Inkassos
Die Bearbeitung der Inkassofälle bei Bürgel Bremen ist nach den gegebenen Erläuterungen auf einen Teil der Mitarbeiter begrenzt, die nicht gleichzeitig auch auskunfteispezifische Arbeiten erledigen. Auf die Inkassoakten dürfen nur die Inkassomitarbeiter Zugriff nehmen. Zu der Recherche von Auskunfteidaten werden auch die in die zentrale Bürgel-Datenbank eingepflegten Daten aus dem Inkassobereich herangezogen (z. B. die Anzahl aller von den Bürgel-Gesellschaften betriebenen Inkassos zu diesem Betroffenen, sämtliche Angaben zu den von Bürgel Bremen gegenüber dem Betroffenen betriebenen Inkassos) und bei der Bildung der Bonitätskennziffer mit berücksichtigt.
Nach Auffassung der Datenschutzaufsichtsbehörden besteht zwischen den Bereichen Inkasso und Auskunftei eine funktionelle Schranke. Ob eine Datenübermittlung vom Inkassobereich in den Auskunfteibereich zulässig ist, bestimmt sich nach den Regeln des § 28 BDSG. Die skizzierte Bürgel-Praxis, die übrigens auch von anderen Handels- und Wirtschaftsauskunfteien betrieben wird, ist datenschutzrechtlich nicht unproblematisch.
Zur Meldepflicht nach §§ 4 d, 4 e BDSG: Bürgel Bremen hatte sich im Juli 2001 neu zum Register des Landesbeauftragten für den Datenschutz nach § 38 Abs. 2 BDSG angemeldet. Der Inhalt der Meldung wurde überprüft. Im Juli 2002 erfolgte eine Änderungsmeldung. Die sich daraus ergebenden Fragen und Bewertungen habe ich Bürgel Bremen in einem Prüfbericht zugeleitet. Themen sind dabei z. B. die hinreichende Beschreibung der Daten oder Datenkategorien im Hinblick auf die im Bürgel- Informationssystem (DB-Systems) gespeicherten Daten, die verschiedenen Fragen der Nachvollziehbarkeit des Bonitätsindexes, u. a. hinsichtlich der Gewichtung der Merkmale und der Rechenmethode (wie sie sich ähnlich auch beim Score-Wert-Verfahren der Schufa stellen, vgl. Ziff. 14.13.1 dieses Berichts), in welchem Umfang konkrete Übersichten über online-Datenempfänger geführt werden müssen, wie den gesetzlichen Löschfristen besser Rechnung getragen werden kann, Fragen der geplanten Datenübermittlung an Drittstaaten, die Möglichkeit zur Verbesserung der Aufgabenwahrnehmung des betrieblichen Datenschutzbeauftragten, der in Hamburg sitzt, Fragen der Auftragsdatenverarbeitung nach § 11 BDSG und noch fehlende Angaben nach § 10 Abs. 2 Satz 2 BDSG bzgl. des automatisierten Abrufverfahrens, um die wesentlichen Themen zu nennen.
Die bei einer Auskunftei anfragenden Stellen müssen ein berechtigtes Interesse darlegen, das sie berechtigt, die gewünschte Information zu erhalten. Anlässlich der Prüfung habe ich eine Stichprobe gezogen und die Dokumentation des dargelegten berechtigten Interesses bei Datenübermittlung nach § 29 Abs. 2 Nr. 1 a BDSG geprüft.
Nach den gegebenen Erläuterungen werden seitens Bürgel Bremen insgesamt etwa 17.500 Auskünfte pro Jahr (einschließlich aller online- und Batch-Auskünfte) erteilt und bei drei Auskünften pro Monat das jeweils dargelegte berechtigte Interesse überprüft. Eine solche Überprüfungsquote würde damit die mit dem Düsseldorfer Kreis vereinbarte zwei Promille-Quote erfüllen.
Bürgel Bremen legte auf Verlangen Unterlagen vor, die die Überprüfung des berechtigten Interesses bei Anfragen dreier Kunden im Oktober 2002 betrafen.
Während das berechtigte Interesse in einem der Fälle die Warenabrechnung betraf, wurde als Grund in den beiden anderen Anfragefällen gegenüber der Auskunftei die geplante Aufnahme von Geschäftsbeziehungen mit den Betroffenen angegeben. Hinsichtlich der Abrechnung von Waren in dem einen Fall konnten von Bürgel Bremen Rechnungskopien vorgelegt und damit das berechtigte Interesse dargelegt werden. In den beiden anderen Fällen fehlten konkrete Unterlagen, die das berechtigte Interesse begründen konnten. Ich habe Bürgel Bremen aufgefordert, sich in diesen beiden Fällen um entsprechende Unterlagen zu bemühen und sie mir zu Prüfzwecken vorzulegen.
Eine abschließende Stellungnahme von Bürgel Bremen steht noch aus, einige der festgestellten Fragen bedürfen noch weiterer Erörterung im Düsseldorfer Kreis.
Hierzu zählt auch die Behandlung von Daten aus den Schuldnerverzeichnissen.
Bürgel Bremen erhält nach § 915 d Abs. 1 Zivilprozessordnung (ZPO) i. V. m. § 2:
Vollabdrucke in Listenform aus den Schuldnerverzeichnissen der Amtsgerichte seines Zuständigkeitsbereiches. Diese sog. Schuldnerlisten werden von Bürgel Bremen über einen Zeitraum von insgesamt drei Jahren aufbewahrt.
Begründet wird die dreijährige Aufbewahrungsdauer u. a. mit von der Auskunftei benötigten Beweismöglichkeiten. Es müsse der Auskunftei beispielsweise möglich sein zu belegen, dass eine unrichtige Auskunft ein Fehler des Amtsgerichts und nicht der ihrige sei. Enthalten in den Abdrucken bis zum Ablauf der dreijährigen Aufbewahrungsdauer sind auch solche Eintragungen, die im Schuldnerverzeichnis bereits vorzeitig gelöscht wurden. Über die vorzeitige Löschung einer Eintragung im Schuldnerverzeichnis ist Bürgel Bremen nach § 915 g Abs. 2 ZPO zu unterrichten. Eine Verpflichtung, eine im Schuldnerverzeichnis vorzeitig gelöschte Eintragung in den Abdrucken/Schuldnerlisten zu streichen (löschen), ergibt sich nach meiner Auffassung aus § 15 Abs. 4 der besagt, dass Löschungsmitteilungen nach § 15 Abs. 2 zu vernichten oder zu löschen sind, sobald die vorgenommenen Änderungen bekannt sind. Zudem kann den Bestimmungen des § 915 g ZPO die Absicht des Gesetzgebers entnommen werden, die Löschungsfristen für Eintragungen in Abdrucken, Listen und Aufzeichnungen den für das Schuldnerverzeichnis geltenden Fristen anzupassen. Insofern ist eine Löschung der vorzeitig im Schuldnerregister gelöschten Eintragungen zu verlangen.
Bürgel Bremen vertritt hierzu eine andere Auffassung und verweist auf die in der AG Auskunfteien geführte Diskussion. Es bestehen aber Zweifel, ob die allgemeinen Datenschutzregelungen des BDSG (§ 35 Abs. 3 Nr. 2 und 3) hier überhaupt zum Tragen kommen oder ob die Regelungen der ZPO und der als spezifisches Recht nicht vorrangig und abschließend sind. Ich werde dieses Thema nochmals in den Gremien des Düsseldorfer Kreises zur Sprache bringen.
Auch hinsichtlich der telefonischen Benachrichtigung des Betroffenen über die Speicherung seiner Daten im System einer Auskunftei bedarf es bezüglich Inhalt und Klarheit noch einer weiteren Klärung. Ursache war die Eingabe eines Betroffenen. Bei meiner Prüfung habe ich festgestellt, dass zu diesem (Inhaber eines Handwerksbetriebes) von Bürgel Bremen ein Datensatz im Bürgel-Informationssystem angelegt wurde, was auf eine erste Anfrage durch einen Bürgel-Kunden (Normalanfrage) vom 18. Oktober 2000 zurückzuführen war. Am 20. Oktober 2000 war anlässlich dieser Anfrage telefonisch Kontakt mit dem Betroffenen aufgenommen worden. Die Kontaktaufnahme diente dazu, Daten über den Betroffenen und seinen Betrieb zu recherchieren. Angeblich erfolgte hierbei auch die Benachrichtigung gemäß § 33 BDSG. Dies wird vom Betroffenen allerdings bestritten.
Es stellt sich hierbei die Frage, ob die Verbindung einer telefonischen Recherche beim Betroffenen mit einer (angeblichen) Benachrichtigung die Anforderungen nach § 33 BDSG erfüllt. Ich habe hier erhebliche Zweifel, nicht zuletzt deshalb, weil die Beweisbarkeit einer solchen Benachrichtigung gegenüber den Datenschutzaufsichtsbehörden schwierig ist. Dieses Thema will ich in den Gremien des Düsseldorfer Kreises weiter erörtern. Dabei ist unstreitig, dass auch telefonisch benachrichtigt werden kann.
14.13.4 Bürgereingabeprüfung bei Creditreform Bremen:
Aufgrund einer Eingabe habe ich die Datenübermittlung durch Creditreform Bremen an eine Lebensversicherung überprüft und bin zu dem Ergebnis gekommen, dass ein berechtigtes Interesse für die Datenübermittlung durch Creditreform Bremen an die Lebensversicherung nicht dargelegt werden konnte. Die Datenübermittlung an die Versicherung war nach meiner Auffassung somit nicht zulässig (§ 29 Abs. 2 BDSG). Dies habe ich sowohl dem Petenten als auch der Creditreform Bremen und der Versicherung mitgeteilt.
Die Versicherung stützte sich bei der Darlegung ihres berechtigten Interesses gegenüber Creditreform Bremen auf Verpflichtungen aus dem Geldwäschegesetz sowie eine diesbezügliche Verlautbarung des Bundesaufsichtsamtes für das Versicherungswesen (jetzt Bundesanstalt für Finanzdienstleistungsaufsicht) aus dem Jahre 1996.
Das Geldwäschegesetz verlangt von der Versicherung eine Identitätsprüfung, interne Sicherungsmaßnahmen (bezüglich der Geldwäsche sicherlich!) und in Verdachtsfällen eine Anzeige bei den zuständigen staatlichen Strafverfolgungsbehörden. Eine Bonitätsprüfung, d. h., eine Anfrage bei einer Auskunftei mit nachfolgender Datenübermittlung durch diese werden hingegen nicht gefordert.
Eine solche Anfrage bzw. Datenübermittlung kann für die Erfordernisse des Geldwäschegesetzes nach meiner Auffassung auch nichts hergeben.
Ich habe den Vorgang in den Düsseldorfer Kreis eingebracht und angeregt, die Angelegenheit in der Arbeitsgruppe zu erörtern. Den Bundesbeauftragten für den Datenschutz habe ich gebeten, die Angelegenheit mit der neuen Bundesanstalt für Finanzdienstleistungsaufsicht zu erörtern mit dem Ziel, zu neuen, in sich abgestimmten Verlautbarungen hinsichtlich der Anwendung des Geldwäschegesetzes zu kommen.
14.14 Beratungen in der Arbeitsgruppe Internationaler Datenverkehr
Die Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises, in der sich die Obersten Datenschutzaufsichtsbehörden u. a. mit Vertretern der EU-Kommission sowie mit Firmen- und Verbandsvertretern treffen, hat im Berichtsjahr dreimal getagt, wobei ich nicht an allen Sitzungen teilgenommen habe. Die Arbeitsgruppe beschäftigt sich im Augenblick intensiv mit der Anwendung der neuen Regelungen des Bundesdatenschutzgesetzes (BDSG) zur Datenübermittlung ins Ausland, speziell in Länder außerhalb des EU- und des EWR-Bereichs (§§ 4 b, 4 c BDSG). Innerhalb der EU und des EWR-Gebietes sind Datenübermittlungen im Rahmen des Anwendungsbereiches des Rechts der Europäischen Gemeinschaften im Rahmen der normalen Übermittlungsbestimmungen (z. B. §§ 28, 29, 30 BDSG) grundsätzlich zulässig. Es gilt das Prinzip des ungehinderten Datenflusses innerhalb der EU und des EWR-Bereiches. Sollen Daten an ausländische Stellen außerhalb des Geltungsbereiches der EG-Datenschutzrichtlinie übermittelt werden, so muss bei den Datenempfängern ein angemessenes Datenschutzniveau gewährleistet sein.
Besteht dies nicht, wäre dennoch eine Datenübermittlung unter bestimmten im BDSG genannten Ausnahmetatbeständen (§ 4 c Abs. 1 BDSG) zulässig, z. B. wenn eine Einwilligung des Betroffenen vorliegt oder es zur Vertragserfüllung erforderlich ist. Sollten diese Ausnahmetatbestände nicht vorliegen, dann sieht das Gesetz die Genehmigung einzelner Übermittlungen oder bestimmter Arten von Übermittlungen durch die zuständige Datenschutzaufsichtsbehörde vor (§ 4 c Abs. 2 BDSG). Eine Genehmigung kann erteilt werden, wenn die verantwortliche Stelle (der Datenexporteur) ausreichende Garantien (z. B. Vertragsklauseln, verbindliche Unternehmensregelungen) hinsichtlich des Schutzes des Persönlichkeitsrechtes und der Ausübung der damit verbundenen Rechte vorweist. Hier muss die zuständige Datenschutzaufsichtsbehörde also prüfen, ob ausreichende Garantien, sprich, ein angemessenes Datenschutzniveau beim Datenempfänger bzw. im Drittland, vorliegen.
Die Vertragsgestaltung zwischen den verantwortlichen Stellen und etwaige verbindliche Unternehmensregelungen innerhalb eines Unternehmensverbandes spielen hierbei eine wichtige Rolle. Die Arbeitsgruppe Internationaler Datenverkehr hat sich in ihren Sitzungen deshalb nicht nur mit der Gestaltung einzelner solcher Unternehmensregelungen befasst (z. B. Daimler-Chrysler, Gesamtverband der Deutschen Versicherungswirtschaft GDV), sondern auch Gedanken über die Bedeutung derartiger Regelungen gemacht. Dabei ist klar, dass die Arbeitsgruppe nicht die jeweils zuständige(n) Datenschutzaufsichtsbehörde(n) ersetzen kann, sondern nur auf bundesweite Abstimmung und einheitliche Auslegung der schwierigen neuen Rechtsmaterie hinwirken kann.
Aufgrund der Diskussionen in der Arbeitsgruppe hat der Düsseldorfer Kreis zur Bedeutung verbindlicher Unternehmensregelungen bei Datenübermittlungen in Drittländer einen in der Arbeitgruppe vorbereiteten Beschluss gefasst (vgl. Ziff. 16. dieses Berichts).