4. Datenschutz im nicht-öffentlichen Bereich - Aufsichtsbehörde nach § 38 BDSG


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.1 Bußgeldverfahren

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.1.1 Überblick über die im Berichtsjahr abgeschlossenen Bußgeldverfahren


Auch in diesem Jahr wurde wieder eine Vielzahl von Bußgeldverfahren anhängig. Spektakuläre Fälle waren dabei allerdings nicht zu verzeichnen.


Den zu bearbeitenden Fällen lagen auch in diesem Jahr sehr unterschiedliche Sachverhalte zugrunde.

Insbesondere im Kontext der Nichtbeachtung von Werbewidersprüchen wurden mehrmals Verfahren durchgeführt, da sich Verstöße wiederholt hatten, nachdem die Aufsichtsbehörde einen ersten Verstoß beanstandet hat, verbunden mit der Aufforderung in Zukunft größere Sorgfalt walten zu lassen. Im Rahmen der Bearbeitung stellte sich dann teilweise heraus, dass bei der Löschung der Daten nach erfolgtem Werbewiderspruch nicht sorgfältig genug vorgegangen wurde. Sei es, weil nicht alle für Werbezwecke vorgehaltenen Dateien abgeglichen wurden, sei es, dass nur einzelne E-Mail-Adressen gelöscht wurden, obwohl der Betroffene ausdrücklich die Löschung aller zu seiner Person gespeicherten Daten verlangt hatte.

Wie in den letzten Jahren berichtet, versuche ich seit einiger Zeit die Nichterfüllung der Auskunftsverpflichtung an die Aufsichtsbehörde gem. § 38 Abs. 3 BDSG mit Hilfe von Zwangsgeldandrohungen durchzusetzen. Grundsätzlich führt dies häufig dann zu zeitnahen Antworten. Allerdings schließt das im Einzelfall nicht aus, dass trotzdem auch ein Bußgeld verhängt wird. Dies betrifft insbesondere solche Fälle, in denen auch nach Nachfrage keine oder nicht vollständige Auskunft erteilt wurde. Häufig sind in diesen Fällen zudem weitere Verstöße zu ahnden, insbesondere die Nichterteilung von Auskünften an den Betroffenen oder unzulässige Datenverarbeitungen.

In diesem Jahr wurden insgesamt 30 Verfahren abgeschlossen. Dem lagen 11 Verstöße gegen Pflichten der verantwortlichen Stellen gegenüber Betroffenen und Aufsichtsbehörden (Tatbestände des § 43 Abs. 1 BDSG) zugrunde sowie 19 Verstöße wegen unzulässiger Datenverarbeitung (Tatbestände des § 43 Abs. 2 BDSG). Insgesamt wurden 16 Bußgelder in Höhe von 14.200 EUR verhängt. In einem Fall habe ich Strafantrag gestellt.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.1.2 Eine unzulässige Werbe-E-Mail - vier bußgeldfähige Datenschutzverstöße


E-Mail-Werbung ohne Einwilligung des Adressinhabers ist grundsätzlich unzulässig. Bei jeder Nutzung personenbezogener Daten zu Werbezwecken ist der Adressat auf sein Widerspruchsrecht hinzuweisen. Bei der Erteilung einer Auskunft an Betroffene über die zu ihrer Person gespeicherten Daten sind diese Daten immer konkret zu benennen. Wenn mehr als neun Personen in einem Unternehmen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein betrieblicher Datenschutzbeauftragter zu bestellen.


Durch die Eingabe einer Betroffenen, die sich aufgrund einer unerwünschten personalisierten Werbe-E-Mail mit einer Beschwerde an mich wandte, wurde ich auf ein hessisches Unternehmen mit sechs unselbständigen Niederlassungen im Bundesgebiet aufmerksam, bei dem sich im Laufe der Bearbeitung der Eingabe herausstellte, dass dort offensichtlich keinerlei Kenntnisse grundlegender datenschutzrechtlicher Regelungen vorhanden waren.


4.1.2.1
Intransparente Datenerhebung und E-Mail-Werbung ohne Einwilligung

Die Betroffene hatte dem Unternehmen ihre E-Mail-Adresse bereits vor Jahren anlässlich einer Terminvereinbarung überlassen und die Dienstleistung des Unternehmens seither nicht mehr in Anspruch genommen. Bei der damaligen Datenerhebung wurde sie entgegen § 4 Abs. 3 Nr. 2 BDSG nicht auf eine beabsichtigte künftige Nutzung der E-Mail-Adresse zu Werbezwecken hingewiesen.


§ 4 Abs. 3 BDSG

Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über

  1. die Identität der verantwortlichen Stelle,
  2. die Zweckbestimmungen der Erhebung, Verarbeitung oder Nutzung und
  3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss,
zu unterrichten.


Umso überraschter war sie, als sie eine E-Mail-Mitteilung des Unternehmens über den bevorstehenden Umzug einer Niederlassung erhielt, in der zusätzlich ausführlich für die Dienstleistungen und aktuelle Sonderangebote geworben wurde.

Grundsätzlich bedarf die werbliche Nutzung einer personenbeziehbaren E-Mail-Adresse gem. § 28 Abs. 3 BDSG der Einwilligung der Betroffenen.


§ 28 Abs. 3 Satz 1 BDSG

Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke des Adresshandels oder der Werbung ist zulässig, soweit der Betroffene eingewilligt hat und im Falle einer nicht schriftlich erteilten Einwilligung die verantwortliche Stelle nach Absatz 3a verfährt.


Da im vorliegenden Fall keine der Regelungen des § 28 Abs. 3 Satz 2 bis 5 BDSG zur Anwendung kommen konnte, nach denen eine Einwilligung in die Nutzung personenbezogener Daten zu Werbezwecken bei Bestandskunden unter bestimmten Bedingungen nicht erforderlich gewesen wäre, hätte das Unternehmen die E-Mail-Adresse der Betroffenen ohne Einwilligung nicht zu Werbezwecken nutzen oder verarbeiten dürfen. Da die personenbezogene E-Mail-Adresse der Betroffenen nicht allgemein zugänglich war, erfüllte das Unternehmen mit der unbefugten Verarbeitung der E-Mail-Adresse zu Werbezwecken den Bußgeldtatbestand des § 43 Abs. 2 Nr. 1 BDSG.


4.1.2.2
Hinweis auf das Widerspruchsrecht gegen Werbung

Bereits bei der damaligen Datenerhebung anlässlich des ersten Vertragsabschlusses hätte die Betroffene gem. § 28 Abs. 4 Satz 2 BDSG darauf hingewiesen werden müssen, dass ihr ein Widerspruchsrecht gegen die Verarbeitung der erhobenen Daten zu Werbezwecken zusteht. Dieser Hinweis wurde aber unterlassen. Zusätzlich musste ich feststellen, dass die Werbe-E-Mail entgegen § 28 Abs. 4 Satz 2 BDSG weder einen Hinweis auf das Widerspruchsrecht gegen Werbung noch den bei Werbe-E-Mails üblichen und durchaus als Widerspruchshinweis im Sinne dieser BDSG-Vorschrift interpretierbaren Abmeldelink enthielt.



§ 28 Abs. 4 Satz 2 1. Halbsatz BDSG

Der Betroffene ist bei der Ansprache zum Zweck der Werbung oder der Markt- oder Meinungsforschung und in den Fällen des Absatzes 1 Satz 1 Nummer 1 auch bei Begründung des rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses über die verantwortliche Stelle sowie über das Widerspruchsrecht nach Satz 1 zu unterrichten; ...


Wer personenbezogene Daten seiner Kunden zu Werbezwecken verarbeitet und den Betroffenen bei der Datenerhebung und bei jeder werblichen Ansprache nicht auf sein Widerspruchsrecht hinweist, erfüllt den Bußgeldtatbestand des § 43 Abs. 1 Nr. 3 BDSG.


4.1.2.3
Selbstauskunft

Die Betroffene nahm die unerwünschte Werbe-E-Mail zum Anlass, eine Selbstauskunft gem. § 34 Abs. 1 BDSG von dem Unternehmen zu verlangen.


§ 34 Abs. 1 BDSG

Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über

  1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen,
  2. den Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und
  3. den Zweck der Speicherung.

Der Geschäftsführer des Unternehmens reagierte zwar schnell, aber falsch, denn er benannte bei seiner Auskunft lediglich die Datenarten und nicht konkret die in seinem Unternehmen gespeicherten Daten der Kundin. Diese Art der fehlerhaften Auskunftserteilung geschieht leider immer noch sehr häufig, obwohl ich Unternehmen seit Jahren darauf hinweise, dass die gesetzlichen Anforderungen so nicht erfüllt werden (vgl. auch 41. Tätigkeitsbericht, Ziff. 4.7). Das Auskunftsrecht gehört nach § 6 Abs. 1 BDSG zu den unabdingbaren Rechten der Betroffenen. Nur wenn die Daten genau benannt werden, können weitere datenschutzrechtliche Schutzmechanismen, wie z. B. das Recht auf Berichtigung (§ 35 BDSG), greifen. Da die Wahrnehmung des Auskunftsrechts oftmals eine zentrale und wichtige Funktion für die Betroffenen hat, hat der Gesetzgeber in § 43 Abs. 1 Nr. 8a BDSG bei fehlender, unvollständiger, verspäteter oder falscher Auskunft verantwortlicher Stellen an Betroffene die Möglichkeit der Einleitung eines Ordnungswidrigkeitsverfahrens vorgesehen.


4.1.2.4
Betrieblicher Datenschutzbeauftragter

Der Empfehlung der datenschutzrechtlich sehr fachkundigen Betroffenen, zur Erteilung der Auskunft seinen betrieblichen Datenschutzbeauftragten hinzuzuziehen, entgegnete der Geschäftsführer, dass er keinen betrieblichen Datenschutzbeauftragten bestellt habe und diese Position aufgrund der (angeblichen) Wichtigkeit des Datenschutzes in seinem Unternehmen selbst einnehme.

Inhaber, Vorstände, Geschäftsführer und sonstige gesetzlich oder verfassungsmäßig berufene Vertreter einer verantwortlichen Stelle dürfen jedoch nicht die Position des betrieblichen Datenschutzbeauftragten einnehmen. Diese Inkompatibilität lässt sich bereits aus dem Wortlaut des § 4f Abs. 3 Satz 1 BDSG ableiten, wonach der Beauftragte für den Datenschutz dem Leiter der verantwortlichen Stelle unmittelbar zu unterstellen ist. Das entscheidende Argument gegen die Bestellung eines Mitglieds der Unternehmensleitung ist jedoch die Unzulässigkeit der Identität von Kontrollierendem und Kontrolliertem wegen der zwangsläufigen Interessenkonflikte. Die Nichtbestellung eines betrieblichen Datenschutzbeauftragten trotz offensichtlich vorliegender gesetzlicher Verpflichtung hierzu erfüllt den Bußgeldtatbestand des § 43 Abs. 1 Nr. 2 BDSG.

Das Unternehmen wurde nachdrücklich auf die Notwendigkeit einer Werbe-Einwilligung, des Widerspruchshinweises bei Werbung, eine korrekte Beauskunftung bei Selbstauskünften und die Erforderlichkeit der Bestellung eines betrieblichen Datenschutzbeauftragten hingewiesen und zeigte sich einsichtig: Eine betriebliche Datenschutzbeauftragte wurde umgehend bestellt, E-Mail-Werbung wird künftig vollständig unterlassen und Auskünfte nach § 34 Abs. 1 BDSG werden in Zukunft korrekt erteilt.

Aufgrund der Vielzahl der vorliegenden Verstöße wurde die Sache dennoch an die Bußgeldstelle meines Hauses zur Prüfung der Einleitung entsprechender Verfahren nach dem Gesetz über Ordnungswidrigkeiten weitergeleitet.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.1.3 Bußgeldverfahren beim Einsatz sog. Dash-Cams im Straßenverkehr


Der Einsatz einer an der Windschutzscheibe eines Pkw installierten Videokamera, einer sog. Dash-Cam, ist weiterhin sehr beliebt und nur unter engen Voraussetzungen aus datenschutzrechtlicher Sicht zulässig. Oftmals zur Dokumentation von Unfällen oder verkehrsgefährdendem Verhalten anderer Verkehrsteilnehmer eingesetzt, kann die Benutzung dieser kleinen Videokamera ein Ordnungswidrigkeitenverfahren mit Erlass eines Bußgeldbescheids nach sich ziehen.


Dash-Cams sind Mini-Kameras, die in einem Kraftfahrzeug auf dem Armaturenbrett innen vor der Windschutzscheibe befestigt werden und den gesamten Straßenverkehr sowie das Randgeschehen aufzeichnen können. Sie erfreuen sich großer Beliebtheit bei den Autofahrern. Der Einsatz erfolgt unter anderem für Landschaftsaufnahmen, "Sightseeing" in der Stadt oder aber auch zur Beweissicherung bei Gefährdungslagen und Unfällen oder der Dokumentation sonstigen strafbaren Verhaltens anderer Verkehrsteilnehmer.


4.1.3.1
Rechtlicher Rahmen von Videoaufzeichnungen im Straßenverkehr

Diese Videoaufzeichnungen durch Privatpersonen sind Datenerhebungen und daher ein Eingriff in das Recht auf informationelle Selbstbestimmung und unterliegen den Vorschriften des BDSG. § 6b BDSG regelt die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung).


§ 6b Abs. 1 und 3 BDSG

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie

  1. zur Aufgabenerfüllung öffentlicher Stellen,
  2. zur Wahrnehmung des Hausrechts oder
  3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Ziels erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.


Meiner Meinung nach ist der Einsatz dieser Kameras im öffentlichen Straßenverkehr gemessen an § 6b BDSG grundsätzlich unzulässig. Dies habe ich bereits in meinem 42. Tätigkeitsbericht 2013 (Ziff. 4.2.2.6) festgestellt, entsprechend dem Beschluss der Aufsichtsbehörden über den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 25./26.02.2014). Gemäß § 6b Abs. 1 Nr. 3 und Abs. 3 BDSG ist danach eine Beobachtung und Aufzeichnung mittels Videokamera nur zulässig, soweit dies zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Diese Voraussetzungen sind in aller Regel jedoch nicht erfüllt, da die schutzwürdigen Interessen der anderen Verkehrsteilnehmer überwiegen. Dash-Cams zeichnen den Verkehr ohne Anlass und permanent auf, so dass eine Vielzahl von Verkehrsteilnehmern betroffen ist, die sämtlich unter einen Generalverdacht gestellt werden, ohne dass sie von der Überwachung Kenntnis erlangen oder sich entziehen können. Das Interesse des Autofahrers, für den eher theoretischen Fall eines Verkehrsunfalls Beweismittel in der Hand zu haben, kann den gravierenden Eingriff in das Persönlichkeitsrecht der Verkehrsteilnehmer nicht rechtfertigen.


4.1.3.2
Dash-Cam-Aufzeichnungen als Ordnungswidrigkeit

Wer entgegen § 6b BDSG den Straßenverkehr videoüberwacht, begeht eine Ordnungswidrigkeit gem. § 43 Abs. 2 Satz 1 BDSG, da unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhoben werden. Diese Ordnungswidrigkeit kann mit einer Geldbuße bis zu 300.000 EUR geahndet werden. Im Berichtsjahr 2015 wurden von mir erstmals mehrere Ordnungswidrigkeitenverfahren im Zusammenhang mit dem Einsatz sog. Dash-Cams im Straßenverkehr abgeschlossen.

In allen Fällen filmte ein Autofahrer das Verkehrsgeschehen mit einer Dash-Cam und händigte später der Polizei die Aufnahmen aus. Dokumentiert werden sollte jeweils das verkehrswidrige Verhalten anderer Verkehrsteilnehmer, die etwa andere Autos auf dem Standstreifen überholten, andere Verkehrsteilnehmer bedrängten oder durch Handzeichen beleidigten. Auch ein Unfall mit einem nur geringen Sachschaden wurde gefilmt.


4.1.3.2.1
Erhebung personenbeziehbarer Daten

Oftmals wurde in den einzelnen Verfahren eingewandt, man könne ja kaum eine Person erkennen bei den rasanten Aufnahmen während der Autofahrt und ein Kennzeichen müsse auch nicht gleich auf eine bestimmte Person schließen lassen, so dass fraglich sei, ob das BDSG überhaupt anzuwenden wäre. Diese Einschätzung ist jedoch falsch, da Kfz-Kennzeichen immer personenbeziehbar sind. Auch sind bei Aufnahmen von Personen diese immer erkennbar, da der Film etwa auch langsam abgespielt werden kann. Dies gilt auch für Passanten am Straßenrand, bei denen ebenfalls eine Datenerhebung stattfindet.


4.1.3.2.2
Die Videoaufnahme als Beweismittel gegen "Verkehrssünder"

Im Rahmen der Anhörung im Ordnungswidrigkeitenverfahren nach § 55 OWiG wurde von den Betroffenen oft hervorgebracht, dass man ja nur die "Verkehrssünden" anderer beweisen und somit zur Aufklärung des Sachverhalts beitragen wollte. Im Übrigen seien in der letzten Zeit Urteile von Gerichten ergangen, die eine solche Videoaufnahme als Beweismittel akzeptiert hätten. Die jeweils genannten Urteile beschäftigten sich jedoch alle mit der Frage, ob die Dash-Cam-Aufzeichnungen im Einzelfall in ein Zivil- oder Strafverfahren als Beweis eingebracht werden konnten. Nicht beurteilt wurde die Frage der datenschutzrechtlichen Zulässigkeit. Nur hierauf kommt es aber an bei der Prüfung durch die Datenschutzaufsicht, ob der Tatbestand einer Ordnungswidrigkeit verwirklicht ist. Bei der Frage, ob etwa im Strafrecht ein Beweisverwertungsverbot vorliegt, werden ganz andere Voraussetzungen geprüft. Somit darf man sich nicht durch eventuell in der Presse herumgeisternde Meldungen irritieren lassen.


4.1.3.2.3
"Unwissenheit schützt vor Verhängung eines Bußgeldes nicht"

Auch das Argument, man wusste ja gar nicht, dass das Filmen mit einer Dash-Cam mit der Zahlung eines Bußgelds enden kann, verfängt nicht. Unwissenheit schützt auch hier vor Strafe bzw. der Verhängung eines Bußgelds nicht. Nach § 11 Abs. 2 OWiG handelt ein Täter dann nicht vorwerfbar, wenn er den Irrtum über das Bestehen oder die Anwendbarkeit einer Rechtsvorschrift nicht vermeiden konnte, ein sog. Verbotsirrtum. Es ist jedoch davon auszugehen, dass jedermann weiß, dass man nicht einfach ohne Einwilligung Foto- oder Filmaufnahmen von anderen fremden Personen anfertigen kann. Auch wenn diese Aufnahmen nur "im Vorbeifahren" entstehen und einzelne Personen vielleicht verschwommen zu sehen sind, bleiben es Videoaufnahmen von Verkehrsteilnehmern, die auch durch das Kfz-Kennzeichen zu identifizieren sind. Es ist allgemein bekannt und entspricht dem Rechtsempfinden der Allgemeinheit, dass niemand Foto- und Videoaufnahmen von anderen Personen ohne deren Einwilligung machen darf, es sei denn, dies geschieht im privaten Rahmen. Selbst wenn dies einem Dash-Cam-Nutzer im Einzelfall nicht bewusst ist, so hat er bei der Anschaffung eines solchen technischen Geräts die Pflicht, sich zu erkundigen, in welchem rechtlichen Rahmen er es einsetzen kann. Allenfalls ist Unkenntnis zu berücksichtigen bei der Frage, ob vorsätzlich oder fahrlässig gehandelt wurde. Dies hat dann wiederum Auswirkungen auf die Höhe des zu verhängenden Bußgelds.

Die Höhe der Bußgelder bemisst sich jeweils an der wirtschaftlichen Situation der Betroffenen. Da auch kein wirtschaftlicher Vorteil durch die Datenerhebung erlangt werden sollte, wurden Bußgelder nur im unteren Bereich des Bußgeldrahmens verhängt. Mein Ziel war es in erster Linie, klarzustellen, dass das Filmen und Überwachen des öffentlichen Straßenverkehrs in "Hilfs-Sheriff-Manier" nicht erlaubt ist.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.2 Vereine

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.2.1 Erstellung von bundesweit einheitlichen Mitgliedspässen durch einen deutschen Sportverband über ein Internet-Portal


Werden personenbezogene Daten von einer verantwortlichen Stelle für einen bestimmten Zweck (Ausstellung von Mitgliedspässen) erhoben, sind die Daten zu löschen, wenn ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist.


4.2.1.1
Ausgangslage

Ein deutscher Sportverband betreibt als verantwortliche Stelle gemäß § 3 Abs. 7 BDSG seit 2012 ein Internet-Portal, um vor allem den in dem Verband organisierten Vereinen ein besseres und leichteres Arbeiten mit den einzelnen Landesverbänden und dem Bundesverband zu ermöglichen.


§ 3 Abs. 7 BDSG

Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.


Konkret stehen unter anderem folgende Leistungen zur Verfügung:
- Online-Bestellung von individuellen Mitgliedspässen
- Online-Bestellung der neuen Wettkampflizenzen
- Eingabe und Abrufen von Veranstaltungsterminen
- individuelle Datenspeicherung
- verbesserte Kommunikation.

Derzeit sind von ca. 2500 Vereinen in der Bundesrepublik 2175 Vereine im Internet-Portal angemeldet und nutzen diesen Service.

Die zentrale Vergabe der Mitgliedspässe über das Internet-Portal sorgte in vielen Landesverbänden für Kritik, da bis 2012 die Mitgliedspässe als Blankopässe an die Vereine übersandt und vom jeweiligen Verein handschriftlich ausgestellt wurden.

Ein Grund für die zentrale Vergabe der Mitgliedspässe waren immer wieder auftretende Unregelmäßigkeiten bei der handschriftlichen Ausstellung der Pässe durch die Vereine. Hierbei konnte nicht ausgeschlossen werden, dass eine Person für verschiedene Vereine startete oder Mitglieder bei der Meldung zum Stichtag unterschlagen wurden, um weniger Beiträge an den Bundesverband abführen zu müssen.

Aktuell bat mich der Hessische Landesverband um Überprüfung der Rechtmäßigkeit der Datenübermittlungen von den Vereinen an den Bundesverband und um Klärung der Frage, wie lange die Mitgliederdaten vom Bundesverband gespeichert werden dürfen.

Für die Mitgliedspassbestellung werden von den Vereinen über ein Internet-Portal folgende Daten übermittelt:
- Name
- Vorname
- Geschlecht
- Staatsangehörigkeit
- Geburtstag
- Geburtsort
- Vereinseintritt
- Lichtbild.

Außerdem beinhaltet der Pass noch folgende Angaben:
- Name des Vereins
- Landesverband
- Ausstellungsdatum.

Nach Eingabe der Daten muss der zuständige Landesverband den Pass freigeben. Der Pass wird dann durch einen Dienstleister des Bundesverbandes gedruckt und von dem Dienstleister unmittelbar an den jeweiligen Verein versandt. Ein Vertrag nach § 11 BDSG zwischen dem Bundesverband und dem Dienstleister liegt vor.


§ 11 BDSG

(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen.

(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

  1. der Gegenstand und die Dauer des Auftrags,
  2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
  3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
  4. die Berichtigung, Löschung und Sperrung von Daten,
  5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
  6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
  7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
  8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
  9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
  10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen dieses Gesetz oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.

(4) Für den Auftragnehmer gelten neben den §§ 5, 9, 43 Abs. 1 Nr. 2, 10 und 11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie § 44 nur die Vorschriften über die Datenschutzkontrolle oder die Aufsicht, und zwar für

  1. a) öffentliche Stellen,
    b) nicht-öffentliche Stellen, bei denen der öffentlichen Hand die Mehrheit der Anteile gehört oder die Mehrheit der Stimmen zusteht und der Auftraggeber eine öffentliche Stelle ist,
    die §§ 18, 24 bis 26 oder die entsprechenden Vorschriften der Datenschutzgesetze der Länder,
  2. die übrigen nicht-öffentlichen Stellen, soweit sie personenbezogene Daten im Auftrag als Dienstleistungsunternehmen geschäftsmäßig erheben, verarbeiten oder nutzen, die §§ 4f, 4g und 38.

(5) Die Absätze 1 bis 4 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.


Auf Anfrage der Aufsichtsbehörde teilte der Bundesverband mit, dass derzeit beim Bundesverband die Datensätze von ca. 46.502 Mitgliedern dauerhaft gespeichert werden und es kein Löschkonzept gibt. Auch bei Vereinsaustritt oder bei Tod eines Passinhabers werden dessen Daten durch den Bundesverband nur gelöscht, wenn der Betroffene oder die Hinterbliebenen dies verlangen.

Auf die Frage, zu welchem Zweck der Bundesverband die Datensätze der Mitgliedspässe dauerhaft speichert, teilte dieser mit, dass bei Verlust eines Passes die Daten gleich wieder greifbar wären. Eine Verknüpfung der gespeicherten Datensätze mit der Wettkampflizenz finde zwar derzeit nicht statt. Dies wäre jedoch eine Option für die Zukunft, hierzu gäbe es aber noch keine konkrete Planung. Eine Kollisionsprüfung durch den Bundesverband finde nicht statt, das sei Aufgabe der Landesverbände. Neben den antragstellenden Vereinen können auch die jeweils zuständigen Landesverbände auf die Datensätze zugreifen.

Die beim Bundesverband gespeicherten Datensätze werden nicht an Dritte weitergegeben.

Auf die Frage, ob und wie die Vereine für ihre Mitglieder transparent machen, dass die Datensätze der Mitgliedspässe beim Bundesverband dauerhaft gespeichert werden und eine Löschung nur erfolgt, wenn der Betroffene dies einfordert, konnte der Bundesverband keine eindeutige Antwort geben. Es ist daher davon auszugehen, dass dem größten Teil der Passinhaber nicht klar ist, dass der Bundesverband ihre Daten dauerhaft speichert und erst auf Zuruf löscht.


4.2.1.2
Datenschutzrechtliche Bewertung

Bereits Anfang 2013 hatte die Datenschutzaufsichtsbehörde in NRW offenbar aufgrund einer Anfrage des dortigen Landesverbandes in einer ausführlichen Bewertung der Sachlage festgestellt, dass es ein durchaus legitimes Anliegen eines Bundesverbandes sei, die Gestaltung und Ausstellung der Mitgliedspässe einheitlich zu regeln und zentral zu steuern. Die Übermittlung der Mitgliedsdaten für die Ausstellung der Mitgliedspässe von den Vereinen an den Bundesverband ist auf der Grundlage des § 28 Abs. 2 Nr. 2a BDSG zulässig.


§ 28 Abs. 2 Nr. 2a BDSG

Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig
1. ...
2. soweit es erforderlich ist,
a) zur Wahrung berechtigter Interessen eines Dritten oder
...


Der Rechtsauffassung der nordrhein-westfälischen Aufsichtsbehörde schließe ich mich an, was die Zulässigkeit des Verfahrens und die Datenübermittlung betrifft.
Die Frage der Datenlöschung wurde 2012 nicht aufgeworfen. Hier ging man offenbar davon aus, dass der Bundesverband die Vorschriften des BDSG beachtet.

Nach § 35 Abs. 2 S. 2 Ziff. 3 BDSG sind personenbezogene Daten zu löschen, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zweckes der Speicherung nicht mehr erforderlich ist.


§ 35 Abs. 2 S. 2 Ziff. 3 BDSG

(2) ... Personenbezogene Daten sind zu löschen, wenn
...
3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist, oder
...


Nach dem Druck der Mitgliedspässe werden die personenbezogenen Daten der einzelnen Vereinsmitglieder beim Bundesverband nicht mehr benötigt. Der Zweck der Datenübermittlung, nämlich Druck eines einheitlichen Mitgliedspasses, ist erfüllt und daher ist die weitere Speicherung der Datensätze nicht mehr erforderlich und sie sind zu löschen.

Ich hatte den Bundesverband zur Stellungnahme in dieser Sache aufgefordert und noch einmal Gelegenheit gegeben, darzulegen, ob es hinsichtlich der Zweckbestimmung noch andere Erfordernisse gibt, die eine dauerhafte Speicherung der Datensätze der einzelnen Mitglieder durch den Bundesverband rechtfertigen.

Die vom Bundesverband dargestellten Argumente begründen hinsichtlich des Zwecks der Datenübermittlung und Datenerhebung - nämlich Druck eines einheitlichen Mitgliedspasses - nicht die dauerhafte Speicherung der Daten der Passinhaber durch den Bundesverband.

Ich habe daher den Bundesverband aufgefordert, alle bis heute gespeicherten personenbezogenen Daten von Passinhabern gemäß § 35 Abs. 1 S. 2 Ziff. 3 BDSG zu löschen und künftig dafür Sorge zu tragen, dass die Daten neuer Passinhaber nach der Erstellung des Mitgliedspasses wieder gelöscht werden.

Der Bundesverband hat mittlerweile versichert, dass er alle gespeicherten Datensätze gelöscht hat und künftig neu übermittelte Datensätze nach Erstellung und Versendung der Mitgliedspässe gelöscht werden.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.3 Auskunfteien und Inkassounternehmen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.3.1 Speicherdauer von Daten bei Auskunfteien


Auskunfteien wie die SCHUFA Holding AG dürfen Daten zum Zweck der Auskunftserteilung nicht zeitlich unbegrenzt speichern. Vielmehr gibt das BDSG vor, unter welchen Bedingungen die Daten wieder zu löschen sind. Da die Löschung von negativen Einträgen erhebliche Auswirkungen auf die Beurteilung der Bonität hat, ist für viele Betroffene die Frage nach dem Zeitpunkt der Löschung solcher Einträge entscheidend.


Immer wieder erreichen mich Beschwerden und Anfragen, die den Zeitpunkt der Löschung von bei der SCHUFA Holding AG gespeicherten Daten betreffen. In der Regel handelt es sich bei den Daten, deren Löschung begehrt wird, um sog. Negativeinträge (z. B. unbezahlte Forderungen), die Erteilung der Restschuldbefreiung oder um ehemalige Anschriften der Betroffenen. Negativeinträge und Einträge zu einem Insolvenzverfahren haben immer eine negative Auswirkung auf die Bonitätsbeurteilung der Betroffenen. Die Anzahl der gespeicherten ehemaligen Anschriften eines Betroffenen kann zumindest unter bestimmten Umständen negative Auswirkungen auf die Bonitätsbeurteilung haben. Daher haben Betroffene mit Negativeinträgen oder vielen ehemaligen Anschriften häufig ein großes Interesse daran, dass die gespeicherten Daten so früh wie möglich aus ihrem Datensatz bei der SCHUFA Holding AG gelöscht werden.

Die Löschung von bei Auskunfteien gespeicherten Daten ist in § 35 Abs. 2 S. 2 Nr. 4 BDSG geregelt.


§ 35 Abs. 2 S. 2 Nr. 4 BDSG

Personenbezogene Daten sind zu löschen, wenn

4. sie geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden und eine Prüfung jeweils am Ende des vierten, soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten Kalenderjahres beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, ergibt, dass eine längerwährende Speicherung nicht erforderlich ist.


Die Norm verpflichtet die Auskunfteien nach Ablauf einer Frist dazu, zu überprüfen, ob die Speicherung der Daten weiterhin erforderlich ist oder nicht. Bis zu dieser Prüfung, also bis zum Ablauf der Frist, dürfen zulässig erhobene Daten stets gespeichert werden. Ergibt die Prüfung, dass die Speicherung nicht mehr erforderlich ist, sind die Daten zu löschen. Ist es jedoch ausnahmsweise erforderlich, die Daten weiterhin zu speichern, darf die Auskunftei dies tun und die Daten auch weiterhin auf berechtigte Anfragen an Dritte übermitteln.

Die Frist, nach deren Ablauf die Erforderlichkeit der weiteren Speicherung zu prüfen ist, beginnt mit dem Ende des Jahres, in dem das jeweilige Datum erstmalig gespeichert wurde. Zusammenhängende Sachverhalte, wie z. B. verschiedene Meldungen zu einer bestimmten Forderung (z. B. Entstehung, Salden, Erledigung), sind dabei einheitlich zu betrachten. So richtet sich beispielsweise die Prüfpflicht zur Löschung einer Forderungshistorie nach dem Zeitpunkt der erstmaligen Einmeldung der Forderung bei der Auskunftei.

Je nachdem, ob es sich bei der gespeicherten Information um einen noch fortdauernden oder einen erledigten Sachverhalt handelt, läuft die Frist bis zur Prüfung für vier bzw. drei Jahre. Erledigte Sachverhalte sind beispielsweise bereits bezahlte Forderungen, beendete Insolvenzverfahren (und damit die erteilte Restschuldbefreiung) oder ehemalige Anschriften. Noch andauernde Sachverhalte sind z. B. laufende Kredite, bestehende Konten oder offene Forderungen.

Solange Sachverhalte andauern, ist die weitere Speicherung von Informationen darüber auch nach Ablauf der Prüfungsfrist in aller Regel erforderlich. Es ist gerade der Zweck von Wirtschaftsauskunfteien, Informationen über laufende Geschäfte eines Betroffenen zu speichern und zu übermitteln. Anhand aktueller Daten können zudem zutreffende Bonitätsbeurteilungen vorgenommen werden. Daher kann beispielsweise die Information, dass ein Kredit oder eine offene Forderung besteht, mindestens so lange gespeichert werden, bis dieser abbezahlt ist.

Auch Informationen über bereits erledigte Sachverhalte können für die Beurteilung der Bonität einer Person durchaus noch relevant sein, da aus dem Verhalten in der Vergangenheit Schlüsse auf zukünftiges Verhalten gezogen werden können. Die Aussagekraft solcher Daten schwindet jedoch mit der Zeit. Liegt die Erledigung bereits längere Zeit zurück, wird die Prüfung nach Ablauf der gesetzlichen Frist daher in der Regel ergeben, dass die weitere Speicherung des erledigten Sachverhalts nicht mehr erforderlich ist und dieser deshalb zu löschen ist. Bestimmte erledigende Ereignisse, die eine über die Erledigung der einzelnen Forderung hinausgehende Aussagekraft haben (z. B. die Erteilung der Restschuldbefreiung), sind grundsätzlich drei Jahre nach Ablauf des Jahres zu löschen, in dem sie eingetreten sind (s. a. 42. Tätigkeitsbericht, Ziff. 4.3.3).

Etwas anderes gilt für Anschriftendaten, die von Auskunfteien nicht nur für die Beurteilung der Bonität, sondern vor allem auch für die Identifizierung der Betroffenen genutzt werden (s. 43. Tätigkeitsbericht, Ziff. 5.3.10). Die Anschrift ist ein wesentliches Merkmal, anhand dessen Personen identifiziert werden. Da Anfragen und Meldungen bei Auskunfteien nur unregelmäßig eingehen, sich die Anschrift durch Umzüge aber verhältnismäßig häufig ändert, benötigen Auskunfteien oft auch noch ehemalige Anschriften, um Anfragen oder Meldungen der richtigen Person zuordnen zu können. Aus diesem Grund ist die Speicherung von ehemaligen (und damit „erledigtenâ??) Anschriften eines Betroffenen regelmäßig auch über die gesetzliche Frist hinaus erforderlich. Allerdings ist nach Ablauf einer zweiten Prüfungsfrist (also sechs Jahre nach dem Ende des Jahres, in dem die Anschrift durch einen Umzug zur ehemaligen Anschrift wurde) die alte Anschrift derart veraltet, dass sie auch zu diesem Zweck nicht mehr erforderlich ist. Sie ist damit regelmäßig nach Ablauf von sechs Jahren seit dem Jahr des Umzugs zu löschen.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.3.2 Prüfung von Auskunfteien


Im Berichtsjahr habe ich einige Auskunfteien geprüft und dabei lediglich in wenigen Fällen Beanstandung aussprechen müssen.


In meinem 43. Tätigkeitsbericht (Ziff. 5.3.9) hatte ich über die Unzulässigkeit der Beauskunftung von bestrittenen Daten, deren Richtigkeit durch die verantwortliche Stelle nicht nachgewiesen werden konnte, berichtet. Seinerzeit habe ich die verantwortliche Stelle mittels einer Anordnung dazu verpflichtet, in einem solchen Fall (Sperrung der Daten) gegenüber Dritten eine neutrale Auskunft zu erteilen und die Tatsache der Sperrung nicht mitzuteilen. Um die Umsetzung meiner Anordnung zu überprüfen, habe ich neben der betroffenen Auskunftei neun weitere vergleichbare Auskunfteien überprüft.

Festgehalten werden kann, dass die von mir gestellten Anforderungen bei allen zehn Unternehmen umgesetzt worden sind. In diesem Bereich gab es meinerseits keine Beanstandungen.

Unter den geprüften Unternehmen befanden sich auch solche, die neben der Auskunfteientätigkeit auch Inkassodienstleistungen anbieten. Insofern wurde überprüft, ob die Unternehmen eine Trennung zwischen den Beständen der Auskunfteiendaten und der Inkassodaten gewährleisten. Hierbei kam es ebenfalls zu keinerlei Beanstandungen.

Größtenteils unproblematisch erwiesen sich ferner die Prüfungsbereiche Auskunft über die zur Person gespeicherten Daten nach § 34 BDSG, Verpflichtung der Mitarbeiter auf das Datengeheimnis nach § 5 BDSG sowie die stichprobenartige Überprüfung des berechtigten Interesses bei Auskunftserteilung nach § 29 Abs. 2 Satz 5 BDSG.


§ 5 BDSG

Den bei der Datenverarbeitung beschäftigten Personen ist untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind, soweit sie bei nicht-öffentlichen Stellen beschäftigt werden, bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Das Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.


§ 29 Abs. 2 Satz 5 BDSG

Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen.


Versäumnisse konnten hingegen bei der Pflicht zur Benachrichtigung nach § 33 Abs. 1 Satz 2 BDSG festgestellt werden. Hiernach müssen die verantwortlichen Stellen die Betroffenen informieren, wenn erstmals Daten zu einer Person übermittelt werden, deren Speicherung ohne Kenntnis des Betroffenen erfolgt ist. Der Nachversand der entsprechenden Benachrichtigungen ist in allen Fällen zeitnah nachgeholt worden.


§ 33 Abs. 1 Satz 2 BDSG

Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen. Werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der erstmaligen Übermittlung und der Art der übermittelten Daten zu benachrichtigen.


In einem Fall wurde festgestellt, dass kein betrieblicher Datenschutzbeauftragter bestellt worden war. Nach § 4f Abs. 1 Satz 6 BDSG muss ein Unternehmen, welches geschäftsmäßig Daten zum Zweck der Übermittlung erhebt (Auskunftei), einen Beauftragten für den Datenschutz bestellen. In diesem Fall habe ich ein Bußgeld verhängt.


§ 4f Abs. 1 Satz 6 BDSG

Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.3.3 Datenschutzrechtliche Einordnung von Adressauskunfteien


Auch Unternehmen, deren Auskunftstätigkeit sich auf die Überprüfung und Ermittlung von Anschriften beschränkt, haben die Regelungen des BDSG zu beachten, die für die gewerbliche Datenverarbeitung zum Zwecke der Übermittlung gelten. Das sind insbesondere die §§ 4d, 4f und 28 ff. BDSG.


Aufgrund von einigen Beschwerden bin ich auf Unternehmen aufmerksam geworden, die Adressüberprüfungen vornehmen. Dazu erhalten sie - meist von Inkassounternehmen - Einzeladressen oder Adresslisten, die dann auf Richtigkeit überprüft werden. Die Unternehmen überprüfen die gelieferten Adressen anhand ihres eigenen Datenbestandes oder durch individuelle Recherchen. Dabei werden auch Daten der Einwohnermeldeämter verarbeitet. Im Ergebnis werden veränderte Adresslisten oder neue Einzeladressen geliefert. Eine Bonitätsprüfung findet dabei nicht statt.

Gleichwohl werden dabei automatisiert und geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung im Sinne von § 4d Abs. 4 Nr. 1 BDSG verarbeitet. Für die grundsätzlich geltende Meldepflicht solcher Verfahren an die zuständige Aufsichtsbehörde gemäß § 4d Abs. 1 Satz 1 BDSG sind daher die Ausnahmevorschriften von § 4d Abs. 2 und 3 BDSG nicht anwendbar. Daher besteht für diese Verfahren die Meldepflicht gemäß § 4d Abs. 1 Satz 1 BDSG.


§ 4d BDSG

(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.

(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat.

(3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

(4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle

  1. zum Zweck der Übermittlung,
  2. zum Zweck der anonymisierten Übermittlung oder
  3. für Zwecke der Markt- oder Meinungsforschung
gespeichert werden.


Zusätzlich haben solche Unternehmen unabhängig von der Anzahl der Beschäftigten einen Datenschutzbeauftragten zu bestellen, § 4f Abs. 1 Sätze 1, 4 und 6 BDSG.


§ 4f Abs. 1 BDSG

Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nicht-öffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen.


Schließlich dürfen die Adressdaten auch nur dann übermittelt werden, wenn vor der Übermittlung ein berechtigtes Interesse an der Übermittlung glaubhaft dargelegt wurde, § 29 Abs. 2 Nr. 1 BDSG.


§ 29 BDSG

(1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn

  1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat,
  2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder
  3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden.


§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden.

(2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn

  1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und
  2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.


Die betroffenen Unternehmen waren zum Teil der Auffassung, dass auf sie die vorstehend genannten Regelungen nicht anwendbar seien. Mangels Erteilung von Bonitätsauskünften sei vor allem § 29 BDSG nicht anwendbar.

Die Vorschrift des § 29 BDSG ist jedoch auch auf gewerbliche Adressauskünfte anwendbar. Zwar erteilen Adressauskunftsunternehmen keine Bonitätsauskünfte wie klassische Auskunfteien. Dies ist aber für die Anwendung der Regelung von § 29 BDSG nicht erforderlich. Das BDSG definiert den Begriff der Auskunftei nicht. Der Begriff der Auskunftei wird in § 29 BDSG lediglich beispielhaft als ein Anwendungsfall der gewerblichen Datenverarbeitung zum Zwecke der Übermittlung aufgeführt. Das BDSG knüpft auch in den §§ 4d Abs. 4 und 4f Abs. 1 Satz 6 BDSG nur an die geschäftsmäßige Verarbeitung personenbezogener Daten zum Zwecke der Übermittlung an. Dies hat der Gesetzgeber auch in § 29 BDSG so beibehalten und als Voraussetzung für dessen Anwendung ebenfalls nur das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung aufgestellt.

Unternehmen, die vor allem im Inkassoprozess Anschriften liefern, wirken außerdem in dem Arbeitsablauf des Inkassoprozesses mit. Geschehen hier Fehler, können Rechnungen an falsche Anschriften und - bei Personenverwechslungen durch eine fehlerhafte Anschriftenermittlung - auch an falsche Personen verschickt werden. In der Folge kann dies sogar dazu führen, dass Betroffene fälschlicherweise als zahlungsunfähig oder zahlungsunwillig an Auskunfteien gemeldet werden. Bei mehrmaligem unbemerktem Fehlversand kann bei einem Inkassounternehmen leicht der Eindruck entstehen, dass die Voraussetzungen für die Meldung des Betroffenen an eine Auskunftei gemäß § 28a Abs. 1 Nr. 4 oder 5 BDSG vorliegen. Die Tätigkeit dieser Unternehmen kann sich folglich auf die Bonität der Betroffenen maßgeblich auswirken.


§ 28a BDSG

(1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und

  1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
  2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist,
  3. der Betroffene die Forderung ausdrücklich anerkannt hat,
  4. a)der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,

    b)zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen,
    c)die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und
    d)der Betroffene die Forderung nicht bestritten hat oder

  5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat.


Daher dürfen auch Unternehmen, die lediglich Adressauskünfte erteilen, diese nur nach der vorherigen Versicherung eines berechtigten Interesses erteilen. Zur Erleichterung der Arbeitsabläufe kann dies vereinfacht erfolgen. Besteht bei Beziehern von Adressen nur ein einziges mögliches Interesse, wie z. B. die Durchführung eines Inkassoverfahrens, reicht es aus, wenn dieses Interesse schriftlich vor Durchführung der Übermittlung versichert wird. Dies kann bereits in einem Vertrag zum Datenbezug entsprechend geregelt werden.

Das Gleiche gilt für die Übermittlung von Adresslisten. Hier kann für den Abruf oder die Übermittlung einer gesamten Liste ein berechtigtes Interesse dargelegt werden, wenn dies für die gesamte Liste identisch ist.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.3.4 Untervertrieb von Auskunfteienleistungen


Auf Reseller von Auskunfteienleistungen sind die Regelungen des BDSG für Auskunfteien in vollem Umfang anzuwenden.


Aufgrund mehrerer Beschwerden wurde ich darauf aufmerksam, dass in Hessen verstärkt Unternehmen auftreten, die Leistungen anderer Auskunfteien im eigenen Namen und auf eigene Rechnung verkaufen. Häufig handelt es sich dabei um Auskünfte größerer und bereits etablierter Auskunfteien. Technisch ist der Kunde unmittelbar mit der Datenbank der Auskunftei verbunden, deren Auskünfte verkauft werden. Die Reseller haben keinen eigenen Einfluss auf den Inhalt der Auskünfte. Der Reseller hat daher auch keine Möglichkeit, die übermittelten Daten zu speichern oder zu verarbeiten.

Zusätzlich bin ich auf Unternehmen aufmerksam geworden, die aus mehreren Datenbanken bestehender Auskunfteien eine neue und damit umfassendere Leistung zusammenstellen. Auch bei diesen Resellern findet keine eigene Datenhaltung mehr statt.

Für Auskunfteien besteht die Pflicht, ihre Tätigkeit vor ihrer Inbetriebnahme gemäß § 4d Abs. 1 und 3 BDSG zu melden. Für Auskunfteien gelten die Ausnahmen von der Meldepflicht gemäß § 4d Abs. 2 und 3 BDSG nicht.


§ 4d BDSG

(1) Verfahren automatisierter Verarbeitungen sind vor ihrer Inbetriebnahme von nicht-öffentlichen verantwortlichen Stellen der zuständigen Aufsichtsbehörde und von öffentlichen verantwortlichen Stellen des Bundes sowie von den Post- und Telekommunikationsunternehmen dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit nach Maßgabe von § 4e zu melden.

(2) Die Meldepflicht entfällt, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat.

(3) Die Meldepflicht entfällt ferner, wenn die verantwortliche Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens neun Personen ständig mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.

(4) Die Absätze 2 und 3 gelten nicht, wenn es sich um automatisierte Verarbeitungen handelt, in denen geschäftsmäßig personenbezogene Daten von der jeweiligen Stelle

  1. zum Zweck der Übermittlung,
  2. zum Zweck der anonymisierten Übermittlung oder
  3. für Zwecke der Markt- oder Meinungsforschung
gespeichert werden.


Die Reseller von Auskunfteienleistungen betrachteten sich selbst nicht als Auskunfteien, sondern lediglich als Vertriebsunternehmen der Auskunftei, deren Auskünfte sie verkaufen. Sie waren deshalb auch nicht gemeldet.

Auch die Durchführung der für Auskunfteien obligatorischen Stichprobenkontrollen nach § 10 Abs. 4 Satz 3 BDSG war nicht sichergestellt.


§ 10 Abs. 4 BDSG

Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.


Auf Nachfrage hatten die Unternehmen argumentiert, dass es sich bei ihnen mangels eigener geschäftsmäßiger Erhebung, Speicherung, Veränderung oder Nutzung personenbezogener Daten (§ 29 Abs. 1 BDSG) nicht um Auskunfteien handelt. Der Reseller ermögliche nur den Bezug von Auskünften einer anderen Auskunftei, welche die gesetzlichen Vorgaben einhalte.


§ 29 Abs. 1 BDSG

(1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn …


Eine Prüfung ergab jedoch, dass die vertraglichen Vereinbarungen zwischen dem Reseller und der Auskunftei darüber hinausgehen. Der Reseller verpflichtet sich vertraglich selbst zur Erbringung der Leistungen ohne dabei auf eine andere Auskunftei als Leistungserbringer zu verweisen. Daher mag er die Leistung unter Nutzung der Leistungen dieser Auskunftei erbringen. Rechtlich erbringt er die Leistung gegenüber seinem Kunden selbst. Insbesondere kommt kein Schuldverhältnis zwischen der die Daten liefernden Auskunftei und dem Kunden zustande. In einem zu prüfenden Fall hatte das Unternehmen sogar eine eigene Marke eingetragen und die Leistungen unter dieser Marke erbracht.

Aufgrund der rechtlichen Eigenständigkeit der erbrachten Leistungen und des entsprechenden Marktauftretens des Resellers betrachte ich den Reseller daher als Auskunftei. Ich konnte alle Unternehmen davon überzeugen, meiner Auffassung zu folgen. In einem Fall war aufgrund der bereits fortgeschrittenen Geschäftstätigkeit die Einleitung eines Ordnungswidrigkeitenverfahrens unumgänglich.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.3.5 Im Berichtszeitraum noch kein gesetzlicher Änderungsbedarf zum Scoring der Handelsauskunfteien


Das Scoring wurde zum 01.04.2010 durch diverse Änderungen des BDSG neu geregelt. Die Auswirkungen dieser Änderungen wurden im Jahre 2014 durch ein Gutachten untersucht, welches für das Bundesministerium der Justiz und für Verbraucherschutz und das Bundesministerium des Innern erstellt wurde. Die Inhalte des Gutachtens wurden im Mai 2015 in dem Symposium "Scoring - Die Praxis der Auskunfteien, deutsches Datenschutzrecht und europäische Perspektiven" diskutiert, in dem ich neben dem Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen die Auffassung der datenschutzrechtlichen Aufsichtsbehörden dargestellt habe.

Das Scoring wurde in § 28b BDSG vollständig neu geregelt.


§ 28b BDSG

Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn

  1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
  2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen,
  3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden,
  4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.


Zum Scoring der SCHUFA Holding AG hatte ich bereits in meinem 43. Tätigkeitsbericht (Ziff. 5.3.8.1) umfangreich berichtet. In dem Symposium habe ich vor allem zu den Erfahrungen aus den Beschwerden über das Scoring der Handelsauskunfteien vorgetragen. Die bei mir eingegangenen Beschwerden betrafen vor allem Scorewerte, die nach Auffassung der Betroffenen deren Bonität nicht zutreffend beschrieben. Dafür konnten in den meisten Fällen eine nicht ausreichende Datenbasis, die fehlende Berücksichtigung positiver Merkmale oder fehlerhafte Daten als Ursachen ermittelt werden.

Nach der Korrektur fehlerhafter Daten wurde aus den korrigierten Daten im Normalfall auch ein akzeptierter Scorewert ermittelt. Bei einer geringen Datenbasis oder bei der fehlenden Berücksichtigung positiver Merkmale war die Behandlung indes problematischer. In keinem Fall war jedoch das mathematisch-statistische Modell fragwürdig. Vielmehr waren die Daten nicht umfassend genug, um in dem jeweiligen Einzelfall der Beschwerdefälle einen belastbaren Scorewert zu ermitteln. Dennoch war aber in der weit überwiegenden Mehrzahl der Fälle auch mit wenigen Daten die Ermittlung eines belastbaren Scorewertes möglich.

Im Hinblick auf das Symposium ergab sich aus der Beschwerdepraxis, dass die in dem Gutachten vorgeschlagene stärkere Regulierung des Scorings nicht geeignet ist, die ermittelten Scorewerte belastbarer oder bei den Betroffenen akzeptierter zu machen. Eine Einschränkung der für das Scoring nutzbaren Daten führt jedenfalls dann, wenn davon statistisch erhebliche Merkmale betroffen sind, zu einer Verringerung der Qualität der ermittelten Scorewerte. Dies führt auch dazu, dass die Scorewerte durch die Betroffenen und durch die Bezieher der Scorewerte (Kreditinstitute und Handel) weniger akzeptiert werden.

Eine Grenze sollte allerdings bei Daten gezogen werden, bei denen Betroffene nach keinem Gesichtspunkt mit deren Verwendung im Scoring rechnen müssen und die ausschließlich für den privaten Bereich vorgesehen waren. Dies trifft vor allem auf Daten aus sozialen Netzwerken zu. Diese Daten sind weder statistisch ausreichend signifikant noch können sie beliebig durch Dritte genutzt werden. Daten mit einer sehr geringen Signifikanz sollten bei der Scorewertberechnung unberücksichtigt bleiben. Würden die vorstehend genannten Datenarten berücksichtigt, würde dies auch zu einer vollständigen Überwachung Betroffener ohne echten Nutzen führen. Dies wäre datenschutzrechtlich unvertretbar.

Eine über die derzeitigen Regelungen des BDSG hinausgehende Regulierung der verwendeten Scoringformeln halte ich dagegen nicht für zielführend. An deren Richtigkeit gab es im Verlauf meiner Prüfungen keinen ernsthaften Zweifel.

Allerdings wäre die Verbesserung der Transparenz für die Betroffenen sinnvoll. Zwar ist die Transparenz des Scorings im BDSG schon geregelt. Automatisch getroffene Einzelfallentscheidungen, die alleine auf Basis von Persönlichkeitsmerkmalen zum Nachteil des Betroffenen gefällt wurden, müssen diesem mitgeteilt werden, § 6a Abs. 2 Nr. 2 BDSG.


§ 6a BDSG

(1) Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, dürfen nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.

(2) Dies gilt nicht, wenn

  1. die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses oder eines sonstigen Rechtsverhältnisses ergeht und dem Begehren des Betroffenen stattgegeben wurde oder
  2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert.

(3) Das Recht des Betroffenen auf Auskunft nach den §§ 19 und 34 erstreckt sich auch auf den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten.


Der Anwendungsbereich von § 6a BDSG ist jedoch sehr eng. So ist bereits umstritten, ob die Nutzung eines Scorewertes unter § 6a BDSG fällt. Eine Transparenzpflicht besteht auch nur dann, wenn die Entscheidung alleine auf Basis von Persönlichkeitsmerkmalen getroffen wurde. Sind in der Entscheidung weitere Merkmale verwendet worden, kann die Anwendbarkeit zweifelhaft sein. Andere Merkmale könnten sich z. B. aus dem Wert einer Bestellung oder von bestellten Produkten ergeben. Werden auch diese Merkmale zur Entscheidungsfindung herangezogen, kann die Transparenzpflicht entfallen.

Auch die bereits geregelte Pflicht zur Offenlegung von ablehnenden Entscheidungen aufgrund von § 29 Abs. 7 BDSG ist nur bei Verbraucherdarlehensverträgen oder Verträgen über entgeltliche Finanzierungshilfen mit Verbrauchern anwendbar.


§ 29 Abs. 7 BDSG

Wer den Abschluss eines Verbraucherdarlehensvertrags oder eines Vertrags über eine entgeltliche Finanzierungshilfe mit einem Verbraucher infolge einer Auskunft einer Stelle im Sinne des Absatzes 6 ablehnt, hat den Verbraucher unverzüglich hierüber sowie über die erhaltene Auskunft zu unterrichten. Die Unterrichtung unterbleibt, soweit hierdurch die öffentliche Sicherheit oder Ordnung gefährdet würde. § 6a bleibt unberührt.


Zwar ist hierbei die Übermittlung eines Scorewertes nicht erforderlich. Jede Auskunft einer Auskunftei wäre für die Anwendung ausreichend. Immer häufiger werden aber auch Entscheidungen auf Basis eines Scorewertes getroffen, die keine Finanzierung zum Gegenstand haben. Dies hat zur Folge, dass automatisierte Einzelfallentscheidungen, die hauptsächlich auf Basis eines Scorewertes und außerhalb von Finanzierungen getroffen wurden, in der Regel intransparent bleiben. Betroffene wissen weder, dass ein Scorewert eine Entscheidung wesentlich beeinflusst hat, noch kennen sie den Lieferanten des Scorewertes. Ihnen ist in der Regel noch nicht einmal transparent, dass eine automatisierte Entscheidung getroffen wurde.

Bleibt die Entscheidung und der verwendete Scorewert aber intransparent, können Betroffene sich bei dem Lieferanten des Scorewertes auch nicht darüber informieren, ob die Datenbasis richtig war oder ob fehlerhafte Daten zu der ablehnenden Entscheidung geführt haben. Dies führt in der Folge dazu, dass fehlerhafte Daten auch nicht korrigiert werden.

Daher halte ich die Verbesserung der Transparenz für sinnvoll. Betroffene sollten bereits dann, wenn das Scoring eine ablehnende Entscheidung maßgeblich beeinflusst hat, über die Durchführung des Scorings informiert werden. Zusätzlich müssen Betroffene wissen, wer den maßgeblichen Scorewert geliefert hat. Nur dann können sie gemeinsam mit dem Lieferanten die Richtigkeit der Daten überprüfen.

Allerdings werden derzeit die Rahmenbedingungen für den Datenschutz durch die Datenschutz-Grundverordnung auf europäischer Ebene neu geordnet. Im Berichtszeitraum war es deshalb noch nicht sinnvoll, gesetzliche Änderungen zu veranlassen. Erst auf Basis des endgültigen Textes der Datenschutz-Grundverordnung können die Möglichkeiten der Schaffung von Transparenz sinnvoll diskutiert werden. Der abschließende Text lag jedoch im Berichtszeitraum noch nicht so rechtzeitig vor, dass der gesetzliche Änderungsbedarf ausreichend ermittelt werden konnte.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.3.6 SCHUFA Holding AG


Die SCHUFA Holding AG (kurz: SCHUFA), die nach eigenen Angaben zu mehr als 66 Mio. Personen Daten speichert, bildete auch im aktuellen Berichtszeitraum wieder einen wesentlichen Schwerpunkt meiner Prüfungstätigkeit. Nach wie vor zählt der Bereich der Tätigkeit von Handelsauskunfteien zu den Bereichen, in denen die meisten Beschwerden eingehen.


4.3.6.1
Beschwerdeaufkommen

Bereits im Jahr 2014 hatte ich mich umfassend mit dem Verfahren der SCHUFA zur Erlangung einer Selbstauskunft nach § 34 BDSG befasst. Ich konnte erreichen, dass in vielen Fallgestaltungen die Anforderung von Personalausweiskopien durch die SCHUFA unterbleiben sollte. Dies wurde von der SCHUFA auch umgesetzt. Im aktuellen Berichtszeitraum sind daher die Beschwerden, in denen die Anforderung von Kopien eines Personalausweises gerügt wurde, sehr stark zurückgegangen. Dies trifft vor allem auf Fälle zu, in denen die Zusendung einer Selbstauskunft an die bei der SCHUFA als gegenwärtige Adresse gespeicherte Adresse verlangt wurde.

Viele der zur SCHUFA im Berichtszeitraum eingegangenen Beschwerden betrafen die Richtigkeit oder die fehlende Löschung von bei der SCHUFA gespeicherten Daten. In allen Beschwerdefällen wurde der Inhalt der Beschwerde auf datenschutzrechtlich fehlerhaftes Verhalten der SCHUFA überprüft. In vielen Fällen ergab sich bereits anhand des Beschwerdesachverhalts, dass die SCHUFA in Übereinstimmung mit dem Datenschutz gehandelt hatte. In diesen Fällen wurde den Beschwerdeführern die Sach- und Rechtslage umfassend erläutert.

Soweit die Beschwerde Anlass zur Anforderung einer Stellungnahme der SCHUFA bot, wurde diese angefordert und von der SCHUFA in aller Regel auch kurzfristig zur Verfügung gestellt. In keinem überprüften Beschwerdefall ergab sich ein der SCHUFA vorwerfbares Fehlverhalten. In einigen Fällen wurde jedoch fehlerhaftes Verhalten von Unternehmen festgestellt, die Daten zu Forderungen an die SCHUFA übermittelt hatten, obwohl die Voraussetzungen dafür nicht vorlagen. In diesen Fällen wurde das Beschwerdeverfahren gegen diese Unternehmen fortgeführt und ggf. an die zuständige Aufsichtsbehörde eines anderen Bundeslandes abgegeben. In allen Fällen wurden die Daten durch die SCHUFA korrigiert oder gelöscht, sofern dies notwendig war.


4.3.6.2
Auskunftspraxis im Onlinehandel

Im Onlinehandel ist es unzulässig, vor der Auswahl einer für den Onlinehändler risikobehafteten Zahlart eine Bonitätsauskunft einzuholen.

Aufgrund der Beschwerde des Kunden eines Onlinehändlers habe ich die Auskunftspraxis im Onlinehandel betrachtet. In dem Beschwerdefall wurde durch den Onlinehändler eine Bonitätsauskunft der SCHUFA zur Zahlartensteuerung eingeholt. Dabei wurde bereits vor der Darstellung möglicher Zahlarten (z. B. Rechnung oder Vorkasse) in dem Workflow des Onlineshops durch die Bonitätsauskunft geprüft, ob dem Kunden Zahlarten angeboten werden können, die für den Onlinehändler Risiken beinhalten. Als risikobehaftet werden Zahlarten betrachtet, die eine Vorleistung des Händlers erfordern. Dies ist insbesondere bei der Zahlart "Kauf auf Rechnung" der Fall.

Im Beschwerdefall wurde erst nach der Einholung einer Bonitätsauskunft durch den Kunden im weiteren Verlauf des Workflows eine Zahlart ausgewählt, die für den Onlinehändler risikoarm ist. Die Bonitätsauskunft diente daher nur dazu, dem Kunden eine risikobehaftete Zahlungsoption anzubieten, die er offenbar ohnehin nicht auswählen wollte.

Für die Anforderung von Bonitätsauskünften muss ein berechtigtes Interesse vorliegen und gegenüber der Handelsauskunftei auch glaubhaft versichert werden (§ 29 Abs. 2 Nr. 1 BDSG).


§ 29 BDSG

(1) Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung, insbesondere wenn dies der Werbung, der Tätigkeit von Auskunfteien oder dem Adresshandel dient, ist zulässig, wenn

  1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung, Speicherung oder Veränderung hat,
  2. die Daten aus allgemein zugänglichen Quellen entnommen werden können oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Erhebung, Speicherung oder Veränderung offensichtlich überwiegt, oder
  3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden.


§ 28 Absatz 1 Satz 2 und Absatz 3 bis 3b ist anzuwenden.

(2) Die Übermittlung im Rahmen der Zwecke nach Absatz 1 ist zulässig, wenn

  1. der Dritte, dem die Daten übermittelt werden, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und
  2. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.


Nach meiner Auffassung genügt das Interesse des Onlinehändlers an einer kundenfreundlichen Gestaltung des Workflows diesen Anforderungen nicht. Es wäre problemlos möglich, die Bonitätsabfrage erst dann durchzuführen, wenn eine risikobehaftete Zahlart ausgewählt wurde. Jedenfalls stehen der Bonitätsabfrage schutzwürdige Interessen des Kunden entgegen. Die Bonitätsauskunft enthält die gesamten Bonitätsdaten des Kunden, die beim Onlinehändler in vielen Fällen nicht benötigt werden. Zudem kann die Bonitätsauskunft das Scoring des Kunden und damit dessen Bonität negativ beeinflussen. Selbst dann, wenn vom Onlinehändler vor der Durchführung der Bonitätsabfrage eine Einwilligung des Kunden eingeholt wird, dürfte dem Kunden in der Regel nicht transparent sein, dass sich seine Einwilligung negativ auf seine Bonität auswirken könnte. Eine Einwilligung dürfte daher in den wenigsten Fällen wirksam sein.

Der SCHUFA konnte ich dennoch kein datenschutzwidriges Vorgehen vorwerfen. Auskunfteien wie die SCHUFA sind bei der Prüfung von Anfragen gemäß § 10 Abs. 4 Satz 1 und 2 BDSG privilegiert.


§ 10 Abs. 4 BDSG

Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht.


Entsprechende Vereinbarungen mit ihren Kunden vorausgesetzt, können sie zunächst die Zulässigkeit von Bonitätsabfragen unterstellen. Zwar gab die konkrete Beschwerde Anlass zur Prüfung im Sinne von § 10 Abs. 4 Satz 2 BDSG. Aus der einzelnen Abfrage ist jedoch nicht erkennbar, ob diese der kundenfreundlichen Gestaltung des Onlineshops ohne konkrete Auswahl einer risikobehafteten Zahlart oder der Prüfung nach Wahl einer riskanten Zahlart dient. Die SCHUFA darf daher Anfragen in der Regel ungeprüft bedienen.

Betreiber von Onlineshops, die Bonitätsabfragen nur zur kundenfreundlichen Gestaltung ihres Workflows durchführen, müssen jedoch zukünftig mit aufsichtsrechtlichen Maßnahmen rechnen.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.3.7 Vor-Ort-Prüfungen bei Inkassounternehmen


Im Berichtszeitraum wurden sowohl anlassbezogen als auch anlassunabhängig Vor-Ort-Prüfungen bei mehreren Inkassounternehmen durchgeführt.

Die analysierten Prozessabläufe wie etwa diejenigen
- der Übernahme des Mandats,
- des Telefoninkassos,
- der Identifikation Betroffener/Schuldner,
- der Auskunftserteilung
- der Zusammenarbeit mit Dritten (Rechtsanwälten, Auskunfteien, Dienstleistern)
entsprachen ganz überwiegend den datenschutzrechtlichen Bestimmungen und boten lediglich vereinzelt Anlass zur Kritik.

So konnten durch meine Hinweise weitere Verbesserungen bei der Auskunftserteilung (vgl. 43. Tätigkeitsbericht, Ziff. 5.3.11) oder des Umgangs mit Personalausweiskopien (Zulässigkeit der Anforderung nur im Ausnahmefall, Hinweis an die Betroffenen auf die Möglichkeit des Schwärzens nicht benötigter Daten bzw. des Passfotos) erreicht werden.

Im Ergebnis war den geprüften Unternehmen eine hohe Sensibilität hinsichtlich datenschutzrechtlicher Belange sowie in der Regel ein sehr gutes Datenschutzniveau zu attestieren.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.4 Kredit- und Finanzwirtschaft, Spielbanken

Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 05.07.2016

 
 

4.4.1 Veröffentlichung von Interessentendaten im Exposé durch ein Finanzcenter



Auch das ungewollte Veröffentlichen von Bonitätsdaten stellt eine Übermittlung von Daten dar und kann mit einem Bußgeld geahndet werden.

Durch eine Eingabe wurde ich auf folgenden Sachverhalt aufmerksam gemacht: Die Betroffenen wollten eine Wohnung, vermittelt über ein örtliches Finanzcenter, anmieten. Zur Prüfung der Bonität vor Abschluss des Mietvertrags reichten sie dort Kopien der notwendigen Unterlagen ein (Personalausweis, Entgeltabrechnungen, ausgefüllten Interessentenbogen, Nachweis Haftpflichtversicherung). Diese Unterlagen wurden seitens des Finanzcenters fälschlicherweise zu dem Exposé des Objekts hochgeladen. In einem Zeitraum von etwas mehr als zwei Wochen konnten diese Daten somit von unberechtigten Dritten zur Kenntnis genommen werden. Insgesamt wurden in diesem Zeitraum fünfundvierzig Zugriffe auf das Exposé festgestellt. Dem Unternehmen selbst ist dies nicht aufgefallen. Erst durch die Mitteilung des Betroffenen wurde der Fehler bemerkt und die Entfernung der Daten vorgenommen.

Das Hochladen der Daten in das öffentlich abrufbare Exposé stellt, da auf das Exposé im vorgenannten Zeitraum zugegriffen worden ist, eine Übermittlung an Dritte dar. Aus diesem Grund in Verbindung mit den Kontodaten sowie einer unsicheren Prognose bezüglich der Verwendung der Daten durch Dritte waren in diesem Fall zusätzlich die Voraussetzungen für eine Meldepflicht nach § 42a BDSG gegeben. Dieser Pflicht zur Meldung an die Datenschutzaufsichtsbehörde ist das Unternehmen nicht nachgekommen, so dass die Einleitung eines Bußgeldverfahrens nach § 43 Abs. 2 Nr. 1 und Nr. 7 BDSG zurzeit geprüft wird.


§ 43 Abs. 2 BDSG

Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind, erhebt oder verarbeitet,

7. entgegen § 42a Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.2 Versand unverschlüsselter E-Mails durch Finanzunternehmen



Der Versand unverschlüsselter E-Mails durch Finanzunternehmen an ihre Kunden ist nur dann zulässig, wenn Maßnahmen zur Transportverschlüsselung (TLS/SSL) eingesetzt werden und die E-Mails keine Daten enthalten, welche eine bestehende Geschäftsbeziehung beschreiben. Bei Zugangsdaten, Kontonummern, Beträgen oder Zahlungsinformationen handelt es sich um Daten, die nicht per unverschlüsselter E-Mail übermittelt werden dürfen.

Im Berichtszeitraum erreichten mich mehrere Beschwerden über den Versand von unverschlüsselten E-Mails durch Finanzunternehmen. In einem Fall enthielt die E-Mail die umfassende Darstellung des Finanzstatus eines Kunden. In anderen Fällen waren vollständige Kontonummern, andere Nummern zur Identifikation des Kunden und/oder Kontostände enthalten.

In einem Fall war eine Kreditkartennummer enthalten, die durch das Ersetzen einiger Ziffern maskiert und damit unkenntlich gemacht wurde. Die maskierte Nummer war wegen der fehlenden Ziffern keinem konkreten Kunden mehr zuzuweisen. Die verantwortliche Stelle beabsichtigte den in der E-Mail genannten Betrag per SEPA-Lastschrift einzuziehen. Sie konnte sich daher darauf berufen, den Kreditkarteninhaber auf den bevorstehenden Lastschrifteinzug hinweisen zu müssen (SEPA-Lastschrift-Vorabinformation entsprechend den SEPA-Regularien).

Unverschlüsselt versandte E-Mails können grundsätzlich von Dritten mitgelesen werden. Insbesondere werden E-Mails auf den zum E-Mail-Versand verwendeten Servern gespeichert und können vom Betreiber des Servers gelesen werden. Dies gilt sowohl für den Server des Versenders und des Empfängers als auch für alle dazwischen zur Übermittlung ggf. verwendeten Server.

Bei den aus der Beziehung zum Kreditinstitut entstehenden Informationen handelt es sich im Falle von Privatkunden um personenbezogene Daten, weil die Daten einem Kontoinhaber zuzuordnen sind. Können die Daten auch ohne Kenntnis des Namens eines Kontoinhabers oder der Kontonummer einer natürlichen Person zugeordnet werden, bleiben die Daten auch dann personenbezogen, wenn der Name des Kontoinhabers oder die Kontonummer entfernt oder unkenntlich gemacht wird. Werden Finanzinformationen per E-Mail versendet, kann die E-Mail-Adresse ebenso einen Personenbezug herstellen wie eine Kontonummer oder der Name des Kontoinhabers. Die Maskierung einer Kontonummer reicht im Falle des E-Mail-Versands daher nicht aus, um den Personenbezug der Daten aufzuheben.

Im Verhältnis des Kunden zu seinem Kreditinstitut gilt zusätzlich das Bankgeheimnis. Daraus ergibt sich sowohl die Verpflichtung zur vertraulichen Behandlung des Inhalts der Geschäftsbeziehung als auch des Umstandes, dass überhaupt eine solche Geschäftsbeziehung zwischen Kreditinstitut und Kunde besteht. Da Kreditkarten in der Regel von Kreditinstituten herausgegeben werden, unterliegen auch die im Kreditkartenverhältnis entstehenden Informationen dem Bankgeheimnis. Daran ändert auch die Pflicht zur SEPA-Lastschrift-Vorabinformation nichts.

Außerdem sind Daten nach § 9 BDSG und der dazu geltenden Anlage, dort insbesondere nach Nr. 4 (Weitergabekontrolle), beim Transport vor unbefugtem Zugriff zu schützen.


§ 9 BDSG

Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.


Anlage zu § 9 Satz 1

Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,

  1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
  2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
  3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
  4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
  5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
  6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
  7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
  8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Eine Maßnahme nach Satz 2 Nummer 2 bis 4 ist insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren.


Der unverschlüsselte Versand von E-Mails erfüllt diese Anforderungen nicht. Der Versand ist daher unzulässig, weil keine ausreichende Weitergabekontrolle (Anlage zu § 9 Satz 1 BDSG, Nr. 4) stattfindet. Auch die Notwendigkeit des Versands der Daten zur Vorbereitung des SEPA-Lastschrifteinzugs durch die SEPA-Lastschrift-Vorabinformation rechtfertigt den Versand nicht.

Zu berücksichtigen ist zusätzlich, dass sich aus einer E-Mail-Adresse häufig auf den Nutzer schließen lässt. Bei einer Verwendung der E-Mail-Adresse in sozialen Netzwerken lässt sich diese Verbindung auch leicht und ohne besondere Kenntnisse durch eine Internetrecherche nachvollziehen. Jedoch werden E-Mails mittlerweile in aller Regel mit einer Transportverschlüsselung (TLS/SSL) versendet. Dadurch wird zumindest der Zugriff während der Übermittlung erschwert.

Deshalb erscheint es nicht erforderlich, den Versand unverschlüsselter E-Mails generell zu untersagen. Insbesondere müssen Maßnahmen in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen (§ 9 Satz 2 BDSG). Beim Versand sind Verfahren zur Transportverschlüsselung (TLS/SS) zu nutzen und die per E-Mail versendeten Daten sind auf ein Minimum zu beschränken. Unmaskierte Konto- und Kundennummern, Geldbeträge, Namen und personifizierte Anreden dürfen in solchen E-Mails nicht enthalten sein.

Die E-Mail eines Finanzdienstleisters an eine E-Mail-Adresse enthält dennoch mindestens die Information, dass zwischen dem Sender und dem Empfänger ein Kontakt besteht. Es muss sich jedoch nicht zwingend um das Bestehen einer Geschäftsbeziehung handeln. Vielmehr stellt dies nur ein Indiz für eine bestehende Geschäftsbeziehung dar. Eine E-Mail könnte auch zu Werbezwecken versandt worden sein. Der Umstand, dass überhaupt eine E-Mail vom Sender an den Empfänger versandt wurde, muss daher nicht zwingend geschützt werden.

Aus dem Inhalt ließe sich jedoch auf den Inhalt des Kontaktes und damit auf das Bestehen einer Geschäftsbeziehung schließen. Enthält die E-Mail aber über das Bestehen der Geschäftsbeziehung hinaus keine Inhalte, welche die Geschäftsbeziehung beschreiben (z. B. Zugangsdaten, Kontonummern, Beträge oder Zahlungsinformationen), erscheint eine Transportverschlüsselung mit TLS/SSL als ausreichende Maßnahme im Sinne von § 9 Satz 2 BDSG. Weitere Inhalte, insbesondere Inhalte, die den Zugang zu weiteren Informationen ermöglichen, dürften jedoch trotz Transportverschlüsselung in einer E-Mail nicht enthalten sein.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.3 Datenübermittlung in die USA nach dem FATCA-Abkommen


Kreditinstitute sind nach der FATCA-USA-Umsetzungsverordnung dazu verpflichtet, die Kundenbeziehung auf eine mögliche US-Steuerpflicht zu überprüfen. Sofern eine US-Steuerpflicht angenommen wird, dürfen diese Daten über das Bundeszentralamt für Steuern an die Bundessteuerbehörde der Vereinigten Staaten von Amerika übermittelt werden.

Im Berichtszeitraum führten mehrere Betroffene Beschwerde darüber, dass ihnen von ihren Finanzinstituten Fragebogen zur Feststellung der US-Steuerpflicht mit einer festgesetzten Rückgabefrist zugesandt worden waren. Mit diesen Schreiben wurde darauf hingewiesen, dass die entsprechenden Daten über das Bundeszentralamt für Steuern an die US-Steuerbehörde übermittelt würden, sofern eine Rückantwort durch die Kunden unterbleiben würde. Diese Praxis führte bei mir zu einigen Eingaben.

Nach § 4 Abs. 1 BDSG ist eine Datenübermittlung u. a. dann zulässig, wenn eine Rechtsvorschrift dies erlaubt oder anordnet.


§ 4 Abs. 1 BDSG

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.


Als Rechtsgrundlage kam hier das "Abkommen zwischen der Bundesrepublik Deutschland und den Vereinigten Staaten von Amerika zur Förderung der Steuerehrlichkeit bei internationalen Sachverhalten und hinsichtlich der als Gesetz über die Steuerehrlichkeit bezüglich Auslandskonten bekannten US-amerikanischen Informations- und Meldebestimmungen (FATCA-Abkommen)" in Betracht, welches am 31.05.2013 unterzeichnet wurde. Das Zustimmungsgesetz zum Abkommen ist am 16.10.2013 (BGBl. II S. 1362) in Kraft getreten. Das FATCA-Abkommen wurde am 11.12.2013 wirksam.

Mit Ermächtigung des § 117c Abgabenordnung (AO) wurde die FATCA-USA-Umsetzungsverordnung (FATCA-USA-UmsV) erlassen, die am 23.07.2014 veröffentlicht wurde (BGBl. I S. 1222).

Hiernach sind Finanzinstitute dazu verpflichtet, geeignete Verfahren anzuwenden, um bei ihnen geführte Konten als US-amerikanische meldepflichtige Konten i. S. v. § 2 Abs. 4 der FATCA-USA-Umsetzungsverordnung (FATCA-USA-UmsV) zu identifizieren.

Bei der Prüfung wird in erster Linie zwischen Konten, die zum 30.06.2014 bereits bestanden haben, und Konten, die nach dem 30.06.2014 eröffnet wurden, unterschieden.

Bei Konten, die zum 30.06.2014 bereits bestanden, war durch die Finanzinstitute zu prüfen, ob der Saldo oder Wert der bestehenden Konten zum Stichtag 31.12.2014 mehr als 50.000 US-Dollar (250.000 US-Dollar bei rückkaufsfähigen Versicherungs- oder Rentenversicherungsverträgen) betrug. Unterhalb dieser Betragsgrenze war eine Meldepflicht nicht gegeben. Lag der Betrag oberhalb dieser Grenze, ist zusätzlich eine Indiziensuche in den bei dem Unternehmen gespeicherten Datensätzen angezeigt.


Anlage 1 Abschnitt II B Nr. 1 FATCA-Abkommen

1. Suche in elektronischen Datensätzen. Das meldende deutsche Finanzinstitut muss seine elektronisch durchsuchbaren Daten auf folgende US-Indizien überprüfen:
a) Identifizierung des Kontoinhabers als Staatsbürger der Vereinigten Staaten oder eine in den Vereinigten Staaten ansässige Person,
b) eindeutige Angabe eines Geburtsorts in den Vereinigten Staaten,
c) aktuelle Post- oder Hausanschrift (einschließlich einer Postfach- oder c/o-Anschrift) in den Vereinigten Staaten,
d) aktuelle Telefonnummer in den Vereinigten Staaten,
e) Dauerauftrag für Überweisungen auf ein in den Vereinigten Staaten geführtes Konto,
f) aktuell gültige, an eine Person mit Anschrift in den Vereinigten Staaten erteilte Vollmacht oder Zeichnungsberechtigung oder
g) eine c/o- oder postlagernde Anschrift als einzige Anschrift des Kontoinhabers in den Unterlagen des meldenden deutschen Finanzinstituts. Im Fall eines bestehenden Kontos einer natürlichen Person, bei dem es sich um ein Konto von geringerem Wert handelt, gilt eine c/o-Anschrift außerhalb der Vereinigten Staaten nicht als US-Indiz.


Sofern der Datensatz ein oder mehrere dieser US-Indizien aufweist, darf das Finanzinstitut das Konto als US-amerikanisches meldepflichtiges Konto betrachten. Es kann allerdings auch eine Selbstauskunft verlangen, um Sicherheit über das Vorliegen der US-Steuerpflicht zu erlangen (Anlage 1, Abschnitt II B Nr. 4a (1) FATCA-Abkommen).

Bei Konten mit einem Wert von unter 50.000 US-Dollar zum 31.12.2014, die nach dem 30.06.2014 eröffnet worden sind, muss das Finanzinstitut eine Prüfung auf eine etwaige US-Steuerpflicht nicht vornehmen (Anlage 1, Abschnitt III A FATCA-Abkommen).

Bei Konten, deren Wert die vorgenannte Grenze übersteigt, muss sich das Finanzinstitut eine Selbstauskunft innerhalb von 90 Tagen nach Ablauf des Kalenderjahres, ab dem das Konto nicht mehr unter Unterabschnitt A fällt, beschaffen (Anlage 1, Abschnitt III B FATCA-Abkommen).

Insofern war die Zusendung der Fragebogen in den mir vorgelegten Fällen nicht zu beanstanden. Kern der Beschwerden war allerdings die Aussage der Finanzinstitute, bei nicht fristgerechter Rücksendung der Fragebogen eine Übermittlung der Daten vorzunehmen.

Auch dieses Vorgehen ist nicht zu beanstanden gewesen. Nach Abschnitt III Unterabschnitt D Satz 2 der Anlage 1 zum FATCA-Abkommen muss das Finanzinstitut für den Fall, dass es eine Selbstauskunft nicht erhält, das Konto als US-amerikanisches meldepflichtiges Konto betrachten.

Insofern waren sowohl die Erhebung der Daten über den Fragebogen als auch die Übermittlung der Daten an das Bundeszentralamt für Steuern in den mir vorgelegten Fällen nicht zu beanstanden.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.4 Digitales Haushaltsbuch


Die aktuell von verschiedenen Kreditinstituten in Hessen angebotene Nutzung von Cloud-basierten Haushaltsbüchern wurde stichpunktartig überprüft und die derzeitigen Konzepte wurden als datenschutzrechtlich zulässig beurteilt.

Einige Kreditinstitute bieten ihren Kunden inzwischen die kostenlose Nutzung von Cloud-basierten Haushaltsbüchern an. Mittels einer Webanwendung können Kunden ihre Zahlungen verwalten, Kategorien zuweisen, Budgets bilden, Kosten analysieren und Reports erzeugen. Dadurch können sich Nutzer relativ einfach einen Überblick über ihr Konsum- und Zahlungsverhalten verschaffen.

Ich habe mir daher verschiedene Haushaltsbücher diverser Banken und Sparkassen vorstellen lassen. Andere Kreditinstitute befinden sich mit ähnlichen Lösungen in den Startlöchern. Dabei wurde deutlich, dass Kreditinstitute mit dem Angebot zumindest derzeit noch unterschiedliche Ziele verfolgen. Während bei einigen die Kundenbindung und Kundengewinnung im Vordergrund steht, sind andere stark an den Kunden- und Zahlungsstromdaten sowie deren Auswertung interessiert. Die Nutzung der in einem Haushaltsbuch gespeicherten Daten aus dem Zahlungsverkehr findet in den §§ 28 ff. BDSG keine Rechtsgrundlage, da die Nutzung der Daten durch das Institut weder für das Angebot "Haushaltsbuch" notwendig ist noch für die Durchführung des Zahlungsverkehrs. Daher ist für die Nutzung der Daten durch das Institut eine Einwilligung im Sinne des § 4a Abs. 1 BDSG erforderlich, die den Umfang der Nutzung begrenzt. Aus deren inhaltlicher Gestaltung wird gleichzeitig auch die strategische Zielrichtung des Verwenders deutlich.

Je nach strategischer Zielrichtung fällt auch die in der Einwilligungserklärung enthaltene Information des Betroffenen über den Zweck und Umfang der Datenverarbeitung unterschiedlich umfangreich aus. Einige Kreditinstitute betrachten Haushaltsbücher derzeit lediglich als Kundenbindungsinstrument. Die Einwilligung umfasst daher kein eigenes Recht des Kreditinstitutes zur Nutzung der Daten. Bei anderen Kreditinstituten variieren die Datenverarbeitungszwecke von der Nutzung der Umsätze zur Erstellung von individuellen Angeboten bis zur umfassenden Kundenanalyse. Den meisten Einwilligungserklärungen gemein ist die Einwilligung in eine Zahlungsstromanalyse, die je nach Gestaltung einen unterschiedlichen Umfang einnimmt. Keine Berücksichtigung findet bislang die Budgetanalyse im Verhältnis zu Peergroups, die Risikoanalyse anhand einer Kosten- und/oder Budgetanalyse, die persönliche Analyse anhand der Konsumfrequenz, die Konsumrichtung, die Verteilung des Konsums auf die Tageszeit oder die Auswertung von Kontakten zu Konkurrenten. All dies ist aus den Daten jedoch problemlos auszuwerten.

Je umfangreicher ein Kreditinstitut die Kundendaten auswerten möchte, umso umfangreicher ist auch in einer Einwilligung auf diesen Zweck hinzuweisen. Die Anforderungen an eine Einwilligung sind in § 4a BDSG beschrieben.


§ 4a Abs. 1 und 3 BDSG

(1) Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben.

(3) Soweit besondere Arten personenbezogener Daten (§ 3 Abs. 9) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.


Zusätzlich sind Einwilligungen an den für Allgemeine Geschäftsbedingungen geltenden Maßstäben zu messen. Diese ergeben sich aus den §§ 305 ff. BGB. Dabei sind insbesondere die Anforderungen der §§ 305c Abs. 1 und 307 BGB zu beachten.


§ 305c Abs. 1 BGB

Bestimmungen in Allgemeinen Geschäftsbedingungen, die nach den Umständen, insbesondere nach dem äußeren Erscheinungsbild des Vertrags, so ungewöhnlich sind, dass der Vertragspartner des Verwenders mit ihnen nicht zu rechnen braucht, werden nicht Vertragsbestandteil.

§ 307 BGB

(1) Bestimmungen in Allgemeinen Geschäftsbedingungen sind unwirksam, wenn sie den Vertragspartner des Verwenders entgegen den Geboten von Treu und Glauben unangemessen benachteiligen. Eine unangemessene Benachteiligung kann sich auch daraus ergeben, dass die Bestimmung nicht klar und verständlich ist.

(2) Eine unangemessene Benachteiligung ist im Zweifel anzunehmen, wenn eine Bestimmung

  1. mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist oder
  2. wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so einschränkt, dass die Erreichung des Vertragszwecks gefährdet ist.

(3) Die Absätze 1 und 2 sowie die §§ 308 und 309 gelten nur für Bestimmungen in Allgemeinen Geschäftsbedingungen, durch die von Rechtsvorschriften abweichende oder diese ergänzende Regelungen vereinbart werden. Andere Bestimmungen können nach Absatz 1 Satz 2 in Verbindung mit Absatz 1 Satz 1 unwirksam sein.


In dem auf besondere Vertraulichkeit ausgerichteten Bankverhältnis wird eine umfassende Datenauswertung des Kreditinstitutes durch den Kunden nicht erwartet. Dieser erwartet allenfalls eine Auswertung der Umsätze nach Betrag und Häufigkeit sowie des Kontostandes. Anhand dieser Daten ermittelte Angebote aus dem Finanzsektor werden sicher den üblichen Bankkunden nicht überraschen. Reaktionen eines Kreditinstitutes wegen eines ungewöhnlichen Konsumverhaltens, z. B. das Verlangen zusätzlicher Sicherheiten, dürften einen durchschnittlichen Bankkunden aber überraschen.

Darüber hinaus entfernt sich ein Kreditinstitut mit einer derart weiten Datenauswertung so weit vom gesetzlichen Grundgedanken nicht nur des BDSG, sondern auch der Geschäftsbeziehung zwischen Kreditinstitut und Kunde, dass eine Wirksamkeit der Einwilligung auch nach § 307 Abs. 1 BGB nicht mehr gegeben sein dürfte.

Zusätzlich ist zu berücksichtigen, dass der Kontoinhaber den Zahlungsstrom nur in geringem Maße kontrollieren kann. Zahlungen finden statt, ohne dass der Bankkunde diese beeinflussen kann, wenn er die gegen ihn gerichteten pekuniären Ansprüche erfüllen möchte. In vielen Fällen ist selbst eine Barzahlung (Onlinehandel, Konzertkarten) nicht mehr möglich.

Eine extensive Einwilligung zur Datennutzung im Bankverhältnis beeinträchtigt den Kunden daher in ganz besonderem Maße in seiner Privatsphäre und könnte diese vollständig aufheben. Deshalb halte ich Einwilligungen nicht in unbegrenztem Umfang für zulässig. Die Kreditinstitute, deren Einwilligungen zur Prüfung vorlagen, waren im Rahmen ihrer eigenen datenschutzrechtlichen Prüfungen zu dem gleichen Ergebnis gelangt.

Daher waren die mir vorgelegten Einwilligungserklärungen und die zum Zeitpunkt der Prüfung praktizierten Datenverarbeitungsvorgänge datenschutzrechtlich nicht zu beanstanden.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.5 Videoidentifizierung


Bei der Videoidentifizierung durch Banken nach dem Geldwäschegesetz sind datenschutzrechtliche Anforderungen zu beachten, die nicht von allen im Markt verfügbaren Produkten standardmäßig unterstützt werden. Die Nutzung des Dienstes Skype ist unzulässig.

Ich wurde von einer in Frankfurt ansässigen Direktbank bei der Einführung eines Dienstes zur Fernidentifizierung mittels Videotelefonie um Rat gebeten. Kreditinstitute haben ihre Kunden vor Aufnahme einer Geschäftsbeziehung anhand von Ausweispapieren zu identifizieren und die Identifizierung zu dokumentieren. Dazu ist bei der Kontoeröffnung in der Regel die Vorlage des Personalausweises erforderlich.


§ 3 Abs. 1 Nr. 1 GwG

Verpflichtete im Sinne von § 2 Abs. 1 haben in den in Absatz 2 genannten Fällen die nachfolgenden allgemeinen Sorgfaltspflichten zu erfüllen:

  1. die Identifizierung des Vertragspartners nach Maßgabe des § 4 Abs. 3 und 4,


§ 4 GwG

(1) Verpflichtete haben Vertragspartner und soweit vorhanden wirtschaftlich Berechtigte bereits vor Begründung der Geschäftsbeziehung oder Durchführung der Transaktion zu identifizieren. Die Identifizierung kann noch während der Begründung der Geschäftsbeziehung abgeschlossen werden, wenn dies erforderlich ist, um den normalen Geschäftsablauf nicht zu unterbrechen, und ein geringes Risiko der Geldwäsche oder der Terrorismusfinanzierung besteht.

(2) Von einer Identifizierung kann abgesehen werden, wenn der Verpflichtete den zu Identifizierenden bereits bei früherer Gelegenheit identifiziert und die dabei erhobenen Angaben aufgezeichnet hat, es sei denn, der Verpflichtete muss auf Grund der äußeren Umstände Zweifel hegen, dass die bei der früheren Identifizierung erhobenen Angaben weiterhin zutreffend sind.

(3) Zur Feststellung der Identität des Vertragspartners hat der Verpflichtete folgende Angaben zu erheben:

  1. bei einer natürlichen Person: Name, Geburtsort, Geburtsdatum, Staatsangehörigkeit und Anschrift,
  2. bei einer juristischen Person oder einer Personengesellschaft: Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, Anschrift des Sitzes oder der Hauptniederlassung und Namen der Mitglieder des Vertretungsorgans oder der gesetzlichen Vertreter; ist ein Mitglied des Vertretungsorgans oder der gesetzliche Vertreter eine juristische Person, so sind deren Firma, Name oder Bezeichnung, Rechtsform, Registernummer, soweit vorhanden, und Anschrift des Sitzes oder der Hauptniederlassung zu erheben.

(4) Zur Überprüfung der Identität des Vertragspartners hat sich der Verpflichtete anhand der nachfolgenden Dokumente zu vergewissern, dass die nach Absatz 3 erhobenen Angaben zutreffend sind, soweit sie in den Dokumenten enthalten sind:
  1. bei natürlichen Personen vorbehaltlich der Regelung in § 6 Abs. 2 Nr. 2 anhand eines gültigen amtlichen Ausweises, der ein Lichtbild des Inhabers enthält und mit dem die Pass- und Ausweispflicht im Inland erfüllt wird, insbesondere anhand eines inländischen oder nach ausländerrechtlichen Bestimmungen anerkannten oder zugelassenen Passes, Personalausweises oder Pass- oder Ausweisersatzes, ...


Die Vorlage von Ausweispapieren zur Durchführung der Identifizierung erfordert entweder das persönliche Erscheinen in den Räumen der Bank oder die Nutzung von Dienstleistungen zur Identifikation, die ebenfalls eine persönliche Anwesenheit des Kunden erfordern. Direktbanken, deren Geschäft häufig über das Internet abgewickelt wird, empfinden die fehlende Möglichkeit zur Identifikation mittels Internet häufig als Medienbruch und Behinderung ihrer Geschäftstätigkeit.

Um eine Identifizierung mittels Videoidentifikation und damit die Identifikation über das Internet zu ermöglichen, wurde von der für die Bankenaufsicht zuständigen Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein Rundschreiben veröffentlicht. Dieses beschreibt die bankaufsichtsrechtlichen Anforderungen an die Identifikation unter Nutzung der Videotelefonie (BaFin-Rundschreiben 1/2014 vom 05.03.2014, Abschnitt III). Die datenschutzrechtlichen Anforderungen an die Nutzung der Videotelefonie sind in dem Rundschreiben jedoch nicht enthalten, weshalb ich von der Direktbank um Beratung gebeten wurde.

Die datenschutzrechtlichen Aufsichtsbehörden haben ihrerseits die Videotelefonie im Rahmen des Identifizierungsprozesses betrachtet. Daraus ergaben sich zusätzliche datenschutzrechtliche Anforderungen.

Datenschutzrechtliche Bedenken bestehen insbesondere gegen die Nutzung des Dienstes Skype, die Erstellung von Screenshots von Ausweispapieren ohne die Möglichkeit der Schwärzung von nicht benötigten Angaben, eine vollständige Audioaufzeichnung des Identifizierungsvorgangs und die fehlende Transparenz der Löschungspflicht bzgl. der aufgezeichneten Daten bei Abbruch des Identifizierungsvorgangs.

Der Dienst Skype wird als nicht hinreichend sicher betrachtet. Die Nutzungsbedingungen sehen vor, dass Nutzer anderen Nutzern sehr umfassende Rechte an den versendeten Inhalten einräumen. Dies ist bei Kopien von Personalausweisen nicht möglich. Darüber hinaus lassen die - häufig wechselnden - Nutzungsbedingungen von Skype in einigen Fassungen eine Nutzung der aufgezeichneten Inhalte durch die Microsoft Corporation zu. Nicht zuletzt erfolgt eine Übertragung der Daten in Länder, deren Datenschutzniveau aus europäischer Sicht als nicht ausreichend betrachtet wird. Dabei ist zu berücksichtigen, dass bei der Identifikation alle Identifikationsdaten und dabei auch elektronische Kopien von Ausweispapieren übermittelt werden. Die Nutzung von Skype zur Identifikation ist daher unzulässig. Kreditinstitute, die eine Nutzung von Skype im Rahmen der Identifikation anbieten, müssen mit aufsichtsrechtlichen Maßnahmen rechnen.

Auch die vollständige Audioaufzeichnung des Identifizierungsvorgangs ist nicht erforderlich und verstößt daher gegen das Prinzip der Datensparsamkeit. Außerdem sind Möglichkeiten zu schaffen, welche die Schwärzung nicht benötigter Angaben auf Ausweispapieren ermöglichen. Das sind z. B. die Angaben zur Körpergröße und der Augenfarbe.

Der Direktbank wurden die datenschutzrechtlichen Anforderungen umfassend erläutert. Aufgrund meiner Beratung wurde die Videotelefonie mit reduziertem Funktionsumfang eingeführt. Dadurch können nicht nur die datenschutzrechtlichen Anforderungen erfüllt werden. Zusätzlich wurde auch der Aufwand zur Speicherung reduziert.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.6 Whistleblowing-Richtlinie bei einem Kreditinstitut



Interne Regelungen, die Mitarbeiter zur Meldung von Gesetzesverstößen verpflichten (Whistleblowing-Richtlinien), müssen diese Verpflichtung konkret und leicht nachvollziehbar beschreiben. Sie müssen nicht nur den Mitarbeiter schützen, dem ein Gesetzesverstoß vorgeworfen wird, sondern auch den Mitarbeiter, der zur Meldung verpflichtet wird und dieser Verpflichtung nachkommt.

Durch eine Presseveröffentlichung wurde ich auf die interne Whistleblowing-Richtlinie eines Kreditinstitutes mit Sitz in Frankfurt am Main aufmerksam. Amerikanische Gesetze verpflichten Unternehmen, deren Wertpapiere in den USA gehandelt werden, zur Beachtung zahlreicher Anforderungen an die Richtigkeit der Finanzberichterstattung. Dazu zählen auch Vorschriften zur Beachtung aller gesetzlichen Regelungen, der Compliance und zur Schaffung von Hinweisgebersystemen, um Gesetzesverstöße erkennen und beseitigen zu können. Deshalb verpflichten Unternehmen ihre Mitarbeiter häufig zur Meldung von Gesetzesverstößen in Whistleblowing-Regelungen.

Werden solche Meldungen erstattet, führt dies zur Verarbeitung der Daten des Meldenden und des Beschuldigten. Die dabei verarbeiteten Daten sind besonders sensibel. Durch die Aufklärung erhobener Vorwürfe und die anschließend erforderliche Reaktion sind in der Regel mehrere Stellen in die Datenverarbeitung einzubinden.

Die Verarbeitung der dabei verarbeiteten Daten kann sich - je nach Art der Daten und Verarbeitungsvorgang - nach den §§ 32 oder 28 Abs. 1 Nr. 2 BDSG richten.


§ 28 Abs. 1 Nr. 2 BDSG

Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,


  1. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder ...

§ 32 BDSG

(1) Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten nur dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.

(3) Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.


Besteht eine Verpflichtung des Unternehmens zur Schaffung eines Hinweisgebersystems, ist die damit zusammenhängende Datenverarbeitung unzweifelhaft zur Wahrung berechtigter Interessen des Unternehmens erforderlich, § 28 Abs. 1 Nr. 2 BDSG. Dennoch sind dabei die berechtigten Interessen der Mitarbeiter zu wahren.

Die datenschutzrechtlichen Aufsichtsbehörden haben sich mit dem Thema Whistleblowing bereits mehrfach befasst und ihre Auffassung auch schriftlich niedergelegt (insbesondere unter
https://www.datenschutz-hamburg.de/news/detail/article/whistleblowing-hotlines-firmeninterne-warnsysteme-beschaeftigtendatenschutz.html
und http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_de.pdf).

Während in den bisherigen Überlegungen die Daten des Beschuldigten im Vordergrund standen, gab es im vorliegenden Fall vor allem Zweifel an der datenschutzgerechten Verarbeitung der Daten des Mitarbeiters, der einen Vorfall meldet.

So war unklar, an wen genau sich Mitarbeiter wenden können. In dem Bestreben, Meldungen möglichst einfach zu erhalten, waren in der Whistleblowing-Richtlinie zahlreiche Stellen genannt, an die sich ein Mitarbeiter wenden sollte. Darunter waren vor allem auch der direkte Vorgesetzte und die Personalabteilung. Dadurch war nicht sichergestellt, dass sich eine Meldung nicht mit den Personaldaten des betroffenen Mitarbeiters vermischt und keine zweckfremde Nutzung der Daten erfolgt. Auch war unklar, an welchen Stellen im Unternehmen die Daten des meldenden Mitarbeiters letztlich verarbeitet werden, welche Stellen darauf zugreifen können und welche Stelle sicherstellt, dass nur die Mitarbeiter darauf zugreifen können, die mit der Untersuchung des Vorgangs befasst sind.

Bei bisherigen datenschutzrechtlichen Untersuchungen von Hinweisgeber-Systemen wurde deutlich, dass anonyme Mitteilungen im Hinblick auf die beschuldigten Mitarbeiter nicht vollkommen unproblematisch sind. Dies vor allem deshalb, weil sich der Beschuldigte gegen anonyme Vorwürfe schwerer verteidigen kann.

Andererseits ist auch der meldende Mitarbeiter an der vertraulichen Behandlung seiner Daten interessiert. Die Schaffung von Hinweisgebersystemen zielt oft darauf ab, Gesetzesverstöße von Kollegen und Vorgesetzten der meldenden Mitarbeiter zu unterbinden. Meldende Mitarbeiter erfüllen mit der Meldung eine gegenüber ihrem Arbeitgeber bestehende Verpflichtung, wenn sich eine solche aus internen Arbeitsanweisungen wirksam ergibt. Unterlassen sie eine Meldung, obwohl Gesetzesverstöße unübersehbar waren, verstoßen sie gegen den Arbeitsvertrag und müssen mit arbeitsrechtlichen Maßnahmen rechnen. Allerdings müssen Mitarbeiter bei Bekanntwerden der Meldung auch bei berechtigten Meldungen mit Repressalien durch Kollegen und Vorgesetzte rechnen. Daher sind Mitarbeiter, die eine Verpflichtung zur Meldung erfüllen, besonders schutzwürdig. Ihre berechtigten Interessen im Sinne von § 28 Abs. 1 Nr. 2 BDSG sind daher strikt zu wahren.

Das betroffene Kreditinstitut hat nach Gesprächen mit mir die Problematik erkannt und konkrete Änderungen am Verfahrensablauf und deren verbindliche Regelung zugesagt. Dabei soll insbesondere nur noch eine zentrale Stelle mit nur wenigen Personen mit der Entgegennahme von Meldungen betraut werden. Außerdem soll die Behandlung der Daten verbindlich geregelt und die Bearbeitung für meldende Mitarbeiter vor allem durch die Veröffentlichung von schriftlichen Arbeitsanweisungen transparent gemacht werden. Die Bearbeitung dauert noch an.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.7 Telefonaufzeichnung bei einem Zahlungsinstitut



Ausnahmslose Aufzeichnungen erfordern die Einräumung eines Widerspruchsrechts.

Im Berichtszeitraum erreichten mich zwei Beschwerden zur Telefonaufzeichnung bei einem Zahlungsinstitut.

Bei dem Zahlungsinstitut wurden eingehende Telefonate nach einem entsprechenden Hinweis ausnahmslos aufgezeichnet. Die Nachfrage bei dem Zahlungsinstitut ergab, dass die Gesprächsaufzeichnung zur Dokumentation einer Identitätsprüfung bei Erteilung von Auskünften und zur Vermeidung und Vorbeugung von Missbrauch erfolgt. Die aufgezeichneten Gespräche sollten für mindestens acht Monate gespeichert bleiben. Eine Widerspruchsmöglichkeit gegen die Gesprächsaufzeichnung war nicht vorgesehen.

Eine Befugnis zur Aufzeichnung ergibt sich in diesem Fall nur dann aus § 28 Abs. 1 Nr. 2 BDSG, wenn zusätzlich ein Widerspruchsrecht für den Anrufer eingerichtet wird. Durch das Widerspruchsrecht werden die berechtigten Interessen des Kunden gewahrt.


§ 28 Abs. 1 Nr. 2 BDSG

Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,

  1. ...
  2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder ...


Die Erteilung von Auskünften nur an berechtigte Anrufer dient dem Schutz der Kunden des Zahlungsinstitutes. Die Erteilung von Auskünften an unberechtigte Dritte wäre ein Vertragsverstoß. Die Dokumentation der Identitätsprüfung dient daher auch dem Schutz des Zahlungsinstitutes. Dieses konnte außerdem darlegen, dass es in der Vergangenheit zu diversen Missbrauchsfällen zu Lasten des Zahlungsinstitutes gekommen war. Schutzwürdige Interessen des Zahlungsinstitutes lagen damit vor. Die von dem Zahlungsinstitut angebotene Hotline dient außerdem nur sehr eng begrenzten Zwecken. Der Gesprächsinhalt geht deshalb nie über die Umstände einer konkreten Zahlung und zu deren Status hinaus. Die Aufzeichnung von Gesprächsinhalten mit schutzwürdigen Inhalten ist daher unwahrscheinlich.

Dennoch stehen der Aufzeichnung grundsätzlich die schutzwürdigen Interessen des Anrufers entgegen. Zusätzlich ist zu Lasten des Zahlungsinstitutes zu berücksichtigen, dass gleichwohl eine wenn auch unwahrscheinliche Möglichkeit zur Aufzeichnung von Gesprächsanteilen besteht, die mit der konkreten Zahlung nicht in direktem Zusammenhang stehen. Wird dem Anrufer jedoch die Möglichkeit eingeräumt, der Aufzeichnung zu widersprechen, sind die schutzwürdigen Interessen des Anrufers gewahrt. Diese stehen dann der Aufzeichnung nicht mehr entgegen.

Das Zahlungsinstitut wird das Widerspruchsrecht so kurzfristig technisch umsetzen, wie dies möglich ist. Darüber hinaus wird die Aufzeichnung auf den zulässigen Zeitraum von sechs Monaten begrenzt.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.8 Anforderung von Personalausweisen zur Prüfung von Sanktionslisten



Kreditinstitute dürfen Personalausweiskopien von Zahlungsempfängern, die bei dem Kreditinstitut kein Konto unterhalten, auch zur Prüfung von Sanktionslisten nicht anfordern. Stattdessen können bei dem Kreditinstitut, welches das Konto des Zahlungsempfängers führt, Informationen zum Zahlungsempfänger angefordert werden.

Zur Bekämpfung des Terrorismus bestehen als unmittelbar geltendes Europäisches Recht die sogenannten "Antiterrorismusverordnungen". Dabei handelt es sich um die EU-Verordnungen 881/2002 (ABl. EG Nr. L139, Seite 9), 2580/2001 (ABl. EG Nr. L344, Seite 70) und 753/2011 (ABl. EG Nr. L199, Seite 1). Durch diese drei Verordnungen soll verhindert werden, dass Terroristen oder Terrorverdächtigen Ressourcen zur Unterstützung des Terrorismus zur Verfügung gestellt werden. Aus den EU-Verordnungen gehen wiederum "Sanktionslisten" hervor, die ständig aktualisiert werden. Den auf diesen Listen enthaltenen Personen, Gruppen und Organisationen dürfen weder direkt noch indirekt wirtschaftliche Ressourcen zur Verfügung gestellt werden.

Unter wirtschaftliche Ressourcen im Sinne der EU-Verordnungen fallen unter anderem auch Gehaltszahlungen oder Vergütungen für freie Mitarbeiter. Vor allem Kreditinstitute sind daher verpflichtet, vor der Durchführung von Zahlungen zu prüfen, ob Begünstigte auf einer Sanktionsliste enthalten sind.

Durch die Beschwerde eines Datenschutzbeauftragten wurde ich auf eine daraus resultierende Praxis eines Kreditinstitutes aufmerksam gemacht. In den der Beschwerde zugrunde liegenden Fällen sollten Gehaltszahlungen geleistet werden. Das Kreditinstitut des Arbeitgebers glich dabei die Namen der begünstigten Mitarbeiter mit den Sanktionslisten ab. Bei Namensgleichheiten wurden von den begünstigten Mitarbeitern sodann Kopien der Personalausweise angefordert, um eine Zahlung an auf den Sanktionslisten enthaltene Personen auszuschließen. Dies geschah, obwohl die betroffenen Mitarbeiter bei dem Kreditinstitut des Arbeitgebers keine Konten unterhielten.

Die Anforderung von Kopien von Personalausweisen beurteile ich datenschutzrechtlich generell als kritisch. Für die Anforderung von Personalausweisen muss es hinreichende Gründe und eine Rechtsgrundlage geben. Bei der Eröffnung von Konten stellt nach meiner Auffassung § 8 Abs. 1 Geldwäschegesetz (GwG) eine hinreichende Grundlage für die Anforderung oder Anfertigung von Personalausweiskopien dar, weil die Erstellung von Kopien zur Dokumentation der obligatorischen Identifizierung bei Kontoeröffnung erforderlich ist. Dies gilt jedoch nur für die Eröffnung von Konten bei der Bank, die zur Identifizierung verpflichtet ist.


§ 8 Abs. 1 GwG

Soweit nach diesem Gesetz Sorgfaltspflichten bestehen, sind die erhobenen Angaben und eingeholten Informationen über Vertragspartner, wirtschaftlich Berechtigte, Geschäftsbeziehungen und Transaktionen aufzuzeichnen. In den Fällen des § 4 Abs. 4 Satz 1 Nr. 1 sind auch die Art, die Nummer und die ausstellende Behörde des zur Überprüfung der Identität vorgelegten Dokuments aufzuzeichnen. Die Anfertigung einer Kopie des zur Überprüfung der Identität vorgelegten Dokuments nach § 4 Abs. 4 Satz 1 Nr. 1 und die Anfertigung einer Kopie der zur Überprüfung der Identität vorgelegten oder herangezogenen Unterlagen nach § 4 Abs. 4 Satz 1 Nr. 2 gelten als Aufzeichnung der darin enthaltenen Angaben; im Falle einer Einsichtnahme auf elektronisch geführte Register- oder Verzeichnisdaten gilt die Anfertigung eines Ausdrucks als Aufzeichnung der darin enthaltenen Angaben.


Für die Anforderung von Personalausweiskopien von Zahlungsempfängern (in diesem Falle der Arbeitnehmer) sehe ich jedoch keine Rechtsgrundlage. Das kontoführende Institut des Zahlungsempfängers ist verpflichtet, einen Abgleich mit den Sanktionslisten vorzunehmen. Hat dieses die geltenden EU-Verordnungen vorschriftsmäßig beachtet, befindet sich der Zahlungsempfänger daher auch bei vorliegenden Namensgleichheiten nicht auf einer Sanktionsliste.

Dies befreit das Kreditinstitut des Zahlungspflichtigen (in diesem Fall der Arbeitgeber) nicht von der eigenen Prüfung. Liegt eine Namensgleichheit vor und bestehen bei dem Kreditinstitut des Zahlungspflichtigen Unsicherheiten über die Person des Zahlungsempfängers, bietet aber § 25h Abs. 3 Kreditwesengesetz (KWG) ausreichende Möglichkeiten, um bei dem kontoführenden Kreditinstitut Angaben über den Zahlungsempfänger anzufordern. Alle benötigten Daten liegen dort bereits vor.


§ 25h Abs. 3 KWG

Jeder Sachverhalt, der nach Absatz 2 Satz 1 als zweifelhaft oder ungewöhnlich anzusehen ist, ist vom Institut zu untersuchen, um das Risiko der jeweiligen Geschäftsbeziehungen oder Transaktionen überwachen, einschätzen und gegebenenfalls das Vorliegen eines nach § 11 Absatz 1 des Geldwäschegesetzes meldepflichtigen Sachverhalts oder die Erstattung einer Strafanzeige gemäß § 158 der Strafprozessordnung prüfen zu können. Über diese Sachverhalte hat das Institut angemessene Informationen nach Maßgabe des § 8 des Geldwäschegesetzes aufzuzeichnen und aufzubewahren, die für die Darlegung gegenüber der Bundesanstalt erforderlich sind, dass diese Sachverhalte nicht darauf schließen lassen, dass eine Tat nach § 261 des Strafgesetzbuchs oder eine Terrorismusfinanzierung begangen oder versucht wurde oder wird. Absatz 2 Satz 2 gilt entsprechend. Institute dürfen im Einzelfall einander Informationen im Rahmen der Erfüllung ihrer Untersuchungspflicht nach Satz 1 übermitteln, wenn es sich um einen in Bezug auf Geldwäsche, Terrorismusfinanzierung oder einer sonstigen Straftat auffälligen oder ungewöhnlichen Sachverhalt handelt und tatsächliche Anhaltspunkte dafür vorliegen, dass der Empfänger der Informationen diese für die Beurteilung der Frage benötigt, ob der Sachverhalt gemäß § 11 des Geldwäschegesetzes anzuzeigen oder eine Strafanzeige gemäß § 158 der Strafprozessordnung zu erstatten ist. Der Empfänger darf die Informationen ausschließlich zum Zweck der Verhinderung der Geldwäsche, der Terrorismusfinanzierung oder sonstiger strafbarer Handlungen und nur unter den durch das übermittelnde Institut vorgegebenen Bedingungen verwenden.


Ich konnte das Kreditinstitut davon überzeugen, dass die Anforderung von Personalausweiskopien weder erforderlich noch zulässig ist. Das Kreditinstitut hat seine Praxis geändert und mir dies schriftlich bestätigt.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.4.9 Speicherung von Besucherdaten durch Spielbanken



Spielbanken sind aufgrund verschiedener gesetzlicher Regelungen dazu verpflichtet, die Personalien ihrer Besucher beim Einlass zu kontrollieren und zu speichern. Dabei sind selbstverständlich auch datenschutzrechtliche Grundsätze zu beachten.

Mich erreichte eine Beschwerde über den Umgang einer hessischen Spielbank mit gespeicherten Daten ihrer Besucher. Die Betroffene hatte in den 1990er-Jahren zusammen mit ihrem Ehemann gelegentlich die Spielbank besucht. Damals waren bei der Einlasskontrolle u. a. Namen und Anschrift des Ehepaars erhoben und im System der Spielbank gespeichert worden. Nach dem Jahr 1995 besuchte das Ehepaar die Spielbank nicht mehr, der Ehemann verstarb kurz nach der Jahrtausendwende. Als die Betroffene, 20 Jahre nach ihrem letzten Besuch, im Berichtszeitraum erneut die Spielbank besuchte, wurde ihr am Einlass eine personalisierte Eintrittskarte ausgestellt. Diese enthielt jedoch statt ihres Namens den ihres verstorbenen Ehemanns.

Die Spielbank räumte auf meine Anfrage hin ein, dass das derzeit genutzte Computersystem in den späten 1980er-Jahren eingeführt worden sei und dass alle seitdem erhobenen Besucherdaten noch bei der Spielbank gespeichert seien. Bisher seien Kundendaten lediglich in Einzelfällen gelöscht worden. Zudem wurde erläutert, dass die eingesetzte Software die Möglichkeit vorsieht, die Datensätze von (Ehe-)Partnern, die die Spielbank gemeinsam besucht hatten, miteinander zu verknüpfen. So enthielten die Datensätze vieler Spielbankbesucher Verweise auf den Datensatz ihres als solchen registrierten Partners. Dies sollte bei zukünftigen gemeinsamen Spielbankbesuchen beider Partner eine beschleunigte Einlasskontrolle ermöglichen.

Als die Betroffene im Jahr 2015 die Spielbank besuchte, waren ihre Daten in deren System aufgrund der Besuche in den 90er-Jahren noch vorhanden. Bei der Zutrittskontrolle wurde sie daher als wiederkehrende Spielbankkundin erkannt. Da sich inzwischen jedoch ihre Anschrift geändert hatte, sollten die veralteten Daten von einem Spielbankmitarbeiter aktualisiert werden. Dieser rief aber versehentlich den im Datensatz der Betroffenen vorhandenen Verweis auf den ebenfalls noch gespeicherten Datensatz ihres verstorbenen Ehemanns auf und änderte dessen Adressdaten. Da der Fehler vom Mitarbeiter nicht bemerkt wurde, wurde auch die Eintrittskarte auf den Namen des Ehemannes ausgestellt.

Es gibt verschiedene gesetzliche Regelungen, die Spielbanken aus Gründen der Spielsuchtprävention, des Jugendschutzes und der Geldwäscheprävention dazu zu verpflichten, den Zutritt zu ihren Räumlichkeiten einzuschränken und bei der Zutrittskontrolle Daten ihrer Besucher zu erheben und zu speichern. Dabei dürfen jedoch nur solche Daten erhoben werden, die für eine eindeutige Identifizierung der Besucher erforderlich sind bzw. die in den jeweiligen gesetzlichen Grundlagen ausdrücklich genannt sind.

Die Speicherung des Familienstandes und der Information, wer wessen Partner ist, ist zu diesen Zwecken nicht erforderlich. Daher ist die Verknüpfung der Datensätze von Partnern unzulässig.

Auch dürfen die rechtmäßig erhobenen und gespeicherten Daten nicht ohne jegliche zeitliche Begrenzung gespeichert werden. Wenn Spieler in der sog. Spielersperrdatei eingetragen sind, die dazu dienen soll, spielsüchtige Personen vom Spielen abzuhalten, gelten für deren Daten spezielle Speicher- bzw. Löschfristen. In allen anderen Fällen sind die Daten gemäß § 35 Abs. 2 S. 2 Nr. 3 BDSG zu löschen, sobald ihre Kenntnis für die Zwecke der Zutrittskontrolle und der Geldwäscheprävention nicht mehr erforderlich ist. Das Geldwäschegesetz sieht in § 8 Abs. 3 S. 1 GwG vor, dass die zur Geldwäscheprävention erhobenen Daten fünf Jahre lang aufzubewahren sind. Eine über diesen Zeitraum hinausgehende Aufbewahrung der Kundendaten ist, auch für die anderen mit der Zutrittskontrolle verfolgten Zwecke, nicht erforderlich. Häufig haben sich nach fünf Jahren bestimmte Daten wie z. B. die Anschrift ohnehin geändert, so dass eine weitere Speicherung solcher alten Daten weder erforderlich noch sinnvoll ist.

In Absprache mit dem für die Spielbankaufsicht zuständigen HMDIS wurde die Spielbank daher aufgefordert, Besucherdaten grundsätzlich fünf Jahre nach Ablauf des Jahres, in dem der letzte Besuch der Spielbank stattgefunden hat, zu löschen. Eine entsprechende Löschroutine wurde daraufhin von der Spielbank eingeführt. Zudem wurden die alten Datensätze aller Kunden gelöscht, die seit über fünf Jahren nicht mehr die Spielbank besucht hatten. Auch schaffte die Spielbank auf meine Aufforderung hin die Verweise auf den Partner des Besuchers ab und löschte die in alten Datensätzen noch bestehenden Verweise.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 06.07.2016

 
 

4.5 Verkehr und Energieversorger

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.5.1 Erteilung der einfachen Registerauskunft durch die Zulassungsstellen


Die Zulassungsstellen sind unter bestimmten, im Straßenverkehrsgesetz geregelten Voraussetzungen zur Auskunftserteilung über die Fahrzeug- und Halterdaten verpflichtet.

Die Zulässigkeit der Auskunftserteilung über die Halterdaten durch die Zulassungsstellen ist immer wieder Gegenstand der Anfragen sowohl seitens der Zulassungsstellen als auch seitens der betroffenen Halter.

Die Fahrzeugregister haben den Zweck, die im öffentlichen Straßenverkehr zugelassenen Fahrzeuge und deren Halter zu registrieren und diese Daten für verkehrsbezogene Belange zur Verfügung zu stellen, § 32 Straßenverkehrsgesetz (StVG). Die einfache Registerauskunft ist eine der häufigsten Formen der Registerauskunft und ist in § 39 Abs. 1 StVG geregelt. § 39 StVG stellt eine bereichsspezifische, datenschutzrechtliche Regelung dar.


§ 39 Abs. 1 StVG

Von den nach § 33 Abs. 1 gespeicherten Fahrzeugdaten und Halterdaten sind

  1. Familienname (bei juristischen Personen, Behörden oder Vereinigungen: Name oder Bezeichnung),
  2. Vornamen,
  3. Ordens- und Künstlername,
  4. Anschrift,
  5. Art, Hersteller und Typ des Fahrzeugs,
  6. Name und Anschrift des Versicherers,
  7. Nummer des Versicherungsscheins oder, falls diese noch nicht gespeichert ist, Nummer der Versicherungsbestätigung,
  8. gegebenenfalls Zeitpunkt der Beendigung des Versicherungsverhältnisses,
  9. gegebenenfalls Befreiung von der gesetzlichen Versicherungspflicht,
  10. Zeitpunkt der Zuteilung oder Ausgabe des Kennzeichens für den Halter sowie
  11. Kraftfahrzeugkennzeichen
durch die Zulassungsbehörde oder durch das Kraftfahrt-Bundesamt zu übermitteln, wenn der Empfänger unter Angabe des betreffenden Kennzeichens oder der betreffenden Fahrzeug-Identifizierungsnummer darlegt, dass er die Daten zur Geltendmachung, Sicherung oder Vollstreckung oder zur Befriedigung oder Abwehr von Rechtsansprüchen im Zusammenhang mit der Teilnahme am Straßenverkehr oder zur Erhebung einer Privatklage wegen im Straßenverkehr begangener Verstöße benötigt (einfache Registerauskunft).


Auf die Übermittlung von Daten besteht bei Vorliegen der genannten Voraussetzungen ein Rechtsanspruch. Die Halter- und Fahrzeugdaten können von der Zulassungsstelle an private wie öffentliche, inländische wie ausländische Antragsteller übermittelt werden. Die Auskunftserteilung aus dem Fahrzeugregister ist nicht nur in die Mitgliedstaaten der Europäischen Union und in die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum zulässig, sondern auch in die Drittstaaten, auch wenn bei ihnen ein angemessenes Datenschutzniveau nicht gewährleistet ist (§ 4c Abs. 1 Nr. 6 BDSG). Adressat der Übermittlung können neben dem Geschädigten eines Verkehrsunfalls und anderen Personen, die Rechtsansprüche aus den verkehrsrechtlichen Verstößen haben könnten, auch Schädiger sein. Dies wird durch die Erwähnung der "Abwehr von Rechtsansprüchen" im Gesetz deutlich.

Des Weiteren müssen Rechtsansprüche im Zusammenhang mit der Teilnahme am Straßenverkehr vorgetragen werden. Im Zusammenhang mit der Teilnahme am Straßenverkehr stehen auch Parkunfälle im öffentlichen Straßenraum, aber auch auf dem Privatparkplatz. Die Halterauskunft ist auch bei den im Ausland begangenen Verstößen zu erteilen.

Nicht ausreichend ist es dagegen, wenn der Antragsteller lediglich die Eigentümereigenschaft des Halters durch die einfache Registerauskunft bspw. im Rahmen der Zwangsvollstreckungsangelegenheiten feststellen will. Denn der Zweck des Fahrzeugregisters ist es nicht, die Fahrzeuge als Vermögensgegenstände zu erfassen. Der Darlegungspflicht des Antragstellers ist Genüge getan, wenn er plausibel behauptet, dass die Daten mindestens zu einem der in § 39 Abs. 1 StVG genannten Zwecke benötigt werden. Der angegebene Grund wird lediglich auf Plausibilität geprüft und muss nicht glaubhaft gemacht werden, weil das zu einem zu hohen Verwaltungsaufwand bei der Zulassungsbehörde führen würde (Begründung s. BTDrucks. 10/5343, S. 74).

Der landläufig verbreiteten Ansicht, dass die falschen Angaben in diesem Zusammenhang ohne Konsequenz bleiben würden, muss widersprochen werden. Bei falschen Angaben des Antragstellers im Rahmen seiner Darlegungspflicht kann § 43 Abs. 2 Nr. 4 BDSG zum Zuge kommen.


§ 43 Abs. 2 Nr. 4 BDSG

Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig

4. die Übermittlung von personenbezogenen Daten, die nicht allgemein zugänglich sind, durch unrichtige Angaben erschleicht …


Eine bereichsspezifische Sanktionsregelung existiert im Straßenverkehrsgesetz nicht. In solchen Fällen ist das BDSG subsidiär heranzuziehen. Das bedeutet, dass die nicht abschließende, bereichsspezifische Regelung durch den Rückgriff auf die Sanktionsvorschriften des Bundesdatenschutzgesetzes ergänzt werden darf.

Die zuständige Bußgeldstelle in Hessen ist nach § 24 Abs. 4 HDSG der Hessische Datenschutzbeauftragte.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.5.2 Führerscheinkontrollen durch den Arbeitgeber


Die vom Arbeitgeber durchzuführenden Führerscheinkontrollen im Falle der Bereitstellung von Dienstfahrzeugen stoßen vielfach auf Unverständnis der Arbeitnehmer. Für die Führerscheinkontrollen existieren gesetzliche Grundlagen.

Das Unterlassen der Fahrerlaubnisprüfung kann strafrechtliche Konsequenzen für den Arbeitgeber gemäß § 21 Abs. 1 Ziff. 2 StVG nach sich ziehen. Dort ist geregelt, dass derjenige mit einer Freiheitsstrafe bis zu einen Jahr oder mit Geldstrafe bestraft werden kann, wer als Halter eines Kraftfahrzeuges anordnet oder zulässt, dass jemand das Fahrzeug führt, der die dazu erforderliche Fahrerlaubnis nicht hat oder dem das Führen eines Fahrzeuges nach § 44 StGB oder nach § 25 StGB verboten ist. Ausreichend für die Erfüllung des Straftatbestands ist bereits die fahrlässige Begehung. Der Arbeitgeber, der einen Dienstwagen - gleichgültig ob personalisiert oder aus einem Fahrzeugpool, dauerhaft oder nur vorübergehend - zur Verfügung stellt, ist Halter des Fahrzeugs. Ihn als Halter trifft demnach die Pflicht, das Dienstfahrzeug nur einer Person zu überlassen, die im Besitz eines gültigen und für die Führung des jeweiligen Dienstfahrzeugs vorgeschriebenen Führerscheins ist.

Das Unterlassen der Überprüfung des Vorhandenseins einer Fahrerlaubnis kann nicht nur strafrechtliche, sondern auch versicherungsrechtliche Konsequenzen nach sich ziehen: Es droht der Verlust des Versicherungsschutzes. Gemäß D 1.1.3 AKB (Allgemeine Bedingungen für die Kraftfahrzeugversicherung) wird der Versicherer von der Leistung frei, wenn der Halter oder der Eigentümer das Fahrzeug von einem Fahrer benutzen lässt, der nicht die erforderliche Fahrerlaubnis hat. Verstöße gegen die Kontrollpflicht führen also dazu, dass die Kfz-Haftpflichtverletzung im Falle eines Unfalles zwar den Schaden dem Geschädigten ersetzen muss, aber anschließend beim Versicherungsnehmer für die Obliegenheitsverletzung Regress nehmen kann.

Grundsätzlich ist es nicht ausreichend, bei erstmaliger Überlassung eines Kraftfahrzeuges an eine andere Person sich den Führerschein zur Einsicht vorlegen zu lassen. Auch eine Regelung im Fahrzeug-Überlassungsvertrag oder im Arbeitsvertrag, wonach der Verlust des Führerscheins dem Arbeitgeber unverzüglich mitzuteilen ist, ist zwar zu empfehlen, entbindet aber den Arbeitgeber nicht von seiner Halterverantwortung nach § 21 StVG. Hier muss der Arbeitgeber berücksichtigen, dass Mitarbeiter aus Angst vor einem Jobverlust den Entzug der Fahrerlaubnis verschweigen könnten. Vielmehr muss sich der Arbeitgeber durch die regelmäßige, schriftlich dokumentierte Einsichtnahme in den Führerschein im Original davon überzeugen, dass der Fahrzeugführer die zutreffende Fahrerlaubnis (noch) hat. Der Arbeitgeber muss ein schlüssiges Konzept vorlegen können, mit dem ihm der Nachweis der Erfüllung seiner Sorgfaltspflichten aus dem Straßenverkehrsgesetz gelingt.

Das Verfahren der Führerscheinprüfungen ist abhängig von der Anzahl der Fahrzeuge, Anzahl der Fahrer, Art der Fahrzeugnutzung und vielfältigen anderen Faktoren. Ein Musterprüfungsverfahren kann hier daher nicht vorgeschlagen werden. Grundsätzlich halte ich die halbjährliche Kontrolle der Originaldokumente datenschutzrechtlich für angemessen. Die Erstellung der Führerscheinkopien und ihre Ablage in den Personalakten können unter besonderen Umständen auch erforderlich sein.

Die tatsächliche Kontrolle kann entweder durch den Arbeitgeber selbst oder durch entsprechende Dienstleister durchgeführt werden. Sollten Letztere eingesetzt werden, ist zu beachten, dass ein Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG notwendig sein kann.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.5.3 Datenverarbeitung im Rahmen der Stromgrundversorgung


Die Stromgrundversorger sind aufgrund der Möglichkeit des konkludenten Abschlusses des Grundversorgungsvertrages und der damit einhergehenden Unkenntnis über die Identität des Vertragspartners/Verbrauchers mit datenschutzrechtlichen Herausforderungen konfrontiert.

Energieunternehmen in ihrer Funktion als Stromgrundversorger fragten Namen und Adressen der Nachmieter und der Vermieter der Wohnung bei ausziehenden Vormietern in der Kündigungsbestätigung pauschal ab. Dagegen sind bei mir mehrere Beschwerden von betroffenen Bürgern eingegangen.

Im Rahmen der gesetzlich vorgeschriebenen Stromgrundversorgung sieht der Gesetzgeber vor, dass Personen, die sich um keinen Stromanbieter kümmern, dem Grundversorger als Kunden zugewiesen werden und mit Strom versorgt werden [§ 1 Abs. 3 Verordnung über Allgemeine Bedingungen für die Grundversorgung von Haushaltskunden und die Ersatzversorgung mit Elektrizität aus dem Niederspannungsnetz (Stromgrundversorgungsverordnung/StromGVV) in Verbindung mit § 36 Abs. 1 des Gesetzes über die Elektrizität- und Gasversorgung (Energiewirtschaftsgesetz/EnWG)].

Grundversorger ist jeweils das Energieunternehmen, das die meisten Haushaltskunden in einem Netzgebiet der allgemeinen Versorgung beliefert (§ 36 Abs. 2 EnWG). Dabei kommt es im Falle der netzgebundenen Versorgung zu einem konkludent geschlossenen Vertragsverhältnis (Grundversorgungsvertrag) zwischen Grundversorger und Haushaltskunde, wenn der Kunde die Energie aus dem Elektrizitätsversorgungsnetz entnimmt (§ 2 Abs. 2 StromGVV). Im Rahmen der Grundversorgung stellt die Energieentnahme den Regelfall der Vertragsbegründung.

Beim Auszug des Kunden aus einer Wohnung wird ein neuer Grundversorgungsvertrag durch Entnahme von Strom entweder mit dem Nachmieter oder bei Leerstand zunächst mit dem Vermieter der betreffenden Wohnung begründet. In einer derartigen Konstellation ist der Kunde verpflichtet, dem Grundversorger die Entnahme der Elektrizität unverzüglich in Textform mitzuteilen (§ 2 Abs. 2 StromGVV). Der Grundversorger ist seinerseits dazu verpflichtet, dem Vertragspartner den Abschluss eines Grundversorgungsvertrages schriftlich zu bestätigen. Die Mitteilungen der Kunden bleiben bedauerlicherweise in den meisten Fällen aus, so dass der Grundversorger vor der Herausforderung steht, einen konkludent geschlossenen Grundversorgungsvertrag bestätigen zu müssen, ohne dass ihm der Vertragspartner bekannt ist. In Anbetracht der großen Anzahl von Kundenwechseln ist der Grundversorger darauf angewiesen, ohne großen Aufwand, insbesondere ohne Sachverhaltsaufklärung vor Ort, Kenntnis von dem neuen Vertragspartner und seinen Adressdaten (des Vermieters) zu erlangen.

Die Schreiben an die jeweiligen Versorgungsadressen sind ohne Kenntnis der Namen der Strombezieher bei Mehrfamilienhäusern unzustellbar. Die Auskünfte aus den Liegenschaftskatastern und Grundbüchern enthalten oft veraltete Adressen der Eigentümer. Denn die Immobilieneigentümer sind nicht verpflichtet, beim Umzug ihre neue Adresse beim Grundbuchamt oder beim Amt für Bodenmanagement zu melden. Auch die Auskünfte aus dem Einwohnermelderegister bringen nicht das erwünschte Ergebnis. Die Meldungen des Wohnungswechsels werden gerade von den Personen, die auch die Mitteilung der Stromentnahme unterlassen, nicht oder nicht in der vorgesehenen Frist nach dem Umzug getätigt. Aus diesen Gründen sind manche Stromgrundversorger dazu übergegangen, den ausziehenden Vormieter nach den für den Grundversorgungsvertrag relevanten Daten pauschal in der Kündigungsbestätigung zu fragen.

§ 28 Abs. 1 Nr. 1 BDSG kommt als datenschutzrechtliche Grundlage für eine derartige Datenerhebung nicht infrage, da zum Zeitpunkt der Abfrage meist noch kein Grundversorgungsvertrag mit einem Nachmieter/Eigentümer existiert. Als datenschutzrechtliche Rechtsgrundlage für die Erhebung der Namen und Adressen der Nachmieter und der Wohnungseigentümer kommt aber § 28 Abs. 1 Nr. 2 BDSG in Betracht. Angesichts des niedrigen Sensibilitätsgrades der abgefragten Daten, der Erfahrung der fehlenden Mitteilungen der Stromentnahmen, des vom Grundversorger betriebenen Massengeschäfts und seiner überschaubaren Möglichkeiten, an die vertragsrelevanten Daten des Nachmieters oder des Eigentümers zu kommen, fällt die Interessenabwägung zugunsten der erhebenden Stelle aus.

Der Grundsatz der Direkterhebung beim Betroffenen (§ 4 Abs. 2 BDSG) wird durch den Ausnahmetatbestand des "unverhältnismäßigen Aufwandes" eingeschränkt (§ 4 Abs. 2 Satz 2 Nr. 2b BDSG), weil die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand in Form der Vorort-Recherchen bedeuten würde und bei einer Vielzahl von mehreren Zehntausend Kundenwechseln die Notwendigkeit einfacherer und schnellerer Verfahrensweisen besteht.

Die Abfrage von Daten in der Kündigungsbestätigung ist unter folgenden Voraussetzungen zulässig:

  • Die Daten dürfen nur abgefragt werden, wenn sie - auch im Massengeschäft - in dem jeweiligen Einzelfall für die Vertragsbearbeitung benötigt werden. Versenden von pauschalen Abfragen an alle ausziehenden Vormieter mit der Aufforderung der Datenübermittlung ist datenschutzrechtlich nicht zulässig.

  • Der ausziehende Vormieter muss auf die Freiwilligkeit der Bekanntgabe der abgefragten Angaben im Kündigungsschreiben hingewiesen werden.

Von den Grundversorgern wurden die Musterschreiben meinen Anforderungen angepasst.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.6 Versicherungswirtschaft

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.6.1 Juristische Personen und Datenschutz


Das Recht auf informationelle Selbstbestimmung steht nur natürlichen Personen zu. Juristische Personen (Unternehmen) können sich demzufolge nicht darauf berufen, in diesem Grundrecht verletzt zu sein. Auch das BDSG verleiht Unternehmen grundsätzlich keine eigene Rechtsposition. Ein Versicherer kann sich daher zulässigerweise nicht darauf berufen, in seinen Rechten nach dem BDSG verletzt zu sein.


4.6.1.1
Beschwerdegegenstand

Ein Unternehmen, das sich an mich wandte, hatte bei einem Versicherer einen Kreditversicherungsvertrag abgeschlossen. Ein anderes Unternehmen stellte an dieses finanzielle Forderungen. Der Versicherer nahm vor diesem Hintergrund mit dem Beschwerde führenden Unternehmen Kontakt auf, um die finanziellen Fragen zu klären.

Daraufhin untersagte das Beschwerde führende Unternehmen dem Versicherer, mit dieser Thematik zu anderen Unternehmen in Kontakt zu treten, weil es eine Rufschädigung (insbesondere betr. seine Kreditwürdigkeit) befürchtete. Der Versicherer nahm zwecks Abwicklung der Angelegenheit gleichwohl Kontakt mit anderen Stellen auf. Daraufhin verständigte das Beschwerde führende Unternehmen wegen der befürchteten Rufschädigung die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), damit diese gegen den Versicherer einschreite. Die BaFin lehnte dies ab und verwies zu dem Thema Rufschädigung (Kreditwürdigkeit) an meine Behörde.


4.6.1.2
Rechtliche Bewertung

Einem Unternehmen, das um Kreditwürdigkeit fürchtet und sich gegen Rufschädigung zur Wehr setzt, kann mit Mitteln des Datenschutzrechts nicht geholfen werden.

Zweck des Bundesdatenschutzgesetzes ist es nämlich, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (§ 1 Abs. 1 BDSG).

Um diese Thematik ging es bei der Eingabe aber nicht: Der Ruf eines Unternehmens (z. B. die Kreditwürdigkeit) ist keine Datenschutzfrage im Sinne des Bundesdatenschutzgesetzes (vgl. etwa Gusy in Wolff/Brink, Datenschutzrecht in Bund und Ländern, § 1 BDSG, Rdnr. 44).

Betriebs- und Geschäftsgeheimnisse von Unternehmen sind grundsätzlich nicht nach Datenschutzrecht zu beurteilen.

Datenschutzrechtlich sind ausnahmsweise im Sozialrecht Betriebs- und Geschäftsgeheimnisse personenbezogenen Daten gleichgestellt, §§ 35 Abs. 4 SGB I, 67 Abs. 1 S. 2 SGB X (näher hierzu etwa Steinbach in Hauck/Noftz, SGB I, Rdnr. 57 ff.).


§ 35 SGB Abs. 4 SGB I

Betriebs- und Geschäftsgeheimnisse stehen Sozialdaten gleich.


§ 67 Abs. 1 Satz 2 SGB X

Betriebs- und Geschäftsgeheimnisse sind alle betriebs- und geschäftsbezogenen Daten, auch von juristischen Personen, die Geheimnischarakter haben.


Bei der vorliegenden Eingabe ging es allerdings nicht um das Sozialrecht.

Ich habe das Unternehmen über die Rechtslage informiert. Der Petent ist gehalten, sich erneut an die BaFin zu wenden.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.6.2 Versicherungswirtschaft - Funktionsübertragung auf Dienstleister


Soweit Versicherungen Aufgaben auf andere Unternehmen übertragen und damit verbunden personenbezogene Daten der Versicherungsnehmer übermitteln, ist diese Datenübermittlung nur ausnahmsweise unzulässig.

4.6.2.1
Beschwerdegegenstand

Eine Bürgerin beschwerte sich mit ihrer Eingabe darüber, dass ihr Versicherer die Wahrnehmung der Sparte Rechtsschutzversicherung auf ein anderes Versicherungsunternehmen übertragen und damit verbunden gegen ihren Willen und trotz ihres pauschalen Widerspruchs personenbezogene Daten an dieses Unternehmen übermittelt hatte.

4.6.2.2
Rechtliche Bewertung

Die Übermittlung personenbezogener Daten ist in § 28 BDSG geregelt.


§ 28 Abs. 1 und 2 BDSG

(1) Das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig,

  1. wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist,
  2. soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt, oder
  3. wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen.


(2) Die Übermittlung oder Nutzung für einen anderen Zweck ist zulässig

  1. unter den Voraussetzungen des Absatzes 1 Satz 1 Nummer 2 oder Nummer 3,
  2. soweit es erforderlich ist,
    a)zur Wahrung berechtigter Interessen eines Dritten oder
    b)zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung oder Nutzung hat, oder
  3. wenn es im Interesse einer Forschungseinrichtung zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.


Für die Versicherungswirtschaft wird diese Vorschrift durch sogenannte Verhaltensregeln (Code of Conduct; CoC) u. a. hinsichtlich der Ausgliederung von Versicherungsleistungen näher konkretisiert. Rechtsgrundlage für solche branchenspezifischen, datenschutzrechtlichen Verhaltensregeln ist § 38a BDSG.


§ 38a BDSG

(1) Berufsverbände und andere Vereinigungen, die bestimmte Gruppen von verantwortlichen Stellen vertreten, können Entwürfe für Verhaltensregeln zur Förderung der Durchführung von datenschutzrechtlichen Regelungen der zuständigen Aufsichtsbehörde unterbreiten.

(2) Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht.


Art. 22 dieser Verhaltensregeln (CoC) befasst sich mit der Funktionsübertragung auf Dienstleister näher:


Art. 22 Abs. 2 und 3 CoC

(2) Die Übermittlung von personenbezogenen Daten an Dienstleister zur eigenverantwortlichen Erfüllung von Datenverarbeitungs- oder sonstigen Aufgaben kann auch dann erfolgen, wenn dies zur Wahrung der berechtigten Interessen des Unternehmens erforderlich ist und kein Grund zu der Annahme besteht, dass ein überwiegendes schutzwürdiges Interesse des Betroffenen dem entgegensteht. Das kann zum Beispiel der Fall sein, wenn Dienstleister Aufgaben übernehmen, die der Geschäftsabwicklung des Unternehmens dienen, wie beispielsweise die Risikoprüfung, Schaden- und Leistungsbearbeitung, Inkasso mit selbständigem Forderungseinzug oder die Bearbeitung von Rechtsfällen und die Voraussetzungen der Absätze 4 bis 7 erfüllt sind.

(3) Die Übermittlung von personenbezogenen Daten an Dienstleister nach Absatz 1 und 2 unterbleibt, soweit der Betroffene dieser widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse des übermittelnden Unternehmens überwiegt. Die Betroffenen werden in geeigneter Weise darauf hingewiesen.


Vorliegend dient die Auslagerung der Geschäftssparte „Rechtsschutzversicherungâ?? der Geschäftsabwicklung der Versicherung.

Die Eingeberin hatte der Datenübermittlung nur pauschal widersprochen, ohne eine besondere persönliche Situation darlegen zu können. Schutzwürdige Interessen waren daher nicht zu erkennen. Demzufolge war die Datenübermittlung auch nicht wegen des Widerspruchs unzulässig. Zudem wird im Versicherungsaufsichtsgesetz die Auslagerung der Sparte Rechtsschutzversicherung speziell geregelt.


§ 8a Abs. 1 VAG

Ein Versicherungsunternehmen, das die Rechtsschutzversicherung zusammen mit anderen Versicherungssparten betreibt, hat die Leistungsbearbeitung in der Rechtsschutzversicherung einem anderen Unternehmen (Schadenabwicklungsunternehmen) zu übertragen. Die Übertragung gilt als Funktionsausgliederung.


Diese Regelung soll möglichen Interessenkollisionen beim Versicherer vorbeugen. Wenn beispielsweise nach einem Verkehrsunfall gegen den Versicherer Haftpflichtansprüche vom Unfallgeschädigten geltend gemacht werden und der Unfallgeschädigte dafür zugleich seine Rechtsschutzversicherung beansprucht: Darüber soll dann nicht „im gleichen Hauseâ?? entschieden werden (näher hierzu Kaulbach in Fahr/Kaulbach/Bähr/Pohlmann, VAG, § 8a VAG, Rdnr. 1 ff.).

Die anfragende Bürgerin habe ich über diese Sach- und Rechtslage informiert.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.7 Wohnungswirtschaft

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.7.1 Sperrung von Daten bei Kündigung eines Immobilienmaklervertrages


Kündigt der Kunde eines Immobilienmaklers die vertragliche Beziehung, dürfen die Daten des Kunden grundsätzlich nicht gelöscht, sondern müssen gesperrt werden.


4.7.1.1
Beschwerdegegenstand

Ein Bürger fragte an, ob er von seinem bisherigen Immobilienmakler fordern könne, dass die den Bürger betreffenden Daten gelöscht werden. Der Kunde habe den Maklervertrag gekündigt und er wolle in Zukunft keine geschäftliche Beziehung mehr mit diesem Makler eingehen.


4.7.1.2
Rechtliche Bewertung

Unbefristete Immobilienmaklerverträge können vom Kunden des Maklers jederzeit gekündigt werden, während der Makler engeren rechtlichen Bindungen unterliegt (hierzu näher bspw. Fehrenbacher in Harz/Riecke/Schmid, Miet- und Wohnungseigentumsrecht, S. 1564 Rdnr. 24).

Die Frage, ob eine solche Kündigung die Löschung der Kundendaten als datenschutzrechtliche Folge auslöst, ist in § 35 BDSG beantwortet.

Danach müssen personenbezogene Daten, die für eigene Zwecke verarbeitet werden, gelöscht werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist (§ 35 Abs. 2 S. 2 Nr. 3 BDSG).


§ 35 Abs. 2 Nr. 3 BDSG

Personenbezogene Daten sind zu löschen, wenn
...
3. sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist,
...


Mit Blick auf die Kundendaten tritt diese Situation für den Makler ein, wenn ein Vertrag seitens des Kunden gekündigt und die Rechtsbeziehung vom Kunden nachhaltig beendet worden ist.
Eine Löschung scheidet dann aber dennoch aus, soweit Aufbewahrungsfristen bezüglich der angefallenen Vertragsdaten rechtlich angeordnet sind (§ 35 Abs. 3 Nr. 1 BDSG). In diesem Fall wird das Löschungsgebot durch ein Sperrungsgebot ersetzt.


§ 35 Abs. 3 Nr. 1 BDSG

  1. An die Stelle einer Löschung tritt eine Sperrung, soweit
    einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen.

...


Gesetzliche Vorschriften in diesem Sinne sind insbesondere die handelsrechtliche Vorschrift § 257 HGB und die abgabenrechtliche Regelung in § 147 AO. In diesen Normen ist festgelegt, dass Handels- und Geschäftsbriefe sechs Jahre aufzubewahren sind (§ 257 Abs. 4 HGB, § 147 Abs. 3 AO).


§ 257 Abs. 1 und 4 HGB

(1) Jeder Kaufmann ist verpflichtet, die folgenden Unterlagen geordnet aufzubewahren:
...
2. die empfangenen Handelsbriefe
Wiedergaben der abgesandten Handelsbriefe

(4) Die in Absatz 1 Nr. 1 und 4 aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren.

§ 147 Abs. 1 und 3 AO

(1) Die folgenden Unterlagen sind geordnet aufzubewahren:
...
2. die empfangenen Handels- und Geschäftsbriefe
3. Wiedergaben der abgesandten Handels- und Geschäftsbriefe,
...

(3) Die in Abs. 1 Nr. 1, 4 und 4a aufgeführten Unterlagen sind zehn Jahre, die sonstigen in Absatz 1 aufgeführten Unterlagen sechs Jahre aufzubewahren, ...


Die als Folge der Aufbewahrungspflicht verbotene Löschung von personenbezogenen Daten und die stattdessen angeordnete Sperrung bedeuten eine Einschränkung der zulässigen Verwendbarkeit dieser personenbezogenen Daten (§ 35 Abs. 8 BDSG).


§ 35 Abs. 8 BDSG

Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt werden, wenn

  1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und
  2. die Daten hierfür übermittelt und genutzt werden dürften, wenn sie nicht gesperrt wären.


Ich habe den Bürger über die Rechtslage informiert.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.07.2016

 
 

4.7.2 Wohnungseigentümer und Datenübermittlung durch Verwalter an einen Dritten



Der Verwalter ist gegenüber den Wohnungseigentümern und gegenüber der Gemeinschaft der Wohnungseigentümer nicht ermächtigt, ohne deren Auftrag ihre personenbezogenen Daten an einen Finanzmakler zu übermitteln.


4.7.2.1
Beschwerdegegenstand

Ein Wohnungseigentümer beschwerte sich bei mir darüber, dass der Verwalter der Eigentumswohnanlage personenbezogene Daten aller Wohnungseigentümer an einen Finanzmakler weitergegeben hatte, um ohne Auftrag der Wohnungseigentümer ein Finanzierungsprojekt einzuleiten. Hintergrund waren geplante Sanierungs-/Renovierungsmaßnahmen an der Wohnanlage.


4.7.2.2
Rechtliche Bewertung

Der Verwalter ist gegenüber den Wohnungseigentümern und gegenüber der Gemeinschaft der Wohnungseigentümer u. a. berechtigt und verpflichtet, die für die ordnungsmäßige Instandhaltung und Instandsetzung des gemeinschaftlichen Eigentums erforderlichen Maßnahmen zu treffen (§ 27 Abs. 1 Nr. 2 WEG) und vor allem Beschlüsse der Wohnungseigentümer durchzuführen (§ 27 Abs. 1 Nr. 1 WEG).


§ 27 Abs. 1 WEG

Der Verwalter ist gegenüber den Wohnungseigentümern und gegenüber der Gemeinschaft der Wohnungseigentümer berechtigt und verpflichtet,

  1. Beschlüsse der Wohnungseigentümer durchzuführen und für die Durchführung der Hausordnung zu sorgen;
  2. die für die ordnungsmäßige Instandhaltung und Instandsetzung des gemeinschaftlichen Eigentums erforderlichen Maßnahmen zu treffen;
...


Die Berechtigung und Verpflichtung zur Instandhaltung und Instandsetzung enthält aber nicht die Befugnis, ohne Mitwirkung der Wohnungseigentümer deren personenbezogene Daten an Dritte weiterzugeben.

Vielmehr hat der Verwalter die Wohnungseigentümer bei seinen Maßnahmen prinzipiell mit einzubinden. Eine Ausnahme bestünde lediglich im Fall der "Notgeschäftsführung" (näher hierzu etwa Abramenko in Harz/Riecke/Schmid, Miet- und Wohnungseigentumsrecht, Kapitel 19, Rdnr. 64f.; Bärmann/Pick, WEG, § 27 Rdnr. 9).

Im vorliegenden Fall war es so, dass weder ein Beschluss der Wohnungseigentümer noch ein "Notfall" vorlag, der die Weitergabe personenbezogener Daten der Wohnungseigentümer an den Finanzmakler gerechtfertigt hätte.

Über diese Rechtslage habe ich den Eingeber und den Verwalter informiert.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.07.2016

 
 

4.8 Gesundheitswesen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.8.1 Datenverarbeitung durch eine Blutspendeeinrichtung


Beim Informationsbesuch in einem Blutspendezentrum in Hessen wurde festgestellt, dass Unklarheiten hinsichtlich der Frage bestehen, wer die verantwortliche Stelle für die Datenverarbeitung ist. Zugleich war auch für die Blutspender nicht hinreichend transparent genug, bei welcher Stelle die erhobenen Daten abgelegt werden.


4.8.1.1
Ausgangslage

Anlass für meinen Besuch war die Eingabe eines Ehepaares. Wie mir dieses berichtete, fand es sich zwecks einer Blutspende in dem Blutspendezentrum ein. Nachdem das Ehepaar vor Ort den Anamnesebogen ausgefüllt hatte, wurde es zunächst gebeten, Platz zu nehmen. Da den beiden die Wartezeit zu lange war, und man ihnen andere Personen am Empfang vorzog, entschlossen sie sich kurzerhand dazu, die Blutspende abzubrechen. Beide baten daher darum, dass die im Anamnesebogen bereits erhobenen Daten vernichtet werden und keine Speicherung vorgenommen wird. Daraufhin teilten ihnen Mitarbeiter des Blutspendezentrums mit, dass dies nicht möglich sei, da das Transfusionsgesetz auch eine Speicherung der Daten vorsieht, wenn es tatsächlich nicht zu einer Spende gekommen ist. Hiermit wolle man insbesondere erreichen, dass auf diesem Weg mögliche Risikospender erfasst und bei einem erneuten Besuch nicht zugelassen werden.

Zunächst habe ich mir schriftlich die Vorgänge im Blutspendezentrum darlegen lassen, um mir sodann auch vor Ort ein Bild von den Abläufen zu machen. Hierbei wurde festgestellt, dass das Blut eigentlich im Auftrag und im Namen einer Einrichtung aus einem anderen Bundesland gewonnen wird. Die tatsächlich die Daten erhebende und speichernde Stelle tauchte jedoch nur auf dem Anamnesebogen erkennbar für den Spender auf.

Darüber hinaus habe ich festgestellt, dass die Blutspendeeinrichtung bislang keinen Datenschutzbeauftragten bestellt hatte, obwohl sie etwa 100 Mitarbeiter beschäftigt und seit ca. zehn Jahren besteht. Die Funktion des Datenschutzbeauftragten übte bislang der Geschäftsführer aus.


4.8.1.2
Rechtliche Bewertung und getroffene Maßnahmen


4.8.1.2.1
Verantwortliche Stelle für die Datenverarbeitung

Um die Verantwortlichkeiten genauer abklären zu können, habe ich mir zunächst den Kooperationsvertrag zwischen der Blutspendeeinrichtung und der Einrichtung aus NRW vorlegen lassen. Die in dem Vertrag festgehaltenen Vereinbarungen enthielten keine klare Antwort auf die Frage, wer die verantwortliche Stelle ist. Insbesondere war in dem Vertrag nicht geregelt, welcher Stelle die Daten gehören, wer für die inhaltliche Richtigkeit der Daten verantwortlich ist, wer für welche Maßnahmen zur Gewährleistung der Datensicherheit verantwortlich ist und welche Stelle auf welche Art und Weise Zugriff auf die Daten hat. In § 4 des Kooperationsvertrages war beispielsweise nicht genau ausgeführt, wie der Zugriff auf das EDV-Spendenmodul der Einrichtung in NRW ausgestaltet ist. Dort hieß es lediglich:
"Die Aufnahme der Spender einschließlich aller relevanten persönlichen und medizinischen Daten erfolgt in das EDV-Spendenmodul der Einrichtung in NRW."

Auch der § 2 des Kooperationsvertrages stellte nur fest, dass die Blutspendeeinrichtung in Hessen die Standardarbeitsanweisungen der Einrichtung in NRW zu beachten hat. Darüber hinaus war jedoch nicht genauer geregelt, welche Einflussmöglichkeiten außerhalb dieser Anweisungen bestehen.

Ich habe daher zunächst darum gebeten, dass der Vertrag im Rahmen einer vertraglichen Erweiterung ergänzt wird.

Auch für den Spender selbst ist es entsprechend transparent zu machen, wo seine erhobenen Daten abgelegt werden und welche Einrichtung einen Zugriff darauf hat. Hierüber war aus meiner Sicht gesondert in einem Informationsblatt für den Patienten aufzuklären.

Eine entsprechende Umsetzung beider Punkte wurde mir von dem Unternehmen zugesagt.


4.8.1.2.2
Aufklärung der Spender über die Speicherung der Daten im Falle des Spendenabbruchs

Schließlich habe ich auch darauf Wert gelegt, dass der Patient zumindest vor der Spende darüber informiert wird, dass seine Daten auch im Falle des vorzeitigen Spendenabbruchs gespeichert werden können.

Dem Transfusionsgesetz lässt sich letztlich nicht entnehmen, dass Daten von Patienten, die sich dazu entschließen, nicht zu spenden und die keine Risikopatienten sind, dauerhaft gespeichert werden müssen. Ich habe deshalb gefordert, dass man in solchen Fällen noch einmal eine Einzelfallprüfung vornimmt. Sofern es sich den Angaben nach nicht um Risikopatienten handelt, sind die bereits erhobenen Daten auch zu löschen. Eine weitere Speicherung ist in diesen Konstellationen nicht erforderlich.

Die Blutspendeeinrichtung hat sich dazu bereit erklärt, dies an die verantwortliche Stelle in NRW heranzutragen und eine entsprechende Änderung anzuregen.


4.8.1.2.3
Bestellung eines Datenschutzbeauftragten

Besonders schwer wiegt aus meiner Sicht der Umstand, dass die Blutspendeeinrichtung seit über zehn Jahren keinen eigenen Datenschutzbeauftragten bestellt hat. Dies ist insbesondere deshalb so beachtlich, da im gegebenen Fall die Verarbeitung einer Vielzahl von besonders sensiblen Daten betroffen ist. Wer bereits eine Blutspende vorgenommen hat, weiß, wie detailliert die Anamnesebogen den Spender zu seiner Gesundheit und zu seinem Sexualleben befragen.

Da das Haus auch über 100 Mitarbeiter beschäftigt, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind, finden die §§ 4f, 4g BDSG auch eine entsprechende Anwendung.

Ich habe die Blutspendeeinrichtung in Hessen schließlich darauf hingewiesen, dass der Geschäftsführer eines Unternehmens den Posten des Datenschutzbeauftragten nicht selber ausfüllen kann. Auf meiner Homepage findet sich ein Merkblatt, dem die Mindestanforderungen zu entnehmen sind, die an betriebliche Datenschutzbeauftragte zu stellen sind. Danach sind insbesondere Interessenkonflikte zu vermeiden, die sich aus entsprechenden Doppelfunktionen ergeben können.

Soweit dieser Punkt betroffen ist, werde ich den Vorgang zur weiteren Prüfung und gegebenenfalls Ahndung an die Bußgeldstelle in meinem Haus weiterleiten.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.8.2 Datenschutzrechtliche Mängel beim Einsatz von Evaluationsbogen bei psychiatrischen Behandlungen


In einer hessischen Klinik erhielt jede Patientin und jeder Patient zu Beginn der Behandlung einen umfangreichen Fragebogen. Der Zweck der Befragung und die weitere Verarbeitung der Daten waren unklar und nicht korrekt dargestellt. Aufgrund meiner Forderungen wurde das Verfahren neu gestaltet und die erforderliche Transparenz hergestellt.


4.8.2.1
Ausgangslage

Der Eingebende berichtete mir, dass er in einer Klinik in Hessen als Patient in der Abteilung Psychosomatik aufgenommen wurde. Gleich zu Beginn seiner Behandlung erhielt er dort von der behandelnden Chefärztin einen Fragebogen mit der Überschrift "Befragung von Patientinnen und Patienten zu Beginn einer stationären psychosomatischen Behandlung". Auf dem Fragebogen waren Felder für die Patientennummer und das Aufnahmedatum vorgesehen. Auf dem Kopfbogen war zudem ein Universitätsklinikum aus einem anderen Bundesland angegeben.

Wie mir der Eingebende mitteilte, erfolgte nur eine mündliche Information zu der psychologischen Testung. So sei ihm von den Mitarbeitern des Hauses versichert worden, dass die Erhebung und Auswertung in anonymisierter Form erfolgte. Der Eingebende hat jedoch darauf hingewiesen, dass auf dem jeweiligen Fragebogen auch die Patientennummer und das Datum der Aufnahme vermerkt waren. Obwohl er seine Patientennummer hat streichen lassen, wurde diese nach seinen Angaben nachträglich wieder vom Personal der Klinik hinzugefügt. Auf seine hier wiedergegebene Kritik hin habe ihm eine Angestellte der Klinik nahegelegt, seine Behandlung zu beenden und abzureisen.

Unklar war zunächst, wer im gegebenen Fall die verantwortliche Stelle hinsichtlich des Fragebogens ist, welchen Zweck der Fragebogen hat, wie die Daten weiterverarbeitet werden und was passiert, wenn der Fragebogen nicht ausgefüllt wird. Klärungsbedürftig war auch, ob tatsächlich von "anonymisierten" Daten gesprochen werden konnte. Vor diesem Hintergrund habe ich den Datenschutzbeauftragten der Klinik um Stellungnahme gebeten.

Dieser teilte mir schließlich mit, dass der thematisierte Fragebogen Bestandteil der Behandlung in der Klinik ist. Es handele sich um eine freiwillige standardisierte psychologische Testbefragung, die das Universitätsklinikum entwickelt hat und die regelmäßig entsprechend den neuesten wissenschaftlichen Standards überarbeitet und ausgewertet wird. Die Auswertung erfolge im Universitätsklinikum, mit dem diesbezüglich ein Kooperationsvertrag besteht.

Nach Durchsicht der ergänzend hierzu übersandten Unterlagen habe ich festgestellt, dass die Informationen für den Patienten teilweise nicht korrekt und insgesamt nicht ausreichend waren. Der bestehende Kooperationsvertrag räumte dem Universitätsklinikum darüber hinaus zu weitreichende Rechte ein.


4.8.2.2
Unsere Forderungen/Getroffene Maßnahmen


4.8.2.2.1
Transparenz für die Teilnehmer

Rechtlich war es zunächst unabdingbar, dass die Teilnehmer über den Zweck der Befragung informiert werden sowie darüber, dass die Daten die Klinik verlassen.

Aufgrund der Verbindung des Fragebogens mit der Patientennummer als auch dem Datum der Aufnahme konnte die Befragung auch nicht mehr als anonym bezeichnet werden. Es war daher klarzustellen, dass der Fragebogen zwar durchaus innerhalb der Klinik einer Person zugeordnet werden kann, die Antworten jedoch getrennt von den personenbezogenen Daten ausgewertet und bearbeitet werden.

Damit auch tatsächlich davon ausgegangen werden kann, dass der Patient eine informierte Einwilligung abgegeben hat, habe ich gefordert, dass der Patient über die genaueren Umstände der Befragung in einem gesonderten Papier informiert wird, welches dem Fragebogen beigefügt wird. Darin war auch anzusprechen, ob, in welcher Form und ggf. zu welchem Zweck die Fragebogen im Hause des Universitätsklinikums verbleiben.

In dem mir schließlich übersandten Informationsblatt wurde oftmals von einer Verwendung von "pseudonymisierten Daten" gesprochen. In Anbetracht des Umfangs des Fragebogens und des damit entstehenden Datensatzes war es aus meiner Sicht jedoch äußerst fraglich, ob eine hinreichende Pseudonymisierung vorliegt. Ich habe daher darum gebeten, dass dieser Begriff vermieden wird. Vielmehr ist dem Patienten mitzuteilen, dass sein Name und seine Adresse nicht weitergegeben werden und in der Klinik verbleiben.

Aufgefallen ist mir in diesem Kontext auch, dass dem Patienten im Informationsblatt zugesichert wird, dass von den Daten, die außerhalb der Klinik ausgewertet werden, keine Rückschlüsse auf die Person möglich sind. In Anbetracht des Umfangs der erhobenen Daten hatte ich Zweifel, dass eine solche Zusicherung tatsächlich für jeden Fall getroffen werden kann. Daher war es hier rechtlich nur möglich, dem Patienten eine strikt zweckgebundene Verwendung der Daten zuzusichern.


4.8.2.2.2
Überarbeitung des Fragebogens

Sowohl das Datum der Aufnahme als auch die Patientennummer befanden sich auf dem Fragebogen. Das Datum der Aufnahme sollte jedoch auf keinen Fall weitergegeben werden, weil damit zusätzliche Reidentifikationsrisiken verbunden sind. Die Patientennummer wurde durch eine laufende Nummer ersetzt. Wichtig war aus meiner Sicht, dass die Nummer nicht unmittelbar mit der Krankenakte verknüpft ist. Anderenfalls wäre hier noch eine Umschlüsselung erforderlich gewesen, da ansonsten über diese Kodiernummer Zusatzinformationen über den Patienten in Erfahrung gebracht werden könnten.

Um zusätzlich das Risiko einer Reidentifizierung zu reduzieren, habe ich im Übrigen vorgegeben, dass im Fragebogen bei den Angaben zur Person lediglich das Geburtsjahr und nicht das komplette Geburtsdatum abzufragen ist.

Die Vorgaben zum Fragebogen wurden mittlerweile auch umgesetzt.


4.8.2.2.3
Überarbeitung des Kooperationsvertrages

Ein weiteres Anliegen von mir war es, die Zusammenarbeit mit dem Universitätsklinikum besser nachvollziehen zu können. Ich habe mir daher auch noch einmal den zwischen den beiden Einrichtungen geschlossenen Vertrag vorlegen lassen.

Die daraus hervorgehenden §§ 4 und 5 enthielten über die Evaluation für die Klinik hinausgehende Zwecke. So entstand hier der Eindruck, dass die übersandten Patientendaten auch für weitere Zwecke (hier: Forschungs-, Nutzungs- und Publikationszwecke) zur Verfügung stehen.

Um zum Nachteil der Patienten Missverständnisse auszuschließen, habe ich gefordert, dass die §§ 4 und 5 des Vertrages noch einmal konkretisiert und klarer formuliert werden. Bis zum Zeitpunkt der Änderung dieser Vorschriften habe ich der Klinik vorgegeben, von einer weiteren Übermittlung von Datensätzen abzusehen.

Gemäß einer mir vorgelegten Änderungsvereinbarung wurden die unklaren Passagen aufgehoben und ganz aus dem Kooperationsvertrag herausgenommen.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.8.3 Server einer Zahnarztpraxis im Keller eines Wohnhauses


Das Thema sichere Serverräume hat mich im letzten Jahr mehrfach beschäftigt. So erhielt ich die Anfrage, ob es auf datenschutzrechtliche Bedenken stoße, wenn der Server einer Zahnarztpraxis in einem Mehrfamilienhaus im gemeinsamen Kellerraum untergebracht ist. Ich habe die Eingabe zum Anlass genommen, mich mit den Gegebenheiten vor Ort zu beschäftigen und allgemeine Empfehlungen hieraus auszuarbeiten.


4.8.3.1
Beschwerdegegenstand

In einer Eingabe wurde mir berichtet, dass sich in einem Kellervorraum eines Wohnhauses mit mehreren Parteien der Server einer Zahnarztpraxis befinde. Die Zugangstür zu dem Kellerabteil sei über ein elektrisches Codeschloss sowie ein Sicherheitsschloss gesichert. Der Vorraum zu dem Kellerabteil könne jedoch von allen Mitbewohnern begangen werden. Auch weitere wichtige Räume wie ein Heizungs- und ein Waschraum waren nur über diesen Vorraum zu erreichen. Der Server selbst war in einem ca. 30 cm über dem Boden liegenden, fest mit der Wand montierten und verschlossenen Holzschrank untergebracht (siehe Abb.).

Abb.1 (4.8.3) Server im Schrank


4.8.3.2
Rechtliche Bewertung

In Anbetracht der geschilderten örtlichen Gegebenheiten waren die Anforderungen an eine sichere Datenhaltung im Allgemeinen nicht erfüllt. Zentrale IT-Komponenten (Server, Router, Netzwerkverteiler) sind so aufzustellen, dass unbefugte Dritte keinen Zugang zu diesen Komponenten haben. Vorliegend war der Server zwar in einem Schrank eingeschlossen, dieser war aber in einem allgemein zugänglichen, nicht unter dauerhafter Beobachtung stehenden Bereich des Hauses untergebracht.

Erschwerend kommt hinzu, dass auf dem Server auch Patientendaten und damit besonders sensible Daten im Sinne des § 3 Abs. 9 BDSG abgelegt waren.

Ich musste daher beanstanden, dass es nicht auszuschließen ist, dass sich unbefugte Personen Zugang zu den Kellerräumen verschaffen können oder sich Personen unbeaufsichtigt in den Räumen aufhalten. Die Konstruktion des Schrankes bot keinen oder nur unzureichenden Schutz gegen das Aufbrechen (Diebstahl oder Manipulation des Servers).

Im Rahmen einer zwischenzeitlich erfolgten Praxisübergabe entschloss sich der neue Inhaber dazu, den Server zukünftig wieder in die Praxisräume zu verlegen. Als neuer Standort wurde ein Büroraum hinter dem Empfang vorgesehen. Da nicht auszuschließen ist, dass der Empfang in Einzelfällen unbesetzt ist, war aus meiner Sicht auch hier der Server in einem verschlossenen Schrank unterzubringen. Idealerweise konnte für den Server ein separater, ständig verschlossener Raum gefunden werden.

Erst in diesem Jahr hat eine Umfrage zum Zustand deutscher Serverräume ergeben, dass der Zustand der Serverräume "zu wünschen übrig lasse" (siehe FAZ vom 06.10.2015, "Sichere Serverräume"). Der Vorgang zeigt, dass auch kleinere Unternehmen wie Arztpraxen ein verstärktes Augenmerk auf die datenschutzgerechte Platzierung des Servers und das entsprechende Umfeld richten müssen.


4.8.3.3
Grundsätzliches zum Umgang mit IT-Komponenten

Gerade bei sensitiven Umgebungen wie Arztpraxen und Krankenhäusern zeigen sich erhebliche Gegensätze zwischen den Anforderungen an die Praktikabilität (z. B. schneller Zugriff auf Informationen) und den Anforderungen des Datenschutzes. Deshalb möchte ich die Prüfungen in diesem Jahr zum Anlass nehmen, um einige allgemeine Informationen zu diesem Thema zu veröffentlichen.

Vor allem die sensiblen Informationen im Gesundheitsbereich erfordern einen besonderen Umgang mit IT-Systemen. Idealerweise befinden sich die zentralen IT-Komponenten in einem eigenen, verschlossenen und nicht frequentierten Raum der Praxis, zu dem nur Mitarbeiterinnen und Mitarbeiter Zugang haben. Wenn kein eigener Raum verfügbar ist, kann z. B. auch ein Lagerraum genutzt werden.

Welche weiteren Sicherungsmaßnahmen erforderlich sind, richtet sich nach den räumlichen Gegebenheiten und den Anforderungen der jeweiligen Systeme.

Beispielhaft seien hier genannt:
- Fenstersicherung/Alarmanlage (Einbruch),
- Rauchmelder (Brandgefährdung),
- Wassermelder (Wasserschäden, Löschwasser bei Brandbekämpfung) und
- besondere Maßnahmen, falls Leitungen durch den Raum führen.

Die baulichen Gegebenheiten machen oftmals eine einfache Lösung schwierig. Meine Mitarbeiter sind aber in solchen Fällen auch gerne beratend tätig.

Weitere Informationen zu Sicherungs- und Schutzmaßnahmen sind auch durch die örtliche Polizei und Feuerwehr zu erhalten.

Eine gute Übersicht über die zu beachtenden Themenbereiche zur Unterbringung von IT-Geräten liefern zudem die Maßnahmenkataloge des BSI-Grundschutzhandbuches (GSHB). Informationen zu den hier beschriebenen Themen finden sich dort im Kapitel "M 1 Infrastruktur" sowie im Kapitel "M 4 Hard- und Software".


4.8.3.4
Weiterführende Links

GSHB - M 1 Infrastruktur:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M1Infrastruktur/m1infrastruktur_node.html


GSHB - M 4 Hard- und Software:
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/Massnahmenkataloge/M4HardwareundSoftware/m4hardwareundsoftware_node.html


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.8.4 KV-SafeNet


Im Jahr 2015 hat die Kassenärztliche Vereinigung Hessen (KV Hessen) für ihre Mitglieder die Nutzung von KV-SafeNet für die Abrechnungen ab dem 3. Quartal verbindlich vorgeschrieben. In diesem Zusammenhang gab es Eingaben von Ärzten. Bei der Aufarbeitung der Nutzung von Sammelanschlüssen kam es zu Dissonanzen zwischen dem HDSB und der KV Hessen.

In § 295 Abs. 4 SGB V ist festgelegt, dass die Kassenärztliche Bundesvereinigung (KBV) näher regelt, wie die Abrechnung der Leistungen zu erfolgen hat. Am 08.05.2013 hat die KBV beschlossen, dass die Abrechnungsdaten nur noch elektronisch über ein von der KBV festgelegtes Verfahren vom Arzt an seine Kassenärztliche Vereinigung übermittelt werden dürfen. Als zulässige Verfahren wurden KV-SafeNet und KV-FlexNet genannt. Das KV-SafeNet ist eine hardwarebasierte Lösung, während das KV-FlexNet softwarebasiert ist.


§ 295 Abs. 4 SGB V

Die an der vertragsärztlichen Versorgung teilnehmenden Ärzte, Einrichtungen und medizinischen Versorgungszentren haben die für die Abrechnung der Leistungen notwendigen Angaben der Kassenärztlichen Vereinigung im Wege elektronischer Datenübertragung oder maschinell verwertbar auf Datenträgern zu übermitteln. Das Nähere regelt die Kassenärztliche Bundesvereinigung.


Die KV Hessen hat diese Vorgabe im Rahmen einer Vertreterversammlung Anfang 2014 diskutiert und nach Auffassung der KV Hessen wurde beschlossen, ab dem 3. Quartal 2015 nur noch eine Abrechnung über KV-SafeNet zuzulassen. Erläuterungen dazu und Informationen über weitere Möglichkeiten des KV-SafeNet (z. B. Datenaustausch mit gesetzlichen Unfallversicherungsträgern und Arztbriefversand) wurden den Ärzten auf regionalen Informationsveranstaltungen gegeben.

Die KV Hessen darf diese Festlegungen treffen. Der Hessische Datenschutzbeauftragte als Datenschutzaufsichtsbehörde für die KV Hessen als auch für die in Hessen niedergelassenen Ärzte hätte dann einschreiten können und müssen, wenn das Datenschutzniveau durch die Festlegung nicht mehr angemessen wäre. Das war hier nicht der Fall.

Es gab erhebliche Vorbehalte aus der Ärzteschaft, in denen u. a. die Kosten thematisiert wurden. Eine Möglichkeit, die Kosten zu reduzieren, sahen insbesondere Ärztenetze in einer gemeinsamen Nutzung der vorgeschriebenen Hardwarelösung. Die KV Hessen sah demgegenüber zwar keine Probleme bei Gemeinschaftspraxen und Praxisgemeinschaften, ansonsten lehnte sie diese sogenannten Sammelanschlüsse aber ab. In einem Rundschreiben "Digitale Vernetzung ist das Gebot der Stunde, Datenschützer erteilt Sammelanschluss klare Absage" vom 24.07.2015 hat sie diese Auffassung noch einmal betont und dabei den Datenschutz als Kronzeugen genannt. In dem Rundschreiben wurde auch ausgeführt, dass auf Wunsch entsprechende Dokumente zur Verfügung gestellt werden. Diese Möglichkeit wurde von Ärzten genutzt und es wurde ihnen eine "gemeinsame Stellungnahme des Hessischen Datenschutzbeauftragten und der Datenschutzbeauftragten der KV Hessen" mit Datum 24.07.2015 zugeschickt. Diese Stellungnahme war mit "Hessischer Datenschutzbeauftragter" signiert. Von dem Rundschreiben und auch von der vorgeblichen gemeinsamen Stellungnahme erhielt ich erstmalig Kenntnis, als sich Ärzte an mich wandten, um Erläuterungen zu den Aussagen zu erhalten. Beide Dokumente waren mir vorher nicht bekannt und waren weder inhaltlich noch formal mit mir abgestimmt. Daher sah ich mich veranlasst, eine entsprechende Richtigstellung auf meiner Homepage zu veröffentlichen. Gleichzeitig forderte ich die KV Hessen auf, diese Stellungnahme nicht mehr zu versenden.

Daraufhin verschickte die KV Hessen auf Nachfrage an Ärzte eine "Stellungnahme des Hessischen Datenschutzbeauftragten zur Stellungnahme der Datenschutzbeauftragten der KV Hessen". In dieser wird aus einer Mail zitiert, in der ich mich auf eine Anfrage der KV Hessen zu einer besonderen Fallkonstellation geäußert hatte. Diese neue Stellungnahme, wieder nicht abgestimmt, ging nicht auf die besondere Fallkonstellation, die zugrunde lag, ein und hatte zudem aus der Mail einen Absatz entfernt, ohne dass dies erkennbar war. Sie war wieder mit "Hessischer Datenschutzbeauftragter" signiert. Auch diese Vorgehensweise habe ich gerügt und eine Unterlassung verlangt. Dem kam die KV Hessen nach. Es folgte ein Gespräch am 03.08.2015 und Telefonate, damit Vergleichbares nicht mehr geschieht. Als abschließende Reaktion folgte am 20.08.2015 das Rundschreiben "Unser Rundschreiben vom 24.07.2015 zu KV-SafeNet", in dem die KV Hessen den Sachverhalt klarstellte und auch ein geordnetes Vorgehen für die Beantragung und Prüfung der Zulässigkeit von Sammelanschlüssen ankündigte. Mit dieser Klarstellung habe ich den Vorgang mit den falschen Aussagen der KV Hessen für mich abgeschlossen.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.8.5 Rechtswidriger Transfer von Diabetikerdaten in die USA?


Aufgrund verschiedener Anfragen und Beschwerden habe ich geprüft, ob personenbezogene Daten über Käufer eines Glukosemesssystems in die USA übermittelt werden, wenn sie eine im Internet kostenlos angebotene Auswertungs-Software nutzen. Anhaltspunkte für personenbezogene Datenübermittlungen habe ich nicht gewonnen. Die tatsächlich erfolgenden Datentransfers in die USA waren jedoch für die Käufer nicht hinreichend transparent. Die Informationen für die Käufer werden aufgrund meiner Forderungen präzisiert und ergänzt.


4.8.5.1
Ausgangslage

In ständig zunehmendem Maße erheben Bürgerinnen und Bürger selbst Daten über ihre Gesundheit und Fitness mittels Gesundheits-Apps und mobilen Mess- und Diagnosegeräten. Im Berichtszeitraumhabe ich diverse Anfragen und Beschwerden erhalten von Käufern des Sensors und des Lesegeräts Abbott Freestyle Libre für Diabetiker. Sie haben die Befürchtung geäußert, dass mittels der im Internet angebotenen zusätzlichen Software heimlich - entgegen den Nutzungsbedingungen - gesundheitsbezogene Daten - insbesondere Messprotokolle - in die USA übermittelt werden. Auch verschiedene Presseveröffentlichungen und Patientenforen haben diesen Verdacht aufgegriffen.

Die Käufer können Sensor und Lesegerät von der Abbott GmbH & Co. KG in Wiesbaden (im Folgenden: Abbott D) ausschließlich über deren Webseite im Direktverkauf erstehen. Der Sensor misst über einen dünnen Fühler minütlich im Unterhautfettgewebe den Glukosegehalt. Mit dem zugehörigen Lesegerät können die Werte dann mittels NFC ausgelesen werden. Das Lesegerät bietet über ein Display erweiterte Anzeigemöglichkeiten, z. B. Verlaufskurven.

Darüber hinaus wird auf der Webseite von Abbott D zusätzlich als kostenloser Download eine Software von Abbott Diabetes Care Inc. (im Folgenden: Abbott USA) angeboten. Per USB-Kabel kann das Lesegerät an einen PC angeschlossen werden. Wenn die Software installiert ist, lassen sich die Messdaten vom Lesegerät auf den eigenen PC kopieren, mit der Software können diese dann vom Käufer überprüft, analysiert und ausgewertet werden.

Ich habe von Abbott D Auskunft verlangt, welche technischen und ggfs. medizinischen Informationen an Server in den USA übermittelt werden. Nach Eingang der Stellungnahme habe ich mehrere Gespräche mit Abbott D geführt, in die wegen der engen Verschränkung des Verkaufs der Messgeräte und des Angebots der zusätzlichen Software auf Vorschlag von Abbott D teilweise auch Abbott USA einbezogen wurde. Geprüft habe ich die den Käufern zur Verfügung gestellten Informationen von Abbott D und Abbott USA sowie die darin dargelegten Abläufe der Datentransfers.

Im Rahmen der Abwicklung des Kaufs werden die erforderlichen Bestelldaten - einschließlich einer individuellen Seriennummer des Geräts - von Abbott D für Produktbestellung, Bezahlung und Versand verarbeitet. Will der Käufer zusätzlich die Software von Abbott USA herunterladen, so muss er zuvor dem Lizenz- und Service-Vertrag mit Abbott USA, der auf die Freestyle Software-Datenschutzrichtlinie von Abbott USA verweist, aktiv zustimmen. Nach Zustimmung werden jedes Mal, wenn das Lesegerät mit einem Computer verbunden wird, auf dem die Software läuft und der eine aktive Internetverbindung hat, auf zwei unterschiedlichen Wegen Informationen an Abbott USA übertragen Es handelt sich dabei um die folgenden zwei Datenströme, die nicht miteinander verbunden sind:

  • Transfer 1, um zu prüfen, ob es Updates für das verwendete System gibt. Dazu ist dem Lesegerät eine ID zugeordnet, die zufällig generiert wird (ID1). Gesundheitsdaten vom Lesegerät werden hierbei nicht übertragen.
  • Transfer 2 zum Zweck der Produktverbesserung und Entwicklung. Diese Übertragung beinhaltet Informationen über die Software- und Geräteeinstellungen sowie die Nutzung des Lesegeräts (Glukosedaten). Die Datenübertragung erfolgt unter einer per Zufallsprinzip der Software zugeordneten ID (ID2).

Nicht übertragen werden insbesondere der Name des Benutzers sowie Seriennummer von Lesegerät und Sensor. Die Daten von Transfer 1 und 2 werden auf getrennten Servern in den USA verarbeitet. Diese Trennung wird nach den mir zur Verfügung gestellten Informationen durch physische, technische und organisatorische Maßnahmen sichergestellt. Infolge der mir beschriebenen Maßnahmen von Abbott USA können die auf den beiden Wegen übertragenen Daten nicht kombiniert werden. Die bei beiden Transfers technisch bedingt mitübertragene IP-Adresse wird nur vorübergehend in den Protokollen der Webserver gespeichert und wird regelmäßig gelöscht.


4.8.5.2
Keine Übermittlung personenbezogener Käuferdaten von Abbott D in die USA

Unter Zugrundelegung der o. a. von Abbott D dargelegten Abläufe habe ich keine Anhaltspunkte dafür gewonnen, dass Abbott D Daten über Käufer des Sensors und des Lesegeräts an Abbott USA übermittelt, mit deren Hilfe Abbott USA die Nutzer der Software identifizieren könnte bzw. Abbott D dies ermöglicht.

Käufer eines Sensors und Lesegeräts haben die folgenden Optionen:

  • Sensor und Lesegerät können ohne die zusätzlich angebotene Software genutzt werden.

  • Die Software kann installiert und anschließend das Lesegerät nur noch dann mit dem PC verbunden werden, wenn keine Internetverbindung besteht: In dieser Konstellation werden - auch nachträglich - keine Daten in die USA übertragen.

  • Die Software kann installiert und das Messgerät auch dann mit dem PC verbunden werden, wenn eine Internetverbindung besteht: Abbott USA erhält in dieser Konstellation getrennt Softwaredaten (Transfer 1) sowie Glukosedaten und Informationen zur Softwarenutzung (Transfer 2), kann diese jedoch unter Zugrundelegung der o. a. Abläufe nicht individuellen Käufern zuordnen.

Ich habe es aber als sehr problematisch angesehen, dass die Verschränkung der Angebote von Abbott D und Abbott USA und die beiden Datentransfers in die USA, die bei Nutzung der Software erfolgen können, nicht hinreichend transparent für den Nutzer sind, und eine entsprechende Präzisierung der Kundeninformationen gefordert.

Mein Anliegen in den Besprechungen war es somit, für die Nutzer der Messgeräte in Deutschland eine möglichst umfassende Transparenz über die Verarbeitung von Daten der Käufer des Sensors und des Lesegeräts sowie der Nutzer der Software herzustellen. Grundsätzlich bestand auch Konsens zwischen Abbott D und mir, dass die Transparenz für die Kunden verbessert werden soll. Die Diskussion der Details war allerdings komplex, u. a. deshalb, weil Messgerät und Software weltweit vermarktet werden und Abbott D und Abbott USA international einheitliche inhaltliche Informationen zur Verfügung stellen wollen. Die Gespräche über Formulierungen konnten daher erst im Januar 2016 abgeschlossen werden.


4.8.5.3
Transparenz für die Käufer wird verbessert

Abbott D hat mir unter Einbeziehung der Stellungnahme von Abbott USA zugesichert, dass die Informationen für die Käufer bis zum Frühjahr 2016 präzisiert und ergänzt werden.

Dies betrifft insbesondere die folgenden Aspekte:

  • Abbott D hat mir schriftlich und mündlich nachvollziehbar dargelegt, dass keine personenbezogenen Daten zu den Käufern des Lesegeräts an Dritte, insbesondere nicht an Abbott USA, weitergegeben werden. Allerdings war nicht erkennbar, wo Abbott D dies den Käufern eindeutig und verbindlich zusichert. Künftig wird diese Zusicherung in die Datenschutzerklärung des Webshops (Shop Privacy Policy) aufgenommen, in dem die Kunden das Messgerät bestellen:

    "Abbott speichert Ihre Daten bezüglich der Eröffnung des Kundenkontos, der Bestellung(en) sowie der Kostenerstattung auf sicheren Servern in der EU. Ihre personenbezogenen Daten werden nicht an Länder außerhalb der EU (Drittländer, wie z. B. die USA) übermittelt."


  • Lizenz- und Service-Vertrag sowie Datenschutzrichtlinie von Abbott USA
    Vor dem Hintergrund der an uns gerichteten Anfragen, die von erheblichen Verunsicherungen der Käufer zeugten, habe ich es als unverzichtbar angesehen, dass künftig den Nutzern der Software vor der Durchführung von Updates, mit denen eine Änderung der vertraglichen Grundlagen betr. das Datenschutzkonzept verbunden ist, diese Änderungen transparent und nachvollziehbar erläutert werden. Die bisher vorgesehene ausschließliche Veröffentlichung von Änderungen auf der Homepage von Abbott USA ist aus meiner Sicht nicht ausreichend.

    Zugesagt wurden zwei Optionen für das künftige Verfahren:

    Im Fall von unwesentlichen Änderungen an den vertraglichen Grundlagen wird der Nutzer über ein Pop-up-Fenster informiert, das einen Link zur überarbeiteten Datenschutzrichtlinie enthält.

    Im Fall von wesentlichen Änderungen an den vertraglichen Grundlagen wird der Nutzer aufgefordert, ein Software-Update durchzuführen, und muss sich im Zuge dessen mit dem neuen Lizenz- und Service-Vertrag sowie der neuen Datenschutzrichtlinie durch Setzen eines Häkchens an entsprechender Stelle erklären.


  • Es wurde mir zugesichert, dass die Darstellung des Verfahrens einschließlich des nicht personenbezogenen Datentransfers in verschiedenen Punkten in der Freestyle Software-Datenschutzrichtlinie präzisiert wird.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.8.6 Neues Zugriffskonzept für das Krankenhausinformationssystem des Sana Klinikums Offenbach nach Datenschutzverletzungen


Nach einer Vielzahl von unberechtigten Zugriffen auf eine Krankenakte im Jahr 2014 entwickelt das Klinikum Offenbach ein neues Zugriffskonzept für sein Krankenhausinformationssystem.


4.8.6.1
Unberechtigte Zugriffe 2014

Mitte November 2014 wurde eine Studentin vor einem Fast-Food-Lokal in Offenbach niedergeschlagen. Sie wurde in das Sana Klinikum Offenbach GmbH aufgenommen. An ihrem 23. Geburtstag verstarb sie dort. Der Fall erregte erhebliches öffentliches Aufsehen. Ende Januar 2015 war in verschiedenen Presseveröffentlichungen von unberechtigten Zugriffen auf die Krankenakte zu lesen (s. z. B. Süddeutsche Zeitung vom 30.01.2015 "Etwa 90 Mitarbeiter des Klinikums Offenbach haben Medienberichten zufolge illegal die Akte ... gelesen.").


4.8.6.1.1
Tätigwerden des Hessischen Datenschutzbeauftragten

Aufgrund der Presseveröffentlichungen haben zwei meiner Mitarbeiter bereits am 31.01.2015 vor Ort ein Gespräch geführt mit dem Geschäftsführer der Sana Klinikum Offenbach GmbH, dem Konzerndatenschutzbeauftragten der Sana Kliniken AG und der internen Datenschutzbeauftragten sowie dem verantwortlichen Techniker der Sana Klinikum Offenbach GmbH. Ziel der Gespräche war es, zu klären, wie viele Mitarbeiter tatsächlich unberechtigt auf die Krankenakte zugegriffen haben, ob die Probleme (auch) durch ein unzureichendes Konzept des Klinikums für die Zugriffe auf das Krankenhausinformationssystem (KIS) und/oder unzureichende Datensicherheitsmaßnahmen verursacht wurden und welche Maßnahmen das Klinikum bereits ergriffen hat bzw. ergreifen muss, damit solche Vorfälle soweit möglich künftig verhindert werden. Ergänzend übersandte mir das Klinikum im Februar 2015 einen schriftlichen Bericht zur Prüfung.


4.8.6.1.2
Bericht des Sana Klinikums Offenbach vom 23.02.2015 zu den erfolgten Zugriffen

Die Auswertung der Zugriffe auf die Krankenakte wurde bereits im Dezember 2014 von der Geschäftsführung initiiert. Auf der Grundlage einer Betriebsvereinbarung wurde entsprechend dem dort festgelegten Verfahren im Beisein eines Mitglieds des Betriebsrates, der Datenschutzbeauftragten und dem zuständigen IT-Mitarbeiter eine Auswertung erstellt.

Die Auswertung ergab, dass insgesamt 94 Personen (Pflegepersonal, ärztliches Personal und Verwaltungspersonal) auf die Krankenakte zugegriffen haben. Als Ergebnis der Anhörungen wurde festgestellt, dass in 31 Fällen ein Zugriff durch Mitarbeiter erfolgte, die unmittelbar in die Behandlung der Patientin involviert und daher berechtigt waren, auf diese Daten zuzugreifen. In den übrigen 63 Fällen lag eine hinreichende Begründung für den Zugriff nicht vor bzw. blieb es teilweise unklar, ob Mitarbeiter sich mit einer fremden Zugangsberechtigung Zugang zur Akte verschaffen konnten.

Das Klinikum teilte u. a. mit, dass alle 94 betroffenen Mitarbeiter bis Mitte des Jahres an der Pflichtveranstaltung "Datenschutzschulung" teilnehmen und erneut die Verpflichtungserklärung gemäß § 9 HDSG unterzeichnen müssen. Darüber hinaus teilte es mit, dass die Berechtigungen im KIS nochmals geprüft werden und im Rahmen der Projektgruppe zur Umsetzung der Orientierungshilfe KIS der Datenschutzbeauftragten ein neues Rollen- und Berechtigungskonzept entwickelt wird, das bis Ende 2015 vorliegen soll.


4.8.6.1.3
Rechtliche Bewertung

Positiv wurde im Rahmen der Prüfung festgestellt, dass

  • generell eine Protokollierung der Lesezugriffe durchgeführt wurde,
  • die Überprüfung der Zugriffsberechtigungen der Personen, die auf die Akte zugriffen, auf Eigeninitiative des Klinikums bereits vor den Presseveröffentlichungen durchgeführt wurden,
  • es eine Betriebsvereinbarung gibt, die u. a. regelt, wie in Fällen eines begründeten Verdachts auf einen Straftatbestand Zugriffe auf das KIS und Auswertungen von Daten erfolgen können, und
  • regelmäßig Datenschutzschulungen in der Klinik durchgeführt werden.

Problematische Aspekte und datenschutzrechtliche Forderungen:

  • Das Rollen- und Berechtigungskonzept für Zugriffe auf das KIS stellt den Schutz der Patientendaten nicht hinreichend sicher und bedarf der Konkretisierung und Weiterentwicklung. Es muss auch sichergestellt werden, dass künftig Mitarbeiter nicht mehr mit fremder Kennung auf Patientendaten zugreifen können.
  • Dies schließt ein angemessenes Protokollierungs- und Auswertungskonzept ein. Die aktuelle Betriebsvereinbarung sieht keine stichprobenhaften regelmäßigen Auswertungen der Zugriffe auf das KIS vor. Eine Auswertung der Protokolle fand bisher nur sehr selten statt. Derartige Auswertungen zur Überprüfung und zum Nachweis einer fehlerfreien und ordnungsgemäßen Datenverarbeitung und zur Aufdeckung von missbräuchlichen Zugriffen oder Zugriffsversuchen sind jedoch rechtlich zwingend geboten (s. § 10 Abs. 2 HDSG, OH KIS Ziff. 45). Zu einem angemessenen Rollen- und Berechtigungskonzept gehört es im Rahmen der vorbeugenden Datenschutzkontrolle, Protokolle turnusmäßig auf bestimmte Auffälligkeiten hin, wie z. B. eine Häufung von Abfragen bestimmter Benutzerkennungen, eine Häufung von Abfragen außerhalb der Dienstzeiten oder unübliche Suchkriterien, auszuwerten. Dabei sollten Tools eingesetzt werden, die dies mit verhältnismäßigem Aufwand für das Klinikum ermöglichen.


4.8.6.2
Zentrale Aspekte des neues Rollen- und Berechtigungskonzepts für das KIS


4.8.6.2.1
Allgemeine Vorgaben

Bereits seit dem Jahr 2011 gibt es als Reaktion auf bundesweit festgestellte Defizite bei Krankenhausinformationssystemen als Hilfestellung für die datenschutzgerechte Ausgestaltung die von den Datenschutzbeauftragten des Bundes und der Länder erstellte Orientierungshilfe für Krankenhausinformationssysteme (OH KIS, Version 2014 https://www.datenschutz.hessen.de/ft-gesundheit.htm), an deren Erstellung sich auch meine Dienststelle beteiligt hat. Patienten gehen nicht davon aus und müssen nicht davon ausgehen, dass die gesamte Belegschaft eines Krankenhauses ihre Krankheitsdaten (technisch) zur Kenntnis nehmen kann. Ein Rollen- und Berechtigungskonzept muss sicherstellen, dass Mitarbeiter nur Zugang zu den Patientendaten haben, soweit und solange sie die Daten tatsächlich für ihre Aufgabenerfüllung benötigen. Unabhängig davon darf von ihnen auf die Daten nur im Einzelfall bei Bedarf zugegriffen werden.

Allerdings muss ein Rollen- und Berechtigungskonzept für ein Krankenhaus wegen der dortigen besonderen Situation (mögliche Notfälle, Überbelegung, Nachdienst, Verlegung, Konsilium) ausreichende Flexibilität ermöglichen. Von zentraler Bedeutung für den Datenschutz im Krankenhaus ist daher auch und gerade die Protokollierung der Zugriffe und eine Auswertung der Protokolle auf der Grundlage eines schriftlich verbindlich festgelegten Konzepts. Dieses Konzept sollte sowohl regelmäßige stichprobenhafte Auswertungen wie auch anlassbezogene Auswertungen im Einzelfall enthalten. Bei einem hinreichend fein differenzierten Zugriffsschutz im KIS kann die Protokollierung und auch die Auswertung der Protokolle reduziert werden. Umgekehrt steigt ihre Bedeutung in den Bereichen mit sehr weit gefassten Zugriffsberechtigungen.


4.8.6.2.2
Gegenwärtiger Stand der Umsetzung meiner Forderungen im Klinikum Offenbach


4.8.6.2.2.1
Organisatorische Maßnahmen

Die Aufarbeitung des Falles hatte ergeben, dass sich vermutlich Mitarbeiterinnen und Mitarbeiter auch mit einer fremden Zugangsberechtigung Zugang zur elektronischen Akte beschaffen konnten. Da die vom Klinikum eingesetzte Software die entsprechenden Voraussetzungen für einen schnellen Benutzerwechsel bzw. Benutzerabmeldung bietet, liegt es in der Verantwortung des einzelnen Mitarbeiters, sich bei Verlassen des PCs ordnungsgemäß abzumelden.

Um die Mitarbeiter für das Thema Datenschutz weiter zu sensibilisieren und sie mit den konkreten Anforderungen vertraut zu machen, erfolgten nach Mitteilung des Klinikums zwischenzeitlich Begehungen auf den Stationen und es wurden die entsprechenden Datenschutzschulungen intensiviert. Jeder Mitarbeiter ist verpflichtet, mindestens einmal jährlich an einer Schulung teilzunehmen.

Im Klinik-Intranet sind zudem weitere Informationen zum Datenschutz den Mitarbeitern zugänglich gemacht worden. Außerdem habe man begonnen, datenschutzrechtliche Fragen der Mitarbeiter zu sammeln und daraus für häufig auftretende Fallkonstellationen Checklisten und Handlungsempfehlungen zu erstellen.


4.8.6.2.2.2
Weiterentwicklung des Rollen- und Berechtigungskonzepts

Bereits seit 2014 beschäftigt sich im Klinikum eine Arbeitsgruppe mit der Weiterentwicklung des Rollen- und Berechtigungskonzeptes nach den Maßgaben der OH KIS.

Der vorliegende Fall zeigt, dass der Personenkreis, der technisch in der Lage war, auf die Patientenakte zuzugreifen, zu groß war. Meine Forderung nach Überprüfung der vergebenen Zugriffsberechtigungen und die von mir dargelegten Kriterien sind in die Überarbeitung des Rollen- und Berechtigungskonzeptes mit eingeflossen. Bisher konnten beispielsweise Mitarbeiter aus Organisationseinheiten, die nicht an der Behandlung des Patienten beteiligt waren, gemäß dem bestehenden Berechtigungskonzept nicht auf dessen Patientendaten zugreifen. Ein Zugriff auf Patienten außerhalb der eigenen Organisationseinheit war allerdings hilfsweise über einen "Notfallzugriff" möglich, und zwar für einen großen Kreis von Mitarbeiterinnen und Mitarbeitern und ohne die Notwendigkeit einer Begründung des Zugriffs (s. auch unten Ziff. 4.8.6.2.2.3).

Nach Aussage des Klinikums wurde nach Überprüfung für die Berufsgruppe "Pflege" die Funktion "Notfallzugriff" bereits ab dem 04.03.2015 abgestellt. Eine Prüfung, für welche ärztlichen Mitarbeiter der "Notfallzugriff" eingeschränkt werden kann, läuft derzeit noch. Darüber hinausgehend sieht das neue Rollen- und Berechtigungskonzept jetzt auch die zeitliche Beschränkung von Zugriffsberechtigungen auf die Patientendaten vor. Einzelheiten werden nach Darstellung des Klinikums derzeit noch konkretisiert. Das Klinikum geht davon aus, dass die geplanten Änderungen bis zum Ende des 1. Quartals 2016 umgesetzt werden.


4.8.6.2.2.3
Protokollierungs- und Auswertungskonzept

Eine zentrale Forderung von mir war, dass das Protokollierungs- und Auswertungskonzept auch eine regelmäßige stichprobenhafte Prüfung der Zugriffsprotokolle auf bestimmte Auffälligkeiten hin vorsehen muss. Dabei sollen entsprechende Tools eingesetzt werden, die dies mit verhältnismäßigem Aufwand für das Klinikum ermöglichen. Von besonderer Bedeutung ist dabei z. B. die Prüfung der Verwendung des Notfallzugriffs.

Mittlerweile konnte im Sana-Konzern eine Konzernbetriebsvereinbarung zum Abschluss gebracht werden, die auch eine regelmäßige stichprobenhafte Prüfung und Auswertung der Protokolle vorsieht. Hinsichtlich des Umfangs der zu prüfenden Fälle besteht hier jedoch aus meiner Sicht noch Diskussionsbedarf.

Schwächen hinsichtlich der Protokollierung und Auswertung ergeben sich auch aus den Einschränkungen der eingesetzten KIS-Software. So ist es laut Klinikum im Krankenhausinformationssystem iMedOne gegenwärtig nicht möglich, z. B. bei Notfallzugriffen die Eingabe einer Begründung vorzusehen und die Verwendung der Notfallzugriffe gesondert auszuwerten. Tools, die die Auswertung der Protokolle auf bestimmte Auffälligkeiten hin erleichtern und somit den Aufwand des Krankenhauses im Umgang mit den Protokollierungsdaten begrenzen könnten, gibt es laut Klinikum nicht. Hier ist der KIS-Hersteller gefordert, entsprechende Lösungen anzubieten, die eine sinnvolle Protokollierung und Auswertung erlauben. Das Klinikum hat meine Forderungen an den KIS-Hersteller herangetragen.


4.8.6.2.3
Ausblick

Auch wenn der vorliegende Fall sicherlich nicht alltäglich ist, zeigt er doch, welche Bedeutung das Rollen- und Berechtigungskonzept für ein Krankenhausinformationssystem hat. Mit den bereits umgesetzten und den noch geplanten Maßnahmen ergeben sich wesentliche Verbesserungen im Rollen- und Berechtigungskonzept im Klinikum Offenbach. Dies setzt allerdings voraus, dass auch der Hersteller weitere Anpassungen in seinem Klinikinformationssystem vornimmt.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 12.07.2016

 
 

4.9 Videoüberwachung nach Bundesdatenschutzgesetz

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.9.1 Nachbarüberwachung und Kamera-Attrappen sind keine Anwendungsfälle nach BDSG


Nach wie vor erreicht mich eine hohe Anzahl von Eingaben, bei denen es um Videoüberwachung nach dem Bundesdatenschutzgesetz geht. Dennoch ist in diesem Zusammenhang eine "Trendwende" im Vergleich zu früheren Berichtszeiträumen eingetreten: Viele Videoüberwachungsanlagen sind inzwischen so installiert bzw. ausgerichtet, dass ein Verstoß gegen das Bundesdatenschutzgesetz nicht vorliegt.

Eine Vielzahl der Eingaben basiert auf klassischen Nachbarschaftsstreitigkeiten, deren "Höhepunkt" meist eine permanente Überwachung des Nachbarn ist. Ein Einschreiten liegt jedoch nicht in meinem Kompetenzbereich, wenn öffentlicher Bereich im Sinne des § 6b BDSG nicht überwacht wird.


§ 6b BDSG

(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie

  1. zur Aufgabenerfüllung öffentlicher Stellen,
  2. zur Wahrnehmung des Hausrechts oder
  3. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.

(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.

(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen. Für einen anderen Zweck dürfen sie nur verarbeitet oder genutzt werden, soweit dies zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten erforderlich ist.

(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend den §§ 19a und 33 zu benachrichtigen.

(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.


Unterlassungs-, Schmerzensgeld- oder Schadensersatzansprüche sind in diesen Fällen auf dem Zivilrechtsweg geltend zu machen.

Sofern im Berichtszeitraum öffentlicher Bereich im Sinne des § 6b BDSG überwacht wurde, konnte mit den Kamerabetreibern nach Darstellung der Rechtslage und ggf. Androhung eines Zwangsgeldes und/oder Ordnungswidrigkeitsverfahrens stets ein datenschutzkonformer Betrieb der Videoüberwachungsanlagen erreicht werden.


4.9.1.1
Entscheidungen des Verwaltungsgerichts Darmstadt zum Einsatz von Kamera-Attrappen, Privacy-Filter-Technik und Maßnahmen nach § 38 BDSG

In meinem 43. Tätigkeitsbericht (Ziff. 5.2.1.4) habe ich über die Videoüberwachung in Kaufhäusern und Geschäften berichtet. Die beiden in diesem Zusammenhang erwähnten Gerichtsverfahren sind inzwischen abgeschlossen. Das Verwaltungsgericht Darmstadt hat während der beiden Verfahren festgestellt, dass Kamera-Attrappen nicht in den Anwendungsbereich des BDSG fallen, da bei der Verwendung von Kamera-Attrappen gerade keine personenbezogenen Daten im Sinne des § 1 Abs. 1 und 2 BDSG erhoben, verarbeitet oder genutzt werden.


§ 1 Abs. 1 und 2 BDSG

(1) Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

(2) Dieses Gesetz gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch

  1. öffentliche Stellen des Bundes,
  2. öffentliche Stellen der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und soweit sie
    a) Bundesrecht ausführen oder
    b) als Organe der Rechtspflege tätig werden und es sich nicht um Verwaltungsangelegenheiten handelt,
  3. nicht-öffentliche Stellen, soweit sie die Daten unter Einsatz von Datenverarbeitungsanlagen verarbeiten, nutzen oder dafür erheben oder die Daten in oder aus nicht automatisierten Dateien verarbeiten, nutzen oder dafür erheben, es sei denn, die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.


Das Verwaltungsgericht schließt sich insoweit einer vielfach in Literatur und Rechtsprechung vertretenen Meinung an (vgl. hierzu u. a. Scholz in: Simitis, BDSG, 8. Aufl., § 6b, Rdnr. 28).

Demzufolge ist der Hessische Datenschutzbeauftragte nicht zu Maßnahmen gegen Kamera-Attrappen befugt.

Des Weiteren führt das Verwaltungsgericht Darmstadt aus, dass auch der Einsatz einer Privacy-Filter-Technik und/oder eine automatisierte Ausblendung von Bereichen, welche nicht überwacht werden dürfen (Verpixelung/Schwärzung), zu einem zulässigen Betrieb der Videoüberwachungsanlage führen können. Hierbei bedarf es jedoch einer Abwägung im konkreten Einzelfall, ob sich eine Verpixelung/Schwärzung generell dazu eignet, einen datenschutzkonformen Zustand herzustellen. Gerade bei öffentlich zugänglichen Arbeitsplätzen, wo eine Zulässigkeitsprüfung der Videoüberwachung nach § 6b BDSG und nicht nach § 32 BDSG erfolgt, ist mit Zusatzwissen der die Aufnahmen sichtenden Personen und einer lediglich geringfügigen Verpixelung nachvollziehbar, um welche Beschäftigte es sich handelt.

Das Verwaltungsgericht führt weiterhin aus, dass Maßnahmen nach § 38 Abs. 5, S. 1 BDSG zwar auf Veränderung, aber grundsätzlich auf Erhaltung der Daten oder der Einrichtungen und Verfahren gerichtet sind.


§ 38 Abs. 5 BDSG

Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt.


Eine Untersagung nach § 38 Abs. 5, S.2 BDSG als Verbot betrifft allein ein Verhalten, nämlich die Nutzung, nicht jedoch die Beseitigung von Hardware, sodass die Beseitigung einer Videoüberwachungsanlage von § 38 Abs. 5, S. 2 BDSG grundsätzlich nicht erfasst ist. Auch in diesem Punkt schließt sich das Gericht einer vielfach in Literatur und Rechtsprechung vertretenen Meinung an (vgl. hierzu u. a. Scholz in: Simitis, BDSG, 8. Aufl., § 6b, Rdnr. 158).


4.9.1.2
Auswirkungen dieser Entscheidungen auf die Arbeitsweise des HDSB

Eine grundsätzliche Veränderung auf die Arbeitsweise meiner Dienststelle stellen die Entscheidungen des Verwaltungsgerichts Darmstadt nicht dar. Nach wie vor gilt es zunächst festzustellen, ob es sich um eine funktionsfähige Kameraanlage oder eine Kamera-Attrappe handelt und ob überhaupt öffentlich zugängliche Bereiche im Sinne des § 6b BDSG erfasst werden.

Im Rahmen eines aufsichtsbehördlichen Prüfungsverfahrens werden die Kamerabetreiber stets darauf hingewiesen, dass eine funktionsfähige Videoüberwachungsanlage bzw. eine Kamera-Attrappe zwar nach dem BDSG datenschutzrechtlich nicht zu beanstanden sein kann, den Betroffenen aber unter Umständen zivilrechtliche Unterlassungs-, Schmerzensgeld- oder Schadensersatzansprüche zustehen.

In diesem Zusammenhang gelangen Kamerabetreiber dann nicht selten zu der Einsicht, auch nicht in den Anwendungsbereich des BDSG fallende Kamera-Attrappen oder mit einer Verpixelung versehene Kameras so auszurichten bzw. umzubauen, dass für Dritte unzweifelhaft erkennbar ist, dass z. B. lediglich das eigene Grundstück im Fokus der Kamera(-Attrappe) steht. In einigen Fällen werden die streitgegenständlichen Anlagen freiwillig entfernt.


4.9.1.3
Zusammenfassung und Ausblick

Die Videoüberwachung wird ein "Dauerbrenner" bleiben, die Anzahl der installierten Videoüberwachungsanlagen wird eher steigen als zurückgehen. Positiv bleibt jedoch festzustellen, dass durch die mediale Aufmerksamkeit, welche dieses Thema in den letzten Jahren erfahren hat, die Kamerabetreiber zunehmend auf datenschutzkonforme Lösungen setzen und oftmals vor Inbetriebnahme der Anlagen den HDSB einschalten.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.07.2016

 
 

4.10 Personalwesen

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 19.07.2016

 
 

4.10.1 Datenschutzrechtliche Einwilligungen von Beschäftigten im Rahmen des Abschlusses von Arbeitsverträgen


Ist die Übermittlung von Beschäftigtendaten von einer gesetzlichen Rechtsgrundlage gedeckt, besteht keine Notwendigkeit für die Einholung einer Einwilligung. Sie wirkt in solchen Konstellationen irreführend und ist daher zu vermeiden. Aufgrund ihrer freien Widerruflichkeit ist die Einwilligung keine taugliche Basis für Standardverfahren.


4.10.1.1
Beschwerdegegenstand

Der Betriebsrat eines Konzerns wandte sich mit der Frage an mich, ob es zulässig sei, Übermittlungen von Beschäftigtendaten an die Konzernmutter durch Einwilligungen zu legitimieren.

Das Unternehmen hatte bei Abschluss von Arbeitsverträgen diesen eine "Datenschutzerklärung" beigefügt, in welcher die Beschäftigten ihre Einwilligung dafür zu erklären hatten, dass ihre Personaldaten an eine Zentraldatenbank der Konzernmutter übermittelt und dort verarbeitet und genutzt werden dürfen.


4.10.1.2
Rechtliche Bewertung

Das deutsche Datenschutzrecht kennt kein Konzernprivileg. Handelt es sich bei einer Datenverarbeitung weder um eine Verarbeitung innerhalb des Unternehmens, bei dem der Arbeitnehmer beschäftigt ist, noch um eine Auftragsdatenverarbeitung, ist von einer Übermittlung nach § 3 Abs. 8 BDSG auszugehen. Diese bedarf gemäß § 4 Abs. 1 BDSG einer Rechtsgrundlage oder der Einwilligung des Betroffenen.

Als Rechtsgrundlage für die Übermittlung von Beschäftigtendaten kommt zunächst § 32 Abs. 1 Satz 1 BDSG in Betracht. Diese Bestimmung setzt voraus, dass die Verarbeitung - hier also die Übermittlung der Daten der Beschäftigten eines Konzernunternehmens an die Konzernmutter - für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Von der Erforderlichkeit einer Datenübermittlung im Konzern wird auszugehen sein, "sofern der Arbeitsvertrag einen bei Vertragsabschluss für den Betroffenen erkennbaren Konzernbezug aufweist, wenn er also ein Tätigwerden des Arbeitnehmers auch in anderen Konzernunternehmen vorsieht" (Arbeitsbericht der Ad-hoc-Arbeitsgruppe "Konzerninterner Datentransfer" vom 11.01.2005, 3;https://www.datenschutz.hessen.de/ft-konzerndatenschutz.htm).
Ein Konzernbezug, der eine Übermittlung rechtfertigt, wäre ferner auch dann gegeben, wenn bei der Einstellung des Arbeitnehmers deutlich erkennbar ist, dass die Personaldatenverarbeitung in einem anderen Konzernunternehmen zentralisiert ist (Arbeitsbericht der Ad-hoc-Arbeitsgruppe "Konzerninterner Datentransfer" vom 11.01.2005, 3; https://www.datenschutz.hessen.de/ft-konzerndatenschutz.htm ).

Auch eine Einwilligung gemäß § 4a BDSG kann Grundlage für die Übermittlung von Daten sein. Aufgrund des wirtschaftlichen Ungleichgewichts und der existentiellen Bedeutung des Beschäftigungsverhältnisses wird im Allgemeinen jedoch bezweifelt, dass auf Seiten der Beschäftigten die Einwilligung freiwillig erteilt werden kann. Dies gilt erst recht, wenn sie Voraussetzung für den Abschluss des jeweiligen Arbeitsvertrags ist.

Darüber hinaus gilt es zu bedenken, dass die Einwilligung jederzeit widerruflich ist und sie daher nur ausnahmsweise einen praktikablen Weg darstellt. Widerruft der Betroffene seine Einwilligung, hat nämlich mit dem Widerruf eine Übermittlung zu unterbleiben. Ist also die Einwilligung die einzige Rechtfertigung der Übermittlung, muss die Möglichkeit eines Widerrufs berücksichtigt und organisatorisch umgesetzt werden. Dies ist für Verfahren wie etwa die zentrale Gehaltsabrechnung wohl keine Option.

Im konkreten Fall teilte das Unternehmen mit, dass bereits im Zuge des Bewerbungsverfahrens die künftigen Mitarbeiter dahingehend informiert werden, dass die Personaldatenverarbeitung beim Mutterkonzern erfolge. Auch ergebe sich der Konzernbezug bereits aus der Organisationsstruktur des Unternehmens. Dies wurde näher ausgeführt. Die Übermittlung konnte daher auf § 32 Abs. 1 Satz 1 BDSG gestützt werden.

Da eine dennoch von den Beschäftigten eingeholte Einwilligung zu der Übermittlung ihrer Daten irreführend wäre und den Beschäftigten den unrichtigen Eindruck vermittelt, sie hätten es selbst in der Hand, ob ihre Daten an eine andere Konzerngesellschaft übermittelt werden, habe ich von einer solchen Einholung von Einwilligungen "auf Vorrat" dringend abgeraten. Ob eine solche Einwilligung überhaupt wirksam wäre, kann bezweifelt werden, da Widerruf praktisch nicht möglich ist (Artikel 29-Datenschutzgruppe WP 187 Stellungnahme 15/2011 zur Definition von Einwilligungen, III.A.1., S. 16; http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_de.pdf ). Geht man weiter davon aus, dass im vorliegenden Fall gemäß § 4 Abs. 1 BDSG auch auf die Folgen der Verweigerung der Einwilligung hinzuweisen ist, wären die Betroffenen auch darüber zu informieren, dass die Nichterteilung ihrer Einwilligung folgenlos bliebe. Die Datenübermittlung an die Konzernmutter würde dann auf § 32 Abs. 1 Satz 1 BDSG gestützt trotzdem rechtlich zulässig stattfinden. Spätestens diese Information macht deutlich, dass die Einholung einer Einwilligung "auf Vorrat" in einer solchen Konstellation keinen zusätzlichen Nutzen bringt.

Die Information der Beschäftigten gemäß § 4 Abs. 3 BDSG über die Identität der verantwortlichen Stelle, die Zwecke der Verarbeitung sowie die Kategorien der Empfänger der Daten ist hier notwendig, aber auch ausreichend. Folgerichtig hat das Unternehmen im Ergebnis darauf verzichtet, für die Übermittlung von Beschäftigtendaten Einwilligungen einzuholen. Vielmehr werden die Beschäftigten künftig in geeigneter Weise gemäß § 4 Abs. 3 BDSG über die beabsichtigte Datenübermittlung auf der Grundlage von § 32 Abs. 1 Satz 1 BDSG informiert.


Zurück zum Inhaltsverzeichnis des 44. Tätigkeitsbericht

zurück nach oben
zurück nach oben springen
 
Artikel/Seite in der Druckansicht öffnen
Artikel/Seite in der Druckansicht öffnen
 
Artikel/Seite per eMail versenden
Artikel/Seite per eMail versenden
   
Stand: 08.07.2016