Die fertigen Briefsendungen werden im üblichen Briefverteilverfahren den Adressaten zugestellt

Der Kunde liefert die Daten auf Datenträger oder online bei der Deutschen Post AG bzw. bei einem ihrer "Vertriebspartner" für den ePost-Dienst an. Bei der online-Anlieferung handelt es sich um einen Teledienst. Da es sich bei den Nutzern des Dienstes üblicherweise nicht um natürliche Personen, sondern um Unternehmen handelt, fallen auf dieser Ebene im Regelfall keine personenbezogenen Nutzerdaten an.

· Die Daten werden durch die Post bzw. ihre Vertriebspartner entsprechend den Vorgaben des Kunden formatiert und zur ePost-Station übertragen, bei der sie ausgedruckt und kuvertiert werden sollen. Diese Tätigkeiten entsprechen der Funktion von Letter-Shops und sind ­ soweit dabei personenbezogene Daten verarbeitet werden ­ als Auftragsdatenverarbeitung zu qualifizieren. Dies gilt auch für die Archivierung der Versanddaten auf CD-ROM, die zusätzlich angeboten wird.

· Die fertigen Briefsendungen werden im üblichen Briefverteilverfahren den Adressaten zugestellt; dabei handelt es sich um einen Postdienst.

Erforderlichkeit der Einwilligung

Der Düsseldorfer Kreis der Obersten Aufsichtsbehörden für den Datenschutz beschäftigte sich mit den Voraussetzungen für die Nutzung von ePost für den Versand von Arztrechnungen durch privatärztliche Verrechnungsstellen (PV). Zu klären war, ob der Versand von Arztrechnungen mittels ePost eine unbefugte Offenbarung besonders geschützter Geheimnisse darstellt, die gemäß §203 StGB strafbar ist.

Zunächst war zu klären, ob die Daten, die der ärztlichen Schweigepflicht unterliegen, bei Nutzung von ePost offenbart werden. Zwar ist die Kenntnisnahme der Daten durch die Deutsche Post AG nicht beabsichtigt; allerdings kann auch nicht ausgeschlossen werden, daß bei Produktionsfehlern in verschiedenen Phasen des Verarbeitungsprozesses Mitarbeiter der Post Kenntnis von den Inhalten erhalten (etwa bei Papierstau im Drucker oder bei Fehlern in einer Kuvertiermaschine). Bei derartigen Fehlern würden die Daten Postmitarbeitern offenbart werden.

Der Bundesbeauftragte für den Datenschutz hat die Auffassung vertreten, dass das gesamte ePost-Verfahren (mit Ausnahme der Archivierung) als neuartige Postdienstleistung zu bewerten ist. Postmitarbeiter, die bei Störungen Kenntnis von den Daten erhielten, seien deshalb an das Postgeheimnis gebunden. Eine unbefugte Offenbarung liege nicht vor (17.TB des BfD, 29.3.3). Demgegenüber ist der Düsseldorfer Kreis mit uns der Auffassung, dass die Nutzung von ePost durch PV zum Versand von Arztrechnungen zu einer unzulässigen Offenbarung der geheimzuhaltenden Patientendaten führen könne.

Prüfung eines ePost-Partnerunternehmens

Die Deutsche Post AG arbeitet zur Erbringung des ePost-Dienstes mit Partnerunternehmen zusammen. Deren Aufgabe besteht in der Akquisition von Kunden und in der Vorverarbeitung von Daten, die von den Kunden angeliefert werden. Wir haben ein derartiges Unternehmen geprüft, das personenbezogene Daten im Auftrag der Kunden verarbeitet.

Die Kunden übertragen ihre Daten (Formulare und Versandlisten) im Regelfall online per ISDN an das geprüfte Unternehmen. Die Daten werden durch das Unternehmen hinsichtlich der Formatierungskonventionen für den ePost-Dienst überprüft und ggf. nachbearbeitet und anschließend per Datenleitung an die ePost-Station der Post übertragen. Die Daten werden bei dem Transport über die Telekommunikationsverbindung vom Kunden an das Unternehmen verschlüsselt, wobei individuelle, mit den jeweiligen Kunden vereinbarte Schlüssel verwendet werden. Zur Verschlüsselung wurde ein paßwortgeschütztes Komprimierungsverfahren verwendet, das als schwach einzuschätzen ist, weil die Verschlüsselung mit verhältnismäßig geringem Aufwand aufzuheben ist. Inzwischen bietet das Unternehmen seinen Kunden jedoch ein sicheres kryptographisches Verschlüsselungsverfahren an.

Die Datenübertragung des Unternehmens an die Post erfolgte überwiegend unverschlüsselt.

Wir haben angeregt, nicht nur die Verbindung zwischen dem Kunden und dem Unternehmen, sondern auch die Datenübertragung von dem Unternehmen an die ePost-Station durch kryptographische Verschlüsselung zu sichern. Die Prüfung hat im übrigen keine Hinweise auf Verstöße gegen datenschutzrechtliche Vorschriften ergeben.

3.10 Änderung des Rundfunkstaatsvertrags

Mit dem Vierten Rundfunkänderungsstaatsvertrag wird der Datenschutz bei Rundfunkprogrammen neu geregelt und weitgehend mit den Datenschutzbestimmungen für Tele- und Mediendienste harmonisiert.

Bei der Übertragung von Rundfunkprogrammen kommt zunehmend digititale Technik zum Einsatz. Diese Innovation ermöglicht nicht nur eine Vervielfachung der gleichzeitig übertragenen Programme; sie gestattet auch gänzlich neue Programmformen und neue Zugriffs- und Abrechnungsverfahren. Zwar ist der Rückkanal derzeit weder im Kabel- noch im Satellitenfernsehen realisiert; durch Kombination dieser Verteiltechniken mit bestehenden "schmalbandigen" Kommunikationsdiensten (ISDN, Telefon) wird jedoch bereits heute ein gewisser Grad an Interaktivität ermöglicht. Insbesondere im Bezahlfernsehen (Pay TV) sind bereits interaktive Bestell- und Abrechnungsverfahren realisiert, bei denen personenbezogene Daten der Nutzer erhoben und verarbeitet werden. Insofern besteht bereits jetzt die Gefahr, dass das Fernsehverhalten registriert wird und im nachhinein festgestellt werden kann, welcher Nutzer wann welche Sendungen gesehen hat (vgl. 15.TB, 5.1).

Zudem nimmt ­ durch Einsatz neuer Kompressions- und Übertragungsverfahren ­ die Übertragungsleistung schmalbandiger Telekommunikationstechnik in starkem Maße zu, so daß auch auf diesem Wege Ton- und Bewegtbildübertragungen möglich werden, die in ihrer Qualität kaum noch hinter herkömmlichen Fernseh- und Hörfunkprogrammen zurückbleiben. Bereits nach geltendem Recht können bestimmte Dienste, die zunächst wegen mangelnder Relevanz für die Bildung der öffentlichen Meinung als Mediendienste eingestuft wurden, bei zunehmender Reichweite und Bedeutung zu Rundfunk werden. Vor diesem Hintergrund war es dringend geboten, die Datenschutzregelungen für den Rundfunk dem inzwischen erreichten Standard für interaktive Tele- und Mediendienste anzupassen (vgl. 3.6).

Dies wird mit dem Vierten Rundfunkänderungsstaatsvertrag geschehen, der voraussichtlich am 1. April 2000 in Kraft treten wird. Im Mittelpunkt der neuen Bestimmungen steht das Recht des Nutzers, sich unbeobachtet und ohne Registrierung seines Nutzungsverhaltens zu informieren und unbeobachtet einzelne Programmangebote in Anspruch zu nehmen. Die Regelungen sollen insofern nicht allein das Recht auf informationelle Selbstbestimmung gewährleisten, sondern darüber hinaus auch die Informationsfreiheit nach Art. 5 Abs. 1 Grundgesetz.

Besonderen Stellenwert besitzen in diesem Zusammenhang die Bestimmungen zum "Systemdatenschutz" (vgl. auch 3.6.1). Gemäß §47 Abs. 5 Rundfunkstaatsvertrag (RStV) haben sich die Gestaltung und die Auswahl technischer Einrichtungen für die Veranstaltung und den Empfang von Rundfunk an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen. Bereits durch die Gestaltung der Systemstrukturen soll damit die Erhebung, Verarbeitung und Nutzung personenbezogener Daten vermieden und die Selbstbestimmung der Nutzer sichergestellt werden. Dies kann z. B. durch eine dateneinsparende Organisation der Übermittlung, der Abrechnung und Bezahlung sowie der Abschottung von Verarbeitungsbereichen unterstützt werden.

Diese Regelung wird ergänzt durch die Verpflichtung der Veranstalter in §47a Abs. 1 RStV, dem Nutzer die Inanspruchnahme einzelner Angebote und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Nutzungsprofile sind gemäß §47a Abs. 4 RStV nur bei der Verwendung von Pseudonymen zulässig. Dabei dürfen die unter einem Pseudonym erfaßten Nutzungsprofile nicht mit den Daten über den Träger des Pseudonyms zusammengeführt werden.

Nutzungsdaten, d.h. diejenigen personenbezogenen Daten, die während der Inanspruchnahme von Rundfunk entstehen, sind frühestmöglich, spätestens nach Ende der jeweiligen Nutzung zu löschen, soweit sie nicht zu Abrechnungszwecken erforderlich sind. Personenbezogene Daten über Suchschritte (etwa in einem interaktiven Programmführer), die in Hinblick auf Nutzerverhalten und Konsumentenwünsche von Bedeutung sind, sind nach Beendigung der Nutzung des Programmangebots unmittelbar zu löschen.

Die Abrechnungsdaten sind zu löschen, sobald sie für Zwecke der Abrechnung nicht mehr erforderlich sind. Nutzerbezogene Abrechnungsdaten, die für die Erstellung von Einzelnachweisen erforderlich sind, müssen im Grundsatz spätestens 80 Tage nach Versendung des Einzelnachweises gelöscht werden.

Dabei sind die Abrechnungen so zu gestalten, dass sie grundsätzlich nicht erkennen lassen, welche Programmangebote im einzelnen in Anspruch genommen wurden. Mit dieser Vorschrift soll verhindert werden, dass aufgrund der aufgeschlüsselten Abrechnung personenbezogene Nutzerprofile entstehen und von Dritten (z. B. Mitbenutzer, Betriebsangehörige) eingesehen werden können. Nur wenn der Nutzer einen Einzelnachweis verlangt, darf die Abrechnung über die Inanspruchnahme von einzelnen Programmangeboten aufgeschlüsselt werden.

Im Sinne der Transparenz der Datenverarbeitung ist der Nutzer vor der Erhebung seiner personenbezogenen Daten umfassend zu unterrichten. Nur so kann sich der Nutzer einen angemessenen Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen. Der Transparenz dient auch die Vorgabe, dass der Nutzer über die Weiterschaltung zu einem anderen Veranstalter unterrichtet wird. Ohne eine derartige Vorschrift könnten weder das Auskunftsrecht des Nutzers noch eine datenschutzrechtliche Aufsicht wirksam wahrgenommen werden.

Schließlich gewährt der Rundfunkstaatsvertrag dem Nutzer nicht nur hinsichtlich der unter seinem Namen, sondern auch zu den unter Pseudonym gespeicherten Daten ein umfassendes Auskunftsrecht.

Wie bereits der Mediendienstestaatsvertrag enthält nun auch §47e RStV eine Vorschrift zum Datenschutz-Audit (vgl. 3.6.2), d.h. Veranstalter können ihr Datenschutzkonzept und ihre technischen Einrichtungen von unabhängigen Gutachtern prüfen und das Prüfungsergebnis veröffentlichen lassen. Die Möglichkeit des Datenschutz-Audits richtet sich in erster Linie an die Veranstalter, die bei der Konzeption ihres Angebots datenschutzrechtliche Belange berücksichtigen wollen. Dem kann z. B. durch die Schaffung von Gütesiegeln Rechnung getragen werden.