Eine vorteilhafte Regelung für die Mitarbeiterinnen und Mitarbeiter

37 Arbeitnehmerdatenschutz Übermittlung von Arbeitnehmerdaten an ein Kreditinstitut

Die Stadtwerke einer niedersächsischen Großstadt wollten die Abrechnung der Dienstreisen ihrer Mitarbeiterinnen und Mitarbeiter vereinfachen und damit erhebliche Verwaltungskosten einsparen. Während bisher ein Reisekostenvorschuss gezahlt und dann mit den tatsächlichen Ausgaben verrechnet wurde, sollten die Beschäftigten künftig eine dienstliche Kreditkarte zur Begleichung ihrer Reisekosten erhalten. Zwar muss jeder Mitarbeiter auch mit der Kreditkarte die Reisekosten zunächst selbst zahlen. Die Stadtwerke sichern ihren Bediensteten aber zu, die Rückerstattung unverzüglich vorzunehmen. Da das Kreditinstitut die Rechnungsbeträge erst nach einigen Wochen vom privaten Konto des Beschäftigten abbucht, hat dieser den Erstattungsbetrag von seinem Arbeitgeber bereits überwiesen bekommen. Neben der dienstlichen Kreditkarte wird den Beschäftigten zugleich eine Kreditkarte für private Ausgaben angeboten. Die Kosten für beide Kreditkarten tragen die Stadtwerke.

Eine vorteilhafte Regelung für die Mitarbeiterinnen und Mitarbeiter. Sie geriet jedoch aus Datenschutzgründen in Misskredit. Dem Kreditinstitut wurden nämlich u. a. Name, Anschrift, Bankverbindung und Personalnummer jedes einzelnen Beschäftigten übermittelt. Aus Servicegründen bereitete es „unterschriftsreife" Anträge für die angebotenen Kreditkarten vor, in die die genannten Arbeitnehmerdaten bereits aufgenommen worden waren. Die Beschäftigten staunten nicht schlecht, als sie die mit Bankinstitut und Kontonummer versehenen Vordrucke vom Kreditinstitut zugeleitet erhielten. In der Belegschaft kam Unmut auf, der zu zahlreichen Anfragen in meiner Dienststelle und zu kritischen Presseartikeln führte.

Die Stadtwerke rechtfertigten ihr Vorgehen zunächst mit dem Argument, hier liege nichts weiter als eine zulässige Auftragsdatenverarbeitung vor. Diese Einschätzung gaben sie im Zuge der Erörterungen aber bald auf. Im Verlauf der Prüfung stellte sich heraus, dass das Unternehmen die Arbeitnehmerdaten schon vor Abschluss der einschlägigen Verträge dem Kreditinstitut übermittelt hatte.

Dieser vorzeitigen ­ offenbar aus der Hast geborenen ­ Datenweitergabe an die künftigen Vertragspartner standen schutzwürdige Belange der Bediensteten entgegen (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG).

Auch nach Vertragsschluss wäre eine Übermittlung der Daten ohne Einwilligung der Arbeitnehmer nicht in Betracht gekommen. Ebenso war eine Datenweitergabe an das Kreditinstitut unter dem Gesichtspunkt der Auftragsdatenverarbeitung nach § 11 BDSG unzulässig.

Auftragsdatenverarbeitung liegt vor, wenn ein Unternehmen sich der Unterstützung eines Dritten bei der Verarbeitung seiner personenbezogenen Daten bedient. Der Auftraggeber bleibt dabei weiterhin „Herr" seiner Daten; das Serviceunternehmen betreibt für ihn gleichsam als verlängerter Arm oder ausgelagerte Organisationseinheit die Datenverarbeitung in voller Abhängigkeit von seinen Weisungen. Das ist zwar der Fall, wenn erforderliche Arbeitnehmerdaten

­ sofern die Grenze zur Aufgaben(funktions-)übertragung nicht überschritten wird - an einen Auftragnehmer zur Bearbeitung von Dienstreisen weitergegeben werden. Dieser übt dann eine bloße „Hilfsfunktion" aus. Da im vorliegenden Fall das Kreditinstitut jedoch die Daten auch nutzen wollte, um den Arbeitnehmern eine private Kreditkarte anzubieten, nahm es insofern keine Servicefunktion für die Stadtwerke mehr wahr. Die Bank verfolgte vielmehr eigene Geschäftszwecke. Dafür dürfen die ihr zugänglich gemachten Mitarbeiterdaten im Zuge eines Auftragsverhältnisses nicht genutzt werden.

Nach meinen Hinweisen räumte das Unternehmen Fehler ein und bedauerte gegenüber der Belegschaft die Datenübermittlung. Die Arbeitnehmerdaten wurden vom Kreditinstitut an die Stadtwerke zurückgegeben. Eine weitere Nutzung durch die Bank ist ausgeschlossen. Künftig füllen die Mitarbeiterinnen und Mitarbeiter, die eine Kreditkarte für die Abrechnung ihrer Dienstreisen bzw. für private Zwecke in Anspruch nehmen wollen, einen entsprechenden Antrag aus. Eine Übermittlung ihrer Daten an das Kreditinstitut erfolgt nur mit ihrer Zustimmung. Für den Fall, dass ein Arbeitnehmer nur die dienstliche Kreditkarte nutzen möchte, wird sichergestellt, dass das Kreditinstitut die ihm zu diesem Zweck zulässigerweise übermittelten Daten nicht für Angebote für andere Dienstleistungen nutzt.

38 Telefaxauskunft auf einer CD-ROM

Ein Unternehmen hatte eine CD-ROM mit Angaben zu Telefaxanschlüssen herausgegeben. Als Suchbegriffe waren Vorname und Name des Anschlussinhabers, Straße, Ort, Postleitzahl, Branche und Faxnummer vorgesehen.

Ich habe das Unternehmen darauf hingewiesen, dass es gemäß § 33 Abs. 1 Satz 2 BDSG verpflichtet ist, die Betroffenen von der erstmaligen Übermittlung und der Art der zu übermittelnden Daten zu benachrichtigen. In diesem Zusammenhang ist von Interesse, dass das Telekommunikationsgesetz für Telekommunikationsunternehmen bestimmt, dass neue Telefonkunden nur mit ausdrücklicher Einwilligung auf CD-ROM gespeichert werden dürfen.

Weil es eine solche Benachrichtigungspflicht verneinte, habe ich gemäß § 44 Abs. 1 Nr. 3 BDSG ein Bußgeld verhängt.

Das Unternehmen machte im Einspruchsverfahren geltend, die Benachrichtigung sei u. a. deshalb entbehrlich, weil vor der Speicherung durch das Unternehmen zahlreiche Speicherungs- und Übermittlungsvorgänge stattfänden. Die Benachrichtigungspflicht entfalle ebenfalls nach § 33 Abs. 2 Nr. 6 a BDSG. Die auf der CD-ROM gespeicherten Daten seien zu eigenen Zwecken gespeichert.

Eine Übermittlung der Daten erfolge nicht mit der Übergabe der CD-ROM, sondern erst durch den Abruf der Daten für eigene Zwecke durch den Käufer. Eine Übermittlung setze eine Kenntnisnahme voraus, die erst bei Abruf der Daten durch den Käufer möglich sei. Wenn man diesen Übermittlungsbegriff nicht teile, greife § 33 Abs. 2 Nr. 7 a BDSG ein. Die Veröffentlichung der Teilnehmerdaten durch die vom Teilnehmer jeweils getroffene Entscheidung bei Abschluss des Anschlussvertrags mit der Telekom AG stehe der Selbstveröffentlichung gleich, weil sie mit Zustimmung des Teilnehmers erfolge.

Ich habe dem Unternehmen entgegengehalten, dass der Begriff „erstmals" nach § 33 BDSG nur so verstanden werden könne, dass eine erstmalige Speicherung bei der jeweiligen verarbeitenden Stelle gemeint sei. Auch die anderen Argumente habe ich nicht geteilt. Ich habe dem Einspruch daher nicht stattgegeben.

Das Verfahren wurde dann allerdings vom Amtsgericht gemäß § 47 Abs. 2 des Ordnungswidrigkeitengesetzes eingestellt.

39 Privates Gesundheitswesen Weitergabe von Patientendaten an privatärztliche Verrechnungsstellen

Ein großer Teil der niedersächsischen Ärzte und Zahnärzte schaltet bei der Abrechnung mit ihren Patienten die Privatverrechnungsstelle (PVS) der Ärzte und Zahnärzte in Niedersachsen ein.

Die PVS ist eine berufsständische Organisation. Zu ihren Aufgaben gehört insbesondere die Honorarberechnung, das Schreiben von Rechnungen und die Überwachung der Zahlungseingänge. Hingegen tritt der Arzt nicht seine Forderung gegen den Patienten an die PVS ab. Er bleibt also Inhaber der Forderung und muss sie, wenn der Patient nicht zahlt, gerichtlich durchsetzen.

Zwischen der PVS und mir besteht im Grundsatz Einigkeit, dass der Arzt nur mit Einwilligung des Patienten Daten an die PVS weitergeben darf. Dieser Grundsatz wird jedoch nicht von allen Ärzten beachtet.

Auf meine Anregung hat sich der Düsseldorfer Kreis mit der Datenverarbeitung bei den Privatverrechnungsstellen befasst. Weit überwiegend wurde die Auffassung vertreten, dass durch die Privatverrechnungsstellen keine Datenverarbeitung im Auftrag (§ 11 BDSG) erfolgt, sondern eine Funktionsübertragung vorliegt. Einigkeit besteht, dass der Arzt eine schriftliche Einwilligung des Patienten einholen muss.

Die vom Düsseldorfer Kreis gestellten Anforderungen an den Inhalt der Erklärung werden im Wesentlichen durch die Vordrucke der PVS erfüllt. Noch nicht abschließend geklärt ist, in welchen Fällen die Angabe der Diagnose auf der Rechnung, die von der PVS erstellt wird, und damit eine Übermittlung durch den Arzt an die PVS erforderlich ist.

Die PVS hat im Januar 1998 mit einem Rundschreiben den Ärzten und Zahnärzten ein geändertes Einwilligungsformular übersandt und dabei noch einmal auf die Pflicht des Arztes hingewiesen, vor der Weitergabe von Patientendaten die Einwilligung einzuholen.

40 Andere Bereiche Datenschutzrechtliche Fragen sind nicht nur in den oben dargestellten Branchen wie Adresshandel, Markt- und Meinungsforschung, Schufa, Versicherungen zu lösen, obwohl sie sicherlich den weitaus größten Teil ausmachen, sondern immer wieder auch in manchmal geradezu exotisch anmutenden Bereichen. Zwei Beispiele dafür möchte ich im Folgenden darstellen.

Mitteilung eines Austritts aus dem Schützenverein an das Ordnungsamt

Ein Schützenverein teilte dem Ordnungsamt den Austritt eines Mitglieds mit.

Darüber empörte sich der ­ ehemalige ­ Schützenbruder und bat mich um Prüfung, ob dieses Verhalten rechtmäßig sei.

Der von mir um Stellungnahme gebetene Schützenverein berief sich darauf, die Stadt habe ihn verpflichtet, den Austritt aus dem Verein zu melden.

Die Stadt bestätigte, dass sie Vereine, die eine Bescheinigung nach § 32 des Waffengesetzes (WaffG) ausstellen, zur Mitteilung des Vereinsaustritts verpflichte. Zwar bestehe für diese Aufforderung keine Rechtsgrundlage, jedoch ergebe sich die Notwendigkeit aus der Systematik des Waffenrechts, dessen Intention darauf gerichtet sei, möglichst wenig Waffen „ins Volk" gelangen zu lassen. Durch den Austritt aus dem Verein entfalle möglicherweise das Bedürfnis zum Waffenbesitz, sodass u. U. die Voraussetzungen für einen Widerruf der waffenrechtlichen Erlaubnis (§ 47 Abs. 2 WaffG) vorlägen.

Aufgrund dieser Darstellung erschien mir die Datenerhebung der Stadt bei den Vereinen durchaus sinnvoll. Gegenüber dem Niedersächsischen Innenministerium habe ich jedoch auch auf die fehlende Rechtsgrundlage hingewiesen.