Kreditinstitut
Das "Neuverfahren" ließ eine solch eindeutig günstige Beurteilung aus datenschutzrechtlicher Sicht im Hinblick auf die Schutzwürdigkeit der Interessen Betroffener zunächst nicht mehr zu, da die Erhebung der Interessentendaten nunmehr ohne Mitwirkung der potentiellen Neukunden erfolgen sollte.
Nach § 4 Abs. 2 Satz 2 Nr. 1, 1. Alt. BDSG dürfen personenbezogene Daten ohne Mitwirkung des Betroffenen nur erhoben werden, wenn eine Rechtsvorschrift dies vorsieht. Als solche Rechtsvorschrift kam vorliegend allenfalls § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht, wodurch die Verwendung der Daten unter den Vorbehalt einer Interessenabwägung zwischen den berechtigten Interessen des Kreditinstitutes und den schutzwür digen Interessen der Betroffenen gestellt ist. Auch die alternativ heranziehbaren Regelungen der §§ 4 Abs. 2 Satz 2 Nr. 2a und Nr. 2b BDSG führen bei Vorliegen der dort genannten Voraussetzungen zu einer solchen Interessenabwägung.
Die Aufsichtsbehörde sah die Belange der zu Bewerbenden zunächst darin tangiert, dass diese nicht mehr in das Verfahren eingebunden sind und mit Erhalt des ersten Werbeschreibens bereits "vor vollendete Tatsachen gestellt werden." Weiterhin wird der gemeldete Interessent gezwungen, der Speicherung seiner Daten aktiv zu widersprechen (opt-out-Lösung), worin eine deutliche Erschwernis zu Lasten des Beworbenen gegenüber der aktuellen Variante zu sehen ist.
Allerdings war aus Sicht des Betroffenen positiv zu verzeichnen, dass die erstmalige Kontaktaufnahme nicht telefonisch bzw. per E-Mail, sondern auf postalischem Wege vorgesehen ist. Damit konnte das Verfahren noch in die Nähe einer "herkömmlichen" Direktwerbung eingeordnet werden.
Für eine positive Beurteilung des "Neuverfahrens" wurde das Vorliegen folgender Rahmenbedingungen als erforderlich betrachtet: Zunächst dürfen nur Adressdaten im Sinne des § 28 Abs. 3 Satz 1 Nr. 3 BDSG ("Listenprivileg") erhoben werden. Angaben zu Telefonnummer, Fax-Nummer und E-Mail-Adresse werden nicht abgefragt, auch nicht mit einer Kennzeichnung als "freiwillige Daten". Beabsichtigte "Nachfassaktionen" gegenüber potentiellen Neukunden müssen sich im Rahmen der branchenüblichen Praxis bewegen und dürfen keinesfalls über zuvor ermittelte Telefonnummern, Fax-Nummern oder E-Mail-Adressen erfolgen.
Weiterhin ist sicherzustellen, dass die Betroffenen auf eine für sie komfortable Weise Widerspruch einlegen können, auch telefonisch, und dieser umgehend berücksichtigt und dokumentiert wird. Durch Einrichtung einer Sperrdatei ist auszuschließen, dass es zu einer erneuten Ansprache im Rahmen der Kundenempfehlung kommen kann. In der Praxis sind Fälle denkbar, bei denen verschiedene Empfehler eine Person als Interessenten "melden" hier muss ein einziger Widerspr uch ausreichen, um weitere Werbeaktivitäten im Vorfeld unterbinden zu können.
Das Unternehmen sagte zu, diese Vorgaben bei der Entwicklung der "Online-Empfehlung" zu berücksichtigen.
14. Videoüberwachung Betreuung pflegebedürftiger Personen
Die Aufsichtsbehörde wurde um Beratung zu einem Konzept gebeten, das die Videobeobachtung pflegebedürftiger Menschen vorsieht.
Allein lebende pflegebedürftige Menschen müssen oftmals relativ früh in einem Pflegeheim untergebracht werden, wenn die Betreuung, die zusätzlich zu den Besuchen durch den Pflegedienst notwendig ist, durch Angehörige oder Freunde und Bekannte nicht mehr geleistet werden kann. Ein Diensteanbieter entwickelte daher ein Konzept, das in Zusammenarbeit mit dem jeweiligen Pflegedienst dem Pflegebedürftigen ermöglichen soll, länger in seiner gewohnten Umgebung zu verbleiben.
Hierbei soll über Videokameras, die in der Wohnung des Pflegebedürftigen installiert werden, eine "Fernbetreuung" durch den Pflegedienst zusätzlich zu der vor Ort vorgenommen Betreuung erfolgen. Die nötige Hard- und Software wird dabei von dem Diensteanbieter dem jeweiligen Pflegedienst zur Verfügung gestellt, welcher die Betreuung per Video dann dem Pflegebedürftigen anbietet. Zusammen mit dem Pflegebedürftigen und dessen Angehörigen wird hierbei in einem Betreuungsplan schriftlich festgelegt, in welchen Zeiträumen die Beobachtung erfolgt und wo die Kameras installiert werden. Außerdem wird ein so genannter Eskalationsplan erstellt. Hierin wird geregelt, welche Maßnahmen, z. B. telefonische Verständigung von Angehörigen, Alarmierung eines Arztes, getroffen werden sollen, wenn während der Beobachtung eine Verschlechterung des Gesundheitszustands festgestellt wird.
Die Kameras werden entsprechend der vertraglichen Festlegung zwischen Pflegedienst und Pflegebedürftigem in der Wohnung des Betreuten angebracht. Die Betreuung erfolgt zentral durch dem Betreuten bekannte Pfleger, welche über Bildschirme mehrere Betreute gleichzeitig beobachten. Zwischen den einzelnen Besuchen des Pflegedienstes ist es so möglich, gesundheitliche Veränderungen frühzeitig zu erkennen. Auch hat der Pflegebedürftige die Möglichkeit, sich in einem Notfall oder mit der Mitteilung, dass er die Kameras für einen bestimmten Zeitraum deaktivieren wird, telefonisch mit den Betreuern in Verbindung zu setzen.
Wichtig ist aus datenschutzrechtlicher Sicht, dass die Einwilligung in die Beobachtung durch den Betroffenen selbst erfolgt, die Betreuung jederzeit vom Betroffen unterbrochen und auch kurzfristig ganz beendet werden kann.
In bestimmten Zeitabständen oder bei einer Verschlechterung des Gesundheitszustands muss überprüft werden, ob der Betroffene noch über ausreichende Einsichts- und Entscheidungsfähigkeit verfügt, um die Einwilligung ggf. widerrufen zu können, da ansonsten das Recht auf informationelle Selbstbestimmung nicht gewahrt ist. Besucher müssen durch einen schriftlichen Hinweis im Eingangsbereich der Wohnung auf die Videoüberwachung aufmerksam gemacht werden. Es ist dafür Sorge zu tragen, dass die Übertragung der Daten durch einen VPN -Tunnel gegen den Zugriff Dritter geschützt wird (Ein Virtuelles Privates Netzwerk (VPN) ist ein Computernetz, das zum Transport privater Daten ein öffentliches Netzwerk, z. B. das Internet, nutzt. Der VPN-Tunnel gewährleistet, dass Daten wie in einem lokalen Netzwerk ausgetauscht werden können. Dazu wird die Verbindung über das öffentliche Netzwerk verschlüsselt). Die Bildschirme dürfen nur nach Eingabe von Benutzernamen und Passwort verfügbar sein und eine Speicherung von Bilddaten nur soweit nötig erfolgen. Die visuellen Daten darf nur der Pflegedienst erhalten und personenbezogene Daten dürfen vom Diensteanbieter nur zu Abrechungszwecken verwendet werden. Wenn Leistungen durch einen Kooperationspartner erfolgen, hat der Pflege dienst den Betroffenen darauf hinzuweisen. Die technische Sicherheit hat sich an den Vorgaben des Grundschutzhandbuchs des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) zu orientieren und sollte von einer hierfür anerkannten Prüfstelle geprüft und attestiert werden.
Der Dienstanbieter legte der Aufsichtsbehörde Entwürfe der notwendige n Verträge und Einwilligungserklärungen vor, die nach Maßgabe der Aufsichtsbehörde abgeändert wurden. Unabhängig von der datenschutzrechtlichen Prüfung erfol gt noch eine Prüfung nach ethischen Gesichtspunkten, u.
a. unter Beteiligung des Hessischen Sozialministeriums. Jedenfalls bis zum Abschluss dieser Prüfung darf die Einwilligung von Betroffenen nicht durch die Einwilligung eines Vormunds ersetzt werden.
15. Sonstiges
Kinderbetreuung nur gegen Personalausweisnummer?
Auf wenig Verständnis stieß bei einem Elternpaar, dass für die Kinderbetreuung in einem großen Möbelhaus neben den Adressdaten und dem Alter des Kindes auch die Personalausweisnummer eines Elternteils über ein Formular erhoben wurde. Da die Betroffenen der Gefahr eines Missbrauchs der Personalausweisdaten vorbeugen wollten und generell die Erforderlichkeit der Erhebung in Frage stellten, machten sie die Aufsichtsbehörde auf den Sachverhalt aufmerksam.
Vor einer Bewertung des Sachverhalts anhand der Vorschriften des BDSG war zunächst zu prüfen, ob die Erhebung und Verarbeitung der Personalausweisnummer nach dem Personalausweisgesetz (PersAuswG) zulässig ist.
Nach § 4 PersAuswG darf der Personalausweis auch im nicht öffentlichen Bereich als Ausweis- und Legitimationspapier benutzt werden, wobei die Seriennummer nicht in einer Weise verwendet werden darf, dass mit ihrer Hilfe ein Abruf personenbezogener Daten aus Dateien oder eine Verknüpfung von Dateien möglich ist. Der Gesetzgeber wollte die Gefahr einer Nutzung der Seriennummer des Ausweises als eindeutige Personenkennziffer ausschließen. Aus der Stellungnahme des Möbelhauses ging hervor, dass die erhobenen Daten allerdings nicht automatisiert verarbeitet werden. Die Formulare würden nach Abwicklung der Betreuung noch bis zu sechs Monate lang archiviert und dann vernichtet. Für statistische Zwecke erfolge lediglich eine PC-gestützte Auswertung ohne Personenbezug im Hinblick auf die Anzahl der betreuten Kinder und die Zeiten, zu welchen diese angenommen und wieder abgeholt würden. Die Personalausweisnummer diene ausschließlich dazu, den Erziehungsberechtigten eindeutig zu identifizieren. Ein Abrufen des Datensatzes anhand der Personalausweisnummer bzw. eine Verwendung der Nummer als Ordnungsmerkmal sei in Ermangelung einer entsprechenden Verarbeitung nicht möglich. Unter diesen Voraussetzungen konnte das Erheben der Personalausweisnummer als mit dem PersAuswG vereinbar erachtet werden.
Aus datenschutzrechtlicher Sicht darf eine Erhebung personenbezogener Daten nur in dem jeweils erforderlichen Umfang erfolgen. Nach § 28 Abs. 1 Nr. 1 BDSG ist eine Datenerhebung, -verarbeitung und -nutzung für eigene Geschäftszwecke zulässig, wenn diese der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen dient.
Auch wenn die angebotene Kinderbetreuung nicht "eigentlicher Geschäftszweck" eines Möbelhauses ist, wird dieser Service doch für eigene gewerbliche Zwecke angeboten. Der Kundschaft soll ein bequemeres Einkaufen ermöglicht werden, wovon man sich eine Steigerung des Absatzes und höhere Akzeptanz des Unternehmens erhofft. Das Betreuen der Kinder erfolgt dabei im Rahmen eines Vertragsverhältnisses, das der Kunde durch Anmeldung des Kindes mit dem Möbelhaus abschließt.
Soll sich die Verarbeitung der Daten auf die Regelung des § 28 Abs. 1 BDSG stützen können, bedarf es eines unmittelbaren sachlichen Zusammenhangs zwischen der beabsichtigten Verwendung und dem konkreten Vertragszweck. Dies war bei dem zu bewertenden Sachverhalt gegeben, da die Personalausweisnummern ausschließlich zur reibungslosen "Abwicklung" der Beaufsichtigung verarbeitet werden.
Weiterhin muss sich die verantwortliche Stelle auf die Verwendung der für den konkreten Vertragszweck objektiv dienlichen Daten beschränken. Welche Daten im Einzelnen verarbeitet werden dürfen, lässt sich dabei nicht abstrakt angeben. In Betracht kommt grundsätzlich eine Verwendung aller für den Abschluss und die Erfüllung eines Vertragsverhältnisses benötigten Angaben, was dann im Einzelfall zu prüfen ist.
Zur "Erfüllung" gehört im Fall der Kinderbetreuung zweifelsfrei, dass das Kind nach Beendigung des Aufenthalts wieder in die Obhut der Person gelangt, die das Kind "abgegeben" hat. Fraglich ist jedoch, ob dazu auch das Erfassen der Personalausweisnummer erforderlich ist.
Das Möbelhaus teilte dazu mit, dass bis zum Jahr 2005 ein anderes Kontrollverfahren praktiziert worden sei, das folgende Elemente enthielt: Unterschrift der Begleitperson, ein gemeinsamer Stempel mit individuellem Symbol- und Nummerncode. Zur Änderung des Verfahrens habe man sich entschieden, da im Rahmen einer Reportage über familienfreundliche Möbelhäuser von einer Rundfunkanstalt ein Bericht über deren Kinderbetreuungseinrichtung erstellt worden sei. Dabei hätte ein Reporter testweise "einen flüchtigen Bekannten" an Stelle des "richtigen Vaters" zum Abholen eines betreuten Kindes "geschickt" mit dem Ergebnis, dass der Junge unberechtigterweise herausgegeben worden sei. Eine interne Prüfung des Vorfalls habe ergeben, dass eine große Ähnlichkeit zwischen den beiden Unterschriften bestanden habe. Weiterhin sei es zu mehreren Vorfällen gekommen, die auf Kinderhandel hinwiesen. Offensichtlich würden Bandenmitglieder die Eltern bei der Abgabe ihrer Kinder beobachten, sich Namen und Adressen merken und dann versuchen, unter Nutzung dieser Angaben und oft auch manipulierter Ausweisdokumente, die Kinder abzuholen. Dabei sei eine bloße Kontrolle des Lichtbilds wenig hilfreich, da bei den Bandenfällen das Lichtbild eindeutig den Abholenden zeige. Der Name werde - wie dargestellt - bei der Abgabe herausgefunden und sei daher kein sicheres Abgrenzungsmerkmal; ähnliches gelte für die Adresse.
Als Alternative - zur Verwendung der Personalausweisnummer - fertigen andere Möbelhäuser ein Foto der Begleitperson, wobei durch interne Regelungen festgelegt wurde, dass nur derjenigen Person das Kind übergeben werden darf, die auf dem gespeicherten Bild erkennbar ist; zusätzlich erfolgt auch hier eine Sicherung durch ein Armband mit Kontrollabschnitt.
Bei Vergleich beider Verfahren war festzustellen, dass beide geeignet sind, die Begleitpersonen zuverlässig zu identifizieren. Nach der Argumentation des von der Beschwerde betroffenen Möbelhauses sei deren Kontrolle dann sicherer, wenn sich Personen zum Verwechseln ähnlich sehen.
Aus den von Seiten der Möbelhäuser gegebenen Informationen ließ sich erkennen, dass eine völlig sichere Abwicklung der Betreuungen ausschließlich anhand von Adresse, Unterschrift und Kontrollarmband nicht möglich ist und es einer zusätzlichen Information (Foto oder Personalausweisnummer) bedarf. Beide Verarbeitungen tangieren das Recht auf informationelle Selbstbestimmung der Betroffenen, wobei die verschiedenen Maßnahmen sicherlich individuell unterschiedlich wahrgenommen werden. Zweifellos empfinden es einige Personen als störender, fotografiert zu werden und das eigene Bild gespeichert zu wissen.
Unter Würdigung der von Seiten des Möbelhauses vorgetragenen Gesichtspunkte - insbesondere der Gefährdungslage wurde es aus datenschutzrechtlicher Sicht prinzipiell für zulässig und auch erforderlich eingeschätzt, durch Erhebung und Verarbeitung der Personalausweisnummer das Identifikationsverfahren zu optimieren. Insbesondere bei hohem Andrang bei der Kinderbetreuung wurde eine Gefahr von Fehlleistungen des dort tätigen Personals erkannt. Der Vergleich der Personalausweisnummer stellt eine relativ sichere Möglichkeit dar, um Fehler zu vermeiden. Allerdings muss sichergestellt sein, dass die Daten nur entsprechend ihrer Zweckbestimmung verwendet und danach gelöscht werden.
Im konkreten Fall war dies nach entsprechender Beratung durch die Aufsichtsbehörde, die auch eine datenschutzfreundlichere Gestaltung des Aufnahmeformulars und eine Verringerung der Aufbewahrungsdauer auf maximal drei Monate mit sich brachte letztlich gewährleistet.
Pflegedaten auf Tour Offenbar aus Unachtsamkeit ließ die Mitarbeiterin eines ambulanten Pflegedienstes einen aufgeschlagenen Ordner auf dem Beifahrersitz ihres Einsatzfahrzeuges liegen. Passanten fiel auf, dass bei einem Blick durch die Seitenscheibe des abgestellten PKW der eingeheftete Tagesplan mit Informationen zu den zu besuchenden Pflegebedürftigen studiert werden konnte. Durch vor Ort aufgenommene Digitalbilder hielten die Passanten dies eindrucksvoll fest. Da - bei allem Verständnis für Termindruck und hohe Beanspruchung des Pflegepersonals - nicht hingenommen werden kann, dass sensible Daten dieser Art Dritten zur Kenntnis gelangen, wurde die Leiterin des Pflegedienstes auf die bestehenden datenschutzrechtlichen Bestimmungen aufmerksam gemacht. Diese bedauerte den Vorfall sehr und versicherte, die Mitarbeiterinnen für die datenschutzrechtliche Problematik zu sensibilisieren.
Wiesbaden, 20. August 2007
Der Hessische Ministerpräsident: Der Hessische Minister des Innern und für Sport: Koch Bouffier