Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

5         Datenschutz in der Wirtschaft

5.1         Arbeitsgruppe Versicherungswirtschaft

Das ULD hat im Jahr 2006 den Vorsitz der Arbeitsgruppe Versicherungswirtschaft des Düsseldorfer Kreises übernommen und führt seitdem die Verhandlungen zwischen Datenschutzbehörden und Versicherungswirtschaft.

Seit mehreren Jahren bestand Uneinigkeit zwischen der Versicherungswirtschaft, vertreten durch den Gesamtverband der deutschen Versicherungswirtschaft (GDV) und den Datenschutzaufsichtsbehörden zum Einsatz einer neuen in der Versicherungswirtschaft fast einheitlich verwendeten Einwilligungserklärung zur Verarbeitung personenbezogener Daten. Dabei handelt es sich um eine kombinierte Klausel, die auch eine Entbindung von der Schweigepflicht enthält, so dass die Versicherungen zur Antrags- oder Leistungsprüfung bei den behandelnden Ärzten nachfragen können. Zudem soll sie die eingesetzen Verfahren der Datenverarbeitung durch die Zustimmung des Versicherungsnehmers legtimieren. Größter Kritikpunkt der Datenschützer war bisher, dass die Information der Versicherungsnehmer über die teilweise sehr komplexen Verfahren unzureichend und die Einwilligungserklärung letztlich nicht freiwillig erteilt werden kann, da ohne Einwilligung in der Regel auch kein Vertragsschluss zustande kommt.

Schützenhilfe erhielten die Datenschützer Ende 2006 vom Bundesverfassungsgericht. Das Gericht bekräftigte, dass immer dann, wenn ein Vertragspartner den Vertragsinhalt auf Grund seines Gewichtes faktisch selbst bestimmen kann, dem Recht die Aufgabe zukommt zu verhindern, dass sich für den anderen Vertragsteil die informationelle Selbstbestimmung zur Fremdbestimmung verkehrt. Dies ergibt sich insbesondere, wenn die angebotene Leistung des einen Vertragsteiles für den anderen so elementar ist, dass die denkbare Alternative, nämlich von einem Vertragsschluss abzusehen, weil der Versicherer eine zu weitgehende Preisgabe von persönlichen Informationen einfordert, unzumutbar ist. Eine solche Sachlage sah das Bundesverfassungsgericht für den Bereich der Versicherungen gegeben, wo Vertragsbedingungen zumeist in der Praxis nicht verhandelbar sind. Es hat festgestellt, dass die Einholung einer pauschen Entbindung von der Schweigepflicht unzulässig ist, wenn dem Versicherungsnehmer nicht die Möglichkeit gegeben wird, in jedem Einzelfall über die Entbindung zu entscheiden.

Im Nachgang zu dieser Entscheidung ist die Versicherungswirtschaft mit der AG Versicherungswirtschaft in einen neuen Dialog eingetreten. Ziel der Verhandlungen, die vom ULD geführt werden, ist es, den Einsatz einer Einwilligungserklärung auf solche Bereiche zu beschränken, in denen die Betroffenen tatsächlich unabhängig von einem Vertragsschluss oder der Leistungsgewährung frei entscheiden können (z. B. im Falle der Nutzung und Übermittlung zu Werbezwecken) und alle andere Verarbeitungsverfahren auf die nach gesetzlichen Rechtsvorschriften erlaubten Verarbeitungen zu beschränken.

Ein erster Schritt in diese Richtung wurde bereits für den Einsatz eines Hinweis- und Informationssystems (HIS) in der Versicherungswirtschaft gemacht. Das System dient der Risikoprüfung und der Aufdeckung bzw. Prävention von Versicherungsbetrug und wird bereits seit Jahren über eine Software mit dem Namen „Uniwagnis“ innerhalb der dem GDV angeschlossenen Versicherungsunternehmen betrieben. Lange Zeit herrschte Unklarheit darüber, wie dieses System tatsächlich funktioniert, welche Daten verarbeitet werden, wie die Versicherungsunternehmen den Datenaustausch betreiben usw. Die AG Versicherungswirtschaft hat nunmehr unter Federführung des ULD und in Zusammenarbeit mit dem GDV eine Sachverhaltsdarstellung veröffentlicht, die das herkömmliche System transparent beschreibt.

www.datenschutzzentrum.de/wirtschaft/20070703-his.htm

Es gilt nun, das System datenschutzkonform umzugestalten. Im Wesentlichen geht es dabei darum, das grundsätzlich anzuerkennende Interesse der Versicherungswirtschaft an Betrugsprävention mit den schutzwürdigen Belangen der betroffenen Versicherungsnehmer, insbesondere auch mit deren Transparenzbedürfnissen, in Einklang zu bringen. Aus Datenschutzgründen dürfen nur solche Daten in das System eingemeldet werden, denen eine tatsächliche Aussagekraft für die Frage eines Versicherungsmissbrauches zukommt. Die Berechtigung eines Abrufs dieser Daten durch ein anderes Versicherungsunternehmen muss auf bestimmte Fälle beschränkt und kontrollierbar sein, und die Betroffenen müssen über eine Einmeldung informiert beziehungsweise in die Lage versetzt werden, Auskünfte über die eingemeldeten Daten zu erhalten. Die Versicherungsunternehmen sind insbesondere verpflichtet, Dritte, z. B. Zeugen eines Unfalles, die eingemeldet werden, nachträglich zu benachrichtigen.

 

5.2         BDSG-Änderungsentwurf: Gut gemeint genügt nicht!

Das Bundesinnenministerium will das Bundesdatenschutzgesetz (BDSG) für die Bereiche Auskunfteien und Scoringverfahren ändern. Sein Entwurf enthält positive Ansätze für mehr Transparenz beim Einsatz von Scoringverfahren Auf der anderen Seite würde er Abfragemöglichkeiten bei Auskunfteien eröffnen, die angesichts der schutzwürdigen Interessen der Betroffenen nicht angemessen wären.

Der Entwurf setzt sich zum Ziel, angesichts einer anonymer werdenden Geschäftswelt der steigenden Bedeutung von Auskunfteien Rechnung zu tragen durch verbesserte Transparenz der Verfahren bei Auskunfteien und mehr Rechts- und Planungssicherheit für die Unternehmen. Was dabei herausgekommen ist, geht aber leider teilweise erheblich zu Lasten der Verbraucherinnen und Verbraucher. Mit Transparenz allein können diese nicht hinreichend vor den Gefahren immer umfangreicherer branchenübergreifender Datensammlungen bei den Auskunfteien bewahrt werden.

Angesichts der hohen Komplexität von Scoringverfahren (29. TB, Tz. 5.8) kann sich Verfahrenstransparenz als stumpfes Schwert erweisen. Die Kenntnis darüber, welche Kriterien bei so einem Verfahren eine Rolle spielen, ist begrüßenswert, bringt dem Betroffenen in der Praxis allerdings dann nichts, wenn die Bank und insbesondere der Kreditsachbearbeiter die Bewertungsmaßstäbe des Systems im konkreten Fall nicht kennt. Im Zweifel wird einem nach angeblich objektiven Maßstäben berechneten Scorewert vertraut und werden etwaige Gegendarstellungen des Betroffenen ignoriert.

Der Entwurf würde die Auskunfteiabfrage erheblich erleichtern. Bisher berechtigt nach Überzeugung der Aufsichtsbehörden allein ein kreditorisches Risiko, das heißt ein durch Vorleistung des Unternehmens bewirktes finanzielles Ausfallrisiko, zur Erhebung von Zahlungsinformationen über den Betroffenen bei einer Auskunftei. Der Gsetzesvorschlag lässt darüber hinausgehend jedes allgemeine Vertragsrisiko für eine Abfrage ausreichen. Überspitzt formuliert: Mit dieser Öffnung könnten Brötchenverkäufer branchenübergreifend Zahlungserfahrungsdaten über mich erfragen. Realitisch und existenziell für den Einzelnen ist der Fall, dass die Anmietung einer Wohnung verweigert wird, weil der Betroffene seine Handyrechnung – vielleicht aus guten Gründen – nicht bezahlt hat.

Verschwänden die Begrenzungen der Abfrageberechtigung, so könnte der Betroffene sich nicht mehr davor schützen, dass seine Daten an verschiedene Stellen in unterschiedlichen Geschäftskreisen gestreut werden. Das allgemeine unternehmerische Risiko, das bereits bei der Kosten- und Preisgestaltung Berücksichtigung findet, würde abgewälzt zu Lasten der informationellen Selbstbestimmung. Da die Systeme der Auskunfteien zum Teil (z. B. bei der Schufa) auf dem Gedanken der Gegenseitigkeit beruhen, werden die angeschlossenen abfragenden Vertragspartner auch angehalten, selbst Daten einzumelden. Dadurch fließen Daten aus den unterschiedlichsten Bereichen zu den Auskunfteien. Deren Wissensmacht wird immer weiter erhöht und lädt zu umfassenden Profilbildungen geradezu ein. Ein negativer Wert oder ein negatives Merkmal im Bestand kann dazu führen, dass dem Einzelnen der Zugang zu einer Vielzahl von Wirtschaftsbereichen verwehrt bleibt.

Das vorrangige Problem sind nicht die Gesetze, sondern deren mangelnde Umsetzung. Die bestehenden Regelungen wären auf die Wirklichkeit anwendbar. Das Bundesinnenministerium geht unzutreffend davon aus, dass unterschiedliche Gesetzesauslegungen der Aufsichtsbehörden das Problem wären. Vielmehr fehlt es den Unternehmen häufig an Kenntnis der Regeln und an der Bereitschaft, Datenschutz als gesetzliche Verpflichtung zu beachten. Die Aufsichtsbehörden können mangels personeller Ausstattung nicht den notwendigen Kontrolldruck aufbauen. Das Schutzniveau für den Einzelnen darf angesichts der in der Praxis ständig erfolgenden Unterlaufungen nicht auch noch auf gesetzlicher Ebene angegriffen werden. Eine Anpassung an die Praxis käme einer Kapitulation eines Grundrechtes gleich.

 

5.3         Heuschrecken – Erschrecken nach Darlehensverkauf

Eine Horrorvorstellung für jeden Sparkassen-Kunden mit einem Darlehensvertrag: Ihm wird mitgeteilt, dass sein Kredit an eine ausländische Firma verkauft ist, die Sparkasse habe damit nichts mehr zu tun. Auch die gesamten persönlichen Unterlagen wären dort.

Was hat ein Darlehensverlauf mit dem Datenschutz zu tun? Mit dieser irritierenden Nachfrage wurden wir immer wieder konfrontiert, als wir Beschwerden von Sparkassenkunden nachgingen, deren Kredit an ein Unternehmen verkauft wurde, das nun versuchte, die mit übertragenen Sicherheiten zu versilbern. Mit der Übertragung von Darlehensforderungen werden teilweise hochsensible persönliche Unterlagen an Dritte weitergegeben: Vermögensaufstellung, Einkommensnachweise, Erlös- und Gewinnrechung, Wertgutachten, Betriebs- und Geschäftsgeheimnisse, wirtschaftliche Korrespondenz, teilweise sehr private Hintergrundinformationen. Besonders heikel ist, wenn diese Unterlagen bei völlig unbekannten Stellen im Ausland landen, wo es keinen oder nur rudimentären Datenschutz gibt.

Darlehensverkäufe von zwei Sparkassen haben nicht nur das ULD intensiv beschäftigt, sondern auch den Landtag und die Staatsanwaltschaft. Während Strafverfolger und Parlament vor allem der Frage nachgingen, inwieweit Mitarbeiter einer Sparkasse dem besonders strafbewehrten Amtsgeheimnis unterliegen, stand bei uns das Übermittlungsverbot im Vordergrund, wenn der Datenweitergabe schutzwürdige Betroffeneninteressen entgegenstehen. Der Bundesgerichtshof vertrat in einer Entscheidung im Februar 2007 noch die Ansicht, Verstöße gegen den Datenschutz durch Entsorgung der Darlehen und Darlehensunterlagen an Dritte hätten keine zivilrechtlichen Auswirkungen. Das Bundesverfassungsgericht stellte dagegen aber wenig später klar, dass der Datenschutz seinen Schutzgehalt auch im Privatrecht entfaltet, was zur Folge hat, dass bei einer Forderungsabtretung die Interessen des Gläubigers an der Verkehrsfähigkeit von Forderungen in jedem Einzelfall mit Geheimhaltungsinteressen des Schuldners abgewogen werden müssen. Handelt es sich um einen sog. Not leidenden Kredit, so ist das schutzwürdige Interesse geringer zu bewerten, als wenn Zins und Tilgung bisher korrekt bedient wurden.

Besonders schutzwürdig sind die Interessen des Schuldners, wenn dieser nicht mehr weiß, wer die Verfügung über seine Unterlagen hat und wenn er hierzu seine Datenschutzrechte nicht mehr geltend machen kann. Dies kann bis zu einem Totalverlust des Datenschutzes führen, wenn in dem Land, wo der neue Gläubiger seinen Sitz hat, keine Datenschutzkontrolle besteht und Betroffenenrechte nicht durchsetzbar sind. Besteht dagegen hinreichend Transparenz für den Kreditnehmer und gelten bei dem neuen Gläubiger adäquate Datenschutzregelungen, so kann der Datenschutz einem Kreditverkauf nicht entgegengehalten werden. Dass dies der Fall war, stellten wir bei einigen Eingaben fest. In anderen Fällen wollten wir das Ermittlungsergebnis der eingeschalteten Staatsanwaltschaft abwarten. In einem Fall mussten wir dagegen einen Datenschutzverstoß beanstanden.

Der Schuldner hatte den Kredit immer korrekt bedient. Dennoch kündigte die Sparkasse den Darlehensvertrag mit der Begründung, sie sei über Sicherheiten falsch informiert worden. Obwohl insofern noch keine rechtliche Klärung herbeigeführt war, veräußerte die Sparkasse den Kredit in einem größeren Paket an eine irische Tochter des US-amerikanischen Lone Star Fonds und teilte mit, man habe mit der Sache nichts mehr zu tun. Zwar hatte der handelnde Treuhänder seinen Sitz in Deutschland und der Empfänger seinen Sitz in Irland, also in einem Land der Europäischen Union und damit im Geltungsbereich der europäischen Datenschutzrichtlinie. Dennoch standen hier der Übertragung Datenschutzgründe entgegen, weil keinerlei Garantien für den Schutz der Betroffenen bestanden.

 

5.4         Versandhandelskunden bei der Auskunftei

Die Datenschutzaufsichtsbehörde eines anderen Landes fand heraus, dass ein Versandhändler Angaben über vertragsgemäßes Zahlungsverhalten sowie Scorewerte seiner Kundinnen und Kunden ohne Einwilligung oder auch nur Information an eine Auskunftei weitergab. Eine Prüfung in Schleswig-Holstein brachte keine entsprechenden Verstöße zutage.

Es ist unbestritten, dass Versandhändler bei kreditorischen Risiken berechtigt sein können, ohne ausdrückliche Zustimmung der Kunden nach negativen Zahlungserfahrungen zu fragen. Voraussetzung ist, dass die potenziellen Kunden über die Abfrage vorab hinreichend konkret informiert werden und sich so rechtzeitig gegen einen Vertragsschluss entscheiden können. Demgegenüber ist die Einmeldung von Informationen bei einer Auskunftei über das Bestehen oder Nichtbestehen eines Vertragsverhältnisses beziehungsweise über vertragsgemäßes Kundenverhalten immer von einer wirksamen Einwilligung der betroffenen Kunden abhängig. Ohne Einwilligung ist die Weitergabe solcher Informationen durch den Versandhändler schlichtweg unzulässig.

Durchweg alle in Schleswig-Holstein vom ULD befragten Versandhändler gaben an, lediglich Identifizierungsdaten zum Zwecke einer Bonitätsabfrage und damit keine Daten über vertragsgemäßes Zahlungsverhalten an Auskunfteien weiterzugeben. Die befragten Firmen hatten alle entsprechende Hinweise in ihre Allgemeinen Geschäftsbedingungen aufgenommen, wobei bei der Gestaltung der Datenschutzhinweise hier und da Nachbesserungsbedarf bestand. Sollte einem Kunden nicht gefallen, was er liest beziehungsweise wird ihm die Information über den Umgang mit seinen Daten komplett vorenthalten, so sollte er sich an uns wenden. Wer verunsichert ist, was ein Unternehmen über ihn gespeichert beziehungsweise an andere weitergibt, darf und sollte beim Unternehmen nachfragen. Jede Person hat ein Recht darauf, zu erfahren, welche Daten über sie gespeichert sind, woher diese stammen und an wen diese Daten übermittelt wurden.

 

5.5         Datenschutz im Autohaus?

Das ULD untersuchte die Datenflüsse in einem Autohaus und fand dabei weitreichende problematische Datenübermittlungen zum Hersteller und wenig Transparenz für die Kundinnen und Kunden.

Die IT-Struktur eines Autohauses ist regelmäßig von den Applikationen und dem Systemaufbau von dem Kfz-Hersteller geprägt, zu dem eine vertragliche Bindung besteht. Selbst wenn ein Autohaus eigene IT-Anwendungen nutzt, verpflichtet es sich in der Regel zur Bereitstellung von Datenschnittstellen zwischen dem eigenen System und dem des Herstellers. Hierüber wird dem Hersteller ein weitgehender Zugriff auf die Systeme der Vertragshändler und somit auf die Kundendaten eröffnet.

Das Bundesdatenschutzgesetz (BDSG) privilegiert Datenflüsse innerhalb eines Konzerns beziehungsweise Unternehmensverbundes nicht. Für Datenübermittlungen zwischen den Vertragshändlern und dem Herstellerkonzern muss ebenso wie für Datenübermittlungen an andere dritte Stellen eine Rechtsgrundlage vorhanden sein. Eine Übermittlung von Kundendaten bei einer Neuwagenbestellung kann gerechtfertigt sein, wenn der Hersteller diese z. B. für Rückrufaktionen oder für eine zentralisierte Meldung beim Kraftfahrt-Bundesamt benötigt. Auch für die Gewährleistungsabwicklung kann eine Weitergabe erforderlich sein, wenn der Vertragshändler sich beim Hersteller für die Regulierung der einzelnen Gewährleistungsfälle schadlos halten möchte und die Abwicklung gegenüber dem Hersteller im Einzelfall beweisen muss. In der Regel, z.  B. für die Durchführung des Kundendienstes, ist aber eine personenbezogene Datenübermittlung an den Hersteller nicht erforderlich. Der Vertragshändler für den Kunden tätig, ohne dass es z.  B. einer personenbezogenen Bestellung von Ersatzteilen beim Hersteller bedarf. Anderweitigen Nutzungen der Kundendaten beim Hersteller – z. B. für Werbezwecke oder für vom Hersteller durchgeführte telefonische Kundenzufriedenheitsanalysen – setzen zumeist die schriftliche Einwilligung der Kunden voraus. Insbesondere der Aufbau einer konzernweiten Kundenbindungsdatenbank, die sich aus den Datenübermittlungen der einzelnen Vertragshändler speist, ist ohne freiwillige und widerrufliche Einwilligungserklärungen unzulässig.

Die Datenverarbeitung in den Autohäusern selbst ist auch oft nachbesserungsbedürftig. Die für den Verkauf von Fahrzeugen genutzten Datenverarbeitungssysteme sehen zum Teil Datenfelder vor, die nur mit Einwilligung der Kunden ausgefüllt werden dürfen. Wenn der Kunde im Beratungs- und Kaufgespräch private Informationen zu Hobbys, Familie oder Lebensumständen mitteilt, so muss er nicht damit rechnen, dass diese aufgenommen, elektronisch gespeichert und zu weiteren Kundenaquise beziehungsweise Kundenbindung genutzt werden. Für die Erhebung und Speicherung von Daten, die mit der eigentlichen Verkaufsabwicklung in keinem Zusammenhang stehen, ist daher die ausdrückliche Zustimmung erforderlich.

 

5.6         Einzelfälle Verbraucherdatenschutz

5.6.1      Wer hört mit – Aufzeichnungen von Telefongesprächen im Bankgeschäft

Wer unbefugt das vertraulich gesprochene Wort eines anderen aufnimmt macht sich strafbar. Wollen Unternehmen ihre Telefongespräche mit den Kunden aufzeichnen, so benötigen sie die Einwilligung der Betroffenen. Entsprechendes gilt für die angestellten Mitarbeiter.

Verträge werden zunehmend im Fernabsatz über Telefon geschlossen. Die Unternehmen sind bei solchen Verträgen dafür beweispflichtig, dass sie den Kundinnen und Kunden gegenüber bestimmte Informationspflichten erfüllt haben und wollen daher dies nachvollziehbar dokumentieren. In einzelnen Bereichen, z. B. im Wertpapierhandel, treffen die Unternehmen gesetzliche Verpflichtungen zur Dokumentation von telefonischen Aufträgen und Anweisungen der Kunden. Daher greifen Unternehmen oft zum Mittel des vollständigen Mitschneidens der Telefonate, um sie zu Beweiszwecken einsetzen zu können. Die gesetzlichen Vorgaben erlauben allerdings keine Tonbandaufnahmen. Vielmehr handelt es sich hier um Nachweise, die auch auf anderem Wege ohne Belastung der Persönlichkeitsrechte von Kunden und Mitarbeitern erbracht werden können. Sollen Telefonate legal aufgezeichnet werden, so geht kein Weg an der wirksamen Einwilligung der Betroffenen vorbei.

Bei zwei Finanzdienstleistern aus Schleswig-Holstein stellen wir Mängel fest. Im ersten Fall wurde den Kunden zu Beginn des Gesprächs mitgeteilt, dass eine Aufzeichnung durchgeführt wird. Allerdings bestand dann keine Möglichkeit für die Kunden, die Aufzeichnung abzulehnen oder ihr zuzustimmen. Im zweiten Fall wurde den Kunden eine Einwilligungserklärung bei Vertragsschluss vorgelegt. Die Zustimmung zur Aufzeichnung der Telefonate wurde jedoch zur Voraussetzung für den Vertragsabschluss gemacht, so dass die Betroffenen sich nicht frei entscheiden konnten, eine Aufzeichnung per Telefon zuzulassen oder nicht.

Für die Bediensteten kommt allerdings eine Einwilligung regelmäßig nicht in Betracht, da sie sich im Rahmen eines Arbeitsverhältnisses nicht wirklich frei für oder gegen Tonaufzeichnungen entscheiden können. Sie haben zu befürchten, dass sich eine ablehnende Entscheidung negativ auf das Arbeitsverhältnis auswirken kann bzw. sanktioniert wird. Auf Grund des existenziellen Charakters des Arbeitsverhältnisses kann man daher in der Regel nicht davon ausgehen, dass der Mitarbeiter sich ohne Zwang für die eine oder die andere Variante entscheidet. Es empfiehlt es sich daher, die Durchführungen von Tonaufzeichnungen und deren Ausgestaltung in einer Betriebsvereinbarung zwischen dem Betriebsrat und dem Arbeitgeber festzuhalten. Der Betriebsrat vertritt die Rechte des Arbeitnehmers gegenüber dem Arbeitgeber, ist in dieser Stellung unabhängig und daher in der Verhandlungsposition mit dem Arbeitgeber ebenbürtig. Eine Betriebsvereinbarung kann, soweit sie die Wahrung der schutzwürdigen Interessen der Mitarbeiter ausreichend berücksichtigt, die Aufnahme von Telefonaten datenschutzrechtlich legitimieren.

 

5.6.2      Keine „SCHUFA-Klauseln“ für alle Fälle

Ein Kunde beschwert sich: Warum muss er bei der Beantragung eines Girokontos auch eine „SCHUFA- Klausel“ für die Beantragung einer Kreditkarte unterzeichnen, obwohl er diese gar nicht haben möchte?!

Die „SCHUFA-Klausel“ ist eine Einwilligungserklärung, die nur für die Einmeldung von sogenannten „Positivdaten“ gilt. Das sind Informationen über die Beantragung, die Aufnahme und die Beendigung von Vertragsverhältnissen, die als neutrale Daten letztlich keine Aussagekraft für die Frage der Zahlungswilligkeit und Zahlungsfähigkeit, d. h. der Kreditwürdigkeit des Betroffenen haben. Ohne Einwilligung besteht für die Übermittlung solcher Informationen keine Rechtfertigung. Der Einsatz der „SCHUFA-Klausel“ wird seit jeher von Datenschützern kritisch betrachtet, da eine Einwilligungserklärung grundsätzlich freiwillig sein muss. Die Unterschrift unter die SCHUFA-Klausel ist aber in der Regel Bedingung für den Vertragsabschluss. Bei einem Antrag auf ein Girokonto müssen die Kunden deswegen fast immer die Einwilligung erteilen, dass Informationen über die Beantragung, Aufnahme und Beendigung des Girokontovertrages an die SCHUFA übermittelt werden dürfen. Das Problem ist nach derzeitiger Rechtslage nicht ohne Einwilligungserklärung zu lösen: Einerseits besteht ein anerkennenswertes Interesse der Kreditwirtschaft, Informationen über die Anzahl von Girokonto-, Kreditverträgen et cetera zu erhalten, um einschätzen zu können, ob der Betroffene angesichts anderer Verpflichtungen in der Lage sein wird, z. B. einen neuen Kredit ordnungsgemäß zu bedienen. Andererseits gibt es keine Rechtsvorschrift, die eine Übermittlung legitimieren könnte. Der Betroffene hat auch im Hinblick auf den Schutz des Bankgeheimnisses einen Anspruch darauf,

dass Bankdaten nicht ohne seine Zustimmung weitergegeben werden. Insofern bleibt es derzeit bei einer Einwilligungserklärung, die faktisch nicht freiwillig ist.

Unzulässig ist es allerdings, die Einwilligungserklärung nicht nur an den Vertrag mit dem vom Kunden gewünschten Produkt zu koppeln, sondern zusätzlich eine Einwilligungserklärung in Bezug auf ein Produkt zu verlangen, dass der Kunde gar nicht haben möchte. Im konkreten Fall war dem Kunden von einer Bank aus Schleswig-Holstein mitgeteilt worden, dass der Girokontoantrag nur bearbeitet würde, wenn der Kunde nicht nur die Schufa-Einwilligung zum Girokontoantrag unterzeichnet, sondern zusätzlich einwilligt, dass auch Daten über eine etwaige Beantragung, Aufnahme und Beendigung eines Kreditkartenvertrages an die Schufa weitergegeben werden dürfen. Der Kunde hatte aber gar keine Kreditkarte für das Konto beantragt. Das ULD forderte die Bank auf, die SCHUFA-Klausel zur Datenübermittlung von Informationen über einen Kreditkartenvertrag nicht mit dem Girokontoantrag zu verknüpfen. Die Bank hat ihr Vorgehen entsprechend geändert.

Werden Einwilligungen zur Datenübermittlung an die SCHUFA auf Vorrat eingeholt, so verlieren die ohnehin faktisch nicht freiwilligen Einwilligungen auch ihre Warnfunktion. Ein Ziel der Einwilligung ist es, dem Kunden bewusst zu machen, welche Daten an wen übermittelt werden sollen, so dass er sich im sachlichen und zeitlichen Kontext mit der Übermittlung auseinandersetzen kann. Eine Einwilligungserklärung aus Vorzeiten und ohne Bezug zum beantragten Produkt hat der Kunde im Zweifel vergessen und entfaltet keine Warnfunktion. Ein spätere Üermittlung erfolgt dann, ohne für den Betroffenen transparent zu sein.

 

5.6.3      Datenschutz im Tank!

Die Nutzung fremder Kundendaten zur Akquise neuer Abnehmer unter Verwendung der Telefonnummer (Cold-Calling) ist wettbewerbs- und datenschutzwidrig.

Der langjährige Kunde eines Heizöllieferanten erhielt, so sein erster Eindruck, einen Telefonanruf seines Unternehmens. Ihm wurde eine Reinigung seines Tankes offeriert. Er ging darauf ein und erbat sich eine schriftliche Bestätigung. Diese wurde ihm am selben Tag per Fax zugesandt. Aus dem Fax ergab sich, dass das Angebot nicht vom Heizöllieferanten stammte, sondern von einem anderen Unternehmen. Dieses hatte auf die Daten des Heizöllieferanten zugegriffen und zur Telefonwerbung genutzt. Eine Einwilligung des Kunden in die Weitergabe und Nutzung seiner Daten zur Telefonwerbung lag nicht vor. Daraufhin machte der Kunde gegenüber den betreffenden Unternehmen seine Rechte auf Auskunft und Sperrung geltend. Die Auskunft wurde vom Tankreinigungsunternehmen nur unvollständig beantwortet. Diese und weitere Hinweise auf ein mangelhaftes Datenschutzmanagement veranlassten uns zu einer intensiveren Prüfung.

Tatsächlich griffen die Mitarbeiter des Tankreinigungsunternehmens nicht nur auf die Kundendaten des Heizöllieferanten, inclusive technische Angaben, wie zum Beispiel Tankgröße, zu. Eine solche „Kooperation“ erfolgte mit verschiedenen weiteren Firmen, deren Kunden ebenso per Telefon beworben wurden. Einwilligungen der Kunden konnten nicht vorgelegt werden. Wir mussen diese illegale Praxis beanstanden.

 

5.6.4      Kreative Kundenbindung: Bonuspunkte nur gegen Grundbuchauszug

Ein Kunde eines Baubedarfgeschäftes beschwerte sich, dass er für den Erhalt einer Bonuskarte mit der Bereitstellung eines Auszugs aus dem Grundbuch beweisen musste, dass er Hauseigentümter ist.

Zwecks Abschluss eines Vertrages über eine Bonuskarte verlangte ein Geschäft für Baubedarf vom Kunden den Beweis, dass er Hauseigentümter ist – über einen Auszug aus dem Grundbuch. Die Bonuskarte ist ein spezielles Produkt des Bauhandels für Kunden mit einem besonders hohen Einkaufsvolumen, also für gewerbliche Kunden oder Hauseigentümer. Zur Überprüfung dieser Voraussetzungen verlangte das Geschäft in dem Bonuskartenvertrag unter Benennung der berechtigten Kundengruppen bestimmte Nachweise.

Die Bonuskarte ist eine freiwillige zusätzliche Leistung des Baumarktes. Die Vertragsfreiheit erlaubt den Unternehmen grundsätzlich selber zu entscheiden, mit welchen Kunden derartige Bonusverträge abgeschlossen werden sollen. Auch die Forderung eines Nachweises der Zugehörigkeit zu einem privilegierten Kundenkreis ist grundsätzlich zulässig. Es ist aber nicht erforderlich und unzulässig, dass Einblick in sensible Unterlagen gefordert, Kopien angefertigt und beim Unternehmen in der jeweiligen Kundenakte aufbewahrt werden. Der Grundbuchauszug enthält Angaben zu Nutzungs- und Wohnrechten, die für den Nachweis der Hauseigentümerschaft uninteressant sind und deshalb hätten geschwärzt werden können. Als Rechtfertigung für das Aufbewahren von Kopien kann nicht die Notwendigkeit der Mitarbeiterkontrolle durch den Arbeitgeber herangezogen werden.

 

5.6.5      Nepper, Schlepper, Bauernfänger – SMS umsonst?

Im Internet finden sich viele dubiose Angebote für scheinbar kostenlose Dienstleistungen die sich am Ende als Abonnementfalle entpuppen. Ziele der Begierde der Anbieter sind neben dem Geldbeutel der Betroffenen deren Daten.

Die Eingaben im ULD zu SMS-Versanddiensten im Internet nehmen zu. Die Petenten nutzten diese Angebote in dem Glauben, sie seien kostenlos. Durch Verwendung von Begriffen wie „free“ in der Internetadresse und die grafischen und textlichen Seitengestaltung der Seiten wurde dies gezielt suggeriert. Bei genauerem Hinsehen entpuppten sich die Angebote jedoch als Abonnementverträge für den Versand von SMS über eine Laufzeit von zwei Jahren und zu einem jährlichen Preis von zirka 100 Euro. Betroffene die nach Aufforderung nicht zahlten, wurden durch zahlreiche E-Mails und die Einschaltung von Inkassounternehmen massiv bedrängt, die Forderungen zu begleichen.

Um den Versanddienst nutzen zu können, mussten die Betroffenen umfangreiche Angaben zu ihrer Person machen. Neben Name und Adresse wurden E-Mail-Adresse, Mobilfunknummer und Geburtsdatum abverlangt. Zusätzlich wurde auch die IP-Adressen der Nutzer gespeichert. Die Betreiber der Angebote protokollierten die Telefonnummern der Empfänger der SMS. Im Fall der Zahlungsverweigerung wurden diese Verbindungsdaten zusammen mit anderen Daten an Inkassounternehmen zwecks Beitreibung der Forderungen übermittelt. Wir beanstandeten in einem ersten Verfahrensschritt die umfangreiche Erhebung und Speicherung der Daten. Insbesondere die Speicherung der IP-Adressen war unzulässig und wurde von uns beanstandet.

Zudem beanstandeten wir die Missachtung des Auskunftsrechts der Betroffenen durch die Betreiber. Datenschutzrechtliche Anfragen der Betroffenen wurden entweder gar nicht oder nur unzureichend beantwortet. Die Geltendmachung des Auskunftsrechts wurde zusätzlich dadurch erschwert, dass die Versanddienstbetreiber als Firmensitz eine Adresse in Großbritannien nannten. Nach unseren Erkenntnissen sitzen die Betreiber aber tatsächlich unter anderem in Schleswig-Holstein. Die Verschleierung der Identität der Betreiber stellte einen Verstoß gegen das Transparenzprinzip dar und war ein weiterer Datenschutzverstoß.

 

5.6.6      Datenschutz? Kein Anschluss unter dieser Nummer!

Ein Telekommunikationsunternehmen erweis sich als das Schlusslicht in Sachen. Die vielen Beschwerden zu fingierten Vertragsabschlüssen und nichtbeantworteten Datenschutzanfragen weisen auf systembedingte mängel hin.

Die Betroffenen erhielten Bestätigungsschreiben zu Verträgen bzw. Bestellungen, die sie niemals abgeschlossen bzw. vorgenommen hatten. Zum Teil waren die Petenten zuvor telefonisch kontaktiert worden. Allesamt versicherten sie glaubhaft, dass sie am Telefon keine Verträge abgeschlossen hätten. Trotzdem tauchten dann Bestätigungsschreiben auf, die auch die Kontoverbindungsdaten der Betroffenen enthielten, ohne dass diese preisgegeben worden waren. In einem Fall erhielt ein Betroffener dreimal hintereinander eine Bestätigung zu einer Bestellung, die er nicht vorgenommen hatte. Machten die Petenten dann ihre Datenschutzrechte geltend und fragten an, welche Daten gespeichert sind und woher diese stammen, erhielten sie keine Antwort. Das Unternehmen erklärte auf Anfrage durch das ULD, dass es sich hier um einzelne Fälle von Datenmissbrauch durch Vertriebspartner handele. Ein paar schwarze Schafe unter den Franchisenehmern, die einen Shop zu diesem Telekommunikationsunternehmen betrieben, würden Vertragsverhältnisse fingieren. Die Masse der Beschwerden macht allerdings deutlich, dass das Problem mit dem Verweis auf den jeweiligen Einzelfällen nicht abgetan werden kann. Das Unternehmen ist mit verantwortlich für die Vertriebswege und -partner, die sorgfältig auszuwählen, zu kontrollieren und immer wieder zu hinterfragen sind.

Nachbesserungsbedarf besteht insbesondere auch im eigenen Datenschutzmanagement. Wenn das Unternehmen organisatorisch nicht in der Lage ist, Datenschutzanfragen von Betroffenen an die zuständige Stelle im Betrieb weiterzuleiten, bestehen tiefgreifende strukturelle Probleme, die potenzielle Neukunden verprellen und Altkunden spürbar unzufrieden machen wird. Solche Anfragen können bei kleinen Unternehmen vom betrieblichen Datenschutzbeauftragten selbst beantwortet werden. In anderen Unternehmen wird die Beantwortung möglicherweise vom Kundenservice übernommen; dies sollte dann aber vom Datenschutzbeauftragten koordiniert und angeleitet werden werden.

 

5.6.7      Ohne Daten keine Muckis!

Über Jahre war es ein zwangloses Kommen und Gehen im Fitnessstudio. Doch nach einem Diebstahl wollte der Betreiber des Studios schon gerne wissen, wer sich wann in seinen Räumlichkeiten aufhält.

Er legte eine Check-in/-out-Liste aus, in die sich die Studiomitglieder freiwillig eintragen konnten und – nach ein paar Jahren – eintragen mussten. Als einige Mitglieder auf das Eintragen „verzichteten“, kam es zum Streit. Der Betreiber fühlte sich mit Verweis auf die von ihm erlassene Hausordnung im Recht – ein Trugschluss. Der Wunsch des Betreibers einen Üblick darüber zu erhalten, wer sich zu welchen Zeiten in dem Fitnessstudio aufhält, ist nachvollziehbar. Dies muss jedoch datenschutzrechtlich auf sichere Beine gestellt werden: In den Verträgen wurde ein Passus aufgenommen, in dem die Mitglieder sich zur Beachtung der Hausordnung verpflichten. Die Hausordnung wird künftig bei Vertragsabschluss ausgehändigt und liegt an geeigneter Stelle im Fitnessstudio jederzeit zur Einsichtnahme aus. Die erhobenen Daten werden spätestens am der Erhebung folgenden Tag vernichtet. So wird die Datenerhebung für die Mitglieder transparent; es erfolgt keine übermäßige Datenspeicherung; der Betreiber kann künftig bei Neu-Mitgliedern auf sein „Recht pochen“. Da die Altverträge so leicht nicht zu kündigen sind, muss er bei den bisherigen Mitgliedern auf deren Verständnis hoffen.

 

5.6.8      Der Wolf im Schafspelz

Wen nerven unangekündigte Werbeanrufe nicht? Tagtäglich werden Verbraucher mit scheinbar lukrativen Geldanlagen, Zeitungsabos, gewinnträchtigen Lotteriespielen am Telefon konfrontiert. Doch unerbetene Werbeanrufe sind gesetzlich verboten!

Genau auf diesen Zug sprang ein junges dynamisches Unternehmen auf. Zirka 30 € sollen die Verbraucherinnen und Verbraucher dafür zahlen, dass ein Eintrag auf Telefon- und Handysperrlisten, eine Weiterleitung der Beschwerde an den Verbraucherschutz, eine Rechtsanwaltsvermittlung und das Bereithalten einer Service-Hotline erfolgt. Das Perfide an der Sache: Die vermeintlichen Verbraucherschützer bedienten sich selber des Telefons, um ihre fragwürdigen Verträge an die Frau/den Mann zu bringen.

Zwei Betroffene teilten uns ihre Erfahrungen mit. Sie hatten bei den Anrufen des Unternehmens einen Vertragsschluss abgelehnt und ihre Bankverbindung nicht preisgegeben. Trotzdem war die Abbuchung der oben genannten „Gebühr“ erfolgt. Das Unternehmen behauptete, die Petenten hätten ihre Bankverbindung am Telefon mitgeteilt. Die telefonische Kontaktaufnahme sei gerechtfertigt gewesen, da die Petenten sich auf einer Gewinnspielkarte mit der telefonischen Entgegennahme interessanter Angebote bereit erklärt hätten. Wir forderten die „Gewinncoupons“ an und legten sie den Petenten vor. Diese versicherten glaubhaft, dass sie an dem Gewinnspiel niemals teilgenommen hatten; es handele sich auch nicht um „ihre Unterschrift“ auf den Coupons. In einem Fall war sogar der Name falsch geschrieben. Dies waren für uns ausreichende Anhaltspunkte für die Annahme einer Straftat durch den Geschäftsführer, so dass wir den Vorgang an die Staatsanwaltschaft abgaben.

 

5.6.9      Öfter mal was Neues – Datenschutz in der Wohnungswirtschaft

Neue technische Entwicklungen im Bereich der Wohnungswirtschaft und nicht mehr so ganz neue Fragen der Zusammenarbeit der Vermieter mit Auskunfteien beschäftigten das ULD.

Wohnungsunternehmen in Schleswig-Hostein sind dazu übergangen, Verbrauchswerte wie Heizenergie und Wasserverbrauch elektronisch abzulesen und per Funk zu übertragen. Das spart Personalkosten; die Mieter müssen zudem die Ableser nicht mehr in die Wohnung lassen. Funkfähige Erfassungsgeräte können taggenau den jeweiligen Energie- oder Wasserverbrauch aufzeichnen. Sie ermöglichen damit Protokollierung der verbrauchten Ressourcen je nach Bedarf. Was dem Mieter und dem Vermieter einerseits entgegenkommt, nämlich die präzise und unkomplizierte Ablesung und Berechnung der Nebenkosten, birgt andererseits Gefahren für die Privatsphäre der Mieter. Eine hochauflösende Erfassung des Verbrauches erlaubt Rückschlüsse auf deren Lebensgwohnheiten. So ist ohne weiteres erkennbar, wann ein Mieter im Urlaub beziehungsweise längere Zeit abwesend ist. Auch andere Schlüsse, z.  B. auf Besuch durch erhöhten Verbrauch im Gästezimmer, sind möglich.

Die unbestreitbaren Vorteile der Technik können von allen Beteiligten in vollen Zügen nur genossen werden, wenn die Persönlichkeitsrechte der Betroffenen gewahrt werden. Dies ist nur der Fall, wenn die Verbrauchsdaten in zusammengefasster Form für den gesamten Abrechnunsgzeitraum übermittelt und ausgewertet werden. Eine unterjährige Erfassung ist nur datenschutzkonform, wenn dies im Rahmen der Erfüllung der mietvertraglichen Pflichten erforderlich ist, also z.  B. eine Betriebskostenabrechnung bei Mieterwechsel. Die Vermieter müssen die Betroffenen über die neuen Erfassungs- und Abrechnungsmodalitäten genau informieren. Die Mieter müssen wissen, in welchen Intervallen von wem und zu welchem Zweck der Verbrauch erfasst wird. Die erfassten Daten dürfen nur zweckgebunden für die Erstellung der Betriebskostenabrechnung verwendet werden. Darüber hinausgehende Nutzungen bedürfen einer auf den jeweiligen Zweck ausgerichteten Rechtsgrundlage.

Dauerthema schriftlicher Eingaben und der telefonischen Beratung ist die Abfrage und Einmeldung von Informationen über Mietinteressenten durch die Vermieter bei Auskunfteien. Vermieter gehen vermehrt dazu über, vor dem Abschluss von Mietverträgen derartige Auskünfte einzuholen und im Gegenzug Informationen über ihre Mieter einzumelden. Teilweise wird die Erteilung einer Einwilligung in die Abfrage und in die Einmeldung von Informationen bei Auskunfteien zur Bedingung gemacht, dass sich die Betroffenen überhaupt für eine Wohnung bewerben können, auch wenn am Ende nicht der Abschluss eines Mietvertrages steht.

Die Einholung von Auskünften über die Bonität potenzieller Mieter ist nur zulässig, soweit es zur Wahrung der berechtigten Interessen der Wohnungswirtschaftsunternehmen erforderlich ist. Außerdem darf kein Grund zu der Annahme bestehen, dass durch die Abfrage schutzwürdige Interessen der zukünftigen Mieter verletzt werden. Ein berechtigtes Interesse auf der Seite Vermieter ist in der Minimierung des betriebswirtschaftlichen Risikos von Mietausfällen zu sehen. Dem stehen die schutzwürdigen Interessen der potenziellen Mieter an der Geheimhaltung von privaten Informationen gegenüber. Bei dieser Abwägung muss die existenzielle Bedeutung von Wohnraum für die Betroffenen, die von der Rechtsordnung vorgesehenen Bindungen des sozialen Mietrechts und die Möglichkeit der Vermieter, sich durch Direktbefragung der potenziellen Mieter, durch Mietkautionen, Vermieterpfandrechte oder Einschaltung der Sozialbehörden wirtschaftlich abzusichern, einfliessen. Im Ergebnis sehen wir nur die Einmeldung und Erteilung von Auskunft sogenannter harter Negativmerkmale unter Beachtung der Besonderheiten des Mietrechts als zulässig an. Vermieter und Auskunfteien dürfen danach nur folgende Informationen melden bzw. beauskunften:

• Informationen aus öffentlichen Schuldnerverzeichnissen,
• Vollstreckungsbescheide wegen Mietzahlungsrückständen in Höhe von mindestens zwei Monatmieten einschließlich Nebenkosten, ausgenommen Fälle, in denen Mietminderung geltend gemacht wurde,
• Bescheinigung eines Gerichtsvollziehers über die fruchtlose Pfändung einer titulierten Forderung aus einem Mietverhältnis,
• rechtskräftige Urteile, die eine fristlose Kündigung wegen der Vernachlässigung der Mietsache oder unbefugte Überlassung an Dritte oder gesetzlich vorgesehener wichtiger Gründe bestätigen, ausgenommen Fälle, in denen Mietminderung geltend gemacht wurde,
• rechtskräftige Räumungsurteile nach fristloser Kündigung wegen vertragswidrigen Verhaltens der Mietpartei, ausgenommen Fälle, in denen vor Kündigung wegen Zahlungsverzugs Mietminderung geltend gemacht wurde.

Der Einmeldung und der Beschaffung von über harte Negativmerkmale hinausgehenden Informationen stehen in der Regel schutzwürdige Betroffeneninteressen entgegen. Die wirtschaftlichen Interessen der Vermieter an der Minimierung ihrer Risiken – angesichts der genannten Sicherungsmöglichkeiten der Vermieter, der Bedeutung des Wohnraums und den mietrechtlichen Vorschriften – müssen zurücktreten.

Für die Beschaffung und Einmeldung von sogenannten Positivmerkmalen, d.  h Informationen über die Eingehung eines Mietverhältnisess o. ä., fehlt ebenso eine datenschutzrechtliche Rechtfertigung. Die Erhebung und Übermittlung solcher Daten wäre nur über die frewillige Einwilligung der Betroffenen zulässig. An der Freiwilligkeit bestanden in den vom ULD zu prüfenden Fällen jeweils erhebliche Zweifel. Den Mietinteressenten verblieb auf Grund der Lage auf dem Wohnungsmarkt und der eigenen finanziellen Möglichkeiten häufig keine Alternative zur Einwilligung, weil sie bei einer Weigerung von der Auswahlentscheidung ausgeschlossen worden wären. Unfreiwillig erteilte Einwilligungen sind ungültig. Eine darauf basierende Datenverarbeitung kann eventuell als Ordnungswidrigkeit sanktioniert werden.

Häufig missachtet wurde durch Vermieter die Verpflichtung, die Betroffenen vor der Abfrage oder Einmeldung solcher Informationen zu informieren. Transparenz im Umgang mit sensiblen Daten und die Beachtung des Erforderlichkeitsprinzips sind vom Gesetz her geboten, verbessern das Bild des eigenen Unternehmens in der Öffentlichkeit und schaffen Vertrauen bei den Mietern.

 

5.6.10 Anonym auf die Insel?

Die Bewohner einer Insel waren empört: Sie sollten ihren Hauptwohnsitz per Meldebescheinigung gegenüber der Fährgesellschaft nachweisen, um den verbilligten Insulaner-Fahrpreis zu erhalten. Zudem wurden die Überfahrtdaten – Datum, Uhrzeit, Kfz-Kennzeichen und bei Vorabbuchung auch Namen – langfristig gespeichert und im Einzelfall zur Überprüfung des Insulanerstatus herangezogen.

Die Frage der Verpflichtung zur Vorlage einer Meldebescheinigung war einfach zu beantworten: Das Landesmeldegesetz sieht die Ausgabe von Meldebescheinigungen an die Einwohner vor. Diese dienen aber nur zur Vorlage bei einer Behörde, das Vorlageverlangen durch ein privates Unternehmen ist nicht vorgesehen. Um den Einwohnerstatus gegenüber einer Fährgesellschaft nachzuweisen, muss die Sichtvorlage des Personalausweises ausreichen.

Die Überfahrtdaten dürfen nur solange gespeichert werden, wie sie für die Abwicklung des Transportes benötigt werden. Für Fährnutzer, die eine Hin- und Rückfahrkarte gebucht haben, hängt die Gültigkeit der Rückfahrkarte davon ab, wann die Hinfahrt in Anspruch genommen wurde. Die Reisedaten dürfen dann für diesen Zeitraum gespeichert werden, aber nicht länger. Die Datennutzung zwecks Feststellung der Insulanereigenschaft ist weder geeignet noch angemessen. Die Allgemeinen Tarifbestimmungen des Unternehmens sahen vor, dass der verbilligte Insulanertarif nicht nur den Hauptwohnsitz, sondern auch den tatsächlichen Lebensmittelpunkt auf der Insel voraussetzten. Die Transportdaten eines Fahrzeuges lassen aber keinen aussagkräftigen Rückschluss auf den Lebensmittelpunkt zu, der insgesamt mit den Mitteln einer Fährgesellschaft schwerlich erfassbar ist. Der Standort des Fahrzeuges, der aus den Reisedaten ablesbar ist, ist allenfalls ein Indiz. Die Feststellung des Lebensmittelpunktes muss weniger datenintensiv und die Privatsphäre weniger beeinträchtigend erfolgen. Die Fährnutzer haben ein überwiegendes Interesse an einer unbeobachteten und undokumentierten freien Reise gegenüber dem Kontrollinteresse der Fährbetreiber. Die Einwohnerzahl der Insel ist überschaubar; die Reisenden sind den Mitarbeitern der Fährgesellschaft zum Teil persönlich bekannt. Deren gesammelte Überfahrten sollten nicht zum Inselgespräch werden.

Das Unternehmen erklärte, dass eine kurzfristige Änderung der automatisierten Löschung nicht möglich sei. Wir räumten daher eine angemessene Frist zur datenschutzkonformen Umgestaltung des Systems, verbunden mit der Auflage, dass die Daten zwischenzeitlich nur zum Zwecke der Prüfung der Gültigkeitsdauer von Fahrkarten und nicht zu anderen Zwecken, insbesondere nicht zum Zwecke der Missbrauchskontrolle, genutzt werden. Das Unternehmen wurde verpflichtet, die Fährbenutzer über die Datenerhebung, -speicherung und -nutzung hinreichend konkret zu informieren. Die nun nötige lästige, aufwändige und teure Systemnachbesserung wäre vermeidbar gewesen.

 

5.6.11    Freundlicher Hinweis zum Reifenwechsel

Das Serviceangebot eines bundesweit agierenden Autowerkstatt-unternehmens erfreute eine Petentin überhaupt nicht. Sie hatte eine Werbepostkarte erhalten mit Anschrift, Kfz-Kennzeichen, Automarke und TÜV/AU-Fälligkeit.

Die Petentin hatte keine Einwilligung für eine Speicherung und Weitergabe ihrer Daten zu Werbezwecken erteilt. Zudem monierte sie die öffentliche Preisgabe ihrer Daten durch das Versenden auf einer Postkarte. Die schutzwürdigen Interessen der Petentin, keine unerwünschte Werbung zu erhalten, standen somit dem „berechtigten“ wirtschaftlichen Interesse des Unternehmens an der Durchführung der Werbemaßnahme gegenüber. Dieses akzeptierte letztlich unsere Feststellung, dass die schutzwürdigen Kundeninteressen verlangen, dass bereits bei Datenerhebung über die geplante Werbenutzung hinreichend Transparenz geschaffen wird. Nur wenn die Kundinnen und Kunden informiert sind, können und müssen sie mit einer Bewerbung rechnen. Das Unternehmen äußerte seine Absicht, künftig seine Kunden bereits beim Erteilen des Werkstattauftrages über die beabsichtigte Nutzung der erhobenen Daten zu informieren.

Auch die Gestaltung der Erinnerungspostkarten wurde geändert. Künftig wird auf die Angabe des Kfz-Kennzeichens verzichtet. Die Kundinnen und Kunden werden auf die bestehende Möglichkeit eines Widerspruchs zur Nutzung der Daten zu Werbezwecken hingewiesen.

 

5.6.12    Lektüre in der Warteschlange

Die Einführung eines neuen Kassensystems in einem großen Einkaufsmarkt hatte einen interessanten Nebeneffekt: Nach dem Einlesen der Kundenkarte wurde der Name und die vollständige Adresse des Kundenkarten-Inhabers für alle in der Warteschlange stehenden Kunden am Display der Kasse sichtbar. Dieses „EDV-Problem“ konnte kurzfristig behoben werden.

 

5.7         Arbeitnehmerdatenschutz

Ein Arbeitnehmerdatenschutzgesetz, das seit über 20 Jahren auf Bundesebene von Datenschützern wie auch von Vertretern der Arbeitnehmerseite gefordert wird, ist nicht in Sicht. Inzwischen erfolgen auch keine Ankündigungen der bundesregierung, ein solches Gesetz auf den Weg bringen zu wollen. Dies mag zur Bewältigung der im Tagesgeschäft anfallenden Konfliktfälle angesichts einer datenschutzbewussten Arbeitsgerichtsrechtsprechung hinnehmbar sein.

Wer aber angesichts des zunehmenden Einsatzes von Telekommunkation in Unternehmen besonders unter dem Fehlen einer bereichsspezifischen Regleung zum Arbeitnehmerdatenschutz leidet, sind die Unternehmen: Sie werden derzeit wie Telekommunikationsprovider mit einer Vielzahl von Pflichten behandelt, wenn sie ihre Unternehmenskommunikation auch nur ein wenig für die private Nutzung freigeben. Evtl. in Betrieben sinnvolle begrenzte Stichprobenkontrollen bei der Telekommunikationsnutzung sind gesetzlich unzulässig. So wählen viele Unternehmen die Alternative eines absoluten Nutzungsverbotes für private Zwecke – keine wirklich mitarbeiterfreundliche Altenrative.

Es gibt aber eine Vielzahl weiterer – angesichts der technischen Entwicklung – dringend werdenden Regelungsnotwendigkeiten: die verstärkte Nutzung von biotechnologischen Verfahren, z.B. bei der Einstellung, die Praxis illegaler Drogentests, der konzernweite Austausch von Arbeitnehmerdaten….

 

5.7.1      Bewerber ahnungslos – Über die Einstellung entscheiden andere 

Ein Stellenbewerber beschwerte sich über die Weitergabe seiner Unterlagen an eine Zeitarbeitsfirma. Er hatte sich bei einem Unternehmen auf einen Stellenanzeige hin beworben und keine Antwort erhalten.

Auf eigene mehrmalige telefonische Nachfrage hin wurde dem Betroffenen mitgeteilt, dass die Stelle anderweitig vergeben worden ist. Er bat daraufhin um Rücksendung seiner Bewerbungsunterlagen. Ihm wurde mitgeteilt, dass Zwecks Rücksendung seiner Unterlagen diese an eine Zeitarbeitsfirma weitergeleitet worden sind und er diese in zwei Wochen zurückerhalten würde. Nach zwei Wochen meldete sich die Zeitarbeitsfirma tatsächlich, bestätigte den Eingang der Unterlagen und fragte nach, ob er Interesse daran hätte, in die Kartei der Firma aufgenommen zu werden.

Das Unternehmen hatte, so seine Darstellung, die Zeitarbeitsfirma mit der logistischen Abwicklung des Bewerbungsverfahrens beauftragt und daher die Unterlagen übermittelt. Die betroffenen Bewerber waren hierüber vorab nicht informiert. Das ULD beanstandete diese Praxis gegenüber dem Unternehmen. Bei der Beauftragung Dritter mit der logistischen Abwicklung eines Bewerbungsverfahrens muss das Unternehmen sicherstellen, dass die Unterlagen vertraulich behandelt werden und der Dienstleister die Angaben der Bewerber nur in dem erforderlichen Umfang zu Kenntnis nimmt. Konkret hatte das Unternehmen seine Aufsichtspflicht dahingehend verletzt, dass es nicht verhinderte, dass die Zeitarbeitsfirma die Bewerbungen für eigene Zwecke nutzt. Bewerbungsunterlagen sind hochsensitiv; sie zielen darauf ab, ein umfassendes Bild von der eigenen Qualifikation und Persönlichkeit zu zeichnen. Sowohl die fehlende Information der Bewerber über die Einschaltung der Zeitarbeitsfirma wie auch die unterlassene Überwachung dieser verstießen gegen den Datenschutz.

Die Übermittlung von Bewerbungsunterlagen an Dritte für deren eigene Zwecke, z. B. zur Besetzung offener Stellen, ist nur mit vorheriger ausdrücklicher Einwilligung der Betroffenen zulässig. Unerheblich ist, ob die Übermittlung im vermuteten Interesse des Bewerbers ist. Dieser hat selbst darüber zu entscheiden, wer von seinen Unterlagen Kenntnis nehmen darf.

 

5.7.2      Was mein Chef wissen darf 

Unternehmen erheben in Personalfragebogen umfangreiche personenbezogene Daten. Oft ist nicht alles, was gefragt wird, erforderlich.

Grundsätzlich ist die Erhebung der personenbezogenen Daten in einem Arbeitsverhältnis zulässig, die zur Durchführung des Arbeitsverhältnisses erforderlich sind, oder soweit eine Rechtsvorschrift dies erlaubt. Vor diesem Hintergrund mussten wir in einem konkreten Fall die Erhebung folgender Daten beanstanden. Das Unternehmen hat alle Beanstandungen akzeptiert und den Fragebogen überarbeitet und datenschutzrgerecht gestaltet.

• Angabe der Personalausweis-/Reisepass-Nr. zur Prüfung/Feststellung der Identität: Zur Prüfung der Identität ist die Sichtvorlage des Personalauweises ausreichend.
• Angaben zu den Eltern des Beschäftigten, wenn dieser minderjährig ist und keine eigene Bankverbindung hat oder familienversichert ist: Falls der Beschäftigte keine eigene Bankverbindung besitzt, kann er eine Bankverbindung angeben, deren Inhaber nicht zwingend ein Elternteil sein muss. Es ist daher ausreichend, bei der Angabe der Bankverbindung in einem zusätzlichen Feld gegebenenfalls nach dem abweichenden Namen des Kontoinhabers zu fragen.
• Sollte der Beschäftigte nicht selbst Mitglied einer Krankenkasse sein, reicht die Angabe „familienversichert“ aus. Durch wen die Familienversicherung erfolgt, ist für die Durchführung des Arbeitsverhältnisses unerheblich.
• Angabe über den Bezug von Sozialhilfe: Die Verpflichtung zur Angabe des Einkommens bei Bezug von Sozialhilfe liegt beim Betroffenen und nicht beim Arbeitgeber.
• Frage nach einer Schwerbehinderteneigenschaft: Auch nach Inkrafttreten des Allgemeinen Gleichbehandlungsgesetzes ist die Frage nach einer Behinderung allenfalls dann zulässig, wenn deren Fehlen oder Vorhandensein wesentliche und entscheidende Voraussetzung für die Tätigkeit ist. Das ist nur ausnahmsweise der Fall.
• Angaben zum Arbeitgeber bei weiteren sozialversicherungspflichtigen oder geringfügigen Beschäftigungen: Es genügt, die Frage nach einer sozialversicherungspflichtigen Tätigkeit zu beantworten.

 

5.7.3      Never ending story – Internet und Co. am Arbeitsplatz!

Wieder gab es viele Anfragen und Beschwerden zur Kontrolle privater E-Mail und Internetnutzung am Arbeitsplatz.

Verbietet der Arbeitgeber die private E-Mail- und Internetnutzung, so sollte dieses Verbot eindeutig und umfassend formuliert werden. Die Zulassung einer wenn auch nur eingeschränkten privaten Nutzung eröffnet altbekannte Probleme. Der Arbeitgeber wird zum Telekommunikationsanbieter und eine Missbrauchskontrolle der privaten Nutzung z.  B. durch Auswertung der Verkehrsdaten ist unter Beachtung des Fernmeldegeheimnisses unzulässig.

In einem Fall hatte ein Arbeitgeber bestimmte Ausnahmen vom Privatnutzungsverbot gemacht, allerdings umfangreiche Kontrollen von E-Mail-, Internet- und Telefonnutzung durchgeführt. Zusätzlich fehlte es in diesem Unternehmen an einer individuellen Benutzerkennung, so dass eine eindeutige Zuordnung eines bestimmten Nutzungsverhaltens zu einem individualisierten Mitarbeiteraccount unmöglich war. Derartige Verfahren sind eine dauernder Quelle von Konflikten.

Immer wieder bereitet auch die Abwesenheit von Mitarbeitern beziehungsweise die Beendigung des Arbeitsverhältnisses Probleme. Es fehlt dabei häufig an eindeutigen Regeln zur Vertretung beziehungsweise zur Umleitung dienstlicher E-Mails. Das Thema der E-Mail- und Internetnutzung am Arbeitsplatz wird uns auch zukünftig weiter beschäftigten. Telekommunikationsgesetz und Telemediengesetzes lassen bisher die Sondersituation in einem Unternehmen völlig unberücksichtigt.

 

5.8         Videoüberwachung

War vor wenigen Jahren noch nicht Alarmstufe angesagt bei der Videoüberwachung, so ändert sich nunmehr rapide die Situation: Videokameras sind inzwischen derart billig und preiswert, dass für Datenschutzaufsichtsbehörden dem Wildwuchs kaum noch etwas entgegengesetzt werden kann. Dieser Wildwuchs ist Auslöser dauerndenden Streits, z.B. unter Nachbarn, zwischen Unternehmen und deren Beschäftigten, zwischen Wohnungsverwaltern und Mietern. Das ULD ist immer mehr als Streitschlichter gefordert.

 

5.8.1      Kamera – die Erste: Das elektronische Auge isst mit

Durch einen Hinweis wurde das ULD auf die exzessive Videoüberwachung eines größeren Cafébetreibers aus dem norddeutschen Raum in Gasträumen, den Außenbereichen und den nicht freizugänglichen Küchen- und Büroräumen einer Filiale aufmerksam.

Die Prüfung vor Ort erwies eine fast lückenlose Videoüberwachung der Tätigkeit der Angestellten hinter dem Tresen und des Freizeitbereichs der Kunden aus unterschiedlichsten Perspektiven durch mehrere Kameras. Zudem waren Teile der biergartenähnlichen Außenanlagen erfasst. Es war unmöglich die Filiale zu betreten, ohne gefilmt zu werden. Besonders gravierend war die Überwachung im hinteren, nicht öffentlich zugänglichen Bereich der Filiale. Die Bediensteten im Küchenbereich waren bei der Zubereitung von Speisen dauerhaft und vollständig unter Kamerakontrolle. Gefilmt wurden der Eingangsbereich zu den Mitarbeitertoiletten und der für das Umkleiden vorgesehene Raum, in dem sich unter anderem ein Tresor befand. Auf die Videoüberwachung wurde durch ein kaum sichtbares Schild am Haupteingang und Hintereingang der Filiale hingewiesen.

Diese Vollüberwachung wurde von uns als unzulässig beanstandet. Mitarbeiterinnen und Mitarbeiter haben einen Anspruch darauf, nicht dauernd unter Kamerabeobachtung zu sein. Lediglich eine punktuelle und auf besonders sensitive Bereiche begrenzte Videoüberwachung ist zulässig. Dabei muss jedoch sichergestellt sein, dass den Mitarbeitern ein Rückzugsraum während der Ausübung der Tätigkeit verbleibt und eine Erfassung nur kurzzeitig und nicht zielgerichtet auf einzelne Personen erfolgt. Die Arbeitgeber haben die Privatsphäre und Persönlichkeit der Mitarbeiter zu achten. Dies gilt erst recht für die Kundinnen und Kunden. Die Erfassung von Gästen eines Café trifft diese zumeist in ihrer Freizeit, das heißt,. wenn deren private Lebensgestaltung im Vordergrund steht. Die flächendeckende und dauerhafte Überwachung ist absolut unzulässig.

In jedem Fall muss ein berechtigter Grund für die Installation der Überwachung vorliegen. Dieser muss gegenüber den Interessen der Betroffenen am Schutz ihrer Privatsphäre überwiegen. Die im vorliegenden Fall durch die Geschäftsführung des Unternehmens vorgebrachte pauschale Begründung, mit der Videoüberwachung sollten Vandalismus und Einbrüche verhindert werden, kann derart gravierende Eingriffe in die Rechte der Mitarbeiter und Kunden nicht legitimieren.

 

5.8.2      Kamera – die Zweite: Gesammelte Werke

Nachbarn sehen sich immer wieder im Focus von Videoüberwachungskameras. Die geringen Kosten für Anschaffung, Installation und Betrieb hoch leistungsfähiger Überwachungsanlagen führen zu einer massenhaften Verbreitung und entsprechenden Gefährdungen für das Persönlichkeitsrecht.

Das ULD wird häufig gebeten, in durch Kameraüberwachung ausartende Nachbarstreitigkeiten vermittelnd einzugreifen. Regelmäßig erfassen die Kameras nicht nur das eigene Grundstück, sondern auch das Eigentum oder den Zugangsbereich Dritter oder allgemein zugängliche Flächen. Teilweise werden sogar Kameras mit Tonaufzeichnung eingesetzt, um außer den Bewegungen zudem die Äußerungen der Nachbarn und derer Gäste zu erfassen.

Zulässig ist die Videoüberwachung des eigenen Grundstücks und Eigentums, soweit nicht der öffentliche Raum oder fremde Grundstücke erfasst werden. Nicht zu rechtfertigen ist die auch nur teilweise Überwachung des Grundstücks von Nachbarn. Vergleichbares gilt innerhalb von Mehrfamilienhäusern. Besonders extrem ist, wenn die Betroffenen nicht mehr unbeobachtet ihre Wohnung oder ihr Haus betreten und verlassen können. Nicht nur ordnungswidrig, sondern strafbar kann die Überwachung werden, wenn neben der optischen Aufzeichnung das gesprochene Wort erfasst wird.

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel