Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

5         Datenschutz in der Wirtschaft

5.1         Beschäftigtendatenschutz im BDSG

Wenig Licht und viel Schatten finden sich in einem überhastet erarbeiteten Regierungsentwurf.

Nach über 30 Jahren Diskussion über die Notwendigkeit und mög­liche Inhalte eines Arbeitnehmer­datenschutzgesetzes und im An­gesicht der Vielzahl von Daten­schutzskandalen im Beschäftig­tenbereich in den Jahren 2008 und 2009 legte die Bundesregierung im August 2010 den Entwurf eines Beschäftigtendatenschutz­gesetzes vor. Dies geht auf die Absichtserklärung des Koalitionsvertrages auf Bundesebene von CDU, CSU und FDP vom Herbst 2009 zurück: „Wir setzen uns für eine Verbesserung des Arbeitnehmerdatenschutzes ein und wollen Mitarbeiterinnen und Mitarbeiter vor Bespitzelungen an ihrem Arbeitsplatz wirksam schützen.“ Hierfür soll das Bundesdatenschutzgesetz (BDSG) um einen Abschnitt zum Schutz von Beschäftigtendaten ergänzt werden.

So begrüßenswert die Entscheidung der Bundesregierung ist, diese Materie end­lich zu regeln, so bedenklich ist der Umsetzungsversuch. Der Entwurf weist handwerkliche Fehler wie auch massive inhaltliche Defizite auf. Die Mängel sind derart gravierend, dass die Intention des Schutzes der Beschäftigten vor dauer­hafter Überwachung und Kontrolle ins Gegenteil verkehrt wird. Die vorgeschla­genen Regeln für eine Ergänzung des Bundesdatenschutzgesetzes verstoßen teil­weise gegen europarechtliche und verfassungsrechtliche Vorgaben und müssen dringend revidiert werden.

Ein Beschäftigtendatenschutzgesetz darf nicht mit dem Makel der Verfassungs- und Europarechtswidrigkeit verabschiedet werden.

Der Entwurf ermächtigt Arbeitgeber zu umfangreichen Eingriffen in die Persön­lichkeits- und Freiheitsrechte der Beschäftigten. Bisher unzulässige Screening-Maßnahmen würden bei Inkrafttreten dieses Entwurfs legalisiert werden. In der Vergangenheit als Skandale bekannt gewordene Praktiken würden teilweise zulässig. Bisher eindeutig rechtswidrige und von der öffentlichen Meinung abge­lehnte Kontrollmaßnahmen durch Arbeitgeber könnten so flächendeckend Ein­gang in die Unternehmen finden.

Der Entwurf bleibt hinter den Anforderungen der Praxis an eine wirksame Regu­lierung zurück. Die Übermittlung von Beschäftigtendaten innerhalb eines Konzerns und im internationalen Kontext stellt eine datenschutzrechtliche Herausforderung dar, nicht nur für die Großindustrie. Auch in mittelständischen Unternehmen gibt es legitime Interessen an einem Datenaustausch und ungenü­gende Datenschutzsicherungen. Vielen Unternehmen fehlt der nötige eigene rechtliche und technische Sachverstand; hinzu kommt eine große Rechtsunsicher­heit, die beseitigt werden sollte. Befugnisse zur Datenübermittlung in Konzernen sollten nicht generell im Datenschutzrecht eingeräumt, sondern spezifisch, z. B. bezüglich Beschäftigtendaten, flankiert werden durch Beteiligungsrechte und die Schaffung ausreichender Transparenz.

Beschäftigtendatenschutz ist sowohl Datenschutz- als auch Arbeitsrecht, was vom aktuellen Entwurf weitgehend ignoriert wird. In dieser Schnittmenge regelungsbedürftig sind ein arbeitsrechtliches Verwertungsverbot unzulässig erhobener Informationen, kollektivrechtliche Normierungsmöglichkeiten, ein kollektives Klagerecht, die Übermittlung von personenbezogenen Daten inner­halb von Konzernen und im internationalen Verkehr, der Rahmen für den Einsatz elektronischer Personalakten, die Heim- und Telearbeit und das in der Praxis an Bedeutung gewinnende Whistleblowing.

Der Entwurf ist geprägt vom grundsätzlichen Argwohn der Arbeitgeber gegen­über ihren Beschäftigten. Das für eine nachhaltige Beschäftigungsbeziehung erforderliche Vertrauen zwischen den Beteiligten wird nicht gefördert. Unter Missachtung des Verhältnismäßigkeitsgrundsatzes werden die Überwachung und die Kontrolle von Beschäftigten durch Arbeitgeber legalisiert. Dies schürt eine Atmosphäre des Misstrauens. Bestehende Vertrauensbeziehungen zwischen Arbeitgebern und Arbeitnehmern drohen zugunsten eines Klimas der Überwa­chung und Bespitzelung verloren zu gehen.

Zweck des Beschäftigtendatenschutzgesetzes sollte sein, innerhalb der Unter­nehmen Vertrauen seitens der Beschäftigten dafür zu schaffen. Der Schutz ihrer Persönlichkeitsrechte dient zugleich der Umsetzung von Compliance-Anforde­rungen und der Förderung der Produktivität.

Entgegen anderen Entwürfen sieht der aktuelle Regierungsentwurf eine Ergän­zung des BDSG vor. Ziel ist scheinbar eine enge Verbindung der allgemeinen datenschutzrechtlichen Regeln mit den Regeln zu Beschäftigungsverhältnissen. Dies wird erkauft mit einer Vielzahl von Nachteilen:

• Beschäftigten und Arbeitgebern wäre ein separates Beschäftigtendatenschutz­gesetz besser vermittelbar.
• Die Regulierung im BDSG erschwert die Vermittlung in der Praxis und die praktische Anwendung, z. B. durch Aushang im Betrieb.
• Die Aufnahme von Spezialmaterien ins BDSG fördert die bereits jetzt beste­hende Unübersichtlichkeit und Unverständlichkeit des Gesamtgesetzes.
• Die Chance zur einheitlichen Regelung des Personalaktenrechts wird vertan.

Unklar bleibt bisher, inwieweit der Entwurf Arbeitnehmer im öffentlichen Dienst von Ländern und Kommunen erfassen soll. Das ULD legte eine ausführliche Stellungnahme zum Regierungsentwurf vor.

5.1.1      Die Krux mit den Mitarbeiterlisten − Weitergabe von Mitarbeiterdaten  an Krankenkassen

Ein Unternehmen forderte von einer Krankenkasse die Erstattung der Kosten einer durch den Betriebsarzt durchgeführten Grippeschutzimpfung bei deren Mitgliedern. Es durfte aber nicht die Daten anderer Betriebsange­höriger übermitteln.

Der Leistungskatalog der Krankenkasse sah eine Erstattung für jedes Mitglied vor. Dem Erstattungsantrag des Unternehmens war aber eine komplette Liste aller geimpften Mitarbeiter beigefügt, auch wenn sie bei der angeschriebenen Kasse nicht versichert waren. Es handelte sich um die zusammengefasste Rech­nung des Betriebsarztes an die Firma für die gesamte Impfaktion. Die reklamie­rende Krankenkasse befürchtete zunächst – unbegründet – die Weitergabe der Liste an alle Mitarbeiter zur individuellen Geltendmachung der Erstattungs­ansprüche. Die Sammlung der einzelnen Erstattungsanträge der Mitarbeiter und deren kollektive Weitergabe an die Krankenkasse verstießen aber auch gegen den Grundsatz der Erforderlichkeit.

Das Unternehmen begründete ihr Vorgehen mit der Reduzierung des eigenen Verwaltungsaufwands. Der Charakter als Gesamtrechnung des Betriebsarztes sei bei dem Rechnungsdokument zu bewahren gewesen. Ihm war gar nicht bewusst, dass das Vorgehen zu einer unzulässigen Datenübermittlung an den Leistungs­träger führte.

5.1.2      GPS  im Firmenfahrzeug – Was tun ohne Betriebsrat?

Für neu zugelassene Fahrzeuge zur Güterbeförderung mit zulässigem Gesamtgewicht von mehr als 3,5 Tonnen sowie Busse mit mehr als neun Sitzen einschließlich des Fahrers ist der Einsatz digitaler Tachografen vorge­schrieben. Die Verwendung zusätzlicher GPS-Geräte ist hiervon nicht er­fasst.

In einem Unternehmen kommen elektronische Fahrtenschreiber zum Einsatz, mit denen die gefahrene Strecke und die Fahrerdaten nach den gesetzlichen Bestimmungen aufgezeichnet werden. Spezielle Vorschriften verpflichten den Arbeitgeber, die Arbeitszeit der Arbeitnehmer aufzuzeichnen und diese Aufzeich­nungen mindestens zwei Jahre lang aufzubewahren. Ferner wird in dem Unter­nehmen ein Global Positioning System (GPS) eingesetzt, über das die Standort­daten für die Empfänger der Lieferungen abrufbar waren, um den jeweiligen Lieferstatus zu ermitteln. Nach den Darlegungen des Unternehmens werden die Standortdaten nicht mit personenbezogenen Fahrerdaten verknüpft. Es erfolge keine Nutzung des Systems zur Mitarbeiterüberwachung.

Gleichwohl lassen sich die Standortdaten aus dem GPS mit den personenbezoge­nen Fahrerdaten aus den Fahrtenschreibern verknüpfen. Wir forderten das Unter­nehmen auf, eine Unternehmensregelung zu treffen, die sicherstellt, dass kein Personenbezug hergestellt wird und keine Verhaltens- und Leistungskontrolle von Arbeitnehmern erfolgt. Das Unternehmen kam dem nach. Die Regelung erfolgte nicht als Betriebsvereinbarung, da kein Betriebsrat vorhanden war und zu dessen Einsetzung auch keine gesetzliche Pflicht bestand (32. TB, Tz. 5.6.1).

5.1.3      Friseure unter Kontrolle

Eine Friseurkette stattete Geschäfte mit Videokameras aus, die gleicherma­ßen Kundinnen und Kunden sowie die Angestellten erfassten. Letztere waren so einer dauerhaften Kontrolle ausgesetzt.

Der Inhaber einer Friseurkette installierte Videokameras. Damit sollten Einbrüche und Diebstähle verhindert werden. Die Videoüberwachung wurde zudem zur Kontrolle des Verhaltens der Mitarbeiter in den verschiedenen Filialen genutzt. So konnte per Anruf aus der Zentrale die Anweisung erteilt werden, freundlicher zu lächeln oder sparsamer zu shampoonieren. Die Mitarbeiter konnten sich während der Arbeitszeit der Erfassung praktisch nicht entziehen. Die Rundum­kameras erfassten den ganzen Salon. Eine lückenlose Dauerüberwachung stellt einen absolut unzulässigen schweren Eingriff in das Persönlichkeitsrecht der Mitarbeiter dar. Das ULD beanstandete diese dauerhafte Mitarbeiterüber­wachung und verlangte den Abbau der Kameras.

Betroffen waren auch die Kunden. Diese unterlagen zwar keiner Dauerüber­wachung, aber es bestand auch insofern keine Erforderlichkeit. Zur Verhinderung von Diebstahl waren mildere Mittel denkbar. So konnten teure Produkte in abschließbaren Vitrinen aufbewahrt werden, auf die nur ein ausgewählter Mitar­beiter Zugriff hat. Die Friseurkette baute die Videokameras ab.

5.1.4      Beschäftigtenkontrolle per Video beim Discounter

Die verdeckte Arbeitsplatzvideoüberwachung ist grundsätzlich unzulässig. Maßnahmen zur Verhaltenskontrolle von Beschäftigten sind nur im absolu­ten Ausnahmefall als letztes Mittel erlaubt. Vorrang haben Maßnahmen der offenen Videoüberwachung.

Wir erhielten Hinweise, dass in mehreren Filialen der Krümet Handelsgesell­schaft, einer Discount-Kette, Beschäftigte unzulässig verdeckt per Video über­wacht werden. Die heimlich und verdeckt installierten Kameras waren auf öffent­lich nicht zugängliche Büro- und Pausenräume ausgerichtet. Das Verhalten der Beschäftigten wurde unter Zeitangabe bildlich erfasst. Die mindestens über mehrere Wochen vorgenommenen Aufzeichnungen wurden schwerpunktmäßig unter dem Aspekt der individuellen Leistungserbringung ausgewertet und die stichwortartige Beurteilung in schriftlichen Protokollen festgehalten. Mehrmali­ges Nachschminken im Pausenraum, Unterhaltungen der Beschäftigten usw. wurden dem jeweiligen Personal zugeordnet und beispielsweise als „unproduk­tiv“ bewertet.

Die Installation der Videotechnik sowie die Auswertung der Videoaufnahmen wurden durch den Sicherheitsdienstleister VISAKO vorgenommen. Das ULD führte bei beiden Unternehmen Prüfungen durch und nahm vorhandene Unterla­gen in Augenschein. Mit den verdeckten Videoaufzeichnungen sollten, so die Aussagen, Diebstahlsdelikte verhindert bzw. aufgedeckt werden. Aufgrund der vorliegenden Tatsachen wurde gegen die Krümet Handelsgesellschaft ein Buß­geldverfahren eingeleitet. Auch die Tätigkeit der VISAKO ist Gegenstand unserer Ermittlungen.

Die verdeckte Videoüberwachung greift massiv in das Persönlichkeitsrecht der Beschäftigten ein. Zur Aufdeckung einer Straftat dürfen Aufnahmen nur dann erfolgen, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht einer solchen Tat begründen, die Datenerhebung zur Aufdeckung erforderlich ist, keine schutzwürdigen Beschäftigteninteressen entgegenstehen und die Maßnahme nach Art, Ausmaß und Anlass verhältnismäßig ist. Dies ist nur sehr selten der Fall. Eine Leistungskontrolle darf durch einen verdeckten Kameraeinsatz in der Regel nicht erfolgen.

5.2         Scoring

5.2.1      Neue Transparenzpflichten für Auskunfteien

Seit April 2010 sind die Voraussetzungen des Scorings gesetzlich geregelt. Vor allem Auskunfteien führen Scoring durch.

Das ULD hat alle in Schleswig-Holstein ansässigen Auskunfteien aufgefordert, Unterlagen zu ihren Scoring-Verfahren vorzulegen. Unser Vorgehen war abge­stimmt mit dem anderer Aufsichtsbehörden. Es soll kontrolliert werden, ob die Auskunfteien die neuen gesetzlichen Vorgaben zum Scoring einhalten. So muss anhand eines Gutachtens belegt werden, dass eingesetzte Scoring-Verfahren eine wissenschaftliche Grundlage haben.

Die Einhaltung der neuen Transparenzvorschriften ist zur Wahrung der Betrof­fenenrechte relevant, weshalb wir Musterschreiben zur Auskunftserteilung anfor­derten. Schon eine erste Sichtung der umfangreichen Unterlagen ergab, dass die Informationen über die beim Scoring verwendeten Datenarten bei allen Unter­nehmen so allgemein gehalten sind, dass die Betroffenen keine wirksame Plausi­bilitätsprüfung durchführen können. Die Überprüfung ist noch nicht abgeschlos­sen.

5.2.2      Keine Extrawurst für die Schufa

Die Schufa beliefert viele Unternehmen in Schleswig-Holstein, insbesondere Banken, mit Scorewerten. Trotzdem wollte sie dem ULD zunächst keine Informationen über ihr Scoring-Verfahren erteilen.

Das ULD nahm das Inkrafttreten insbesondere der neuen Scoring- und Transpa­renzvorschriften zum Anlass, Prüfungen bei schleswig-holsteinischen Banken durchzuführen. Einige Banken teilten uns mit, dass sie Scorewerte der Schufa nutzen. Über Einzelheiten zu dem Zustandekommen dieser Werte konnte aber keine Auskunft gegeben werden, weil die Schufa diese Informationen seinen Geschäftspartnern unter Verweis auf „Geschäftsgeheimnisse“ vorenthielt.

Dies ist natürlich kein Argument zur Zurückweisung der datenschutzrechtlichen Kontrollbefugnis des ULD. Da die Schufa Unternehmen in allen Bundesländern mit Scorewerten beliefert, war eine Überprüfung und Abstimmung im Düssel­dorfer Kreis, dem Zusammenschluss der deutschen Aufsichtsbehörden, in dessen Arbeitsgruppe (AG) Auskunfteien geplant. Kurz vor der anberaumten Sitzung der AG Auskunfteien strengte die Schufa ein gerichtliches Eilverfahren gegen die für die Schufa zuständige hessische Datenschutzaufsichtsbehörde an. Ziel war es, die Offenbarung der Details zu den Scoring-Verfahren der Schufa an andere Auf­sichtsbehörden zu verhindern. Die Schufa berief sich auf Betriebs- und Geschäfts­geheimnisse.
Das ULD forderte daraufhin direkt von der Schufa die Bereitstellung der Infor­mationen zum Scoring, das von schleswig-holsteinischen Unternehmen genutzt wird. Wir wollten wissen, weshalb diese Informationen, die zur Wahrnehmung der Datenschutzpflichten nötig sind, nicht an die schleswig-holsteinischen Ver­tragspartner weitergegeben werden. Die Schufa verweigerte die Bereitstellung und lud stattdessen das ULD wie auch andere Aufsichtsbehörden zur mündlichen Unterrichtung in Einzelterminen nach Wiesbaden ein und verlangte zugleich die Unterzeichnung einer Vertraulichkeitserklärung durch die Teilnehmenden. Dieser Vorschlag wurde nicht nur vom ULD abgelehnt.

Mit diesem Vorgehen lief die Schufa sehenden Auges Gefahr, dass das ULD die Unternehmen im Land darüber unterrichtete, dass Schufa-Scoring-Verfahren nicht eingesetzt werden könnten, da für diese die Datengrundlage nicht hinreichend transparent ist. Eine ganze Reihe von Datenschutzaufsichtsbehörden forderte nun von der Schufa die direkte Auskunftserteilung, auch unter Hinweis auf die für sie geltende gesetzliche Verschwiegenheitspflicht. Die Schufa muss, ebenso wie andere bundesweit agierende Unternehmen, ein Interesse an einer Abstimmung der Aufsichtstätigkeit haben, zumal aufsichtsbehördliche Mittel gegen die Ver­tragspartner der Schufa im Raum stehen.

Zum Einsatz dieser Mittel kam es dann vorläufig nicht. Die Schufa stellte dem ULD wie auch anderen Aufsichtsbehörden Unterlagen zu ihren Scoring-Verfah­ren zur Verfügung. Sie teilte mit, dass sie die Frage der Erörterung von Betriebs- und Geschäftsgeheimnissen im Düsseldorfer Kreis in einem gerichtlichen Haupt­sacheverfahren klären lassen wolle. Zuletzt erfolgte in einer Sitzung der AG Auskunfteien des Düsseldorfer Kreises im November 2010 eine Erläuterung der vorgelegten Unterlagen durch die Schufa gegenüber allen teilnehmenden Auf­sichtsbehörden.

5.3         ELV  – unwirksame Kassenbon-Einwilligungen

Die langen Kassenzettel beim Zahlen im Elektronischen Lastschriftverfahren in Supermärkten und Tankstellen gerieten ins Visier der Datenschutzbehör­den. Es wurde nachgefragt, was mit den Zahlungsdaten der Kunden passiert.

Handelsunternehmen in Schleswig-Holstein setzen das sogenannte Elektronische Lastschriftverfahren (ELV ein, wenn Kunden an der Kasse per EC-Karte zahlen. Dabei unterschreibt der Kunde auf dem Kassenbon mit einer Einzugs­ermächtigung, dass der Betrag von seinem Konto abgebucht werden darf. Zudem befreit er seine Bank vom Bankgeheimnis, falls die Lastschrift „platzt“; dann ist von einer Rücklastschrift die Rede. Dies passiert z. B., wenn das Konto nicht aus­reichend gedeckt war. Die Bank darf dann die Adresse des Kunden an den Supermarkt weitergeben, damit dieser die offene Forderung eintreiben kann.
Mit der Zeit wurden die Klauseln auf den Kassenzetteln immer länger, was Verbraucher- und Datenschützer veranlasste, sie genauer unter die Lupe zu nehmen. Schon länger ist bekannt, dass einzelne Händler eigene schlechte Zah­lungserfahrungen speichern. Wenn eine Rücklastschrift bei einem Händler ein­ging, erfolgte eine Speicherung in einer sogenannten Sperrdatei dieses Händlers. Dieses Vorgehen ist zulässig, solange die Forderung nicht beglichen ist. Der Händler hat ein berechtigtes Interesse daran, den Kunden nicht noch mal im „riskanten“ Lastschriftverfahren bezahlen zu lassen. Denn die Gefahr ist hoch, dass das Konto noch immer nicht gedeckt ist. Außerdem dürfen Händler auch Kartenverlustmeldungen aus einem polizeilichen Register, der KUNO-Datei, verwenden.

Will ein Händler das Lastschriftverfahren nicht einsetzen, bleibt im Wesentlichen die Möglichkeit der Barzahlung oder des EC-Cash-Verfahrens. Bei letzterem wird ebenfalls die EC-Karte eingesetzt, allerdings in Kombination mit der PIN. Dieses Verfahren ist für den Händler sicherer als das ELV, da dieser bei erfolgrei­cher Autorisierung der Zahlung von der Bank des Kunden eine Zahlungsgarantie erhält. Diese Zahlung kann also nicht mehr „platzen“. Dafür berechnen die Banken den Händlern allerdings Gebühren.

Die meisten Händler bedienen sich sogenannter EC-Netzbetreiber. Diese stellten ursprünglich nur die Kartenlesegeräte zur Verfügung, leiteten die Zahlungsdaten weiter und wickelten die Zahlung ab. Das Leistungsangebot der EC-Netzbetreiber wurde nun sukzessive erweitert. Hintergrund war der Wunsch der Händler, das teure PIN-Verfahren zu vermeiden und das zunächst unentgeltliche ELV zu nutzen, allerdings möglichst ohne das Risiko von Rücklastschriften. Entwickelt wurden Instrumente zur Risikomessung, -steuerung und -übernahme.

Die EC-Netzbetreiber entwickelten das Instrument der sogenannten Zahlungs­wegeempfehlung. Wird aus Sicht der EC-Netzbetreiber eine „riskante EC-Karte“ eingesetzt, bei der aus bestimmten Gründen ein Rücklastschriftrisiko besteht, wird nicht das ELV eingesetzt. Vielmehr wechselt die Kasse zum teureren, aber siche­ren PIN-Verfahren. Um das Risiko einschätzen zu können, sammeln die EC‑Netz­betreiber zentral von verschiedenen Händlern Informationen über Rücklast­schriften. Außerdem werden Datum, Uhrzeit, Ort und Betrag jeder Zahlung im Lastschriftverfahren gespeichert. Anhand dieser Informationen werden u. a. soge­nannte Händlerlimits berechnet. Mithilfe dieses Limits kann ein Händler z. B. bestimmen, dass das ELV nur eingesetzt wird, wenn verschiedene Einkäufe mit einer EC-Karte in einem Zeitraum von 30 Tagen einen Betrag von 400 Euro nicht übersteigen.

Die Datenschutzbehörden bemängeln, dass die Kundinnen und Kunden nicht ausreichend informiert werden. In vielen Fällen erfolgt kein Hinweis, was mit den Zahlungsdaten über die herkömmliche Nutzung im ELV hinaus passiert. Wenn ein Hinweis auf den Kassenzettel gedruckt war, so oftmals nur auf dem Exemplar des Händlers. Dem Kunden wurde der Hinweis nicht zur eingehenden Information überreicht. In der eiligen Kassensituation hat er auch faktisch keine Möglichkeit, sich einen langen Text vor der Unterschrift in Ruhe durchzulesen.

Die Hinweise auf den Kassenzetteln sind weiterhin sehr pauschal und für den Kunden nicht verständlich. Nach Ansicht des ULD kommt die Einwilligung mit der Unterschrift nach dem Auslesen der Karte und erfolgten Datenabgleich mit den Listen der EC-Netzbetreiber auch zu spät. Die Überprüfung und Bewertung der Vorgänge bei den EC-Netzbetreibern ist noch nicht abgeschlossen. Es gab Hinweise, dass die Daten aus dem ELV für andere Zwecke als nur für die der Zahlungsabwicklung genutzt wurden. Zwei Datenschutzaufsichtsbehörden stellten Strafanträge wegen des Verdachts der unzulässigen Datenweitergabe zu Zwecken der Zahlungsverkehrsanalyse.

5.4         Bonitätsabfragen  durch die Wohnungswirtschaft

Vermieter holen vor der Vermietung von Wohnraum zu den Mietinteressen­ten nicht selten Informationen über Auskunfteien ein. Für derartige Boni­tätsabfragen bestehen datenschutzrechtliche Grenzen.

Das ULD hat bei 53 Unternehmen der Wohnungswirtschaftsbranche eine Befra­gung zur Praxis der Bonitätsabfragen zu Mietinteressenten durchgeführt. Es wurde gebeten, die verwendeten Formulare vorzulegen und zu erläutern, welche Auskünfte bei Auskunfteien eingeholt werden. Aus den Antworten ergibt sich, dass Angaben zur Bonität vorwiegend nur zum letztverbleibenden Mietinteres­senten eingeholt werden.

Aus Datenschutzsicht darf eine Auskunft zu einem Mietinteressenten tatsächlich erst dann eingeholt werden, wenn der Abschluss des Mietvertrages mit diesem Bewerber nur noch vom positiven Ergebnis der Bonitätsprüfung abhängt. Da der Vermieter mit dem Abschluss des Mietvertrages das Risiko eingeht, dass ein Mieter wegen Zahlungsunfähigkeit oder -unwilligkeit den Mietzins nicht begleicht, hat der Vermieter bei einem finanziellen Ausfallrisiko grundsätzlich ein berechtigtes Interesse an einer Bonitätsauskunft. Dieses besteht noch nicht bei einer zeitgleichen Datenabfrage zu mehreren Wohnungsinteressenten.

5.5         Datenschutz in der Versicherungswirtschaft

Die Arbeitsgruppe Versicherungswirtschaft des Düsseldorfer Kreises ver­handelt mit dem Gesamtverband der Deutschen Versicherungswirtschaft unter Vorsitz des ULD über einen großen Strauß von Datenschutzfragen der Branche.

Die Arbeitsgruppe (AG) erstellte eine Stellungnahme zu Bonitätsprüfungen in der Versicherungswirtschaft. Die Verhandlungen zur Erstellung einer Schweige­pflichtentbindungs- und datenschutzrechtlichen Einwilligungserklärung mit dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) sind weit fort­geschritten. Das neue Hinweis- und Informationssystem der Versicherungswirt­schaft (HIS) soll im April 2011 in Form einer Auskunftei in Betrieb gehen.

• Bonitätsabfrage und Scoring bei Versicherungen

Die Datenschutzaufsichtsbehörden in der AG Versicherungswirtschaft gaben zur Frage der Zulässigkeit von Bonitätsabfragen durch Versicherungsunternehmen eine Stellungnahme gegenüber dem GDV ab. Danach darf ein Versicherungs­unternehmen Bonitätsauskünfte nur einholen, wenn in dem konkreten Einzelfall ein berechtigtes Interesse an der Information dargelegt werden kann. Schutzwür­dige Interessen der betroffenen Person dürfen dem nicht entgegenstehen. Ent­scheidend ist, ob der Vertrag für das Unternehmen ein sogenanntes finanzielles Ausfallrisiko birgt.

Ein finanzielles Ausfallrisiko sieht die AG Versicherungswirtschaft nur bei ganz bestimmten Versicherungsarten für gegeben. Ein solcher Sonderfall sind Kreditversicherungen, bei denen das Versicherungsunternehmen die Rolle eines Bürgen einnimmt. Bei Pflichtversicherungen, bei denen aufgrund gesetzlicher Regelungen die Aufrechnung fälliger Prämienforderungen gegenüber einem begünstigten Dritten ausgeschlossen ist, kann das Ausfallrisiko auch eine Boni­tätsanfrage legitimieren. Für die Krankenvollversicherung im Basistarif wurde für die Fälle, in denen eine gesetzliche Verpflichtung zur Gewährung von Versiche­rungsverträgen besteht, festgestellt, dass kein berechtigtes Interesse besteht. Für Krankenvollversicherungen außerhalb des Basistarifs wird ein berechtigtes Inte­resse anerkannt, soweit die abgefragten Daten nicht über den Datenkatalog der Schuldner- und Insolvenzverzeichnisdaten hinausgehen. In Anbetracht der exis­tenziellen Bedeutung von Krankenversicherungsverträgen stehen jeder weiter gehenden Datenabfrage schutzwürdige Interessen des Betroffenen entgegen.

Die rechtliche Bewertung des Scorings bei Versicherungsunternehmen befindet sich in der AG noch in der Abstimmung.

• Einwilligungs- und Schweigepflichtentbindungserklärung

Die Mustererklärungen zur datenschutzrechtlichen Einwilligung und zur Schwei­gepflichtentbindung wurden zwischen dem GDV und den Datenschutzaufsichts­behörden weitgehend abgestimmt (32. TB, Tz. 5.2). Einzelbereiche wie die Datenweitergabe an Rückversicherer sowie die Datenweitergabe an Vermittler bedürfen einer separaten Klärung. Es ist vorgesehen, den abgestimmten Kern der Mustererklärungen 2011 durch den Düsseldorfer Kreis bestätigen zu lassen.

• Hinweis- und Informationssystem der Versicherungswirtschaft (HIS)

Ein Unternehmen der informa Unternehmensberatung soll ab April 2011 das neue HIS in Ausgestaltung einer Auskunftei betreiben (32. TB, Tz. 5.2). Dafür wurde eine eigene Gesellschaft, die Informa Insurance Risk and Fraud Prevention GmbH (IIRFP) gegründet. Es wurde geklärt, dass über HIS keine Gesundheits­daten ausgetauscht werden. Weitere Themen der Abklärung zwischen der AG Versicherungswirtschaft, der IIRFP und dem GDV waren die Nutzung des HIS im Leistungsfall in der Lebensversicherung sowie Benachrichtigungs- und Aus­kunftspflichten insbesondere bei Sachdaten wie Kfz-Daten. Es besteht noch nicht über sämtliche Fragen der Ausgestaltung des neuen HIS Einvernehmen.

 

5.6         Datenschutz bei Vereinen

Bei der Übermittlung von Mitgliederdaten an einzelne Vereinsmitglieder sind datenschutzrechtliche Vorgaben zu beachten. Die Einschaltung eines Datentreuhänders erweist sich hierbei als suboptimal.

Ein Vereinsmitglied begehrte vom Verein die Übersendung einer Mitglieder­liste. Ausnahmsweise dürfen Mitgliederdaten ohne die Einwilligung der Betroffe­nen und bei Fehlen einer Satzungsregelung übermittelt werden, wenn das Ver­einsmitglied ein berechtigtes Interesse – etwa ein konkretes Begehren im Rahmen der vereinsinternen Willensbildung – wahrnimmt und keine schutzwürdigen Mitgliederinteressen entgegenstehen. Schutzwürdige Belange stehen der Daten­übermittlung bei einer Nutzung für Werbezwecke entgegen. In jedem Fall sind Widersprüche der Mitglieder gegen die Datenübermittlung zu berücksichtigen.

Nicht zu empfehlen ist die Zwischenschaltung eines Treuhänders, der etwaige Widersprüche der Vereinsmitglieder gegen eine Übermittlung ihrer Daten entge­gennehmen, prüfen und bearbeiten soll. Denn für eine Übermittlung der Mitglie­derliste vom Verein an den Treuhänder besteht in der Regel keine Rechtsgrund­lage. Der Treuhänder wäre zudem selbst für die Datenverarbeitung verantwortlich und unterläge einer Vielzahl von Pflichten, auch im technischen und organisatori­schen Bereich. Der Verein sollte selbst eine Prüfung vornehmen, inwiefern die Mitgliederdaten an ein Vereinsmitglied übermittelt werden dürfen. Er sollte Verfahren einrichten, mit denen eine vom Vorstand unbeeinflusste Willens­bildung im Verein möglich ist.

5.7         Smart Meter

Seit Januar 2010 verpflichtet das Energiewirtschaftsgesetz Energieversor­gungsunternehmen, bei Neubauten und Umbauten zur Verbesserung der Energiebilanz sogenannte intelligente Zähler zur Messung der verbrauchten Energiemenge einzubauen bzw. anzubieten.

Der Bundesgesetzgeber verpflichtete die Unternehmen mit Ablauf des Jahres 2010 zum Angebot tageszeitabhängiger und lastvariabler Tarife. Dies sind Tarife, bei denen in Abhängigkeit von der im Netz verfügbaren Energiemenge oder dem Zeitpunkt der Entnahme der Energie die Preise variabel gestaltet sind. Der verpflichtende Einsatz intelligenter Zähler beschränkt sich derzeit auf die Messung des Stromverbrauches. Dabei wird es nicht bleiben. Die Einführung dieser Technik ist in sämtlichen Versorgungssparten, also auch Gas und Wasser, geplant und wird in Pilotprojekten getestet.

Zweck der gesetzlichen Vorgaben ist die Verbesserung der Kontrolle und Steu­erung des Verbrauchs. Außerdem ist dies der erste Schritt zu sogenannten intelli­genten Versorgungsnetzen – Smart Grids. Im Gegensatz zu den herkömmlichen (Ferraris-)Zählern sind die intelligenten Zähler in der Lage, sekundengenau den Verbrauch zu erfassen. Die gemessenen Daten können für feingranulare Last- und Nutzungsprofile verwendet werden. Die Auswertung erlaubt sogar die Fest­stellung, welches Gerät die Energie verbraucht hat.

Die moderne Gesellschaft ist durch eine hochtechnisierte Lebensweise geprägt, die den Verbrauch von Ressourcen mit sich bringt, also von Strom, Gas, Wasser oder Wärmeenergie. Tagesabläufe spiegeln sich in der Nutzung der Ressourcen wider. Mit dem technischen Potenzial der zeitlich kleinteiligen und gerätegenauen Erfassung des Verbrauchs können die Lebensgewohnheiten Betroffener durch intelligente Zähler abgebildet werden. Diese Zählertechnologie birgt somit ein hohes Ausforschungspotenzial. Der Eingriff in die Privatsphäre der Betroffenen ist vergleichbar mit der akustischen Wohnraumüberwachung. Sie geht teilweise darüber hinaus. Der Einsatz intelligenter Zähler berührt nicht nur das Recht auf informationelle Selbstbestimmung. Auch die verfassungsrechtlich garantierte Unverletzlichkeit der Wohnung kann dadurch verletzt werden (32. TB, Tz. 7.3).

Der Gesetzgeber hat bei der Einführung der Zähler die potenzielle Gefährdung für die Persönlichkeitsrechte der Betroffenen vollständig ignoriert, obwohl der Bundesrat die Regelung dieses Aspektes im Gesetzgebungsverfahren angemahnt hatte. Einziger Datenschutzmaßstab für die Verarbeitung der Verbrauchsdaten bleibt daher das BDSG. Eine Verwendung der durch intelligente Zähler erhobe­nen Daten ist nur zulässig, wenn dies zur Erfüllung bestehender Energielieferver­träge unbedingt erforderlich ist oder die Betroffenen freiwillig und informiert in die Erhebung, Verarbeitung und Nutzung der Daten eingewilligt haben. Sie können ihre Einwilligung jederzeit widerrufen.

Eine Spezialregelung muss sich am Zweck der Verarbeitung der erhobenen Verbrauchsdaten orientieren. Dabei ist zwischen Bestandsdaten, abrechnungsrele­vanten Daten und steuerungsrelevanten Daten zu unterscheiden. Bestandsdaten sind Daten, die Auskunft über die Identität des Betroffenen und der Entnahme­stelle geben. Sie werden unabhängig vom konkreten Verbrauch durch die Ener­gieversorgungsunternehmen erhoben, verarbeitet und genutzt. Abrechnungsrele­vante Daten sind sowohl einzelne als auch aggregierte Verbrauchsinformationen, die Auskunft über die Menge der verbrauchten Energie über einen bestimmten Zeitraum geben. Deren Verarbeitung ist erforderlich, um die vereinbarte Versor­gungsleistung abzurechnen. Die Länge des Erfassungszeitraums wird maßgeblich durch die Abrechnungsintervalle des Versorgungsvertrages bestimmt. Steuerungs­relevante Daten ergeben individuelle Verbrauchsprofile mit Angaben über die Netznutzung durch die Betroffenen, zu den die Energie nutzenden Geräten, zur Art des Verbrauchs und weitere für die Abrechnung nicht relevante technische Informationen. Steuerungsrelevante Daten dürfen nur für die Überwachung des ordnungsgemäßen Betriebs des Versorgungsnetzes und zur Sicherstellung der Versorgung der Verbraucher mit der Ressource durch Versorgungsunternehmen und Netzbetreiber verarbeitet werden. Eine darüber hinausgehende Verwendung steuerungsrelevanter Daten kann nur in anonymisierter Form zugelassen werden.

Eine bereichsspezifische Regel muss die Transparenz der Datenverarbeitung und die Wahrung der Betroffenenrechte sichern. Durch angemessene technisch-orga­nisatorische Maßnahmen ist gemäß dem Stand der Technik sicherzustellen, dass bei der Übermittlung der Zugriff unberechtigter Dritter ausgeschlossen ist und Daten nicht durch Unbefugte verändert oder gelöscht werden können.

Intelligente Zähler und die geplanten intelligenten Verteil- bzw. Verarbeitungs­netze sind Systeme zur automatisierten Verarbeitung personenbezogener Daten. Für sie müssen integrierte Datenschutz- und Managementsysteme konzipiert und aufgebaut werden mit dem Ziel der Sicherstellung der Vertraulichkeit, der Inte­grität, der Verfügbarkeit, der Transparenz, der Nichtverkettbarkeit und der Inter­venierbarkeit selbst in vernetzten, heterogenen und komplexen Systemumgebun­gen. Über Risikoanalysen, -bewertungen und -behandlungen können national und international Standards und Vorgehensweisen erarbeitet werden. Die 80. Konfe­renz der Datenschutzbeauftragten hat Anfang November 2010 einen Beschluss zur intelligenten Messung des Energieverbrauchs gefasst, der eine bereichsspezi­fische Normierung fordert und dafür datenschutzrechtliche Eckpunkte festhält.

5.8         Einzelfälle

5.8.1      Auskunfteien  und Gewerbedaten

Zur Beschaffung von nicht allgemein zugänglichen Gewerbedaten müssen Auskunfteien bei den Gewerbeämtern ein rechtliches Interesse an deren Kenntnisnahme darlegen.

Das Standardformular einer Auskunftei zur Begründung des Datenbedarfs bei Gewerbeämtern enthielt folgende Formulierung: „Wir benötigen die Angaben für die Beurteilung eines Kreditvertrages bzw. wegen Forderungseinzug.“ Diese Formulierung hat einen doppelten Inhalt: Die „Beurteilung eines Kreditantrages“ bezieht sich auf die Erteilung einer Bonitätsauskunft; beim „Forderungseinzug“ geht es um die Erlangung der Kontaktdaten eines Schuldners zur Realisierung einer Forderung.

Gesetzlich gefordert ist aber ein rechtliches Interesse. Dieses setzt eine konkrete Rechtsbeziehung zwischen Antragsteller und dem Gewerbetreibenden voraus. Eine solche Beziehung besteht jedoch nicht ohne Weiteres zwischen Auskunftei und einem Gewerbetreibenden. Kreditverträge schließt ein Gewerbetreibender mit einer Bank, nicht mit der Auskunftei. Aus dem Standardformular ergibt sich nicht, ob ein konkreter Kreditantrag des Gewerbetreibenden vorliegt oder nur eine bloße Konditionenanfrage. Bei einer Konditionenanfrage besteht noch keine konkrete Rechtsbeziehung. Würde die Auskunftei im Auftrag einer Bank tätig, der ein konkreter Kreditantrag eines Gewerbetreibenden vorliegt, wäre eine Auskunft möglich.

Für den Forderungseinzug besteht ein rechtliches Interesse einer Auskunftei nur bei Erwerb der Forderung. Sie wird dann nicht als Auskunftei, sondern als Inkassounternehmen tätig. Der Forderungserwerb begründet eine konkrete Rechtsbeziehung. Sollen fremde Forderungen realisiert werden, so kommt es darauf an, ob die Auskunftei vom Gläubiger tatsächlich zum Forderungseinzug und zur Vornahme einer erweiterten Gewerbeauskunft beauftragt wurde.

5.8.2      Traueranzeigen als Quelle für Werbedaten

Ein Bürger bekam kurze Zeit nach dem Tod seiner Mutter unverlangt Werbung eines Steinmetzbetriebes mit konkreten Angeboten zum Kauf eines individuellen Grabsteins für die Verstorbene.

Der Bürger und seine Angehörigen fühlten sich durch diese Werbung unmittelbar nach dem Trauerfall in ihren Gefühlen verletzt. Das Grabsteinunternehmen hatte systematisch die Traueranzeigen der regionalen und überregionalen Tageszeitun­gen ausgewertet, die Adressen der Hinterbliebenen unter Zuhilfenahme des Tele­fonbuches ergänzt und anschließend seinen Grabsteinkatalog versandt. Die Daten stammten aus allgemein zugänglichen Quellen.

Im Beschwerdefall lagen zwischen dem Tod der Mutter und dem Zeitpunkt der Versendung der Werbepost 15 Tage. Der Bundesgerichtshof hat im April 2010 entschieden, dass Briefwerbung für Grabsteine wettbewerbsrechtlich keine unzu­mutbare Belästigung der Hinterbliebenen darstellt, wenn sie nach Ablauf einer Frist von zwei Wochen nach dem Todesfall erfolgt. Das ULD schloss sich dem an und vertrat die Auffassung, dass die schutzwürdigen Interessen der Betroffenen durch die Einhaltung einer Wartefrist von zwei Wochen zwischen Todesfall und Zusendung der Werbung ausreichend berücksichtigt wurden.

Der fehlende Hinweis auf das Widerspruchsrecht der Betroffenen auf dem Werbeprospekt wurde vom ULD beanstandet. Das Unternehmen zeigte sich zunächst bereit, einen schriftlichen Hinweis auf das Widerspruchsrecht in seine Werbeprospekte aufzunehmen. Inzwischen teilte es uns mit, dass es den unmittel­baren Versand von Werbung an Angehörige nach einem Trauerfall völlig einge­stellt habe.

5.8.3      Was der Finanzberater alles weiß

Ein selbstständiger Finanzberater in Schleswig-Holstein erhielt von einer Bank detaillierte Kontoinformationen über einen ihrer Kunden und sprach ihn mithilfe der Daten an, um ihm ein Produkt zu verkaufen.

Ein Bankkunde war erstaunt, als ihn ein selbstständiger Finanzberater anschrieb. Der Brief enthielt kein allgemeines Werbeschreiben, sondern das ausgefüllte Formblatt „Kündigung einer Spareinlage“. Alle Daten – von Namen, Anschrift und Geburtsdatum über Kontonummer bis zur Höhe der Spareinlage – waren schon eingetragen. Wie konnte der Finanzberater an die Daten des Bank­kontos gelangt sein? Dieser war für eine Finanzberatungsgesellschaft tätig, welche ein Tochterunternehmen der kontoführenden Bank war und die Aufgabe des Finanzvertriebs übernahm. Die Finanzberatungsgesellschaft griff hierfür auf viele als selbstständige Handelsvertreter agierende Finanzberater zurück.

Der selbstständige Finanzberater hatte die Kontodaten des Bankkunden von der Finanzberatungsgesellschaft erhalten. Das ULD beanstandete die Nutzung der Kontodaten durch den selbstständigen Finanzberater zu Vertriebszwecken, für die es keine Rechtsgrundlage gab. Angaben zu Kontobewegungen sind besonders sensible Daten. Die Abbuchung des Partei- oder Gewerkschaftsbeitrags, einer Spende an den Verein zur Förderung von AIDS-Prävention und die Begleichung der Rechnung des Lungenspezialisten erlauben beispielsweise tiefe Rückschlüsse auf den Privatbereich des Kontoinhabers.

Viele solche freiberuflichen Außendienstmitarbeiter hatten Zugriff auf Kunden­datensätze mit Kontoinformationen. Der für die Bank zuständige Datenschutz­beauftragte Nordrhein-Westfalens verhängte gegen diese ein Bußgeld wegen eines schweren Verstoßes gegen das Bankgeheimnis.

5.8.4      Auskunfts- und Löschpflichten der Banken

Ein unvollständig beantwortetes Auskunftsersuchen eines Bankkunden gegen­über seiner Bank offenbarte, dass Kontaktdaten des Kunden seit über zehn Jahren in einer Interessentendatei gespeichert waren.

Ein „frischer“ Bankkunde hatte seine Bank um Auskunft gebeten, wie seine seit Jahren veralteten E-Mail-Adressen und Faxnummern in seinen Datensatz bei der Bank gelangt waren. Die Serviceabteilung der Bank meinte, er müsse die Kontaktdaten selbst angegeben haben. Eine detaillierte Herkunft der Daten könne nicht nachvollzogen werden. Der Kunde war sicher, dass er die seit Jahren inakti­ven Adressen nicht angegeben hatte, und vermutete illegale Datenquellen. Unser Nachhaken und eine gründliche Recherche brachten als Datenquelle eine seit mehr als zehn Jahren bestehende Interessentendatenbank hervor. Der Bank­kunde hatte sich schon vor zwölf Jahren als Interessent an die Bank gewandt und die inzwischen veralteten Daten angegeben. Es kam damals nicht zu einem Vertragsschluss. Trotzdem blieb er mit seinen Kontaktdaten bis ins Jahr 2010 im System der Bank gespeichert. Der neue Kontakt führte zu einer Verknüpfung der Datensätze und zur Aufnahme der alten Interessentendaten in den aktuellen Datensatz.

Verantwortliche Stellen müssen jederzeit Auskunft über die Herkunft der bei ihnen gespeicherten Daten geben können. Dafür haben sie geeignete Maßnahmen der Eingabekontrolle zu treffen. In einem Datenschutzmanagement ist ein geeignetes und effektives Verfahren der Auskunftserteilung vorzusehen. Die im Unternehmen laufenden Verfahren müssen ständig präsent und auf ihre Daten­schutzkonformität hin geprüft sein. Eine Datenbank darf nicht zwölf Jahre lang „unbemerkt“ anwachsen. Daten sind zu löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Die Speiche­rung von Interessentendaten ist nur in unmittelbarer zeitlicher Nähe zur Anfrage des Interessenten erforderlich.

5.8.5      Bank  bittet um Rückruf

Das Callcenter einer Bank rief wegen eines Problems im Datenbestand an und bat um Rückruf. Der Angerufene war schon seit drei Jahren kein Kunde dieser Bank mehr.

Ein Bürger teilte mit, das Callcenter einer Bank habe ihn angerufen und ihm mit­geteilt, etwas sei mit seinem Datenbestand nicht in Ordnung. Er solle unbedingt einen bestimmten Kundenberater zurückrufen. Der Angerufene war erstaunt, denn er hatte schon seit drei Jahren kein Konto mehr bei dieser Bank. Er vermutete, dass es sich um eine „Werbemasche“ handelte. Derartige Vorgänge werden uns immer häufiger mitgeteilt.

Das Verbot der „Cold Calls“, also von Werbeanrufen, wenn keine Einwilligung des Angerufenen vorliegt, hat sich mittlerweile herumgesprochen. Unternehmen verschiedener Branchen bitten unter der Angabe fadenscheiniger Gründe um einen Rückruf. Der Abonnentin einer Zeitschrift wurde nach Kündigung des Abos z. B. postalisch mitgeteilt, etwas sei mit der Abbuchung schiefgelaufen. Sie solle deshalb zurückrufen. Beim Rückruf stellte sich heraus, dass man ihr die Verlänge­rung des Abos anbieten wollte. Dabei handelt es sich um eine unzulässige Umge­hung des „Cold Call“-Verbots. Kundendaten dürfen von Unternehmen nur verwendet werden, wenn es für die Vertragsabwicklung erforderlich ist. Das Nutzen von Kundendaten zur Umgehung des „Cold Call“-Verbots ist nicht erfor­derlich und deshalb unzulässig.

5.8.6      Spieglein, Spieglein an der Kasse …

Mehrere besorgte Bürger wandten sich an das ULD und beschwerten sich über Spiegel, die über den Kassen von Supermärkten aufgehängt waren.

Die im Kassenbereich vieler Supermärkte aufgehängten Spiegel sollen den Kassiererinnen in erster Linie einen Blick in die Einkaufswagen der Kunden ermöglichen und dienen so dem Schutz vor Diebstahl. Mehrere besorgte Bürger brachten jedoch ihre Befürchtung zum Ausdruck, durch die aufgehängten Spiegel wäre ein Ausspähen ihrer PIN-Nummer beim Bezahlen mit EC-Karte durch hinter ihnen in der Warteschlange stehende Kunden möglich.

Ein tatsächlich erfolgtes Ausspähen der PIN-Nummer wurde zwar in keinem Fall erwiesen, doch konnte das ULD die Befürchtungen im Grundsatz nachvollziehen. Die betroffenen Supermärkte wurden über die vorgetragenen Bedenken informiert und gebeten, die Spiegel abzubauen. Die Märke sind unserer Bitte ausnahmslos gefolgt und haben zeitnah die Spiegel abmontiert.

Die Spiegel werden nach unserem Eindruck in den Kassenbereichen ohnehin mehr und mehr durch moderne Videotechnik verdrängt. Der Vorteil dieser neuen Technik gegenüber den Spiegeln ist, dass der Bereich der PIN-Eingabetastatur für die EC-Geräte durch gezielte Konfiguration ausgeblendet bzw. geschwärzt werden kann. Damit wird sowohl dem Sicherheitsbedürfnis des Unternehmens hinsichtlich der Verhinderung von Diebstählen als auch dem Bedürfnis der Kunden an der Geheimhaltung der PIN-Nummer genügt. Derartige Kamera­systeme müssen aber tatsächlich so konfiguriert sein und dürfen zudem nicht zur Kontrolle der Leistung und des Verhaltens der Kassiererinnen genutzt werden.

5.8.7      Die Kamera als Waffe gegen den Nachbarn

Dem Ideenreichtum streitender Nachbarn sind keine Grenzen gesetzt. Dabei übernimmt die Videokamera oft die Funktion einer bedrohlichen Waffe.

Das ULD erreichen weiterhin zahlreiche Beschwerden von Bürgern, die sich von ihren Nachbarn mittels Videotechnik verfolgt und bedroht fühlen. Gegenseitige Vorwürfe – etwa angebliche Verschmutzung von Vorgärten mit Hunde- und Katzenkot, absichtliches Einbringen von Unkrautsaat in Ziergärten oder Beschä­digung von Kraftfahrzeugen – stehen zumeist im Hintergrund. Der wahre Zweck der Kameras ist zumeist die Einschüchterung des ungeliebten Nachbarn.

Bei der Bearbeitung solcher Beschwerden unterscheidet das ULD zwei unter­schiedliche Fallgruppen. Sind bei den dargestellten Sachverhalten öffentliche Belange berührt, z. B. durch Beobachtung von Bürgersteigen und öffentlichem Straßenraum, fordert das ULD die Kamerabetreiber auf, die Überwachung zu beenden und die Geräte abzubauen. Nötigenfalls werden Bußgeldverfahren wegen unzulässiger Erhebung personenbezogener Daten eingeleitet.

Wird nur das Nachbargrundstück beobachtet, verweist das ULD die Bürger vor dem Hintergrund, dass das ULD keine Betretungsrechte hinsichtlich privater Wohnungen und Grundstücke hat, in der Regel auf den Privatrechtsweg. Das Bundesdatenschutzgesetz ist bei der Datenverarbeitung zu persönlichen bzw. familiären Zwecken nicht anwendbar. Die Schlichtung privater Streitigkeiten ist nicht Aufgabe der Datenschutzaufsichtsbehörden.

5.8.8      Webcams  schießen wie Pilze aus dem Boden

Immer häufiger erreichen das ULD Beschwerden von aufmerksamen Bür­gern über Webcams, mit deren Hilfe Bilder von Landschaften oder von öffentlichen Plätzen im Internet dargestellt werden.

Das ULD prüft regelmäßig im Internet abrufbare Webcambilder, ob mit der Veröffentlichung der Aufnahmen gegen geltendes Datenschutzrecht verstoßen wird. Im Ergebnis war der Betrieb der überprüften Webcams zumeist – manchmal nach Veränderung der Einstellungen – zulässig.

Vor dem Hintergrund der Diskussion um eine Webcam in einem schleswig-holsteinischen Ostseebad hat das ULD seine Rechtsauffassung zum Einsatz von Webcams ausführlich dargelegt und veröffentlicht. Im konkreten Fall war das ULD insbesondere von den Zoommöglichkeiten auf einen bestimmten Strand­abschnitt nicht unbedingt begeistert. Die Identifizierbarkeit von Menschen war aber so eingeschränkt, dass die Bilder akzeptiert werden konnten.

Beim Betrieb von Webcams müssen auch die Anforderungen des Kunsturhebergesetzes (KUG) erfüllt sein. Danach dürfen Bildnisse, auf denen die Personen nur als Beiwerk neben einer Landschaft oder einer sonstigen Örtlichkeit erscheinen, auch ohne Einwilli­gung der Betroffenen veröffentlicht werden, es sei denn, schutzwürdige Interessen der Abgebildeten stehen einer Veröffentlichung entgegen. Zeigen Webcams Orts- oder Land­schaftsaufnahmen und lassen sich einzelne Personen nur mit besonderem Zusatzwissen identifizieren, so besteht für das ULD kein Anlass zum Eingreifen.

Durch vorhandene Zoomfunktionen bzw. Vergrößerungsmöglichkeiten der einzelnen Bilder können durchaus schutzwürdige Interessen von Betroffenen einer Veröffentlichung entgegenstehen, wenn etwa hochauflösende Bilder darge­stellt und bestimmte räumliche Bereiche, wie z. B. Kindergärten, Spielplätze, Toilettenanlagen, Eingänge zu Justizvollzugsanstalten, von der Webcam erfasst werden. Derartiges fanden wir aber in Bezug auf Webcams in Schleswig-Holstein nicht vor.

5.8.9      Unbeachtete Werbewidersprüche

Ein ehemaliger Bankkunde erhielt wiederholt Werbung seiner früheren Bank, obwohl er der Nutzung seiner Daten für Werbezwecke widersprochen hatte. Wir mussten ein Bußgeld verhängen.

Nach dem BDSG hat jeder Betroffene das Recht, gegenüber der verantwortlichen Stelle der Nutzung oder Übermittlung seiner Daten für Zwecke der Werbung oder Markt- und Meinungsforschung zu widersprechen. Der Widerspruch macht die Datennutzung für diese Zwecke unzulässig, so auch im geschilderten Fall. Die Reaktion der verantwortlichen Bank gab uns Grund zur Sorge, denn sie ließ schwerwiegende Mängel der innerbetrieblichen Organisation erkennen. Es war technisch und organisatorisch nicht gewährleistet, dass der Widerspruch mit Werbedaten vollständig abgeglichen wurde bzw. werden konnte. Dies führte dazu, dass der Widerspruch des Betroffenen nicht beachtet wurde. Der Bußgeld­bescheid ist rechtskräftig.

5.8.10    Behinderung der Aufsichtstätigkeit des ULD

Das ULD ist zur Erfüllung seiner Aufgaben auf die Mitwirkung der verant­wortlichen Stellen angewiesen. Diese müssen Prüfungshandlungen in ihren Geschäftsräumen dulden und dem ULD die für dessen Tätigkeit erforderli­chen Auskünfte erteilen. In der Praxis wird dies nicht immer beachtet.

Für Datenschutzermittlungen hat das ULD das Recht, Geschäftsräume von verantwortlichen Stellen zu betreten und vor Ort Prüfungen vorzunehmen (32. TB, Tz. 5.3.2).

Nicht weniger wichtig für die Aufgabenerfüllung des ULD ist dessen Auskunfts­recht. Verantwortliche Stellen müssen uns die für die Erfüllung unserer gesetzli­chen Aufgaben erforderlichen Auskünfte erteilen, auch auf schriftliche Anfragen. Eine Ausnahme gilt, wenn sich der Auskunftspflichtige durch die Beantwortung der Fragen der Gefahr strafgerichtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde. Das ULD weist in seinen Auskunftsersuchen stets auf die Auskunftspflicht und auf das Recht zur Verweigerung der Auskunft hin. Soll vom Auskunftsverweigerungsrecht Gebrauch gemacht werden, ist dies dem ULD mitzuteilen.

Dessen ungeachtet unterlassen verant­wortliche Stellen Rückmeldungen, nicht selten sind die Auskünfte lückenhaft. Oft bedarf es mehrfachen und nachdrücklichen Nachfragens, die verantwortliche Stelle dazu zu brin­gen, den Sachverhalt umfassend auf­zuklären und uns eine vollständige und richtige Auskunft zu erteilen. Die Nichterteilung sowie die nicht rich­tige, nicht vollständige und nicht rechtzeitige Erteilung der Auskunft stellen eine Ordnungswidrigkeit dar, wenn die verantwortliche Stelle sich nicht auf ein ihr zustehendes Aus­kunftsverweigerungsrecht beruft. In Fällen, in denen die Auskunft uns gegenüber nicht oder nicht vollstän­dig, richtig oder rechtzeitig erteilt wurde, werden vom ULD in der Regel Bußgeldverfahren eingeleitet. Das Amts­gericht Kiel bestätigte die Bußgeldbescheide, sofern dagegen Einspruch eingelegt wurde, dem Grunde nach.

 

Zurück zum vorherigen Kapitel

Zum Inhaltsverzeichnis

Zum nächsten Kapitel