Kreditinstitut
Zugang zum IT-Netz der Gemeindeverwaltung über Wählleitungsverbindungen
Für einen Teil der Gemeinderatsmitglieder sollte die Möglichkeit geschaffen werden, sich über das Telefonnetz der Deutschen Telekom in den Server der Gemeindeverwaltung einzuwählen. Die Einrichtung von Wählleitungsverbindungen und die Nutzung öffentlicher Übertragungswege sind aus datenschutzrechtlicher Sicht mit Risiken verbunden. Sie sollte daher nur bei Berücksichtigung der vom LfD ausgesprochenen Empfehlungen für die Einrichtung von Wählleitungsanschlüssen (17. Tb., Tz. 21.3.3) realisiert werden.
Da seitens des Gemeinderats vorrangig die Möglichkeit angestrebt wurde, Sitzungsunterlagen in elektronischer Form zu erhalten, hat der LfD gebeten, vor der Einrichtung von Wählleitungsverbindungen zu prüfen, inwieweit dem Anliegen anstelle eines Direktzugriffs durch den Versand per E-Mail entsprochen werden kann. Die notwendige Absicherung wäre in diesem Fall mit geringerem technischen und kostenmäßigen Aufwand möglich und die mit der Einrichtung eines Wählanschlusses verbundenen Risiken würden vermieden.
Zugangsmöglichkeit zum IT-Netz der Gemeindeverwaltung via Internet
Der Betrieb eines separaten Internet-Servers und einer eigenen Firewall durch die Gemeindeverwaltung war aus Kosten- und Kapazitätsgründen nicht vorgesehen. Vor diesem Hintergrund hat der LfD empfohlen, angesichts der bestehenden Risiken von einer direkten Internet-Anbindung für den Zugriff auf die o. g. Verfahren abzusehen. Keine Bedenken bestanden gegen eine Lösung, bei der ausgewählte Daten auf einem vom DIZ betriebenen Internet-Server vorgehalten werden und der Zugriff an verlässliche Verfahren zur Identifikation und Authentifizierung (z. B. Benutzerkennung/Passwort) gebunden wird.
21.3.11 Preisgabe von Passworten bei Abwesenheit der zuständigen Mitarbeiter
Bei der Verwaltung einer Verbandsgemeinde war der Leiter der Finanzabteilung längerfristig abwesend, seine Vertreterin erkrankt.
Während ihrer Erkrankung wurde sie mit dem Hinweis, dass „etwas kontrolliert werden solle", vom Leiter der Zentralabteilung telefonisch angewiesen, ihr Benutzerpasswort für das IT-System der Verbandsgemeinde preiszugeben. Nähere Angaben zur Art der Daten, auf die zugegriffen werden solle, und den Gründen wurden nicht gemacht. Die Bedienstete weigerte sich daraufhin, ihr Passwort zu nennen und hat sich mit der Frage, ob das Ansinnen des Verwaltungsleiters gerechtfertigt sei, an den LfD gewandt.
Der LfD hat darauf hingewiesen, dass ein Zugriff auf benötigte Daten dann zulässig sei, wenn er sachlich erforderlich, d. h. durch dienstliche Belange gerechtfertigt, und zeitlich erforderlich, d. h. dringend ist. Eine solche Notwendigkeit kann sich ergeben, wenn der Zugang aus dienstlichen Gründen benötigt wird, aber z. B. auch, wenn Anhaltspunkte für eine missbräuchliche Nutzung vorliegen und dem nachgegangen werden soll.
Die Preisgabe des Passwortes durch die Bediensteten kann in diesen Fällen nicht verweigert werden. Zumeist ist sie jedoch nicht erforderlich, da die benötigten Daten häufig unter Mithilfe der Systemverwaltung bereitgestellt werden können. Einer entsprechenden Anweisung muss die Systembetreuung, ggf. unter Prüfung der Remonstration nach § 66 LBG, Folge leisten. Der Zugriff ist mit Zeitpunkt, Art und Inhalt nachvollziehbar zu dokumentieren.
Häufig besteht die Möglichkeit, das Passwort eines Benutzers neu zu vergeben und unter Verwendung des neuen Passworts zuzugreifen. Die Passwortänderung bzw. die Tatsache des Zugriffs während ihrer Abwesenheit ist für die Mitarbeiter somit erkennbar.
Dies gilt insbesondere im Hinblick auf für private Zwecke gespeicherte Daten, soweit dies zugelassen ist (vgl. 17. Tb., Tz. 5.10). 21.3.12 Speicherung von Personal- und Gesundheitsdaten auf zentralen Servern
Mehrfach wurde der LfD um Stellungnahme zur Frage der Speicherung von Daten, die einer besonderen Vertraulichkeit unterliegen, auf zentralen Servern im Netzwerk einer Verwaltung gebeten. Zumeist betraf dies Daten der in die Kreisverwaltungen eingegliederten Gesundheitsämter oder Daten aus der Beihilfebearbeitung.
Der im Blick auf § 9 Abs. 2 Nr. 3 LDSG (Speicherkontrolle) notwendigen Abschottung wird bei der Speicherung personenbezogener Daten auf zentralen Servern in der Regel ausreichend Rechnung getragen, wenn sich die Datei- und Verzeichnisstruktur an der Organisation der Dienststelle orientiert und Zugriffsrechte nur entsprechend der dienstlichen Zuständigkeit vergeben werden.
Im Rahmen der Benutzerverwaltung sollten daher abteilungs- bzw. sachgebietsbezogene Benutzergruppen eingerichtet und die Zugriffsbefugnisse an diese gebunden werden. Die konkreten Zugriffsrechte ergeben sich danach aus der Zuordnung der einzelnen Benutzer zur jeweiligen Benutzergruppe. Die gängigen Betriebssysteme stellen hierfür geeignete Funktionen zur Verfügung.
Diese Mechanismen stoßen jedoch an Grenzen, wenn auf der Grundlage erweiterter Berechtigungen Zugriffe außerhalb der eigentlichen Bearbeitung möglich oder erforderlich sind (z. B. System- und Netzwerkadministration, Wartung). In seinem 17. Tb., Tz. 21.2.12, hat der LfD darauf hingewiesen, dass bei der Speicherung von Gesundheitsdaten auf einem zentralen Server durch kryptografische Maßnahmen sichergestellt werden muss, dass auf die Daten im Klartext ausschließlich von den hierzu befugten Beschäftigten des Gesundheitsamtes zugegriffen werden kann. Für dem Arztgeheimnis unterliegende Daten muss eine Kenntnisnahme durch Personen außerhalb des ärztlichen Bereichs wirksam ausgeschlossen werden. Gleiches gilt für Bereiche, in denen vergleichbar sensible Daten im lokalen Netz gespeichert werden, z. B. im Rahmen der Beihilfebearbeitung.
Im Blick auf Vertretungsregelungen und einen ggf. erforderlichen Zugriff durch mehrere Personen bestehen keine Bedenken, dabei einen so genannten Gruppenschlüssel zu verwenden, soweit dessen vertrauliche Behandlung sichergestellt ist. 22. Datenverarbeitung bei Sparkassen
Änderung der Meldepflicht für öffentlich-rechtliche Kreditinstitute
Mit dem am 23. Mai 2001 in Kraft getretenen Gesetz zur Änderung des BDSG und anderer Gesetze (vgl. hierzu Tz. 2.1) haben sich die Voraussetzungen für die Meldepflichten öffentlich-rechtlicher Kreditinstitute geändert. Die Meldepflicht für Verfahren automatisierter Verarbeitungen sind nunmehr in § 4 d BDSG geregelt. Der Inhalt der Meldepflicht ergibt sich aus § 4 e BDSG. Die Meldepflicht entfällt gem. § 4 d Abs. 2 und 3 BDSG unter bestimmten Voraussetzungen. Eine Meldung ist danach insbesondere dann nicht erforderlich, wenn die verantwortliche Stelle einen Beauftragten für den Datenschutz bestellt hat. Da dies bei den meisten öffentlich-rechtlichen Kreditinstituten der Fall sein wird, sind diese zukünftig von der Meldepflicht befreit. Das beim LfD geführte Register wird sich dementsprechend reduzieren.
Datenweitergabe durch Sparkassen
Ein Petent warf seiner kontoführenden Sparkasse vor, sie habe seiner mit ihm in Scheidung lebenden Frau eine Liste mit allen seinen Konten ausgehändigt. Dies sei geschehen, obwohl das Kreditinstitut wusste, dass die Scheidung kurz bevorstand und der Petent alle Verfügungsberechtigungen zugunsten seiner Frau widerrufen und ausdrücklich einer Datenweitergabe widersprochen hatte. Dadurch seien ihm erhebliche Nachteile im Scheidungsverfahren entstanden.
Es stellte sich heraus, dass die damalige Ehefrau des Petenten einen Computerausdruck der unter ihrem Namen laufenden Konten erhalten hatte, der eigentlich nur bankintern genutzt wurde. Auf diesem Ausdruck waren einige Konten des Petenten verzeichnet mit dem Zusatz, dass die Verfügungsberechtigung der Ehefrau erloschen war. Der Ehefrau des Petenten wurden durch den Computerausdruck folglich nur Kontonummern der vom Petenten geführten Konten mitgeteilt, die ihr ohnehin aufgrund einer früheren Verfügungsberechtigung bekannt waren. Dies konnte nicht als datenschutzrechtlicher Verstoß gewertet werden. Daran änderte auch nichts, dass der Petent später der Datenweitergabe widersprochen hatte. Zu dem Zeitpunkt, zu dem er die Verfügungsberechtigung erteilt hatte, konnte er nicht mehr wirksam über die fraglichen Informationen disponieren. Da die Information, über welches der Konten die Ehefrau einmal verfügungsberechtigt war und wann diese Berechtigung erloschen ist, ein Datum mit Bezug auf die Ehefrau war, durfte sie als Betroffene über diese Daten verfügen.
Kontodaten des Überweisenden auf dem Kontoauszug des Empfängers
Aufgrund einer Anfrage hatte sich der LfD mit der Frage zu beschäftigen, ob das Erscheinen der Kontonummer und der Bankleitzahl auf dem Kontoauszug des Empfängers einer Geldüberweisung datenschutzrechtlich zu beanstanden war. Die Angaben über die Bankverbindung sind personenbezogene Daten. Das Erscheinen auf dem Kontoauszug des Empfängers stieß jedoch auf keine datenschutzrechtlichen Bedenken. Es war erforderlich, dass der Empfänger weiß, von wem die Zahlung stammt. Zu den erforderlichen Absenderangaben beim bargeldlosen Zahlungsverkehr gehören auch die Kontoinformationen des Überweisenden. Dadurch ist es möglich, eventuelle Fehler aufzuklären. Wenn man seine Kontoverbindung nicht preisgeben will, müsste man auf das bargeldlose Zahlungsverfahren verzichten.
Zustellung von Rechnungen
Ein Kunde der Stadtwerke einer rheinland-pfälzischen Stadt beschwerte sich darüber, dass ihm seine Wasser- und Abwasserrechnung ohne Kuvert durch einen Boten in der Regel den Ableser selbst in seinen Außenbriefkasten geworfen wurde. Dabei war die Abrechnung so gefaltet, dass es dritten Personen möglich gewesen wäre, die komplette Bankverbindung zu lesen.
Bei dieser Zustellungsart bestand die Gefahr, dass sich Unbefugte ohne weiteres Einblick in den Inhalt der Rechnungen mit personenbezogenen Daten verschafften, ohne Spuren zu hinterlassen. Nicht nur der Bote erhielt diese einfache Möglichkeit der Kenntnisnahme, sondern auch Hausangehörige, die nicht Rechnungsempfänger waren, und auch weitere Personen, die Zugang zum Briefkasten hatten. Zwar kannten die Boten, wenn sie den Zählerstand abgelesen hatten, die Verbrauchsdaten des Betroffenen, jedoch enthielt die Rechnung auch andere Angaben (z. B. die Kontonummer des Empfängers), die ihnen sonst nicht zugänglich waren.
Unter diesen Gesichtspunkten hielt der LfD das Zustellungsverfahren nicht für datenschutzgerecht. Gegen eine Zustellung durch Boten war nichts einzuwenden, wenn die Abrechnungen in einem verschlossenen Umschlag eingeworfen wurden. Dies verhinderte zwar nicht die Kenntnisnahme durch Unbefugte, erhöhte jedoch die Hemmschwelle, Einsicht in die Rechnungen zu nehmen.
Die Stadtwerke sagten daraufhin zu, Rechnungen künftig nur im verschlossenen Umschlag zuzustellen.
Datenübermittlung zur Kundenpflege
Ein rheinland-pfälzisches Versorgungsunternehmen übermittelte Kundendaten an einen Stromkonzern, der an dem Versorgungsunternehmen beteiligt war. Dabei handelte es sich um Kunden, die ihren Versorgungsvertrag gekündigt hatten. Diese Kundendaten sollten beim Stromkonzern ausgewertet werden, um Maßnahmen ergreifen zu können, die Betroffenen als Kunden zurückzugewinnen.
Da der Stromkonzern am Versorgungsunternehmen beteiligt war, bestanden zwischen beiden Unternehmen Geschäftsbeziehungen. Beiden war das Interesse zu unterstellen, die Kunden als solche halten zu wollen. Die fragliche Datenübermittlung war daher gem. § 28 Abs. 1 Nr. 2 BDSG zulässig. Danach ist das Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.
Die berechtigten Interessen des Versorgungsunternehmens (nur dieses unterstand der datenschutzrechtlichen Kontrolle des LfD) zur Verfolgung eigener Geschäftszwecke bestanden im Hinblick auf individuelle Werbung, um Kunden besser auf die eigene Leistung aufmerksam zu machen und zugleich neue Abnehmer zu gewinnen oder ehemalige Kunden zeitnah zurückzugewinnen. Intensivere Beziehungen zu den jeweiligen Kunden zählen ebenso wie verstärkte Bemühungen, den Kundenkreis auszuweiten bzw. zu erhalten, zweifellos zu den legitimen geschäftspolitischen Zielen. Hierfür ist in der Regel eine gewisse Anzahl von personenbeziehbaren Daten erforderlich. Anhand des Jahresverbrauchs ließ sich z. B. entscheiden, ob der Betroffene aufgrund eines höheren Verbrauchs als Kunde eher zurückgewonnen werden sollte als ein Kunde mit niedrigerem Verbrauch. Der LfD betrachtete daher die vorliegende Datennutzung und -übermittlung als Mittel zur Wahrung berechtigter Interessen und zur Erfüllung eigener Geschäftszwecke des Versorgungsunternehmens.
Das Interesse der Betroffenen am Ausschluss der Verarbeitung überwog hier nicht. Diese Interessen bestanden beim Wechsel des Stromlieferanten in der Regel darin, den preiswertesten Anbieter zu wählen. Daher war auch ein Interesse daran zu unterstellen, sich vom ehemaligen Lieferanten evtl. ein günstigeres Angebot machen zu lassen. Unter Umständen konnte der Wechsel sogar Mittel sein, den alten Anbieter zu einem besseren Angebot zu bewegen. Daher hatte auch der ehemalige Kunde in der Regel ein Interesse daran, über Angebote des alten Stromlieferanten informiert zu werden.
Insgesamt war daher das Vorgehen des Versorgungsunternehmens nicht als datenschutzrechtlich unzulässig anzusehen, wenn mit Hilfe des Stromkonzerns als am Unternehmen Beteiligter versucht wurde, ehemalige Kunden zurückzugewinnen. Diese Beurteilung galt erst recht vor dem Hintergrund, dass zukünftig Daten ohne Name und Anschrift der Betroffenen übermittelt werden sollten und damit in erster Linie eine Einschätzung des Marktes ermöglicht werden sollte, die die Individualinteressen der ehemaligen Kunden zunächst nicht berührte.
Data Warehouse bei Sparkassen
Bei der Nutzung von Data Warehouses werden alle in einem Unternehmen bekannten Daten automatisiert gesammelt und evtl. durch externe Daten ergänzt. Dieser Datenbestand kann dann nach beliebigen thematischen oder statistischen Gesichtspunkten ausgewertet werden. Das hat zur Folge, dass Daten evtl. nicht mehr ihrem ursprünglichen Erhebungs- und Speicherungszweck dienen, da sie jetzt mit anderen Daten in Kombination andere Nutzungsmöglichkeiten eröffnen. Daran knüpft sich dann auch die Frage, ob die ursprünglich erteilte Einwilligung der Betroffenen zur Datenverarbeitung noch diese Datennutzung einschließt. Die rheinland-pfälzischen Sparkassen sind derzeit im Begriff, ein solches Data Warehouse aufzubauen.
Als Rechtsgrundlage für die Einrichtung und Nutzung eines Data Warehouses kommt § 28 Abs. 1 Nr. 1 BDSG in Betracht. Danach ist die Nutzung personenbezogener Daten als Mittel für die Erfüllung eigener Geschäftszwecke im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit dem Betroffenen zulässig. Es kommt daher darauf an, wie der Vertrag zwischen Sparkasse und Kunde ausgestaltet ist. Ist er auf eine Einzelleistung beschränkt (z. B. Führen eines Girokontos), legitimiert dies keine umfassende Beratung des Kunden, sondern lediglich eine Nutzung der bekannten Daten im Rahmen der Abwicklung des Einzelvertrages (im Beispiel also des Girovertrages). Eine darüber hinausgehende Nutzung im Sinne eines Data Warehouses ist hier nicht von § 28 Abs. 1 Nr. 1 BDSG gedeckt. Etwas anderes kann gelten, wenn mit dem Kunden ein umfassender Beratungsvertrag über alle Bankfragen abgeschlossen wurde. Fraglich ist allerdings, ob ein solcher Vertrag wirksam ist, da er womöglich nicht transparent genug für den Kunden die Datenverarbeitungsvorgänge erläutert.
Zurzeit befindet sich das Data Warehouse bei den rheinland-pfälzischen Sparkassen noch im Aufbau. Es werden nur Teilelemente eingesetzt und dies nur bei wenigen Sparkassen. Eine Auswertung erfolgt derzeit regelmäßig nicht in kundenbezogener Form. Derzeit liegt der Schwerpunkt auf der Auswertung der Umsatzzahlen einzelner Mitarbeiter. Dabei sind Kundendaten nicht personenbezogen vorhanden. Diese Art der Auswertung ist in einer speziellen Dienstvereinbarung geregelt, so dass hiergegen keine datenschutzrechtlichen Bedenken bestehen. Informationen über den Kunden selbst sind nicht viel anders als im herkömmlichen Kundeninformationssystem (KIS) gespeichert. Die Beratung bzw. das Ansprechen der Kunden erfolgt nach Aussage der Sparkassen auch nur im bisher üblichen Rahmen.
Der LfD hat daher zurzeit keine datenschutzrechtlichen Bedenken erhoben. Er wird das Projekt jedoch weiterhin begleiten. Die Sparkassen haben auch eine entsprechende Zusammenarbeit zugesagt.