26. Tätigkeitsbericht (2004)

5

Datenschutz in der Wirtschaft

5.1

Zielvereinbarungen führen zu besserem Datenschutz

Macht Datenschutz Spaß? Nicht jeder wird diese Frage mit einem Ja beantworten. Und doch begreifen fortschrittliche Unternehmen den Datenschutz zunehmend als ein Instrument, mit dem man das Vertrauen des Kunden gewinnen kann. Selbst Firmen, die typischerweise keine Privatkunden haben, integrieren effektive Datenschutzmanagementsysteme in eine "Total-Quality-Philosophie”. Bis der Bundesgesetzgeber endlich Audits regelt, können Zielvereinbarungen nützlich sein.

Ein aktuelles Beispiel hierfür stellen die Sauer-Danfoss GmbH & Co. oHG und Sauer-Danfoss-Informatic GmbH in Neumünster dar. Die beiden Unternehmen wandten sich an uns und baten um eine Überprüfung ihrer Datenschutzorganisation, weil sie sich hiervon eine weitere Verbesserung des Datenschutzes und der betrieblichen Zusammenarbeit innerhalb der Belegschaft erhofften. In der Folge unterzogen wir die betrieblichen Abläufe einer Prüfung auf "Herz und Nieren” und nahmen eine Stärken-Schwächen-Analyse vor. Für die Beseitigung der festgestellten Schwächen erarbeiteten wir zusammen mit der Geschäftsführung, den Datenschutzbeauftragten und dem Betriebsrat Lösungswege, die die Unternehmen nun schrittweise umsetzen.

Insbesondere in Bezug auf die Datenschutzorganisation haben die Unternehmen die gesetzlichen Vorgaben des BDSG in moderner Form umgesetzt.

  • Nach dem Bundesdatenschutzgesetz ist grundsätzlich für jede verantwortliche Stelle ein betrieblicher Datenschutzbeauftragter zu bestellen, der auf die Einhaltung der Datenschutzbestimmungen hinzuwirken hat. Unternehmen haben die Verpflichtung, den Datenschutzbeauftragten in dieser Aufgabe zu unterstützen. Häufig geschieht dies allerdings nicht oder nur unzureichend. Um solche Defizite zu vermeiden, wurde von den Firmen ein gemeinsamer "Betriebsausschuss Datenschutz” ins Leben gerufen. Er setzt sich aus Vertretern der Geschäftsführung, des Betriebsrates und den beiden Datenschutzbeauftragten zusammen und hat die Funktion, die Datenschutzbeauftragten in ihren Aufgaben zu unterstützen und datenschutzrechtlich relevante Entscheidungen der Unternehmen vorzubereiten und umzusetzen.

  • Für jedes neu einzuführende Verfahren sehen die Unternehmen eine spezielle Vorabkontrolle vor. Will ein Verantwortlicher ein neues Verfahren oder eine neue Anwendung einsetzen, schaltet er den Datenschutzbeauftragten ein und beschreibt das Verfahren bzw. die Anwendung nach einem vorgegebenen Fragenkatalog. Der Datenschutzbeauftragte prüft anhand dieser Angaben, ob und in welchem Umfang personenbezogene Daten verarbeitet werden und gibt dazu eine datenschutzrechtliche Beurteilung ab. Anschließend geht die Sache zum Betriebsausschuss Datenschutz und zum Betriebsrat. Bei Bedarf wird eine Betriebsvereinbarung abgeschlossen. Auf diese Weise werden alle relevanten Stellen zügig in einem standardisierten Verfahren eingebunden und ihr Sachverstand genutzt.

Die ersten Erfahrungen mit dieser Vorgehensweise sind ausgesprochen positiv. Der Schwerpunkt wird auf einen präventiven Datenschutz gelegt, der Verstöße bereits im Ansatz vermeidet. Die generelle Vorabkontrolle führt dabei zu einer Sensibilisierung der für die Datenverarbeitung verantwortlichen Funktionsträger, da sie geplante Verfahren und Anwendungen von vornherein auf ihre datenschutzrechtliche Zulässigkeit und Zweckmäßigkeit überprüfen. Durch die frühzeitige Einbindung aller Betriebspartner wird zudem die Akzeptanz der Verfahren im Unternehmen nachhaltig erhöht. Mittlerweile wenden sich Verantwortliche teilweise sogar an den Betriebsausschuss mit der Bitte, auch Altverfahren zu überprüfen.

Ins Auge gefasst werden Formen eines hausinternen Audits, um die gewonnenen datenschutzrechtlichen Fortschritte nicht durch Zeitablauf verloren gehen zu lassen. Auch wenn die Beratungsprüfung durch uns aufgrund der fehlenden Bundesgesetzgebung nicht zu einem Datenschutzzertifikat führen konnte, dokumentiert das Beispiel, dass fortschrittliche Unternehmen Datenschutzaudits auf freiwilliger Basis befürworten würden.

Was ist zu tun?
Datenschutz kann als Instrument dienen, unternehmensinterne Abläufe so zu gestalten, dass dies zur Verbesserung des Betriebsklimas im Unternehmen beiträgt. Zielvereinbarungen zum Datenschutz der Mitarbeiter, betriebsinterne Audits und Produktgütesiegel fördern solche Prozesse, weil sie den Unternehmen Unterstützung und zusätzliches Know-how bieten.

5.2

Was Detektive nicht dürfen

Detekteien und Sicherheitsunternehmen greifen in erheblichem Umfang in die Privatsphäre ihrer "Zielpersonen” ein. Die Überprüfung eines Unternehmens ergab, dass es in der Branche offenbar erhebliche Wissensmängel bezüglich des Datenschutzes gibt.

Wer kennt nicht die zahllosen Detektivfilme im Fernsehen? Detektive und Sicherheitsunternehmen leben davon, fremde Menschen im Auftrag anderer zu beobachten. Die damit verbundenen erheblichen Gefährdungen für die Persönlichkeitsrechte der Betroffenen waren für uns der Anlass, eines dieser Unternehmen zu überprüfen. Dabei zeigte es sich, dass wesentliche Bestimmungen des Datenschutzrechts schlichtweg nicht bekannt waren:

  • Nach dem Bundesdatenschutzgesetz sind Unternehmen ab einer gewissen Größe grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu bestellen, der auf die Einhaltung datenschutzrechtlicher Bestimmungen hinwirkt. Das Unternehmen wusste davon nichts.

  • Es fehlte das gesetzlich vorgeschriebene Verfahrensregister. Diese Verfahrensübersicht dient der Bestandsaufnahme automatisierter Datenverarbeitungsverfahren und damit als Grundlage für ein Datenschutzcontrolling.

  • Zum Zeitpunkt der Prüfung übernahm das Unternehmen in erheblichem Umfang Aufträge zur Observation. Meist verdächtigten die Auftraggeber ihre Mitarbeiter "krank zu feiern”. Eine solche Vermutung kann es vielleicht rechtfertigen, dass Arbeitnehmer daraufhin kontrolliert werden, ob sie wirklich krank sind. In keinem Fall ist es jedoch zulässig, sie in ihrer gesamten Privatsphäre auszuspionieren und darüber den Auftraggeber zu informieren.

  • Die Videoüberwachung im Rahmen des Objektschutzes wurde nicht transparent gemacht.

Wir wiesen das Unternehmen auf diese und weitere Mängel hin. In einer ersten Reaktion hat sich das Sicherheitsunternehmen einsichtig gezeigt und die wichtigsten Mängel beseitigt. Den problematischen Observationsdienst stellte die Firma ganz ein.

Was ist zu tun?
Unternehmen der Sicherheitsbranche haben wie alle anderen Unternehmen die allgemeinen Datenschutzregeln zu beachten. Insbesondere bei Observationsaufträgen darf die Privatsphäre der Betroffenen nicht generell infrage gestellt werden.

5.3

Adresshandel und Direktmarketing

5.3.1

Der Preis der Rabattpunkte

Kundenbindungssysteme mit Karten zum Sammeln von Rabattpunkten finden bei Verbrauchern und Unternehmen zunehmend Anwendung. In einem Gutachten haben wir untersucht, welche Voraussetzungen für den datenschutzgerechten Betrieb solcher Systeme erfüllt sein müssen.

In jüngster Zeit sind eine Fülle von Rabattkarten auf den Markt geworfen worden (vgl. 24. TB, Tz. 6.4.1). Im Vordergrund stehen unternehmens- und branchenübergreifende Rabattkarten für mehrere Unternehmen. Der Kunde steht mittlerweile einem kaum überschaubaren Angebot gegenüber. Gegenüber den Verlockungen der Bonuspunkte und Sonderaktionen standen bisher die datenschutzrechtlichen Risiken für die Kunden im Hintergrund der Diskussion. Wenn überhaupt, dann erfährt der Kunde nämlich zumeist nur im Kleingedruckten, warum die Rabattkarten für die Unternehmen so lukrativ sind.

Über seine bis dahin anonymen Kunden erhält ein Unternehmen mittels Rabattkarte eine Menge personenbezogener und kommerziell nutzbarer Informationen. Dies beginnt bei der Beantragung, für die der Kunde seinen Namen, seine Anschrift und häufig auch sein Geburtsdatum offenbaren soll. Oftmals werden darüber hinaus Informationen zu Beruf, Einkommen oder Konsuminteressen der Kunden erhoben. Verknüpft mit den Umsatzdaten, die bei jedem Einsatz der Kundenkarte anfallen, lassen sich Kundenkonsumprofile erstellen, die Auskunft über viele Fragen geben können. So können etwa Vorlieben des Kunden abgeleitet und für eine optimierte Werbeansprache nutzbar gemacht werden. Mit einer Analyse des Kundenprofils können aber auch Aussagen zur Bonität des Kunden gewonnen werden, die eine wichtige Grundlage zur Beurteilung seiner Kreditwürdigkeit bilden.

Die zunehmende Verunsicherung über die datenschutzgerechte Gestaltung solcher Bonussysteme hat den Verbraucherzentrale Bundesverband e.V. (vzbv) veranlasst, sich eingehend mit dieser Thematik zu befassen. Er hat uns beauftragt, ein Gutachten über Kundenbindungssysteme und Datenschutz zu erstellen. Darin haben wir zunächst die Anforderungen aufgezeigt, die Kundenbindungssysteme im Hinblick auf den Datenschutz erfüllen müssen. Sollen neben Name und Anschrift weitere Kundendaten zum Zweck der Werbung und Marktforschung genutzt werden, ist dafür stets eine Einwilligung des Kunden erforderlich. Von einer wirksamen Einwilligung ist nur auszugehen, wenn der Kunde umfassend über die Datenverarbeitung im Rahmen des Kundenbindungsprogramms aufgeklärt wurde, insbesondere über die verantwortliche Stelle, die Art der zu verarbeitenden Daten sowie die Zwecke und die einzelnen Vorgänge der Datenverarbeitung. Sollen die Kundendaten genutzt werden, um daraus Kundenprofile zu erstellen und auszuwerten, muss der Kunde auch hierauf hingewiesen werden. Die Einwilligung muss ausdrücklich erfolgen, was eine aktive Handlung des Kunden (etwa durch gesonderte Unterschrift oder Ankreuzen einer Zustimmung) erfordert.

In der Praxis werden diese Anforderungen zumeist nicht erfüllt. Sämtliche Kundenbindungssysteme, die wir im Rahmen der Gutachtenerstellung unter die Lupe genommen haben, wiesen im Hinblick auf den Datenschutz Defizite auf. Weit verbreitet sind z. B. Einwilligungserklärungen, die den Kunden auffordern, den Text der Erklärung durchzustreichen, soweit er damit nicht einverstanden ist. Macht der Kunde davon keinen Gebrauch, dann erklärt er automatisch seine Einwilligung in die dort beschriebene, oft sehr weit gehende und komplexe Datenverarbeitung. Damit wird eine Einwilligung auch derjenigen Kunden fingiert, die die Aufforderung zur Streichung übersehen haben oder die sich nicht trauen, die vom Unternehmen vorgegebenen Bedingungen zurückzuweisen.

Unzureichend ist in den meisten Fällen auch die Information des Kunden über die Verarbeitung seiner Daten. Oft werden die Daten, die im Rahmen des Bonusprogramms verarbeitet werden, nicht präzise benannt. Unklar bleibt in der Regel auch, durch wen die Kundendaten verarbeitet werden. Dies gilt insbesondere für Kundenbindungssysteme, an denen mehrere Unternehmen beteiligt sind. Hier muss der Kunde genau erfahren, welche der Unternehmen welche Informationen über ihn nutzen.

Das für den vzbv erstellte Gutachten ist im Internet abrufbar unter

www.vzbv.de/mediapics/gutachten_kundenbindungssysteme_2003.pdf

www.datenschutzzentrum.de/wirtschaft/kundbisy.htm

Was ist zu tun?
Wollen Unternehmen durch Bonusprogramme Kunden langfristig binden, so sollten sie sich um deren Vertrauen bemühen. Datenschutzrechtlich einwandfreies Verhalten ist dabei hilfreich.

5.3.2

Schwarze Schafe im Adress- und Direkthandel

Bürgerinnen und Bürger fühlen sich von der ungefragten Zusendung von Werbezuschriften erheblich belästigt. Die beträchtliche Zahl der Beschwerden gegen die Verarbeitung und Nutzung von personenbezogenen Daten zu Werbezwecken im Jahr 2002 wurde 2003 nochmals deutlich übertroffen.

Die häufigsten Eingaben betrafen die unverlangte Zusendung von Werbeanschreiben. Die meisten Verbraucher verstehen nicht, warum Unternehmen ihre Daten ohne ihre Kenntnis verwenden dürfen. Wenn sie zu Werbezwecken angeschrieben werden, fragen sie sich, woher das Unternehmen Informationen über sie erhalten hat. Deshalb verpflichtet der Gesetzgeber die Werbewirtschaft dazu, die Betroffenen über ihr Recht zu informieren, der Nutzung ihrer Daten zu Zwecken der Werbung, der Markt- und Meinungsforschung zu widersprechen. Widerspricht ein angeschriebener Bürger der besagten Nutzung, so hat das Unternehmen seine Adressdaten zu sperren, weiter gehende Datennutzungen zu Werbezwecken sind verboten. Verlangt ein Betroffener Auskunft über die zu seiner Person gespeicherten Daten, hat das Unternehmen ihm diese erbetene Information unverzüglich zu erteilen.

Leider gibt es auch in Schleswig-Holstein schwarze Schafe, die diese Verbraucherrechte missachten. Die Unterrichtung über das Widerspruchsrecht fehlt ebenso häufig, wie manche Firmen Auskunftsverlangen von Bürgern schlichtweg ignorieren. In den meisten Fällen genügte es zwar, die Unternehmen darauf hinzuweisen, dass sie gegen gesetzliche Vorschriften verstoßen. Manche Unternehmen haben unsere Hinweise sogar dankbar aufgenommen, weil sie durch eine korrekte Verfahrensweise eine stärkere Akzeptanz ihrer Werbung erwarten. Manche Unternehmen missachten die Verbraucherrechte aber bewusst und wiederholt.

Deshalb haben wir gemeinsam mit der Verbraucherschutzzentrale des Landes und mit dem Verbraucherzentrale Bundesverband eine Broschüre mit dem Titel "99 + 1 Beispiele und viele Tipps zum BDSG” herausgegeben, die Bürger über ihre Rechte informiert und ihnen Tipps gibt, sie auch durchzusetzen. Für Unternehmen enthält die Broschüre Hinweise, wie sich ein verbraucherfreundlicher Datenschutz mit relativ geringem Aufwand realisieren lässt. Sie ist im Internet abrufbar unter

www.datenschutzzentrum.de/download/BDSG_Handbuch.pdf

Was ist zu tun?
Unternehmen der Werbewirtschaft sind verpflichtet, die Rechte der Bürger auf Widerspruch und Auskunft zu beachten. Schwarze Schafe müssen künftig mit strengeren Sanktionen rechnen.

5.4

Auf Datenjagd bei Minderjährigen

Zahlreiche Webseiten locken Kinder und Jugendliche mit Spielen und besonderen Informationsangeboten. Doch Vorsicht ist angesagt, wenn solche Offerten an die Bedingung geknüpft werden, der betroffene Minderjährige müsse Daten über sich und seine Familie preisgeben.

Will ein Webdiensteanbieter von Minderjährigen personenbezogene Informationen erheben, muss er die besondere Schutzwürdigkeit seiner "Kunden” beachten. Unabdingbar sind dabei eine kind- bzw. jugendgerechte Information über die geplante Datenverarbeitung. Bei einwilligungspflichtigen Verarbeitungsprozessen muss darüber hinaus sichergestellt sein, dass sie nur mit Zustimmung der Erziehungsberechtigten erfolgt.

Bei einer routinemäßigen Kontrolle einer Webseite, die in erster Linie für Kinder gedacht war, stellten wir fest, dass die beschriebenen Anforderungen nicht erfüllt waren. Der Webseitenbetreiber bot Kindern die Mitgliedschaft in einem virtuellen "Freundeklub” an, in dem sie sich über ihre Fragen und Probleme austauschen konnten. Daneben "informierte” er die Teilnehmer des Forums über seine Angebote. Dabei mussten sich die betroffenen Minderjährigen für die Mitgliedschaft in dem Freundeklub registrieren lassen und damit Informationen über sich preisgeben. Der Webanbieter klärte seine kleinen Gäste nicht über Art, Umfang und Zweck etwaiger Datenauswertungen auf. Uns gegenüber machte er geltend, die Registrierung diene ausschließlich dem Schutz der Kinder, um missbräuchlichen Ausforschungen und Belästigungen vorzubeugen. Erforderlich war gleichwohl eine Information der Minderjährigen, die ihrem Erfahrungshorizont gerecht wird. Da der Umfang der geplanten Datenverarbeitung den erforderlichen Rahmen sprengte, musste zudem eine Einwilligung der Eltern sichergestellt werden. Da deren Authentisierung ausschließlich über das Internet erfolgen sollte, musste mit hinreichender Sicherheit gewährleistet werden, dass die Einwilligung in die Nutzung von Adressdaten auch tatsächlich von den Erziehungsberechtigten stammt.

Auf diese Erfordernisse angesprochen, erwies sich der Webseitenbetreiber als durchaus einsichtig. Über die geplanten Datenverarbeitungen werden die Minderjährigen künftig altersgerecht informiert. Im Rahmen des Registrierungsverfahrens werden sie aufgefordert, ihre Eltern zur Einwilligung hinzuzuziehen. Um zu erreichen, dass die Erziehungsberechtigten tatsächlich von der Registrierung Kenntnis erlangen und mit ihr einverstanden sind, wird nach der Anmeldung unmittelbar eine Bestätigungsmail eingeholt und diese Information nach einem bestimmten, hinreichend großen Zeitraum (nach mehreren Wochen bzw. einem Monat) nochmals per Mail bestätigt. Durch diese Vorgehensweise wird ausgeschlossen, dass Dritte unter Vorgabe einer anderen Identität ein dauerhaftes "Newsletter-Spamming” verursachen. Das Beispiel zeigt, wie im World Wide Web Datenschutz und Jugendschutz verbunden werden können.

Was ist zu tun?
Webangebote für Kinder dürfen nicht dazu führen, dass die Kids ausgeforscht werden. Wird ein Forum angeboten, in dem Kinder ihre Identität preisgeben, muss sichergestellt sein, dass die Erziehungsberechtigten hierzu ihre Einwilligung erteilen.

5.5

Gläserne Belegschaften?

Die moderne Industrie ist auf automatisierte Produktionssteuerung und auf Werkzeuge zur Revision angewiesen. Solche Instrumente ermöglichen zugleich umfassende Auswertungen des Arbeitnehmerverhaltens und bringen erhebliche Gefährdungen für die Rechte der Betroffenen mit sich.

Der Datenschutzbeauftragte eines Konzernunternehmens wandte sich an uns, weil die Geschäftsführung eine neue Revisionssoftware einführen wollte. Diese dient der Aufdeckung von Verlustquellen, die durch Manipulationen oder Fehlbedienungen von Kassen entstehen. Die Software macht sich zunutze, dass die Kassendaten sämtlicher Märkte des Unternehmens zentral erfasst und gespeichert werden. Sie ermöglicht eine Analyse dieser Datenbestände unter verschiedenen Gesichtspunkten (Data Mining), z. B. An- und Abmeldungen von Kassen, Nutzung elektronischer Zahlungsmittel, Kassenaktivitäten ohne Verkauf usw. Aufgrund der besonderen Funktionalität des Produktes können dabei Vorgänge einzelner Kassen zentral ausgewertet werden.

Nach dem geltenden Datenschutzrecht waren die geplanten Eingriffe in das Persönlichkeitsrecht der Mitarbeiter nicht zu rechtfertigen. Die eingesetzte Software ermöglichte Datenanalysen, die weit über die erforderliche Betrugsprävention hinausgingen und das Verhalten der Arbeitnehmer systematisch ausforschten. Einer solchen umfassenden Überwachung ihres Verhaltens am Arbeitsplatz stehen die schutzwürdigen Belange der Arbeitnehmer entgegen. Natürlich hat ein Unternehmen ein berechtigtes Interesse daran, Betrugsversuche aufzudecken und die Verantwortlichen zu identifizieren. Das darf aber nicht dazu führen, dass Arbeitnehmer am Arbeitsplatz ihre Privatsphäre völlig preisgeben müssen.

Auch wenn eine Betriebsvereinbarung im gewissen Umfang Datenverarbeitungsprozesse ermöglichen kann, muss sie im Einklang mit höherrangigem Recht stehen. Nach unseren Hinweisen auf die Rechtslage schlossen deshalb das Unternehmen und sein Gesamtbetriebsrat eine Gesamtbetriebsvereinbarung ab, welche den Einsatz der Revisionssoftware auf die Zwecke der Aufdeckung von vorsätzlichen Kassenmanipulationen und von Kassenfehlgebrauch (z. B. Tippfehler oder versehentliche Fehlbuchungen) beschränkt. Dabei soll der Kassenfehlgebrauch für die betroffenen Arbeitnehmer keine arbeitsrechtlichen Sanktionen nach sich ziehen. Der Kassenfehlgebrauch einzelner Betroffener soll für die unmittelbaren Vorgesetzten unbekannt bleiben. Das Verfahren sieht umfangreiche technische und organisatorische Maßnahmen vor, die die Rechte der Betroffenen wahren. Überdies wurden die betroffenen Mitarbeiter über die Einführung der Revisionssoftware allgemein verständlich informiert.

Was ist zu tun?
Schließen die Betriebspartner in einem Unternehmen Betriebsvereinbarungen ab, die den Einsatz von Überwachungsanlagen betreffen, muss ein angemessener Ausgleich zwischen berechtigten Interessen der Firma und den schutzwürdigen Interessen der Betroffenen geschaffen werden.

5.6

Datenschutz bei Unternehmensfusionen

Bei Unternehmensfusionen treten komplizierte rechtliche Fragen auf. Eine Fusionsentscheidung zieht zwar zwangsläufig Datenverarbeitungsvorgänge nach sich, das Datenschutzrecht steht aber einer Fusion als solcher nicht entgegen.

Nachdem eine bevorstehende Bankenfusion mit dem Argument der datenschutzrechtlichen Unzulässigkeit angegriffen wurde, wandte sich eines der beteiligten Kreditinstitute an uns und bat uns um die Beurteilung der Zulässigkeit von Datentransfers im Rahmen eines Unternehmenszusammenschlusses.

Die Durchführung von Bankgeschäften mit Privatkunden unterliegt als Dienstleistung dem Wettbewerb mit privaten Stellen. Ungeachtet der Stellung des Kreditinstituts als Anstalt des öffentlichen Rechts oder als privatrechtliche Organisation gelten für die Verarbeitung personenbezogener Kundendaten durch Kreditinstitute die Vorschriften des Bundesdatenschutzgesetzes (BDSG). Speziellere Rechtsvorschriften gehen allerdings den Vorschriften des BDSG vor. Das einschlägige Umwandlungsgesetz nimmt aber keine Stellung zur Übermittlung von personenbezogenen Daten im Rahmen einer Verschmelzung und steht daher einer Anwendung des BDSG nicht im Wege.

Das BDSG findet nur auf "personenbezogene Daten” Anwendung, also auf solche Informationen, die Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person enthalten. Die neu gegründete Gesellschaft tritt als Gesamtrechtsnachfolgerin in die Vertragsbeziehungen mit dem betroffenen Kunden ein. Soweit eine Datenverarbeitung durch das Kreditinstitut vor der Fusion zur Vertragsabwicklung mit dem Betroffenen erforderlich war, ist sie es nach dem Zusammenschluss für die neu gegründete Gesellschaft auch, es sei denn, der betroffene Kunde beendet das Vertragsverhältnis durch Kündigung.

Problematisch können Übermittlungen personenbezogener Kundendaten vor der erfolgten Verschmelzung sein. Sie sind nicht zur Vertragsabwicklung mit dem betroffenen Kunden erforderlich, weil die Fusion als solche für den Bestand des Vertragsverhältnisses mit dem Kunden nicht unmittelbar relevant ist. Der Datenübermittlung können überwiegende schutzwürdige Interessen der Betroffenen entgegenstehen. Solche schutzwürdigen Interessen werden zum Beispiel relevant, wenn Datenbestände im Vertrauen auf eine künftige Fusion übermittelt werden und die Fusion gleichwohl scheitert. Unabdingbar ist deshalb eine rechtzeitige Information der betroffenen Kunden, damit sie ihre Interessen wahrnehmen können.

In einem anderen Fall erkundigte sich ein Unternehmen nach den Voraussetzungen eines Transfers von Mitarbeiterdaten im Rahmen eines Betriebsüberganges. Dabei wurde ein Betrieb an ein anderes Unternehmen veräußert. Ein solcher Betriebsübergang ist nicht erforderlich, um den Arbeitsvertrag mit dem Betroffenen zu erfüllen: Zwar tritt der Erwerber eines Betriebs regelmäßig in alle Rechte und Pflichten des alten Arbeitgebers ein. Wenn der Arbeitnehmer jedoch dem Übergang des Arbeitsverhältnisses widerspricht, kann er hierdurch nach geltendem Recht das Vertragsverhältnis mit dem alten Arbeitgeber fortsetzen. Dementsprechend ist der Betriebsübergang nicht zum Erhalt des Arbeitsverhältnisses erforderlich. Daraus folgt, dass auch die Übermittlung von Arbeitnehmerdaten an den Erwerber nicht zur Erfüllung des Vertragsverhältnisses mit dem Betroffenen dient.

Der Arbeitgeber, der den Betrieb veräußert, muss deshalb vor der Übermittlung von Mitarbeiterdaten eine Interessenabwägung zwischen seinen Interessen als Veräußerer und den Interessen der Arbeitnehmer als Betroffenen vornehmen. Die Arbeitnehmer dürften dabei in der Regel mit dem Übergang des Arbeitsverhältnisses einverstanden sein, insbesondere wenn ansonsten betriebsbedingte Beendigungen des Arbeitsverhältnisses drohen. Denkbar ist jedoch auch, dass Betroffene in Einzelfällen ein schutzwürdiges Interesse haben, das gegen die Übermittlung spricht. Beispielsweise kann ein Mitarbeiter die Abfindung dem Arbeitsplatzerhalt vorziehen, weil er sich beruflich umorientieren will. Oder der Mitarbeiter hatte früher mit dem Käufer des Betriebs ein Vertragsverhältnis, das im Konflikt gelöst wurde. In solchen Ausnahmefällen dürfte ein Arbeitnehmer Wert darauf legen, dass seine Daten nicht zum Betriebserwerber gelangen.

Datenschutzkonform ist folgende Vorgehensweise: Im Rahmen der Vertragsverhandlungen und beim Vertragsabschluss dürfen keine personenbezogene Mitarbeiterdaten ohne Zustimmung übermittelt werden. In der Regel genügt aber eine Widerspruchslösung: Erfolgt innerhalb einer angemessenen Frist kein Widerspruch des Arbeitnehmers, darf der Arbeitgeber dessen Daten übermitteln. Der Veräußerer kann dem Erwerber aber anonymisierte oder statistische Daten (Wie viele Mitarbeiter sind derzeit im Betrieb beschäftigt? Wie viele davon sind Teilzeitbeschäftigte? Alter, Eintrittsdatum und das Jahresgehalt der Beschäftigten usw.) mitteilen, die ihm eine Beurteilung ermöglichen, ob sich der Erwerb lohnt.

Was ist zu tun?
Mitarbeiterdaten dürfen bei einer Unternehmensfusion grundsätzlich übermittelt werden, wenn die betroffenen Personen Gelegenheit hatten, dem Datentransfer zu widersprechen.

5.7

SCHUFA

Die Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA) plant Erweiterungen ihres Geschäftsfeldes um die Bereiche Wohnungswirtschaft, Versicherungswirtschaft und Inkassounternehmen. Bereits jetzt verarbeitet sie personenbezogene Informationen über etwa 59 Millionen Bürgerinnen und Bürger, also nahezu die gesamte erwachsene Bevölkerung Deutschlands.

Die Erweiterung des Geschäftsfeldes über die anerkannte Funktion für die kreditgebende Wirtschaft hinaus führt dazu, dass der Datenbestand der SCHUFA durch die Einbeziehung vielgestaltiger sozialer Zusammenhänge immer umfassender wird. Jede weitere Datenquelle lässt das Persönlichkeitsprofil des betroffenen Menschen detaillierter werden. Die gläserne Bürgerin und der gläserne Bürger werden zunehmend Realität - mit schwer kalkulierbaren Risiken für die Betroffenen.

Die Einbeziehung von Informationen aus weiteren Geschäftsfeldern in einen einheitlichen Datenbestand kann bewirken, dass künftig eine Person z. B. nur deswegen eine Wohnung nicht erhält, weil sie - aus welchen Gründen auch immer - eine Handyrechnung nicht bezahlt hat. Gerade die Einbeziehung von Informationen der Inkassounternehmen erhöht die Gefahr, dass alltägliche Streitigkeiten, wie z. B. über eine Handwerkerrechnung, schnell zu einem SCHUFA-Eintrag führen und als Folge etwa ein benötigter Versicherungsschutz nicht zustande kommt. Jeder verlorene Rechtsstreit könnte die Bonität für Kredite, Versicherungen und Mietverträge gefährden.

Die Entscheidung der SCHUFA über die Ausweitung ihrer Geschäftsfelder hat auch Auswirkungen auf Bürger und Unternehmen in Schleswig-Holstein. Deshalb haben wir gemeinsam mit dem Bundesbeauftragten für den Datenschutz und weiteren Landesdatenschutzbehörden auf die Folgen der schleichenden Geschäftserweiterung aufmerksam gemacht. Unternehmen der genannten Branchen aus Schleswig-Holstein, die die SCHUFA-Daten nutzen wollen, müssen damit rechnen, dass wir die Rechtmäßigkeit von SCHUFA-Abfragen überprüfen und bei Rechtswidrigkeit entsprechend sanktionieren.

Was ist zu tun?
Unternehmen der Wohnungswirtschaft und der Versicherungswirtschaft sollten bedenken, dass die Teilnahme am SCHUFA-Verfahren in seiner derzeitigen Ausgestaltung aus unserer Sicht als rechtswidrig anzusehen ist.

5.8

Versicherungen

Versicherungen und Kreditinstitute, die im Rahmen von Allfinanzkonzepten kooperieren, können mit dem Gesetz in Konflikt geraten, wenn sie nicht beachten, dass Gesundheitsdaten nach dem Datenschutzrecht einen besonderen Schutz genießen.

Nicht schlecht staunte der Kunde einer Sparkasse, als er von ihr Formulare zugesandt bekam, aus denen sich konkret ergab, welche seiner Organe noch einer genaueren ärztlichen Untersuchung bedurften, um einen beantragten Kleinkredit zu erhalten. Was war geschehen? Um den beantragten Kredit abzusichern, sollte der Kunde bei einer Versicherungsgesellschaft, die mit der Sparkasse in einem Verbund zusammenarbeitet, eine Lebensversicherung in entsprechender Höhe abschließen. Bevor die Versicherungsgesellschaft den Antrag auf Abschluss einer Lebensversicherung annahm, verlangte sie von dem Kunden eine ärztliche Untersuchung.

So weit, so gut. Doch anstatt die Formulare, mit denen der Kunde zu seinem Hausarzt gehen sollte, direkt an den Kunden zu schicken, leitete die Versicherung die Unterlagen an die kreditgewährende Sparkasse. Immerhin ergaben sich aus den Formularen konkrete Untersuchungserfordernisse, wie z. B. eingehende Untersuchung von Blutdruck und Leber. Die Versicherung konnte ihr Verhalten auf unsere Anfrage nur mit dem Hinweis auf eine langjährige Praxis und mit der Verbundpartnerschaft mit der Sparkassenorganisation begründen. Nach unserer Intervention erklärte die Versicherung, ihr Verfahren zu ändern und derartige Untersuchungsbögen künftig nur noch direkt an die Antragsteller zu übersenden.

Was ist zu tun?
Versicherungen dürfen zur Klärung des Risikos im Vorfeld von Vertragsabschlüssen medizinische Informationen von Betroffenen nicht an Dritte weitergeben.

5.9

Rechtsanwälte und Datenschutz

Rechtsanwälte beraten und vertreten ihre Mandanten in vielfältigen Situationen und Anliegen. Das deshalb erforderliche besondere Vertrauensverhältnis zwischen Mandant und Anwalt soll durch die anwaltliche Schweigepflicht abgesichert werden. Daneben ist das Bundesdatenschutzgesetz zu beachten.

Manche berufsrechtliche Regelungen zum Geheimnisschutz, wie beispielsweise in der Bundesrechtsanwaltsordnung (BRAO), sind sehr allgemein gehalten. Ergänzend ist deshalb bezüglich der Auskunftspflichten gegenüber dem Betroffenen oder in Fragen der Datensicherheit auf das stärker ausdifferenzierte Bundesdatenschutzgesetz zurückzugreifen.

Die Aufsicht über die Einhaltung berufsrechtlicher Regelungen ist den Rechtsanwaltskammern übertragen. Für Fragen des Datenschutzrechts sind hingegen die Datenschutzaufsichtsbehörden für den nichtöffentlichen Bereich zuständig. Soweit hiervon nicht die Prozesstätigkeit betroffen ist, haben wir deshalb auch die Aufgabe, bei Rechtsanwälten Prüfungen durchzuführen. Interessenvertreter der Rechtsanwälte befürchten, dass im Rahmen einer solchen Prüftätigkeit das anwaltliche Berufsgeheimnis unterlaufen werden könnte. Diesen Bedenken trägt das BDSG dadurch Rechnung, dass personenbezogene Daten, die im Rahmen der Prüftätigkeit erlangt wurden, nur zum Zweck der Datenschutzaufsicht verwandt werden dürfen. Besondere Berufsgeheimnisse stehen der Datenschutzaufsicht ausdrücklich nicht entgegen.

Dass datenschutzrechtliche Kontrollen und Nachforschungen aufgrund von Beschwerden notwendig sind, zeigt folgendes Beispiel: Eine Bürgerin musste sich von ihrem Arbeitgeber unangenehme Fragen gefallen lassen, weil ihre Rechtsanwältin ein Telefax an ihren Arbeitsplatz übersandt hatte. Dies geschah ohne Absprache und überdies ohne Kennzeichnung als "vertraulich/persönlich”. Damit gab sie Informationen über die frühere soziale Hilfsbedürftigkeit ihrer Mandantin preis. Erst nach unserer Intervention ließ sich die Rechtsanwältin davon überzeugen, dass eine solche Vorgehensweise nicht rechtmäßig ist, und sicherte für die Zukunft eine datenschutzkonforme Kommunikation mit Dritten zu.

Was ist zu tun?
Das Datenschutzrecht ist grundsätzlich auch von Rechtsanwälten zu beachten. Sie unterliegen diesbezüglich auch unserer Kontrolle.

5.10

Videoüberwachung wuchert wie ein Geschwür

Über 400.000 Videokameras überwachen in der Bundesrepublik Deutschland öffentliche Plätze, Bahnhöfe und Geschäftsräume. Die nackte Zahl gibt nur eine vage Vorstellung davon, in welchem Ausmaß die Bürger inzwischen bereits der Dauerüberwachung ausgesetzt sind. Auch in schleswig-holsteinischen Städten wird es immer schwieriger, sich einen Tag lang frei und unbeobachtet bewegen zu können.

Während die Überwachung von sicherheitsrelevanten Räumen (z. B. Kreditinstituten) nachvollziehbar ist, werden immer mehr Kameras zur Abwehr von Bagatellschäden oder lediglich zur Steigerung des subjektiven Sicherheitsgefühls installiert. Solche Gründe reichen in der Regel nicht, um den Eingriff in die Privatsphäre der Betroffenen zu rechtfertigen (vgl. Tz. 4.8.3). Dass sich Videoüberwachung auszahlt, ist keineswegs belegt, selbst wenn beträchtliche Sachschäden abgewehrt werden sollen. Auf unsere Nachfrage, wie viele nachweisbare Schäden die Veranlassung für die Installation von Kameras gegeben hätten, blieben uns zahlreiche Betreiber eine Antwort schuldig. In vielen Fällen decken die durch die Überwachung zu vermeidenden Kosten nicht einmal die Kosten der Anschaffung der Anlage. Videoüberwachung ist leider "in”, die Achtung der Privatsphäre anderer zählt offenbar wenig.

Besonders häufig wandten sich Bürger an uns, weil bei ihnen die kameragesteuerte Überwachung bereits im Treppenhaus ihres Wohngebäudes begann. In den meisten Fällen konnten wir die Betreiber der Kameras von der Rechtswidrigkeit ihres Handelns überzeugen, sodass die Überwachung eingestellt wurde. Nur in wenigen Fällen erwies sich die eingerichtete Videoüberwachung als gerechtfertigt.

Was ist zu tun?
Bevor Unternehmen Videoüberwachungsanlagen errichten, haben sie die gesetzlichen Voraussetzungen sorgfältig zu prüfen: Nicht jedes beliebige Interesse rechtfertigt den erheblichen Eingriff in die Privatsphäre, der durch Videoüberwachung entsteht.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel