Die Einholung von Auskünften gehört zu den allgemeinen wirtschaftlichen Gepflogenheiten von potenziellen Gläubigern
Wenn jedoch zutreffende Auskünfte erteilt wurden, ist die Auskunftei der Auffassung, dass dann allgemein ihr Interesse an der Wahrung des Geschäftsgeheimnisses überwiege. Diese Auffassung kann von der Aufsichtsbehörde so nicht akzeptiert werden.
Die Einholung von Auskünften gehört zu den allgemeinen wirtschaftlichen Gepflogenheiten von potenziellen Gläubigern. Etwas mehr Transparenz würde hier der Auskunfteienbranche und ihren Kunden sicher nicht schaden.
Würde nicht mit Kreditauskünften gearbeitet, müssten ehrliche und kreditwürdige Kunden die höheren Forderungsausfälle über die Preise mitbezahlen.
Die Verweigerung der Auskunft über den Namen des Empfängers muss deshalb in jedem Einzelfall besonders begründet werden und kann nicht pauschal unter Berufung auf das Geschäftsgeheimnis erfolgen. Bei einer Abwägung der Interessen sind nur wenige Ausnahmefälle vorstellbar, in denen das Geschäftsgeheimnis der Auskunftei im Interesse des Auskunfteienkunden eine Nennung des Auskunftsempfängers nicht zulässt, z. B. ein Verwandter des Betroffenen ist Kreditgeber.
12. DNA-Vaterschaftstests
Mehrere Unternehmen im Bundesgebiet bieten DNA-Vaterschaftstests an.
Bei einem solchen in Südhessen ansässigen Labor wird die erforderliche DNA-Probe überwiegend aus einem Speichelabstrich der Mundschleimhaut an der Innenseite der Wangen gewonnen. In der Regel nimmt das Unternehmen die Probe nicht selbst, vielmehr legt der Auftragnehmer sie vor bzw. sendet sie per Post zu, nachdem das Unternehmen ihm das Testmaterial (steriles Wattestäbchen etc.) zugesandt hat.
Als Ausgangsmaterial für die DNA-Analyse kann auch Speichel von anderen "Trägern" (Trinkglas, Zahnbürste etc.), ausgerissene Haare oder Blut verwendet werden.
Die Problematik dieser Tests besteht zunächst darin, dass selbst Unbeteiligte, also die neugierige Verwandtschaft oder Bekanntschaft, die Tests veranlassen könnten. Eine Identitätsprüfung findet nicht statt, d.h. das Unternehmen prüft nicht einmal, ob der Auftraggeber derjenige ist, von dem die eine DNA-Probe stammt. Der Vertrag enthält daher die Klausel, dass die Verantwortung für die Identität der Testperson beim Auftraggeber liegt. Zwar werden zu einem Großteil die Proben mit einem Identitätsnachweis eines Jugendamtes oder Arztes vorgelegt, aber das Labor lehnt andere Tests keinesfalls ab. Es lässt sich lediglich durch vorformulierte Vertragsklauseln versichern, dass die Proben von den anzugebenden Personen stammen und die Teilnahme am Test durch alle Beteiligten freiwillig sei.
Das weitere grundsätzliche Problem liegt darin, dass die Tests nicht im Rahmen der gesetzlich vorgesehenen Verfahren für eine Vaterschaftsanfechtung oder Vaterschaftsfeststellung erfolgen. Dies berührt auch die Frage, ob das Wohl des Kindes verletzt wird, wenn die gesetzlichen Sorgeberechtigten nicht zugestimmt haben.
Die Problematik kann mit den bestehenden Regelungen des BDSG nicht zufriedenstellend bewältigt werden.
Eine klare gesetzliche Regelung - wie von der 62. Datenschutzkonferenz der Datenschutzbeauftragten des Bundes und der Länder bereits vorgeschlagen ist daher dringend erforderlich.
13. Gesundheitswesen
Datenerhebung im Wartezimmer
Die Verarbeitung und Nutzung von Gesundheitsdaten als besondere Arten personenbezogener Daten nach § 3 Abs. 9 BDSG ist mit der Novellierung des BDSG stärker eingegrenzt worden als zuvor. Die mangelnde Umsetzung dieser neuen, aber auch der bisherigen Vorgaben im Klinik- oder Praxenalltag führt jedoch immer wieder zu Eingaben von Betroffenen an die Aufsichtsbehörde.
So zeigte ein Patient an, dass ihn vor einem operativen Eingriff die für die Praxis tätige Narkoseärztin im Wartezimmer der Praxis im Beisein anderer Patienten über die Risiken des Eingriffs aufgeklärt, ihn zu seinen Vorerkrankungen befragt und die Daten dort aufgenommen habe.
Die Praxis bezeichnete dies als bedauerlichen Ausnahmefall, da die Narkoseärztin einen eigenen Raum in der Praxis für diese Zwecke habe.
Unbefugte Datenübermittlungen im Zusammenhang mit der Einholung einer Zweitbeurteilung
Eine für den Betroffenen vermeintlich nützliche Weitergabe seiner Gesundheitsdaten ist zu beanstanden, wenn der Betroffene darin nicht eingewilligt hat. Ein Betroffener schrieb eine Privatklinik mit der Frage an, ob diese seine Röntgenaufnahmen, die in einer anderen Klinik gemacht wurden, begutachten könne. Er wollte diese Aufnahmen dann gegebenenfalls ohne die ursprüngliche Bewertung einreichen, um eine weitere unabhängige Beurteilung zu erhalten.
Die Privatklinik schaltete auf diese Anfrage hin, ohne den Betroffenen zu informieren, eine Röntgenärztin ein, deren Praxis sich ebenfalls im Gebäude der Privatklinik befand und mit der die Klinik hin und wieder zusammenarbeitete. Diese forderte wiederum ohne Rücksprache mit dem Betroffenen die Röntgenunterlagen bei der anderen Klinik an. Die Unterlagen wurden ihr samt ursprünglicher Bewertung übermittelt. Nicht nur ärgerlich für den Betroffenen, dass damit eine zweite unabhängige Beurteilung unmöglich wurde, sondern auch, dass seine Daten unbedarft an die ihm unbekannte Röntgenärztin und die andere Klinik übermittelt wurden.
Fazit dieses Vorfalls war, dass das Fehlen betrieblicher Datenschutzbeauftragter und die fehlende Schulung der Klinik- bzw. Praxismitarbeiter Auslöser für den fehlerhaften Umgang mit Gesundheitsdaten war. In der Klinik und Praxis waren umgehend die erforderlichen Maßnahmen zur Sicherung des Datenschutzes, insbesondere zur Beachtung des Einwilligungserfordernisses, zu ergreifen.
Externe Archivierung von Patientendaten
Auch die Archivierung von Patientendaten aus Arztpraxen durch einen externen Archivar erweist sich weiterhin als problematisch, auch dann, wenn der Archivar selbst Arzt ist. Der Archivar ist nicht in das Behandlungsgeschehen wie ein Praxisgehilfe oder mitbehandelnder Arzt einbezogen, sodass er im Regelfall keine Befugnis zur Kenntnisnahme der Daten besitzt. Im Hinblick auf § 203 StGB musste einem Arzt, der anfragte, ob er die Archivierung unter anderem für andere Arztpraxen durchführen könne, daher mitgeteilt werden, dass dies nur nach vorheriger Verschlüsselung der Patientendaten oder nach dem "Zwei-Schlüssel-System" zulässig ist. Dabei spielt es keine Rolle, ob die Archivierung als Auftragsdatenverarbeitung im Sinne des § 11 BDSG ausgestaltet ist, denn § 203 StGB differenziert nicht zwischen einer Übermittlung und einer Weitergabe an einen Auftragsdatenverarbeiter.
Zu beachten ist allgemein auch, dass der Beschlagnahmeschutz des § 97 StPO für Patientendaten bei einer externen Archivierung möglicherweise nicht gesichert ist.
14. Datenverarbeitung in Vereinen und Verbänden
Übermittlung von Mitgliederdaten an Versicherungsunternehmen trotz Widerspruchs
Viele Vereine arbeiten aus wirtschaftlichen Gründen über ihre Dachverbände auf Bundes- und Landesebene mit Versicherungskonzernen zusammen und bieten ihren Mitgliedern günstige Versicherungstarife an, die über den Abschluss von Gruppenversicherungsverträgen erreicht werden können. Um in den Genuss dieser günstigen Tarife kommen zu können, muss dabei oftmals eine bestimmte Anzahl von Mitgliedern überzeugt werden, entsprechende Einzelverträge abzuschließen. Daher wird für den Abschluss solcher Versicherungsverträge in den Vereinen und Verbänden intensiv geworben.
Für die datenschutzrechtliche Zulässigkeit der Übermittlung der Mitgliederdaten vom Verein an die Versicherung bedarf es grundsätzlich einer Einwilligung der Betroffenen, da § 28 BDSG diese Übermittlung personenbezogener Daten aus dem vertragsähnlichen Vertrauensverhältnis zwischen Mitglied und Verein heraus üblicherweise nicht abdeckt. In der Regel können die Mitglieder sofort bei Vereinseintritt der Übermittlung ihrer Daten an die Versicherungsunternehmen ihre Zustimmung verweigern, indem sie die auf dem Eintrittsformular entsprechend vorgesehene Einwilligungserklärung nicht unterschreiben. Mitglieder, die zunächst ihre Einwilligung erteilt hatten und dann später keine Angebote und Werbung der Versicherung oder Haustürbesuche der Versicherungsvertreter mehr erhalten möchten, können die Einwilligung jederzeit widerrufen.
Durch die Beschwerden betroffener Vereinsmitglieder erhielt das Regierungspräsidium Darmstadt davon Kenntnis, dass ein großer hessischer Dachverband mit Sitz in Frankfurt am Main die Mitglieder in allen hessischen Ortsvereinen angeschrieben hatte, die in den Jahren zuvor ihre Einwilligung in die Übermittlung ihrer Daten an den Gruppenversicherungspartner verweigert bzw. diese später widerrufen oder der Übermittlung nach § 28 Abs 3 BDSG a.F. widersprochen hatten und deren Datensatz daher in der Mitgliederdatei des Verbandes mit einer Übermittlungssperre gekennzeichnet war.
In diesem Schreiben wurde den Mitgliedern mitgeteilt, dass man es sehr bedauere, dass die für eine Übermittlung der Mitgliederdaten an die Versicherung erforderliche Einwilligung nicht vorliege bzw. noch ein Übermittlungswiderspruch bestehe. Immerhin habe der Versicherer doch äußerst günstige Angebote zu machen. Daher würden die Mitgliederdaten jetzt trotz des bestehenden Sperrvermerks an die Versicherung übermittelt, falls nicht innerhalb von vier Wochen ein Widerspruch gegen dieses Vorhaben des Verbandes erfolge.
Die Datenschutzaufsichtsbehörde beurteilte dieses Vorgehen des Landesverbandes als eklatante Missachtung des informationellen Selbstbestimmungsrechtes der betroffenen Vereinsmitglieder. Eine Einwilligung in die Datenübermittlung, die bei Vereinseintritt bewusst verweigert wurde, kann auf keinen Fall durch das spätere Unterlassen eines Übermittlungswiderspruchs ersetzt werden. Aber auch in den Fällen, bei denen zunächst eine Einwilligung erteilt wurde, das Mitglied später aber diese widerrufen bzw. gegen die Datenübermittlung an die Versicherung Widerspruch eingelegt hatte, kann der Widerruf/Widerspruch nicht mit einem einfachen Ankündigungsschreiben übergangen werden. Um eine erfolgte Willensänderung deutlich zu machen, bedarf es immer eines aktiven Handelns des betroffenen Vereinsmitgliedes. Die Nicht-Reaktion auf ein entsprechendes Anschreiben genügt jedenfalls nicht.
Obwohl dem Verband die Rechtslage deutlich geschildert wurde und die Versicherung die Aufforderung erhielt, bereits übermittelte Mitgliederdaten nicht werblich zu nutzen, sondern umgehend zu löschen, erfolgte zunächst nur eine unzureichende Reaktion des Landesverbandes. Erst nach der Ankündigung, bei weiteren Verzögerungen die für den Hauptsitz der Versicherung lokal zuständige Datenschutzaufsichtsbehörde mit dem Fall zu befassen und nach einem persönlichen Gespräch mit dem Datenschutzbeauftragten des Landesverbandes und dem Versicherungsunternehmen wurde das Versenden der fragwürdigen Anschreiben eingestellt. Die bereits übermittelten Daten wurden gelöscht.
Auch in Zeiten des Mitgliederschwunds und knapper Vereinskassen rechtfertigt das wirtschaftliche Interesse an der Vermarktung der Daten von Vereinsmitgliedern nicht die Missachtung der datenschutzrechtlichen Interessen der Vereinsmitglieder.
Unzulässige Mitglieder- und Spendenwerbung und andere Missstände
Auf die Datenverarbeitung einer bundesweit tätigen gemeinnützigen Organisation bzw. deren örtlicher Untergliederungen wurde die Aufsichtsbehörde aufgrund von Betroffeneneingaben aufmerksam.
Diese Organisation ist in mehrere Landesverbände gegliedert. Die Landesverbände enthalten ihrerseits selbständige Untergliederungen. Die Beschwerden richteten sich gegen zwei benachbarte eigenständige Organisationseinheiten (Vereine).