23. Tätigkeitsbericht (2001)



6

Datenschutz in der Wirtschaft

6.1

Übernahme der Aufsichtstätigkeit vom Innenminister

Entsprechend den neuen Zuständigkeitsregelungen im LDSG 2000 übernahm das ULD zum 01.07.2000 die Aufgaben der Aufsichtsbehörde nach § 38 BDSG vom Innenminister. Nach gründlicher Vorbereitung gestaltete sich der Vorgang nahezu reibungslos. Der Innenminister übergab ein "wohl bestelltes Haus", sodass wir seine erfolgreiche Aufsichtstätigkeit nahtlos fortsetzen konnten. Die noch vom Innenminister geplanten Prüfungsvorhaben wurden durchgeführt. Es hat sich als vorteilhaft erwiesen, dass die Neuorganisation des Datenschutzes in Schleswig-Holstein von Anfang an im Einvernehmen zwischen dem Innenminister und dem Unabhängigen Landeszentrum für Datenschutz konzipiert und in die Gesetzgebung eingebracht worden ist.

Es besteht Einvernehmen mit dem Innenministerium, dass das ULD damit die Funktion der obersten Datenschutzaufsichtsbehörde Schleswig-Holsteins wahrnimmt. Daher repräsentiert das ULD das Land seit dem 01.07.2000 auch in dem so genannten Düsseldorfer Kreis, einem Koordinierungsgremium der obersten Aufsichtsbehörden für den nichtöffentlichen Bereich. Der Düsseldorfer Kreis trifft sich etwa halbjährlich, um ein einheitliches Auftreten der Datenschutzbehörden gegenüber der Wirtschaft zu erleichtern. Daneben hat er mehrere Arbeitsgruppen eingerichtet, die datenschutzrechtliche Fragen im Zusammenhang mit der Privatwirtschaft aufgreifen und einer Beschlussfassung zuführen bzw. für die Beschlussfassung des Düsseldorfer Kreises vorbereiten.

Die unterschiedliche organisatorische Ausgestaltung der Datenschutzaufsicht in den einzelnen Ländern hat während des Berichtszeitraums zu Erörterungen im Düsseldorfer Kreis hinsichtlich der Frage geführt, wer an diesem Gremium teilnehmen und in ihm den Vorsitz führen kann. Um die gemeinsame Willensbildung der obersten Aufsichtsbehörden im nichtöffentlichen Bereich effektiver zu gestalten, werden derzeit im Düsseldorfer Kreis außerdem Vorschläge diskutiert, die kurzfristigere und verbindlichere Beschlussfassungen ermöglichen.

6.2

Was wird neu?

Die Übertragung der Datenschutzaufsicht auf das Unabhängige Landeszentrum für Datenschutz bietet auch die Chance, methodisch und inhaltlich neue Schwerpunkte für den Datenschutz in der Wirtschaft zu setzen. Dabei zeichnet sich schon jetzt eine zweigleisige Vorgehensweise ab:

Da die Datenverarbeitung in den Wirtschaftsunternehmen für deren Kunden weitgehend undurchsichtig ist, kommt der Kontrolltätigkeit eine besondere Bedeutung zu. Die Erfahrungen, die wir mit unseren Kontrollen bei den Behörden gemacht haben, lassen sich bis zu einem gewissen Grad durchaus auf die Wirtschaft übertragen. Wer unsere bisherige Vorgehensweise verfolgt hat, kann abschätzen, wie wir die Kontrollen im Wirtschaftsbereich durchführen werden: Fair, aber konsequent. Die Bürgerinnen und Bürger können sich darauf verlassen, dass wir auch gegenüber Firmen und sonstigen Organisationen als loyaler Anwalt ihrer Interessen auftreten werden. Angesichts der begrenzten Personalausstattung kommen allerdings nur Schwerpunktkontrollen in Betracht. Diese werden sich naturgemäß auf die neuralgischen Bereiche konzentrieren, also auf Rechtsverhältnisse und Verfahrensweisen, bei denen in besonderem Maße mit Interessenkonflikten zwischen Wirtschaft und Verbrauchern zu rechnen ist.

Aber der Datenschutz ist weit mehr als nur ein mit ordnungsbehördlichen Mitteln durchzusetzendes Recht. Die Bürgerinnen und Bürger und damit die Kunden der Wirtschaft fragen immer häufiger danach, welchen Datenschutzkundendienst ein Unternehmen anbieten kann. Welche Nachteile es haben kann, wenn kein überzeugendes Datenschutzangebot gemacht wird, müssen zurzeit gerade einige Unternehmen der New Economy erfahren. Sie haben schwer darunter zu leiden, dass der E-Commerce bislang weit hinter den Erwartungen zurückbleibt. Einer der Gründe dafür liegt nach übereinstimmenden Umfrageergebnissen aus den USA, Europa und Deutschland an dem fehlenden Vertrauen der Nutzer in die Möglichkeit, ihre Daten im Internet wirksam zu schützen. Nicht zu viel Datenschutz, sondern fehlender Datenschutz als Wettbewerbsnachteil ist eine Sichtweise, die längst noch nicht alle Unternehmensleitungen verinnerlicht haben.

Hat man ein gutes Datenschutzangebot erst einmal als ein zeitgemäßes Mittel zur Werbung und Überzeugung von Kunden erkannt, dann ergeben sich plötzlich ganz neue Perspektiven. Denn wenn der Datenschutz nicht die auferlegte Last, sondern eine Chance ist, um Kundenvertrauen zu werben, kann das Bestreben nicht mehr darauf beschränkt sein, möglichst nicht von der Aufsichtsbehörde für datenschutzrechtliche Mängel kritisiert zu werden, sondern die Anstrengungen gehen in die Richtung, auf dem Gebiet des Datenschutzes möglichst besser zu sein als die Mitbewerber. Es deutet sich an, dass durchaus in einigen Wirtschaftsbranchen darüber nachgedacht wird, wie man sich auf den Wettbewerb um den bestmöglichen Datenschutz einstellen soll.

Wir möchten unsere Arbeitsweise von vornherein auf diese geänderten Rahmenbedingungen einstellen. Dafür bieten sich gerade in Schleswig-Holstein günstige Möglichkeiten. Die im schleswig-holsteinischen Landesdatenschutzgesetz enthaltenen Instrumente Datenschutzaudit und Gütesiegel bieten einen guten Ansatz für einen marktwirtschaftlich orientierten Datenschutz. Die Kunden werden es begrüßen, wenn sie Produkte und Dienstleistungen auf dem Markt finden, die von einer unabhängigen Stelle auf ihre Vereinbarkeit mit dem Datenschutz hin geprüft und gegebenenfalls mit einem entsprechenden Siegel ausgezeichnet sind. Sinnvoll dürfte es auch sein, auf einzelne Wirtschaftsbranchen zugeschnittene Leitlinien und Checklisten zu erarbeiten, in denen die Generalklauseln des BDSG konkretisiert werden, sodass die Kunden besser abschätzen können, mit welcher Datenverarbeitung sie rechnen können. Die bisherige Information der Kunden mittels nichts sagender Allgemeinplätze ("Ihre Daten werden gemäß Datenschutzgesetz verarbeitet") oder umfangreichen, aber kaum verständlichen Detailinformationen ("Kleingedrucktes") genügt nicht mehr den Ansprüchen.

Wir freuen uns auf die Zusammenarbeit mit allen Unternehmen, die erkannt haben, dass man den Datenschutz nicht nur stereotyp als lästiges Übel, sondern als Gelegenheit zur positiven Profilierung begreifen kann. Wir sind offen für eine Kooperation mit berufsständischen Organisationen und Verbänden. Ein besonderes Augenmerk wird auf die Kontakte mit den betrieblichen Datenschutzbeauftragten zu richten sein. Ihre Bedeutung wird sich bei zunehmender Durchsetzung des marktwirtschaftlichen Ansatzes spürbar steigern, denn sie können bei diesem Konzept ihre Rolle als lästige Mahner und Bedenkenträger gegen die des gesuchten Ratgebers eintauschen. Wenn "Privacy" tatsächlich "sells", sind bei den Unternehmensleitungen Fach- und Sachkenntnisse im Datenschutz gefragt. Die betrieblichen Datenschutzbeauftragten würden sich bei dieser Sichtweise von "Belastungsfaktoren" geradezu zu Konkurrenzvorteilen für die Unternehmen wandeln. Wir suchen bevorzugt die Zusammenarbeit mit betrieblichen Datenschutzbeauftragten, die an einer Fortentwicklung ihrer Rolle in dieser Richtung interessiert sind.

Unsere Beratungskapazitäten stehen in erster Linie den Kundinnen und Kunden der Wirtschaft zur Verfügung. Denn von ihrer Nachfrage wird es letztlich abhängen, ob der marktwirtschaftliche Datenschutz tatsächlich eine Zukunft hat. Sie haben derzeit angesichts der Undurchsichtigkeit der Zusammenhänge der Datenverarbeitung nur sehr begrenzt die Möglichkeit, über die Verwendung ihrer Daten selbst zu bestimmen. Deshalb werden wir uns verstärkt bemühen, geeignete Verbraucherinformationen zur Verfügung zu stellen. Dabei bietet sich ein Ausbau der Zusammenarbeit mit Verbraucherschutzorganisationen an.

6.3

Aktuelle datenschutzrechtliche Fragestellungen

6.3.1

Mitgliederlisten im Internet?

Die Veröffentlichung von Mitgliederlisten im Internet oder am schwarzen Brett ist Vereinen nicht ohne weiteres gestattet. In der Regel muss die Einwilligung der Betroffenen vorliegen.

Die Veröffentlichung von Mitgliederdaten darf ohne Einwilligung der Betroffenen ausschließlich zur Wahrung berechtigter Interessen des Vereins erfolgen und nur, wenn ihr keine überwiegenden schutzwürdigen Interessen seiner Mitglieder entgegenstehen. Wenn Vereine Namen, Bilder oder sonstige Daten ihrer Mitglieder im Internet veröffentlichen, geben sie diese Informationen an potenziell jeden Internet-Nutzer weiter, und dies zu keinem bestimmten Zweck. Damit wird einer Auswertung der Mitgliederdaten beispielsweise zu wirtschaftlichen Zwecken Tür und Tor geöffnet. Viele Vereinsmitglieder sind damit nicht einverstanden.

Vereine sind verpflichtet, den Wunsch derjenigen Mitglieder zu respektieren, die ihre personenbezogenen Daten nicht veröffentlichen lassen wollen. Die rechtliche Zulässigkeit der Veröffentlichung hängt von der vorherigen Zustimmung eines jeden Mitgliedes ab. Eine solche Einwilligung kann auch vorab für mehrere Internet-Veröffentlichungen gegeben werden, wenn dem Betroffenen bewusst ist, dass sie jederzeit widerruflich ist.

Das Aushängen von Mitgliederlisten in Vereinslokalen ist unzulässig, wenn sie neben den Namen der Mitglieder auch deren Adressen, Geburtsdaten und dergleichen enthalten. Vereinslokale stehen nämlich in der Regel auch anderen Vereinen und damit der Öffentlichkeit zur Verfügung. Auch in diesen Fällen ist die Einwilligung der betroffenen Vereinsmitglieder notwendig.

Was ist zu tun?
Vereine müssen vor der Veröffentlichung von personenbezogenen Mitgliederdaten grundsätzlich die Zustimmung der betroffenen Mitglieder einholen.

6.3.2

Arbeitnehmer sind keine Renntiere

Noch immer findet man Unternehmen, die modernes Personalmanagement über "Rennlisten" und dergleichen realisieren wollen und damit Arbeitnehmerrechte verletzen.

Ein Mitarbeiter empörte sich über die Veröffentlichung von "Rennlisten" in einem mittelständischen Unternehmen: Im Büro des Prokuristen hing eine sich über eine drei Viertel Wand erstreckende, jedermann gut einsehbare Statistik, die über die Häufigkeit und Dauer von krankheitsbedingten Arbeitsabwesenheiten der einzelnen Mitarbeiter und Mitarbeiterinnen informierte. Außerdem wurde eine Liste geführt, die Auskunft über die Verkaufserfolge der Mitarbeiter gab und die von jedem Mitarbeiter eingesehen werden konnte. Auf diese Weise sollten die Mitarbeiter motiviert werden, ihre Leistungen zu steigern. Die Veröffentlichung der Krankheitszeiten und von Erfolgslisten (Rennlisten) verstößt gegen das Persönlichkeitsrecht der betroffenen Arbeitnehmer, weil sie so einer permanenten Kontrolle durch ihre Kollegen ausgesetzt sind. Wir konnten das Unternehmen davon überzeugen, beide Listen nicht mehr zu veröffentlichen.

Was ist zu tun?
Listen, in denen die jeweiligen Krankheitszeiten der Mitarbeiter veröffentlicht werden, sollten der Vergangenheit angehören. "Erfolgslisten" dürfen nur mit dem schriftlichen Einverständnis der Mitarbeiter oder auf der Grundlage von Betriebsvereinbarungen veröffentlicht werden.

6.3.3

Ungebetene Faxwerbung führt zu schlaflosen Nächten

Nicht alle Firmen halten sich an das Verbot ungebetener Faxwerbung. Oft hilft nur, das Faxgerät nachts auszuschalten.

Immer wieder werden Bürger "aus dem Schlaf gerissen", weil ihr Faxgerät nachts anspringt und haufenweise unerwünschte Werbung - überwiegend aus dem europäischen Ausland - ausspuckt. Ihre gegenüber den jeweiligen Firmen eingelegten Widersprüche gegen die Nutzung ihrer Faxnummer zu Werbezwecken werden häufig ignoriert. Leider können auch wir nur begrenzt helfen, da die Unternehmen zumeist ihren Sitz außerhalb Schleswig-Holsteins haben. Soweit sich aus den jeweiligen Werbefaxen überhaupt eine Adresse der werbenden Firma ergibt, können wir die Eingabe lediglich an die jeweils zuständigen Datenschutzkontrollbehörden weiterleiten.

Hierbei werden die Grenzen des länderspezifischen Datenschutzes sichtbar. Leider haben noch immer nicht alle europäischen Staaten Datenschutzkontrollinstitutionen eingerichtet. So können die Betroffenen bei Faxwerbungen aus einigen Staaten nur auf den zivilen Rechtsweg verwiesen werden. Schließlich bleibt manchmal nichts anderes übrig, als sich selbst zu helfen: Künftig wird das Faxgerät abends von "Stand-by" auf "Aus" umgeschaltet, um so wenigstens die nächtliche Ruhe zu sichern.

Was ist zu tun?
Bei der Preisgabe seiner Faxnummer sollte jeder Vorsicht walten lassen, um unerwünschte Faxwerbung zu vermeiden.

6.3.4

Anforderungen an betriebliche Datenschutzbeauftragte

Fachkunde und Zuverlässigkeit sind die beiden Schlüsselbegriffe, welche die Eignung eines betrieblichen Datenschutzbeauftragten beschreiben. Daneben spielt die Frage möglicher Interessenkollisionen eine wichtige Rolle.

Wir wurden gefragt, ob der Arbeitnehmervertreter im Aufsichtsrat einer GmbH zugleich betrieblicher Datenschutzbeauftragter sein könne. Es ist rechtlich unbestritten, dass nur diejenigen Mitarbeiter zum betrieblichen Datenschutzbeauftragten bestellt werden dürfen, die in dieser Funktion nicht in Interessenkonflikte mit ihren übrigen Aufgaben geraten würden, die über das unvermeidliche Maß hinausgehen. Die Praxis zeigt aber, dass immer wieder Personen berufen werden, bei denen solche Konflikte vorprogrammiert sind. Häufig handelt es sich dabei um Leiter der EDV und der Personalabteilung. Probleme kann es z. B. auch geben, wenn der Datenschutzbeauftragte zugleich die Funktion des Arbeitnehmervertreters im Aufsichtsrat des Unternehmens hat.

Der Aufsichtsrat einer GmbH nimmt nicht Aufgaben der Geschäftsführung wahr, sondern ist ein Kontrollorgan: Seine Rolle besteht vor allem in der Überwachung der Geschäftsführung. Des Weiteren hat der Aufsichtsrat zwar auch Zustimmungsrechte bezüglich wichtiger Unternehmensentscheidungen, anders als bei einer Aktiengesellschaft kann jedoch seine Entscheidung jederzeit durch einen anders lautenden Beschluss der Gesellschafterversammlung überspielt werden. Arbeitnehmervertreter erfüllen die Funktion, die Tätigkeit des Aufsichtsrates im Ganzen im Sinne der Arbeitnehmerinteressen zu beeinflussen. Derartige Interessenkonflikte sind somit geradezu gesetzlich vorprogrammiert.

Konflikte sind bezüglich der Tätigkeit als betrieblicher Datenschutzbeauftragter bei der GmbH dagegen eher selten und beschränken sich im Wesentlichen auf die datenschutzrechtliche Kontrolle der Arbeitnehmervertreter im Aufsichtsrat. Da in dem betroffenen Unternehmen solche problematischen Fragen nicht ersichtlich waren, konnte der betriebliche Datenschutzbeauftragte einstweilen im Amt belassen werden.

Was ist zu tun?
Bei der Bestellung eines betrieblichen Datenschutzbeauftragten ist darauf zu achten, dass er nicht unauflöslichen Interessenkonflikten ausgesetzt wird. Dies ist bei einem Arbeitnehmervertreter in einem GmbH-Aufsichtsrat nicht zwangsläufig der Fall.

6.3.5

Diskretion am EC-Automaten

Immer mehr Banken und Sparkassen gehen dazu über, die Kunden weg vom personalintensiven Beratungstresen hin zu automatisierten Selbstbedienungsterminals zu locken. Dabei bleiben Diskretion und Datenschutz leicht auf der Strecke.

Wer lässt sich beim Eingeben einer Banküberweisung schon gerne über die Schulter schauen? Jedenfalls nicht die Bankkunden, die sich bei uns über die mangelhafte Einhaltung der Diskretion an den Selbstbedienungsterminals diverser Banken und Sparkassen beschwerten. Unsere Überprüfungen bei Kreditinstituten ergaben, dass zwar die neue Generation von Terminals datenschutzrechtlich nicht zu beanstanden ist. Diese Geräte verfügen nämlich über so genannte "Sichtschutzfilter", die eine Einsichtnahme nur dann zulassen, wenn der Kunde unmittelbar vor dem Bildschirm bzw. dem Display steht. Bereits in einiger Entfernung oder bei seitlichem Blickwinkel sind keine Einzelheiten mehr zu erkennen.

Aber es gibt noch Kreditinstitute, die ältere Terminals ohne Sichtschutzfilter verwenden. Zumindest in diesen Fällen sollte die Situation bis zum Austausch der Geräte durch zusätzliche Maßnahmen verbessert werden. Hier kommen beispielsweise die Anbringung geeigneter Hinweisschilder ("Achtung: Bitte Diskretionsabstand einhalten!"), Diskretionslinien oder das Aufstellen von Absperrbändern in Betracht. Kleine Räume, die den erforderlichen Abstand nicht zulassen, sind für die Aufstellung der Automaten überhaupt nicht geeignet. Wir haben die betroffenen Kreditinstitute zu entsprechenden Maßnahmen aufgefordert und werden die Praxis weiter beobachten.

Was ist zu tun?
Die Kreditinstitute sollten bei der Installation neuer Eingabeterminals darauf achten, dass ausschließlich solche Geräte angeschafft werden, die den Anforderungen der Kunden an Diskretion und Datenschutz gerecht werden.

6.3.6

Unzulässige Aufbewahrung von Schuldnerlisten

Schuldnerlisten, die von den Amtsgerichten an private Unternehmen herausgegeben worden sind, werden nicht immer zeitgerecht gelöscht. Für die Betroffenen kann dies unangenehme Folgen haben.

Die Vergangenheit holte einen Kunden ein, der bei seiner Sparkasse ein Darlehen aufnehmen wollte. Statt mit dem begehrten Geldsegen beglückt zu werden, sah er sich mit einer eidesstattlichen Versicherung konfrontiert, die er eineinhalb Jahre zuvor abgegeben hatte.

Es stellte sich heraus, dass der Sachbearbeiter der Sparkasse diese Tatsache aus dem monatlich erscheinenden listenmäßigen Abdruck eines amtsgerichtlichen Schuldnerverzeichnisses, der über ein Jahr alt war, entnommen hatte. In solchen Verzeichnissen führen die Amtsgerichte diejenigen Personen auf, die eine eidesstattliche Versicherung abgegeben haben oder gegen die ein Schuldhaftbefehl verhängt worden ist. Die seiner eidesstattlichen Forderung zugrunde liegende Forderung hatte der Petent längst beglichen, die eidesstattliche Erklärung selbst war bei dem zuständigen Amtsgericht schon lange gelöscht. Die Sparkasse wäre nach der Zivilprozessordnung verpflichtet gewesen, mit der Mitteilung über die Löschung aus dem Schuldnerverzeichnis den Namen des Petenten unverzüglich zu löschen.

Was ist zu tun?
Listen über Eintragungen im Schuldnerverzeichnis müssen regelmäßig und zuverlässig aktualisiert werden.

6.4

Das Informationssystem der Kreditwirtschaft "SCHUFA"

Die SCHUFA entwickelt sich von einer Clearingstelle, die objektiv richtige Informationen weitergibt, zu einem Unternehmen, das auch "Schätzwerte" verkauft.

Das Scoring-Verfahren der SCHUFA war Gegenstand einer Vielzahl von Anfragen. Das Kredit-Scoring greift auf Krediterfahrungen aus der Vergangenheit zurück, um die Chancen eines ordnungsgemäßen Vertragsablaufes für den Antragsteller eines Kredits zu prognostizieren. Es basiert auf einem angeblich "objektiv mathematisch-statistischen" Verfahren, in dem bestimmte statistische Angaben mit Krediterfahrungen verknüpft werden. Je nach Grad der positiven Erfahrungen erhält die betreffende Person einen Wert zugeordnet. Je höher dieser "Score-Wert" liegt, umso höher soll die statistische Wahrscheinlichkeit liegen, dass der Antragsteller seinen Kreditvertrag ordnungsgemäß erfüllt.

Die SCHUFA bestreitet vehement, dass der Score-Wert personenbezogene Daten enthält. Nach ihrer Auffassung ist das Scoring ein Wahrscheinlichkeitswert, der eine objektive statistische Aussage beinhaltet. Über den Score-Wert werde deshalb keine Auskunft an den Betroffenen erteilt. Diese Auffassung vernachlässigt, dass der Score-Wert zwar mit einer statistischen Methode ermittelt, zugleich aber auch einer konkreten Person zugeordnet wird. Er erhält ein Wahrscheinlichkeitsurteil darüber, wie kreditwürdig eine bestimmte Person ist, und stellt damit ein personenbezogenes Datum dar.

Personenbezogene Daten dürfen nur zu einem Score-Wert verarbeitet werden, wenn der Kunde zuvor wirksam in die Übermittlung an die SCHUFA eingewilligt hat oder es sich um so genannte Negativdaten (z. B. Abgabe einer eidesstattlichen Versicherung) handelt. Die Weitergabe eines Score-Wertes an die Vertragspartner der SCHUFA ist eine geschäftsmäßige Datenübermittlung. Eine solche Weitergabe von personenbezogenen Daten ist nur zulässig, wenn der Empfänger ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Die betroffenen Kunden haben ein schutzwürdiges Interesse, das der Übermittlung des Score-Wertes an die SCHUFA-Vertragspartner entgegenstehen kann, denn es wird aus einer Summe von statistischen Daten die personenbezogene Information abgeleitet: "Der Kunde erfüllt seinen Kredit mit überwiegender Wahrscheinlichkeit nicht." Diese Aussage mag in vielen Fällen zutreffen, in vielen anderen Fällen ist sie aber falsch, weil sie eben nur eine nicht überprüfbare statistische Wahrscheinlichkeit widerspiegelt. Die Übermittlung eines Score-Wertes kann außerordentlich beeinträchtigend für die betroffenen Kunden sein, weil Kreditinstitute sich bei der Kreditvergabe in der Praxis am Score-Wert orientieren. Nach unserer Auffassung hat der Kunde außerdem einen Anspruch auf Auskunft über seinen Score-Wert.

Was ist zu tun?
Das Scoring ist unseres Erachtens rechtswidrig, sofern der Betroffene zuvor nicht eingewilligt hat. Für eine wirksame Einwilligung ist es erforderlich, dass der Betroffene die Tragweite seiner Entscheidung überblicken kann. Das ist bei der aktuellen SCHUFA-Klausel nicht gegeben, weil sie die Kriterien nicht offen legt, nach denen der Score-Wert ermittelt wird.

6.4.1

Die Folgen alter SCHUFA-Auskünfte

Überholte SCHUFA-Auskünfte können große wirtschaftliche Schäden anrichten.

Was ist davon zu halten, wenn eine Bank trotz der Bestätigung der SCHUFA, ein bestimmtes Negativmerkmal gelöscht zu haben, kein Girokonto eröffnen will? Der Informationsfluss von der SCHUFA zu ihren Vertragspartnern funktioniert offensichtlich nicht immer reibungslos. Einem Architekten wurde immer wieder die Neueröffnung eines Girokontos mit dem Hinweis auf eine schlechte SCHUFA-Auskunft verweigert. Dabei hatte ihm die SCHUFA doch schriftlich bestätigt, ein bestimmtes Negativmerkmal gesperrt und später sogar gelöscht zu haben. Im vorliegenden Fall handelte es sich um einen dubiosen Mahnbescheid, dessen Existenz der angebliche Gläubiger nicht nachweisen konnte. Sogar eine Personenverwechslung war nicht auszuschließen. Der Architekt vermutete daraufhin, dass die SCHUFA zwei unterschiedliche Datenbestände bereithalte, einen "guten" für die Selbstauskünfte an die Betroffenen und einen "schlechten" für die Vertragspartner.

Unsere Nachforschungen konnten diese Vermutung nicht bestätigen. Bei der SCHUFA gibt es nur einen zentralen Datenbestand, in welchem der Hinweis auf einen Mahnbescheid auch tatsächlich gelöscht war. Der Fehler lag jedoch aufseiten der Bank. Deren Mitarbeiterin hatte, statt eine aktuelle SCHUFA-Auskunft einzuholen, auf einen veralteten hausinternen Datenbestand der Bank zugegriffen, der die Information über den bestrittenen Mahnbescheid noch enthielt. Hätte sie, wie es die vertraglichen Regeln der SCHUFA vorsehen, eine neue SCHUFA-Anfrage gestartet, wäre das Problem gar nicht erst entstanden.

Nachdem die Mitarbeiterin auf ihren Fehler hingewiesen worden war und eine neue SCHUFA-Anfrage die Löschung des dubiosen Mahnbescheides sofort bestätigt hatte, stand der Eröffnung des Girokontos nichts mehr im Wege.

Was ist zu tun?
Die SCHUFA sollte ihre Vertragspartner durch geeignete Schulungsmaßnahmen darauf hinweisen, dass vor Kreditentscheidungen stets aktuelle SCHUFA-Auskünfte einzuholen sind.

6.4.2

Kleine Ursache - große Wirkung!

Peanuts dürfen die Kreditwürdigkeit nicht beeinträchtigen. Für die Speicherung von Negativmerkmalen müssen Geringfügigkeitsgrenzen eingeführt werden.

Der Kreditantrag einer Bankkundin wurde bei mehreren Banken immer wieder unter Hinweis auf eine negative SCHUFA-Auskunft abgelehnt, obwohl die betreffende Forderung längst bezahlt war. Die Betroffene hatte die Monatsrechnung eines Mobilfunkbetreibers in Höhe von ca. 200 DM erst mit Verspätung bezahlt. Vorher sollte nämlich erst einmal familienintern geklärt werden, wer überhaupt mit Mutters Handy so viel telefoniert hatte. Inzwischen hatte der Netzbetreiber das Vertragsverhältnis gekündigt und diese Tatsache der SCHUFA mitgeteilt. Auch die später erfolgte Bezahlung wurde bei der SCHUFA per so genanntem Erledigungsvermerk erfasst. Nach den SCHUFA-Regelungen bleibt ein solcher Datensatz aber für drei Jahre gespeichert. So hatte die verspätete Zahlung eines geringen Betrages für die Dauer von drei Jahren den Verlust der Kreditwürdigkeit dieser Person zur Folge.

Dieser Fall wirft die Frage auf, ob es hinnehmbar ist, dass derartige Peanuts über den Umweg der SCHUFA den Verlust der Kreditwürdigkeit eines Menschen für drei Jahre zur Konsequenz haben dürfen. Insofern bedarf das Verfahren einer Korrektur, z. B. durch frühzeitige Löschung von Kleinbeträgen.

Was ist zu tun?
Die SCHUFA muss angehalten werden, für die Speicherung von Negativdaten Geringfügigkeitsgrenzen einzuführen.

6.5

Videokameras an der Arbeitsstelle und auf dem Marktplatz

Videokameras, z. B. am Arbeitsplatz und auf öffentlichen Plätzen, kommen immer mehr in Mode. Obwohl das Bundesdatenschutzgesetz noch keine einschlägigen Regelungen enthält, sind gleichwohl rechtliche Grenzen zu beachten.

Die Videoüberwachung durch öffentliche Stellen ist bereits seit geraumer Zeit Gegenstand datenschutzrechtlicher Diskussionen (vgl. 22. TB, Tz. 4.2.3) und gesetzgeberischer Maßnahmen. Aber auch im nichtöffentlichen Bereich ist der Einsatz von Überwachungskameras zu unterschiedlichen Zwecken längst in Mode, häufig ohne dass sich die Betreiber der rechtlichen Auswirkungen ihres Tuns bewusst sind.

Immer wieder werden Anfragen zu den Voraussetzungen für die Einrichtung von Videoüberwachungsanlagen am Arbeitsplatz gestellt. Installiert der Arbeitgeber eine Videoüberwachungskamera, löst bereits deren abstrakte Eignung zur Kontrolle des Arbeitnehmerverhaltens ein Mitbestimmungsrecht des Betriebsrates aus. Eine solche Überwachung steht daneben unter dem strikten Vorbehalt der Verhältnismäßigkeit. Sie ist nach der Rechtsprechung nur in Ausnahmefällen zulässig, etwa um vom Arbeitgeber oder den Arbeitnehmern erhebliche Schäden abzuwenden.

Bei der Einrichtung von Webcams auf öffentlichen Plätzen kommt es auf die Umstände des Einzelfalles an. Ein Petent hatte auf dem Alten Lübecker Markt eine Kamera entdeckt und sich an uns gewandt. Es stellte sich heraus, dass eine Firma zu Werbezwecken jede volle Stunde zwei Bilder des Marktplatzes und des Bahnhofes im Internet veröffentlichte. Personen waren auf den Bildern nicht zu individualisieren. Eine Vergrößerung der Bilder führte zu einer Verzerrung der Gesichtszüge, sodass auch in diesem Fall kein Personenbezug herstellbar war.

www.datenschutzzentrum.de/material/themen/video/

Was ist zu tun?
Der Bundesgesetzgeber muss endlich Rechtsklarheit schaffen und den Einsatz von Videokameras im nichtöffentlichen Bereich in einer Weise regeln, die dem Persönlichkeitsrecht entspricht.

6.6

Der Bankkunde als König ohne Kleider

Ein übersteigertes Sicherheitsbedürfnis und bürokratisches Denken verleitet manche Banken dazu, von ihren Kunden einen regelmäßigen "Vermögensstriptease" zu verlangen.

Kein märchenhaftes Vergnügen bereitete einem Petenten das Verhalten seiner Bank: Er hatte einen Kredit aufgenommen, um sein Eigenheim zu finanzieren. Wie üblich hatte er dabei seine Vermögens- und Einkommensverhältnisse offen legen müssen, darüber hinaus war das Darlehen dinglich durch eine Hypothek solide abgesichert. Nach dem Vertragsabschluss hatte er es über fünf Jahre lang ordnungsgemäß bedient. Dann flatterte ihm plötzlich die Aufforderung seiner Bank auf den Schreibtisch, er möge doch für die letzten Jahre eine detaillierte Vermögensaufstellung inklusive Einkommensteuerbescheid und Einkommensteuererklärung mit Anlagen nachreichen. Auf unsere Initiative hin teilte die Bank zunächst mit, diese Informationen seien erforderlich, weil das Kreditwesengesetz dies verlange.

Eine solche Aufforderung zum "Vermögensstriptease" ist jedoch in keiner Weise gerechtfertigt: Denn das Kreditwesengesetz sieht eine laufende Offenlegung der wirtschaftlichen Verhältnisse nicht einmal dann zwingend vor, wenn ein Darlehensnehmer Kredite von insgesamt über 500.000 DM in Anspruch nimmt. Unterhalb dieser Grenze kann die Bank solche Informationen nur im Rahmen der Grundsätze ordnungsgemäßer Geschäftsführung verlangen. Für den Eigenheimbauer, dessen Kredit hinreichend durch Hypothek oder Grundschuld abgesichert ist und der seinen Kredit unter 500.000 DM vertragsgemäß bedient, genügt in der Regel eine so genannte Erstoffenlegung bei Vertragsabschluss. Erst nach einigem Hin und Her konnten wir die Bank schließlich überzeugen, ihrem König Kunde die Kleider zu belassen.

Was ist zu tun?
Banken dürfen sich die Vermögensverhältnisse ihrer Kunden grundsätzlich nur bei Vorliegen eines berechtigten Interesses offen legen lassen. Hinreichend abgesicherte Kredite unterhalb eines Gesamtbetrages von 500.000 DM dürfen nicht zu regelmäßigen Vermögenskontrollen führen.

6.7

Ergebnisse von Kontrollen

Überprüfungen von Amts wegen bei Unternehmen, die Datenverarbeitung als Dienstleistung betreiben (Servicerechenzentren, Datenerfassungsbüros, Büroservicefirmen, Akten- und Datenträgervernichtungsbetriebe und sonstige Auftragsdatenverarbeiter), führen in vielen Fällen zu Beanstandungen und stets auch zu Empfehlungen und Verbesserungsvorschlägen.

Folgende Mängel wurden bei den Prüfungen am häufigsten festgestellt:

  • Nicht oder nur unzureichend durchgeführte Verpflichtungen der Mitarbeiter auf das Datengeheimnis.

  • Unzulängliche technische und organisatorische Sicherungsmaßnahmen.

    Bei einer Behindertenwerkstatt z. B. war der EDV-Raum, in dem eine Datenarchivierung für Dritte durchgeführt wurde, scheinbar hervorragend abgeschottet. Tatsächlich verfügte die Hauptzugangstür über eine Sicherung mit elektronischer Schließanlage und Zahlencode. Der Zahlencode war nur den direkt zuständigen Mitarbeitern bekannt. Der EDV-Raum hatte jedoch noch eine Hintertür zum unmittelbar daneben liegenden und frei zugänglichen Besprechungszimmer. Diese Hintertür war unverschlossen. Jeder Werkstattangehörige konnte unbemerkt in den EDV-Raum gelangen. Die Reaktion der Werkstatt: "Daran haben wir gar nicht gedacht!"

    Im Rechenzentrum eines bundesweit tätigen Einrichtungshauses hatten Mitarbeiter der Personalabteilung freien Zutritt zum zentralen Serverraum in der EDV-Abteilung. Begründung des Unternehmens: Dort stehe ein Drucker, und die Personalsachbearbeiter müssten sich ihren Output zeitnah abholen können. Auf die Idee, den Drucker außerhalb des Serverraums aufzustellen und die Zahl der zugangsberechtigten Mitarbeiter auf das unbedingt erforderliche Minimum zu reduzieren, war die Firma bis zum Besuch der Aufsichtsbehörde von sich aus nicht gekommen.



  • Fehlende oder unzulängliche schriftliche Verträge zur Auftragsdatenverarbeitung.

    In diesem Punkt haben die in den Unternehmen geführten Kontrollbesuche sehr starken Beratungscharakter und finden nicht selten auf ausdrücklichen Wunsch der Firmen statt.

  • Fehlende oder verspätete Meldungen zum Datenschutzregister.

  • Fehlende betriebliche Datenschutzbeauftragte; nicht ausreichende Qualifikation der betrieblichen Datenschutzbeauftragten.

Was ist zu tun?
Nachkontrollen werden zeigen, ob die Mängel behoben worden sind.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel