Kreditkarte
Am Ende des Berichtsjahres waren 95 Verfahren von 91 verantwortlichen Stellen im Melderegister eingetragen. Wie sich aus diesen Zahlen ergibt, haben nur vier verantwortliche Stellen mehr als ein Verfahren gemeldet.
Davon werden in 46 gemeldeten Verfahren geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung gespeichert (Adresshändler, Handels- und Wirtschaftsauskunfteien, meldepflichtig nach § 4d Abs. 4 Nr. 1 BDSG). 49 der eingetragenen Verfahren dienen dem Zwecke der anonymisierten Übermittlung (Markt- und Meinungsforschung, meldepflichtig nach § 4d Abs. 4 Nr. 2 BDSG).
5. Ordnungswidrigkeitenverfahren
Im Berichtsjahr wurden vom Regierungspräsidium Darmstadt fünf Verfahren nach dem Gesetz über Ordnungswidrigkeiten (OWiG) eingeleitet, wie sich aus der nachfolgenden Übersicht ergibt: nach § 43 Grund der Einleitung Rechtskraft: Bußgeld Abs. 1 Nr. 10 BDSG Nichterteilung von Auskünften Nein Abs. 1 Nr. 10 BDSG Nichterteilung von Auskünften Nein Abs. 1 Nr. 2 BDSG nichtige Bestellung eines betrieblichen DSB wegen Untätigkeit Nein Abs. 2 Nr. 1 BDSG unbefugte Verarbeitung Nein Abs. 2 Nr. 1 BDSG unbefugte Verarbeitung Ja 3.000
In einem der Verfahren, das nach § 43 Abs. 1 Nr. 10 BDSG wegen der Nichterteilung von Auskünften an die Aufsichtsbehörde entgegen § 38 Abs. 3 Satz 1 BDSG gegen den Vorstandsvorsitzenden eines Finanzdienstleistungsunternehmens eingeleitet wurde, konnte diesem lediglich das Anhörungsschreiben zugestellt werden. Kurz darauf waren die Internet-Seiten des Unternehmens nicht mehr abrufbar und - wie sich bei einer Überprüfung vor Ort herausstellte - auch die angemieteten Büroräume komplett leer geräumt.
Da weder im Handels- noch im Gewerberegister Eintragungen vorhanden waren und auch der Vermieter keine Angaben zum Verbleib der Firma machen konnte, wurde das Verfahren eingestellt.
In einem weiteren Fall wurde bei der Bearbeitung einer Beschwerde gegen ein Unternehmen, das sein Lottotipp-System per Telefonmarketing vertreibt, der Geschäftsführer des Unternehmens aufgefordert, der Datenschutzaufsichtsbehörde die für die werbliche Nutzung der Telefonnummer des Petenten datenschutzrechtlich und wettbewerbsrechtlich erforderliche Einwilligungserklärung zur Überprüfung vorzulegen. Der Geschäftsführer vertrat zunächst die Auffassung, dass sich die Datenschutzaufsichtsbehörde diese Einwilligungserklärung selbst bei dem Adresshändler beschaffen solle, von dem auch er die Daten erhalten hatte. Die Einleitung eines Bußgeldverfahrens nach § 43 Abs. 1 Nr. 10 BDSG führte zu einem umgehenden Sinneswandel.
Die Einwilligungserklärung wurde vorgelegt und es wurde zugesichert, dass bei künftigen Fällen eine sofortige Erledigung der Anforderungen der Aufsichtsbehörde erfolgen wird. Das Verfahren wurde daher im Rahmen der pflichtgemäßen Ermessensausübung nach § 47 Abs. 1 OWiG eingestellt.
Bei der unangemeldeten Überprüfung eines Service-Unternehmens in Frankfurt am Main musste der prüfende Aufsichtsbeamte feststellen, dass der betriebliche Datenschutzbeauftragte des Unternehmens seit Jahren keine ausreichende Tätigkeit entfaltet hatte und auch die Fragen zu den datenschutzrechtlichen Anforderungen an seine Tätigkeit und an sein Fachwissen nicht ausreichend beantworten konnte, obwohl es sich um einen Juristen und Informatiker handelte. Da er während der Prüfung vor Ort weder Kooperationsbereitschaft noch Einsicht bezüglich seiner Versäumnisse und seiner mangelhaften Fachkunde zeigte, wurde gegen den Geschäftsführer des Unternehmens ein Bußgeldverfahren nach § 43 Abs. 1 Nr. 2 BDSG wegen der Nichtigkeit der Bestellung seines untätigen und inkompetenten betrieblichen Datenschutzbeauftragten eingeleitet. Nachdem die Geschäftsführung auf diese drastische Art und Weise von den Defiziten im betrieblichen Datenschutz ihres Hauses erfahren hatte, wurde dieser betriebliche Datenschutzbeauftragte von seinen Aufgaben entbunden und eine kompetente externe Datenschutzbeauftragte bestellt. Diese setzte sich umgehend mit der Aufsichtsbehörde bezüglich ihrer Tätigkeit in Verbindung und begann unverzüglich, die Versäumnisse aufzuarbeiten. Das Verfahren wurde vor diesem Hintergrund unter Zurückstellung von Bedenken im Rahmen der pflichtgemäßen Ermessensausübung nach § 47 Abs. 1 OWiG eingestellt.
In einem weiteren Fall wurde einem Rechtsanwalt, der als Bevollmächtigter einer Vermieterin auftrat, die unzulässige Übermittlung personenbezogener Daten an den Arbeitgeber des Mietschuldners vorgeworfen. Da sich der Rechtsanwalt zunächst nicht sehr kooperativ zeigte, eine Dienstaufsichtsund Fachaufsichtsbeschwerde einlegte und unter Berufung auf sein Auskunftsverweigerungsrecht auch keine ihn entlastenden inhaltlichen Angaben zur Sache machen wollte, wurde ein Verfahren nach § 43 Abs. 2 Nr. 1 BDSG gegen ihn eingeleitet. Wie sich im Verlauf der weiteren Sachverhaltsermittlungen herausstellte, hatte sich der Mietschuldner bereits zuvor mit der Datenübermittlung an seinen Arbeitgeber einverstanden erklärt und seiner Vermieterin sogar die dortigen Kontaktdaten genannt, dies aber der Aufsichtsbehörde verschwiegen. Das Verfahren war daher einzustellen.
Aufgrund der Eingabe eines Steuerberatungsbüros, in der angegeben wurde, dass von einem Konkurrenten unbefugt Mandantendatensätze kopiert worden seien, wurde der Beschuldigte unangemeldet in seinem Büro aufgesucht und zu den Vorwürfen befragt. Da dieser Steuerberater zunächst alle Vorwürfe abstritt, wurde die EDV-Anlage des Steuerberaterbüros nach betriebsfremden Datensätzen durchsucht. Noch während der Einsichtnahme in die EDV nach § 38 Abs. 4 BDSG wies der Betroffene alle Anschuldigungen zurück.
Erst als die Daten fremder Mandanten auf dem Bildschirm auftauchten, musste er einräumen, dass der Tatvorwurf der Wahrheit entsprach. Da es sich hierbei um eine unbefugte Verarbeitung nach § 43 Abs. 2 Nr. 1 BDSG handelte und der Steuerberater sowohl gegen die Verpflichtung auf das Datengeheimnis nach § 5 BDSG als auch gegen seine Geheimhaltungsverpflichtung nach dem Steuerberatungsgesetz verstoßen hatte, wurde eine Geldbuße in Höhe von 3000 festgesetzt. Der Bußgeldbescheid hat inzwischen Rechtskraft erlangt.
Obwohl das Regierungspräsidium Darmstadt als Datenschutzaufsichtsbehörde immer wieder Verstöße gegen die Bestimmungen des BDSG und anderer datenschutzrechtlicher Regelungen feststellen musste, blieb die Einleitung von Verfahren nach dem Gesetz über Ordnungswidrigkeiten auch in diesem Jahr die Ausnahme. Der weitaus überwiegende Teil der verarbeitenden Stellen war bemüht, die festgestellten Fehler bei der Verarbeitung personenbezogener Daten zu beseitigen und die beanstandeten Verarbeitungen und Geschäftsprozesse unverzüglich datenschutzgerecht entsprechend den Anregungen und Hinweisen der Aufsichtsbehörde auszugestalten.
Ausgesuchte Probleme und Einzelfälle
6. Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA)
Bestrittene Daten
Von Anfang an substantiiert bestrittene Daten, zumeist handelt es sich um bestrittene Forderungen, dürfen von den Vertragspartnern der SCHUFA nicht eingemeldet werden. Dies ist in den Technischen Anleitungen für das SCHUFA-Verfahren, die den Vereinbarungen zwischen der SCHUFA und ihren Vertragspartnern zugrunde liegen, entsprechend geregelt.
Entgegen manchen Bestrebungen gilt dies auch im Telekommunikationsbereich und wird auch von dem für Telekommunikationsunternehmen zuständigen Bundesbeauftragten für den Datenschutz so vertreten.
Dieser Grundsatz wird auch nicht durch eine Entscheidung des Oberlandesgerichts Frankfurt am Main (Az. 23 U 155/03 vom 19. November 2004) aufgehoben, das die Einmeldung einer umstrittenen geringfügigen Teilforderung für zulässig hielt, weil die besonderen Umstände des Einzelfalls eindeutig für eine ungerechtfertigte Zahlungsverweigerung sprachen. In diesem Fall hatte der Betroffene, entgegen seiner eigener Ankündigung, auch den weitaus überwiegenden, unbestrittenen Teil der Forderung nicht beglichen.
Das Zivilgericht kam zu dem Schluss, dass in diesem besonderen Einzelfall das Interesse der SCHUFA-Vertragspartner, von der Zahlungsunwilligkeit des Betroffenen im Falle einer Geschäftsbeziehung mit ihm Kenntnis zu nehmen, das Interesse des Betroffenen an der Geheimhaltung der Negativdaten überwog und eine Übermittlung der Daten durch die SCHUFA daher rechtmäßig war.
Im Rahmen von Beschwerden über SCHUFA-Einträge machten Beschwerdeführer immer wieder geltend, dass sie gegen sich gerichtete Forderungen substantiiert bestritten hätten, dennoch hätten die Geschäftspartner solche
Forderungen bei der SCHUFA eingemeldet. In Fällen, in denen dies geschah, rechtfertigten sich die einmeldenden Kreditinstitute und Telekommunikationsunternehmen damit, dass Einwände übersehen worden seien bzw. automatisierte Abläufe zur unzulässigen Einmeldung geführt hätten.
Die SCHUFA löschte diese Einmeldungen nach eigener Prüfung und bestätigte zumeist, dass sie ihrem Vertragspartner nochmals die oben erwähnten Vorgaben der Technischen Anleitung deutlich gemacht habe.
Die Aufsichtsbehörde forderte die betroffenen, im Aufsichtsbezirk ansässigen SCHUFA-Vertragspartner auf, ihre technischen und organisatorischen Maßnahmen dahingehend zu ändern, dass solche unzulässigen Einmeldungen zukünftig unterbleiben. Die Fälle von Vertragspartnern außerhalb des Aufsichtsbezirks wurden an die zuständigen Aufsichtsbehörden zur weiteren Prüfung abgegeben.
Tritt ein Fehler auf, ist insbesondere bei automatisierten Abläufen zu prüfen, ob diese Verfahren den datenschutzrechtlichen Anforderungen gerecht werden.
Eine Datenübermittlung an eine Kreditschutzorganisation wie die SCHUFA setzt nach § 28 Abs. 1 Nr. 2 und Abs. 3 Nr. 1 BDSG grundsätzlich eine Interessenabwägung durch die übermittelnde Stelle (Bank, Kreditkartenunternehmen etc.) voraus. Dieser Interessenabwägung wird - je nach der Art der zu übermittelnden Daten - ein automatisiertes Übermittlungsverfahren nicht gerecht (Landgericht Stuttgart, Urteil vom 15. August 1997, Az. 9 S 145/97).
Bei einem Kreditkartenunternehmen offenbarte ein Beschwerdefall deutliche Defizite. Obwohl eine Kundin mehrfach, sogar durch ein Gerichtsverfahren, die erneute Übersendung der Kreditkartenabrechnung für einen bestimmten Monat gefordert hatte, da ihr diese nicht zugegangen sei, erfolgte eine Meldung an die SCHUFA.
Die Erkenntnisse aus der Beschwerdebearbeitung und der Prozessführung, bei der das Kreditkartenunternehmen sich zur erneuten Übersendung der Abrechnung bereit erklärte, führten nicht dazu, dass Einfluss auf das automatisierte Verfahren genommen wurde.
In diesem Fall war es daher nicht damit getan, dass der Fehler bedauert und die Löschung bei der SCHUFA veranlasst wurde. Auf Forderung der Aufsichtsbehörde initiierte die betriebliche Datenschutzbeauftragte des Kreditkartenunternehmens eine Prüfung der internen Verarbeitungsprozesse, worauf diverse Maßnahmen ergriffen wurden. Das Regierungspräsidium Darmstadt wird kritisch verfolgen, ob diese ausreichend sind.
Aber auch die SCHUFA ist gehalten, gegebenenfalls entsprechende Forderungen gegenüber ihren Vertragspartnern zu stellen.
Bei nachträglichem substantiierten Bestreiten einer Forderung, also nach Einmeldung der Forderung bei der SCHUFA, besteht die Aufsichtsbehörde darauf, dass eine Klärung des Sachverhalts entweder sofort erfolgt oder, wenn die Angelegenheit einer ausführlicheren Prüfung und Untersuchung beim Vertragspartner bedarf, der Hinweis "bestrittene Daten in Prüfung" angebracht wird.
Die Übermittlung dieses Hinweises wird von der Aufsichtsbehörde jedoch nur für einen begrenzten Zeitraum von höchstens vier Wochen akzeptiert, weil aus Beschwerden von Betroffenen bekannt ist, dass der Hinweis von einzelnen Vertragspartnern der SCHUFA wie ein Negativmerkmal gewertet wird, auch wenn er dies im eigentlichen Sinne nicht ist.
Die Frist gilt unabhängig davon, ob die Daten möglicherweise noch länger, z.B. bis zum Abschluss eines Klageverfahrens, gesperrt bleiben müssen.
Darüber hinaus muss die SCHUFA vor allem durch entsprechende vertragliche Regelungen (Prüf- und Meldepflichten) dafür sorgen, dass nachträgliches Bestreiten überhaupt durchgängig berücksichtigt wird, also nicht nur dann, wenn sich ein Betroffener direkt bei der SCHUFA beschwert.
Diesbezüglich muss noch eine Lösung gefunden werden.
Wiederkehrende Beschwerdeanlässe
In einigen Fällen beschwerten sich Betroffene über Personenverwechslungen.