05

Kernpunkte:


  • Versicherungen
  • Finanzdienstleistungen
  • Cloud Computing

5    Datenschutz in der Wirtschaft

5.1          Datenschutz in der Versicherungswirtschaft

Das ULD hat den Vorsitz der Arbeitsgruppe (AG) Versicherungswirtschaft des Düsseldorfer Kreises inne, der das Koordinierungsgremium der deutschen Datenschutzaufsichtsbehörden im nicht öffentlichen Bereich ist.

Die AG Versicherungswirtschaft hat im Berichtszeitraum die Verhandlungen mit dem Gesamtverband der Deutschen Versicherungswirtschaft (GDV) zum Hinweis- und Informationssystem (HIS) sowie zur Einwilligungs- und Schweigepflichtentbindungserklärung zur Verwendung von Gesundheitsdaten abgeschlossen. Ebenfalls konnten die Verhandlungen zu einer Verhaltensregel für die Versicherungswirtschaft nach § 38a Bundesdatenschutzgesetz (BDSG) abgeschlossen werden.

5.1.1       Hinweis- und Informationssystem der Versicherungswirtschaft (HIS )

Nach langen Verhandlungen der AG Versicherungswirtschaft mit dem GDV hat im April 2011 das neue Hinweis- und Informationssystem der Versicherungswirtschaft (HIS) als Warndienst den Betrieb aufgenommen. Betreiber ist die informa Insurance Risk and Fraud Prevention GmbH (IIRFP) mit Sitz in Baden-Baden. IIRFP ist ein Teil der infoscore-Gruppe. Zu dieser gehört auch eine der größten deutschen Auskunfteien, die infoscore Consumer Data GmbH (ICD). Die Datenbanken der ICD und der IIRFP sind streng voneinander getrennt. Einziger Geschäftszweck der IIRFP ist der Betrieb des HIS.

HIS dient der Bekämpfung und Verhinderung von Versicherungsbetrug und -missbrauch. Gemeldet werden können Personen wie Versicherungsnehmer oder Geschädigte sowie Objekte wie Fahrzeuge und Gebäude. Meldungen in HIS erfolgen nur, wenn bestimmte Auffälligkeiten bestehen. Diese werden bei besonderen Schadenfolgen, atypischen Schadenhäufigkeiten, Auffälligkeiten im Schadens- bzw. Leistungsfall und besonderen Risiken angenommen.

  • Unter besonderen Schadenfolgen werden Fälle wie die fiktive Abrechnung eines Fahrzeugschadens auf Gutachterbasis ab einer bestimmten Höhe verstanden, wenn also keine Reparatur erfolgt. Es soll verhindert werden, dass derselbe Schaden etwa bei einem Wechsel der Versicherung nochmals eingereicht wird.
  • Atypische Schadenhäufigkeiten beziehen sich auf einen bestimmten, nach Versicherungssparte unterschiedlichen Zeitraum. In der Rechtsschutzversicherung erfolgt eine Meldung beispielsweise regelmäßig, wenn innerhalb von zwölf Monaten vier oder mehr Versicherungsfälle eingetreten sind.
  • Auffälligkeiten des Schadensfalls stellen Auffälligkeiten des Schadenhergangs, ‑bildes oder -umfangs dar, die nach den Erfahrungen der Betrugsaufklärung und der Rechtsprechung Hinweiskriterien für Betrugsfälle darstellen. Hierunter fallen z. B. Hinweise auf banden- oder gewerbsmäßigen Versicherungsbetrug. Diese können vorliegen, wenn wiederholt Verkehrsunfälle vorgetäuscht werden, wobei Bandenmitglieder jeweils in unterschiedlichen Rollen – als Fahrer, Zeuge, Anspruchsteller – in Erscheinung treten.
  • Erschwerte Risiken sind z. B. beim Abschluss einer Lebensversicherung eine risikoerhebliche Vorerkrankung oder ein gefährlicher Beruf. Der konkrete Beruf oder die konkrete Krankheit sowie andere Gesundheitsdaten dürfen nicht an das HIS gemeldet werden. Damit Versicherungen Überversicherungen eines Kunden erkennen können, werden ab einer bestimmten Höhe Versicherungssummen und Rentenhöhen in HIS gemeldet. Von einer Überversicherung geht die Versicherungswirtschaft aus, wenn beispielsweise eine Rentensumme versichert ist, die das Interesse an der Vermeidung des Versicherungsfalls mindern kann.

Das neue HIS ersetzt das vom GDV seit 1993 genutzte alte HIS, das auch als „Uniwagnis“-System bezeichnet wurde (30. TB, Tz. 5.1). Dieses entsprach in vielfacher Hinsicht nicht den datenschutzrechtlichen Vorgaben und war deshalb von den Aufsichtsbehörden als unzulässig beanstandet worden.

Das neue HIS wurde in Abstimmung zwischen der Versicherungswirtschaft und den Datenschutzaufsichtsbehörden konzipiert (31. TB, Tz. 5.5.2). Die Bereiche zur Antrags- und Leistungsfallbearbeitung sind streng voneinander getrennt. Eine strikte Versicherungsspartentrennung ist vorgesehen. Damit wird sichergestellt, dass dem Sachbearbeiter einer Versicherung jeweils nur die erforderlichen Daten übermittelt werden. Auskünfte werden nur an Versicherungen, nicht an Unternehmen anderer Branchen erteilt. Eine Auskunft erfolgt nur, wenn ein berechtigtes Interesse der Versicherung an der Auskunft im Einzelfall vorliegt und keine schutzwürdigen Interessen des Betroffenen entgegenstehen. Abfragen von Versicherungen aus dem HIS werden protokolliert. In einem Stichprobenverfahren wird überprüft, ob diese Abfragen in zulässiger Weise erfolgt sind.

Die Versicherungen informieren bei Vertragsschluss über die Existenz, die Zwecke und die wesentlichen Funktionen des HIS. Bei Einmeldung von Informationen in HIS werden die Betroffenen – also neben Versicherungskunden beispielsweise auch Zeugen oder Geschädigte in einem Versicherungsfall – benachrichtigt. Dies ermöglicht, dass Betroffene frühzeitig bei der IIRFP eine Selbstauskunft einholen können. So lassen sich Fehler im Datenbestand des HIS oder Fehleinschätzungen bei der Einmeldung erkennen und aufklären. Mindestens einmal jährlich können Bürgerinnen und Bürger unentgeltlich eine Selbstauskunft verlangen.

Die regelmäßige Speicherfrist in HIS beträgt vier Jahre und beginnt mit dem Jahr, das der erstmaligen Speicherung folgt. Die Speicherdauer kann sich bei erneuten Einmeldungen innerhalb der vierjährigen Speicherfrist verlängern. Die maximale Speicherdauer beträgt zehn Jahre. Sollten unrichtige Daten in HIS gespeichert sein, müssen diese berichtigt werden. Unzulässig gespeicherte Daten sind zu löschen. Es geht nun darum, darauf zu achten, dass Einmeldungen in HIS nur erfolgen, wenn es zur Verhinderung von Versicherungsbetrug und Versicherungsmissbrauch erforderlich ist, und dass Abrufe aus HIS nur stattfinden, wenn ein berechtigtes Interesse an der Kenntnis der Information glaubhaft dargelegt worden ist und keine schutzwürdigen Interessen des Betroffenen entgegenstehen.

Was ist zu tun?

Von den Aufsichtsbehörden muss kontrolliert werden, ob der Betrieb des HIS entsprechend dem entwickelten Konzept und im gesetzlichen Rahmen erfolgt.

5.1.2       Einwilligungs- und Schweigepflichtentbindungserklärung

In jedem Bundesland besteht eine Behörde, die die Aufsicht über die dort ansässigen Unternehmen führt. Für Schleswig-Holstein nimmt das Unabhängige Landeszentrum für Datenschutz (ULD) die Aufgaben der Aufsichtsbehörde wahr. Sind datenschutzrechtliche Fragen zu klären, die überregional beispielsweise branchenweit eine Vielzahl von Unternehmen, Verbrauchern oder Beschäftigten betreffen, so erfolgt ein Austausch im sogenannten Düsseldorfer Kreis. Hierdurch wird eine einheitliche Linie in der Aufsichtspraxis angestrebt.

Die Aufsichtsbehörden haben mit der Versicherungswirtschaft eine Musterklausel zur Einwilligung in die Erhebung und Verwendung von besonders sensiblen Daten wie Gesundheitsdaten und zur Schweigepflichtentbindung entwickelt.

Mit Beschluss vom 17. Januar 2012 hat der Düsseldorfer Kreis die Mustereinwilligung angenommen. Versicherungsunternehmen müssen nun so schnell wie möglich die vom Bundesverfassungsgericht bereits 2006 für rechtswidrig erklärten Pauschaleinwilligungen (30. TB, Tz. 5.1) ersetzen.

In der Versicherungswirtschaft kann die Erhebung und Verwendung von Gesundheitsdaten erforderlich sein. Naheliegend ist dies bei Kranken- und Lebensversicherungen. Aber auch bei anderen Versicherungen wie der Kfz-Haftpflichtversicherung ist es bei der Bearbeitung eines Unfallschadens unter Umständen notwendig, Gesundheitsdaten zu verwenden. Gesundheitsdaten sind äußerst sensible und deshalb besonders geschützte Daten, deren Verwendung nur unter engen Voraussetzungen erlaubt ist. Da keine allgemeinen gesetzlichen Erlaubnisse für die Erhebung und Verwendung durch Versicherungen bestehen, benötigen Versicherungen datenschutzrechtliche Einwilligungen. Um wirksam zu sein, müssen diese freiwillig und informiert erteilt werden. Darüber hinaus benötigen Versicherungen Schweigepflichtentbindungserklärungen, um Gesundheitsdaten bei schweigepflichtigen Stellen wie Ärzten erheben zu dürfen, was beispielsweise bei der Prüfung eines Schadens erforderlich sein kann. Lebens- und Krankenversicherungen sind darüber hinaus selbst schweigepflichtig. Um Gesundheitsdaten oder weitere nach § 203 Strafgesetzbuch geschützte Daten wie die Tatsache, dass ein Vertrag mit dieser Versicherung besteht, weitergeben zu dürfen, muss ebenfalls eine wirksame Schweigepflichtentbindungserklärung erteilt worden sein.

http://www.datenschutz.de/aufsicht_privat/

Die Erhebung von Gesundheitsdaten durch Versicherungen bei Stellen wie Ärzten ist in § 213 Versicherungsvertragsgesetz (VVG) grundlegend geregelt:

(1) Die Erhebung personenbezogener Gesundheitsdaten durch den Versicherer darf nur bei Ärzten, Krankenhäusern und sonstigen Krankenanstalten, Pflegeheimen und Pflegepersonen, anderen Personenversicherern und gesetzlichen Krankenkassen sowie Berufsgenossenschaften und Behörden erfolgen; sie ist nur zulässig, soweit die Kenntnis der Daten für die Beurteilung des zu versichernden Risikos oder der Leistungspflicht erforderlich ist und die betroffene Person eine Einwilligung erteilt hat.

(2) Die nach Absatz 1 erforderliche Einwilligung kann vor Abgabe der Vertragserklärung erteilt werden. Die betroffene Person ist vor einer Erhebung nach Absatz 1 zu unterrichten; sie kann der Erhebung widersprechen.

(3) Die betroffene Person kann jederzeit verlangen, dass eine Erhebung von Daten nur erfolgt, wenn jeweils in die einzelne Erhebung eingewilligt worden ist.

(4) Die betroffene Person ist auf diese Rechte hinzuweisen, auf das Widerspruchsrecht nach Absatz 2 bei der Unterrichtung.

Die Musterklausel wurde als Baukastensystem entwickelt. Für die Versicherungen und ihre Mitarbeiterinnen und Mitarbeiter wurden Hinweise für die Anwendung der Musterklausel erstellt.

  • Ein Baustein betrifft die Erhebung, Speicherung und Nutzung von Gesundheitsdaten durch die Versicherung, die der Betroffene selbst mitgeteilt hat. Die Musterklausel bezieht sich dabei ausdrücklich nur auf solche Daten, die erforderlich sind zur Prüfung eines Versicherungsantrags oder zur Begründung, Durchführung oder Beendigung eines Versicherungsvertrages.
  • Der zweite Baustein betrifft die Abfrage von Gesundheitsdaten bei anderen Stellen. Bei diesen Stellen handelt es sich vor allem um Ärztinnen und Ärzte sowie Krankenhäuser. Eine solche Abfrage kann zur Risikoprüfung im Antragsfall notwendig sein. Außerdem kann es zur Prüfung der Leistungspflicht einer Versicherung erforderlich sein, Angaben eines Versicherten über seinen Gesundheitszustand zu überprüfen. Für diese Einwilligung enthält die Musterklausel eine Wahlmöglichkeit. Die Einwilligung kann für jede Abfrage in der Zukunft „pauschal“ erteilt werden. In diesem Fall wird der Versicherte vor jeder Datenabfrage bei Dritten wie Ärzten unterrichtet. Die Unterrichtung muss darüber informieren, von wem und zu welchem Zweck Daten erhoben werden sollen. Außerdem ist der Versicherte auf sein Widerspruchsrecht und die Möglichkeit, die erforderlichen Unterlagen selbst beizubringen, hinzuweisen. Der Versicherte kann aber auch die Möglichkeit wählen, in jedem Einzelfall zu entscheiden, ob er der konkreten Abfrage von Gesundheitsdaten zustimmt oder die erforderlichen Unterlagen beispielsweise aus seiner Krankenakte selbst beibringt.
  • Der dritte Abschnitt der Mustereinwilligung betrifft die Weitergabe von Gesundheitsdaten durch Versicherungen.
  • Ein Baustein erfasst die Datenweitergabe an medizinische Gutachter. Dies kann für die Prüfung des Risikos bei Antragstellung oder zur Prüfung einer Leistungspflicht erforderlich sein. Der Betroffene ist über eine solche Weitergabe zu unterrichten.
  • Ein anderer Baustein betrifft die Übertragung von Aufgaben wie Risikoprüfungen, Leistungsfallbearbeitungen oder telefonische Kundenbetreuung an andere Stellen außerhalb der Versicherung. Die Versicherung hat eine aktuelle Liste über die Unternehmen, an die solche Aufgaben ausgelagert worden sind, mit der Einwilligung zur Verfügung zu stellen. Zudem muss auch später, nach Erteilung der Einwilligung, immer eine aktuelle Liste beispielsweise über das Internet verfügbar sein.

§ 3a Bundesdatenschutzgesetz (BDSG)

Datenvermeidung und Datensparsamkeit

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert.

  • Ein weiterer Baustein wurde zur Datenweitergabe an Rückversicherungen entwickelt. Versicherungen schalten Rückversicherungen ein, damit diese das Versicherungsrisiko ganz oder teilweise übernehmen. Rückversicherungen schalten teilweise ihrerseits Rückversicherungen ein. Wegen der verhältnismäßig geringen Zahl an Rückversicherungsunternehmen ist das Risiko hoch, dass Daten aus verschiedenen Versicherungsverhältnissen sich bei dem Rückversicherer konzentrieren und Profilbildungen ermöglichen. Gerade bei sensiblen Gesundheitsdaten sind die schutzwürdigen Interessen der Versicherten besonders zu wahren. Deshalb sind grundsätzlich anonymisierte oder gegebenenfalls pseudonymisierte Daten zu verwenden. Dies entspricht den Grundsätzen der Datenvermeidung und Datensparsamkeit. Nur im Ausnahmefall, wenn eine besondere Erforderlichkeit für die Übermittlung personenbezogener Gesundheitsdaten an Rückversicherer besteht, kann diese zulässig sein. Der Betroffene wird über die Übermittlung seiner Gesundheitsdaten an Rückversicherungen unterrichtet.
  • Ein weiterer Baustein wurde zur Meldung von Daten an das Hinweis- und Informationssystem der Versicherungswirtschaft (HIS, Tz. 5.1.1) entwickelt. An HIS werden Auffälligkeiten, die auf Versicherungsbetrug hindeuten könnten, und erhöhte Risiken, aber keine Gesundheitsdaten gemeldet. Die Musterklausel enthält ausdrücklich keine Einwilligung zur Weitergabe von Gesundheitsdaten.

§ 203 Strafgesetzbuch (StGB)

Verletzung von Privatgeheimnissen

  • Arzt (...),
  • Berufspsychologen (...),
  • Rechtsanwalt (...),

6.     Angehörigen eines Unternehmens der privaten Kranken-, Unfall- oder Lebensversicherung (...)

anvertraut worden oder sonst bekannt geworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.

  • Es wurde nur eine Schweigepflichtentbindungserklärung für schweigepflichtige Versicherungen wie Kranken- und Lebensversicherungen geschaffen. Denn bereits die Information, dass eine Person mit einer solchen Versicherung einen Versicherungsvertrag geschlossen hat, unterfällt nach der Rechtsprechung des Bundesgerichtshofs der strafbewährten Schweigepflicht.
  • Ein letzter Baustein erfasst die Datenweitergabe an selbstständige Versicherungsvermittler wie beispielsweise Makler. Für die Beratung kann es erforderlich sein, dass der Vermittler Informationen darüber erhält, ob eine Versicherung einen Antrag der Kundin oder des Kunden nur mit Risikozuschlag annimmt oder bestimmte Risiken ausgeschlossen werden. Soweit es erforderlich ist, erfährt der Vermittler, dass und mit welchem Inhalt der Vertrag abgeschlossen wurde. Dabei erfährt er auch, ob Risikozuschläge oder Ausschlüsse bestimmter Risiken vereinbart wurden. Wechselt der betreuende Vermittler, etwa wegen Geschäftsaufgabe, ist die oder der Versicherte vor der Weitergabe von Gesundheitsdaten an einen anderen Vermittler zu informieren und auf die Widerspruchsmöglichkeit hinzuweisen.
  • Der vierte Abschnitt der Musterklausel betrifft die Speicherung und Verwendung von Gesundheitsdaten für den Fall, dass der Vertrag nicht zustande kommt. Die Speicherfrist beträgt drei Jahre. Hintergrund ist vor allem die Betrugs- und Missbrauchsprävention, für die die Speicherung und der Austausch über nicht zustande gekommene Verträge von der Versicherungswirtschaft für erforderlich gehalten wird.

Was ist zu tun?

Versicherungen, die Gesundheitsdaten verwenden, haben diesen Datenumgang unverzüglich auf eine tragfähige Rechtsgrundlage zu stellen. Hierfür können sie die von dem GDV gemeinsam mit den Aufsichtsbehörden entwickelte Mustererklärung verwenden. Die Versicherungen müssen die in der Mustererklärung vorgegebenen Prozesse zur Unterrichtung des Betroffenen umsetzen. Die Aufsichtsbehörden begleiten und überprüfen das Umsetzungsverfahren.

5.1.3       Verhaltensregeln – der „Code of Conduct “

Die Versicherungswirtschaft ist in Deutschland die erste Branche, die zur Förderung der Beachtung datenschutzrechtlicher Regelungen nach § 38a BDSG förmlich anerkannte Verhaltensregeln erlassen hat.

Die Arbeit der Datenschutzaufsichtsbehörden und der Versicherungswirtschaft an den Verhaltensregeln der Versicherungswirtschaft (Code of Conduct; 31. TB, Tz. 5.5.1) sind im Berichtszeitraum wieder aufgenommen und 2012 abgeschlossen worden. Der Berliner Beauftragte für den Datenschutz und die Informationsfreiheit hat deren Vereinbarkeit mit dem Datenschutzrecht festgestellt. Die Verhaltensregeln sollen die abstrakten Regelungen der Datenschutzgesetze mit Blick auf die Abläufe in der Versicherungsbranche konkretisieren und ergänzen. Versicherungsunternehmen sollen hinsichtlich der gesetzlichen Erlaubnisse zur Verwendung von Versichertendaten Sicherheit gewinnen. Der Einsatz von Einwilligungen soll, wo nicht erforderlich, ausgeschlossen werden. Erforderlich ist er bei der Verarbeitung von besonders sensiblen Daten wie Gesundheitsdaten (Tz. 5.1.2), bei der Werbung sowie der Markt- und Meinungsforschung.

Die Verhaltensregeln enthalten Vorgaben zur Qualität der Datenerhebung, zur Datenerhebung beim Betroffenen und zur Erhebung ohne dessen Mitwirkung, zu den jeweiligen Informationspflichten, zu Transparenzvorgaben und Einwilligungen, zu gemeinsamen Datenverarbeitungen innerhalb von Unternehmensgruppen, zum Datenaustausch mit anderen Versicherern, zum Hinweis- und Informationssystem, zu Datenübermittlungen an selbstständige Vermittler sowie an Rückversicherer, zur Auftragsdatenverarbeitung und Funktionsübertragung, zur Markt- und Meinungsforschung, zur Auskunft, Berichtigung, Löschung und Sperrung, zur Datensicherheit sowie zur Meldung von Datenlecks, der sogenannten Breach Notification. Die Verhaltensregeln enthalten keine Konkretisierungen zu Werbung, Bonitätsabfragen und Scoring in der Versicherungswirtschaft.

Was ist zu tun?

Die Vorgaben der Verhaltensregeln für die Versicherungswirtschaft sollten branchenweit umgesetzt werden. So wird für die Versicherungen wie auch für die Betroffenen ein Mehrwert an Rechtssicherheit geschaffen.

5.2          Geldkarten mit Funkchips

Seit August 2012 geben schleswig-holsteinische Sparkassen die „SparkassenCard kontaktlos“ an Kundinnen und Kunden aus. Diese Geldkarten sind mit Funkchips ausgestattet. Das ULD sieht vor allem in Hinblick auf die Datensicherheit Nachbesserungsbedarf.

Mithilfe der Funkchips soll die sogenannte Near Field Communication (NFC), also die kontaktlose Kommunikation, ermöglicht werden. Einsatzbereich soll wie bei den klassischen Geldkartenfunktionalitäten vorrangig das Bezahlen von Kleinbeträgen, z. B. beim Kauf von Fahrkarten, sein. Kundinnen und Kunden sollen ihre Geldkarten nicht mehr in ein Kartenlesegerät stecken müssen; es genügt, diese nahe an ein Lesegerät zu halten. Das ULD sieht die Einführung der NFC-Technologie u. a. durch schleswig-holsteinische Banken kritisch. Auch in anderen Bundesländern erfolgte im Jahr 2012 die Einführung. Zwar scheint die Kommunikation für die Bezahltransaktionen als solche ausreichend abgesichert zu sein. Die Informationen, wann ein Karteninhaber wo kontaktlos eingekauft hat, sind nach dem derzeitigen Stand aber weitgehend ungeschützt. Eine vollständige Technikfolgenabschätzung wurde selbst nach dem Start der Einführung nicht vorgelegt. Von den verantwortlichen Stellen kann so nicht auf eine verbindliche Datenschutzkonzeption verwiesen werden.

Das ULD kritisiert folgende Mängel in Bezug auf die technische und organisatorische Sicherheit der Geldkarten mit NFC-Funktion:

  • Die auf den Geldkarten mit NFC-Funktion gespeicherten Transaktionsdaten (Logs der letzten drei Lade- bzw. Entlade- und der letzten 15 Abbuchungs- bzw. Rückbuchungstransaktionen mit Datum, Zeit, Händlerkartennummer, gezahltem Betrag und Restbetrag) und eine eindeutige Kartennummer können ohne zusätzliche Prüfung einer Zugriffsberechtigung und ohne eine explizite Autorisierung durch die Inhaberin oder den Inhaber der Geldkarte (PIN-Code, Schlüssel, Kennwort …) ausgelesen werden. Der Abruf der Daten wird durch die Karte selbst nicht protokolliert, sodass auch eine nachträgliche Überprüfung und Feststellung der Datenübermittlungen und der empfangenden Stellen durch die Inhaberin oder den Inhaber der Karte nicht möglich ist. Die gesetzlichen Vorgaben für die Verarbeitung personenbezogener Daten verpflichten grundsätzlich dazu, jeweils die Abrufberechtigung zu prüfen und die erfolgten Abrufe zu protokollieren. Diese Vorgaben werden nicht eingehalten. Dies ist für das ULD nicht nachvollziehbar, weil die verwendeten Kartensysteme durchaus zur Durchführung kryptografisch sicherer Datenverarbeitung und -übermittlung in der Lage sind und bereits Mechanismen zur vorherigen Autorisierung der Datenverarbeitung durch die Karteninhaberin oder den Karteninhaber vorsehen.
  • Gegen das unbefugte Auslesen der Transaktionsdaten und der eindeutigen Kartennummer durch Dritte werden seitens der Banken lediglich Maßnahmen genannt, die die Nutzung der NFC-Schnittstelle behindern oder einschränken. Sowohl die – aktuell noch nicht zur Verfügung stehende – Möglichkeit, dass Kundinnen und Kunden die NFC-Schnittstelle auf den Karten selbst deaktivieren oder fallweise aktivieren können, als auch die Nutzung von Metallschutzhüllen, die ein unbefugtes Auslesen über die NFC-Schnittstelle erschweren, verringern nur teilweise die Risiken, die aus dem nicht ausreichenden technischen Zugriffsschutz entstehen. Eine Stellungnahme, die auf nachvollziehbaren Tests mit aktuell zur Verfügung stehender Infrastruktur wie spezialisierte Antennen, höherer Feldstärke oder passives Mitschneiden eines stattfindenden Auslesevorgangs basiert, sowie eine Bewertung seitens der Banken liegt nicht vor.

In Kenntnis der aktuellen Datenschutz- und Sicherheitskonzeption der Geldkarten mit NFC-Schnittstellen kommt das ULD zu den folgenden Schlussfolgerungen und Empfehlungen:

  • Die Geldkarte mit NFC-Funktion ist gegen das unbefugte Auslesen der Transaktionsdaten und der eindeutigen Kartennummer nicht ausreichend gesichert. Inhaberinnen und Inhaber von Geldkarten mit NFC-Funktion sollten daher mit der Geldkarte nur Transaktionen durchführen, die nicht weitere Rückschlüsse auf Sachverhalte der Intim- oder Privatsphäre zulassen. Selbst wenn die NFC-Funktion nicht für Transaktionen eingesetzt wird, bleibt die eindeutige Kartennummer auslesbar.
  • Die weitere Produktion von Geldkarten mit NFC-Schnittstelle ohne verbesserte Absicherung der Transaktionsdaten und der eindeutigen Kartennummer sollte unterbleiben. Stattdessen sollten in einer hinreichend langen Pilotphase in einem begrenzten Gebiet Lösungen insbesondere unter den Gesichtspunkten der Kunden- und Datenschutzfreundlichkeit gesucht und entwickelt werden. Die Banken müssen schnellstmöglich eine Erweiterung der Geldkarten um eine von der Inhaberin oder dem Inhaber der Geldkarte explizit zu autorisierende Auslesemöglichkeit und Löschmöglichkeit der Transaktionen ergänzen. Diese Funktion sollte auch bei Geldkarten ohne NFC-Schnittstelle im Rahmen des regelmäßigen Austausches der Geldkarten nachgerüstet werden.
  • Für die aktuell produzierten oder bereits im Einsatz befindlichen Geldkarten mit NFC‑Schnittstelle muss den Inhaberinnen und Inhabern unaufgefordert eine Darstellung der mit der Nutzung verbundenen Risiken und der empfohlenen Schutzmaßnahmen sowie technische Funktionen zur fallweisen Aktivierung der NFC-Schnittstelle oder übergangsweise physikalische Schutzmaßnahmen gegen das unberechtigte Auslesen, z. B. metallene Schutzhüllen, zur Verfügung gestellt werden.
  • Die Banken müssen die bisher fehlende Risikoanalyse und -bewertung nachholen und sollten diese mit den Aufsichtsbehörden der Länder diskutieren. Zusätzlich sollten die Banken zukünftig frühzeitig bereits in der Designphase und vor allem vor Aufnahme der Produktion eine datenschutzrechtliche sowie sicherheitstechnische Bewertung von Zahlungssystemen veranlassen und mit den Datenschutzaufsichtsbehörden abstimmen. Dies gilt insbesondere auch für andere in der Planung oder bereits im Betrieb befindliche Zahlungssysteme unter Nutzung der NFC-Schnittstelle, z. B. Bezahlung per NFC‑Schnittstelle mit Smartphones oder Verwendung der NFC-Schnittstelle bei Kreditkarten.

Was ist zu tun?

Beim Einsatz von „Near Field Communication“ (NFC)-Technologie in Geldkarten und anderen Zahlungssystemen muss insbesondere bezüglich der Datensicherheitsvorkehrungen durch die verantwortlichen Stellen, wie z. B. die Banken, deutlich nachgebessert werden.

5.3          Elektronisches Lastschriftverfahren  – der Kunde bezahlt mit seinen Daten

§ 28a Bundesdatenschutzgesetz (BDSG)

Datenübermittlung an Auskunfteien

(1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und

  1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt,
  2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist,
  3. der Betroffene die Forderung ausdrücklich anerkannt hat,

a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist,

b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen,

c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und

d) der Betroffene die Forderung nicht bestritten hat oder

  1. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat.

Beim Elektronischen Lastschriftverfahren sammeln die von den Händlern beauftragten Netzbetreiber Daten zum Einkaufsverhalten, um vermeintlich „riskante Kunden“ zu identifizieren und Rücklastschriften sowie betrügerische Handlungen zu verhindern.

Wir berichteten über die langen Kassenzettel im Elektronischen Lastschriftverfahren (ELV), die Kundinnen und Kunden z. B. an Supermarktkassen zur Unterschrift vorgelegt werden (33. TB, Tz. 5.3). Diese Kassenzettel und die sich dahinter verbergenden Datenverarbeitungsverfahren stießen auf Kritik bei Verbraucher- und Datenschützern. Das ULD hält die derzeit eingesetzten Verfahren weder für datenschutzrechtlich zulässig noch für alternativlos.

Beim Lastschriftverfahren trägt der Händler das Risiko, dass das Konto der Kundin bzw. des Kunden nicht gedeckt ist. Allerdings ist es für die Händler gegenüber dem EC-Cash-Verfahren kostengünstiger, bei dem durch die Eingabe der PIN eine Online-Überprüfung des Kartenkontos stattfindet und bei ausreichender Kontodeckung und Kartengültigkeit eine Zahlungsgarantie für den Händler erteilt wird. Die Abwicklung erfolgt in beiden Fällen über Dienstleister, sogenannte Netzbetreiber. Diese haben Systeme zur Identifizierung des Risikos von Forderungsausfällen geschaffen. Diese Systeme nutzen vor allem Daten aus ELV-Zahlungsvorgängen. Im ELV werden aus der EC-Karte bei Transaktionen Bankleitzahl, Kontonummer, Kartenverfallsdatum und die sogenannte Kartenfolgenummer ausgelesen und zusammen mit Daten zu der Transaktion – u. a. Höhe der Forderung, Zeitpunkt und Ort der Zahlung – an den jeweiligen Netzbetreiber zur Zahlungsabwicklung übermittelt. Nach den Erkenntnissen der Aufsichtsbehörden gleichen Netzbetreiber die ihnen von den Händlern übermittelten Datensätze zu Zahlungsvorgängen mit bei ihnen vorliegenden Datenbeständen ab und treffen eine Aussage darüber, welche Zahlungsempfehlung – Lastschrift- oder EC-Cash-Verfahren – dem Händler gegeben wird.

Sammelt eine zentrale Stelle Informationen zu Transaktionen bei unterschiedlichen Händlern, um sie für die Übermittlung an weitere Unternehmen wie Händler zu nutzen, nimmt die Stelle die Funktion einer Auskunftei wahr. Für die sogenannte Einmeldung von Negativdaten wie Informationen über Rücklastschriften im ELV müssen die gesetzlichen Voraussetzungen erfüllt sein.

Es muss sich insbesondere um eine fällige Forderung handeln, die beispielsweise durch ein Urteil festgestellt oder u. a. zweimal schriftlich angemahnt worden ist. Diese Voraussetzungen erfüllt die bloße Rücklastschrift nicht. Netzbetreiber dürfen also generell keinen Pool von Negativinformationen unterschiedlicher Händler ansammeln.

Die händlerübergreifende Sammlung von Positivdaten zum Einkaufsverhalten von Kundinnen und Kunden, die aus Zahlungen mittels ELV stammen, kann erst recht nicht datenschutzrechtlich zulässig sein. Hierdurch werden alle Kundinnen und Kunden unter einen Generalverdacht gestellt. Es wird zwar behauptet, diese Datensammlung diene nur der Missbrauchsbekämpfung im ELV. Diese Behauptung ist aber zum einen nicht belegt. Zum anderen kann dieser Zweck mit anderen Mitteln erreicht werden. Der Einsatz gestohlener EC-Karten könnte z. B. über stichprobenhafte Personalausweiskontrollen an der Kasse erkannt und auch präventiv abgewehrt werden. Unstreitig ist, dass Händler die polizeiliche KUNO-Datei zu verloren gegangenen EC-Karten nutzen dürfen. Der Gefahr ungedeckter Konten kann durch einen zufälligen Wechsel zwischen dem EC-Cash- und dem Elektronischen Lastschriftverfahren begegnet werden. Die Entscheidung darüber, welches Bezahlverfahren der Händler der Kundin bzw. dem Kunden anbietet, kann auch von dem zu bezahlenden Betrag abhängig gemacht werden. Diese Betragsgrenze könnte beispielsweise abhängig von Filialstruktur, Wochentag und Uhrzeit unterschiedlich gesetzt werden. Unbenommen bleibt, dass Händler ihre eigenen Rücklastschrifterfahrungen so lange nutzen und die Kundin bzw. den Kunden für das riskante Lastschriftverfahren sperren, bis die Forderung beglichen ist (33. TB, Tz. 5.3).

Kundinnen und Kunden müssen in jedem Fall vor einer Datenverarbeitung zuverlässig Kenntnis darüber erhalten können, welche Daten zu welchem Zweck verwendet werden. Eine Information allein auf der Rückseite des Kassenbelegs, der beim ELV erst nach der Entscheidung für ein Bezahlverfahren und nach der Datenverarbeitung ausgehändigt wird, erfüllt diese Voraussetzungen nicht. Die Kundeninformation hat in einer verständlichen Sprache zu erfolgen.

Von den Netzbetreibern müssen weniger datenverarbeitungsintensive Verfahren realisiert werden. Über die letztlich verantwortlichen Händler, die auf dem Markt ihren Netzbetreiber und dessen Dienstleistungen auswählen, kann auf deren Angebot Einfluss genommen werden. Auch die Kundinnen und Kunden können durch die Wahl des Bezahlwegs Einfluss nehmen; bei Bargeldzahlungen fallen keine elektronischen Spuren an.

Was ist zu tun?

Das Elektronische Lastschriftverfahren und die Systeme zur Identifizierung von Forderungsausfallrisiken müssen grundlegend überarbeitet und rechtskonform gestaltet werden.

5.4          Geldwäsche nicht um jeden Preis

Ein Regierungsentwurf zur Änderung des Geldwäschegesetzes hätte zum Ausschluss des anonymen elektronischen Einkaufens und Bezahlens geführt. Eine derart tief greifende Geldwäscheprävention stünde zu den festgestellten Risiken außer Verhältnis.

Mit einem Gesetzentwurf zur „Optimierung der Geldwäscheprävention“ plante die Bundesregierung, dass die Nutzenden von elektronischem Geld verpflichtet werden, sich zu identifizieren, auch wenn eine elektronische Aufladung von Bagatellbeträgen erfolgt. Verkaufsstellen waren als Adressaten einer neuen Regelung vorgesehen, die im Falle der Herausgabe von Coupons, Chips, Gutscheinen sowie Prepaidkarten gegen Bargeld eine Identifizierung der Käuferin bzw. des Käufers vornehmen sollten. Im Gesetzentwurf war hierfür kein Schwellenwert festgelegt; die Verkäufer wären verpflichtet worden, eine Identifizierung bereits ab einem Cent vorzunehmen. Die Aufnahme einer solchen Bestimmung wäre aus Datenschutzsicht unverhältnismäßig gewesen.

Der Verzicht auf jeglichen Schwellenwert wird selbst von Fachleuten für Geldwäscheprävention nicht gefordert. Die Financial Action Task Force on Money Laundering (FATF), ein zwischenstaatliches Gremium bei der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), erarbeitet internationale Standards zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung und entwickelt diese weiter. Die FATF wies in einem Report darauf hin, dass sogenannten New Payment Products erhöhte Aufmerksamkeit geschenkt werden muss, da diese neue Zahlungsmethoden nutzen. Das Bundeskriminalamt (BKA) hatte in seinem Jahresbericht für das Jahr 2009 lediglich 63 Tatverdächtige der Geldwäsche ermittelt, die internetbasierte Zahlungssysteme und deren anonyme Nutzungsmöglichkeiten verwendeten. Vor diesem Hintergrund empfahl das BKA gerade nicht, Geldwäscheprävention bereits beim Einsatz von Bagatellbeträgen zu praktizieren.

Ein Wegfall von Schwellenwerten ist auch nicht europarechtlich gefordert. So wird durch die gültige Richtlinie eine Identifizierung von Käufern nicht für zwingend erachtet, sofern der auf dem Datenträger gespeicherte Betrag – falls der Datenträger nicht wieder aufgeladen werden kann – nicht mehr als 150 Euro beträgt oder sofern – falls der Datenträger wieder aufgeladen werden kann – sich der in einem Kalenderjahr insgesamt abgewickelte Betrag auf nicht mehr als 2.500 Euro beläuft, außer wenn ein Betrag von 1.000 Euro oder mehr in demselben Kalenderjahr von dem Inhaber zurückgetauscht wird.

Der Regierungsentwurf stand auch im Widerspruch zum Telemediengesetz. Anbieter von Leistungen via Internet haben demnach die Verpflichtung, die Nutzung ihrer Angebote und deren Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Hierüber sind die Internetnutzer von dem Anbieter der Leistungen zu unterrichten. Die Anbieter können ihrer gesetzlichen Verpflichtung zur Ermöglichung einer anonymen Bezahlweise nicht mehr nachkommen, wenn sie grundsätzlich eine Identifizierung und die kontinuierliche Überwachung der Geschäftsbeziehung sicherstellen sollen.

https://www.datenschutzzentrum.de/presse/20110701-geldwaeschepraevention.htm

Unsere Kritik am Regierungsentwurf wurde im Gesetzgebungsverfahren aufgenommen. Es wurde eine Ausnahme von der Identifizierungspflicht vorgesehen, soweit die E-Geldbeträge 100 Euro pro Kalendermonat oder weniger betragen und sichergestellt ist, dass das ausgegebene E-Geld nicht mit dem E-Geld eines anderen E-Geld-Inhabers verbunden werden kann, die Identifizierungspflichten ab Überschreiten eines Betrags von 20 Euro beim Rücktausch in Bargeld eingehalten werden und beim Wiederaufladen des E-Geld-Trägermediums pro Kalendermonat die Höchstbetragsgrenze von 100 Euro eingehalten wird. Die Bekämpfung von Geldwäsche macht keinen Sinn, wenn selbst bei Centbeträgen eine Identifizierung der Käuferin oder des Käufers und eine Überwachung der Geschäftsbeziehungen erfolgen müssten. Ein Verzicht auf Schwellenwerte verstößt gegen das verfassungsrechtlich verankerte Gebot, anonyme und pseudonyme Online-Dienste zu ermöglichen.

Was ist zu tun?

Der Gesetzgeber ist aufgerufen, sich auch künftig für den Schutz von Schwellenwerten einzusetzen.

5.5          Der gläserne Mietinteressent

Hinsichtlich der Einholung von Informationen über Mietinteressenten vor der Vermietung von Wohnraum inklusive Bonitätsabfragen ist eine bundesweite Gesamtlösung noch nicht in Sicht.

Das ULD ist schon länger mit der Praxis der Wohnwirtschaftsbranche befasst, vor der Wohnraumvermietung eine Bonitätsauskunft über den Mietinteressenten bei Auskunfteien einzuholen (33. TB, Tz. 5.4). Die Auskunft zu einem Mietinteressenten darf erst dann eingeholt werden, wenn der Abschluss des Mietvertrags mit diesem Bewerber nur noch vom positiven Ergebnis der Bonitätsprüfung abhängt. Grundsätzlich haben Vermieter ein berechtigtes Interesse, solche Auskünfte einzuholen, um das Risiko der Zahlungsunfähigkeit oder -unwilligkeit des Mietinteressenten bereits vor Vertragsabschluss abschätzen zu können. Datenschutzrechtlich unzulässig ist es aber, zu einer Vielzahl von Mietinteressenten solche Auskünfte parallel einzuholen, ohne dass ein konkreter Vertragsschluss ins Auge gefasst wird.

Die Aufsichtsbehörden für den Datenschutz haben im November 2011 mit Vertretern der Wohnwirtschaftsbranche und der Auskunfteien die Praxis der Bonitätsabfragen eingehend erörtert. Wir machten dabei deutlich, dass ein Datenabruf nicht pauschal zu einer Mehrheit von Mietinteressenten erfolgen darf. Abrufe zu weiteren Interessenten sind erst dann zulässig, wenn die Bonitätsabfrage zu dem zuerst ausgewählten Bewerber ein negatives Ergebnis zutage fördert. Die Wohnwirtschaftsbranche hat den Aufsichtsbehörden bis heute keine akzeptable Gesamtlösung für das gesamte Bundesgebiet vorgelegt, welche die datenschutzrechtlichen Forderungen der Aufsichtsbehörden berücksichtigt. Das ULD wird unabhängig davon die Auswahlpraxis der Wohnwirtschaftsunternehmen bezüglich der Mietinteressenten auch weiterhin kontrollieren.

Was ist zu tun?

Vermieter haben kein berechtigtes Interesse, Bonitätsinformationen zu einer nicht näher bestimmbaren Anzahl von Mietinteressenten bei den Auskunfteien zu erfragen. Die Vermieter müssen gegebenenfalls ihre Geschäftsmodelle an das geltende Datenschutzrecht anpassen.

5.6          Einwilligungen , Bonitätsabfragen  und öffentlicher Personennahverkehr

Bonitätsabfragen durch Verkehrsbetriebe des öffentlichen Personennahverkehrs sind zumeist nicht zulässig.

Überzogene Bonitätsabfragen sind in vielen Wirtschaftsbereichen eine weitverbreitete Unart (Tz. 5.5; 33. TB, Tz. 5.4, 5.5; 32. TB, Tz. 5.4, 5.7.8). In dem von einem verantwortlichen Nahverkehrsbetrieb erstellten Antragsformular für eine Abonnementkarte war eine Einwilligungserklärung enthalten, in der sich der Antragsteller per Unterschrift damit einverstanden erklärte, dass seine personenbezogenen Daten zwecks Bonitätsabfrage an ein Inkassounternehmen übermittelt werden.

Diese vorformulierte Einwilligungserklärung stellte keine wirksame Legitimation für die Verwendung der personenbezogenen Daten dar. Eine datenschutzrechtlich wirksame Einwilligung muss freiwillig abgegeben werden. Die Freiwilligkeit war wegen der Kopplung verschiedenartiger Erklärungen hier nicht gegeben. Bei der verantwortlichen Stelle handelt es sich um ein Unternehmen, das im öffentlichen Personennahverkehr für die Sicherstellung einer ausreichenden Versorgung der Bevölkerung verantwortlich ist. Der sich daraus ergebende gesetzliche Auftrag der Daseinsvorsorge stand der gekoppelten Einwilligungserklärung entgegen.

Es gibt auch keine gesetzliche Rechtsgrundlage für die Bonitätsabfrage. Die nach dem Bundesdatenschutzgesetz in Betracht kommenden Regelungen setzen voraus, dass die Bonitätsabfrage erforderlich ist. Folgende Aspekte waren für die Bewertung des ULD ausschlaggebend:

  • Allgemeines Geschäftsrisiko: Ein gewisser Zahlungsausfall stellt für sich genommen ein allgemeines Geschäftsrisiko dar, das keine Bonitätsabfrage rechtfertigt. Eine Bonitätsabfrage bei einer Auskunftei ist gesetzlich nur vorgesehen, wenn das Unternehmen eine wesentliche Vorleistung erbringt und damit ein finanzielles Ausfallrisiko hat und zugleich die schutzwürdigen Interessen der Betroffenen nicht überwiegen (32. TB, Tz. 5.7.8). Dabei ist zu berücksichtigen, dass die Unternehmen durch die Gestaltung der Geschäftsmodelle, der Abläufe und der Vertragsbedingungen den Umfang der Vorleistung steuern können. Unternehmen können einem finanziellen Ausfallrisiko durch die Verkleinerung von Vorleistungen entgegenwirken, z. B. durch Vorabkasse für quartalsweise verschickte Monatskarten.
  • Nachteile für den Betroffenen: Die Bonitätsabfragen können Nachteile für den Betroffenen begründen: Jede Abfrage hinterlässt Informationen bei der Auskunftei über den Betroffenen, die wiederum auf spätere Abfragen einwirken können. Eine hohe Anzahl von Abfragen allein kann schon zu dem unzutreffenden Schluss führen, die oder der Betroffene sei nicht in der Lage, Verbindlichkeiten zu erfüllen. Das kann zur Folge haben, dass die oder der Betroffene – etwa beim Scoring – grundlos schlechter bewertet wird und z. B. eine Finanzierung oder Vertragsschlüsse verweigert bekommt.
  • Gesetzlicher Auftrag: Die verantwortliche Stelle nimmt mit Beförderungsleistungen aus dem Grundgesetz abzuleitende staatliche Pflichten zur Daseinsvorsorge wahr. Die Sicherstellung einer ausreichenden Versorgung der Bevölkerung mit Verkehrsleistungen im öffentlichen Personennahverkehr steht tendenziell einer Bonitätsabfrage entgegen.
  • Bagatellbereich: Ein finanzielles Risiko der verantwortlichen Stelle im Bagatellbereich ist verhältnismäßig und damit hinnehmbar. Über die geltenden Tarifbestimmungen kann eine verantwortliche Stelle ihr Recht wahren, den Vertrag im Falle der Nichtzahlung fristlos zu kündigen.
  • Ungeeignetheit: Bonitätsabfragen sind oft nicht geeignet, ein angenommenes Risiko zu unterbinden. Es kann auch bei den Antragstellern, die mit einer positiven Bonität ausgewiesen wurden, zu ausbleibenden Zahlungen kommen.

Die verantwortliche Stelle hat dem ULD zugesichert, keine Bonitätsabfragen mehr durchführen zu wollen. Das Verfahren ist abgeschlossen.

Was ist zu tun?

Bonitätsabfragen durch Unternehmen, die Leistungen im Bereich des öffentlichen Personennahverkehrs erbringen, sind bei überwiegenden schutzwürdigen Interessen der Betroffenen nicht zulässig.

5.7          Orientierung in der Datenwolke

Durch eine über Netze verbundene Rechnerlandschaft wird die unternehmensinterne Datenverarbeitung im Wege des Cloud Computing ausgelagert. Eine Orientierungshilfe für die Privatwirtschaft präzisiert die datenschutzrechtlichen Anforderungen für Cloud Computing.

Oft werden eine oder mehrere IT-Dienstleistungen – Infrastruktur, Plattformen, Anwendungssoftware – aufeinander abgestimmt, schnell dem tatsächlichen Bedarf angepasst und nach tatsächlicher Anwendung abrechenbar über ein Netz bereitgestellt. Von Vorteil sind die gezielte Nutzung von Rechenkapazitäten, die verbrauchsabhängige Abrechnung, die Einsparpotenziale durch Verzicht auf teure Hardware und die globale Verfügbarkeit der Dienstleistungen. Durch die Auslagerung der Datenverarbeitung an sogenannte Cloud-Anbieter, die im Auftrag der Cloud-Anwender die Datenverarbeitung übernehmen, entstehen Fragen zur Wahrung der Rechte von Betroffenen, z. B. der Rechte auf Berichtigung oder Löschung unrichtiger personenbezogener Daten, Fragen zur Einhaltung der Datensicherheit oder zu den Anforderungen einer zulässigen internationalen Datenverarbeitung.

Das ULD hat zusammen mit einigen anderen Datenschutzaufsichtsbehörden eine Orientierungshilfe für die Privatwirtschaft erarbeitet und darin die Risiken, Chancen und datenschutzrechtlich relevanten Aspekte des Cloud Computing dargestellt. Wesentlich ist zunächst die Feststellung, dass der Cloud-Anwender als Auftraggeber für die Wahrung der Betroffenenrechte, für die Durchführung von Datensicherheitsmaßnahmen – letztlich für die gesamte Datenverarbeitung – verantwortlich bleibt. Verstöße der Cloud-Anbieter gegen datenschutzrechtliche Vorschriften muss er sich zurechnen lassen.

Zwischen Cloud-Anwender und Cloud-Anbieter liegt in der Regel eine Auftragsdatenverarbeitung vor, wobei der Cloud-Anbieter sorgfältig ausgewählt werden muss. Da die Auswahl mit haftungsrechtlichen Risiken verbunden ist und auch nach der Auswahl eine ständige Kontrolle des Cloud-Anbieters erfolgen muss, sollte der Anbieter geeignete Nachweise für seine Fachkompetenz und Zuverlässigkeit vorlegen, wie etwa Nachweise zu Zertifizierungen bzw. Datenschutz-Gütesiegel.

Die Datenverarbeitung in einer innereuropäischen Cloud ist gegenüber der in einer außereuropäischen Cloud vorzuziehen. In der außereuropäischen Cloud kann die Einhaltung europäischen Datenschutzrechts schwerer kontrolliert werden, Datenschutzstandards beim Anbieter sind möglicherweise nicht gewährleistet, sodass für die Cloud-Anwender höhere Haftungsrisiken bestehen (Tz. 11.3).

Die Orientierungshilfe ist abrufbar unter:

http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf Extern

Was ist zu tun?

Der für die gesamte Datenverarbeitung verantwortlich bleibende Cloud-Anwender muss bei der Auswahl der Cloud-Anbieter einen hohen Sorgfaltsmaßstab anwenden und sich geeignete Nachweise zur Einhaltung der Anforderungen an Datenschutz und Datensicherheit vorzeigen lassen.

5.8          Dopingbekämpfung

Die Dopingbekämpfung bei Spitzensportlerinnen und -sportlern steht zum Datenschutz in einem Spannungsverhältnis, da die Anwendung der weltweit geltenden Regeln in Deutschland beim Meldesystem, bei den Tests wie bei Verstößen wenig Rücksicht auf informationelle Selbstbestimmung nimmt.

Schleswig-Holstein ist in einigen Sportarten nicht nur in Deutschland, sondern weltweit an der Spitze. Einige Sportler trugen gegenüber dem ULD vor, dass sie einem Meldesystem und Dopingkontrollen ausgesetzt sind, was mit ihrer Menschenwürde nur schwer in Einklang zu bringen sei. Um an internationalen Wettkämpfen teilnehmen zu dürfen, müssten sie sich den Anti-Doping-Regeln der World Anti-Doping Agency (WADA) und der Nationalen Anti Doping Agentur (NADA) unterwerfen. An dem Anti-Doping-System sind in Deutschland neben der NADA der Deutsche Olympische Sportbund (DOSB), sämtliche Landessportverbände, die Sportfachverbände und die international aktiven Sportvereine als Anti-Doping-Organisationen (ADO) beteiligt.

Ziel des Anti-Doping-Systems ist die Herstellung von fairen gleichen Bedingungen beim internationalen Spitzensport und der Gesundheitsschutz der Sportlerinnen und Sportler durch die Kontrolle der Einnahme von leistungsfördernden Mitteln – des Dopings. Da diese Einnahme nicht nur während der Wettkämpfe, sondern auch vorher und während des Trainings erfolgt und Wirkung hat, verfolgen die WADA, die NADA sowie die sonstigen ADO – zumindest nach außen hin – eine Nulltoleranzstrategie: Sportlerinnen und Sportler müssen zu jeder Tageszeit – außer in der Nacht zwischen 23 und 6 Uhr – und an jedem Tag für Dopingkontrollen, dies sind zumeist Entnahmen von Urin und eventuell von Blut, zur Verfügung stehen. Hierfür müssen sie jeweils drei Monate im Voraus ihren Aufenthaltsort und ihre Erreichbarkeit im weltweiten, in Kanada gehosteten Meldesystem ADAMS (Anti Doping Management System) eingeben. Die Dopingkontrolleure dringen bei den Tests teilweise in den intimsten Freundes- und Familienkreis ein. Um Betrug zu verhindern, kontrollieren die Tester, „wie die Probe den Körper des Athleten“ verlässt. Dies gilt auch für Jugendliche unter 16 Jahren, diese dürfen aber derartige Intimbeobachtungen ablehnen. Kommt ein Sportler seinen Meldepflichten nicht nach, wird er von Kontrolleuren nicht angetroffen oder besteht ein Verdacht auf Einnahme unerlaubter Mittel, so sind Sanktionen möglich, mit denen in der Regel eine Vielzahl von Datenübermittlungen einhergehen. Bei Verstößen gegen Anti-Doping-Bestimmungen kann die Öffentlichkeit informiert werden. Die Beschwerde führenden Sportler wenden sich nicht gegen Dopingkontrollen generell, sondern gegen die damit verbundenen unverhältnismäßigen Eingriffe in ihre Privatsphäre sowie auch gegen die teilweise äußerst unterschiedliche, willkürlich erscheinende Kontrollpraxis.

Gemeinsam mit dem Landesbeauftragten für den Datenschutz Rheinland-Pfalz erstellte das ULD eine eingehende Analyse der bestehenden Regeln und des praktizierten Verfahrens. Diese kommt zu dem Ergebnis, dass die eingeholten Einwilligungen nach deutschem Recht unwirksam sind, weil die Sportler nicht hinreichend informiert und die Einwilligungen nicht freiwillig sind, dass die Kontrollen unverhältnismäßig sind und teilweise zu stark in den Intimbereich eindringen und dass hierfür keine Rechtsgrundlagen bestehen. Gemeinsam schlugen wir den Erlass eines Gesetzes zum Anti-Doping-System vor, das rechtssicher und vorhersehbar die informationellen Eingriffe bei der Dopingbekämpfung regelt. Mittelfristig meinten wir, könne auch eine Verhaltensregel des deutschen Sportes nach § 38a BDSG sinnvoll sein. Von Sanktionen gegenüber den Verbänden und Vereinen sahen wir ab, da dies für die Beteiligten Beeinträchtigungen im internationalen Wettkampfgeschehen zur Folge hätte.

https://www.datenschutzzentrum.de/allgemein/20110726-positionspapier-dopingbekaempfung.html

Gespräche mit dem verantwortlichen Bundesinnenministerium sowie mit Bundestagsabgeordneten zeigten, dass dort keine Neigung besteht, den Forderungen nach einer datenschutzkonformen Regulierung nachzukommen. Problemverständnis zeigten bei einem Gespräch dagegen Vertreter des Landessportverbandes Schleswig-Holstein. Diese erklärten ihre Bereitschaft, die Problematik auch in die Verbände auf Bundesebene einzubringen. Parallel dazu wurde ein Hinweisblatt für Sportlerinnen und Sportler, die am Anti-Doping-System der NADA teilnehmen, erarbeitet. Folgende Aspekte sollen aus Sicht des ULD bei den erst begonnenen Gesprächen zunächst erörtert werden:

  • Mehr Transparenz bezüglich Verfahren, Zuständigkeiten und Datenflüssen,
  • institutionelle Absicherung einer Beschwerdestelle,
  • Festlegungen, wann und wie Verstöße veröffentlicht werden,
  • Sicherung der Verhältnismäßigkeit der Kontrollen,
  • Einflussnahme auf Normgeber – Gesetzgeber, WADA und NADA – zur Verbesserung der Datenschutzvorkehrungen.

Im Januar 2013 fand ein erstes Gespräch statt, bei dem der Deutsche Olympische Sportbund (DOSB), die NADA und einige Landesdatenschutzbeauftragte, u. a. das ULD, verabredeten, gemeinsam nationale wie auch internationale Lösungen anzustreben, die sowohl eine effektive Dopingbekämpfung als auch einen weitgehenden Persönlichkeitsschutz zum Ziel haben.

Was ist zu tun?

Die Gespräche müssen ergebnisorientiert fortgeführt werden.

5.9          Einzelfälle

5.9.1       Teure Datensammlung ohne Überblick

Eine schleswig-holsteinische Bank hatte zwölf Jahre lang Daten von Interessenten angesammelt und unkontrolliert in die übrigen Banksysteme einfließen lassen. Es wurde ein Bußgeld verhängt.

Eine Bürgerin hatte von einer Bank, mit der sie nichts zu tun hatte, Informationen über die Änderung eines Freistellungsauftrags erhalten. Beabsichtigte Adressatin war offensichtlich eine Namensvetterin, deren Ehepartner Kunde der Bank war. Woher kannte die Bank die Adresse und wie konnte die Verknüpfung mit der Namensvetterin zustande kommen? Die Bank räumte gegenüber dem ULD ein, dass für die Ehefrau des Bankkunden im Banksystem die falsche Adresse hinterlegt war. Als Ursache hierfür wurde ermittelt, dass zu der Nichtkundin seit 2002 ein Interessentendatensatz aus einem Kunden-werben-Kunden-Vorgang bestand. Dieser Interessentendatensatz war 2007 bei Erteilung des Freistellungsauftrags durch den Bankkunden und Erstellung eines Datensatzes hierfür wegen der Identität des Namens und des Geburtsdatums „automatisch“ herangezogen worden. Die Verknüpfung zwischen Interessentendatenbank und dem übrigen Banksystem fand ohne effektive Kontrolle statt. Den Mitarbeitern des Unternehmens war die Verknüpfung weitgehend unbekannt. Aus diesem Grund waren sie für die Fehlerquelle – insbesondere bei der Erstellung von Datensätzen – nicht sensibilisiert. Es erfolgte keine persönliche Kontrolle des Datensatzes bei „automatischer Befüllung“.

Der Vorgang verdeutlicht, dass transparente Verfahren innerhalb von Organisationen einen hohen Stellenwert haben. Nur durch Transparenz können Fehlerquellen identifiziert und abgeschafft werden. In der Bank waren grundlegende organisatorische Maßnahmen versäumt worden. Hinzu kam die unzulässige Datensammlung von Interessenten über Jahre hinweg. Das ULD hatte zu dieser ausufernden Interessentendatenbank weitere Beschwerden erhalten (33. TB, Tz. 5.8.4). Es wurde ein Bußgeld verhängt.

Was ist zu tun?

Datenverarbeitungssysteme in Organisationen müssen die Anforderungen der Transparenz erfüllen. Dies ist eine Grundvoraussetzung für die Kontrollierbarkeit der Datenverarbeitungsprozesse. Regelmäßige Kontrollen der vorhandenen Datenverarbeitungssysteme auf deren Rechtmäßigkeit sind eine organisatorische Grundanforderung.

5.9.2       Berechtigungen für Bankmitarbeiter und Handelsvertreter

Das ULD prüfte in einem Kreditinstitut bezüglich der Kundendaten die Vergabe von Lese- und Schreibberechtigungen. Bei der Einräumung von Zugriffsrechten für Bankmitarbeiter konnten Mängel behoben werden.

Auch Banken haben die innerbetriebliche Organisation datenschutzgerecht zu gestalten, wobei technische und organisatorische Maßnahmen zu treffen sind, die je nach der Art der zu schützenden personenbezogenen Daten und Datenkategorien geeignet sind zu gewährleisten, dass die zur Benutzung des Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Es ist sicherzustellen, dass die Kundendaten bei der Verarbeitung und Nutzung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

In der Bank waren Handelsvertreter tätig, die nur produktbezogen beraten. Ein Zugang zu Kundendaten der Bank, welche über die Regelungen des Bundesdatenschutzgesetzes hinaus dem Bankgeheimnis unterliegen, darf für Handelsvertreter nicht eingerichtet werden. Eine stichprobenartige Prüfung von deren Zugriffsberechtigungen gab keinen Anlass zur Beanstandung.

Bei der für die internen Bankmitarbeiter gewählten Berechtigungsvergabe erfolgte jedoch keine optimale Umsetzung. Zur Hauptstelle der Bank zählten auch Hauptgeschäftsstellen und weitere Geschäftsstellen. Die internen Bankmitarbeiter besaßen Zugriffsberechtigungen für die Kundendaten sämtlicher Geschäftsstellen, was die Bank mit dem Verweis auf die Mobilität der Kunden zu rechtfertigen versuchte. Es konnte jedoch nicht ausreichend begründet werden, dass gerade im Hinblick auf die Sensibilität der dem Bankgeheimnis unterfallenden Daten ein Zugriff auf Kundendaten anderer Geschäftsstellen tatsächlich erforderlich ist. Es fehlten belastbare Zahlen dazu, wie viele Kunden in jeweils anderen Geschäftsstellen den entsprechenden Service wünschen, dass Bankgeschäfte in allen Geschäftsstellen abgewickelt werden können und somit auch geschäftsstellenfremde interne Bankmitarbeiter einen Zugriff auf die Kundendaten anderer Geschäftsstellen benötigen.

Im Rahmen der Zugriffssteuerung kann die Kundin bzw. der Kunde auf Wunsch den Zugriff auf bestimmte Bankmitarbeiter begrenzen lassen. Nach den Angaben der Bank erfolgt in diesem Fall eine Verschlüsselung, welche die Zugriffsberechtigung insgesamt beschränkt. Die Bank hat zugesichert, dass für ihre Kunden bezüglich der Möglichkeit einer Einschränkung der Zugriffsrechte auf bestimmte Mitarbeiter eine angemessene Unterrichtung erfolgt. Dem Kunden muss deutlich werden, dass er auf diese Weise ein besonderes Vertrauensverhältnis zu bestimmten Mitarbeitern begründen kann, ohne dass sämtliche Mitarbeiter auf seine personenbezogenen Daten zugreifen können.

Was ist zu tun?

Kreditinstitute dürfen den für sie tätig werdenden Handelsvertretern keinen Zugriff auf dem Bankgeheimnis unterliegende Daten gewähren. Die Vergabe von Zugriffsberechtigungen an interne Bankmitarbeiter muss zur Erfüllung der jeweiligen Geschäftszwecke zwingend erforderlich sein. Kreditinstitute müssen ihre Zugriffssteuerung auf Erforderlichkeit und Rechtmäßigkeit hin überprüfen.

5.9.3       Aufzeichnen von Gesprächen in Callcentern

In zwei Callcentern wurde die Praxis bei der Erledigung von Kundentelefonaten kontrolliert. Im Schwerpunkt war zu prüfen, ob die angerufenen Personen für die Aufzeichnung ihrer Gespräche eine Einwilligung erteilt hatten.

Zu Beweiszwecken zeichnen Callcenter bekanntlich ihre Kundengespräche auf, um auf diese Weise Vertragsabschlüsse zu dokumentieren. Dieser Umstand muss den Angerufenen allerdings deutlich gemacht werden. Eine Aufzeichnung in Unkenntnis des Angerufenen kann, wenn das nicht öffentlich gesprochene Wort ohne Einwilligung erfasst wird, den Straftatbestand des § 201 StGB erfüllen. Eine ordnungsgemäß erteilte Einwilligung am Telefon bedingt eine deutliche Aufklärung über den Zweck der Aufzeichnung und über den Umstand, dass aufgezeichnet wird. Aus der Reaktion des Angerufenen muss klar erkennbar sein, dass dieser die Unterrichtung verstanden hat und die Aufnahme des Gesprächs akzeptiert.

In den geprüften Callcentern arbeiteten die Telefonisten mit Anweisungsbögen der Geschäftsleitung, die als Arbeitshilfe verwendet werden mussten. Demnach wurde der Angerufene zunächst ordnungsgemäß auf die Aufzeichnung hingewiesen und gebeten, die folgende Aufnahme mit einem deutlichen „Ja“ zu legitimieren. Erst dann wurde die Aufzeichnung aktiviert, sodass nur der eigentliche Vertragsabschluss in den Audiodateien gespeichert wurde. Bei der Prüfung der Audiodateien ergab sich in einem Fall der Verdacht, dass entgegen der Arbeitsanweisung ein Vorgespräch aufgezeichnet wurde und der Angerufene hierzu keine Einwilligung erteilt hatte. Die Aufnahme war allerdings in einem schlechten akustischen Zustand, wodurch ein Verstoß nicht klar belegbar war.

Was ist zu tun?

Betreiber von Callcentern müssen durch Arbeitsanweisungen und gegebenenfalls durch Schulungen der Mitarbeiter sicherstellen, dass bei Aufnahmen von Telefongesprächen vorab von der Kundin bzw. vom Kunden eine wirksame Einwilligung eingeholt wird.

5.9.4       Ohne Führungszeugnis kein Sport

In einem Sportverband kam die Frage auf, inwieweit von den Mitarbeitern ein erweitertes Führungszeugnis verlangt werden darf. Ein solches Dokument gibt auch Auskunft über Angaben zu Straftaten gegen die sexuelle Selbstbestimmung, die in einfachen Führungszeugnissen nicht enthalten sind.

Der Sportverband gab an, im Sinne einer aktiven Prävention von allen haupt- und ehrenamtlichen Mitarbeitern ein erweitertes Führungszeugnis anzufordern, die bei der Erledigung von Verbandsaufgaben in Kontakt mit minderjährigen Personen kommen. Auf diese Weise wolle man Gefahren sexualisierter Gewalt im Sport vorbeugen.

Der hier tätig gewordene Kreisverband folgte der Empfehlung eines übergeordneten Sportverbandes, forderte allerdings nicht pauschal erweiterte Führungszeugnisse ein. Von der Beibringung eines erweiterten Führungszeugnisses freigestellt wurden z. B. Mitarbeiter der sogenannten Kreisgerichte, die keinen unmittelbaren Kontakt zu Minderjährigen haben. Für die Tätigkeiten als Schiedsrichter oder als Trainer führte die Beurteilung zu einem anderen Ergebnis. In diesem Tätigkeitsfeld sah man – von uns unbeanstandet – die Anforderung von entsprechenden Nachweisen als gerechtfertigt an, zumal diese Personen verstärkt bei der Ausbildung Minderjähriger mitwirken. Die Prävention bezüglich sexualisierter Gewalt im Sport ist ein legitimes Ziel.

Im Hinblick auf die Verwahrung der erweiterten Führungszeugnisse und die bestehenden Zugriffsrechte im Sportverband wurde dem ULD versichert, dass nur der Erste Kreisvorsitzende Einsicht in die übersandten Dokumente nimmt und diese dann an die entsprechenden Mitarbeiter zurückgesandt werden. Eine Verwahrung erfolge nicht.

Was ist zu tun?

Bei der Anforderung erweiterter Führungszeugnisse müssen die Sportvereine und -verbände prüfen, ob die Mitarbeiter bei der Erfüllung ihrer Aufgaben verstärkt mit Minderjährigen in Kontakt kommen und ob im Kern eine berufliche oder ehrenamtliche Beaufsichtigung, Betreuung, Erziehung oder Ausbildung Minderjähriger erfolgt.

5.9.5       Sensible Daten auf dem Kontoauszug

§ 3 Bundesdatenschutzgesetz (BDSG)

Weitere Begriffsbestimmungen

(9) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.

Auf den Kontoauszügen eines schleswig-holsteinischen Geldinstituts war zwischenzeitlich der Grad der Behinderung aufgenommen worden. Nach Intervention des ULD wurde von einem weiteren Abdruck dieser Information generell abgesehen.

Plötzlich tauchte auf den Kontoauszügen eines schleswig-holsteinischen Bürgers der Grad der Behinderung „GdB 50+“ auf. Zuvor hatte an dieser Stelle noch „Privates Girokonto“ gestanden.

Der Betroffene hatte die sensible Information über die Schwerbehinderung gegenüber dem Geldinstitut nur angegeben, weil in diesem Fall ein kostenfreies Girokonto zur Verfügung gestellt wird. Der Zweck dieser sensiblen Information auf dem Kontoauszug war dem Betroffenen nicht ersichtlich.

Trotzdem wurde die persönliche Bitte, die Angabe auf den Auszügen zu entfernen, durch das Geldinstitut unter Verweis auf den damit verbundenen Programmierungsaufwand abgewiesen.

Informationen zu Behinderungen sind besondere Arten personenbezogener Daten. Sie sind besonders diskriminierungsrelevant, weshalb für diese ein besonderer Schutz gewährleistet werden muss. Daher sind die Erhebung, Verarbeitung oder Nutzung dieser sensiblen Daten grundsätzlich nur mit Einwilligung des Betroffenen zulässig. Die Vorlage des Schwerbehindertenausweises des Betroffenen bei der Bank diente allein dem Zweck des Nachweises für die Berechtigung einer vergünstigten Leistung. Der Betroffene hatte nur für diesen Zweck seine Einwilligung erteilt. Für den Zweck der Vergünstigung einer Bankleistung ist es nicht erforderlich, deren Begründung auf dem Kontoauszug abzudrucken. Das Abdrucken stellt eine Form des Speicherns bzw. Nutzens dar, die einer eigenen Rechtsgrundlage bedurfte. Eine solche lag hier nicht vor. Nach Einschaltung des ULD wurde das Abdrucken des Grades der Behinderung auf den Kontoauszügen der Bank generell eingestellt.

Was ist zu tun?

Besonders sensible Daten wie solche zur Gesundheit oder zur Behinderung einer Person bedürfen eines besonderen Schutzes. Generell ist eine Verwendung solcher Daten von der Einwilligung des Betroffenen abhängig.

5.9.6       Maßnahmen gegen volle Briefkästen

Immer wieder muss das ULD feststellen, dass die Unternehmen ihre Kundinnen und Kunden nicht über deren Recht unterrichten, gegen Werbemaßnahmen und Markt- und Meinungsforschung Widerspruch einzulegen. Die fehlende Unterrichtung ist bußgeldbewehrt.

Viele Menschen erhalten direkt an sie adressierte Werbung, ohne ansatzweise zu ahnen, woher die werbenden Unternehmen ihre personenbezogenen Daten haben. Oft werden die personenbezogenen Daten, die im Zuge eines Kaufgeschäftes erhoben wurden, zu Werbezwecken verwendet. Die gesetzlich vorgeschriebene Unterrichtung der Bürgerinnen und Bürger über deren Widerspruchsrecht wird oft unterlassen.

Die Pflicht zur Unterrichtung über ein bestehendes Widerspruchsrecht gegen die Verarbeitung oder Nutzung der Kundendaten für Werbung oder Markt- und Meinungsforschung muss bei der Ansprache mit den genannten Zwecksetzungen und bei Vertragsabschluss erfolgen. Eine Verarbeitung zu Werbezwecken erfolgt auch dann, wenn die Kundendaten an ein anderes Unternehmen übermittelt werden, damit dieses die Daten für eigene Werbezwecke nutzt. Einer solchen Übermittlung muss der Kunde widersprechen können.

In einem Fall konnte das ULD im Beratungswege umfassende Hinweise für die Verwendung von Verarbeitungsklauseln in Verträgen erteilen, welche das Unternehmen mit seinen Kundinnen und Kunden schloss. In anderen Fällen musste das ULD näher analysieren, ob es sich bei den festgestellten Verstößen um Einzelverstöße oder systematische Verletzungen des Datenschutzrechts handelte. Von den Unternehmen wird dabei oft übersehen, dass sowohl die fehlende Unterrichtung über ein Widerspruchsrecht als auch die Nichtbeachtung eines Widerspruchs bußgeldbewehrt sind.

Was ist zu tun?

Die Unternehmen müssen ihre internen Prozesse zur Belehrung über Widerspruchsrechte und die Beachtung von Widersprüchen in Bezug auf Werbung sowie Markt- und Meinungsforschung überprüfen. Die betrieblichen Datenschutzbeauftragten trifft hier eine besondere Überwachungspflicht.

5.9.7       Umfang der Auskunftspflicht gegenüber dem ULD

Die verantwortliche Stelle hat gegenüber der Aufsichtsbehörde die Pflicht, Auskunft auf gestellte Fragen zu erteilen, es sei denn, sie macht von ihrem Auskunftsverweigerungsrecht Gebrauch. Die Auskunftspflicht umfasst auch Angaben zu Schuldverhältnissen, die von der verantwortlichen Stelle als Grund für die Datenverwendung angegeben werden.

Mahnschreiben eines Inkassounternehmens waren Grund einer Beschwerde einer Bürgerin, sich an das ULD zu wenden. Das mit dem Forderungseinzug von einer anderen Stelle beauftragte Inkassounternehmen machte behauptete Forderungen aus einem Gewinnspieleintragungsservice geltend. Der zugrunde liegende Vertrag sei telefonisch geschlossen worden. Ein Telefonmitschnitt wurde dem ULD vorgelegt. Das Gespräch fand zwischen der Bürgerin und einer Mitarbeiterin eines weiteren Unternehmens statt. Ein Vertragsabschluss konnte dem Mitschnitt nicht entnommen werden. Das Gespräch wurde gegenüber der Betroffenen als Kontrollanruf bezeichnet. In dessen Verlauf wurden in schneller Abfolge Kosten, Laufzeit usw. genannt und letztendlich die Kontoverbindungsdaten der Bürgerin abgefragt. Dies geschah so schnell, dass es für die Betroffene nicht möglich war, alle Einzelheiten des Gespräches inhaltlich zu erfassen.

Das ULD zweifelte am Vorliegen einer Rechtsgrundlage für die Verwendung der personenbezogenen Daten der Bürgerin und stellte klar, dass ein Hinweis auf einen telefonischen Vertrag nicht ausreichend sei, und forderte das Inkassounternehmen auf, Auskunft darüber zu erteilen, mit welchen Angaben die Betroffene wem gegenüber wann welche vertraglichen Verpflichtungen eingegangen sei. Das gegen das Inkassounternehmen wegen nicht ordnungsgemäß erteilter Auskunft eingeleitete Bußgeldverfahren wurde im gerichtlichen Verfahren aus formellen Gründen eingestellt, ohne dass über die Frage nach dem Umfang der Aufklärungspflicht gegenüber der Aufsichtsbehörde entschieden wurde.

Die im Bundesdatenschutzgesetz enthaltenen Ermächtigungsnormen setzen in bestimmten Fällen voraus, dass die Verwendung der Daten für die Durchführung eines Vertrags erforderlich ist. Dies setzt die Wirksamkeit des Vertrags voraus. Die Aufsichtsbehörde hat daher die Befugnis, auch die einzelnen Parameter zu behaupteten Verträgen zu ermitteln. Erst wenn das Zustandekommen des Vertrags festgestellt ist, stellt sich die Frage nach der Erforderlichkeit.

 

5.9.8       Geldinstitute als Daten-Banken

§ 7   Gesetz gegen den unlauteren Wettbewerb (UWG)

Unzumutbare Belästigungen

(1) Eine geschäftliche Handlung, durch die ein Marktteilnehmer in unzumutbarer Weise belästigt wird, ist unzulässig. Dies gilt insbesondere für Werbung, obwohl erkennbar ist, dass der angesprochene Marktteilnehmer diese Werbung nicht wünscht.

(2) Eine unzumutbare Belästigung ist stets anzunehmen

2. bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung oder gegenüber einem sonstigen Marktteilnehmer ohne dessen zumindest mutmaßliche Einwilligung,

Das ULD erhält wiederholt Beschwerden von Bürgerinnen und Bürgern zu weitreichenden Einwilligungserklärungen schleswig-holsteinischer Geldinstitute.

In Anschreiben dieser Institute wird der Anschein erweckt, es gehe in erster Linie um dringende Handlungsmöglichkeiten in Bezug auf vertragliche Fürsorge- und Beratungspflichten und nicht um weitgehende, vertraglich nicht nötige Datenfreigaben. In den fraglichen Passagen heißt es beispielsweise: „… stellen Sie sich vor: Ihre Geldanlage oder Ihr Kredit bei uns ist fällig und niemand sagt Ihnen Bescheid. Das geht nicht, oder?“ In der Einwilligungserklärung finden sich indessen Passagen wie: „Einwilligung zu Anrufen der Bank für eigene Produkte und Produkte von aktuellen und zukünftigen Verbund- und Kooperationspartnern“.

Die Verbindung eines Anschreibens, das ein konkretes Risiko bzw. Vorteile für den Verbraucher aufzeigt, mit einer Einwilligungserklärung, die offenkundig Werbezwecken dient, ist irreführend. Einwilligungen sind nur nach einer klaren Information des Verbrauchers wirksam. Bei Einwilligungen in Telefonwerbung bestehen besonders rigide Anforderungen, da solche Anrufe einen besonders belästigenden Eingriff in die Privatsphäre darstellen.

Aus vielen Beschwerden ist dem ULD bekannt, dass auch in mündlichen Ansprachen gegenüber Kundinnen und Kunden mit dem Argument eine Unterschrift verlangt wird, sonst könnte überhaupt kein telefonischer Kontakt mehr aufgenommen werden. Das ist falsch. Wenn die Speicherung und Nutzung der Telefonnummer eines Kunden für die Vertragsdurchführung erforderlich ist, ist ein Anruf auch ohne Einwilligung erlaubt. So darf beispielsweise selbstverständlich ein Kunde telefonisch informiert werden, wenn ein vereinbarter Termin kurzfristig abgesagt werden muss. Davon zu unterscheiden sind Werbeanrufe, bei denen neue Produkte beworben oder Beratungstermine für weitere Produkte vereinbart werden. Diese Anrufe sind für das eigentliche Bankverhältnis nicht erforderlich. Sie sind nur mit ausdrücklicher Einwilligung zulässig.

Was ist zu tun?

Banken werden den Erwartungen ihrer Kundinnen und Kunden nur gerecht, wenn sie fair und transparent mit deren Daten umgehen. Das Erschleichen einer Einwilligung unter Vorspiegelung falscher Informationen ist eine unseriöse Geschäftspraxis und datenschutzrechtlich unzulässig.

5.9.9       Löschpflichten bei Verkauf gebrauchter Mobiltelefone

Bei der Rücknahme von Hardware im Bereich Mobilfunk muss das Unternehmen das vollständige Löschen personenbezogener Daten sicherstellen, bevor es diese Produkte erneut zum Verkauf anbietet.

Ein Elektrofachmarkt hatte nach Geräterücknahmen nicht hinreichend geprüft, ob personenbezogene Daten auf den Geräten vorhanden waren, bevor diese erneut zum Verkauf angeboten wurden. Bei einigen Mobiltelefonen waren nicht alle personenbezogenen Daten der vorhergehenden Kunden vollständig gelöscht worden. Gespeichert waren Daten aus dem Telefonbuch, private Nachrichten sowie Bildaufnahmen.

In eigenem Interesse sollte derjenige, der entsprechende Produkte zurückgibt, darauf achten, dass die von ihm gespeicherten personenbezogenen Daten gelöscht sind. Ein Unterlassen der Vorbesitzer ändert jedoch nichts an der Verantwortlichkeit des Unternehmens. Diese wird dadurch begründet, dass es die Produkte wieder zum Verkauf anbietet. Sofern personenbezogene Daten der vorherigen Eigentümer nicht vollständig gelöscht sind, ist das Anbieten zum Verkauf ein unbefugtes Bereithalten personenbezogener Daten bzw. im Falle der Übergabe der Ware an den neuen Käufer ein unbefugtes Übermitteln personenbezogener Daten. Das ULD hat mit der verantwortlichen Stelle ein verbessertes Prüf- und Löschverfahren erarbeitet, was umgehend umgesetzt wurde.

Was ist zu tun?

Derjenige, der Hardware aus dem Bereich Mobilfunk wieder zurückgibt, sollte sorgfältig überprüfen, ob die von ihm gespeicherten personenbezogenen Daten gelöscht sind. Das diese Geräte in den Verkauf bringende Unternehmen ist verpflichtet, bei der Rückgabe das vollständige Löschen der personenbezogenen Daten zu überprüfen und sicherzustellen.

5.9.10    Videoüberwachung  an Tankstellen

Videokameras in und an Tankstellen sind ein gewohnter Anblick. Für jede einzelne Kamera müssen die datenschutzrechtlichen Anforderungen geprüft werden. Hierfür muss der Tankstellenbetreiber Rede und Antwort stehen.

Das ULD erhielt Beschwerden über Videoüberwachungsmaßnahmen in Tankstellen, wobei angeblich auch eine heimliche Audioüberwachung stattfand. Bei Vor-Ort-Prüfungen stellte das ULD Kameras im Außenbereich an den Zapfsäulen und bei der Waschanlage sowie sichtbar angebrachte Kameras im Tankstellengebäude fest. Hinweise auf eine heimliche Videoüberwachung und eine Audioüberwachung haben sich nicht bestätigt. Eine Audioüberwachung hätte zudem strafrechtliche Relevanz entfaltet.

Bezüglich der Kameras im Innen- und Außenbereich der Tankstelle muss der Tankstellenbetreiber berechtigte Interessen verfolgen. Bei einer Tank- stelle hatten sich in den letzten Monaten Raubüberfälle ereignet, und im Rahmen von Inventurarbeiten wurden erhebliche Warendefizite festgestellt, die mit anderen Mitteln nicht aufgeklärt werden konnten. Im Außenbereich musste für den Bereich der Waschanlage das Fehlen eines Hinweisschildes bezüglich der Videoüberwachung beanstandet werden. Da im Innenbereich auch Beschäftigte des Tankstellenbetreibers in den Erfassungswinkel der Kameras kommen, muss die Einstellung vor Ort so gewählt werden, dass eine Dauerüberwachung von Arbeitnehmern ausgeschlossen ist und nur der Bezahlbereich auf der Kassentheke erfasst wird. Eine Überwachung der Beschäftigten ist im Übrigen zumeist nicht zur Aufdeckung von Straftaten geboten und damit unverhältnismäßig. Die Unzulässigkeit einer verdeckten Videoüberwachung rechtfertigt nicht automatisch eine offene Videoüberwachung (33. TB, Tz. 5.1.4).

Was ist zu tun?

Die offene Videoüberwachung muss im Hinblick auf jede einzelne Kamera nach Art, Ausmaß und Anlass verhältnismäßig sein. Auch Tankstellenbetreiber müssen dies für jede einzelne von ihnen betriebene Kamera sicherstellen.

5.9.11    Überwachung von Kuchen und Broten

Gegen die Videoüberwachung von Kuchen und Broten zum Zweck der Prüfung einer ansprechenden Warenpräsentation ist an sich nichts einzuwenden. Dies darf jedoch nicht zu einer Leistungskontrolle von Beschäftigten führen.

Bei der Prüfung einer Bäckerei stellte das ULD mehrere Videokameras fest, die ausschließlich auf Kuchenbleche und Brotregale gerichtet waren. Der Bäcker hatte sogar ein Hinweisschild zur Videoüberwachung angebracht, obwohl sich die mit Bäckereiwaren gefüllten Vitrinen und Regale nicht in öffentlich zugänglichen Bereichen befanden und Personen nicht in den Erfassungswinkel der Kameras gerieten. Der Zweck der Maßnahme bestand im Interesse des Bäckers, die Warenpräsentation stetig zu überprüfen, um auf diese Weise seine Kundschaft mit visuellen Reizen zum Kauf zu ermuntern. Wir prüften, ob der Bäcker Rückschlüsse auf einzelne Beschäftigte ziehen konnte und ob im Zusammenhang mit der Warenprüfung eine Leistungskontrolle erfolgte. Grundsätzlich dürfen personenbezogene Daten von Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Nicht jede Kontrolle ist datenschutzrechtlich zulässig. Die Videoaufnahmen waren jedoch nicht zu beanstanden, da eine Zuordnung zu Einzelpersonen nicht möglich war. Anhand der Kameraeinstellung konnte nicht ermittelt werden, welche Beschäftigtenhand beim Zugriff auf Brote und Kuchen tätig war.

Was ist zu tun?

Bei der videotechnischen Erfassung einer Warenpräsentation ist anhand der Kameraeinstellung sicherzustellen, dass Maßnahmen der Leistungskontrolle ausgeschlossen sind.

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel