Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats

Die größten Mängel wurden bei den Immobilienmietverträgen festgestellt. Hier hatte die Landesbank Berlin überhaupt keine Schwärzungen durchgeführt.

Die Dokumente enthielten somit den Vor- und Nachnamen der Mieterinnen und Mieter, die Anschrift, teils zusätzlich die Privatanschrift, die Miethöhe und sogar das Geburtsdatum.

Demgegenüber waren die Kreditakten meist sorgfältig anonymisiert, aber auch hier gab es Ausnahmen. In einer Risikokreditakte waren auf einem Fax der Name und die Faxnummer des Kreditnehmers sichtbar. Auf dem Fax legte der Kreditnehmer seine Solvenz anhand von kopierten Kontoauszügen dar. Teils wurde versäumt, die Unterschrift des Kreditnehmers zu schwärzen. Die Kreditakte enthielt viele Einzelheiten über verschiedene Mitglieder des Familienbetriebes.

Eine Ermittlung dieser Personen wäre ohne Schwärzung unproblematisch möglich gewesen. Ein Dokument enthielt die Auflage des Erblassers, dass die Erben die Grabstätten einer namentlich benannten Familie für einen bestimmten Zeitraum pflegen müssen. Eine Ermittlung der Erben (und Kreditnehmer) erscheint möglich.

Auch die Namen der Beschäftigten der Landesbank Berlin waren in vielen Fällen nicht ausreichend anonymisiert. Nicht geschwärzt waren auch Namen von Notaren und Steuerberatern, Insolvenzverwaltern, Urkundsbeamten, Dienstkräften des Finanzamtes, Reno-Gehilfen etc. Der Bank wurde aufgegeben, vor Beginn des Bieterverfahrens die Mängel zu beseitigen.

Dies wurde von uns in einer Stichprobe überprüft.

Beim Verkauf landeseigener Unternehmen (z. B. Dies führt dazu, dass die hierbei erhobenen

§§ 61, 62 VVG Bericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats

Daten bei komplizierten und teuren Versicherungen umfangreich und detailliert sein können. Für die Versicherer stellen diese Daten einen großen Wert dar, da sie z. B. ihre Werbemaßnahmen gezielt an die persönlichen Verhältnisse der Versicherten anpassen können. Eine Versicherung forderte von seinen Versicherungsvermittlern die Zusendung der Protokolle.

Gewerbsmäßige Versicherungsvermittler können sowohl Versicherungsvertreter sein, die auf Versichererseite tätig sind, als auch Versicherungsmakler, die nicht von einem Versicherer beauftragt sind.

Dem Versicherungsmakler dienen die Beratungsprotokolle als Hilfsmittel zur Erfüllung seiner gesetzlichen Beratungspflicht und zusätzlich zum Zwecke der Verteidigung gegen Schadensersatzansprüche des Versicherungsnehmers aus § 63 VVG. Für das Versicherungsverhältnis zwischen Versicherer und Versicherungsnehmer sind die Beratungsprotokolle ohne Bedeutung, eine nach § 4 Abs. 1 Bundesdatenschutzgesetz (BDSG) erforderliche Rechtsvorschrift für die Übermittlung des Beratungsprotokolls an die Versicherung ist nicht ersichtlich. So haftet die Versicherung nach § 6 Abs. 6 VVG auch nicht für Beratungsfehler des Versicherungsmaklers. Demgegenüber erfüllt der Versicherungsvertreter mit seiner Beratung und Dokumentation zusätzlich auch die neu eingeführte Beratungspflicht des Versicherers aus § 6 VVG.

Eine Übermittlung des Beratungsprotokolls bei Versicherungsvertretern ist danach nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG rechtmäßig.

Falls das Beratungsprotokoll sensitive Daten im Sinne von § 3 Abs. 9 BDSG enthält (z. B. Gesundheitsdaten), darf das Beratungsprotokoll insoweit nicht übermittelt werden. Sensitive Daten sind entweder zu schwärzen oder der Versicherungsvertreter muss sich vor der Übermittlung sensitiver Daten eine Einwilligung nach §§ 4, 4 a Abs. 1 und 3 BDSG geben lassen.

Versicherungsmakler dürfen ohne Einwilligungserklärung des Betroffenen das Beratungsprotokoll nicht an die Versicherung übermitteln, wohl aber ­ in bestimmten Grenzen ­ die Versicherungsvertreter.

Vorsicht bei Hilfsangeboten

Es kommt in letzter Zeit häufiger vor, dass Bürgerinnen und Bürger ein überraschendes Hilfsangebot erhalten. So wird Schuldnerinnen oder Schuldnern, die in das Schuldnerverzeichnis eingetragen wurden, eine Schuldnerberatung oder Schuldenregulierung angeboten. Fondsbesitzer, deren Fonds in den Konkurs zu drohen gehen, erhalten Hilfsangebote von angeblichen Selbsthilfeorganisationen oder „Verbraucherschützern". Ziel des Hilfsangebotes ist es in der Regel, für Anwaltskanzleien Mandate zu akquiBericht des Beauftragten für Datenschutz und Informationsfreiheit Stellungnahme des Senats

rieren und Vermittlungsgebühren zu erhalten.

Die angeblichen Helfer handeln auch datenschutzrechtlich unzulässig. Schuldnerverzeichnisdaten dürfen nur zu den in § 915 Abs. 3 Zivilprozessordnung (ZPO) genannten Zwecken verwendet werden, insbesondere um wirtschaftliche Nachteile abzuwenden, die daraus entstehen können, dass Schuldnerinnen und Schuldner ihren Zahlungsverpflichtungen nicht nachkommen. Die Verwendung von Schuldnerverzeichnisdaten für Werbezwecke ist demgegenüber in § 915 Abs. 3 ZPO nicht vorgesehen und damit rechtswidrig.

Die personenbezogenen Daten von Fondszeichnern beschaffen sich die Vereine häufig aus dem Handelsregister. Zur Durchführung der Mailingaktion werden die Handelsregisterdaten mit Adressdaten aus öffentlich-zugänglichen Quellen ergänzt. Nach § 9 Abs. 1 Handelsgesetzbuch (HGB) ist die Einsicht des Handelsregisters jedem zu Informationszwecken gestattet. Nach § 9 Abs. 2 Satz 1 HGB kann von den Eintragungen eine Abschrift gefordert werden. Die im HGB erwähnten Informationszwecke beziehen sich insbesondere auf die Publizität des Handelsregisters. Von der Intention des § 9 HGB ist jedenfalls nicht jede Datenabfrage, insbesondere nicht die zur Kundenakquise, erfasst.

Auch wenn die Einsicht des Handelsregisters jedem zu Informationszwecken gestattet ist, bedeutet dies nicht, dass die Speicherung, Veränderung, Übermittlung und Nutzung dieser personenbezogenen Daten unbegrenzt möglich sind. Dies ergibt sich aus § 28 Abs. 1 Satz 1 Nr. 3 BDSG. Danach ist das Erheben, Speichern, Verändern oder Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, wenn die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen dürfte, es sei denn, dass das schutzwürdige Interesse der Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung gegenüber dem berechtigten Interesse der verantwortlichen Stelle offensichtlich überwiegt.

Selbst wenn § 9 Abs. 1 HGB die Datenerhebung der Handelsregisterdaten gestatten würde, würde dies nicht bedeuten, dass auch die Speicherung der personenbezogenen Daten in der verantwortlichen Stelle, die Anreicherung dieser Daten durch die Adressdaten und die Nutzung dieser Daten für die Mailingaktion durch § 9 Abs. 1 HGB abgedeckt sind.

Bei der nach § 28 Abs. 1 Satz 1 Nr. 3 BDSG vorzunehmenden Abwägung ist gerade auch zu berücksichtigen, dass das Handelsgesetzbuch bewusst darauf verzichtet hat, die genaue Adresse als einzutragendes Datum in das Handelsregister aufzunehmen.