Leasing

Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats

Datenschutzprobleme einer Auskunftei

Bei der Überprüfung einer Auskunftei wurden verschiedene Datenschutzverstöße festgestellt.

Wenn die Auskunftei nicht in der Lage ist, alle für die Bonität eines Unternehmens relevanten Daten zu erheben, also insbesondere dann, wenn die Betroffenen nicht zu einer Selbstauskunft bereit sind, verwendet die Auskunftei so genannte Schätzdaten, die sich nach dem Branchendurchschnitt richten. Die Schätzdaten sind nicht als solche erkennbar.

Die Verwendung von nicht gekennzeichneten Schätzdaten ist rechtswidrig, denn letztendlich ist der Branchendurchschnitt bei jedem Unternehmen falsch, das nicht (genau) dem Durchschnitt entspricht. Da Schätzdaten insbesondere bei Betroffenen verwendet werden, die nicht bereit sind, mit der Auskunftei zusammenzuarbeiten und ihr eine Eigenauskunft zu geben, fühlen sich viele Unternehmer durch die Schätzdatenangabe genötigt. Um keine nichtgekennzeichneten (und für sie nicht als solche erkennbaren) statistischen Daten in ihrem Datensatz zu haben, fühlen sie sich gezwungen, zur Substanziierung der Unrichtigkeit der Daten die richtigen Daten zu nennen. Die Einlassung der Auskunftei, der geübte Leser sei in der Lage, Schätzdaten zu erkennen, da Schätzdaten aufgerundet seien, ist schon deshalb nicht zutreffend, da die Betroffenen selbst bei Auskünften oftmals gerundete Zahlen angeben.

Kunden von Auskunfteien, die über eine bestimmte Person Informationen erhalten möchten, müssen ein berechtigtes Interesse an der Kenntnis dieser Daten haben (§ 29 Abs. 2 Nr. 1 a BDSG). Ein berechtigtes Interesse liegt in der Regel dann vor, wenn man einem anderen gegenüber vertraglich in Vorleistung treten will (Darlehen, Leasing etc.) und sich vor dem Abschluss des Vertrages über die Bonität des Kunden informieren möchte.

In einem Fall hatte ein Kunde der Auskunftei eine Auskunft über einen potentiellen Vertragspartner eingeholt, obwohl dieser über den Vertragsabschluss erst nach einem 14-tägigen Urlaub entscheiden wollte.

Hier liegt offensichtlich das berechtigte Interesse noch nicht vor.

Eine Bank wollte einen Makler dafür gewinnen, ihm Kunden mit Kreditbedarf zuzuführen.

Ob hier überhaupt ein berechtigtes Interesse zu einer Bonitätsüberprüfung vorliegt, erscheint schon mangels eines Vorleistungsverhältnisses zweifelhaft. Die Bank jedenfalls hat die Auskunft eingeholt, bevor überhaupt erste Gespräche mit dem Makler geführt wurden (der im Übrigen zu keinem Zeitpunkt Interesse an einer Zusammenarbeit mit der Bank hatte). Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats

Auch hier war die Datenabfrage der Auskunfteikunden rechtswidrig.

Die in dem Jahresbericht 1999 geschilderten rechtswidrigen Nachbarschaftsbefragungen wurden von der Auskunftei bisher nicht abgestellt. Insbesondere ist bedauerlich, dass es jedem einzelnen Rechercheur freigestellt ist, auf eine datenschutzrechtlich wünschenswerte Selbstbefragung zu verzichten und stattdessen eine Nachbarschaftsbefragung durchzuführen.

Kriterien, in welchen Fällen auf eine Selbstbefragung verzichtet werden kann, existieren in der Auskunftei nicht.

Marketing Data Warehouse und Data Mining

Im Zeitalter der Informationstechnologie eröffnen sich für Unternehmen Möglichkeiten, Technologien einzusetzen, die Datenbestände eines Unternehmens in einer Weise für das Unternehmen nutzbar machen, die es vorher nicht gegeben hat. Es ist möglich geworden, alle Unternehmensdaten zu einem großen Datenpool zusammenzuführen, der mit Hilfe verschiedenster Auswertungssysteme ausgewertet werden kann, um die Daten für das Unternehmen in vollkommen neuen Zusammenhängen zu nutzen. Data Warehouse und Data Mining sind die Stichwörter, die inzwischen die Debatten um den Einsatz von Informationstechnik beherrschen. Data Warehouse bedeutet „Daten-Lagerhaus". Es werden alle in einem Unternehmen anfallenden Informationsstränge (so genannte operative Datenbanken, wie Vertriebsdaten, Buchhaltungsdaten, Personaldaten, Marktforschungsdaten) mit dem Ziel zusammengeführt, eine zielgerichtete Verfügbarkeit, Abrufbarkeit und Aufbereitung der Daten des gesamten Unternehmens zu ermöglichen. Die Zusammenführung der Datenbanken setzt voraus, dass die Speicherung nach einheitlichen Kriterien erfolgt, um eine umfassende Analyse des Datenbestandes durchführen zu können.

Bei Data Mining („Datenbergbau") werden die Daten des Data Warehouse in neue Zusammenhänge gestellt.

Mit Hilfe einer automatisierten Auswertung können Vorhersagen getroffen werden über Trends, Verhaltensmuster - es können unbekannte Strukturen und Zusammenhänge aufgedeckt werden.

Ausgewertet werden kann insbesondere das Kundenverhalten, aber auch Personaldaten könnten für eine Datenauswertung von Interesse sein. Beispiele:

JB 1999, 4.6.2

JB 1998, 2.1

Bericht des Beauftragten für Datenschutz und Akteneinsicht Stellungnahme des Senats

- Erfassung von Konsumverhalten der Kunden zu Werbezwecken,

- Auswertung der Daten auf Kundenpräferenzen, Zahlungswahrscheinlichkeit, Kundenprofitabilität,

- Erstellung von Prognosen für Abwerbung von Mitarbeitern des eigenen Unternehmens.

Data Warehouse und Data Mining werden in der Regel für eigene Geschäftszwecke betrieben. Als Rechtsgrundlage kommt somit § 28 Bundesdatenschutzgesetz (BDSG) in Betracht. Nach § 28 Abs. 1 Nr. 1 BDSG ist die Datenverarbeitung oder -nutzung als Mittel für die Erfüllung eigener Geschäftszwecke im Rahmen eines Vertragsverhältnisses mit dem Betroffenen zulässig. Da sich das Data Warehouse in der Regel außerhalb des operativen Geschäfts bewegt, dürfte es in der Regel nicht unter § 28 Abs. 1 Nr. 1 BDSG zu subsumieren sein. Ein Kunde schließt etwa einen Vertrag über einen bestimmten Kaufgegenstand ab, die Analyse seines Kaufverhaltens mit dem Ziel, ihn möglichst optimal zu bewerben, fällt nicht mehr unter den Vertragszweck. Bei einem Arbeitsvertrag (Dauerschuldverhältnis) fallen alle Daten unter § 28 Abs. 1 Nr. 1 BDSG, die der Arbeitgeber benötigt, um seinen daraus resultierenden Pflichten zu entsprechen.

Die Erstellung von Prognosen für die Abwerbung von Mitarbeitern z. B. geht aber über das Erfordernis der Fürsorgepflicht hinaus und fällt nicht mehr unter § 28 Abs. 1 Nr. 1 BDSG. Datenverarbeitung und -nutzung für eigene Zwecke ist auch zulässig, soweit es zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Sowohl Marketinginteressen als auch etwa das Interesse, dass qualifizierte Mitarbeiter nicht abgeworben werden, sind berechtigte Interessen i.S.d. § 28 Abs. 1 Nr. 2 BDSG. Man wird allerdings in der Regel davon ausgehen müssen, dass hier die schutzwürdigen Belange der Betroffenen überwiegen, da diese ein schutzwürdiges Interesse dahingehend haben, dass keine personenbezogenen Profile erstellt werden, mit deren Hilfe ihr Verhalten analysiert werden kann. Ein zusätzliches rechtliches Hindernis für Data Warehouse/Data Mining ist, dass nach § 35 Abs. 2 Nr. 3 BDSG personenbezogene Daten zu löschen sind, wenn sie für eigene Zwecke verarbeitet werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist. Außerhalb von Dauerschuldverhältnissen sind demnach in der Regel die personenbezogenen Daten von Betroffenen zu löschen bzw. zu sperren. Nur ein begrenzter Datensatz wird für Werbezwecke in eine Werbedatei eingebracht werden können.