Kreditinstitut
Gruppenversicherungsverträge
Einige deutsche Versicherungen versuchen, Kunden durch Gruppenversicherungsverträge zu akquirieren. Gruppenversicherungsverträge enthalten gegenüber Einzelverträgen in der Regel Vergünstigungen (z.B. geringere Prämie, keine Gesundheitsüberprüfung). Als Versicherungsnehmer von Gruppenversicherungsverträgen kommen insbesondere Mitglieder von Verbänden und Vereinen (z.B. Seniorenvereine) in Betracht. Die Versicherungen wenden sich deshalb an diese Einrichtungen und bitten sie um die Herausgabe ihrer Mitgliedslisten. Wenn die Vereine und Verbände ihnen die personenbezogenen Daten ihrer Mitglieder (Name, Anschrift, Geburtsjahr) übermitteln, schreiben die Versicherungen die Mitglieder an und bieten ihnen den Abschluß eines Gruppenversicherungsvertrages (in der Regel mit einem Hausbesuch verbunden) an. An dem Abschluß von Gruppenversicherungsverträgen haben in der Regel auch die Verbände und Vereine ein Interesse, da diese nunmehr an ihre Mitglieder herantreten und sie bitten, die durch den Gruppenversicherungsvertrag eingetretenen Vergünstigungen (Differenz zwischen dem höheren Beitrag eines Einzelvertrages und dem Beitrag des Gruppenversicherungsvertrages) an sie abzutreten.
Bereits im Jahr 1990 wurde zwischen den Aufsichtsbehörden für den Datenschutz und der Versicherungswirtschaft eine Absprache über Gruppenversicherungsverträge getroffen. Danach legen Vereine, die ihren Mitgliedern die Teilnahme an Gruppenversicherungsverträgen ermöglichen wollen, diesen mit der Beitrittserklärung zugleich eine Einwilligungserklärung zur Datenübermittlung vor, deren Unterzeichnung freiwillig ist. Die Vereinbarung betraf nur Neumitglieder.
Bei einer Überprüfung in einem Einzelfall stellten wir fest, daß die Versicherung die Vereinbarung seit 7 Jahren nicht eingehalten hatte. Die Mehrzahl der Vereine hätte sich geweigert, ihren neuen Mitgliedern neben der Beitrittserklärung eine zweite Unterschrift für die datenschutzrechtliche Einwilligungserklärung abzuverlangen. Deshalb sei das vereinbarte Verfahren nie praktiziert worden. Statt dessen wurden die Neumitglieder über die geplante Datenübermittlung an die Versicherung lediglich informiert mit dem Hinweis, daß dasjenige Mitglied, das diese nicht wünscht, Widerspruch einlegen muß. Der vorliegende Fall wirft die Frage auf, welchen Sinn mehrjährige Verhandlungen mit der Versicherungswirtschaft haben, wenn diese getroffene Vereinbarungen anschließend nicht einhält.
Die „unfehlbare" Bankautomation
Bereits im September 1995 berichtete uns ein Kunde der Berliner Sparkasse, er habe versehentlich seine EurochequeKarte eines schleswig-holsteinischen Kreditinstituts in einen Geldausgabeautomaten der Berliner Sparkasse gesteckt, aber die persönliche Identifikationsnummer (PIN) seiner Eurocheque-Karte für die Berliner Sparkasse benutzt. Er habe dennoch anstandslos den gewünschten Betrag erhalten. Ihn erregte jedoch besonders, dass seine sofortige Mitteilung an Mitarbeiter der Sparkassenfiliale, zu der der Automat gehörte, sowie ein Telefax an die Sparkassenzentrale nicht ernst genommen worden waren. Er habe sich Zeugen gesucht und den Vorgang zu einem anderen Zeitpunkt wiederholt. Er habe ferner die Redaktion eines Wirtschafts-Fernsehmagazins über den Vorfall informiert, das sich sehr interessiert gezeigt habe.
Erst nachdem wir nach dem Anruf des Sparkassenkunden die behördliche Datenschutzbeauftragte der Berliner Sparkasse Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats baten, sich mit den Angaben des Kunden zu befassen, prüfte die Sparkasse den Vorfall und fand die Angaben des Kunden bestätigt. Es war aber zu spät, um die Veröffentlichung im Fernsehmagazin zu verhindern. Zu den Ursachen des Vorfalls konnte die Sparkasse nur die Vermutung äußern, dass der Fehler im Zusammenhang mit der kurz zuvor erfolgten Einführung des Nationalen Online-Verbundes stand, der es ermöglicht, daß jede Abfrage des Verfügungsrahmens und der PIN bei einer Geldautomatenabhebung in Deutschland direkt am Konto durchgeführt wird, so dass die Betragsgrenzen für solche Abhebungen wesentlich erhöht werden konnten. Eine nähere Untersuchung war der Sparkasse nicht möglich, weil der Kunde nicht bereit war, die Eurocheque-Karte zur Prüfung herauszugeben.
Nachdem die erste Sendung kein wesentliches Echo gefunden hatte, sorgte der Fall im November 1996 für dicke Schlagzeilen in der Boulevardpresse und für eine weitere Fernsehsendung. In der Zwischenzeit hatten namhafte Fachleute anhand der Untersuchung der Eurocheque-Karte festgestellt, dass ein Softwarefehler die Ursache für den Vorfall sein mußte.
In einer erneuten Stellungnahme versicherte die Sparkasse, daß es sich um einen Sonderfall gehandelt habe. Die Karte des Kunden von der schleswig-holsteinischen Bank habe einen Fehler gehabt, der zwar normalerweise zur Rückweisung der Karte geführt hätte, in diesem Falle aber nicht, weil der benutzte Geldautomat älteren Typs wegen eines Fehlers die PIN-Prüfung durch das Rechenzentrum der schleswig-holsteinischen Bank nicht veranlaßt hatte, somit die PIN-Prüfung auch nicht erfolgte.
Die Berliner Sparkasse betonte, dass die Fehlfunktion nur beim gleichzeitigen Auftreten des Karten- und des Geldautomatenfehlers erfolgen konnte. Dies hätte zwar noch in anderen Fällen passieren können, jedoch seien keine weiteren einschlägigen Reklamationen bekanntgeworden. Der Softwarefehler der Geldautomaten war im Oktober 1995 behoben worden.
Der Fall bestätigt die informatische Binsenweisheit, dass es keine fehlerlosen Systeme gibt. Insofern könnte man zur Tagesordnung übergehen. Allerdings ist die Sparkasse wie andere Kreditinstitute davon ausgegangen, dass die Geldautomatensysteme so sicher sind, dass es dem Kunden überlassen bleiben kann, das Gegenteil zu beweisen, wenn er unberechtigte Abhebungen an seinem Konto reklamieren will. Kann er dies nicht, kann seine Reklamation als Betrugsversuch angesehen und entsprechend angezeigt werden. Eine solche Umkehrung der Beweislast, die sich auf die Annahme stützt, die Banksysteme seien sicher, erscheint nicht mehr vertretbar.
Die Selbstbedienungssysteme der Kreditinstitute weisen auch andere technisch-organisatorische Schwachstellen auf, die dem Stand der Technik nicht entsprechen:
Wird eine Karte nach Ablauf ihrer Geltungsdauer durch eine neue ersetzt, bleibt die gleiche vierstellige numerische PIN gültig. Wenn man sich also nicht außer der Reihe eine neue Karte geben läßt, z. B. im Falle eines Verlustes, also keine Änderung der Kartenfolgenummer die Änderung der PIN bewirkt, kann es sein, dass man die gleiche PIN über viele Jahre behält. Das Phänomen der Paßwortalterung, wonach sich mit zunehmender Geltungsdauer eines Paßwortes die Wahrscheinlichkeit erhöht, dass es Unbefugten zur Kenntnis gelangt ist, wird dabei ignoriert. Dabei gibt es viele Gelegenheiten, die PIN Dritten unbeabsichtigt zu offenbaren, denn viele Geschäfte, in denen Diskretionszonen an den Kassen nicht üblich sind, verwenden bargeldlose Zahlungsverfahren unter Verwendung von Scheck- oder Bankkarten in Verbindung mit der PIN. Bericht des Berliner Datenschutzbeauftragten Stellungnahme des Senats
Für die Nutzung von Kontoauszugsdruckern benötigt man überhaupt keine PIN. Wenn man seine Karte verliert, muss man damit rechnen, dass sich Unbefugte über die letzten Umsätze, den Kontostand und eingeräumten Dispositionskredit informieren. Dies bedeutet zwar nicht, dass man ärmer wird, aber dass die Daten, die immerhin dem Bankgeheimnis unterliegen und deren Offenbarung schutzbedürftige Interessen der Betroffenen möglicherweise nicht nur abstrakt beeinträchtigt, Unbefugten bekannt werden. Empfehlungen, die zu Änderungen dieses Zustandes führen würden, also z. B. die Eingabe der PIN auch bei Kontoauszugsdruckern, wurden vom Zentralen Kreditausschuß mit dem Hinweis abgewiesen, dies sei nicht kundenfreundlich.
Auskunfteien Überprüfung
Wir führten eine Überprüfung bei einer der großen deutschen Auskunfteien durch. Dabei stellten wir zahlreiche Verstöße gegen das Bundesdatenschutzgesetz fest.
Eine Auskunftei darf nur dann personenbezogene Daten an einen Kunden übermitteln, wenn dieser ein berechtigtes Interesse an den gewünschten Daten darlegt (§ 29 Abs. 2 BDSG). Ein berechtigtes Interesse eines Kunden liegt z. B. vor, wenn dieser dem betroffenen Bürger einen Kredit einräumen will oder prüfen möchte, ob es sich lohnt, eine bestehende Forderung bei ihm zu vollstrecken. Bei der Glaubhaftmachung des berechtigten Interesses begnügte sich die Auskunftei damit, daß der Kunde in einem Formular wenig aussagekräftige Anfragegründe, wie etwa „Geschäftsanbahnung" oder „Bonitätsprüfung" ankreuzte. Durch dieses Verfahren erfüllt die Auskunftei nicht die gesetzliche Verpflichtung, sich das berechtigte Interesse des Kunden an der gewünschten Datenübermittlung darstellen zu lassen. Hierfür reichen die gewählten Schlagworte nicht aus. Eine Geschäftsanbahnung ist etwa dann kein Grund für eine Beauskunftung, wenn das Geschäft sofort abgewickelt wird und der Kunde nicht in Vorleistung treten muß. Das Schlagwort „Bonitätsprüfung" erläutert nur den Wunsch des Kunden, stellt aber keine Darlegung des berechtigten Interesses dar.
Wenn die Auskunftei von einem Kunden um Auskunft zu einer bestimmten Person gebeten wurde, wurden häufig außerdem auch Daten über den Ehegatten des Betreffenden mitgeteilt. So wird etwa die Auskunft erteilt, dass der Betroffene zwar über eine gute Bonität verfüge, sein Ehegatte aber eine eidesstattliche Versicherung abgegeben habe. Eine derartige Mitübermittlung von Ehegattendaten ist aber nur in ganz engen Grenzen möglich, nämlich dann, wenn die negativen Kreditmerkmale eines Ehegatten sich bei dem anderen auswirken, etwa wenn der eine Ehegatte dem anderen die Verwaltung seines Vermögens überlassen hat oder er für das zur Diskussion stehende Geschäft in Form eines Strohmanns vorgeschoben wurde.
Der Betroffene ist von den Auskunfteien über die erstmalige Übermittlung und die Art der übermittelten Daten zu benachrichtigen (§ 33 Abs. 1 Satz 2 BDSG). In den Fällen, in denen (rechtmäßig oder rechtswidrig) Daten über einen Ehegatten übermittelt wurden, verzichtete die Auskunftei auf eine Benachrichtigung des betroffenen Ehegatten. Die Nichtbeachtung der Benachrichtungspflicht stellt eine Ordnungswidrigkeit dar (§ 44 Abs. 1 Nr. 3 BDSG).
Wenn der Kunde einer Auskunftei sein berechtigtes Interesse darlegt, offenbart er zwangsläufig Daten über seinen Schuldner.
Dadurch erfährt die Auskunftei z.B., dass gegen den Schuldner zwei und mehr „Inkassofälle" anhängig sind.