Inkasso

Eine Rentner-Datei oder Ähnliches bestand auch bei den Kreisverbänden nicht.

Dieser Verteilungsweg ist daher datenschutzrechtlich von vornherein irrelevant, weil keinerlei Verarbeitung oder Nutzung personenbezogener Daten in oder aus Dateien erfolgt und daher das BDSG nicht anwendbar ist.

17. Verteilung von Kopien aus dem Liegenschaftsbuch

Die Vervielfältigung von Auszügen aus dem Liegenschaftskataster zu gewerblichen Zwecken und die Weitergabe dieser Kopien an Dritte unterliegt nach § 17 Abs. 2 Hessisches Vermessungsgesetzes (HVG) einem Genehmigungsvorbehalt durch die Kataster- und Landesvermessungsbehörden. Dieser Vermerk wird auf jedem Auszug aus dem Liegenschaftskataster angebracht und zudem mit einem Hinweis auf die entsprechende Bußgeldvorschrift des

§ 22 HVG versehen. Auch wenn diese Genehmigung vorliegt, sind die auf den Auszügen enthaltenen personenbezogenen Daten (z.B. Geburtsdatum oder Eigentumsanteil des Eigentümers oder der Eigentümer) zu schwärzen, soweit diese nicht für den Zweck der Weitergabe erforderlich sind.

Ein betroffener Grundstücksnachbar eines Baugrundstückes wies die Datenschutzaufsichtsbehörde darauf hin, dass ein Architekt - ohne Berücksichtigung etwaiger schutzwürdiger Belange der betroffenen Anwohner - genaue Kopien aus dem Katasterbuch ungeschwärzt an alle Anliegerhaushalte verteilte, um deren Standpunkt zu einigen Details des Neubaues zu erfahren.

Dass es für die Erlangung solcher Stellungnahmen nicht erforderlich ist, die Geburtsdaten oder die Eigentumsanteile aller Anwohner zu übermitteln, versteht sich von selbst. Bei der Ermittlung des Sachverhaltes stellte sich zusätzlich heraus, dass dem Architekten noch nicht einmal die Genehmigung der Katasterbehörde zur Vervielfältigung des Auszugs vorlag. Das Architekturbüro wurde auf die klare Rechtslage hingewiesen und die ungeschwärzte Verteilung der Kopien beanstandet. Der Aufsichtsbehörde wurde zugesagt, dass bei künftigen Projekten die unnötigen Detailangaben geschwärzt werden und vor der Vervielfältigung der Katasterauszüge eine Genehmigung nach § 17 Abs. 2 HVG eingeholt wird.

18. Instrumentalisierung des Datenschutzrechts

Datenweitergabe an Subauftragnehmer und angebliche Missbräuche des Dienstleisters

Ein Unternehmer, der als Dienstleister unter anderem für Banken tätig gewesen war, sah seine wirtschaftliche Existenz vernichtet und führte dies auf einen pflichtwidrigen Umgang mit seinen Daten zurück.

Der von einer Bank beauftragte Subunternehmer - ein Konkurrenzunternehmen - habe seine (Konto-)Daten bei der Datenverarbeitung ausgespäht und zu seinem Nachteil genutzt.

Für diese Behauptungen (Befürchtungen?) ließen sich keine schlüssigen Beweise finden. Der behauptete Verstoß ließ sich vor allem deshalb nicht nachweisen, weil die Vorgänge schon Jahre zurücklagen und der Betroffene seine Beschwerden über den Zeitraum von mehreren Jahren nach seinen eigenen Ausführungen nur mündlich gegenüber der Bank vorgetragen hatte.

Sämtliche betroffenen Bankmitarbeiter bestritten aber, dass derartige Beschwerden überhaupt erhoben worden seien. Darüber hinaus lagen im fraglichen Zeitraum die detaillierten Bankdaten dem Subunternehmer nicht zur Datenverarbeitung vor.

Nach über zehn Jahren ließ sich auch nicht mehr aufklären, ob und gegebenenfalls auf welche Art und Weise ein Kontoauszug verschwunden war.

Es besteht die Möglichkeit, dass im vorliegenden Fall die Datenschutzproblematik nur vorgetragen wurde - so die Auffassung der betroffenen Bank -, um eine möglichst vorteilhafte Schuldenregelung gegenüber der Bank zu erlangen.

Als Konsequenz hieraus kann nur empfohlen werden, Datenschutzbeschwerden schriftlich dem Datenschutzbeauftragten des Unternehmens und gegebenenfalls auch der Aufsichtsbehörde zeitnah vorzutragen. Wenn über Jahre von einem Betroffenen - der sich aufgrund seiner Tätigkeit in Datenschutzfragen auskennt - weder der Datenschutzbeauftragte des beschuldigten Unternehmens noch die Aufsichtsbehörde eingeschaltet wird, kann daraus nur der Schluss gezogen werden, dass ihm entweder Datenschutzfragen gleichgültig waren oder dass das behauptete Problem überhaupt nicht existierte.

Verweigerung der Herausgabe von Akten an das Amtsgericht

Das Amtsgericht hat die Zuverlässigkeit von Inkassounternehmen zu überprüfen und muss gegebenenfalls die Zulassung nach § 15 der Ausführungsverordnung zum Rechtsberatungsgesetz widerrufen.

Bei entsprechenden Amtshandlungen eines Amtsgerichtes verweigerte ein Inkassounternehmen die Herausgabe von Inkassodaten mit dem Hinweis auf den Datenschutz. Wie soll das Amtsgericht aber seiner Aufsichtspflicht gemäß der genannten Verordnung nachkommen, wenn keine Akteneinsichtsmöglichkeit besteht?

Ganz offensichtlich wollte sich das betroffene Unternehmen mit den vorgeschobenen Datenschutzargumenten einer staatlichen Aufsicht entziehen.

Eine Besonderheit am Rande war zudem, dass bei einer kurzfristig anberaumten Kontrolle durch die Datenschutzaufsichtsbehörde die gewünschten Inkassoakten angeblich alle "zufällig" beim Steuerberater waren.

Offensichtlich wird von dem Unternehmen - entsprechend den jeweiligen Bedürfnissen - der Datenschutz instrumentalisiert.

Das Amtsgericht berief sich zu Recht darauf, dass die Einsichtnahme in die konkreten Daten unbedingt erforderlich war, um seine Aufsicht wahrzunehmen und dass eine entsprechende Datenerhebung folglich durch die genannte Ausführungsverordnung zwingend vorausgesetzt wurde.

Damit war auch die Übermittlung der Daten durch das Inkassounternehmen an das Amtsgericht gerechtfertigt, es lag zumindest der Erlaubnistatbestand des § 28 Abs. 2 Nr. 1 a BDSG vor (Übermittlung im öffentlichen Interesse erforderlich).

Nach dieser Diskussion erhielt das Amtsgericht auch die geforderten Akten.

19. Externer Datenschutzbeauftragter und interne Koordination im Konzern

Ob bei einem großen Unternehmen die Bestellung eines externen Datenschutzbeauftragten sachgerecht ist, muss jeweils kritisch hinterfragt werden, da bei einem großen Konzern so viele unternehmensspezifische Einzelheiten bekannt sein müssen, dass für einen einzelnen Externen die Übersicht verloren gehen kann. Ein externer Datenschutzbeauftragter ist daher nach Auffassung der Aufsichtsbehörde für mittlere und kleinere Unternehmen besser geeignet.

Im Konzern werden dem Datenschutzbeauftragten in der Regel in den einzelnen Betriebsteilen Koordinatoren zugeordnet. Diese Koordinatoren sind in den einzelnen Gliederungen des Betriebes Ansprechpartner der Betriebsangehörigen und sammeln gleichzeitig Informationen für den Datenschutzbeauftragten. Bei einem externen Datenschutzbeauftragten kann auf Koordinatoren prinzipiell nicht verzichtet werden, weil die Mitarbeiter auch einen ortsnahen Ansprechpartner haben müssen. Mit den Koordinatoren kann der Datenschutzbeauftragte bei Schulungen einen guten Multiplikatoreffekt erreichen, was für den Betrieb in der Regel kostengünstiger ist als zentrale Schulungen.

Der Koordinator sollte über eine geeignete Qualifikation verfügen und nicht ausgerechnet für die Leitung der Datenverarbeitung zuständig sein. Der Leiter der Datenverarbeitung eines Betriebsteils ist sicher fachlich sehr geeignet, aber eine unabhängige Kontrolle seiner eigenen Tätigkeit kann er nicht ausüben. Es wird von einem Datenverarbeitungsleiter ohnehin erwartet, dass er unter Einhaltung der Datenschutzvorschriften seine Tätigkeit verantwortungsvoll organisiert.

Ein 4-Augen-Prinzip, d.h., eine von der Leitungsebene unabhängige Kontrolle lässt sich nur durch einen anderen Datenschutzkoordinator erreichen.

Würde dies nicht angestrebt, wären über die Hintertür der Koordination die leitenden Mitarbeiter des Datenverarbeitungsbereiches auch ihre eigenen Kontrolleure.

Bei Konzernunternehmen, die sehr unterschiedliche Geschäftsfelder aufweisen und nicht einheitlich strukturiert sind, sollte möglichst dezentral für jedes Tochterunternehmen ein Datenschutzbeauftragter ernannt werden.

Synergieeffekte sind hier mit einem zentralen Datenschutzbeauftragten nicht in jedem Fall (oder nur in geringem Umfang) zu erwarten.

20. Datensicherheit - Warum Kundendaten löschen der Speicherplatz reicht doch noch

Bei einem bundesweit organisierten System zum (Vor-)Verkauf von Konzertund sonstigen Eintrittskarten wurde ein Programm angewandt, bei welchem ein programmmäßiges (softwaremäßiges) Löschen von personenbezogenen Daten nicht vorgesehen war. Es bestand die Anweisung an die verkaufenden Stellen, dass der Datensatz im Bereich des Namensfeldes mit Buchstabenkombinationen zu überschreiben sei, wenn ein Kunde eine Löschung verlange.

Die Aufsichtsbehörde hält das Löschen von Bestellerdaten im Kartenvorverkaufgeschäft für unabdingbar, da, nachdem die Karten gekauft worden sind, ein Zweck hinsichtlich der Verarbeitung personenbezogener Daten für die Vorabbestellung nicht mehr vorhanden ist. Sie forderte daher das Unternehmen auf, das Verfahren in absehbarer Zeit so zu verändern, dass für die Mitarbeiter in den einzelnen Verkaufsstellen die Möglichkeit besteht, ein automatisches programmmäßiges Löschen vorzunehmen. Das Unternehmen hat der Aufsichtsbehörde schriftlich zugesichert, das Verfahren entsprechend zu verändern.

21. Ordnungswidrigkeitenverfahren

Von den bereits im letzten Tätigkeitsbericht aufgeführten Bußgeldverfahren konnten im Berichtsjahr 1999 zwei weitere Verfahren nach § 44 Abs. 1 Nr. 6 BDSG gegen zwei Dienstleistungsunternehmen mit einer Bußgeldsumme von 1.450 DM abgeschlossen werden. Die Geschäftsführer der beiden Unternehmen hatten trotz mehrmaliger Aufforderung entgegen § 38 Abs. 3 Satz 1 BDSG der Datenschutzaufsichtsbehörde keine bzw. unvollständige Auskünfte zur Verarbeitung personenbezogener Daten in ihren Betrieben erteilt.

Beide Bußgeldbescheide sind inzwischen rechtskräftig geworden.

Im Berichtsjahr 1999 wurden von den Aufsichtsbehörden sechs Verfahren nach dem Gesetz über Ordnungswidrigkeiten nach § 44 Abs. 1 BDSG gegen die Geschäftsführer Daten verarbeitender Gewerbebetriebe eingeleitet. Ein Verfahren betraf ein Unternehmen, das als Dienstleistungsdatenverarbeiter sogar der Meldepflicht zum bei der Aufsichtsbehörde geführten Register nach § 32 Abs. 1 BDSG und damit der Regelaufsicht der Behörde unterliegt.

Obwohl das Unternehmen sowohl schriftlich als auch persönlich vor Ort auf seine Auskunftspflichten hingewiesen wurde, konnte dem Anspruch der Datenschutzaufsicht auf rechtzeitige, vollständige und korrekte Angaben erst mit dem Erlass eines Bußgeldbescheides über 3.500 DM der erforderliche Nachdruck verliehen werden.

Zwei Verfahren wurden gegen den persönlich haftenden Gesellschafter und den Datenschutzbeauftragten einer als Kommanditgesellschaft geführten Auskunftei wegen nicht erfolgter Benachrichtigung nach § 33 BDSG durchgeführt. Beide wurden mit unterschiedlicher Gewichtung als verantwortlich für den Verstoß angesehen. Der gegen den Datenschutzbeauftragten erlassene Bußgeldbescheid über 1.000 DM ist unmittelbar rechtskräftig geworden.

In dem Verfahren gegen den persönlich haftenden Gesellschafter ist durch Urteil des Amtsgerichts Kassel die Geldbuße auf 6.000 DM reduziert worden.

Gegen die beiden Geschäftsführer eines Direktmarketingunternehmens wurden ebenfalls Ordnungswidrigkeitenverfahren eingeleitet. Dabei wurde auf die Ahndung eines Verstoßes gegen die Pflicht zur rechtzeitigen Änderungsmeldung zum Register verzichtet. Die wegen nicht rechtzeitig erfolgter

Bestellung eines Datenschutzbeauftragten erlassenen Bußgeldbescheide über jeweils 1.000 DM haben nach Rücknahme der Einsprüche im gerichtlichen Verfahren zwischenzeitlich Rechtskraft erhalten.

Ein weiteres Verfahren betraf einen Internet-Provider im Rhein-MainGebiet, auf den die Aufsichtsbehörde auf Grund einer Beschwerde gegen die unverlangte Zusendung von Werbe-E-Mails aufmerksam wurde, als deren Absender das Unternehmen ermittelt werden konnte. Der Geschäftsführer dieses Internet-Anbieters hatte trotz mehrfacher Aufforderung die Fragen nach der Herkunft der vielen für die unverlangten Werbe-E-Mails benutzten E-Mail-Adressen zunächst ausweichend und auf genauere Nachfragen schließlich gar nicht mehr beantwortet. Obwohl er zur Erteilung der für die Arbeit der Behörde erforderlichen Auskünfte nach § 8 Abs. 1 TDDSG in Verbindung mit § 38 Abs. 3 Satz 1 BDSG ausdrücklich gesetzlich verpflichtet ist und auf das drohende Bußgeld hingewiesen wurde, hat er auf das gegen Ende des Berichtsjahres eingeleitete Bußgeldverfahren lediglich uneinsichtig und mit Drohungen gegen die Dienststelle reagiert.

Abschließend kann festgehalten werden, dass zwar vielen der modernen Datenverarbeitungsunternehmen selbst minimale datenschutzrechtliche Pflichten nicht bekannt sind. Der Großteil der angesprochenen Unternehmen ist allerdings nach entsprechenden Hinweisen der Datenschutzaufsichtsbehörden oder in einigen Fällen spätestens nach Androhung eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten durchaus bereit, den Aspekt des Schutzes personenbezogener Daten ihrer Kunden bei ihrer Geschäftstätigkeit künftig angemessen zu berücksichtigen. Die im letzten angeführten Fall erwähnte Totalverweigerung der Auskunftserteilung gegenüber der Datenschutzaufsichtsbehörde bleibt bisher die Ausnahme.

Wiesbaden, 25. August 2000

Der Hessische Ministerpräsident.