Kreditauskünfte an Mitglieder einer Wohnungseigentümergemeinschaft
Ein Bürger beklagte sich bei mir im Berichtsjahr darüber, dass seine bei Creditreform Bremen gespeicherten Daten an zwei Mitglieder einer Wohnungseigentümergemeinschaft übermittelt worden wären, ohne dass es hierfür einen Grund gegeben hätte. Die beiden Empfänger der übermittelten Daten hatten sich unabhängig voneinander mit der Bitte an Creditreform Bremen gewandt, ihnen die für eine Bonitätsüberprüfung benötigten Angaben mitzuteilen. Die Anfrage bei Creditreform Bremen war vor dem Hintergrund erfolgt, dass der sich an mich wendende Petent zuvor zum Verwalter der Wohnungseigentümergesellschaft bestellt worden war und einige Mitglieder dessen Abberufung wegen fehlender wirtschaftlicher Zuverlässigkeit und Seriosität bei der nächsten Mitgliederversammlung erwogen.
Gem. § 29 Abs. 2 Satz 1 Bundesdatenschutzgesetz (BDSG) hätte die Auskunftei in diesem Fall Daten über den Betroffenen nur übermitteln dürfen, wenn der Empfänger der Daten ein berechtigtes Interesse an deren Kenntnis glaubhaft dargelegt hätte und kein Grund zu der Annahme bestehen würde, dass der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Nach der Rechtsprechung des Bundesgerichtshofs kann ein berechtigtes Interesse nur dann und insoweit vorliegen, als die Kenntnis der Daten für die vom Datenempfänger beabsichtigten Ziele und Zwecke erforderlich ist. Bei einer Auskunftsanfrage im Zusammenhang mit der Aufnahme oder Fortführung einer Geschäftsbeziehung besteht ein berechtigtes Interesse an der Datenübermittlung, soweit ein konkretes Risiko für den Empfänger vorliegt, das durch die Informationen der Auskunftei verringert oder beseitigt werden kann.
Eine Geschäftsbeziehung zwischen dem Petenten und den Empfängern der Auskunft bestand in diesem Fall nicht und war auch nicht beabsichtigt. Verträge über die Verwaltung einer Wohnungseigentümergemeinschaft mit den damit verbundenen Risiken werden nicht von den einzelnen Mitgliedern, sondern von der Gemeinschaft selbst geschlossen und auch gekündigt. Die Mitglieder, die die Daten von Creditreform Bremen erhalten hatten, waren überdies für die Gemeinschaft nicht vertretungsberechtigt. Gleichwohl bejahte ich das Vorliegen eines berechtigten Interesses in diesem Fall schließlich, da die Tätigkeit des Verwalters auch unmittelbar Einfluss auf das Wohneigentum des Einzelnen hat. Eine unzuverlässige oder unseriöse Verwaltung des gemeinschaftlichen Eigentums kann den Wert des Einzelwohneigentums erheblich verringern und zu erheblichen Nachteilen für den Betroffenen führen. Die Bestellung des Verwalters einer Wohnungseigentümergemeinschaft ist daher auch für jedes einzelne Mitglied mit erheblichen Risiken behaftet, so dass dennoch ein berechtigtes Interesse an den von meinem Petenten kritisierten Datenübermittlungen festzustellen war.
Unzulässige Datenerhebung durch Creditreform Bremen für die Inkassotätigkeit Creditreform Bremen hat im Berichtsjahr einen Bürger angeschrieben mit der Bitte, dem Unternehmen im Rahmen seiner Inkassotätigkeit die Verzugsadresse eines früheren Mieters mitzuteilen. Die genannte Person war dem Bürger, der sich an mich wandte, vollkommen unbekannt. Er war auch nicht früherer Vermieter des Betroffenen. Einziger Verbindungspunkt zwischen den beiden war, dass die Person, nach der gefragt wurde, vor ihrem Umzug zwar in derselben Straße, allerdings in einem ganz anderen Haus gewohnt hatte. Das Schreiben von Creditreform Bremen enthielt neben der Bitte um Mitteilung der Verzugsanschrift auch eine ausführliche Aufstellung der gegenüber dem Betroffenen geltend gemachten finanziellen Forderungen mit dem Namen des betreffenden Gläubigers.
Die Übersendung des Anschreibens an den Bürger mit den darin enthaltenen Informationen stellt eine gravierende Verletzung der Bestimmungen des Bundesdatenschutzgesetzes (BDSG) dar. Im Rahmen seiner Inkassotätigkeit darf Creditreform Bremen personenbezogene Daten über einen Betroffenen u. a. unter Beachtung von § 28 Abs. 1 BDSG erheben. Im Hinblick auf die Feststellung einer Verzugsanschrift erfolgt daher i. d. R. zunächst eine Anfrage bei der Einwohnermeldebehörde.
Hat sich der Betroffene korrekt um- oder abgemeldet, so darf die Meldebehörde dem Unternehmen nach § 32 Meldegesetz die benötigte Anschrift mitteilen. Die Übermittlung von Angaben zu der Forderung an die Meldebehörde ist allerdings auch im Hinblick auf die Auskunft nicht erforderlich. Dass die Übersendung einer Forderungsaufstellung mit sehr sensiblen, personenbezogenen Daten des Betroffenen an einen Dritten wie im vorliegenden Fall unzulässig ist, muss darüber hinaus den für das Unternehmen tätigen Mitarbeitern stets bewusst sein und bei der Inkassotätigkeit auch beachtet werden.
Creditreform Bremen räumte den Verstoß gegen die Bestimmungen des BDSG ein und sicherte zu, dass sich ein solcher Fall nicht wiederholen werde.
Gleichwohl verhängte ich wegen des festgestellten eklatanten Verstoßes, der nach § 43 Abs. 2 Nr. 1 BDSG eine Ordnungswidrigkeit darstellt, noch ein Bußgeld in angemessener Höhe, das von dem Unternehmen umgehend bezahlt wurde.
Bestellung von externen Datenschutzbeauftragten für Berufsgeheimnisträger
In meiner Beratungs- und Prüfpraxis wurde in letzter Zeit häufig die Frage an mich herangetragen, ob und unter welchen Voraussetzungen Berufsgeheimnisträger (z. B. Rechtsanwälte, Steuerberater, Apotheker oder Ärzte mit entsprechend großen Büros oder Praxen) externe betriebliche Datenschutzbeauftragte bestellen dürfen. Nach dem Bundesdatenschutzgesetz (BDSG) ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn mindestens fünf Mitarbeiter mit der automatisierten Verarbeitung, Nutzung oder Erhebung personenbezogener Daten beschäftigt sind. Oftmals ist es insbesondere für kleinere bis mittlere Kanzleien oder Praxen
wegen der fehlenden fachlichen Eignung der eigenen Mitarbeiter nicht ausreichend oder nicht praktikabel, diese zum betrieblichen Datenschutzbeauftragten zu bestellen.
Fraglich ist allerdings, ob mit der Bestellung eines externen betrieblichen Datenschutzbeauftragten eine unbefugte Offenbarung von Berufgeheimnissen verbunden sein kann und damit eine Strafbarkeit nach § 203 Abs. 1 Nr. 1 Strafgesetzbuch begründet wird. Um den anfragenden Stellen eine rechtsverbindliche Antwort geben zu können, habe ich die Generalstaatsanwältin um ihre rechtliche Einschätzung gebeten. Diese teilte mir mit, dass einem externen betrieblichen Datenschutzbeauftragten eines Berufsgeheimnisträgers ohne Verstoß gegen § 203 Abs. 1 Nr. 1 die vom Bundesdatenschutzgesetz erfassten personenbezogenen Daten offenbart werden dürften, weil sie ihm gegenüber keine Geheimnisse darstellen würden. Allerdings lässt sich aus der Antwort der Generalstaatsanwältin keine eindeutige Schlussfolgerung herleiten, da sie weiter ausführt, dass alle Informationen über den Gegenstand des anwaltlichen Mandats für die Aufgabenerfüllung keine Bedeutung hätten und daher Geheimnisse seien, die einem Externen nicht zugänglich gemacht werden dürften. In der Praxis wird man eine Kenntnisnahme dieser Informationen nicht ausschließen können.
Daneben wurde die Problematik im Düsseldorfer Kreis (Datenschutzgremium der Obersten Aufsichtsbehörden) erörtert. Es wurde einstimmig die Auffassung vertreten, dass die Bestellung eines externen Datenschutzbeauftragten bei Berufsgeheimnisträgern zulässig sei. Unterschiedliche Auffassungen bestanden jedoch hinsichtlich der Frage, ob sich die Kontrollkompetenz eines externen Datenschutzbeauftragten auch auf die dem Berufsgeheimnis unterliegenden Daten bezieht.
Darüber hinaus hat sich auch der Bundesbeauftragte für den Datenschutz an das Bundesministerium der Justiz gewandt. Dieses soll die Auffassung vertreten haben, dass ein Arzt sich durch die Bestellung eines externen betrieblichen Datenschutzbeauftragten auch dann nicht strafbar macht, wenn dieser im Rahmen seiner Tätigkeit Kenntnis von Daten erlange, die durch § 203 Abs. 1 Nr. 1 geschützt seien. Die Bestellung eines externen betrieblichen Datenschutzbeauftragten sei in § 4 f Abs. 2 Satz 2 BDSG ausdrücklich vorgesehen. Insoweit bestehe eine Befugnis zur Offenbarung der durch § 203 Abs. 1 Nr. 1 geschützten Privatgeheimnisse in dem zur Aufgabenerfüllung durch den Datenschutzbeauftragten erforderlichen Ausmaß. Dies folge aus dem Grundsatz der Einheit der Rechtsordnung.
Zur abschließenden Klärung der Frage und Rechtssicherheit für die Betroffenen wäre eine gesetzgeberische Klarstellung wünschenswert. Diesbezüglich könnte ein Gesetzesvorschlag der Länder Niedersachsen und Hessen, die Bestellung von Datenschutzbeauftragten betreffend, Klarheit schaffen (Bundesrat Drs. 599/05). Darin wird folgende Regelung vorgeschlagen: Ein nach § 4 f Abs. 2 Satz 2 BDSG bestellter Beauftragter für den Datenschutz hat dieselben Aufgaben, Rechte und Pflichten wie ein Beauftragter für den Datenschutz innerhalb der verantwortlichen Stelle. Die verantwortliche Stelle und die bei ihr tätigen Personen können sich gegenüber dem Beauftragten für den Datenschutz, soweit er seine Aufgaben wahrnimmt, nicht auf die in § 1 Abs. 3 Satz 2 BDSG genannten Geheimhaltungspflichten berufen.
Veröffentlichung von personenbezogenen Daten im Internet
Auf der Homepage eines Vereins wurden Namen und Anschrift von Mitgliedern veröffentlicht, die ihren Mitgliedsbeitrag nicht gezahlt hatten. Ich habe die Verantwortlichen darauf hingewiesen, dass die Veröffentlichung von personenbezogenen Daten der genannten Personen unzulässig ist. Die Prangerwirkung der namentlichen Nennung lässt die schutzwürdigen Interessen der Betroffenen eindeutig gegenüber den Interessen des Vereins überwiegen. Ich habe den Verein aufgefordert, die personenbezogenen Daten unverzüglich zu löschen. Dieser Aufforderung wurde nachgekommen.
Das war nicht der einzige Fall. In der letzten Zeit erhielt ich mehrere Eingaben, welche die Veröffentlichung von personenbezogenen Daten im Internet zum Inhalt hatten. Es wurde z. B. beanstandet, dass sensible Informationen (Gesundheitsdaten), die ein Mitglied nur innerhalb einer geschlossenen Nutzergruppe offenbart hatte, durch einen Mitnutzer der Allgemeinheit zugänglich gemacht wurde. In der Veröffentlichung von personenbezogenen Daten kann ein erheblicher Eingriff in das Recht auf informationelle Selbstbestimmung des Betroffenen liegen, da das Internet ein sehr einfach recherchierbares, weltweit verfügbares Medium ist.
Die Problematik von Internetveröffentlichungen habe ich auch auf dem Workshop der Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich angesprochen. Es bestand die einhellige Auffassung, dass eine Veröffentlichung von personenbezogenen Daten grundsätzlich nur mit Einwilligung der Betroffenen zulässig ist. Auch im Rahmen einer Interessenabwägung sind die schutzwürdigen Belange der Betroffenen an dem Ausschluss der Nutzung ihrer Daten regelmäßig höher zu bewerten als das Interesse der verantwortlichen Personen an der Veröffentlichung.
Weiterhin ist mir aufgefallen, dass viele Internetangebote kein oder nur ein unvollständiges Impressum haben. Die Impressumspflicht ergibt sich aus § 6 Teledienstegesetz bzw. § 10 Mediendienstestaatsvertrag. Hiernach ist der Betreiber der Homepage verpflichtet, die in diesen Vorschriften genannten Informationen (wie z. B. seinen Namen und Anschrift, die E-Mail-Adresse) leicht erkennbar zu veröffentlichen. Diese Angaben sollen ermöglichen, schnell mit dem Diensteanbieter Kontakt aufzunehmen und unmittelbar und effizient, etwa wegen eines Datenschutzanliegens, mit ihm zu kommunizieren. Die Möglichkeit der Kontaktaufnahme wird beispielsweise dann relevant, wenn sich Betroffene durch Angaben auf der Homepage des Verantwortlichen in ihren Rechten verletzt fühlen und ihn darauf hinweisen möchten. Darüber hinaus stellt ein fehlendes Impressum eine Ordnungswidrigkeit dar.
Einführung eines Kundenbindungssystems bei zwei Zeitungsverlagen
Ein in Bremen und ein in Bremerhaven ansässiger Zeitungsverlag haben ein neues, in der Ausgestaltung annähernd gleiches Kundenbindungssystem eingeführt. Beide Unternehmen haben mich um eine datenschutzrechtliche Beratung gebeten; ihrer Bitte bin ich gern nachgekommen.
Den Abonnenten der Verlage wird die Ausstellung einer Kundenkarte angeboten.
Wollen sie an dem neuen System teilnehmen, müssen sie ein unterschriebenes Antragsformular an den Verlag senden. Unter Vorlage der Kundenkarte bekommen die Abonnenten dann beim Kauf von Ware oder Dienstleistungen bei einem der beteiligten Partnerfirmen einen Bonus, d. h. eine Gutschrift auf einem vom Verlag geführten Konto. Die Boni werden ab einer bestimmten Höhe oder spätestens am Ende eines Kalenderjahres ausgezahlt. Dabei werden die Umsätze bei den Partnerfirmen und die daraus resultierenden Boni von einem externen Dienstleister erfasst.
Außerdem erhalten Karteninhaber Vergünstigungen für Angebote und Leistungen des Verlages.