Kreditinstitut
Ziel war es, dem Kunden nahezulegen, Versicherungen bei anderen mit dem Kreditinstitut kooperierenden Gesellschaften anzubieten. Auf Nachfrage des Kunden gaben die Bankmitarbeiter an, bei allen Kundenberatungen so vorzugehen. Der Kunde fühlte sich durch das Einsehen in seine Girokontobewegungen erheblich in seiner Privatsphäre verletzt und wird das Girokonto kündigen.
Im zweiten Fall beschwerte sich ein Ehepaar, das Festgeldanlagen wegen der besseren Konditionen bei einem anderen Kreditinstitut unterhielt, darüber, dass ihr Kundenbetreuer gezielt ihr Girokonto auswertete und immer dann Kontakt zu ihnen aufnahm, wenn Umsätze zwischen ihrem Girokonto und dem Kreditinstitut mit den Festgeldanlagen erfolgten. Der Kundenbetreuer rief sie an und bot an, die Gelder bei dem Kreditinstitut selbst anzulegen. Das Ehepaar fühlte sich durch diese Vorgehensweise belästigt.
Die Auswertung von Girokontobewegungen durch ein Kreditinstitut zu Werbe- und Akquisitionszwecken stellt eine unzulässige Nutzung von personenbezogenen Daten dar (vgl. bereits 18. TB Ziffer 24.3) Für die Durchführung des Girokontovertrags ist diese Auswertung nicht erforderlich und daher nicht nach § 28 Abs. 1 Nr. 1 BDSG zulässig. Wegen der entgegenstehenden Interessen der Kunden ist die Auswertung auch nicht nach § 28 Abs. 1 Nr. 2 BDSG zulässig. Der Auswertung von Girokontobewegungen ohne eine entsprechende Einwilligung des Kunden stehen regelmäßig dessen schutzwürdige Interessen entgegen. Der Kunde vertraut darauf, dass das Kreditinstitut die teilweise sehr sensiblen Daten, die eine Kenntnis der Lebensumstände des Kunden ermöglichen, nur im Zusammenhang mit der Durchführung von Transaktionen zur Kenntnis nimmt. Ohne das Wissen und den eindeutigen Willen des Kunden, der eine Beratung wünscht, darf eine Auswertung der Girokontobewegungen nicht erfolgen. Eine darüber hinausgehende Auswertung der Daten verletzt die Privatsphäre der Kunden und erschüttert ihr Vertrauen in einen sorgsamen Umgang mit ihren Daten.
Wir haben das Kreditinstitut auf die datenschutzrechtliche Unzulässigkeit des Verfahrens hingewiesen. Das Kreditinstitut teilte mit, dass dort bekannt sei, dass eine Auswertung der Umsatzdaten eines Girokontos ohne eine entsprechende Einwilligung des Kontoinhabers nicht zulässig sei und verwies beim ersten Fall darauf, dass es sich um einen bedauerlichen Einzelfall gehandelt habe. Man würde diesen Vorfall zum Anlass nehmen, die Kundenberater erneut auf die datenschutzrechtlichen Anforderungen hinzuweisen. Dies scheint jedoch nicht in ausreichender Form erfolgt zu sein, denn der zweite Fall zeigte, dass weiterhin durch Mitarbeiter des Kreditinstituts Girokontobewegungen ausgeforscht worden sind.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wendet sich entschieden gegen eine Auswertung der Kontodaten durch das Kreditinstitut.
Leider ist es nach den Bußgeldvorschriften des Bundesdatenschutzgesetzes nicht möglich, wegen der unzulässigen Nutzung von personenbezogenen Daten ein Bußgeld gegen das Kreditinstitut zu verhängen. Der Gesetzgeber hat die Forderung des Bundesrates, auch die unzulässige Nutzung mit einem Bußgeld zu ahnden, leider bei der letzten Novellierung nicht aufgegriffen. Sollte es erneut zu derartigen Beschwerden gegen das Kreditinstitut kommen, werden wir die Bürger daher darüber unterrichten, dass der Datenschutz durch das Kreditinstitut nicht gewährleistet ist.
Kundenkarten für Kinder und Jugendliche
Durch Kundenkarten für Kinder und Jugendliche erhält der Einzelhandel detaillierte Informationen über deren Kaufverhalten.
Besorgte Eltern wiesen darauf hin, dass ein großer Hamburger Drogeriemarkt eine Kundenkarte für Kinder und Jugendliche ab 12 Jahren anbot und in den Kartenanträgen eine Vielzahl von Daten verlangte, die das Freizeitverhalten und das Familienumfeld betrafen. Mit der Karte wird über ein Bonuspunktesystem den Karteninhabern beim Einkauf ein Rabatt gewährt, der nach Erreichen einer bestimmten Punktzahl eingelöst werden kann.
Die Unterschrift der Erziehungsberechtigten wurde nicht zwingend verlangt. Auf seiner Internetseite wies das Unternehmen darauf hin, dass der Antrag ohne Unterschrift eines Erziehungsberechtigten ausgefüllt werden dürfe.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit steht Kundenbindungsprogrammen für Minderjährige, die diese bereits daran gewöhnen, private Daten an Unternehmen gegen finanzielle Anreize weiterzugeben, sehr kritisch gegenüber. Während sich viele Erwachsene bewusst gegen Kundenkarten entscheiden, um ihr Kaufverhalten nicht transparent zu machen (gläserner Konsument), ist Jugendlichen die Möglichkeit, dass mithilfe ihrer Daten Profile über ihr Kaufverhalten angefertigt werden können, meist nicht bewusst. Nicht alle Jugendlichen, für die das Angebot gilt, sind aufgrund ihres Reifegrades und ihrer Einsichtsfähigkeit in der Lage, darüber zu entscheiden, ob sie lieber anonym einkaufen oder ihr Kaufverhalten transparent machen wollen und werden durch die Ausgabe der Kundenkarten durch finanzielle Anreize dazu verleitet, ihre Daten weiterzugeben. Ab welchem Alter Kinder und Jugendliche selbst in der Lage sind, Ihre Datenschutzrechte auszuüben und datenschutzrechtlich relevante Sachverhalte zu überblicken, ist bisher nicht geregelt. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist der Auffassung, dass zumindest Kinder, die noch nicht 14 Jahre alt sind, die notwendige Einsichtsfähigkeit in dieser Hinsicht grundsätzlich nicht haben. Nach den Teilnahmebedingungen bei anderen Bonuskarten müssen die Karteninhaber in der Regel mindestens 16 Jahre alt sein bzw. darf die Karte bei Minderjährigen nur mit Zustimmung der Erziehungsberechtigten ausgegeben werden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hält eine Verarbeitung der Daten von Jugendlichen ab 12 Jahren im Rahmen der zivilrechtlichen Gestaltung der Karten des Hamburger Unternehmens für zulässig, wenn nur die Daten erhoben, verarbeitet und genutzt werden, die für die Vertragsdurchführung unbedingt erforderlich sind. Bei der Bewertung wurde der so genannte Taschengeldparagraph §110 BGB berücksichtigt. Danach dürfen Minderjährige, die das 7. Lebensjahr vollendet haben, ohne Zustimmung ihrer gesetzlichen Vertreter vertragsgemäße Leistungen mit Mitteln bewirken, die ihnen zu diesem Zweck oder zu freier Verfügung überlassen worden sind. Auch wenn es bei der Ausübung der Datenschutzrechte um Willenserklärungen geht, die auf tatsächliche Handlungen und nicht auf Rechtsgeschäfte gerichtet sind, wird die im engen Zusammenhang mit derartigen Käufen stehende Datenverarbeitung zum Sammeln von Geldgutscheinen nach § 28 Abs. 1 Nr. 1 BDSG bei Kindern und Jugendlichen ab 12 Jahren als zulässig erachtet, soweit sie sich auf den Namen, die Anschrift und das Geburtsdatum und eine für evtl. Rückfragen erforderliche Telefonnummer oder EmailAdresse beschränkt.
Demgegenüber ist eine Erhebung von Daten mit Angaben zu Hobbies, Freizeitverhalten, Freunden und Familie, die zur Durchführung des Vertrags nicht erforderlich sind, nur mit zusätzlicher Einwilligung der Jugendlichen zulässig. Dies setzt voraus, dass das Unternehmen sie klar und verständlich darüber unterrichtet, dass diese Angaben freiwillig sind und zu welchen Zwecken diese Angaben genutzt werden sollen. Die Jugendlichen müssen darüber hinaus die Einsichts- und Urteilsfähigkeit haben, um den Umfang dieser Datenerhebung und Verarbeitung, die den Werbezwecken des Unternehmens dient, zu überblicken. Diese Einsichtsfähigkeit liegt nach Auffassung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zumindest bei Kindern unter 14 Jahren nicht vor. Konkrete Angaben über Freunde und Familie dürfen jedoch in keinem Fall erhoben werden. Nach § 4 Abs. 2 BDSG sind Daten bei den Betroffenen selbst zu erheben.
Das Unternehmen hat große Bereitschaft gezeigt, in datenschutzrechtlich zulässiger Weise zu agieren, und hat unsere datenschutzrechtlichen Forderungen umgesetzt. Die Unterlagen für die Kundenkarte für Kinder und Jugendliche wurden umgestaltet und so mehr Transparenz für die Nutzergruppe geschaffen. Es ist nun generell für die Beantragung der Karte und die damit verbundene Weitergabe von personenbezogenen Daten eine Einverständniserklärung der Erziehungsberechtigten bei Antragstellern unter 12 Jahren vorgesehen. Darüber hinaus müssen Eltern bei Antragstellern unter 14 Jahren eine weitere schriftliche Einwilligung erteilen, wenn die Kinder freiwillige Angaben für die Durchführung von Werbeaktionen machen.
Weitergabe von Kundendaten bei Geschäftsaufgabe
Eine Weitergabe von Kundendaten bei Geschäftsaufgabe an ein Unternehmen, das künftig die Belieferung des Kunden vornehmen soll, ist nur dann zulässig, wenn die Kunden vorab über die Weitergabe unterrichtet werden und ihnen zumindest ein Widerspruchsrecht eingeräumt wird.
Durch Beschwerden wurden wir darauf aufmerksam, dass ein Energielieferant in Hamburg wegen Geschäftsaufgabe seinen gesamten Kundenstamm einschließlich der Konto- und Verbrauchsdaten an ein anderes Hamburger Energieversorgungsunternehmen weitergegeben hatte. Die Kunden wurden durch das Unternehmen darüber informiert, dass es die Tätigkeit als Stromlieferant einstelle und den Kundenstamm an das andere Unternehmen übertragen werde. Wenige Tage später erhielten die Kunden von dem neuen Energielieferanten ein Begrüßungsschreiben.
Eine Möglichkeit, der Weitergabe ihrer Kundendaten zu widersprechen, gab es nicht mehr, da die Weitergabe der Daten bereits erfolgt war. Betroffen waren die Daten von mehr als 3500 Kunden. Mehr als 500 dieser Kunden haben sich gegen eine Belieferung durch das neue Energieversorgungsunternehmen entschlossen und von diesem die Löschung ihrer Daten verlangt, was unverzüglich erfolgte.
Der Energieversorger war nach den Vorschriften des BDSG nicht berechtigt, wegen Geschäftsaufgabe die Kundendaten einschließlich der Kontodaten an einen anderen Energieversorger weiterzugeben. Eine Rechtsgrundlage für die Weitergabe der Kundendaten lag nicht vor. Das Unternehmen hatte sich zur Rechtfertigung der Datenweitergabe auf eine Ziffer in seinen AGB berufen. Danach war es berechtigt, Rechte und Pflichten aus dem Vertrag an einen Dritten abzutreten oder Dritte mit der Erbringung von Leistungen oder einem Teil von Leistungen zu beauftragen.