Kreditinstitut
Insbesondere hinsichtlich der erforderlichen Sachkunde und Zuverlässigkeit sowie der Aufgaben eines behDSB können aus den vom LfD herausgegebenen „Hinweisen zum behördlichen Datenschutzbeauftragten" weitere Informationen entnommen werden.
Diese sind auch unter der Rubrik Materialien im Internetangebot des LfD (www.datenschutz.rlp.de) abrufbar.
Datenschutzregister/Verfahrensverzeichnis
Nach § 27 Abs. 1 LDSG haben die verantwortlichen Stellen Verfahren, in denen personenbezogene Daten automatisiert verarbeitet werden, zur Eintragung in das beim LfD geführte Datenschutzregister anzumelden. Es handelt sich dabei nicht um ein Genehmigungs- oder Freigabeverfahren. Für den LfD bilden diese Anmeldungen eine wichtige Grundlage der Kontrollarbeit. Darüber hinaus kann der behördliche Datenschutzbeauftragte den Anmeldungen die Informationen entnehmen, die er für die Wahrnehmung seiner Aufgaben nach § 11 LDSG benötigt. Der LfD hat den bislang vorhandenen Vordruck den Anforderungen des novellierten LDSG angepasst.
Wie in der Vergangenheit ist auch in diesem Berichtszeitraum immer wieder festzustellen, dass die Anmeldungen zum Datenschutzregister nicht oder nicht rechtzeitig erfolgten. Es ist auch festzustellen, dass die Zahl der Anmeldungen rückläufig ist statt dessen steigt die Zahl der Änderungen oder Ablösungen von bereits eingesetzten Verfahren, insbesondere vor dem Hintergrund des Einsatzes neuer Techniken.
Gemäß § 11 Abs. 2 LDSG haben die verantwortlichen Stellen ein Verzeichnis der Verfahren zu führen, in denen personenbezogene Daten automatisiert verarbeitet werden (Verfahrensverzeichnis). Innerhalb der verantwortlichen Stelle ist hierfür grundsätzlich der behördliche Datenschutzbeauftragte zuständig (§ 11 Abs. 3 Nr. 4 LDSG).
Die Bestimmungen zum Verfahrensverzeichnis und zur Anmeldung zum Datenschutzregister zielen auf die Herstellung von Transparenz sowohl innerhalb wie außerhalb der verantwortlichen Stelle. Das Verfahrensverzeichnis ist weiterhin ein Hilfsmittel der Auskunftserteilung (§ 18 LDSG), denn es enthält Angaben darüber, wo in der Verwaltung personenbezogene Daten in automatisierten Verfahren verarbeitet werden.
Im Rahmen der Anmeldung zum Datenschutzregister ist dem LfD auch eine Verfahrensbeschreibung nach § 10 Abs. 2 LDSG vorzulegen. Somit sollte das vor Ort geführte Verfahrensverzeichnis mit den beim LfD angemeldeten Verfahren übereinstimmen.
Weitere Informationen können aus der vom LfD herausgegebenen „Orientierungshilfe zur Führung des Verfahrensverzeichnisses und zur Anmeldung zum Datenschutzregister" entnommen werden, die ebenfalls in seinem Internetangebot unter www.datenschutz.rlp.de unter der Rubrik Materialien abrufbar ist.
22. Öffentlich-rechtliche Wettbewerbsunternehmen, Sparkassen
Öffentlich-rechtliche Wettbewerbsunternehmen
Datenerhebung zur Fehlbelegungsabgabe
Eine Wohnungsbaugesellschaft verlangte im Rahmen von Mieterhöhungsbegehren die Vorlage von Fehlbelegungsbescheiden ihrer Mieter.
Hierzu vertrat der LfD folgende Auffassung: Nach BGB darf eine Mieterhöhung nach Wegfall der öffentlichen Bindung der Wohnung maximal in Höhe der gezahlten Fehlbelegungsabgabe vorgenommen werden. Um dem Vermieter die Festsetzung der neuen Miete zu ermöglichen, kann dieser vom Mieter Auskunft über die Verpflichtung zur Ausgleichszahlung und über deren Höhe verlangen. Dem Vermieter steht jedoch kein genereller Anspruch auf Vorlage von Belegen, insbesondere einer Kopie des Bescheids über die Fehlbelegungsabgabe zu. In diesem Bescheid sind Informationen enthalten, deren Kenntnis für den Vermieter in diesem Zusammenhang nicht erforderlich ist, wie z. B. Angaben über das Einkommen.
Die Wohnungsbaugesellschaft änderte daraufhin ihr Verfahren zur Datenerhebung: Man wies nunmehr ausdrücklich darauf hin, dass alle Informationen außer dem Betrag im Fehlbelegungsbescheid geschwärzt werden können.
Lotto im Internet Lotto Rheinland-Pfalz bietet die Möglichkeit, auch über das Internet Lotto zu spielen. Dabei nimmt man die Hilfe eines privaten Dienstleisters in Anspruch. Dieser wechselte mit Genehmigung des Ministeriums der Finanzen im April 2003 und einige Spieler glaubten nun, dass ihre persönlichen Daten an diesen Dienstleister übermittelt worden waren, so dass sie zukünftig bei diesem ihren Tipp hätten abgeben müssen.
Aus datenschutzrechtlicher Sicht war die Angelegenheit jedoch etwas anders zu beurteilen. Die Spielteilnahme und damit verbunden die Angabe der persönlichen Daten auf der Internetseite von Lotto Rheinland-Pfalz erfolgten freiwillig. Grundlage dieser freiwilligen Angaben waren die Teilnahmebedingungen für das Lotto im Internet, die die Teilnehmer auf der Internetseite aufrufen konnten und durch die Freigabe ihrer Eingaben anerkannten. Aus den Teilnahmebedingungen ergab sich ausdrücklich, welche Funktion der private Dienstleister im Rahmen des Lottospiels übernahm. Auch wurde auf der Internetseite von Lotto Rheinland Pfalz ausdrücklich darauf hingewiesen, dass dieses Geschäft in Zusammenarbeit mit dem Dienstleister erfolgte. Nach jeder Änderung der Geschäftsbedingungen mussten diese erneut vom Kunden akzeptiert werden. Es war daher nicht von einer unzulässigen Datenübermittlung auszugehen. Vielmehr waren die am Spiel beteiligten Stellen durch die Teilnahmebedingungen hinreichend transparent für den Kunden dargestellt, so dass von einer Datenverarbeitung aufgrund einer informierten Einwilligung auszugehen war.
Bei der Prüfung der Eingaben stellte sich jedoch heraus, dass das Internet-Angebot von Lotto Rheinland-Pfalz nicht den Anforderungen des TDDSG entsprach. Es fand sich kein Hinweis auf die Verarbeitung der Nutzerdaten. Auch wurde nicht darüber informiert, dass man mit Verbringung des Lottoscheins in den Warenkorb auf die Seite eines anderen Anbieters vermittelt wird. Lotto Rheinland-Pfalz überarbeitete daraufhin sein Internet-Angebot.
Sparkassen
Adressabgleichungen bei der Sparkasse
Eine Petentin wurde plötzlich von einer Bank, bei der sie ein Konto hatte, unter des Adresse ihres Arbeitskollegen geführt. Die Bank hatte die „Adressänderung" von der Schufa mitgeteilt bekommen.
Die Nachforschungen, an denen auch andere Aufsichtsbehörden beteiligt waren, ergaben Folgendes: Die Petentin unterhielt mit einem Arbeitskollegen ein Sparkonto bei einer Sparkasse. Als sich die Adresse des Arbeitskollegen änderte, wurde dessen neue Adresse der Petentin nicht nur als zweiter Gläubigerin dieses Sparkontos, sondern auch als Inhaberin aller anderen Konten, die diese zum damaligen Zeitpunkt bei der Sparkasse unterhielt, zugeordnet. Hierzu gehörte auch ein Girokonto. Dies hatte wiederum zur Folge, dass die Adressänderung routinemäßig an die Schufa weitergemeldet wurde, die nun ihrerseits die vermeintlich neue Anschrift an die Kreditinstitute weitergab, mit denen die Petentin in Geschäftsbeziehungen stand. Unglücklicherweise kam es ein halbes Jahr später erneut zu einer Panne bei der Sparkasse: Bei einer Adressänderung eines weiteren Kunden wurden die Kontonummern verwechselt, so dass die Petentin wiederum unter einer falschen Adresse geführt wurde. Zudem gab die Sparkasse dieses Mal die vermeintlich neue Adresse an einen Verbundpartner weiter, bei dem die Petentin ebenfalls Kundin war.
Dem Namen der Petentin wurden durch die Sparkasse zweimal falsche Anschriften zugeordnet. Dies stellte einen Eingriff in ihr Persönlichkeitsrecht dar. Die Daten wurden sodann als Folge der unrechtmäßigen Adressänderung an Dritte übermittelt. Dadurch wurde der Grundrechtseingriff intensiviert. Die Daten wurden mittlerweile bei allen Beteiligten berichtigt. Das Vorgehen der Sparkasse war auf Fehler einiger Mitarbeiter zurückzuführen. Diese wurden durch die Sparkasse erneut eindringlich auf den unbedingt erforderlichen sorgfältigen Umgang mit personenbezogenen Daten hingewiesen. Die Sparkasse versicherte, alles zu tun, damit zukünftig solche Fehler vermieden werden können.
Erbeinsetzung durch die Sparkasse
Eine Kreissparkasse hatte einer Petentin Informationen über einen Darlehensvertrag der Sparkasse mit deren verstorbener Schwester mitgeteilt. Die Sparkasse ging davon aus, dass die Petentin Erbin ihrer Schwester war. Zu diesem Zeitpunkt wusste die Petentin jedoch noch nicht, dass der Enkel ihrer Schwester als gesetzlicher Erbe die Erbschaft ausgeschlagen hatte und sie somit als Erbin in Betracht kam. Die Petentin hielt daher das Schreiben der Sparkasse für eine überflüssige Übermittlung personenbezogener Daten ihre Schwester betreffend, da zu diesem Zeitpunkt überhaupt nicht klar gewesen sei, dass sie Erbin werden würde.
Auf datenschutzrechtliche Regelungen können sich jedoch nur lebende natürliche Personen berufen. Da die Schwester der Petentin zurzeit der Datenübermittlung bereits verstorben war, lag in dem Vorgehen der Sparkasse kein datenschutzrechtlich relevanter Sachverhalt.
Schufa-Merkblatt
Eine Petentin legte dem LfD ein Merkblatt der Sparkasse zur Schufa vor mit der Bitte um Überprüfung, ob dies den datenschutzrechtlichen Anforderungen entspreche. Grundsätzlich enthielt das Merkblatt alle notwendigen Informationen zur Schufa, jedoch fehlten Hinweise zum sog. Score-Verfahren. Eine Nachfrage bei der Sparkasse ergab, dass es sich bei dem Merkblatt um ein veraltetes Formular handelte. In den neu aufgelegten Merkblättern waren die geforderten Informationen enthalten. Die Sparkasse sagte zu, alle alten Informationen aus dem Verkehr zu ziehen und zu gewährleisten, dass zukünftig nur noch vollständige Exemplare auf dem neuesten Stand ausgegeben werden.
Schufa-Klausel bei Eröffnung eines Guthabenkontos
Ein Petent wollte bei einer Sparkasse ein Girokonto auf Guthabenbasis eröffnen. Er lehnte es ab, die ihm vorgelegte Schufa-Klausel zu unterzeichnen, also sein Einverständnis zu erteilen, dass die Sparkasse Informationen über die Girokontoeröffnung an die Schufa übermittelt. Er begründete dies damit, dass für die Bank überhaupt kein Kreditrisiko bestehe, da er vertraglich ein reines Guthabenkonto vereinbaren wollte. Die Sparkasse lehnte daraufhin die Kontoeröffnung ab. Auch andere ortsansässige Banken verhielten sich in dieser Weise, so dass sich der Petent schließlich an den LfD wandte. Auf dessen Nachfrage führte die Sparkasse aus, dass bei jeder Art von Girokontoeröffnung das Einverständnis des Kunden dafür eingeholt werde, dass die Kontoverbindungsdaten an die Schufa übermittelt werden.
Ein solches Vorgehen ist datenschutzrechtlich bedenklich: Die Schufa als Schutzgemeinschaft für allgemeine Kreditsicherung dient dazu, Informationen über Kreditabwicklungen zu sammeln und Auskünfte darüber zu geben, um dadurch das Geschäftsrisiko u. a. von Kreditinstituten zu minimieren. Im Fall der Eröffnung eines Guthabenkontos ist ein solches Risiko und damit auch ein berechtigtes Interesse der Kreditinstitute an einer entsprechenden Datenübermittlung nicht zu erkennen. Etwas anderes gilt nur, wenn die Betroffenen in eine solche Übermittlung eingewilligt haben. Die Einwilligung muss jedoch auf freiwilliger Basis erfolgen.
Die Verweigerung der Einwilligung wird aber in der Regel die Versagung eines Girokontos zur Folge haben. Wenn alle Banken in dieser Weise verfahren, wird der Betroffene keine Möglichkeit haben, ein Girokonto zu eröffnen. Ein Girokonto ist aber mittlerweile nahezu unverzichtbar, um am wirtschaftlichen Leben teilnehmen zu können. Es war folglich davon auszugehen, dass die Einwilligungserklärung zur Datenübermittlung an die Schufa bei Eröffnung eines Guthabenkontos nicht als freiwillig im Sinne des Datenschutzrechts einzuordnen ist.
Der LfD bat die Sparkasse, die Verfahrensweise zukünftig datenschutzgerecht zu gestalten. Das Kreditinstitut sagte ein entsprechendes Vorgehen zu.
23. Sonstiges
Datenschutz bei der Beantwortung parlamentarischer Anfragen
Im Rahmen seiner Beratungsaufgabe hatte der LfD gegenüber dem Direktor beim Landtag zu der Frage Stellung zu nehmen, ob der Landtagsverwaltung bei der Veröffentlichung von Antworten der Landesregierung auf parlamentarische Anfragen ein eigenständiges Prüfungsrecht im Hinblick auf deren datenschutzrechtliche Zulässigkeit zusteht.
Im Ergebnis hielt der LfD auf der Grundlage des § 5 Abs. 1 DSO-LT eine eigene Prüfungsbefugnis der Landtagsverwaltung für gegeben.
Gemäß Art. 4 a Abs. 1 LV hat jeder Mensch das Recht, über die Erhebung und Verarbeitung seiner personenbezogenen Daten selbst zu bestimmen. Dieses Recht darf nach Art. 4 a Abs. 2 LV nur durch Gesetz oder aufgrund eines Gesetzes eingeschränkt werden, soweit überwiegende Interessen der Allgemeinheit es erfordern. Das verfassungsrechtliche Gebot des Schutzes der personenbezogenen Daten richtet sich dabei nicht nur an die Exekutive, sondern auch an das Parlament.
Bei der Veröffentlichung von Antworten der Landesregierung auf parlamentarische Anfragen durch die Landtagsverwaltung sind zunächst die den jeweiligen Verfassungsorganen zugewiesenen Aufgaben voneinander abzugrenzen: Nach Art. 89 a Abs. 1 LV obliegt es der Landesregierung, parlamentarische Anfragen zu beantworten. Spiegelbildlich dazu stehen dem einzelnen Abgeordneten bzw. einer Fraktion als Ausfluss des parlamentarischen Kontrollauftrages gegenüber der Landesregierung der verfassungsrechtliche Anspruch auf umfassende und fristgerechte Beantwortung ihrer Anfrage zu. Dieser Anspruch ist mit der Zuleitung der Antwort an den bzw. die Fragesteller erfüllt.
Die Veröffentlichung der parlamentarischen Anfragen und der Antworten der Landesregierung ist in den §§ 92 Abs. 5, 97 Abs. 3 i. V. m. 67 Abs. 1 GOLT geregelt und als eigenständige, nicht zur inhaltlichen Beantwortung der Anfrage akzessorische Aufgabe dem Parlament zugewiesen. Dies folgt aus dem allgemeinen Kontrollauftrag des Landtags, der einerseits durch die innerparlamentarische Unterrichtung sämtlicher Abgeordneter mit der Möglichkeit einer daraus resultierenden parlamentarischen Erörterung (vgl. § 93 Abs. 1 und 2 GOLT), daneben aber auch durch eine außerparlamentarische Veröffentlichung als Landtagsdrucksache und der sich daraus ergebenden allgemeinen Publizitätswirkung wahrgenommen wird.
Im Hinblick auf die Beachtung des in Art. 4 a Abs. 1 LV enthaltenen Grundrechtes auf informationelle Selbstbestimmung bedeutet dies, dass jeder Beteiligte (Landesregierung und Landtag) für den Schutz des informationellen Selbstbestimmungsrechtes in seinem Aufgaben- und Tätigkeitsbereich verantwortlich ist. Demnach haben die Landesregierung den Inhalt der Antwort auf eine parlamentarische Anfrage und der Landtag bzw. die Landtagsverwaltung den Inhalt der Veröffentlichungen auf deren datenschutzrechtliche Zulässigkeit zu überprüfen. Folgerichtig hat die Landesregierung nach Art. 89 a Abs. 3 LV und § 91 Abs. 2 GOLT u. a. das Recht, die Beantwortung von parlamentarischen Anfragen abzulehnen, wenn dem Bekanntwerden des Inhalts schutzwürdige Interessen einzelner entgegenstehen.