchsmeldungen an das Portal,
  • die Beschränkung des Zugriffs auf Angehörige der jeweiligen
  • die auf 1 Jahr begrenzte Dauer der Speicherung jeder Bewertung.

4.12.3
Besonderheiten von Arztbewertungsportalen

Die grundsätzlichen Aussagen des BGH im Spickmich-Urteil sind auch für Arztbewertungsportale von Bedeutung:

  • Die Erhebung und Nutzung von Namen, Adresse und Tätigkeitsbereich eines Arztes ist danach zulässig, wenn diese Informationen aus allgemein zugänglichen Quellen (Gelbe Seiten, Homepage der Kassenärztlichen Vereinigungen etc.) abgerufen werden können.
  • Die Speicherung und Übermittlung von Bewertungen ist zulässig, wenn der betroffene Arzt kein schutzwürdiges Interesse an dem Ausschluss von Speicherung und Übermittlung der Bewertungen an die Nutzer hat.

Allerdings unterscheiden sich Bewertungen in Arztbewertungsportalen in einer Reihe von Aspekten von Bewertungen in dem vom BGH betrachteten Lehrerbewertungsportal:
  • Beim Lehrerbewertungsportal wird durch die Registrierung der Nutzer der Zugriff auf Informationen über eine Lehrkraft einer bestimmten Schule beschränkt, die Registrierung setzt die Kenntnis der Schule voraus und Mehrfachbewertungen unter derselben E-Mail-Adresse sind nicht möglich. Dieser Aspekt wurde vom BGH im Spickmich-Urteil hervorgehoben. Allerdings kann auch beim Lehrerbewertungsportal wohl kaum ausgeschlossen werden, dass schulfremde Personen das Registrierungsverfahren gezielt nutzen, um eine Lehrkraft  – u. U. sogar mehrfach unter Verwendung verschiedener E-Mail-Adressen – negativ zu beurteilen und ihr damit zu schaden. Bei Arztportalen sind Bewertungen im Internet ohne Beschränkungen zugänglich und in der Regel auch über Suchmaschinen aufrufbar.
  • Die Bewertungskriterien sind sehr unterschiedlich und hinsichtlich der Ärzte auch komplexer.
  • Für Ärzte kann es wegen der von ihnen einzuhaltenden ärztlichen Schweigepflicht schwierig sein, sich gegen Vorwürfe und Kritik zu wehren.

Ob und unter welchen Voraussetzungen ein schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Speicherung und Übermittlung von Bewertungen vorliegen kann, bedarf daher einer spezifischen Konkretisierung für die Arztbewertungsportale. Als ersten Schritt haben die Datenschutzaufsichtsbehörden einen Fragebogen zur konkreten Ausgestaltung des Bewertungsverfahrens und zu den realisierten Schutzmaßnahmen für die betroffenen Ärzte entwickelt und an die Portale versandt.


4.12.4
Fragebogen der Datenschutzaufsichtsbehörden

Der Fragebogen enthält Fragen zu folgenden Aspekten:

  • Erfordernis der Registrierung von Bewertern
    Eine Registrierung kann Nutzer möglicherweise davon abhalten, gezielt Schmähkritik bzw. unwahre Tatsachenbehauptungen zu verbreiten. Zudem kann im Rahmen des Registrierungsprozesses auf Nutzungsbedingungen hingewiesen und die Bestätigung der Kenntnisnahme der Nutzungsbedingungen verlangt werden. Wenn allerdings jemand gezielt anonym beleidigende oder falsche Bewertungen abgeben will, kann er dies mit einem verhältnismäßigen Aufwand dennoch erreichen, sodass ein Registrierungsverfahren nur ein begrenzter Schutz für die Bewerteten sein kann.
  • allgemeines Bewertungsverfahren
  • im Portal vorgesehene Bewertungskriterien
  • Möglichkeit von Freitexteintragungen im Portal und vor Veröffentlichung vorgesehene Überprüfung der Zulässigkeit
    Freitextfelder ermöglichen eine auf den Einzelfall bezogene spezifische und differenzierte Bewertung, die für andere Nutzer unter Umständen informativer sein kann als Angaben zu abschließend vorgegebenen Bewertungskriterien. Allerdings ist bei Freitextfeldern die Gefahr von Schmähkritik und unwahren Tatsachenbehauptungen deutlich größer als bei abschließend vorgegebenen Bewertungskriterien. Die optimale Datenschutzlösung bei Freitextfeldern wäre eine redaktionelle Moderation aller Bewertungen vor der Veröffentlichung. Ein Beschwerdeverfahren – auch wenn es gut organisiert ist – kann die berechtigten Interessen der Betroffenen nicht immer umfassend schützen. Es setzt voraus, dass der Bewertete selbst oder andere Nutzer zeitnah nach der Veröffentlichung der Bewertung dem Portal einen Missbrauch anzeigen, die betreffende Bewertung dann während der Überprüfung der Zulässigkeit der Bewertung durch das Portal nicht mehr angezeigt wird und beleidigende oder unwahre Äußerungen vom Portal gelöscht werden. Selbst wenn diese Voraussetzungen im Einzelfall gegeben sind, bleibt das Problem, dass die unzulässige Bewertung vermutlich bereits in gewissem Umfang verbreitet wurde und auch nach Herausnahme durch das Portal noch eine Weile z. B. im Google-Cache abrufbar ist. Der Bewertete muss selbst gegenüber Google aktiv werden, um eine zeitnahe Löschung der Bewertung zu erreichen. Allerdings würde eine redaktionelle Moderation aller Freitext-Bewertungen vor Veröffentlichung für die Portalbetreiber sehr erhebliche personelle und finanzielle Anforderungen bedeuten und wohl nach derzeitiger Lage die Aktualität der Portale in Frage stellen. Die Rechtsprechung hat entsprechende Anforderungen bisher nicht formuliert. Umso wichtiger werden dann anderweitige Schutzmaßnahmen für die betroffenen Ärzte (s. u.).
  • Transparenz für die Nutzer hinsichtlich der Anzahl der abgegebenen Bewertungen und des Zeitpunkts der Abgabe der Bewertungen
  • Erfordernis einer Mindestanzahl von Bewertungen vor Veröffentlichung von Bewertungen zu dem betroffenen Arzt
  • Maßnahmen zur Verhinderung von Mehrfachbewertungen durch einen Nutzer innerhalb einer bestimmten Zeitspanne
  • Maßnahmen des Portals zum Schutz der Ärzte gegen Schmähkritik und unwahre Tatsachenbehauptungen
  • Anzeige von vorhandenen Bewertungen zu einem Arzt im Internet auch dann, wenn vom Internetnutzer nicht gezielt nach Bewertungen gesucht wird, sondern z. B. nach der Adresse des Arztes.
  • Information des Arztes über neue Bewertungen und Gelegenheit zur Stellungnahme/ Gegendarstellung/Kommentierung
  • Dauer der Speicherung von einer Bewertung.

Nach Auswertung der Fragebögen wird meine Dienststelle zusammen mit den anderen Aufsichtsbehörden die datenschutzrechtlich gebotenen wie auch evtl. darüber hinausgehenden wünschenswerten Maßnahmen zum Schutz der bewerteten Ärzte im Dialog mit den Portalbetreibern weiter erörtern. Ziel ist eine angemessene Balance zwischen der Meinungs- und Informationsfreiheit einerseits und dem Schutz der Ärzte vor Existenz gefährdender Rufschädigung andererseits.

Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 04.04.2013

 
 

4.13 Bestellung von Datenschutzbeauftragten für Arztpraxen


Arztpraxen müssen einen Datenschutzbeauftragten erst dann bestellen, wenn sie mehr als neun Personen mit der Verarbeitung personenbezogener Daten beschäftigen. Im Regelfall müssen sie keine Vorabkontrolle für ihre automatisierten Verarbeitungen durchführen. Unabhängig davon haben sie aber sicherzustellen, dass die ärztliche Schweigepflicht und die weiteren rechtlichen und technischen Vorgaben für die Verarbeitung von Patientendaten eingehalten werden.

Im Berichtszeitraum habe ich eine Reihe von Anfragen insbesondere von Arztpraxen, externen Datenschutzbeauftragten und Schulungsveranstaltern erhalten bezüglich einer Verpflichtung von Arztpraxen, eine Vorabkontrolle von automatisierten Verarbeitungen durchzuführen und einen Datenschutzbeauftragten zu bestellen. Die Interpretation verschiedener Vorschriften, die bei diesem Thema zu berücksichtigen sind, hat zu Unsicherheiten geführt.

Das BDSG regelt in § 4f, wann von nicht-öffentlichen Stellen – also auch von einer Arztpraxis – ein Datenschutzbeauftragter zu bestellen ist. Gemäß Abs. 1 muss die Arztpraxis spätestens einen Monat nach Aufnahme ihrer Tätigkeit einen Datenschutzbeauftragter schriftlich bestellen, wenn sie

  • in der Regel (d. h. nicht nur ausnahmsweise)
  • mehr als neun Personen (gemeint ist hier die Kopfzahl)
  • ständig mit der automatisierten Verarbeitung (d. h. mit der Verarbeitung von Daten im elektronischen Praxissystem, der strukturierten Patientenkartei oder in medizinischen Geräten, die Patientendaten speichern)
  • personenbezogener Daten (d. h. Angaben zu bestimmten oder bestimmbaren Personen)

beschäftigt.

Unsicherheiten bezüglich der Verpflichtungen kleinerer Arztpraxen haben sich ergeben, weil Abs. 1 darüber hinaus Folgendes festlegt:

§ 4f Abs. 1 BDSG

Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.


Wann eine Vorabkontrolle durchzuführen ist, regelt § 4d Abs. 5 BDSG.

§ 4d Abs. 5 BDSG

Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden ... es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

Da eine Arztpraxis Gesundheitsdaten und damit besondere Arten personenbezogener Daten i. S. v. § 3 Abs. 9 BDSG verarbeitet, besteht damit grundsätzlich die Verpflichtung, eine Vorabkontrolle durchzuführen, es sei denn, die in der Vorschrift genannten Ausnahmen liegen vor. Diese Ausnahmen werden aber in der Regel in einer Arztpraxis bei der routinemäßigen Verarbeitung von Patientendaten vorliegen; so werden z. B.

  • personenbezogene Patientendaten zur Abrechnung an die gesetzlichen Krankenkassen nach den Vorschriften des SGB V (d. h. aufgrund gesetzlicher Verpflichtung) übermittelt,
  • personenbezogene Patientendaten an vor-, mit- oder nachbehandelnde Ärzte mit Einwilligung des Patienten übermittelt und – vor allem – /li>
  • personenbezogene Patientendaten für die Durchführung des Behandlungsvertrages in der Arztpraxis verarbeitet.

Eine Vorabkontrolle muss daher im Regelfall von einer Arztpraxis nicht durchgeführt werden, und die Bestellung eines Datenschutzbeauftragten ist erst dann geboten, wenn die Arztpraxis mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Soweit ein Datenschutzbeauftragter zu bestellen ist, sind seine Aufgaben (Beratung der Praxisleitung, Kontrolle der Einhaltung des Datenschutzes, Schulung von Mitarbeitern etc.) und auch seine organisatorische Stellung (insbesondere die Unabhängigkeit bei der Ausübung seiner Aufgaben) schriftlich zu konkretisieren. Damit keine Interessenkonflikte auftreten, sollte insbesondere keine Personalunion mit der Praxis-, IT- oder Personal-Leitung bestehen.

Unabhängig von der Verpflichtung zur Bestellung eines Datenschutzbeauftragten und zur Durchführung einer Vorabkontrolle im Einzelfall ist jede Arztpraxis verpflichtet, die Einhaltung der ärztlichen Schweigepflicht und der weiteren rechtlichen und technischen Vorgaben bei der Verarbeitung von Patientendaten sicherzustellen (zu Einzelheiten siehe die Empfehlungen der Bundesärztekammer und der Kassenärztlichen Bundesvereinigung zur ärztlichen Schweigepflicht, Datenschutz und Datenverarbeitung in der Arztpraxis, http://www.bundesaerztekammer.depage.asp?his=0.7.47.6188).


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2013

 
 

4.14 Hinweis- und Informationssystem der Versicherungswirtschaft (HIS)


Die Auskunftei HIS ist das Ergebnis einer Abstimmung des Gesamtverbandes der Deutschen Versicherungswirtschaft  e. V. mit den Datenschutzaufsichtsbehörden. Zweck dieser Auskunftei ist, Versicherungsbetrug zu bekämpfen und die Risikoprüfung effizient zu gestalten.

4.14.1
Der Anlass

Ein Bürger beschwerte sich mit seiner Eingabe darüber, dass eine Versicherung seinen PKW betreffende Daten an die Informa Risk + Fraud Prevention GmbH in Baden-Baden übermittelt hatte, die die Auskunftei HIS betreibt. Konkret ging es um die Meldung eines Totalschadens an dem PKW. Der Eingeber kritisierte, dass er in eine Übermittlung seiner PKW-Daten an das HIS nicht eingewilligt habe und daher ein Datenschutzverstoß vorliege.


4.14.2
Zulässigkeit der Einmeldung in das HIS

Der Hinweis des Eingebers, die Einmeldung in das HIS beruhe nicht auf seiner Einwilligung, ist zutreffend. Darin liegt allerdings kein Rechtsverstoß.

Eine Datenübermittlung ist nämlich nicht nur dann zulässig, wenn sie sich auf eine Einwilligung stützen kann (§§ 4, 4a BDSG). Rechtsgrundlage kann auch eine gesetzliche Befugnisnorm sein, in vorliegendem Kontext § 28 Abs. 1 Nr. 2 BDSG.

§ 28 Abs. 1 Nr. 2 BDSG

(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,

  1. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, …

Vor diesem rechtlichen Hintergrund ist zwischen dem Gesamtverband der Deutschen Versicherungswirtschaft e. V. in Berlin (GDV) und den Datenschutzaufsichtsbehörden abgestimmt worden, dass Versicherungsunternehmen bei Vorliegen bestimmter Einmeldekriterien Daten an den Betreiber des HIS zu melden befugt sind. Diese Konstellation liegt dann vor, wenn es um erhöhte Risiken geht oder Auffälligkeiten, die auf Versicherungsmissbrauch hindeuten könnten. In das HIS melden Versicherungen unter anderem Auffälligkeiten aus Versicherungsfällen und personenbezogene Informationen zu Risikoprüfungen im Antragsbereich. Vor einer Einmeldung von personenbezogenen Daten sind die Interessen der Versicherungsbranche und der Betroffenen abzuwägen. Bei Vorliegen der festgelegten Meldekriterien ist allerdings regelmäßig von einem überwiegend berechtigten Interesse des Unternehmens an der Einmeldung auszugehen. Beispielsweise wird bei Kraftfahrzeugen dann in das HIS eingemeldet, wenn ein Totaldiebstahl, Totalschaden oder eine fiktive Abrechnung (über 2.500 EUR) vorliegen.

Bei der Eingabe ging es um die Meldung eines Totalschadens. Ich habe den Eingeber über die Zulässigkeit dieser Einmeldung informiert.


4.14.3
Ausblick

Das Thema HIS ist auch in den neuen Verhaltensregeln der Versicherungswirtschaft, Code of Conduct (coc) nach der Vorschrift des § 38a BDSG, ein Regelungsgegenstand.

§ 38a BDSG

(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten.

(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht.


Mittlerweile ist die Überprüfung durch die Berliner Datenschutzaufsichtsbehörde abgeschlossen und die Vereinbarkeit des ihr unterbreiteten Entwurfs mit dem geltenden Datenschutzrecht festgestellt worden.

Art. 14 coc

(1) Die Unternehmen der deutschen Versicherungswirtschaft – mit Ausnahme der privaten Krankenversicherer – nutzen ein Hinweis- und Informationssystem (HIS) zur Unterstützung der Risikobeurteilung im Antragsfall, zur Sachverhaltsaufklärung bei der Leistungsprüfung sowie bei der Bekämpfung von Versicherungsmissbrauch. Der Betrieb und die Nutzung des HIS erfolgen nach den Regelungen des Bundesdatenschutzgesetzes zur geschäftsmäßigen Datenerhebung und -speicherung zum Zweck der Übermittlung (Auskunftei).

(2) Das HIS wird getrennt nach Versicherungssparten betrieben. In allen Sparten wird der Datenbestand in jeweils zwei Datenpools getrennt verarbeitet: in einem Datenpool für die Abfrage zur Risikoprüfung im Antragsfall (A-Pool) und in einem Pool für die Abfrage zur Leistungsprüfung (L-Pool). Die Unternehmen richten die Zugriffsberechtigungen für ihre Mitarbeiter entsprechend nach Sparten und Aufgaben getrennt ein.

(3) Die Unternehmen melden bei Vorliegen festgelegter Einmeldekriterien Daten zu Personen, Fahrzeugen oder Immobilien an den Betreiber des HIS, wenn ein erhöhtes Risiko vorliegt oder eine Auffälligkeit, die auf Versicherungsmissbrauch hindeuten könnte. Vor einer Einmeldung von Daten zu Personen erfolgt eine Abwägung der Interessen der Unternehmen und des Betroffenen. Bei Vorliegen der festgelegten Meldekriterien ist regelmäßig von einem überwiegenden berechtigten Interesse des Unternehmens an der Einmeldung auszugehen. Besondere Arten personenbezogener Daten, wie z. B. Gesundheitsdaten, werden nicht an das HIS gemeldet.

(4) Die Unternehmen informieren die Versicherungsnehmer bereits bei Vertragsabschluss in allgemeiner Form über das HIS unter Angabe der verantwortlichen Stelle mit deren Kontaktdaten. Sie benachrichtigen anlässlich der Einmeldung die Betroffenen über die Art der gemeldeten Daten, den Zweck der Meldung, den Datenempfänger und den möglichen Abruf der Daten.

(5) Ein Abruf von Daten aus dem HIS kann bei Antragstellung und im Leistungsfall erfolgen, nicht jedoch bei Auszahlung einer Kapitallebensversicherung im Erlebensfall. Der Datenabruf ist nicht die alleinige Grundlage für eine Entscheidung im Einzelfall. Die Informationen werden lediglich als Hinweis dafür gewertet, dass der Sachverhalt einer näheren Prüfung bedarf. Alle Datenabrufe erfolgen im automatisierten Abrufverfahren und werden protokolliert für Revisionszwecke und den Zweck, stichprobenartig deren Berechtigung prüfen zu können.

(6) Soweit zur weiteren Sachverhaltsaufklärung erforderlich, können im Leistungsfall auch Daten zwischen dem einmeldenden und dem abrufenden Unternehmen ausgetauscht werden, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Der Datenaustausch wird dokumentiert. Soweit der Datenaustausch nicht gemäß Artikel 15 erfolgt, werden die Betroffenen über den Datenaustausch informiert. Eine Information ist nicht erforderlich, solange die Aufklärung des Sachverhalts dadurch gefährdet würde oder wenn die Betroffenen auf andere Weise Kenntnis vom Datenaustausch erlangt haben.

(7) Die im HIS gespeicherten Daten werden spätestens am Ende des 4. Jahres nach dem Vorliegen der Voraussetzung für die Einmeldung gelöscht. Zu einer Verlängerung der Speicherdauer auf maximal 10 Jahre kommt es in der Lebensversicherung im Leistungsbereich oder bei erneuter Einmeldung innerhalb der regulären Speicherzeit gemäß Satz 1. Daten zu Anträgen, bei denen kein Vertrag zustande gekommen ist, werden im HIS spätestens am Ende des 3. Jahres nach dem Jahr der Antragstellung gelöscht.

(8) Der Gesamtverband der Deutschen Versicherungswirtschaft gibt unter Beachtung datenschutzrechtlicher Vorgaben einen detaillierten Leitfaden zur Nutzung des HIS an die Unternehmen heraus.


Der GDV hat bereits Anwendungshinweise zum HIS an die Versicherungswirtschaft herausgegeben.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2013

 
 

4.15 Löschung von Gesundheitsdaten bei Versicherungen


Es ist nicht erforderlich, vom Versicherungsnehmer eingereichte medizinische Unterlagen zu speichern, wenn ein Versicherungsvertrag letztlich nicht zustande kommt.

4.15.1
Der Anlass

Ein Bürger bat mich mit seiner Eingabe, folgenden Sachverhalt datenschutzrechtlich zu überprüfen:

Er habe zur Prüfung der Voraussetzungen für eine private Berufsunfähigkeitsversicherung bei einem Versicherungsunternehmen medizinische Unterlagen eingereicht. Nachdem ein Vertragsschluss nicht zustande gekommen sei, habe er die Löschung dieser medizinischen Daten verlangt. Der Versicherer habe dies mit Blick auf § 257 HGB abgelehnt. Der Petent bat um Auskunft, ob diese Vorgehensweise datenschutzrechtlich zulässig ist.


4.15.2
Datenschutzrechtliche Bewertung

Datenschutzrechtlich sind personenbezogene Daten u. a. dann nicht zu löschen, wenn gesetzliche Aufbewahrungsfristen entgegen stehen (§ 4 Abs. 1 BDSG).

Eine solche Vorschrift könnte § 257 HGB sein.

§ 257 HBG

(1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:
...
2. die empfangenen Handelsbriefe
...
(4) Die in Abs. 1 Nr. 1 und 4 aufgeführten Unterlagen sind 10 Jahre, die sonstigen in Abs. 1 aufgeführten Unterlagen 6 Jahre aufzubewahren.


Die entscheidende Frage ist demnach, ob auch eingereichte medizinische Unterlagen als empfangene Handelsbriefe mit einer sechsjährigen Aufbewahrungsfrist anzusehen sind, wenn ein Versicherungsvertrag letztlich nicht zustande kommt. Handelsbriefe sind nur Schriftstücke, die ein Handelsgeschäft betreffen (§ 257 Abs. 2 HGB).

Zu dieser Thematik hat das Bundesministerium der Justiz in einem Antwortschreiben auf eine Anfrage des Bayerischen Landesamtes für Datenschutz darauf hingewiesen, dass Unterlagen, die im Verlaufe von Verhandlungen zwischen Versicherungsnehmer und Versicherungsunternehmen anfallen, grundsätzlich Handelsbriefe im Sinne von § 257 HGB sein können. Komme es aber nicht zu einem Vertragsschluss, seien medizinische Informationen nicht dem § 257 HGB zuzuordnen. Dies ergebe sich daraus, dass die Korrespondenz, die nicht zu einem Abschluss eines Handelsgeschäfts geführt habe, nicht als Handelsbrief einzuordnen sei. Medizinische Unterlagen unterlägen insoweit keiner handelsrechtlichen Aufbewahrungspflicht. Dieser Position des Bundesministeriums der Justiz habe ich mich angeschlossen.

Dies hat zur Konsequenz, dass im vorliegenden Kontext § 257 HGB einer Löschung von Gesundheitsdaten nicht entgegen steht. Dieses Ergebnis harmoniert insbesondere auch mit § 213 des Versicherungsvertragsgesetzes vom 22. November 2007 (VVG). Diese Norm ist zwar nur in den Schlussvorschriften des VVG platziert, signalisiert aber dennoch deutlich, dass der Gesetzgeber personenbezogenen Gesundheitsdaten gerade auch im Versicherungsvertragsrecht besondere Beachtung schenkt. Auch wenn die Regelung die Erhebung dieser Daten bei Dritten betrifft, so wird doch exemplarisch deutlich, dass gerade auch im Versicherungsvertragsrecht Gesundheitsdaten datenschutzrechtlich einem besonderen Schutz unterliegen.

§ 213 VVG

(1) Die Erhebung personenbezogener Gesundheitsdaten durch den Versicherer darf nur bei Ärzten, Krankenhäusern und sonstigen Krankenanstalten, Pflegeheimen und Pflegepersonen, anderen Personenversicherern und gesetzlichen Krankenkassen sowie Berufsgenossenschaften und Behörden erfolgen; sie ist nur zulässig, soweit die Kenntnis der Daten für die Beurteilung des zu versichernden Risikos oder der Leistungspflicht erforderlich ist und die betroffene Person eine Einwilligung erteilt hat.

(2) Die nach Absatz 1 erforderliche Einwilligung kann vor Abgabe der Vertragserklärung erteilt werden. Die betroffene Person ist vor einer Erhebung nach Absatz 1 zu unterrichten; sie kann der Erhebung widersprechen.

(3) Die betroffene Person kann jederzeit verlangen, dass eine Erhebung von Daten nur erfolgt, wenn jeweils in die einzelne Erhebung eingewilligt worden ist.

(4) Die betroffene Person ist auf diese Rechte hinzuweisen, auf das Widerspruchsrecht nach Absatz 2 bei der Unterrichtung.


Vor diesem Hintergrund habe ich die Versicherung um Stellungnahme gebeten, ob sie an ihrer Rechtsansicht festhalte, § 257 HGB stehe der vom Eingeber begehrten Löschung seiner Gesundheitsdaten entgegen.

Daraufhin hat die Versicherung sich nochmals mit der Angelegenheit befasst und mir als Ergebnis mitgeteilt, dass sie die vom Eingeber angestrebte Löschung seiner medizinischen Daten vorgenommen habe. Den Eingeber habe ich hierüber informiert.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2013

 
 

4.16 Datenübermittlungen zwischen Versicherungen


Versicherungen sind u. a. dann befugt, Daten eines Versicherten einem anderen Versicherer zu übermitteln, wenn dies zur Wahrung der berechtigten Interessen dieses Versicherers erforderlich ist und kein Grund zu der Annahme besteht, dass der Versicherte ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.


4.16.1
Der Anlass

Mit ihrer Eingabe kritisierte eine Versicherte folgenden Verfahrensablauf: Sie befinde sich zurzeit mit der Versicherung K. in einem Rechtsstreit wegen eines Verkehrsunfalls. Auf Grund einer missverständlichen Angabe im Impressum dieser Versicherung K. habe sie zuvor fehlerhaft die Versicherung R. verklagt. Die Versicherung R. habe gegenüber dem Gericht Klageabweisung beantragt, u. a. weil die Klage gegen den falschen Beklagten, nämlich die Versicherung R. statt Versicherung K. gerichtet sei. Der Datenschutzverstoß bestehe darin, so die Eingeberin, dass die Versicherung K. der Versicherung R. für diesen Prozess Versichertendaten betreffend den Verkehrsunfall übermittelt habe. Beide Versicherungen gehören zum selben Versicherungskonzern.


4.16.2
Datenschutzrechtliche Bewertung

Eine Versicherung ist befugt, einer anderen Versicherung personenbezogene Daten einer Versicherten zu übermitteln, wenn dies zur Rechtsverteidigung gegenüber der von der Versicherten erhobenen Klage geschieht. Die Berechtigung einer Versicherung, personenbezogene Daten einer anderen Versicherung zur Wahrung deren berechtigen Interessen zu übermitteln, ergibt sich aus § 28 Abs. 2 Nr. 2a BDSG.

§ 28 Abs. 2 Nr. 2a BDSG

Die Übermittlung … ist zulässig

    2. soweit es erforderlich ist,

    1. zur Wahrung berechtigter Interessen eines Dritten
      ...
und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung … hat.

Im vorliegenden Fall war es so, dass sich die Versicherung R., an die Daten übermittelt wurden, zusätzlich zu dem Hinweis, dass sie die falsche Beklagte sei, versicherungsrechtlich (also in der Sache betreffend den Verkehrsunfall) verteidigen wollte. Die Übermittlung war also erforderlich, um die Versicherung R. in die Lage zu versetzen, vollständig auf die Klagebegründung erwidern zu können. Es bestand kein Grund zu der Annahme, dass die Versicherte ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung personenbezogener Daten an die Versicherung R. hatte, weil sie gegen diese Versicherung ja Klage erhoben hatte und es insoweit kein schutzwürdiges Interesse gab, dass die beklagte Versicherung R. nicht umfassend der Klage entgegentreten konnte.

Ich habe die Eingeberin über diese datenschutzrechtliche Bewertung informiert.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2013

 
 

4.17 Telefonische Spendenwerbung


Telefonische Spendenwerbung durch nichtstaatliche Organisationen, die gemeinnützig oder auch als Interessenverbände tätig werden (sog. Spendensammelorganisationen), ist nur mit Einwilligung des Betroffenen zulässig.

In einem Beschwerdefall wurde die Petentin, die in unregelmäßigen Abständen an eine Spendenorganisation spendete, von deren Mitarbeiter telefonisch kontaktiert und um eine regelmäßige halbjährige Spende gebeten. Dies lehnte die Petentin mit dem Hinweis ab, sie könne eine solche Verpflichtung nicht eingehen, da sie immer nur dann spende, wenn sie Geld übrig habe. Kurz nach diesem Telefonat erhielt die Petentin dennoch ein Schreiben der Organisation, in dem ihr für ihre Spendenbereitschaft gedankt und gleichzeitig mitgeteilt wird, dass ab einem bestimmten Zeitpunkt regelmäßig halbjährlich 10 EUR von ihrem Konto abgebucht werde. Die Petentin teilte der Organisation mit, dass sie der Abbuchung einer regelmäßigen Spende von ihrem Konto am Telefon nicht zugestimmt habe und bat um Löschung ihrer personenbezogenen Daten, weil sie künftig keinen Kontakt mehr zu der Organisation wünsche.
Nachdem die Organisation sich bei ihr entschuldigt hatte und versicherte, dass keine Abbuchungen erfolgen würden, aber nicht auf die Löschung ihrer Daten eingegangen war, bat mich die Petentin um Unterstützung, die Löschung ihrer Daten gemäß § 35 BDSG durchzusetzen.

Die betroffene Organisation gehört zu den sog. NGOs (non governmental organisations), also nichtstaatliche Organisationen, die gemeinnützig oder auch als Interessenverbände tätig werden (Spendensammelorganisationen).

Nach herrschender Meinung fallen NGOs, die gemeinnützig tätig sind, nicht unter die Bestimmungen des § 7 des Gesetzes gegen den unlauteren Wettbewerb (UWG), wonach eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, unzulässig wäre.

Das bedeutet aber nicht, dass diesen Organisationen Telefonwerbung grundsätzlich erlaubt ist. Auch die Telefonnummer einer natürlichen Person stellt bereits ein personenbezogenes Datum dar, deren Speicherung und Nutzung zu geschäftlichen Zwecken einer datenschutzrechtlichen Grundlage oder der Erlaubnis des Betroffenen bedarf.

Soweit es für Zwecke der Werbung für Spenden, die nach § 10b Abs. 1 und § 34g des Einkommensteuergesetzes steuerbegünstigt sind, erforderlich ist, dürfen nach § 28 Abs. 3 Satz 2 Ziff. 3 BDSG personenbezogene Daten in bestimmtem Umfang verarbeitet oder genutzt werden. Erlaubt ist dies bei listenmäßig oder sonst zusammengefassten Daten über Angehörige einer Personengruppe, die sich auf die Zugehörigkeit der Betroffenen zu dieser Personengruppe, seine Berufs-, Branchen- oder Geschäftsbeziehungen, seinen Namen, Titel, akademischen Grad, seine Anschrift, sein Geburtsjahr beschränken.

Demnach dürfen NGOs zur Spendenwerbung (nur) diese sog. „Listendaten“ verarbeiten und nutzen.

Das BDSG erlaubt in diesem Bereich (§ 28 Abs. 3 Satz 2 Nr. 3 BDSG) darüber hinaus keine Hinzuspeicherung oder gar werbliche Nutzung von weiteren Datenarten wie z. B. Telefonnummern oder E-Mail-Adressen durch die verantwortliche Stelle. Daraus ergibt sich, dass eine Speicherung und Nutzung der Telefonnummer nur mit Einwilligung des Spenders möglich wäre.

Im konkreten Beschwerdefall lag allerdings eine Einwilligung der Petentin nach § 4a Abs. 1 Satz 3 i. V. m. § 28 Abs. 3a BDSG zur telefonischen werblichen Ansprache nicht vor.

Das Verhalten der NGO habe ich als Verstoß gegen die datenschutzrechtlichen Bestimmungen beanstandet. Gleichzeitig habe ich die Spendenorganisation aufgefordert, künftig Telefonwerbung ohne vorliegende datenschutzrechtliche Einwilligung der Spender zu unterlassen.

Die personenbezogenen Daten der Petentin hat die NGO nach meiner Intervention, wie von dieser gewünscht, gelöscht.


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2013

 
 

4.18 Internetgestütztes Kampfrichter-Administrationssystem


Auch Sportverbände nutzen zur Verwaltungsoptimierung immer stärker das Internet. Ein Bundesverband hat mit meiner Hilfe ein Kampfrichter-Administrationssystem datenschutzkonform umgesetzt.

Ein großer bundesdeutscher Sportverband trat an mich heran und bat um datenschutzrechtliche Prüfung und Beratung zu einem für die speziellen Bedürfnisse des Verbandes entwickelten internetgestützten Kampfrichteradministrationssystem, das bundesweit eingesetzt werden sollte. Die Vertreter des Verbandes legten mir dazu die Beschreibungen der einzelnen Module, die Regelung der Zugriffsrechte, die Datenschutzerklärung der Nutzer (Einwilligungserklärung gem. § 4a BDSG), die Hinweise zum Datenschutz sowie die Nutzungsbedingungen des Verbandes vor.
Die wesentlichen Module der Automatisierung sind die Pflege der Kontaktdaten der Nutzer, die Einteilung der Kampfrichter, die Bewertung der Kampfrichter und die Nachrichten- und Informationsverwaltung. Die Zugriffsrechte der einzelnen Nutzer beruhen auf einem Rollensystem, wonach nur die Administratoren den Zugang zum Gesamtsystem erhalten. Für die einzelnen Nutzer sind ihrer Funktion angepasste (eingeschränkte) Zugriffsrechte vorgesehen. Sind die entsprechenden Grunddaten durch die Berechtigten der jeweiligen Ebene eingegeben, kann sich ein Kampfrichter u. a. zu Turnieren anmelden und seine Einteilung sowie das weitere Procedere (z. B. Bildung einer Fahrgemeinschaft) über das System abwickeln. Auch hat er die Möglichkeit, seine Bewertungen einzusehen. Die Daten sind allerdings nur solange verfügbar, wie der Nutzer im System als „aktiv“ gekennzeichnet ist.

Die Überprüfung der Module und Zugriffsrechte ergab keine Beanstandungen. Die Zugriffsrechte waren nach dem Erforderlichkeitsgrundsatz ausgerichtet, d. h. jeder Zugriffsberechtigte kann das System nur im Rahmen seines Aufgabenbereichs nutzen. Insbesondere wurde nur die Verarbeitung der erforderlichen Daten vorgesehen. Auch wurde die Eingabe freiwilliger Daten hinreichend gekennzeichnet.

Allerdings habe ich darauf Wert gelegt, dass die Verpflichtung der Zugriffsberechtigten auf das Datengeheimnis (§ 5 BDSG) nicht online erfolgt, wie es ursprünglich vorgesehen war.

§ 5 BDSG

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.


Zwar hat der Gesetzgeber die Verpflichtung auf das Datengeheimnis an keine besonderen Formvorschriften gebunden. Bereits aus Nachweisgründen ist jedoch eine schriftliche Vorgehensweise anzuraten. Da die jeweilige Person verpflichtet werden muss, ist sie auch entsprechend zu informieren und über die Folgen einer Verletzung der Verpflichtung aufzuklären. Die Verpflichtung sollte daher aktenkundig gemacht und ihr Vollzug – ebenfalls zu Beweiszwecken – vom Betroffenen durch Unterschrift bestätigt werden. Der Verband sah von einer Online-Verpflichtung ab und verpflichtete die Zugriffsberechtigten in der empfohlenen Schriftform.

Bezüglich der Datenschutzerklärung und den Hinweisen zum Datenschutz sowie den Nutzungsbedingungen habe ich einige kleinere, zumeist redaktionelle Änderungen empfohlen, die zu einem besseren Verständnis und zu mehr Transparenz für die Nutzer führen sollen. Dies bezog sich z. B. auf Hinweise zur nur eingeschränkten Protokollierung von IP-Adressen. Eine vollständige Speicherung der aufrufenden IP-Adresse eines Seitenabrufs im Protokoll des Webservers ist nach derzeitiger Rechtsprechung nicht zulässig. Die Protokolleinträge sind zu anonymisieren (Löschen der letzten oder der letzten und vorletzten Stelle der IP-Adresse), sodass Auswertungen nach Herkunft der Aufrufe damit nicht mehr möglich sind. Ein entsprechender Hinweis über die Anonymisierung sollte im Internetangebot vermerkt werden. Der Verband setzte diese Anregungen bei seinen Hinweisen um.

Schließlich bestellte der Verband im Zuge der Einführung des Systems einen Datenschutzbeauftragten nach § 4f BDSG und ist damit seinen gesetzlichen Verpflichtungen nachgekommen.

Nach Abschluss meiner Beratung wurde das Administrationssystem datenschutzkonform in Betrieb genommen


Zurück zum Inhaltsverzeichnis des 41. Tätigkeitsberichtes

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.04.2013