§§ 28 ff. Bundesdatenschutzgesetz

Inhaltsverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Vorgehensweise

2 Geschichte des Datenschutzes in der Bundesrepublik Deutschland

3 Der Umgang mit personenbezogenen Daten im nicht-öffentlichen Bereich
3.1 Geschützte Datenarten
3.2 Grundrecht auf informationelle Selbstbestimmung
3.3 Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke
3.3.1 Interessenabwägung
3.3.2 Datenerhebung
3.3.3 Beispiel: Firmentelefonbücher
3.3.4 Zulässigkeitsvoraussetzungen
3.3.4.1 Vertragsverhältnis oder vertragsähnliches Vertrauensverhältnis
3.3.4.2 Beispiel: Autokauf
3.3.4.3 Wahrung berechtigter Interessen
3.3.4.4 Beispiel: Werbung durch Apotheke
3.3.4.5 Allgemein zugängliche Quellen
3.3.4.6 Beispiel: Schuldnerverzeichnis
3.3.4.7 Wissenschaftliche Forschung
3.3.5 Übermittlung und Nutzung im Drittinteresse
3.3.6 Beispiel: Wirtschaftsauskunftei
3.3.7 Widerspruchsrecht
3.3.8 Beispiel: Ungewollte Werbung
3.3.9 Zweckbindung
3.3.10 Beispiel: Wirtschaftsauskunftei / Personalentscheidung
3.4 Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung

4 § 28 BDSG am Beispiel der SCHUFA
4.1 Die SCHUFA Organisation
4.1.1 Arbeitsweise der SCHUFA
4.1.2 Leistungsangebot der SCHUFA
4.1.3 Datenspeicherung bei der SCHUFA
4.1.3.1 Von der SCHUFA erfasste Daten
4.1.3.2 Von der SCHUFA nicht erfasste Daten
4.1.4 Fristen der Datenspeicherung
4.2 Das SCHUFA-Verfahren unter der Betrachtung des BDSG
4.2.1 Aufnahme der persönlichen Daten
4.2.2 Aufklärung über die SCHUFA-Klausel
4.2.3 Übermitteln der Daten an die SCHUFA
4.2.4 Datenspeicherung bei der SCHUFA
4.2.5 Datenübermittlung durch die SCHUFA
4.3 Betroffenenrechte
4.3.1 Selbstauskunftsanspruch aus § 34 BDSG
4.3.2 Löschungsanspruch aus § 35 Abs. 2 BDSG
4.4 Das Scoring Verfahren
4.5 Kritik am ASS-Scoring Verfahren

5 Literaturverzeichnis

Abkürzungsverzeichnis:

Abbildung in dieser Leseprobe nicht enthalten

Tabellenverzeichnis:

Tabelle 1: Interessenabwägung

1 Einleitung

1.1 Problemstellung

In den Achtziger Jahren schwappte eine Welle der Empörung über die alte Bundesrepublik, weil der Staat 33 Fragen an seine Bürger hatte. Viele Bürger fürchteten die totale staatliche Überwachung, wie es schon George Orwell in seinem vor 51 Jahren veröffentlichten Roman „1984“ prophezeite.¹

Die ursprünglich für 1983 vorgesehene Volkszählung wurde durch Urteil des Bundesverfas- sungsgerichtes vom 15.12.1983 ausgesetzt², und es wurde auf Grundlage eines neuen Volkszählungsgesetzes vom 8.11.1985 die Volkszählung am 25.5.1987 durchgeführt. Da- mals räumte das Bundesverfassungsgesetz dem Individuum ein Recht auf informationelle Selbstbestimmung ein.

Es ging vor allem darum, den Staat nicht allwissend werden zu lassen und zu verhindern, dass er alle möglichen Informationen über jeden Bürger hätte sammeln und verarbeiten können. Es galt, den gläsernen Bürger unmöglich zu machen.

Heute kann jedoch nicht mehr nur der Staat oder eine große Firma die leistungsfähige Technik bezahlen, sondern mittlerweile fast jedermann.

In erster Linie geht es um Datensammlungen privater Unternehmen, also den nichtöffentlichen Bereich.

Nicht mehr das Beschützen des Einzelnen vor einem einzigen „Großen Bruder“ steht im Mittelpunkt des Datenschutzes, sondern der Schutz vor einer Vielzahl von kleinen Brüdern.

Die damalige Empörung, die im Rahmen der Volkszählung aufkam, scheint heute jedoch weitgehend vergessen. Alles was die Volkszähler damals wissen wollten, gibt heute fast jeder Bundesbürger täglich und wie selbstverständlich der Privatwirtschaft preis. Er nennt seinen Namen und beichtet, was er tut, denkt und kauft - weil zum Beispiel im Internet ein kleiner Preis eines Gewinnspieles lockt.

Persönliche Daten sind Zahlungsmittel geworden. Nie war es einfacher sie zu erheben, sie zu speichern und sie weltweit zu vernetzen.

Experten schätzen, dass jeder erwachsene Deutsche durchschnittlich in etwa fünfzig Datenbanken der Privatwirtschaft gespeichert ist.³ Eine ganze Industrie lebt davon, Daten der Bürgerinnen und Bürger zu erheben, zu durchforsten und aufzubereiten.

Der Gedanke des Datenschutzes ist sehr alt. Schon Hippokrates gelobte, er werde Geheim-nisse, die ihm anvertraut werden, auch über den Tod des Patienten bewahren. Neu ist lediglich der Begriff sowie die zum Zwecke der Datenverarbeitung bemühte Technik. Heute existieren mehrere Gesetze die den Datenschutz als Gegenstand haben, von denen das bedeutungsvollste das Bundesdatenschutzgesetz darstellt.

Im Bundesdatenschutzgesetz (BDSG) nimmt der Bereich der Datenverarbeitung nichtöffentlicher Stellen und öffentlich-rechtlicher Wettbewerbsunternehmen eine zunehmend wichtigere Stellung ein und ist im dritten Abschnitt des BDSG geregelt.

1.2 Vorgehensweise

Nach einem kurzen geschichtlichen Hintergrund des Datenschutzes in Deutschland, wird nachfolgend die aktuelle Situation im Umgang mit personenbezogenen Daten im nichtöffentlichen Bereich in der Bundesrepublik vorgestellt.

Hierzu gehen die Verfasser zuerst auf die vom Bundesdatenschutzgesetz geschützten Da- tenarten ein und beschreiben im nächsten Schritt das allgemeine Recht auf informationelle Selbstbestimmung und das damit im Zusammenhang stehende Verbot mit Erlaubnisvorbe- halt.

Anschließend wird das regelmäßige Problem der Interessenabwägung erläutert und auf die Grundsätze der Datenerhebung eingegangen; denn die Phase der Datenerhebung ist logisch den anderen Datenverarbeitungsschritten vorgelagert.

Danach werden die verschiedenen Zulässigkeitsvoraussetzungen für eine Speicherung, Veränderung, Nutzung und Übermittlung personenbezogener Daten für eigene Geschäftszwecke erläutert.

Die Übermittlung und Nutzung im Drittinteresse wird als Gliederungspunkt 3.3.5. behandelt. Die Regelungen des Wiederspruchrechts und der Zweckbindung bilden den Abschluss der Erläuterungen zum § 28 BDSG.

Es werden durchgehend exemplarische Beispiele verwendet, um die Materie noch verständlicher und anschaulicher zu machen.

Zur Einleitung für den Gliederungspunkt 4, in dem die Schutzgemeinschaft für allgemeine Kreditsicherung (SCHUFA) als klassisches Beispiel für den Anwendungsbereich des § 29 BDSG vorgestellt wird, wird zum Ende des Abschnittes auf § 29 BDSG eingegangen.

2 Geschichte des Datenschutzes in der Bundesrepublik Deutschland

Die mit der Einführung der elektronischen Datenverarbeitung verbundenen Risiken haben den deutschen Gesetzgeber relativ früh zu Datenschutzregelungen veranlasst. Am 30.9.1970 wurde das 1. Hessische Datenschutzgesetz verabschiedet;⁴ es war weltweit die erste gesetzliche Normierung dieser Art.

Im Jahr 1974 folgte Rheinland-Pfalz und nach langen, Anfang der Siebziger Jahre beginnenden Vorarbeiten erließ der Bund im Jahre 1977 das erste Bundesdatenschutzgesetz.⁵ Dem äußeren Anlass entsprechend wurde nicht jede Erhebung, Verarbeitung und Nutzung geregelt, sondern vielmehr nur ein solche, die im Zusammenhang mit Dateien stand. Nach langen und kontroversen Auseinandersetzungen wurde das heute geltende BDSG beschlossen und am 20.12.1990 im Bundesgesetzblatt verkündet.⁶

Zur Zeit wird das Datenschutzgesetz novelliert, und ein Gesetzesentwurf der Bundesregierung vom 14.6.2000 wurde bereits dem Bundesrat zur Stellungnahme vorgelegt.

3 Der Umgang mit personenbezogenen Daten im nicht-öffentlichen Bereich

3.1 Geschützte Datenarten

Zu unterscheiden sind zum einen Personen- und Sachinformationen, zum anderen individuelle- und statistische Informationen.

Beispiele:

Individuelle Personeninformation: Peter Mustermann ist am 12. April 1934 geboren Statistische Sachinformation: Die Grundstücke in Lüneburg sind durchschnittlich 2000 m² groß.

Statistische Personeninformation: Männer haben eine kürzere Lebenserwartung als Frauen

Individuelle Sachinformation: Ein Personenwagen vom Typ XY hat 1500 ccm Hubraum

Datenschutz darf nicht nur die reinen Personeninformationen erfassen, da sich jede Informa-tion durch geeignete Verknüpfung (Peter Mustermann besitzt ein Grundstück in Lüneburg) in eine personenbezogene Information umwandeln lässt. Gegenstand des Datenschutzes sind demnach alle diese personenbezogenen Informationen; irrelevant sind nur reine Sachinformationen und rein statistische Informationen.

Das Bundesdatenschutzgesetz (BDSG) wie der gesamte Datenschutz beziehen sich nur auf personenbezogene und personenbeziehbare Daten. Entgegen dem eingebürgerten, aber missverständlichen Sprachgebrauch will nämlich das geltende Recht nicht die Daten als solche schützen, sondern die Persönlichkeit dessen, auf den sie sich beziehen.

3.2 Grundrecht auf informationelle Selbstbestimmung

Jeder Bürger in der Bundesrepublik hat das verfassungsrechtlich verbürgte Recht auf infor- mationelle Selbstbestimmung, das heißt die Möglichkeit, über die Verwendung und Preisga- be persönlicher Daten selbst zu entscheiden. Ziel des Datenschutzes ist es, die Privatsphäre weitestgehend zu erhalten und keine Abhängigkeiten gegenüber staatlichen und privaten Stellen durch die Sammlung immer genauerer Informationen entstehen zu lassen.⁷ Dabei soll nicht lediglich vorwerfbares Fehlverhalten verhindert und Schutz vor Missbrauch gege- ben werden, beabsichtigt ist vielmehr ein präventiver Schutz. Zu Beeinträchtigungen soll es erst gar nicht kommen.⁸

Diese Zielsetzungen hat der Gesetzgeber in unterschiedlichen Vorschriften festgelegt, von denen dem Bundesdatenschutzgesetz (BDSG) die größte Bedeutung zukommt. Das BDSG gilt gemäß § 1 BDSG uneingeschränkt für öffentliche Stellen des Bundes und für nicht-öffentliche Stellen, soweit sie die Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen.

Für die Verarbeitung und Nutzung personenbezogener Daten - also alle ganz persönlich individualisierenden Informationen wie Namen, Geburtsdaten, Anschrift, Vermögen, Überzeugungen, usw. - gilt auf Grund von § 4 BDSG als allgemeiner Grundsatz ein sogenanntes „Verbot mit Erlaubnisvorbehalt". Das bedeutet: Die Verarbeitung und Nutzung von Daten ist verboten, es sei denn sie ist durch das BDSG oder eine andere Rechtsvorschrift ausdrücklich erlaubt oder der Betroffene hat dazu seine Einwilligung erklärt.

Wird eine ausdrückliche Erlaubnis zur Speicherung von Daten an eine private Stelle erteilt, so können diese - im Rahmen der Zustimmung - auch weitestgehend frei genutzt werden.

Die Erlaubnis muss gemäß § 4 Abs. 2 S. 2 BDSG schriftlich erfolgen, „...soweit nicht wegen besonderer Umstände eine andere Form angemessen ist...“.

Erfolgt dagegen keine ausdrückliche Einwilligung des Betroffenen zu einer Nutzung, so stellt § 28 BDSG einen Erlaubnistatbestand dar und regelt so die Zulässigkeit der Datenverarbeitung im nicht-öffentlichen Bereich.

Dabei unterscheidet das BDSG im nicht-öffentlichen Bereich zwischen einer Datenverarbeitung als Mittel für eigene Zwecke, das heißt zur Erreichung eines internen Geschäftszweckes (§ 28 BDSG) und der Datenverarbeitung für fremde Geschäftszwecke (§ 29 BDSG), das heißt Geschäftsziel ist die Verarbeitung von Informationsmaterial für Dritte.

3.3 Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke

§ 28 BDSG ist in der Praxis für die Verarbeitung personenbezogener Daten eine der wich- tigsten Kernvorschriften. Von ihrem Regelungsbereich erfasst werden die Datenverarbei- tungsphasen Erhebung, Speicherung, Veränderung, Übermittlung und Nutzung personenbe- zogener Daten. Für die nicht genannten Verarbeitungsschritte Sperrung und Löschung gilt § 35 BDSG.

3.3.1 Interessenabwägung

§ 28 BDSG liegt regelmäßig eine Interessenabwägung zugrunde.

Auf der einen Seite existiert das Interesse des Betroffenen an der Wahrung seines Grundrechts auf Datenschutz, auf der anderen Seite können sich die unterschiedlichen Interessen oder gesetzlichen Wertungen wiederfinden.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Interessenabwägung

3.3.2 Datenerhebung

Unter Erheben versteht das Gesetz die gezielte Beschaffung von Daten über den Betroffenen. Eine bloß zufällige Kenntniserlangung zum Beispiel anlässlich eines anderen Vorgangs reicht ebenso wenig aus wie die ohne eigenes Zutun erlangte Information. Das Gesetz schreibt vor, dass Daten nach Treu und Glauben und auf rechtmäßige Weise erhoben werden müssen. Der Grundsatz von Treu und Glauben, der schon in § 242 BGB verankert ist, stellt die zivilrechtliche Generalklausel par excellence dar und beruht auf dem Gedanken, dass jedem Recht sozialethische Schranken immanent sind. Daten sind dann auf rechtmäßige Weise erhoben, wenn keine Rechtsvorschrift vorhanden ist, die das Beschaffen der Daten verbietet oder einschränkt.⁹

Wenn die Daten unter einem unzutreffenden Vorwand erschlichen worden sind, so wider- spricht dies dem Grundsatz von Treu und Glauben. Die Daten müssen grundsätzlich unter freiwilliger Mitwirkung des Betroffenen erhoben werden. Heimlichkeit und Täuschung sind mit Treu und Glauben unvereinbar. Auch muss jede Nötigung unterbleiben. Die Datenerhebung darf auch nicht unter Umständen erfolgen, die den Betroffenen mehr als vermeidbar be- lasten. Werden Daten unter Verstoß gegen diesen Grundsatz unrechtmäßig erhoben, ist jede anschließende Speicherung, Weiterverarbeitung und Nutzung unzulässig.

3.3.3 Beispiel: Firmentelefonbücher

Ein Anlageberatungs- und vermittlungsunternehmen entnimmt systematisch personenbezogene Daten (Name und ggf. Titel, Firmenanschrift, geschäftliche Telefonnummer) von leitenden Mitarbeitern mehrerer großer deutscher Unternehmen aus deren internen Firmentelefonbüchern und speichert diese in einer eigenen Datenbank. Den Betroffenen leitenden Angestellten werden daraufhin telefonisch Kapitalanlagenangebote gemacht. Die Daten wurden nicht nach Treu und Glauben und auf rechtmäßige Art und Weise erhoben (vgl. § 28 Abs. 1 letzter Satz BDSG), daher ist die Erhebung und damit auch die folgende Speicherung rechtswidrig. Rechtswidrig waren die Speicherungen allerdings auch bereits deswegen, weil das damit beabsichtigte "kalte Telefonmarketing" wettbewerbswidrig war und als berechtigtes Interesse für die Speicherung nicht gelten kann.

Eine solche Datenerhebung ist unzulässig, da die Daten unter einem unzutreffenden Vorwand erschlichen worden sind.

Es handelt sich hierbei um eine ungerechtfertigte Wahrnehmung der eigenen Interessen auf Kosten der Interessen eines Anderen. Dies ist deshalb unrechtmäßig (sittenwidrig) und damit ein Verstoß gegen Treu und Glauben.

3.3.4 Zulässigkeitsvoraussetzungen

3.3.4.1 Vertragsverhältnis oder vertragsähnliches Vertrauensverhältnis

Für die Erfüllung eigener Geschäftszwecke dürfen personenbezogene Daten erhoben, verarbeitet und genutzt werden, soweit sie dazu dienen, dem von den Vertragsparteien gemeinsam mit dem Vertrag verfolgten Zweck zu erreichen.

Somit muss zwischen der beabsichtigten Datenverarbeitung und dem Vertrag ein unmittelbarer sachlicher Zusammenhang bestehen.¹⁰

Die konkrete Zweckbestimmung ergibt sich gemäß § 145 ff. BGB aus den übereinstimmenden Willenserklärungen der Vertragsparteien.

Vertragsverhältnisse sind alle Arten von Verträgen, wie zum Beispiel Arbeits- und Dienstverträge, Kauf-, Leih-, Werk-, Werklieferungs-, Dienstleistungs- und Mietverträge sowie Schenkungen, Bürgschaften und Auftragsverhältnisse.

Schon bevor und auch ohne dass ein Vertrag zustande kommt, besteht zwischen den über den Vertragsabschluss verhandelnden Parteien ein vorvertragliches Vertauensverhältnis, das die Beteiligten wechselseitig zur Sorgfalt verpflichtet.

Entsteht aus dem vertragsähnlichen Vertrauensverhältnis ein Vertrag, so kann Rechtsgrundlage einer Speicherung, Veränderung oder Übermittlung die erste Alternative von § 28 Abs. 1 Nr. 1 BDSG sein.

Kommt es nicht zum Vertragschluss, kann sich zum Beispiel ein Speicherung der Daten ebenfalls nach § 28 Abs. 1 Nr. 2 BDSG rechtfertigen lassen. Allerdings wird nach bereits erfolgtem Austausch von sensiblen Daten regelmäßig eine Datenverringerung vorzunehmen sein.

Zulässig ist die Verarbeitung und Nutzung derjeniger Daten, die zur Abwicklung des Vertra- ges erforderlich sind. Jedoch dürfen auch Daten über Tatsachen, die den Vertragszweck gefährden könnten gespeichert werden. Der Grundsatz der Verhältnismäßigkeit und das in- formationelle Selbstbestimmungsrecht gebieten indessen, dass die Datenmenge und Sensi- tivität der Daten sich am Vertragszweck und seiner Bedeutung orientieren. Die Verarbeitung und Nutzung von Basisdaten der Betroffenen (Name, Anschrift, wesentli- cher Vertragsinhalt, Informationen zur ordnungsgemäßen Abwicklung des Vertrags) ist re- gelmäßig als zulässig zu erachten. Der Umfang der Verarbeitung und Nutzung anderer Da- ten ist nicht eindeutig bestimmt und lässt sich teilweise nur an Einzelfallentscheidungen messen.

3.3.4.2 Beispiel: Autokauf

Wenn ein Unternehmen ein Produkt, z.B. ein Automobil an einen Kunden verkauft, so benö- tigt dieses Unternehmen verschiedene Daten, die es erheben, speichern und zum Teil über- mitteln muss.

Die wichtigsten Daten sind der Name und die Adresse des Kunden, da an diesen das Auto später ausgeliefert werden soll oder diesem ein Benachrichtigungsschreiben zugestellt werden muss. Daneben sind natürlich die Daten über das Auto wichtig - um welchen Typ es sich handelt und mit welcher Ausstattung und in welcher Farbe es ausgeliefert werden soll. Dazu kommt noch der Preis und die Zahlungsart. Je nach Zahlungsart kommen noch weitere Daten dazu, bei Überweisung z.B. der vereinbarte Zahlungstermin.

Es ist unabdingbar, dass bei dem Verkauf eines Automobils viele Daten erhoben werden, was nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG legitimiert ist.

Zur ordnungsgemäßen Durchführung des Verkaufes ist es notwendig, dass das Unterneh- men Daten an den Fahrzeughersteller übermittelt, aber auch an die PKW-Kennzeichen aus- stellende Stelle müssen sensible Daten wie Führerscheinnummer und Personalausweis- nummer übermittelt werden. Auch dies ist nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG erlaubt. Nicht erlaubt wäre jedoch die Erhebung zur Erfüllung des Vertragszweckes völlig unrelevan- ter Daten, wie die Augenfarbe des Kunden. Auch die Übermittlung von Daten an Dritte, wie Zahlungskonditionen an die Kfz-Zulassungsstelle, sind nicht durch § 28 Abs. 1 Satz 1 Nr. 1 BDSG gerechtfertigt.

3.3.4.3 Wahrung berechtigter Interessen

Die Verarbeitung und Nutzung personenbezogener Daten ist erlaubt, wenn sie zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt.

Es ist also eine Abwägung vorzunehmen, die sich am Verhältnismäßigkeitsprinzip auszurich- ten hat und die Wertungen des Bundesverfassungsgerichtes (BverfG) zum informationellen Selbstbestimmungsrecht berücksichtigen muss. Zur Abwägung gehört auch die Prüfung, ob anonymisierte Daten ausreichend sind. Die Abwägung ist von den Gerichten in vollem Um- fang nachprüfbar.

Die Interessen des Betroffenen überwiegen immer dann, wenn nach einer summarischen Abwägung eine Verletzung des Persönlichkeitsrechts ersichtlich ist.

Berechtigt ist jedes rechtliche, wirtschaftliche oder ideelle Interesse der speichernden Stelle, das bei vernünftiger Betrachtungsweise objektiv gerechtfertigt ist.¹¹

Da indessen das Interesse erforderlich sein muss, werden strengere Maßstäbe angelegt, womit den Anforderungen des BverfG im Volkszählurteil entsprochen werden kann.¹²

Das im Volkszählungsurteil entwickelte Recht auf informationelle Selbstbestimmung wirkt auch im Privatbereich mittelbar durch seine Drittwirkung über die Auslegung zivilrechtlicher Vorschriften. Es strahlt in dieser Eigenschaft auf Auslegung und Anwendung privatrechtlicher Vorschriften aus. Dieses Recht weist auch auf der Ebene bürgerlich-rechtlicher Verhältnisse dem Schutzbedürfnis der Person einen entsprechend hohen Rang gegenüber Eingriffen zu.¹³

Liegt ein Widerspruch des Betroffenen gegen die Verarbeitung vor, muss hingegen eine umfassende einzelfallbezogene Prüfung erfolgen. Nur in begründeten Einzelfällen kann eine Speicherung oder Übermittlung trotz Vorliegens eines Widerspruchs erfolgen.

3.3.4.4 Beispiel: Werbung durch Apotheke

Es ist allgemein anerkannt, dass speichernde Stellen regelmäßig ein berechtigtes wirtschaftliches Interesse haben, die rechtmäßig im Rahmen einer Vertrags- oder vertragsähnlichen Beziehung gespeicherten Daten auch für Werbezwecke zu nutzen.

Sofern die Betroffenen dieser Nutzung nicht bereits widersprochen haben, wozu sie jederzeit nach § 28 Abs. 3 BDSG berechtigt sind, wird zumeist auch angenommen, dass kein überwiegendes schutzwürdiges Interesse der Betroffenen gegen die Nutzung dieser Daten für Werbezwecke spricht.

Konkret bedeutet dies also, dass grundsätzlich jedes Unternehmen, dem man zur Lieferung einer Ware seine Adresse gegeben habt, an diese auch Werbung schicken darf.

Aber gibt Ausnahmen: Bei diagnostizierter Krankheit durch einen Arzt, verschreibt dieser seinen Patienten oft ein Rezept, gegen dessen Vorlage die Patienten in jeder deutschen Apotheke die verschriebenen Medikamente erhalten können.

Kassenpatienten müssen in der heutigen Zeit einen Teil des Preises selbst tragen, die Kassen übernehmen nur einen Festsatz, abhängig vom Preis des Medikaments sind dies 9 - 13 DM.

Diesen Festsatz leiten die Apotheken an die gesetzlichen Krankenkassen weiter, dabei sind die Apotheken seit einiger Zeit dazu verpflichtet, den Kassen die Abrechnungsdaten in ma- schinenlesbarer Form zu übermitteln. Daraus folgt, dass Apotheken personenbezogene Da- ten dateimäßig verarbeiten, oder diese durch zentrale Dienstleistungsrechenzentren verar- beiten lassen.

Daraufhin fällt die Verarbeitung in den Anwendungsbereich des Bundesdatenschutzgeset- zes. Es ist also vollkommen rechtens, dass die notwendigen Daten für die Abrechnung mit den Krankenkassen der Versicherten durch die Apotheken gespeichert werden (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG).

Grundsätzlich dürfte ein Unternehmen diese Daten also nutzen und all seinen Kunden z.B. Werbung zuschicken.

Ist das im Fall einer Apotheke genauso? Fraglich ist, ob es zulässig ist, diese Daten auch nach Abschluss der Abrechnung für andere Zwecke zu verwenden, beispielsweise für eigene Werbemaßnahmen.

Um dies herauszufinden, ist es wichtig den für die Interessenabwägung relevanten § 28 Abs.

1 Satz 1 Nr. 2 BDSG näher zu betrachten:

„Soweit es zur Wahrung berechtigter Interessen der speichernden Stelle er-forderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdi- ge Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nut-zungüberwiegt“

Wie bereits ausgeführt wurde, wird Unternehmen (also auch Apotheken) ein berechtigtes wirtschaftliches Interesse zugeschrieben.

Daraus würde folgen, dass jeder Patient, der ein Medikament erhält auch automatisch Werbung erhalten dürfte, wenn er diesem nicht widersprochen hat.

Einem Kunden bleibt jedoch keine andere Möglichkeit, als der Apotheke seine Daten zu übermitteln, da er sonst keine Medikamente erhalten würde. Da es keine Wahlmöglichkeit gibt und ein Kassenpatient nicht verhindern kann, dass seine Daten gespeichert werden, sprechen gewichtige Argumente dafür, dass der weiteren Speicherung und Nutzung dieser Daten für andere Zwecke, wie z.B. für Werbezwecke der Apotheke, überwiegend schutzwürdige Interessen des Betroffenen entgegenstehen.

Es ist Apotheken also nicht gestattet, Daten, die sie auf diesem Wege erhalten, für Werbung usw. zu nutzen, da die Kunden keine andere Möglichkeit haben, die für sie wichtigen Medikamente zu erhalten.

Für Privatpatienten gilt diese Regelung nicht, da diese erst den vollen Medikamentenpreis

selbst tragen und dann bei ihrer Krankenkasse einreichen. Die Apotheken erhalten die Daten also überhaupt nicht, weshalb diese sie auch nicht für Werbung nutzen können.

3.3.4.5 Allgemein zugängliche Quellen

Das Grundrecht auf Informationsfreiheit, welches in Artikel 5 Abs. 1 S. 1 GG verankert ist, währt jedermann das Recht „...sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten...“. Dazu zählen Adress- und Telefonbücher, öffentliche Anschläge, Branchenverzeichnisse, Berufsgruppenverzeichnisse oder öffentliche Register, etwa das Handelsregister oder das Güterrechtsregister.¹⁴

Es liegt ein weiterer Erlaubnistatbestand im Rahmen von Abs. 1 Satz 1 Nr. 3 vor, wenn die speichernde Stelle die Daten veröffentlichen dürfte.

Eine allgemein zugängliche Quelle liegt vor, „...wenn die Informationsquelle technisch geeignet und bestimmt ist, der Allgemeinheit, das heißt einem individuell nicht bestimmbaren Personenkreis, Informationen zu beschaffen...“¹⁵

Keine öffentliche zugänglichen Quellen sind diejenigen, die nur bei Darlegung eines berechtigten Interesses zugänglich sind, wie zum Beispiel das Grundbuch, das Gewerbezentralregister oder das Bundeszentralregister.

Es wird nicht die unmittelbare Entnahme aus den allgemein zugänglichen Quellen gefordert, sondern nur die Möglichkeit das Daten entnommen werden können. Beispielsweise muss sich die speichernde Stelle die Daten nicht selbst aus dem Register besorgen, sondern es reicht aus, wenn sie die Daten von anderen erhält. Notwendig ist lediglich, dass am Anfang der Kette eine allgemein zugängliche Quelle vorhanden ist, aus der die Daten entnommen worden sind.

Nach dem Wortlaut der Norm müssen die Daten entnommen werden können. Dies bedeutet, dass die Daten im Zeitpunkt der Speicherung, Veränderung, Übermittlung oder Nutzung tatsächlich sich noch in einer allgemein zugänglichen Quelle befinden. Wurden die Daten in der Zwischenzeit dort gelöscht, kann die Norm nicht mehr zur Rechtfertigung der Datenverwendung herangezogen werden.

Im Rahmen einer Abwägung ist zu berücksichtigen, dass einerseits ein Überwiegen des Betroffeninteresses notwendig ist und zum anderen dieses offensichtlich sein muss. Offensichtlichkeit bedeutet, dass die Verletzung der Interessen für einen unvoreingenommenen, verständigen Beobachter ohne weiteres zu erkennen ist.

Das Risiko einer Fehleinschätzung bei der Abwägung sowie die Beweislast für das Vorhan-densein einer allgemein zugänglichen Quelle, welche die Daten enthält, trifft auf Grund des Verbots mit Erlaubnisvorbehalt voll die speichernde Stelle.

3.3.4.6 Beispiel: Schuldnerverzeichnis

Wer in Deutschland seine Schulden nicht zahlen kann, wird bei Abgabe einer eidesstattli- chen Versicherung (gem. § 807 ZPO) in das öffentliche Schuldnerverzeichnis eingetragen. Eine eidesstattliche Versicherung (früher Offenbarungseid) muss der Schuldner abgeben, wenn der Gläubiger wegen einer Geldforderung vollstreckt und die Zwangvollstreckung in das bewegliche Vermögen fruchtlos ausgefallen ist oder ausfallen wird. Der Schuldner muss ein Verzeichnis seines gesamten pfändbaren und unpfändbaren Vermögens vorlegen.

Anschließend gibt er in Form der eidesstattlichen Erklärung zu Protokoll, dass er die Angeben nach bestem Wissen richtig und vollständig gemacht hat.

Eine eidesstattliche Versicherung wird gegenüber dem Gerichtsvollzieher abgegeben, wobei das Amtsgericht zuständig ist, in dessen Bezirk der Schuldner seinen Wohnsitz hat. Das Amtsgericht trägt den Schuldner in sein Schuldnerverzeichnis ein (gem. § 915 ZPO), unter anderem mit Namen und Geburtsdatum. Durch Einsichtnahme in das Schuldnerver- zeichnis soll dem Gläubiger oder auch dem potentiellen Vertragspartner die Möglichkeit ge- geben werden, sich vor Verlusten durch eine vergebliche Prozessführung bzw. Vollstreckung zu schützen.

Das Gesetz erlaubt die Verwendung personenbezogener Angaben aus dem Schuldnerver- zeichnis nur im Rahmen des Registerzwecks (gem. § 915 Abs. 2 ZPO), nicht jedoch die Nut- zung zu Werbezwecken. Wenn ein im Schuldnerverzeichnis eingetragener Selbstständiger, zum Beispiel ein Angebot eines Kreditvermittlers erhält, welches (spektakuläre) Kredite, Schuldensregulierungen und Umschuldungsprogramme enthält, oder wenn ein ebenfalls im Schuldnerverzeichnis eingetragener junger Arbeitsloser ein Schreiben einer Organisation erhält, die ihm, mit Hinweis auf seine schlechte finanzielle Lage, Geld für das „Spenden“ ei- ner Niere anbietet, so ist in beiden Fällen von einem Missbrauch des Schuldnerverzeichnis- ses auszugehen. Beide Schreiben dienen dem Versuch, die Notlage des Selbständigen und die des Arbeitslosen auszubeuten, was offensichtlich den schutzwürdigen Interessen der Betoffenen widerspricht. Nach § 915 Abs. 2 ZPO ist die Datenverwendung aus dem Schuld- nerverzeichnis nur für Zwecke der Durchsetzung von Zahlungsverpflichtungen und zur Prü- fung der wirtschaftlichen Zuverlässigkeit vor Vertragsschluss zulässig.

3.3.4.7 Wissenschaftliche Forschung

Wissenschaftliche Forschung wird durch die in Art. 5 GG garantierte Forschungsfreiheit durch das BDSG privilegiert. Regelungen zur Datenverarbeitung im Rahmen der Forschung sind an verschiedenen Stellen des BDSG normiert (z.B. §§ 4 Abs. 3, 14 Abs. 2 Nr. 9, 28 Abs.

1 Nr. 4, 28 Abs. 2 Nr.2, 40 BDSG).

In § 28 Abs. 1 Satz 1 Nr. 4 BDSG und § 28 Abs. 2 Nr. 2 BDSG wird - entsprechend § 27 BDSG - die Datenverarbeitung bei wissenschaftlicher Forschung durch nichtöffentliche Stellen sowie am Wettbewerb teilnehmende öffentliche Stellen geregelt.

Den wortgleichen beiden Normbereichen gemeinsam sind die drei folgenden kumulativen Voraussetzungen:

1. Die Datenverarbeitung muss zur Durchführung der Forschung erforderlich sein und das wissenschaftliche Interesse muss das Interesse der Betroffenen erheblich überwiegen und der Forschungszweck darf nicht anders oder nur mit unverhältnismäßigen Aufwand erreichbar sein.
2. Die Datenverarbeitung muss für das Interesse erforderlich sein. Es ist zu prüfen, ob sich der Zweck der wissenschaftlichen Forschung nicht auch auf andere Weise errei- chen lässt, zum Beispiel durch die Nutzung anonymisierter Daten. Ist eine Anonymi- sierung möglich und nicht unverhältnismäßig, so hat diese zunächst bei der For- schung nach § 28 Abs. 1 Nr. 4 BDSG bei der speichernden Stelle zu erfolgen.
3. Als weitere Voraussetzung muss das wissenschaftliche Interesse das Betroffenenin-teresse erheblich überwiegen. Es muss also eine Abwägung der beiden Interessen vorgenommen werden. Sie hat sich nach dem Verhältnismäßigkeitsprinzip zu orientieren. Die wissenschaftliche Bedeutung des Forschungsvorhabens für die Allgemeinheit ist aber in jedem Einzelfall festzustellen, um danach eine Abwägung gegenüber den schutzwürdigen Interessen der Betroffenen vornehmen zu können.¹⁶ Es reicht nicht aus, wenn die Forschungsinteressen gleichwichtig mit den Interessen des Betroffenen sind; vielmehr müssen sie erheblich überwiegen.

Als letzte Voraussetzung ist notwendig, dass sich der Forschungszweck auf andere Weise nicht oder nur mit unverhältnismäßigen Aufwand erreichen lässt.

Die Beurteilung, ob ein Aufwand unverhältnismäßig ist, richtet sich nach den Aufwendungen des Forschungsvorhabens. Es kann davon ausgegangen werden, dass der Aufwand dann unverhältnismäßig ist, wenn für die datenschutzkonforme Ausgestaltung größer Vorhaben mehr als 10% der Gesamtforschungskosten aufgewendet werden müssten. Bei kleinen Vorhaben verschiebt sich der Prozentsatz aber nach oben.

Es ist aber zu bedenken, dass in Abhängigkeit von Sensitivität der Daten Kostenaspekte hinter Persönlichkeitsrechte der Betroffenen zurückzutreten haben. Deshalb kann im konkreten Einzelfall bei sensitiven Daten ein besonders hoher Aufwand verlangt werden. Aus dem gesetzlichen Kontext folgen aber verschiedene Regelungsbereiche. § 28 Abs. 1 Satz 1 Nr. 4 BDSG bezieht sich auf die Eigenforschung, die eine verarbeitende Stelle selbst betreibt. Es werden die Erlaubnistatbestände für die Datenverarbeitungsphasen Speicherung, Veränderung, Übermittlung und Nutzung geregelt.

Demgegenüber regelt § 28 Abs. 2 Nr. 2 BDSG die Datenverarbeitung im Interesse einer Forschungseinrichtung, also einer anderen als der über die Daten verfügenden speichernden Stelle. Die Vorschrift ist eine Erlaubnisnorm für die Übermittlung und Nutzung personenbezogener Daten an Dritte.

Bei der Auslegung des Begriffs „wissenschaftliche Forschung“ hat eine Orientierung an den Wertentscheidungen des Grundgesetzes nach Art. 5 Abs. 3 GG zu erfolgen. Wissenschaftliche Tätigkeit ist demnach alles, was nach Form und Inhalt als ernsthafter Versuch zur Ermittlung der Wahrheit anzusehen ist.

Forschung ist die planmäßige und zielgerichtete Suche nach neuen Erkenntnissen.¹⁷

3.3.5 Übermittlung und Nutzung im Drittinteresse

Während in § 28 Abs. 1 BDSG die Fälle geregelt sind, in denen die speichernde Stelle ein Interesse an der Datenverarbeitung hat, ist § 28 Abs. 2 Nr. 1 lit. a BDSG eine Erlaubnisnorm für die Übermittlung oder Nutzung im Drittinteresse. Die Übermittlung und Nutzung ist zuläs- sig, soweit sie zur Wahrung berechtigter Interessen eines Dritten oder im öffentlichen Inte- resse erforderlich ist. Die Speicherung in einer Datei beim Dritten ist hingegen nicht zuläs- sig.

Eine Übermittlung im Interesse Dritter ist etwa die Übergabe einer Lieferanten- und Kundenkartei an einen Rechtsnachfolger.

Es muss dann geprüft werden, ob auf Grund eines besonderen Sachverhaltes Gründe für ein die Übermittlung oder Nutzung ausschließendes schutzwürdiges Interesse vorliegt.

Als zweiter Fall eines Drittinteresses wird in § 28 Abs. 2 Nr. 1 lit. a BDSG das öffentliche In-teresse aufgeführt.

Es besteht zum Beispiel ein erhebliches Interesse der Allgemeinheit, dass im Bereich des Versicherungs- und Bausparkassenaußendienstes nur zuverlässige und gewissenhafte Mitarbeiter beschäftigt werden.

Damit in diesem Bereich unlautere Personen ferngehalten werden können, ist eine Übermittlung an die Auskunftsstelle für den Versicherungsaußendienst (AVAD) zulässig.

Die in § 28 Abs. 2 Nr. 1 lit. b S. 1 BDSG geregelte listenmäßige Übermittlung beziehungsweise Nutzung ist eine im Interesse der werbetreibenden Wirtschaft erlassende Sonderbestimmung. Die Übermittlung oder Nutzung von listenmäßig oder sonst zusammengefassten Daten soll weitgehend erlaubt und von den Restriktionen des BDSG befreit sein.

Nach dem BDSG ist die listenmäßige oder sonst zusammengefasste Übermittlung von abschließend aufgeführten Daten zulässig, soweit nicht andere Regelungen Priorität haben: Namen, Titel, akademischer Grad, Anschrift, Geburtsjahr, Berufs-, Branchen oder Geschäftsbezeichnung, wie auch die zusätzliche Angabe über eine Gruppenzugehörigkeit durch die speichernde Stelle.

Der Betroffene darf nach der Vorgabe des Gesetzes als Zugehöriger zu einer bestimmten Personengruppe gekennzeichnet werden. Mit diesem Merkmal wird ausgedrückt, was die Personen auf der Liste verbindet und stellt in der Regel die Information dar, welche die Gruppe für den Empfänger interessant macht. Denn reine Personenlisten, wie zum Beispiel im Telefonbuch sind grundsätzlich nicht aussagekräftig. Erst das gemeinsam verbindende Merkmal ist für den Datenempfänger der Ansatzpunkt seines Interesses.

Unzulässig sind jedoch Angaben über Tag und Monat der Geburt sowie über die Telefon- nummer.

Listenmäßig bedeutet, dass nach der Struktur oder äußeren Form der Eindruck einer Liste, also einer fortlaufend nach einem Merkmal geordneten Datensammlung besteht. Zu den sonst zusammengefassten Daten gehören beispielsweise zusammengeheftete Einzelblätter, wobei auf jedem Blatt Angaben zur Person vorhanden sind.

Die listenmäßig oder sonst zusammengefassten Daten müssen nicht in Papierform vorliegen, sondern können auf jedem beliebigen Medium gespeichert sein.

Erlaubt ist eine Übermittlung oder Nutzung - die Zulässigkeit der Speicherung muss sich aus einem anderen Erlaubnistatbestand ergeben -, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat.

Zu beachten sind die im BDSG aufgeführten fünf Gruppen sensibler Daten, deren Übermitt-lung praktisch verboten ist. Dazu gehören Daten über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten und religiöse oder politische Anschauungen sowie Arbeitnehmerdaten, die im Rahmen der Zweckbestimmung eines Vertrages oder vertragsähnlichen Verhältnissen gespeichert worden sind. In den genannten Fällen besteht die Regelvermutung, dass grundsätzlich ein überwiegendes Interesse des Betroffenen an einem Ausschluss der Zweckänderung und somit an der Nichtweitergabe dieser Daten vorhanden ist. Es können jedoch auch in anderen Fällen schutzwürdige Interessen verletzt sein. Ist dies der Fall, so ist eine Übermittlung oder Nutzung nicht statthaft.

Der vom Gesetzgeber vorgenommene besondere Schutz von bestimmten sensiblen Datenarten bedeutet nicht, dass im Umkehrschluss alle anderen Daten unproblematisch sind und damit bei den in Abs. 2 Nr. 1b Satz 1 genannten Daten regelmäßig kein schutzwürdiges Interesse verletzt ist. Im Einzelfall können auch Listen mit den in Satz 1 enthaltenen Angaben schutzwürdiges Interessen verletzen.

3.3.6 Beispiel: Wirtschaftsauskunftei

Eine Übermittlung von personenbezogenen Daten an Dritte ist nur dann zulässig, wenn diese ein berechtigtes Interesse glaubhaft dargelegt haben.

Wirtschaftsauskunfteien geben gegen Entgelt Informationen über die allgemeinen Verhältnisse, Seriosität und Zahlungsfähigkeit von Personen und Unternehmen an ihre Auftraggeber weiter. Solche Auskunfteien beziehen ihre Informationen unter anderem aus verschiedenen öffentlich zugänglichen Quellen, von Branchenangehörigen, aus dem eigenen Inkassodienst sowie aus sogenannten Selbstbefragungen.

Eine Anfrage bei einer Wirtschaftsauskunftei wegen Informationen über einen Kunden, der von einer Maschinenbaufirma in Hamburg eine sehr teure und große Maschine nach Lüne- burg geliefert bekommen möchte ist unzulässig, da die Maschine für die Firma zwar einen sehr hohen Wert darstellt, jedoch ist die Gefahr des Verlustes der Maschine nicht gegeben, da bei Lieferung bezahlt werden soll. Er könnte also ein berechtigtes Interesse nicht glaub- haft darlegen.

Auch mit einem Hinweis auf das Anfahrtsrisiko wäre kein berechtigtes Interesse zu begründen, da die Anfahrtskosten nicht so hoch sind, als das sie das Geschäft in seiner wirtschaftlichen Existenz bedroht. Anders ist dies jedoch, wenn der Kunde vorgibt ein Scheich aus Dubai zu sein und die Lieferung dorthin erwünscht ist.

Die Maschinenbaufirma müsste die Maschine über den teuren Seeweg oder Luftweg trans-portieren und könnte nicht wie bei einer Lieferung nach Lüneburg, den hauseigenen LKW benutzen.

Eine solche Lieferung birgt ein erhebliches wirtschaftliches Risiko für die Firma, eine Übermittlung der Daten von der Wirtschaftsauskunftei an die Maschinenbaufirma wäre zulässig, da diese ein berechtigtes Interesse glaubhaft machen könnte.

3.3.7 Widerspruchsrecht

Mit dem Wiederspruchsrecht hat der Betroffene weitere Möglichkeiten zum Schutz seines Persönlichkeitsrechtes. Der Betroffene soll auf Grund der informationellen Selbstbestimmung über seine Daten einen gewissen Schutz gegen Zweckentfremdung durch Weitergabe- und Verwertungsverbote erhalten.¹⁸

In § 28 Abs. 3 BDSG sind zwei Fälle eines Widerspruchsrechts, die jedoch „...auf Zwecke der Werbung oder Markt- oder Meinungsforschung...“ beschränkt sind, geregelt:

1. Ein Widerspruchsrecht gegenüber der speichernden Stelle, welche die Daten an Drit- te übermitteln will oder übermittelt hat beziehungsweise nutzen will oder genutzt hat.
2. Ein Widerspruchsrecht gegenüber dem Empfänger von Daten, also Stellen, die von anderen, nämlich speichernden Stellen, Daten erhalten haben.

Der Widerspruch des Betroffenen braucht nicht begründet zu werden und ist nicht formgebunden. Er kann auch mündlich oder konkludent erklärt werden.

Der Widerspruch ist kostenfrei. Seine Beachtung kann deshalb auch nicht von der Zahlung eines Bearbeitungsentgelts abhängig gemacht werden. Entgegenstehende Vereinbarungen sind nichtig. Die Widerspruchsrechte des Abs. 3 sind nicht abdingbar. Weder über Allgemei- ne Geschäftsbedingungen, noch durch Individualvereinbarung kann der Betroffene auf diese Rechte verzichten.

Der Widerspruch wird des weiteren dadurch hinreichend deutlich erklärt, dass die Werbe- sendung mit dem Vermerk „Annahme verweigert“ dem Zusteller zurückgegeben oder wieder in den Postbriefkasten geworfen wird. Empfehlenswert ist allerdings aus Beweisgründen die Schriftform.

3.3.8 Beispiel: Ungewollte Werbung

Eine Frau sammelt kleine Porzellanpuppen, sie hat schon eine sehr große Sammlung von mehr als zwanzig Stück. Jede dieser Puppen ist mehr als DM 100 wert. Auf der Suche nach neuen Fundstücken, schaut sie des öfteren einen Fernseh-Shopping- Sender. Einer dieser Sender hat alle zwei Wochen die Sendung „Puppenstübchen“ im Pro- gramm. Wenn sie eine schöne Puppe im Fernsehen entdeckt. bestellt sie diese. Ihre Wunschpuppe hat eine Bestellnummer, sie ruft eine kostenlose Telefonnummer an und be- stellt gegen Nachname. Eine Woche später wird die Ware geliefert und direkt beim Postbo- ten gegen eine Gebühr bezahlt. Sie hat bei dem Sender bisher schon viermal Bestellungen dieser Art gemacht. Acht Wochen nach der letzten Lieferung erhielt sie ein Werbeschreiben von einem kleinen Verlag aus Bayern, der ihr das monatlich erscheinende Magazin „Puppen- Träume“ zum Abonnement anbietet.

Die Frau fühlt sich von solchen und ähnlichen Werbemaßnahmen belästigt und möchte diese unterbinden. § 28 Abs. 3 BDSG und § 29 Abs. 3 BDSG sichern den Bürgern die Möglichkeit zu, durch einen Widerspruch gegenüber der speichernden Stelle die Übermittlung und Nut- zung seiner Daten „...für Zwecke der Werbung oder der Markt- und Meinungsforschung...“ zu verhindern.

Die Frau hätte also auf Grund dieser Rechtsnorm die Möglichkeit, einen Brief an den Fern- sehsender (speichernde Stelle) zu schreiben und gem. § 28 Abs. 3 Satz 1 BDSG von ihrem Widerspruchsrecht gebrauch zu machen und die Weitergabe ihrer Daten an Fremdfirmen zum Zwecke der Werbung und der Markt- und Meinungsforschung zu verbieten. Einen zwei- ten Brief könnte sie an den Verlag (Empfänger der Daten) schicken, und gem. § 28 Abs. 3 Satz 2 BDSG ihre Daten für die weitere Verwendung zum Zwecke der Werbung und Markt- und Meinungsforschung zu sperren.

Den Betroffenen Firmen bliebe nichts anderes übrig, als die Daten der Frau nicht mehr zu verwenden, an ihrem Widerspruch besteht kein Zweifel. Die Anschrift der Frau müsste in eine gesonderte Sperrdatei aufgenommen werden, damit sichergestellt ist, dass sie künftig nicht mehr durch Werbemaßnahmen belästigt wird.

Daneben besteht auch die Möglichkeit, dass sich die Frau auf die sogenannte „RobinsonListe“ setzen lässt. Ein großer Teil der Direktmarketing-Aktionen wird mit der Liste abgeglichen, mit der Folge, dass die dort vermerkten Adressen nicht mehr angeschrieben werden dürfen. Im Gegensatz zum Widerspruch besteht bei Eintragungen in die Liste allerdings keine Rechtspflicht der werbenden Unternehmen, Sendungen zu unterlassen.

3.3.9 Zweckbindung

Soweit Daten zulässig an Dritte übermittelt worden sind, unterliegen sie auch bei diesen ei- ner besonderen Zweckbindung. Dies ist allerdings nur auf den ersten Blick restriktiv. Auf den zweiten offenbart sich eine Reihe von Ausnahmen, die den Gehalt des Zweckbindungsgebot entwerten. Nach § 28 Abs. 4 Satz 1 BDSG darf der Empfänger die Daten zwar nur für die Zwecke verarbeiten oder nutzen, zu denen sie ihm übermittelt worden sind. Dies würde auf eine enge Auslegung der Zweckbestimmung schließen lassen. Dem steht jedoch die Rege- lung des Satzes 2 entgegen, der weitgehende Ausnahmen zulässt. Ist eine der sieben in Abs. 1 und 2 genannten Voraussetzungen erfüllt, dürfen die Daten auch zu diesen Zwecken verarbeitet werden. Damit besteht in der Konsequenz für die Empfänger von Daten im Rah- men dieser Vorschrift keine verschärfte Zweckbindung. Sie haben im Resultat den gleichen Verarbeitungsspielraum wie die übermittelnde Stelle.

Damit wird im Ergebnis auch die in Satz 3 vorgeschriebene Hinweispflicht, die eine Stärkung der Zweckbindung erzeugen sollte, weitgehend entwertet. Dem Empfänger ist hiernach der Zweck der Übermittlung bekannt zugeben, verbunden mit dem Hinweis, dass er von diesem nur unter den Voraussetzungen der Abs. 1 und 2 abweichen darf.

Im Einzelfall kehrt sich diese datenschutzbezogene Hinweispflicht ins Gegenteil, wenn sie Datenempfänger ausdrücklich auf die bestehenden Möglichkeiten für Zweckänderungen hinweist und damit erst den Anlass für weitergehende Verarbeitungen schafft.

3.3.10 Beispiel: Wirtschaftsauskunftei / Personalentscheidung

Möchte ein potentieller Kunde ein Haus bauen, so könnte sich die beauftragte Baufirma an eine Wirtschaftsauskunftei wenden, um Informationen über den potentiellen Kunden zu erhalten. Fällt die Prüfung negativ aus, so könnte die Baufirma den Auftrag ablehnen. Bewirbt sich jedoch ein Mann mittleren Alters bei der Baufirma für den Posten eines Vorarbeiters, und die Baufirma wendet sich zur Entscheidung ihrer Personalfrage wieder an die Wirtschaftsauskunftei, so wäre die Verwendung der Daten nicht rechtens.

Die Daten der Auskunftei werden zum Zwecke der Überprüfung der Bonität im Kreditgeschäft übermittelt, und nicht um zu überprüfen, wie ein Bewerber finanziell gestellt ist. Die Auskunft ist also streng zweckgebunden und darf vom Empfänger auch nur für diesen Zweck benutzt werden (§ 28 Abs. 4 BDSG).

3.4 Geschäftsmäßige Datenspeicherung zum Zwecke der Übermittlung

Die Vorschrift erfasst alle Fälle im Anwendungsbereich des Gesetzes, in denen personenbe- zogene Daten zur „Ware“ werden, also dritten Personen oder Unternehmen zu deren Zwe- cken überlassen werden. Den Sonderfall der Weitergabe in anonymisierter Form erfasst der § 30 BDSG.

Geschäftsmäßigkeit setzt voraus, dass die Tätigkeit auf eine Wiederholung angelegt ist und sie entgeltlich oder unentgeltlich ausgeübt wird.

Findet eine Übermittlung der für eigene Zwecke gespeicherten Daten nur gelegentlich statt, so findet ausschließlich § 28 BDSG Anwendung. Derselbe Datensatz kann allerdings gleich- zeitig für eigene Zwecke (§ 28 BDSG) und für Zwecke der Übermittlung (§ 29 BDSG) Ver- wendung finden.

Im Falle des § 29 BDSG entwickelt die speichernde Stelle Aktivitäten aus eigenem Entschluss. Dies unterscheidet sie von einem Auftragnehmer im Sinne des § 11 BDSG.

§ 29 Abs. 1 BDSG setzt lediglich eine Übermittlungsabsicht voraus; er greift daher bereits dann ein, wenn noch keine personenbezogenen Daten weitergegeben wurden, eine entsprechende Absicht aber für einige Zeit besteht.

Gemäß der Verweisung auf § 28 Abs. 1 Satz 2 BDSG gilt auch für diese Adressatengruppe, dass die Daten nach Treu und Glauben und auf rechtmäßige Art direkt beim Betroffenen erhoben werden müssen. Erhebungsmethoden, die gegen diesen Grundsatz verstoßen, machen eine nachfolgende Speicherung unzulässig.

Das Speichern oder Verändern zum Zweck der Übermittlung ist zulässig, wenn ein schutzwürdiges Interesse des Betroffenen nicht anzunehmen ist oder die Daten aus allgemein zugänglichen Quellen stammen und keine überwiegenden Interessen des Betroffenen offensichtlich dagegen stehen. Daneben kann eine freiwillig erteilte Einwilligung nach § 4 Abs. 1 BDSG die Datenverarbeitung rechtfertigen.

Die Speicherung muss im Rahmen des von der speichernden Stelle verfolgten Zweck erfor- derlich sein. Soweit Daten für die verfolgten Zwecke von Nutzen sein könnten, ist zu berück- sichtigen, welche Konsequenzen ihre Übermittlung gegebenenfalls für den Betroffenen hätte. Ein wichtiges Indiz ist dabei, dass es sich um sensible Daten im Sinne des § 28 Abs. 2 Nr. 1 Satz 2 BDSG handelt.

Nach § 29 Abs. 1 Nr. 2 Satz 1 BDSG bestehen weitere Möglichkeiten der Speicherung, wenn die Daten aus allgemein zugänglichen Quellen wie zum Beispiel einem Telefonbuch entnommen werden können; in diesem Fall ist die Speicherung nur ausgeschlossen, wenn das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.

Die eine Speicherung ausnahmsweise ausschließenden schutzwürdigen Interessen müssen eindeutig erkennbar sein und denen der speichernden Stelle offensichtlich überwiegen. Sind die Interessen in etwa gleichwertig, bleibt eine Speicherung zulässig.

Ohne Bedeutung ist, ob die Daten im konkreten Fall tatsächlich aus dem Register stammen oder anderweitig beschafft wurden; nach dem eindeutigen Gesetzeswortlaut reicht die Möglichkeit der Kenntnisnahme mit Hilfe allgemein zugänglicher Quellen.

Die korrekt nach § 29 Abs. 1 BDSG gespeicherten Daten dürfen nicht beliebig, sondern nur an Dritte übermittelt werden, wenn die Voraussetzungen des § 29 Abs. 2 BDSG erfüllt sind. Eine Übermittlung der Daten ist zulässig, wenn der Empfänger ein berechtigtes Interesse glaubhaft dargelegt hat oder es sich um listenmäßige oder sonst zusammengefasste Daten handelt, die für Zwecke der Werbung oder der Markt- oder Meinungsforschung übermittelt werden sollen und kein schutzwürdiges Gegeninteresse des Betroffenen anzunehmen ist.

Berechtigtes Interesse ist eine etwas niedrigerer Schwelle als das rechtliche Interesse. Es ist nicht erforderlich, dass sich der Empfänger auf eine besondere rechtliche Ermächtigung stützen kann.

Ob ein berechtigtes Interesse vorliegt, muss im Einzelfall nachvollziehbar sein. Der Empfänger muss sein berechtigtes Interesse glaubhaft darlegen. Hier entscheidet der Einzelfall. Ist der Empfänger der speichernden Stelle noch nicht sehr lange bekannt, wird sie ein höheres Maß an Spezifizierung verlangen müssen als bei einem langjährigen Geschäftspartner. Glaubhaft ist das berechtigte Interesse dann, wenn für seine Existenz eine überwiegende Wahrscheinlichkeit spricht. Die Tatsache, dass der Empfänger für die Information ein Entgelt zu zahlen bereit ist, ist allerdings noch kein Indiz in diese Richtung.

Die erfassten listenmäßig oder sonst zusammengefassten Daten bestimmen sich nach den- selben Grundsätzen wie im Rahmen des § 28 Abs. 2. BDSG. Zulässig ist eine solche Über- mittlung nur für Zwecke der Werbung oder der Markt- und Meinungsforschung. Die Übermittlung der Daten ist aber nur zulässig, wenn kein Interesse des Betroffenen gegenüberstehen. Hier gelten dieselben Wertmaßstäbe wie im Rahmen des § 29 Abs. 1 BDSG; das schutzwürdige Interesse am Ausschluss der Übermittlung muss allerdings nicht in allen Details dargelegt oder gar bewiesen werden - wie der Wortlaut des Gesetzes deut- lich macht, reicht eine plausible Darlegung („...Grund zu der Annahme...“). Nach § 29 Abs. 2 Satz 3 BDSG muss die speichernde Stelle bei der Übermittlung nach § 29 Abs. 2 Nr. 1 lit. a BDSG die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung protokollieren. Dabei reicht eine relativ knappe Beschreibung, wobei die dadurch anfallenden Daten der strengen Zweckbindung des § 31 BDSG unterliegen.

Für § 29 Abs. 3 BDSG gelten die selben Regelungen wie in § 28 Abs. 3 und 4 BDSG.

4 § 28 BDSG am Beispiel der SCHUFA

4.1 Die SCHUFA Organisation

Die SCHUFA (Schutzgemeinschaft für allgemeine Kreditsicherung) ist eine Gemeinschafts- einrichtung von Wirtschaftsunternehmen, die ihren Kunden Geld- oder Warenkredite ein- räumt.¹⁹

Dazu zählen:

- Geschäftsbanken
- Sparkassen
- Genossenschaftsbanken
- Kreditkarten- und Leasinggesellschaften
- Einzelhandels- und Versandhandelsunternehmen
- Telekommunikationsunternehmen
- Bausparkassen, soweit sie privaten Kunden Kredite geben
- Versicherungen, soweit sie privaten Kunden Kredite geben

In der Bundesrepublik gibt es derzeit acht regionale SCHUFA-Gesellschaften in der Rechtsform der GmbH, die der BUNDES-SCHUFA (Vereinigung der deutschen Schutzgemeinschaften für allgemeine Kreditsicherung e.V.) angehören. Sie erhält ihre Informationen vor allem von angeschlossenen Kreditinstituten (die auch gleichzeitig ihre Gesellschafter sind), die sich ihrerseits dazu von ihren Kunden ermächtigen lassen.

Bei der SCHUFA darf nur über Personen Auskunft eingeholt werden, mit denen die Vertragspartner ein konkretes, mit einem Kreditrisiko verbundenes Geschäft abschließen wollen (siehe auch 4.1.1). Grundlage für die Zusammenarbeit zwischen der SCHUFA und den Vertragspartnern ist ein Vertrag, die sogenannte SCHUFA-Klausel. Diese regelt den Informationsaustausch. Die SCHUFA bietet verschiedene Vertragsformen an, die unterschiedliche Verfahrensweisen regeln.

Die Vertragspartner erhalten nur dann von der SCHUFA personenbezogene Informationen, wenn sie in jedem Einzelfall ein berechtigtes Interesse im Sinne des BDSG glaubhaft nachweisen können.

Für die Zusammenarbeit der SCHUFA mit ihren Vertragspartnern gilt das Prinzip der gegen- seitigen Information. Der Verpflichtung der SCHUFA zur Erteilung von Auskünften entspricht die Verpflichtung ihrer Vertragspartner, bekannt werdende Informationen im definierten Um- fang an die SCHUFA weiterzuleiten. Nur so können die von der SCHUFA verwalteten Daten aktuell gehalten und gegebenenfalls an die übrigen Vertragspartner übermittelt werden.

4.1.1 Arbeitsweise der SCHUFA

Ein Vertragspartner muss in jedem Einzelfall ein berechtigtes Interesse im Sinne des BDSG, welches von der SCHUFA aufgezeichnet wird, nachweisen, wenn er eine Auskunft über eine bestimmte Person wünscht. Er muss z.B. angeben, ob der Kunde einen Kreditvertrag abschließen oder ein Girokonto eröffnen möchte.

In der SCHUFA-Auskunft an die Vertragspartner ist keine Information darüber enthalten, welches Institut die betreffenden Daten gemeldet hat.

Im gemeinsamen europäischen Binnenmarkt erfolgen Datenübermittlungen auch an ausländische Kreditinstitute. Hierzu arbeitet die SCHUFA mit ausländischen Schwesterorganisationen zusammen. Auf europäischer Ebene bildet dabei die EG-Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr den einheitlichen rechtlichen Rahmen für alle Mitglieder der Europäischen Union.

4.1.2 Leistungsangebot der SCHUFA

Die SCHUFA gibt ihren Vertragspartnern Auskünfte über private Kunden auch mit Wohnsitz im Ausland.

Auch nachträglich bekannt gewordene Informationen über die Kunden übermittelt die SCHUFA zu bestehenden Geschäftsverbindungen zwischen Vertragspartnern und deren Kunden. Dadurch wird sichergestellt, dass einmal gegebene Auskünfte über einen Kunden für die Dauer der Geschäftsbeziehung laufend aktualisiert werden.

Nachträgliche Informationen geben den Vertragspartnern die Möglichkeit, sofort zu reagie- ren, wenn sich die Bonität eines Kunden ändert. Dies ist besonders interessant für Vertrags- partner, die Giro- und Kreditkartenkonten führen. Vertragspartner können zwischen unter- schiedlich umfangreichen nachträglichen Informationen wählen, oder auf diesen Service ganz verzichten.

Die SCHUFA-Gesellschaften übernehmen Aufträge zur Ermittlung von Anschriften, wenn ein Kunde eines Vertragspartners unbekannt verzogen ist und er noch Verbindlichkeiten aus Geld- oder Warenkrediten hat. Solche Aufträge erstrecken sich in erster Linie auf Deutsch- land, können aber auch auf Österreich oder die Niederlande ausgedehnt werden. Stellt eine SCHUFA-Gesellschaft fest, dass die gesuchte Person bei einem anderen Ver- tragspartner eine mit Kreditrisiko verbundene Geschäftsbeziehung aufnehmen will, gibt sie die neue Anschrift unverzüglich an den Auftraggeber weiter. Der Vertragspartner erhält da- durch die Möglichkeit, noch offene Forderungen aus früheren Verträgen geltend zu machen. Die SCHUFA arbeitet jedoch nur mit ihren Vertragspartnern zusammen, so dass sie ander- weitige Adressänderungen, beispielsweise durch das Einwohnermeldeamt nicht registriert.

4.1.3 Datenspeicherung bei der SCHUFA

4.1.3.1 Von der SCHUFA erfasste Daten

Die deutschen SCHUFA-Gesellschaften arbeiten nach einem einheitlichen Verfahren. Die Vertragspartner der SCHUFA (z.B. Kreditinstitute) übermitteln Informationen, die im Rahmen von eigenen Geschäften mit ihren Kunden anfallen.²⁰ Dabei handelt es sich um Angaben zur Person:

- Name
- Vorname
- Geburtsdatum
- Geburtsort
- Anschrift
- frühere Anschriften

Neben diesen Basisdaten werden von der SCHUFA Informationen über die Aufnahme und vertragsgemäße Abwicklung eines Geschäftes gespeichert. Dazu zählen Kredit- oder Lea- singverträge mit Betrag und Laufzeit, sowie gegebenenfalls die vorzeitige Erledigung (z.B. Autoleasingverträge), Eröffnungen von Girokonten, die Ausgabe einer Kreditkarte, sowie die Einrichtung eines Telekommunikationskontos (d.h. Abschluss eines Mobilfunkvertrages).

Dazu werden auch Daten über die nichtvertragsgemäße Abwicklung von Geschäften aufgenommen. Zu nennen sind an dieser Stelle die Kündigung wegen Verzuges oder Vollstreckungsmaßnahmen und der Einspruch oder Widerspruch gegen einen Mahn- bzw. Vollstreckungsbescheid und dessen Erledigung.

Die Einziehung einer Kreditkarte oder die Kündigung eines Girokontos wegen missbräuchlicher Nutzung können auch nach Ausgleich des Schuldbetrages nicht durch einen Erledigungsvermerk ergänzt werden.

Darüber hinaus erfasst und speichert die SCHUFA auch Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen, wie zum Beispiel Haftbefehle zur Erzwingung der eidesstattlichen Versicherung, eidesstattliche Versicherungen selbst, Eröffnungen eines Verbraucher-, Insolvenz-, oder Konkursverfahrens. Auch die Abweisung und Einstellung eines solchen Verfahrens mangels Masse wird gespeichert.

Die SCHUFA speichert auch Daten zu Personen mit Wohnsitz im Ausland.

4.1.3.2 Von der SCHUFA nicht erfasste Daten

Informationen über Einkommens- und Vermögensverhältnisse, den Arbeitgeber und die familiären Verhältnisse werden nicht erfasst, beziehungsweise gar nicht von den Vertragspartnern übermittelt.

4.1.4 Fristen der Datenspeicherung

Die Daten werden nicht auf Dauer bei der SCHUFA gespeichert, sondern je nach Datenart nach Ablauf bestimmter Fristen gelöscht. Angaben über Anfragen werden nach 12 Monaten gelöscht; sie werden aber nur zehn Tage in Auskünften bekannt gegeben. Kredite werden zum Ende des dritten Kalenderjahres nach dem Jahr der Rückzahlung aus dem Datenbe- stand der SCHUFA entfernt. Daten über nicht vertragsgemäß abgewickelte Geschäfte ein- schließlich ihrer Erledigung werden regelmäßig zum Ende des dritten Kalenderjahres nach dem Jahr der Speicherung gelöscht. Giro- und Kreditkartenkonten verschwinden bei Konto- auflösung sofort aus dem Datenspeicher der SCHUFA, Kundenkonten des Handels dagegen erst nach drei Jahren. Daten aus den Schuldnerverzeichnissen der Amtsgerichte (Haftbefehl zur Erzwingung der eidesstattlichen Versicherung und eidesstattliche Versicherung selbst) werden nach drei Jahren, oder vorzeitig, wenn der SCHUFA eine Löschung durch das Amts- gericht nachgewiesen wird aus dem Datenbestand der SCHUFA vernichtet.

4.2 Das SCHUFA-Verfahren unter der Betrachtung des BDSG

4.2.1 Aufnahme der persönlichen Daten

Je nach Art des gewünschten Kredits erfragen die Kreditgeber zunächst von ihren Kunden alle persönlichen Angaben, die für eine Kreditentscheidung wichtig sind. Bei Kreditinstituten gehören dazu z.B. Angaben über das Einkommen, über weitere Kontoverbindungen und Kredite, sowie über sonstige Verpflichtungen.

§28 BDSG

[Datenspeicherung, -übermittlung und -nutzung für eigene Zwecke]

(1) Das Speichern, Verändern oderÜbermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke ist zulässig

1. im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähn- lichen Vertrauensverhältnisses mit dem Betroffenen,

2. soweit es zur Wahrung berechtigter Interessen der speichernden Stelle erforder- lich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interes- se des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzungüberwiegt.

Die Eröffnung eines Girokontoeröffnung kann als berechtigtes Interesse beurteilt werden. Die Speicherung der Daten und die anschließende Übermittlung an die SCHUFA beim kontoeröffnenden Kreditinstitut ist somit zulässig.

4.2.2 Aufklärungüber die SCHUFA-Klausel

Die Kunden werden von ihren Kreditinstituten darüber informiert, welche Daten zu welchem Zweck von der SCHUFA gespeichert werden; dabei wird den Kunden auch die Anschrift der für sie zuständigen SCHUFA-Geschäftsstelle mitgeteilt.

Die Kreditantragsteller werden auch darauf hingewiesen, dass gegebenenfalls Daten über die nicht vertragsgemäße Abwicklung und Angaben aus öffentlichen Verzeichnissen sowie amtlichen Bekanntmachungen gespeichert werden.

Gleichzeitig werden die Kunden gebeten, die sogenannte SCHUFA-Klausel zu unterschrei- ben. Durch die Unterschrift erklären sie sich damit einverstanden, dass ihre Daten der SCHUFA übermittelt und von dieser an andere Vertragspartner weitergegeben werden dür- fen.

4.2.3 Übermitteln der Daten an die SCHUFA

Nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG ist die Datenübermittlung im Rahmen der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnis mit dem Betroffenen zulässig.

4.2.4 Datenspeicherung bei der SCHUFA

Die der SCHUFA übermittelten Daten werden, bevor sie wieder beauskunftet werden, zunächst von der SCHUFA gespeichert. Diese Speicherung hat sich an § 29 Abs. 1 Satz 1 BDSG zu messen.²¹

§29 BDSG

[Geschäftsmäßige Datenspeicherung zum Zwecke derÜbermittlung]

(1) Das geschäftsmäßige Speichern oder Verändern personenbezogener Daten zumZwecke derÜbermittlung ist zulässig, wenn

1. kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Speicherung oder Veränderung hat.

Die Aufgabe der SCHUFA ist es, gespeicherte Daten wieder zur Verfügung zu stellen. Die Daten werden hier also zum Zweck der Übermittlung gespeichert.

Die in § 29 Abs. Satz 1, Nr. 1 BDSG geforderte Abwägung muss zum gleichen Ergebnis kommen wie die bereits durchgeführte Abwägung der Datenspeicherung beim Kreditinstitut laut § 28 BDSG.

Also ist eine Datenspeicherung bei der SCHUFA zulässig, wenn die Datenübermittlung durch das kontoeröffnende Kreditinstitut zulässig war.

4.2.5 Datenübermittlung durch die SCHUFA

Nach § 29 Abs. 2 BDSG ist die Datenübermittlung zulässig, wenn der Empfänger ein berech- tigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermitt- lung hat.

Da die Datenübermittlung an die SCHUFA wegen überwiegendem Interesse Dritter sowie die Speicherung gemäß der Interessenabwägung zulässig waren, kann die Datenübermittlung zurück von der SCHUFA an das Kreditinstitut nicht unzulässig sein.²²

4.3 Betroffenenrechte

4.3.1 Selbstauskunftsanspruch aus§34 BDSG

Jeder Bürger kann bei der SCHUFA gemäß § 34 BDSG eine Selbstauskunft einholen. Es besteht ein gesetzlicher Anspruch Informationen über die zur eigenen Person gespeicherten Daten zu erhalten, um deren Inhalt kontrollieren zu können. Bei eventuellen Fehlern in den von der SCHUFA gespeicherten Informationen kann sich der Betroffene an die zuständige Geschäftsstelle wenden und die entsprechenden Angaben prüfen lassen.²³ Ergibt die Prüfung, dass die Daten nachweislich falsch sind, so sind diese zu berichtigen. Anspruchsgrundlage ist hierbei § 35 Abs. 1 BDSG.

4.3.2 Löschungsanspruch aus§35 Abs. 2 BDSG

Nach § 35 Abs. 2 Satz 1 Nr. 1 BDSG sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist. Im Rahmen des Löschungsanspruchs wird also die Zulässigkeit der Speicherung nach den unter § 35 Abs. 2 Satz 1 bis 3 BDSG dargestellten Grundsätzen geprüft.

4.4 Das Scoring Verfahren

ASS (Auskunft-Scoring-Service) wurde auf der Grundlage der SCHUFA-Datenbank, der umfangreichsten Datensammlung über Konsumentenkredite, entwickelt. Mit diesem Service kann die traditionelle SCHUFA-Auskunft auf Wunsch des jeweiligen Vertragspartners um einen Score-Wert ergänzt werden.

Ein Score (englisch: Punktzahl) stellt das durchschnittliche Risiko aller Personen mit gleich- artigem Datenprofil dar. Diese Risikoprognose basiert auf umfangreichen mathematisch Ana- lysen von Vergangenheitsdaten. Aus diesen Erfahrungswerten heraus kann man auf gleich- artige Ereignisse in Gegenwart und Zukunft schließen. Ein solches Verfahren ist im Bereich der Versandhandel sowie bei Handels- und Wirtschaftsauskunfteien bereits weit verbreitet. Ähnliche Methoden nutzt man auch seit langem in der Markt- und Meinungsforschung, um z.B. Wahlergebnisse hochzurechnen oder Einschaltquoten von Fernsehsendungen zu ermitteln.

Für dieses SCHUFA-Score-Verfahren wird der SCHUFA-Datenbestand anonym ausgewer- tet. Aufgrund der Auswertungsergebnisse kann z.B. prognostiziert werden, dass ein bestimmter Kreditvertrag sich ähnlich entwickeln wird wie die Kreditverträge von Vergleichspersonen in der Vergangenheit verlaufen sind.

Laut einer SCHUFA-Broschüre²⁴ beschreibt eine, in einem Score zusammengefasste Prognose „immer nur ein allgemeines Risiko für Kreditverträge mit vergleichbaren Merkmalen; sie stellt keine Bewertung der Bonität eines konkreten Kunden dar.“

Dieser Service soll dazu dienen, vor Abschluss von Geschäften die Bonitätsprüfung mit kreditorischen Risiken zu erleichtern und die Risiken besser zu beurteilen. Laut dem Internetauftritt der SCHUFA sind „...mit Hilfe von ASS fundierte Prognosen darüber möglich, mit welcher Wahrscheinlichkeit Kredite vertragsgemäß zurückgezahlt werden |...| Der SCHUFA-Score ergänzt die bei Vertragspartnern bereits vorhandenen Bewertungssysteme und verbessert deren Aussagekraft und Trennschärfe erheblich.

ASS unterstützt die Vertragspartner bei ihren Entscheidungen

- zur Auswahl von Geschäften mit hoher Qualität,
- zur Auswahl von Kunden, die mit großer Wahrscheinlichkeit ihre Kreditverpflichtun-gen vertragsgemäß erfüllen,
- zur Ablehnung unerwünschter Risiken.

Mit ASS können die Vertragspartner ihre Kreditentscheidungen rationeller treffen und den Kreditbestand optimieren.“²⁵

4.5 Kritik am ASS-Scoring Verfahren

Der Bundesbeauftragte für den Datenschutz kritisierte schon mehrfach, dass die Aufsichtbe- hörden eine datenschutzrechtlich relevante Beeinträchtigung schutzwürdiger Belange der Betroffenen durch das Scoring-Verfahren verneinen und lediglich einige Empfehlungen an die SCHUFA aussprechen.²⁶ So empfahlen die Aufsichtsbehörden, „einen Hinweis auf das Scoring-Verfahren in das Merkblatt zur SCHUFA-Klausel aufzunehmen sowie sicherzustel- len, dass ihre Vertragspartner den Scorewert allein zugunsten der Kreditnehmer nutzen und im Falle eines Auskunftsbegehrens das Scoring-Verfahren allgemein erläutern.“²⁷

Der Datenschutzbeauftragte teilt nicht die von der SCHUFA in ihrem Merkblatt für den Be-troffenen gemachte Aussage, dass die in einem Scorewert zusammengefasste Prognose keine Bewertung der Bonität eines konkreten Kunden darstelle.

1. Durch das Bilden eines Scorewertes fügt die SCHUFA den Daten des Betroffenen einen zusätzlichen Wert hinzu. Dieser Wert ist zwar rein statistischer Natur und beruht auf im SCHUFA-Bestand enthaltenen Erfahrungen mit Kreditverläufen anderer Schuldner (mit ähn- lichen Merkmalen). Der Scorewert wird den allgemeinen SCHUFA-Daten bei der Übermitt- lung an die Vertragspartner beigefügt und ermöglicht somit einen Vergleich mit anderen Schuldnern und Kreditsuchenden. Dies soll dem anfragenden Vertragspartner im Massenge- schäft die Abwicklung erleichtern.

Der Kunde wird also auf einen Wert innerhalb einer Bezugsgruppe mit gleichen Daten zugeordnet. Dies kann man als Bewertung interpretieren.

2. Laut SCHUFA heißt es in Bezug auf das Scoring-Verfahren, dass die „so gewonnene Wahrscheinlichkeitsaussage daher nie für eine konkrete Person, sondern immer nur für Gruppen mit gleichem Datenmaterial gilt.“²⁸

Gleichzeitig heißt es nach eigenen Angaben der SCHUFA, das Score-Verfahren helfe „Kreditentscheidungen objektiv und rationell zu treffen.“²⁹

Hier ist ein Widerspruch zu erkennen, denn wie soll das Score-Verfahren bei Kreditentschei- dungen objektiv und rational helfen, wenn es gleichzeitig nicht auf bestimmte Personen zu- trifft?

5 Literaturverzeichnis

Bergmann / Möhrle / Herb: Datenschutzrecht, Handkommentar, Band 1: Boorberg Verlag, 1994

Däubler, Wolfgang: Bundesdatenschutzgesetz, Basiskommentar mit der neuen EGDatenschutzrichtlinie, Köln: Bund-Verlag, 1996

Kamlah, Wulf: Das SCHUFA-Verfahren und seine datenschutzrechtliche Zulässigkeit,

in: MultiMedia und Recht; Zeitschrift für Informations-, Telekommunikations- und Medientechnik, Seite 395-404; vom 14. Juli 1999, Verlag C.H. Beck München

Kloepfer, Michael: Datenschutz als Grundrecht: Verfassungsprobleme der Einführung eines Grundrechts auf Datenschutz, Königstein/Taunus: Artenäum Verlag GmbH, 1980

Orwell, George: Nineteen Eighty-Four, Harmondsworth, Middlesex, England: Penguin Books Ltd., 2000

Schaffland H.J. / Wiltfang. N: Bundesdatenschutzgesetz (BDSG), Ergänzbarer Kommentar nebst einschlägigen Rechtsvorschriften: Erich Schmidt Verlag

Schimmeck, Tom: Vorsicht: Datenspitzel, in: Die Woche, Nr. 51 vom 15.12.2000, Hamburg: Die Woche Zeitungsverlag GmbH & Co, Vertriebs KG

Schimmeck, Tom: Splitternackt im Datenmeer, in: Die Woche, Nr. 51 vom 15.12.2000, Hamburg: Die Woche Zeitungsverlag GmbH & Co, Vertriebs KG

Strömer, Tobias H.: Daten auf Wanderschaft -Wie personenbezogene Daten im Internet zu behandeln sind, in http://www.competence-site.de vom 4.12.2000, 18:37 Uhr

Jacob, Joachim: Viele kleine Brüder, in: Die Woche, Nr. 51 vom 15.12.2000, Hamburg: Die Woche Zeitungsverlag GmbH & Co, Vertriebs KG

Taeger, Jürgen: Die Volkszählung, Originalausgabe, Reinbek: Rohwohlt Taschenbuch Ver- lag GmbH

Tinnfeld, Marie-Theres: Einführung in das Datenschutzrecht, 3. durchgesichtete Auflage,

München; Wien: Oldenbourg Verlag GmbH, 1998

o.V.: Bundesdatenschutz, Text und Erläuterung, 6. Auflage, Bonn: Der Bundesbeauftragte für den Datenschutz, 2000

o.V.: Informations-Faltblatt der SCHUFA-Nord: Was Sie über SCHUFA sollten, in: http://www.schufa.de/Verbraucher/index.htm vom 19.12.2000, 12:33 Uhr

o.V.: Informationsbroschüre der SCHUFA: Informationen für Verbraucher zum Score System ASS der SCHUFA, in http://www.schufa.de/Verbraucher/index.htm vom 19.12.2000, 12:45 Uhr

o.V.: Informationsbroschüre der SCHUFA: DieSCHUFA-Organisation schützt Kreditgeber und Kreditnehmer, in: http://www.schufa.de/Verbraucher/index.htm vom 20.12.2000, 17:23 Uhr

o.V.: SCHUFA-Merkblatt der Volksbanken und Raiffeisenbanken; erhältlich in allen Filialen der Volks- und Raiffeisenbanken; DG Verlag Nr. 200 606

o.V.: SCHUFA-Klausel für Kontoeröffnungsanträge der Volksbanken und Raiffeisenbanken; erhältlich in allen Filialen der Volks- und Raiffeisenbanken; DG Verlag Nr. 340 16 I

[...]

---

¹ Vgl. George Orwell, Nineteen Eigthy-Four

² Vgl. BverfGE 65, 1 ff. = NJW 84, 419 ff.

³ Vgl. Die Woche 2000

⁴ Vgl. GVBl. I, 625

⁵ Vgl. BGBl. I, 201

⁶ Vgl. BGBl. I, 2954

⁷ Vgl. BGH, RDV 1995, 172

⁸ Vgl. BverfGE 65, 1, 42

⁹ Vgl. Art. 5 Europaratsübereinkommen vom 28.1.1981, BGBl. 1985 II, 538 6

¹⁰ Vgl. BAG, NZA 1987, 415, 416

¹¹ Vgl. BGH, NJW 86, 1886; VGH Mannheim, NJW 84, 1911

¹² Vgl. BverfG 65, 1 ff.

¹³ Vgl. BverfG, CR 1992, 368, 369

¹⁴ Vgl. BGH, NJW 1991, 1532, 1533

¹⁵ Vgl. BverfGE 33, 52, 65

¹⁶ Vgl. OLG Hamm, NJW 1996, 940, 941

¹⁷ Vgl. BverfGE, 35,79, 113 = NJW 1973, 1176

¹⁸ Vgl. BverfG, NJW 1984, 419, 422

¹⁹ Vgl. „Die SCHUFA-Organisation schützt Kreditgeber und Kreditnehmer,“ S .4 22

²⁰ Vgl. Faltblatt „Was Sie über die SCHUFA wissen sollten“

²¹ so auch Kamlah, S. 399

²² so auch Kamlah, S. 399

²³ Vgl. http://www.schufa.de/Verbraucher/index.htm

²⁴ Broschüre der SCHUFA Nord, „Was Sie über SCHUFA wissen sollten“

²⁵ Vgl. http://www.SCHUFA.de/Unternehmen/index.htm

²⁶ Tätigkeitsbericht 1997/1998; 31.3 (s. 16. TB Nr. 31.2.3)

²⁷ Der Bundesbeauftragte für den Datenschutz im Tätigkeitsbericht 1997/1998; 31.3 Ringen um ein Mehr oder Weniger an Datenschutz: Allfinanzklauseln und Scoring-Verfahren

²⁸ Vgl. SCHUFA Broschüre „Informationen für Verbraucher zum Score System ASS der SCHUFA,“ Seite 5

²⁹ Vgl. : „Was Sie über die SCHUFA wissen sollten,“ Punkt: Aussage für einen Zeitpunkt 30