Kreditkarte

Mitarbeitern informiert wird, dass es beispielsweise einen günstigeren Flug gibt, wenn er eine andere Route wählt), und

- der Mitarbeiter darüber informiert wird, dass das Reisebürounternehmen umfassende Daten liefert, damit der Arbeitgeber die Einhaltung der Reiserichtlinien kontrollieren kann.

Das Kreditkarten- bzw. Reisebürounternehmen sollte sich daher vom Arbeitgeber versichern lassen, dass entsprechende Reiserichtlinien existieren und dass die Mitarbeiter die oben genannten Informationen erhalten haben.

Außerdem wurde dem Kreditkartenunternehmen empfohlen, den mit der Erstellung des Datenschutz-Faltblattes eingeschlagenen Weg fortzusetzen und selbst präzisere Informationen zu liefern.

Wenn die oben genannten Voraussetzungen nicht erfüllt sind, ist die Übermittlung von "Analyse- und Bewertungsdaten" (als Rohdaten) zumindest sehr problematisch. Es dürften dann grundsätzlich nur statistische Auswertungen geliefert werden.

Die Buchungen werden über Corporate Travel vorgenommen, und zwischen dem Arbeitgeber und dem Kreditkarten- bzw. Reisebürounternehmen besteht eine Vereinbarung, dass die Buchungen über eine "Reisestellenkarte" (Business Travel Account = BTA) beglichen werden. Alle Reisen der Mitarbeiter werden über diese Karte abgerechnet, die für diese Firma eingerichtet wurde.

Die volle Haftung liegt beim Arbeitgeber.

Hier steht außer Frage, dass der Arbeitgeber sämtliche Buchungs- bzw. Abrechnungsdaten erhalten darf und muss.

Soweit über die Abrechnungs-(Buchungs-)Daten hinaus auch weitere "Analyse- und Bewertungsdaten" als Rohdaten geliefert werden, gelten die obigen Ausführungen unter a) entsprechend.

Es besteht nicht nur ein Corporate-Travel-Dienstleistungsvertrag, sondern auch eine Rahmenvereinbarung zwischen dem Arbeitgeber und dem Kreditkartenunternehmen über die Ausgabe von Corporate Cards an die Mitarbeiter. Die Bezahlung sämtlicher Reiseleistungen kann mit der Corporate Card erfolgen. Zwischen den einzelnen Mitarbeitern und dem Kreditkartenunternehmen bestehen separate Kreditkartenverträge, wobei es hinsichtlich der Haftung verschiedene Ausgestaltungsmöglichkeiten gibt:

In einer Variante verpflichten sich Arbeitgeber und Arbeitnehmer zu gesamtschuldnerischer Haftung für die Forderungen aus der Corporate Card.

In der anderen Variante ist der Arbeitnehmer allein für diese Forderungen haftbar.

Unabhängig davon kann die Abrechnung der Forderungen aus der Corporate Card entweder allein über den Arbeitgeber oder anteilig über Arbeitgeber und Arbeitnehmer sowie allein über den Arbeitnehmer erfolgen.

In allen Fällen ist dem Arbeitgeber ein zumindest teilweise berechtigtes Interesse an der Auswertung der Mitarbeiterreisen im Rahmen des § 28 Abs. 2 Nr. 1 a) BDSG zuzugestehen.

Unproblematisch erscheinen die Fälle, in denen der Arbeitnehmer von vornherein Kenntnis davon hat, dass die auf ihn ausgestellte Corporate Card ausschließlich zu dienstlichen Zwecken eingesetzt werden darf (ausdrückliches vorheriges Verbot der privaten Nutzung).

Beim rechtmäßigen Gebrauch der Karte enthalten die Übermittlungen in diesen Fällen dann nur dienstlich getätigte Ausgaben.

Daher können die Buchungs- und Abrechnungsdaten der über Corporate Travel gebuchten und zugleich mit der Corporate Card beglichenen Leistungen an den Arbeitgeber übermittelt werden.

Darüber hinaus können auch die Daten über solche "Reiseleistungen" übermittelt werden, die nicht zuvor über Corporate Travel gebucht wurden, beispielsweise Restaurantbesuche.

In den übrigen Fällen, in denen eine private Nutzung der Corporate Card nicht von vornherein ausgeschlossen wird, ist zu differenzieren.

Haftet der Arbeitgeber gemeinsam mit dem Arbeitnehmer gesamtschuldnerisch, so besteht auch dann ein berechtigtes Interesse an der Kenntnisnahme des gesamten Forderungsumfangs. Dabei muss der Arbeitnehmer jedoch vorab ausdrücklich Kenntnis von dem Umstand erlangen, dass dem Arbeitgeber alle mit der Corporate Card getätigten Ausgaben übermittelt werden.

Im Fall der alleinigen Haftung des Arbeitnehmers für alle mit der Corporate Card getätigten Ausgaben müssen sich die Übermittlungen an den Arbeitgeber auf die Ausgaben beschränken, die eindeutig dem dienstlichen Zweck zugeordnet werden können. Dies kann nur bei den über Corporate Travel gebuchten Leistungen (nach Maßgabe der obigen Ausführungen unter a) der Fall sein.

Hinsichtlich der (zusätzlichen) Übermittlung von Analyse- und Bewertungsdaten gelten die obigen Ausführungen unter a) entsprechend.

Der Arbeitnehmer ist mit Ausstellung der Corporate Card und Abschluss des für ihn gültigen Kartenvertrages über die jeweiligen Übermittlungsbedingungen in Kenntnis zu setzen.

Erhebung von Daten für die Corporate Card

Wie bereits unter 7.1 ausgeführt, schließen Unternehmen oftmals Rahmenvereinbarungen mit Kreditkartenunternehmen ab, aufgrund derer die Mitarbeiter dann zu besonderen Konditionen einen Kreditkartenvertrag (so genannte Corporate Card) abschließen können.

Hier stellt sich dann die Frage, in welchem Umfang das Kreditkartenunternehmen Daten über den Mitarbeiter erheben darf.

Eine pauschale Ermächtigungsklausel in den Allgemeinen Geschäftsbedingungen des Corporate-Card-Vertrages, "bankübliche Arbeitgeberauskünfte" einzuholen, ist unwirksam.

Abgesehen davon, dass die erforderliche Hervorhebung im äußeren Erscheinungsbild fehlt und das Unterschriftserfordernis nicht erfüllt ist (§ 4 Abs. 2 BDSG), wenn die Klausel nur in den Allgemeinen Geschäftsbedingungen enthalten ist, mangelt es auch an der erforderlichen Bestimmtheit:

Der Begriff der "banküblichen" Auskünfte entsprechend dem gemeinsamen Kommunique der Datenschutzaufsichtsbehörden und den Vertretern des Bankgewerbes zum Bankauskunftsverfahren, dürfte zur Eingrenzung von Arbeitgeberauskünften kaum geeignet sein.

Das Kreditkartenunternehmen versicherte zwar, dass es von der Auskunftsklausel, die auch in den "normalen" Kartenanträgen enthalten ist, nur in besonderen Einzelfällen Gebrauch mache, wenn die vorhandenen Angaben nicht plausibel seien und für eine Bonitätsbewertung nicht reichen.

Dabei verwies das Unternehmen darauf, dass es bei seinen Karten kein Ausgabelimit gibt und dass der Kartenherausgeber keine Bank sei, sodass keinerlei Erkenntnisse über die Einkommens- und Vermögenssituation vorlägen.

Bei Corporate-Card-Anträgen seien bislang noch keine Arbeitgeberauskünfte für die Kreditwürdigkeitsprüfung eingeholt worden. Nach Auffassung der Aufsichtsbehörde sollte in den Sonderfällen, in denen eine Arbeitgeberauskunft benötigt wird, eine separate konkrete Einwilligung eingeholt werden.

Zumindest müsste die Klausel präzisiert werden.

Darüber hinaus ist die besondere Situation bei der Corporate Card zu berücksichtigen:

Für den betroffenen Arbeitnehmer kann unter Umständen eine gewisse Zwangssituation gegeben sein, die Karte zu beantragen und für Geschäftsreisen zu nutzen, wenn er Nachteile vermeiden will (eventuell müsste er selbst in Vorlage treten - währenddessen bei der Corporate Card dies wegen eines längeren Zahlungsziels gegebenenfalls entfällt).

Von daher ist das Problem der Freiwilligkeit von Einwilligungserklärungen besonders kritisch zu bewerten.

Wenn ein Antrag nicht vollständig ausgefüllt ist, der Antragsteller nicht erreichbar ist, aber die Karte in Kürze benötigt wird, wären Rückfragen beim Arbeitgeber zu allgemeinen Angaben wie der Firmenzugehörigkeit, Abteilung, Kostenstelle etc. zulässig - eventuell sogar ohne Einwilligung.

Weitergehende Auskünfte zur Kreditwürdigkeitsprüfung sind nicht gerechtfertigt, wenn in dem Rahmenvertrag mit dem Arbeitgeber dessen gesamtschuldnerische (Mit-)Haftung vereinbart wurde, da dann das Ausfallrisiko für das Kreditkartenunternehmen gering ist.

Wenn keine gesamtschuldnerische Haftung vereinbart wurde, besteht zwar ein Risiko für das Kreditkartenunternehmen, aber je stärker eventuell der faktische Zwang zur Beantragung einer Corporate Card ist, desto gewichtiger sind die schutzwürdigen Belange der Arbeitnehmer bzgl. einer Offenbarung ihrer Daten gegenüber dem Kreditkartenunternehmen.

Hier sind daher auch die Datenschutzbeauftragten der Unternehmen, welche Rahmenvereinbarungen abschließen, gefordert, sachgerechte Lösungen mit dem Kreditkartenunternehmen zu finden.

Im konkreten Fall konnte der Datenschutzbeauftragte mit Unterstützung der Aufsichtsbehörde und im Zusammenwirken mit der Datenschutzbeauftragten des Kreditkartenunternehmens erreichen, dass die Kartenantragsformulare für die Mitarbeiter des Unternehmens entsprechend abgeändert wurden (d.h. lediglich in dringenden Fällen erfolgen Rückfragen beim Arbeitgeber bezüglich Angaben zur Person).

Datenerhebung bei Kreditkarten

Neben dem Problem des Volumens der Datenerhebung sind die Verfahrensabläufe für die Kreditkartenkunden teilweise wenig nachvollziehbar.

In einem Beschwerdefall waren bei der Herausgabe und laufenden Abwicklung der Karte insgesamt drei Unternehmen beteiligt. Eine Bank gab gemeinsam mit einem weiteren (vor allem auf Privatkunden spezialisierten) Unternehmen eine Kreditkarte heraus (Cobranding).

Der Kunde unterhielt damit Geschäftsbeziehungen zu zwei Unternehmen, wobei die Nichtbank von dem Kunden nur nähere Kenntnisse erlangte, wenn er bei ihr Dienstleistungen direkt mit seiner neuen Kreditkarte bezahlte.

Für den Betroffenen überraschend war, dass auch die Bank selbst von ihm keine nähere Kenntnis hatte. Die gesamte Abwicklung der Kreditkarte (processing), einschließlich der Bonitätsprüfung, geschah bei einem darauf spezialisierten Dienstleister.

Der Betroffene war zwar bereit, sich gegenüber einer Bank bezüglich seiner Vermögensverhältnisse zu offenbaren, dieses Vertrauen erstreckte sich jedoch nicht auf einen anonymen Dienstleister. Da der Kartenkunde aber bereits im Kartenantrag auf den Dienstleister hingewiesen wurde, war die geschilderte Arbeitsweise im Grundsatz nicht zu beanstanden.

Es wäre jedoch wünschenswert, wenn für die Kartenkunden die Informationsflüsse und die Rollenverteilung der beteiligten Unternehmen transparenter gestaltet würden.

Da der Dienstleister eigenständig Bonitätskontrollen durchführt und über die Herausgabe der Karten entscheidet, liegt keine Auftragsdatenerarbeitung, sondern eine Funktionsübertragung vor.

Daher sollte im Briefkopf von Schreiben des Dienstleisters nicht nur das Cobranding Unternehmen, sondern sinnvollerweise auch der Dienstleister genannt werden.

9. Neue Medien, Internet-Provider

Einsatz von Cookies zur Profilbildung

Die Abstimmung der Angebote und Werbung auf einen bestimmten Kunden wird immer wichtiger - so lautet das Credo der Marketingfachleute.

Dies gilt selbstverständlich auch für Angebote und Werbung im Internet.