Nächtliche Ausweiskontrollen
Der für die Mitarbeiter erstellte KBP-Leitfaden enthält den Hinweis, dass alle Personen, die zum Kundenhaushalt gehören, in einen Familienverbund aufzunehmen sind. Alle Kinder von Kunden werden generell als Interessenten angelegt. Sofern Ehepartner nach gesetzlichen Vorgaben (wie z. B. bei der Zinsabschlagsteuer) gemeinsam zu werten sind, bestehen gegen die Speicherung von Verbünden keine Bedenken, diese müssen sich allerdings im Rahmen der Zweckbestimmung der gesetzlichen Vorgabe bewegen. Soweit Volljährige ansonsten in ein „Datenverband" aufgenommen werden, kann diese Verknüpfung nur mit Einwilligung aller Verbundteilnehmer erfolgen. Bei Jugendlichen ist die Einwilligung der Erziehungsberechtigten einzuholen. Wir haben beide Banken darauf hingewiesen, dass etwa eine Ehefrau nicht ohne ihr Einverständnis im Datenverbund ihres Mannes geführt werden darf; auch sollten Eltern die Einwilligung dazu geben, dass ihr Kind, welches möglicherweise gar kein Konto besitzt, im Datenverbund ihrer Bank geführt wird.
Wir haben beide Banken aufgefordert, ihr Kundenbetreuungssystem noch einmal zu überprüfen. Sichergestellt werden sollte dabei auch, dass ein Löschungskonzept vorhanden ist, das gewährleistet, dass Daten gelöscht werden, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist (§ 35 Abs. 2 Satz 2 Nr. 3 BDSG).
Verkehrsunternehmen - Nächtliche Ausweiskontrollen:
Die Hilfsorganisation Pro Asyl e. V. bat zu prüfen, ob es zulässig ist, dass die Zugbegleiter in den Nachtzügen der DB AutoZug GmbH auf Verbindungen, bei denen Kontrollen durch die Grenzbehörden zu erwarten sind, die Pässe und Ausweisdokumente der Reisenden entgegennehmen und zur späteren Vorlage an den Bundesgrenzschutz in den Dienstabteilen verwahren.
Der Bundesgrenzschutz (BGS) führt im Rahmen des Schengener Durchführungsübereinkommens bei innereuropäischen Grenzübertritten „lageabhängige Kontrollen" durch. Nach § 23 Abs. 1 Nr. 2 BGSG ist er berechtigt, personenbezogene Daten zur Identitätsfeststellung der Betroffenen zu erheben.
Dabei handelt es sich um eine hoheitliche Maßnahme des BGS. Eine Beleihung der DB AG zur Vornahme dieser hoheitlichen Maßnahme ist nicht gegeben. Die Erhebung der personenbezogenen Ausweisdaten durch die DB AG kann somit nicht auf die Bestimmungen des BGSG gestützt werden.
Die Ausweise werden nach Angaben der DB AG eingesammelt und dem BGS zur Kontrolle übergeben, um den Fahrgästen eine ungestörte Nachtruhe zu ermöglichen. Auch wenn unterstellt werden kann, dass diese Serviceleistung im weitesten Sinne den Geschäftsinteressen und zwecken der DB AG dient, ist dies für die damit verbundene Datenerhebung von Ausweisdaten der Fahrgäste selbst nicht der Fall. Damit scheidet § 28 BDSG als Rechtsgrundlage für die Datenverarbeitung
Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats aus.
Eine (eventuell durch Herausgabe der Pässe konkludente) Einwilligung der Betroffenen in die Datenerhebung liegt ebenfalls nicht vor. Eine Einwilligung muss auf einer freien Entscheidung des Betroffenen beruhen. Das setzt voraus, dass der Betroffene ausreichende Kenntnis über Art, Zweck und Umfang des Umgangs mit seinen Daten hat. Ihm muss bewusst sein, dass er sich anders entscheiden kann.
Pro Asyl e. V. erklärte dazu, dass das Auftreten und Verhalten der uniformierten Zugbegleiter beim Einsammeln der Dokumente für die Reisenden eine Pflicht zur Vorlage der Papiere implizieren würde. Insbesondere für nicht deutsch sprechende Reisende sei wenn die Dokumente zusammen mit den Fahrkarten herausverlangt würden nicht zu erkennen, dass es sich um einen freiwilligen „Service" der DB AG handeln würde.
Wir haben empfohlen, die Betroffenen über ihre Rechte und Pflichten und über den Umstand aufzuklären, dass es sich bei dem Verfahren lediglich um eine Servicedienstleistung der DB AG handelt. Die Aufklärung kann z. B. durch Hinweisblätter vorgenommen werden.
Die DB AG hat erklärt, dass unsere Empfehlungen zukünftig berücksichtigt werden.
Bonitätsprüfung bei der Mitnahme von Fahrrädern:
Ein Bürger wollte über die Fahrrad-Hotline der DB AG eine telefonische Reservierung von Platzkarten zur Mitnahme von Fahrrädern vornehmen. Obwohl es sich um einen kostenlosen Service der DB AG handelt, habe die Mitarbeiterin der Hotline darauf bestanden, dass er seine Bankverbindung mitteilt. Zur Begründung sei darauf verwiesen worden, dass das verwendete Computersystem zur Vergabe einer Auftragsnummer zwingend die Eingabe der Kontonummer verlange.
Nachdem die Abholung der Platzkarten am Automaten
trotz Eingabe der Auftragsnummer gescheitert sei, sei ihm von der DB AG mitgeteilt worden, dass eine Reservierung nicht möglich sei, da der DB AG ein so genannter „Negativbrief" seines Kreditinstitutes vorliege.
Die DB AG hat dazu erklärt, dass den Kunden mit dem neuen Vertriebssystem die Möglichkeit gegeben werde, die von ihnen telefonisch gebuchten Leistungen auch am Ticket-Automaten abzuholen. Voraussetzung für eine Abholung der Fahrscheinunterlagen am Automaten sei die Zahlung der bestellten Leistungen. Diese könne per Kreditkarte oder per Lastschrift erfolgen.
Voraussetzung einer Zahlung sei jedoch eine erfolgreiche Prüfung der Angaben des Kunden. Zu diesem Zweck werde eine „Bonitätsprüfung" bei der Firma InFoScore Consumer Data GmbH durchgeführt. In keinem Fall erhalte die DB AG im Rahmen der Bonitätsprüfung „Negativbriefe" der Kreditinstitute. Es liege lediglich die Information vor, dass die Bonitätsprüfung durch die Firma InFoScore Consumer Data GmbH negativ verlaufen sei. Die Gründe für die Ab99
Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats lehnung seien nur der Firma InFoScore Consumer Data GmbH bekannt und könnten dort nur durch den Kunden selbst erfragt werden. Die Bediensteten seien angewiesen worden, vor der Durchführung der Bonitätsprüfung den Kunden auf diese Umstände hinzuweisen.
Des Weiteren teilte die DB AG dazu mit, dass derartige Bonitätsprüfungen in der Vergangenheit bei der Erbringung aller Leistungen vorgenommen worden seien. Seit Anfang September 2003 könnten die Zahlungen bei kostenlosen Leistungen für die Buchungen im Computersystem simuliert werden. In diesen Fällen werde seitdem auf eine Bonitätsprüfung und die Erfassung von Zahlungsdaten verzichtet.
Detekteien und Auskunfteien Organisationsmangel in einer Detektei:
Eine Bürgerin machte gegenüber ihrer Reiserücktrittsversicherung geltend, dass der Versicherungsfall eingetreten sei, da sie aufgrund gesundheitlicher Probleme die geplante Reise (Wert: 20.000) nicht antreten konnte. Anstatt den geforderten Geldbetrag zu begleichen, beauftragte die Versicherung eine Detektei, die Umstände der Reise sowie das wirtschaftliche Umfeld der Betroffenen zu überprüfen. Die Ermittlungen der Auskunftei ergaben, dass sich die Versicherungsnehmerin eine derartig teure Reise nicht leisten konnte. Auch die Umstände der Reise, etwa dass sie mit dem ihr kaum bekannten Inhaber des Reisebüros verreisen wollte, deuteten darauf hin, dass die Versicherungsnehmerin beim Abschluss der Reiserücktrittsversicherung einen Betrug begehen wollte. Nach Erhalt des Ermittlungsergebnisses durch die Detektei hat die Versicherung die Auszahlung der Versicherungssumme verweigert und eine Strafanzeige erstattet.
Gegen die Beauftragung einer Detektei beim Verdacht des Versicherungsbetrugs bestehen keine datenschutzrechtlichen Bedenken. Allerdings enthält der Ermittlungsbericht der Detektei Informationen, bei denen man davon ausgehen muss, dass diese nicht auf rechtmäßige Weise erhoben wurden. So war der Detektei bekannt, dass die Versicherungsnehmerin in ihrer Zeit als Arbeitslose Probleme mit dem Arbeitsamt gehabt hatte, sie verfügte über Informationen, die offenbar aus dem Datenbestand der BfA stammen; sogar die besonderen Umstände ihres Arztbesuches, der schließlich zu der Erstellung des ärztlichen Attests führte, wurden durch die Detektei ermittelt. In einem Parallelfall, in dem ein Versicherter den Diebstahl eines Schmuckstücks bei einer Reise geltend machte, verfügte die Detektei sogar über genaue Kontodaten des Betroffenen. Der Datenbestand der Detektei enthält keine Informationen darüber, wie die personenbezogenen Daten erhoben wurden.
§ 34 Abs. 1 Nr. 1 BDSG gibt dem Betroffenen zwar einen Anspruch auf Auskunft über die Herkunft der Daten, dieser Anspruch besteht aber nur, wenn die verantwortliche Stelle die Herkunft der Daten gespeichert hat.