Kreditkarte

Die betroffene Auskunftei hat mit personellen Maßnahmen gegenüber ihrem unzuverlässigen Rechercheur eine Wiederholung dieses Vorfalles verhindert.

Für Unternehmen kann dieses Ereignis nur bedeuten, dass es wichtig ist, die eigene Kreditbeurteilung durch Selbstauskünfte zu kontrollieren. Juristische Personen - falls es keine Ein-Personen-Gesellschaften sind - können jedoch keine Auskünfte nach § 34 BDSG fordern. In der Regel werden SelbstAuskünfte über juristische Personen aber freiwillig zur Qualitätskontrolle erteilt.

Fragwürdige Recherche-Methoden Ausgangspunkt für eine Recherche ist häufig eine telefonische Befragung des Betroffenen selbst.

Eine Betroffene beschwerte sich darüber, dass sie bei der Selbstbefragung telefonisch erheblich unter Druck gesetzt worden sei. Dies war offensichtlich nicht das einzige Ereignis dieser Art, da die Auskunftei bereits 1997 der Betroffenen die Zusage gegeben hatte, weitere Kontakte zu unterlassen.

Vom betroffenen Rechercheur wurden telefonische Pressionen bestritten, vor allem behauptete er, bei seiner neuen Recherche nicht gewusst zu haben, dass die Betroffene die neue Geschäftsführerin und Eigentümerin des recherchierten Unternehmens sei. Zumindest in diesem Punkt waren die Behauptungen des Rechercheurs offensichtlich unwahr, weil ein der Recherche zugrunde liegendes Werbeschreiben von der Betroffenen unterschrieben war und sie in der Fußnote als Inhaberin bezeichnet wurde.

Der Datenschutzbeauftragte wurde aufgefordert, die Tätigkeit des verursachenden Rechercheurs verstärkt zu kontrollieren.

Betroffenen ist - sollten derartige Übergriffe von Rechercheuren tatsächlich vorkommen - zu empfehlen, nur schriftliche Auskünfte zu erteilen oder Auskünfte zu verweigern. Bei einer schriftlichen Selbstauskunft ist auch die Beweislage in jeder Hinsicht vorteilhafter.

Benachrichtigung nach § 33 BDSG mit Werbung verknüpft Werden erstmals personenbezogene Daten für eigene Zwecke gespeichert, ist der Betroffene von der Speicherung und der Art der Daten zu benachrichtigen. Diese Vorschrift soll der Transparenz der Datenverarbeitung für den Betroffenen dienen. Wenn jedoch öffentlich verfügbare Adressdaten (z.B. aus Telefonbüchern) zu Werbezwecken gespeichert werden, ist der Sinn einer gesonderten Benachrichtigung für die betroffenen Unternehmen kaum nachvollziehbar. In diesen Fällen wird von der Aufsichtsbehörde toleriert, dass die Benachrichtigung der Werbung beigefügt ist.

Im vorliegenden Fall handelte es sich jedoch um nicht ohne weiteres öffentlich verfügbare Anlegerdaten, die längerfristig gespeichert und zu Werbezwecken genutzt werden sollten. Die kreative Geschäftsidee, mit der Benachrichtigung nach § 33 BDSG den Aufmerksamkeitswert der Werbung zu erhöhen, wurde von der Aufsichtsbehörde missbilligt. Schriftliche Werbung wird zu einem hohen Prozentsatz ungelesen in den Papierkorb geworfen. Es ist zu befürchten, dass dann die gesetzlich vorgeschriebene Benachrichtigung gleichzeitig ungelesen als vermeintliche Werbung mit entsorgt wird.

Als Kompromiss - separate Portokosten für Benachrichtigungen haben einen hohen Abschreckungsfaktor - ist es nach Meinung der Aufsichtsbehörde akzeptabel, wenn in einem beigefügten separaten Schreiben benachrichtigt wird. Sinnvollerweise sollte dabei - auch ohne gesetzliches Erfordernis - auf das Widerspruchsrecht nach § 28 Abs. 3 BDSG hingewiesen werden. Dieser zusätzliche Hinweis spart dem Unternehmen - wenn es auch selten geglaubt wird - Geld, weil unerwünschte Werbung auch ein Kostenfaktor ist und im Ergebnis negative Imageeffekte erzeugt.

8. Kreditkartenunternehmen

Datenverarbeitung im Zusammenhang mit Corporate Travel (und Corporate Card)

Ein Kreditkartenunternehmen bietet auch Reisedienstleistungen für Firmen an, d.h. die Firmen übertragen die Buchung und Abwicklung ihrer Geschäftsreisen auf das Kreditkarten- bzw. Reisebürounternehmen mit dem Ziel, einen optimalen Service zu erhalten und Reise- sowie Verwaltungskosten zu reduzieren.

Die Geschäftsreisenden (d.h. die Mitarbeiter der betreffenden Firmen) können so ihre Buchungen unmittelbar über das Kreditkartenunternehmen vornehmen.

Wenngleich im Rahmen des Corporate Travel grundsätzlich nur eine Vertragsbeziehung (Dienstleistungsvertrag) zwischen dem Kreditkartenunternehmen und den Firmen besteht, so werden doch eine Vielzahl personenbezogener Daten der Arbeitnehmer bzw. Angestellten verarbeitet.

Hierüber informierte ein von dem Kreditkartenunternehmen herausgegebenes und an die Geschäftsreisenden verteiltes Datenschutz-Faltblatt.

Dieses war Anlass für mehrere Eingaben und führte zu Diskussionen, die mit Konkurrenzunternehmen möglicherweise erst noch zu führen sein werden.

Die Aufsichtsbehörde bewertete die Datenverarbeitungen durch das Kreditkartenunternehmen nicht als Auftragsdatenverarbeitung i.S.d. § 11 BDSG, sondern als eigenständige Datenverarbeitung, für welche das Kreditkartenunternehmen verantwortlich ist.

Ein Teil der Eingaben bezog sich auf die als "Reiseprofil" erfassten Daten und die werbliche Nutzung.

Die Geschäftsreisenden haben die Möglichkeit, in einem Formular ihre Präferenzen und Wünsche hinsichtlich der Reisebuchungen mitzuteilen, beispielsweise, welche Hotelkette und -kategorie oder welche Mahlzeit im Flugzeug (Standardmenü oder vegetarisch) bevorzugt wird.

Die Erfassung dieses "persönlichen Reiseprofils" soll dazu dienen, die Reisen noch schneller organisieren zu können. Durch die Hinterlegung der Daten im START/Amadeus-Buchungssystem muss der Reisende nicht jedes Mal bei einer Buchung seine Daten neu mitteilen. Sein Reiseprofil wird abgerufen und die Kerninformationen für seine Buchung sind automatisch vorhanden.

Da in dem Formular auf die Datenweitergabe an "ein von Dritten betriebenes Computer-Reservierungssystem" ausdrücklich hingewiesen wurde und die Datenerfassung auf freiwilliger Basis erfolgt sowie die Daten (derzeit) ausschließlich für die Geschäftsreiseplanung verwendet werden, hatte die Aufsichtsbehörde im Grundsatz keine Bedenken.

Im oben genannten Datenschutz-Faltblatt war jedoch auch von einer Verwendung für Berichte an den Arbeitgeber und - unter Hinweis auf das Widerspruchsrecht - von einer (künftigen?) werblichen Datennutzung die Rede, wobei der Umfang nicht ganz klar war.

Insbesondere im Hinblick darauf, dass die Betroffenen von ihrem Arbeitgeber zur Inanspruchnahme der Reisebüro-Dienstleistungen und damit zur Preisgabe personenbezogener Daten an das Unternehmen gezwungen werden, sind im Hinblick auf die schutzwürdigen Belange hohe Anforderungen, insbesondere an die Transparenz, zu stellen.

Die Aufsichtsbehörde vertrat daher die Auffassung, dass die im Faltblatt enthaltenen (und sehr zu begrüßenden) Ansätze verbessert werden sollten:

Bereits in dem Reiseprofil-Formular sollte explizit darauf hingewiesen werden, dass die Angaben freiwillig sind und zu welchem Zweck sie verwendet werden.

Hinsichtlich einer etwaigen werblichen Nutzung müsste auf dem ReiseprofilFormular eine Einwilligung eingeholt werden oder eine klare Widerspruchs(opt-out)-Möglichkeit durch Ankreuzen vorgesehen werden.

Eine Einwilligung wäre unerlässlich, wenn Daten aus dem Reiseprofil mit Daten aus der Nutzung der Corporate Card und mit den Daten aus der Nutzung der gegebenenfalls vorhandenen privaten Karte verknüpft würden. Dies war jedoch im konkreten Fall gemäß Auskunft der betrieblichen Datenschutzbeauftragten nicht der Fall und ist auch nicht beabsichtigt.

Wenn im Dienstleistungsvertrag zwischen Arbeitgeber und dem Kreditkarten- bzw. Reisebürounternehmen die werbliche Nutzung ausgeschlossen wurde bzw. die Datennutzung ausdrücklich auf die Erbringung der Reisedienstleistung beschränkt wurde, hat dies Vorrang, d.h. eine werbliche Nutzung der Daten der Reisenden scheidet von vornherein aus.

Gegenstand einer Eingabe bzw. Anfrage war des Weiteren die Frage, inwieweit es zulässig ist, dass das Kreditkartenunternehmen Daten über das Reiseverhalten der Mitarbeiter und Auswertungen an den Arbeitgeber liefert. Die Datenschutzbeauftragte des Kreditkartenunternehmens richtete außerdem selbst die Anfrage an die Aufsichtsbehörde, ob es zulässig sei, "Rohdaten" an die Arbeitgeber zu liefern, sodass diese selbst personenbezogene Auswertungen vornehmen können. Derzeit werden keine Rohdaten geliefert, vielmehr werden im Wesentlichen statistische Auswertungen erstellt.

Die Aufsichtsbehörde differenzierte bei ihrer Bewertung zwischen folgenden Fallgruppen: a)

Die Buchungen werden über Corporate Travel vorgenommen, die Bezahlung erfolgt mittels einer persönlichen Kreditkarte des Geschäftsreisenden oder durch ein anderes Zahlungsmittel, jedenfalls nicht über eine Reisestellenkarte (siehe hierzu nachfolgend b) oder über eine vom Kreditkartenunternehmen herausgegebene Corporate Card (siehe hierzu nachfolgend c).

Da es sich um Geschäftsreisen handelt, bestehen keine Bedenken, wenn der Arbeitgeber Daten über den Verlauf der Reisen erhält (Reiseziel, Reisedatum, Fluglinie, Flugpreis, Name des Reisenden und gegebenenfalls weitere Daten) - also solche Daten, die der Reisende ohnehin regelmäßig in Reiseantrags- und Reisekostenerstattungsformularen anzugeben hat (bzw. hätte).

Hier muss nur klar sein, dass sich diese Buchungsdaten tatsächlich auf Geschäftsreisen beziehen. Der Arbeitgeber muss also gegenüber seinen Mitarbeitern klarstellen, dass die Corporate-Travel-Dienstleistung entweder ausschließlich für Geschäftsreisen in Anspruch genommen werden darf oder

- wenn eine Nutzung für private Zwecke akzeptiert wird - dass der Reisende diese Buchungen entsprechend deklariert, da ansonsten sämtliche Buchungsdaten an den Arbeitgeber gegeben werden.

Interessanter als die reinen Buchungsdaten sind für die Arbeitgeber weitere Analyse- und Bewertungsdaten, die Einsparpotenziale aufzeigen und die Möglichkeit geben, die Einhaltung ihrer Reiserichtlinien zu überprüfen.

Das Kreditkartenunternehmen erbringt auf diese Weise Controlling-Leistungen. So kann detailliert aufgezeigt werden, welches der günstigste Tarif für einen Flug gewesen wäre und warum dieser nicht gewährt werden konnte: Beispielsweise wegen zu später Buchung oder weil der Reisende eine bestimmte Fluggesellschaft gewählt hat, um Vielflieger-Bonuspunkte zu erhalten.

Wenn diese Daten als Rohdaten geliefert werden, könnte der Arbeitgeber durch eine individuelle Reiseverhaltensanalyse auch gezielt auswerten, welche "Mehrkosten" ein bestimmter Mitarbeiter verursacht hat.

Sicherlich besteht hieran ein legitimes Interesse des Arbeitgebers. Die Fairness gegenüber den Mitarbeitern gebietet es jedoch, dass solche Auswertungen bzw. die Ableitung konkreter Verhaltensvorwürfe aus den Auswertungen nur erfolgen, wenn der Mitarbeiter auch weiß, wie er sich korrekt zu verhalten hat und dass er insoweit kontrolliert wird.

Primär besteht hier die Verantwortung der Arbeitgeber. Die Datenschutzbeauftragten von Unternehmen, welche Corporate-Travel-Dienstleistungsverträge mit einem Reisebürounternehmen abschließen, sind daher aufgerufen, von vornherein mitzuwirken, damit die schutzwürdigen Belange der Mitarbeiter berücksichtigt werden.

Darüber hinaus ist auch das Kreditkarten- bzw. Reisebürounternehmen als übermittelnde Stelle nicht frei von jeder Verantwortung.

Die Aufsichtsbehörde hält die Übermittlung von "Analyse- und Bewertungsdaten" als Rohdaten nur für zulässig, wenn

- entsprechend konkrete Reiserichtlinien existieren und diese dem Mitarbeiter bekannt sind,