Bei den bislang in Deutschland gebräuchlichen Inhaberaktien ist den Aktiengesellschaften die Identität ihrer Aktionäre regelmäßig nicht bekannt, wohingegen Namensaktien nach den Bestimmungen des Aktiengesetzes unter Bezeichnung des Inhabers nach Namen, Wohnort und Beruf in das Aktienbuch der Gesellschaft einzutragen sind (§ 67 Abs. 1 Aktiengesetz (AktG)). Problematisch ist dies aus datenschutzrechtlicher Sicht aus zwei Gründen: Zum einen kann nach § 67 Abs. 5 AktG jeder Anteilseigner Einsicht in das Aktienbuch nehmen. Hierfür reicht der Erwerb nur einer Aktie aus. Zum anderen finden sich im Aktiengesetz keine datenschutzrechtlichen Bestimmungen zum Umgang mit den im Aktienbuch aufgeführten personenbezogenen Daten der Aktionäre durch die Gesellschaft, so dass auf die allgemeinen Regelungen des BDSG zurückgegriffen werden muss.

Die Einsichtnahme in das Aktienbuch ist jedem Aktionär ohne Nachweis eines besonderen Interesses zu gewähren (§ 67 Abs. 5 AktG). Das Gesetz schränkt somit die Möglichkeit, sich Kenntnis über seine Mitaktionäre zu verschaffen, nicht ein. Die Aktiengesellschaften können allerdings sowohl in inhaltlicher als auch in organisatorischer Hinsicht die Möglichkeiten zur Einsichtnahme begrenzen. Die Daten der Aktionäre werden bei den verschiedenen Gesellschaften, die im Laufe dieses Jahres ihren Bestand auf Namensaktien umgestellt haben, ganz unterschiedlich aufgeführt. So wird unter dem Merkmal "Wohnort" nicht bei allen Gesellschaften die komplette Adresse, sondern nur die Stadt angegeben. Hinsichtlich der beruflichen Tätigkeit wird meist eine Eintragung nach Kategorien wie "Angestellter", "Selbständig", "Beamter" oder "Hausfrau" vorgenommen. Zwar führen fast alle Unternehmen im Aktienbuch noch weitere als die in § 67 Abs. 1 AktG genannten Daten, wie z. B. die Gesamtstückzahl, Fremd- oder Eigenbesitz, Datum des An- bzw. Verkaufs, letztes Bewegungsdatum oder Nationalität des Aktionärs, auf, jedoch werden Daten wie Beruf und Nationalität dabei teilweise verschlüsselt angegeben und sind für den Einsicht nehmenden Aktionär nicht identifizierbar. In einem Referentenentwurf des Bundesministeriums für Justiz zum Namensaktiengesetz (NAstraG) soll auf die Berufsangabe verzichtet werden. Dies ist schon deshalb sinnvoll, da sie gerade - wenn nur eine sehr grobe Einteilung vorgenommen wird - wenig aussagekräftig ist. Das nach dem Aktiengesetz nicht vorgesehene Merkmal "Nationalität" ist hingegen erforderlich, wenn die Gesellschaft, um als nationale Gesellschaft anerkannt zu werden, mindestens zur Hälfte deutsche Anteilseigner aufweisen muss.

Auch die von den Aktiengesellschaften angebotenen Modalitäten der Einsichtnahme begrenzen die Möglichkeit des "Ausspionierens" von Mitaktionären. Einsicht in das Aktienbuch wird nur in den Geschäftsräumen des Unternehmens unter Aufsicht von Mitarbeitern gewährt. Verlangt werden kann nur ein Ausdruck der eigenen Daten, nicht aber eine Kopie des gesamten Aktienbuchs. Zwar ist jedem Aktionär Einsicht in das gesamte Aktienbuch zu gewähren (§ 67 Abs. 5 AktG), in der uns bisher bekannten Praxis der Gesellschaften war es aber nicht möglich, das Aktienbuch nach einer bestimmten Person zu durchsuchen. Teilweise werden per Zufallsgenerator die Daten eines beliebigen Aktionärs eingespielt, bei der Sortierung nach Aktien oder Aktionärsnummern erscheinen die Namen in beliebiger Reihenfolge. Eine Invertsuche nach Namen ist nicht möglich. Bei keiner der von uns befragten Gesellschaften wird dem Aktionär im Rahmen einer Einsichtnahme die Möglichkeit der Auswertung nach bestimmten Suchfunktionen gewährt. Ihm wird lediglich das Recht eingeräumt, das Aktienbuch "durchzublättern", d. h. sich nacheinander Seite für Seite anzuschauen. Dies entspricht auch dem Sinn und Zweck der Regelung des § 67 Abs. 1 AktG, die es dem Aktionär einerseits zwar ermöglichen soll, sich über seine Mitaktionäre zu informieren, andererseits stellt das Aktienbuch aber ein internes Dokument der Gesellschaft dar, dessen Einsichtsrecht gerade nicht mit dem eines öffentlich zugänglichen Registers vergleichbar ist.

Grundsätzlich können alle Aktionäre, die anonym bleiben wollen, ihre Depotbank oder einen anderen Treuhänder benennen, der statt ihrer als Fremdbesitzer im Aktienbuch verzeichnet wird. In unserem Fall stellte sich heraus, dass die Weigerung der Bank, sich als Treuhänder in das Aktienbuch eintragen zu lassen, nur auf Unkenntnis des betreffenden Mitarbeiters beruhte.

Ziel kann es jedoch nicht sein, sämtlichen Aktionären, die ihre persönlichen Daten der Gesellschaft und/oder den Mitaktionären nicht offenbaren wollen, lediglich die Möglichkeit einzuräumen, ihre Depotbank als Anteilseigner eintragen zu lassen, zumal ein solcher Eintrag nicht nur mit finanziellen Nachteilen verbunden ist. Gegenüber der Gesellschaft gilt nur derjenige als Aktionär, der auch im Aktienbuch eingetragen ist (§ 67 Abs. 2 AktG). Eine Teilnahme an der Hauptversammlung bzw. eine Ausübung des Stimmrechts setzt eine entsprechende Bevollmächtigung durch die depotführende Bank voraus. Die bisher zufrieden stellende Praxis der Aktiengesellschaften ändert nichts daran, dass es aus datenschutzrechtlicher Sicht zu begrüßen wäre, wenn die Einsichtsmöglichkeiten der Aktionäre insgesamt eingeschränkt werden und der Aktionär zukünftig nur noch in die ihn betreffenden Eintragungen Einsicht verlangen kann. Der Referentenentwurf sieht eine entsprechende Einschränkung vor.

Eine Beschränkung des Einsichtsrechts der Aktionäre schützt diese jedoch nicht vor Nutzung ihrer personenbezogenen Daten durch das Unternehmen. Sämtliche Aktienbücher der großen Gesellschaften werden elektronisch geführt. Zwar sind die Aktienbücher unterschiedlich aufgebaut, d. h. größtenteils nach Aktionärsnummern, teilweise auch nach Aktiennummern sortiert. Jedes dieser elektronisch geführten Aktienbücher bietet der Gesellschaft jedoch die Möglichkeit, die Daten ihrer Aktionäre gezielt auszuwerten und so Erkenntnisse über die Aktionärsstruktur zu erhalten. Wie ist die soziale Schichtung? Wie hoch ist die Anzahl der ausländischen Aktionäre? Wann kauft ein Aktionär Aktien? Zu welchem Zeitpunkt verkauft er wieder? Welche Besitzintervalle liegen vor? Die elektronische Auswertung ermöglicht die Erstellung von Bewegungslisten zu einzelnen Aktionären.

Im Aktiengesetz findet sich bisher keine Datenschutzbestimmung, die die Nutzung der im Aktienbuch enthaltenen personenbezogenen Daten durch die Gesellschaft - z. B. zu Werbezwecken oder zur Erstellung einer Aktionärsdemographie - regelt. Nach dem Bundesdatenschutzgesetz darf eine Aktiengesellschaft die Daten aus dem Aktienbuch nur im Rahmen der Zweckbestimmung des Vertragsverhältnisses mit ihren Aktionären nutzen (§ 28 Abs. 1 Satz 1 Nr. 1). Die elektronischen Auswertungsmöglichkeiten dürfen also nur insoweit genutzt werden, wie es dem Zweck des Aktienbuchs entspricht. Das Aktienbuch dient u. a. dazu, die Gesellschaft über ihre Aktionäre zu informieren. Eine Nutzung der Aktionärsdaten im Rahmen der Investor-Relations-Tätigkeit der Gesellschaft ist daher grundsätzlich zulässig. Wir würden es begrüßen, wenn der Gesetzgeber in dem Namensaktiengesetz eine abschließende (bereichsspezifische) Regelung zur Nutzung und Verarbeitung der Aktionärsdaten treffen würde. Hierbei sollte insbesondere auch geregelt werden, dass die Gesellschaft die personenbezogenen Daten des Aktionärs nicht an Dritte für Zwecke der Werbung übermitteln darf.

Bei einem Antrag auf Eröffnung eines Girokontos kommt nur ein Speichern von Daten in Frage, die für einen späteren Vertragsschluss erforderlich sind (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG). Die speichernde Stelle muss sich dabei auf die Verwendung der für den konkreten Vertragszweck erforderlichen Daten beschränken. Die Vertragszwecke von Giro- und Kreditverträgen unterscheiden sich erheblich voneinander, so dass eine Bank bei einem Kreditvertrag umfangreichere Daten zu den Vermögensverhältnissen des Kunden speichern darf.

Das Kreditinstitut verwendet das Formular sowohl für Giro- als auch für Kreditverträge. Es hat zwar darauf hingewiesen, dass es von Kunden, die nur ein Girokonto eröffnen möchten, nicht die gesamten im Formular vorgesehenen Angaben benötigt. Dies ist dem Formular selbst jedoch nicht zu entnehmen. Das äußere Erscheinungsbild des Formulars lässt eher vermuten, dass es im Ermessen des einzelnen Bankmitarbeiters liegt, welche konkreten Daten er von dem Kunden erhebt. Künftig sollten zwei getrennte Selbstauskunftsbögen für Girokontoeröffnungen und Kreditverträge verwendet werden.

Angaben zum Beruf, zur Nationalität, zum Familien- bzw. Güterstand sowie zum Wehrdienst sind für die Ausführung eines Girovertrages für das Kreditinstitut nicht relevant. Die Speicherung dieser Daten ist daher unzulässig. Dies gilt für das Datum "Wehrdienst" auch im Falle eines Kreditvertrages, da es zur Prüfung der Bonität für das Kreditinstitut irrelevant ist, ob der zukünftige Vertragspartner seinen Wehrdienst abgeleistet hat oder nicht.

Detaillierte Angaben zum monatlichen Einkommen sowie zu den Vermögenswerten sind bei Eröffnung eines Girokontos auch im Falle der Einräumung eines Dispositionskredites nicht erforderlich. Es ist üblich, dass dem Neukunden zunächst eine geringe Kreditlinie eingeräumt wird, die später entsprechend der Höhe der monatlichen Eingänge erhöht wird. Zur Sicherheit des zunächst eingeräumten niedrigen Dispositionskredites genügt die Angabe, ob der Antragsteller regelmäßige monatliche Einkünfte hat. Die Art der Einkünfte ist dabei irrelevant. Anders stellt sich die Situation im Fall eines Kredit-/Leasingvertrages dar, da hier die Bank eine Leistung erbringt, für die entsprechende Sicherheiten durch den Antragsteller zur Verfügung gestellt werden müssen.

Die Einwilligungserklärung, welche das Kreditinstitut berechtigt, jederzeit das Grundbuch und die Grundakten einzusehen und einfache oder beglaubigte Abschriften und Auszüge zu beantragen, ist bei Eröffnung eines Girokontos gleichfalls unzulässig. Nach § 12 Grundbuchordnung ist die Einsicht in das Grundbuch nur bei Darlegung eines berechtigten Interesses gestattet. Ein berechtigtes wirtschaftliches Interesse des Kreditinstitutes ist abzulehnen, da eine Kreditgewährung nicht in Aussicht steht und somit auch keine entsprechenden Sicherheiten durch den Antragsteller angeboten werden müssen. Erst recht unzulässig ist daher das Beantragen von einfachen oder beglaubigten Abschriften und Auszügen aus dem Grundbuch und den Grundakten. Die Einwilligungserklärung in die Einsichtnahme in das Grundbuch durch die Bank stellt eine unzulässige Datenerhebung dar, da Daten, die der Bank gerade nicht zugänglich sind, ihr mit Hilfe einer Selbstauskunftserklärung des Antragstellers zugänglich gemacht werden sollen.

Der weitere Teil der Einwilligungserklärung, durch welchen das Kreditinstitut ermächtigt wird, Auskünfte bei Versicherungen, Behörden und sonstigen Stellen einzuholen, die zur Beurteilung des Kredit-/Leasingantrages für erforderlich gehalten werden, ist in dieser allgemeinen Formulierung unzulässig. Hier ist den Betroffenen nicht klar, in welche öffentlichen Register Einsicht genommen und bei welchen Versicherungen, Kreditinstituten und Behörden angefragt werden soll. Vor der Entscheidung über einen Kreditantrag kann es im Einzelfall zwar erforderlich sein, weitere Informationen von anderen Stellen einzuholen, dennoch muss dem Betroffenen bei Abgabe seiner Einverständniserklärung auch immer die Tragweite seiner Einwilligung bewusst sein (§ 4 Abs. 1 BDSG), d. h. ihm müssen die Stellen, von denen weitere Daten abgefragt werden sollen, genau benannt werden. Die pauschal gehaltene Einwilligungserklärung des Selbstauskunftsbogens nimmt dem Betroffenen die Möglichkeit, das Ausmaß seiner Einwilligung zu überblicken, und ist daher mit § 4 Abs. 1 BDSG nicht vereinbar.

Das Kreditinstitut ist unseren Hinweisen bisher nicht gefolgt.

Bei der Mitteilung von Namen und Kontonummer des Einzahlers auf den Kontoauszügen des Empfängers handelt es sich um eine Datenübermittlung nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG. Die vertragliche Zweckbestimmung gibt vor, welche Daten übermittelt werden dürfen. Eine Datenübermittlung, die zur Verwirklichung des Vertragszwecks nicht erforderlich ist, ist somit unzulässig.

Zur Ausführung des Überweisungsauftrags ist es nicht erforderlich, dem Überweisungsempfänger die Kontonummer des Einzahlers zur Kenntnis zu bringen. Zur Identifizierung eines Überweisungsauftrages ist es ausreichend, dass der Name des Einzahlers, der von ihm angegebene Verwendungszweck - so wie er auf dem dafür vorgesehenen Feld des Überweisungsträgers angegeben ist - sowie die Höhe des zu überweisenden Betrages auf dem Kontoauszug des Empfängers erscheinen. Für den Empfänger der Zahlung sind diese Daten ausreichend, um den Zahlungsbetrag auf seinem Konto einer bestimmten Person zuordnen zu können.

Wir haben beide Kreditinstitute auf die Unzulässigkeit der Übermittlung der Kontonummer des Einzahlers an den Geldempfänger hingewiesen, woraufhin eines der Kreditinstitute sich sofort an den zuständigen Bundesverband wandte. Der Bundesverband Öffentlicher Banken Deutschlands hat sich daraufhin bereit erklärt, die ihm angeschlossenen Kreditinstitute zu bitten, künftig bei den papiergebundenen Kontoauszügen im Datenträgeraustausch die Angabe der Kontonummer des Auftraggebers zu unterdrücken. Auf den Kontoauszügen dieses Kreditinstituts erscheint die Kontonummer des Einzahlenden nicht mehr. Das andere Kreditinstitut hat unseren Hinweis bisher leider nicht umgesetzt.

Es handelte sich dabei um die Abrechnungsvorgänge im Rahmen einer ärztlichen Begutachtung, also das Arzthonorar für den externen ärztlichen Gutachter, der für eine private Versicherung tätig geworden ist.

Wenn ein Arzt für die Begleichung seiner Kosten eine Rechnungsnummer und/oder ein Buchungskennzeichen angab, hat die Versicherung seine Gebühren nur unter Angabe dieser "Buchungszeichen" überwiesen. Die Versicherung räumte allerdings ein, dass dies die Ausnahme sei, weil die Ärzte auf ihren Kostenabrechnungen nur selten solche Buchungsdaten angäben. Die Ärzte erwarten jedoch auf der Überweisung einen Verwendungszweck, der ihnen eine Zuordnung der überwiesenen Geldbeträge in der eigenen Buchhaltung ermöglicht. Im Regelfall wird dann, wenn keine anonymen Buchungszeichen angegeben werden, der Name des Kunden (Patienten) sowie eine sehr allgemein formulierte Angabe (z. B. "Untersuchung vom ...." oder "Gutachten vom ....") verwendet. Ein konkreter Untersuchungsgrund oder Anlass sollte nicht genannt werden. Auf unsere Anregung hat das betroffene Versicherungsunternehmen veranlasst, dass die Fragebögen und seitens der Versicherung vorbereitete Druckstücke in der Form ergänzt werden, dass die Versicherung ausdrücklich darum bittet, ihr die für die Begleichung der Rechnung erforderlichen Buchungszeichen zu benennen, damit diese auf der Überweisung als Verwendungszweck angegeben und auf den Namen des Patienten verzichtet werden könne. Allerdings bleibt für den Fall, dass ein Arzt insoweit nicht mitwirkt, der Versicherung nichts anderes übrig, als unter dem Kundennamen des Patienten die Arztrechnung zu begleichen. Dann liegt das Verschulden jedoch nicht bei der Versicherung, sondern in der nachlässigen Handhabung des Arztes selbst.

Die Befürchtungen sind nicht von der Hand zu weisen. Daueraufträge geben zum Beispiel Informationen über sachliche Verhältnisse, die zur regelmäßigen Zahlung führen wie Mieten, Wohngelder, Mitgliedsbeiträge in Vereinen jeglicher Art, regelmäßige Unterstützungen, Unterhaltszahlung und manches mehr. Aus den Angaben, die unter Verwendung einer gestohlenen Karte abgefragt werden können, könnten Rückschlüsse gezogen werden, die zur Beurteilung von Ertrag und Risiken von Straftaten (Einbruch, Entführung etc.) geeignet sein könnten.

Zwar ermöglichen es alle Kreditinstitute, an Kontoauszugsdruckern ohne Eingabe einer Geheimzahl Kontoauszüge abzurufen, was einer angeblich der Kundenfreundlichkeit dienenden bundesweiten Vorgabe des Zentralen Kreditausschusses (ZKA) entspricht. Die Praxis an den Selbstbedienungsterminals der Landesbank Berlin geht aber weit darüber hinaus und wird bei den von uns geprüften anderen Kreditinstituten in Berlin anders gehandhabt. Dort wird die PIN nach dem Einschieben der Karte verlangt. Auch die Preisgabe der weiteren Informationen zum Konto ist somit erst nach dieser weiteren Authentifizierung möglich.

Die Landesbank Berlin war der Auffassung, dass sie gegen keine datenschutzrechtlichen Bestimmungen verstößt. Nachdem wir darauf hingewiesen hatten, dass die festgestellte Praxis ein nicht unerheblicher Mangel der Speicherkontrolle nach § 5 Abs. 3 Nr. 3 BlnDSG ist und somit sehr wohl im Widerspruch zu datenschutzrechtlichen Bestimmungen steht, stufte die Bank im August 1998 die mit der späten PIN-Eingabe verbundenen Risiken als "sehr klein" ein, bekundete aber ihr starkes Eigeninteresse an einem hohen Datenschutzstandard. Mit der Erweiterung der Datenbereitstellungen an den Terminals sei die Vorverlagerung der PIN-Prüfung vorgesehen. Wegen der vorrangigen Arbeiten zur Umstellung auf den EURO und der Maßnahmen gegen das Jahr-2000-Problem sei die Programmierung jedoch auf Frühjahr 1999 verschoben worden.

Dabei hatte die Landesbank jedoch die Rechnung ohne die Datenverarbeitungsgesellschaft (dvg) Hannover gemacht, ein Unternehmen, welches für die norddeutschen Sparkassen die Entwicklung und Betreuung der IT-Verfahren durchführt. Noch im März 1999 waren die Kapazitäten der dvg Hannover mit dem EURO und dem Y2K-Problem dermaßen belastet, dass eine Lösung des Problems erst im Herbst zu erwarten war. Wir haben daraufhin unsere Missbilligung zum Ausdruck gebracht, dass die dvg dem Datenschutz und der informationstechnischen Sicherheit zugunsten der Kunden nicht die gesetzlich gebotene Priorität einräumt. Nachdem die Realisierung im Herbst noch einmal bekräftigt, dann auf Ende November verschoben worden war, ergab eine Kontrolle im Dezember keine Veränderungen. Allerdings war die Landesbank mit Kräften bemüht, ihren Programmier-Auftragnehmer dvg von der Dringlichkeit der Änderung zu überzeugen, zumal das erweiterte Informationsangebot mit der Jahr-2000-Umstellung verfügbar sein sollte. Inzwischen liegt uns die Mitteilung vor, dass Mitte Januar 2000 die Vorverlagerung der PIN-Eingabe in einigen Filialen im Pilotversuch erprobt und nach erfolgreichem Abschluss eingeführt werden soll.

Die speichernde Stelle hat eine Auskunft zu den gespeicherten Daten grundsätzlich kostenlos zu erteilen (§ 34 Abs. 5 Satz 1 BDSG). Die gebührenpflichtige Auskunft stellt schon nach dem Gesetzeswortlaut eine Ausnahme dar (§ 34 Abs. 5 Satz 2 BDSG). Von § 34 Abs. 5 Satz 2 BDSG sollte die speichernde Stelle daher nur sehr eingeschränkt Gebrauch machen, zumal eine Entgeltlichkeit der Auskunft den Betroffenen in der Wahrnehmung seiner Rechte behindert. Was die SCHUFA betrifft, so soll durch diese Entgeltregelung vor allem verhindert werden, dass z. B. eine Bank auf die für sie mit Kosten verbundene Abfrage bei der SCHUFA verzichtet und stattdessen die Kundin bzw. den Kunden veranlasst, die kostenlose Selbstauskunft einzuholen.

Gegen eine grundsätzliche Entgeltverpflichtung bei der Einholung einer schriftlichen SCHUFA-Selbstauskunft bestehen Bedenken. Nach § 34 Abs. 5 Satz 2 BDSG darf ein Entgelt für eine Auskunft von Auskunfteien nur erhoben werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Auskunfteien und Kreditinformationseinrichtungen sind also nicht befugt, generell darauf zu verweisen, dass die Daten auch als "Selbstauskunft" zu kommerziellen Zwecken verwendet werden könnten. Vielmehr muss für die Auskunftei erkennbar sein, dass der Betroffene unmittelbar und in einem konkreten Fall die Auskunft zu wirtschaftlichen Zwecken beantragt. Fordert ein Bürger eine Selbstauskunft zur Überprüfung der Richtigkeit des Datensatzes an, so geschieht dies ausschließlich zu persönlichen Zwecken ohne kommerzielle Verwendungsabsicht. In diesem Fall ist die Erhebung einer Gebühr unzulässig.

Aber auch bei einer Selbstauskunft, die der Betroffene zu wirtschaftlichen Zwecken einholt, dürfen bei der Festlegung der Höhe des Entgelts nur die direkt zurechenbaren Kosten berücksichtigt werden (§ 34 Abs. 5 Satz 3 BDSG). Hierzu zählen z. B. die Selbstkosten für Material und Porto sowie anteilige Maschinen- und Personalkosten für die Zeit, welche durch die Auskunftserteilung aufgewendet wird. Die speichernde Stelle muss in jedem Fall in der Lage sein, die Zusammensetzung des Entgelts der Aufsichtsbehörde im Einzelnen nachzuweisen.

Das Landgericht Berlin hat die Höhe von 15,00 DM pro SCHUFA-Selbstauskunft für unzulässig erklärt, da allgemeine Verwaltungs- und Betriebskosten in die Höhe des Entgelts nicht mit einzubeziehen sind und ein Gewinn mit der Auskunft nicht erzielt werden darf[144]. Der Petent hatte unter Vorlage eines Jahresberichts der SCHUFA aus dem Jahre 1996 nachgewiesen, dass die tatsächlichen Kosten pro Auskunft deutlich unter 1,00 DM lagen, und die allgemeine Kostensteigerung mit 2,00 DM berücksichtigt. Dieses Urteil gilt nur zwischen den Parteien, d. h., andere Gerichte sind an dieses Urteil nicht gebunden. Die Bundes-SCHUFA hat uns mitgeteilt, dass sie in jedem nachfolgenden Gerichtsverfahren ein Gutachten vorlegen werde, nach dem die tatsächlich anfallenden Kosten pro Selbstauskunft deutlich über 15,00 DM liegen. Das Einbringen des Gutachtens in den Prozess wurde von den Anwälten der SCHUFA versäumt. Die Bundes-SCHUFA ist daher auch nach dem Urteil nicht bereit, das Entgelt pro Selbstauskunft zu reduzieren.

Wir halten eine solche Recherche im persönlichen Umfeld des Betroffenen ohne seine Mitwirkung für unzulässig. Diese Datenerhebung hat nach Treu und Glauben und auf rechtmäßige Weise zu erfolgen (§ 29 Abs. 1 Satz 2 i. V. m. § 28 Abs. 1 Satz 2 BDSG). Auch im nicht-öffentlichen Bereich ist vom Vorrang der Direkterhebung beim Betroffenen auszugehen. Nur in Ausnahmefällen kann eine Datenerhebung beim Betroffenen unterbleiben, etwa wenn eine solche mit unverhältnismäßigem Aufwand verknüpft sein sollte und keine Anhaltspunkte für eine Beeinträchtigung schutzwürdiger Interessen des Betroffenen vorliegen (vgl. § 13 Abs. 2 Satz 2 Nr. 2 b BDSG).

Bei dieser Recherchemethode werden schutzwürdige Belange des Betroffenen beeinträchtigt, da Dritte über die Bonitätsprüfung informiert werden und zudem regelmäßig die Gefahr besteht, dass Nachbarn zu Spekulationen veranlasst werden, die sich nachteilig auf den Betroffenen auswirken. Insbesondere bei Bagatellfällen, d. h. bei Konsumentenkrediten mit geringem Kreditvolumen, steht diese Beeinträchtigung in keinem angemessenen Verhältnis zum berechtigten Interesse des Auskunfteikunden. Derartige Recherchen im persönlichen Umfeld des Betroffenen zum Zwecke der Erteilung von Kreditauskünften im Rahmen des Konsumentenkredits sind unverhältnismäßig und damit unzulässig.

Dieser Fall zeigt deutlich, wie notwendig es ist, dass für Auskunfteien und Detekteien eine gesetzliche Aufzeichnungspflicht für Datenquellen geschaffen wird. Das BDSG enthält bisher keine explizite Regelung bezüglich einer solchen Dokumentationspflicht. Dies hat zur Folge, dass ein nach § 34 Abs. 1 BDSG bestehender Auskunftsanspruch des Betroffenen hinsichtlich der Herkunft der zu seiner Person gespeicherten Daten ins Leere läuft, wenn die speichernde Stelle die Datenquelle nicht dokumentiert hat.

Nach der aufgehobenen Auskunftei- und Detekteiverordnung bestanden weit reichende Aufzeichnungspflichten, insbesondere zur Person des Auftraggebers, zum Umfang des erteilten Auftrags, zu den Ergebnissen der Einzelermittlung, nicht jedoch zur Herkunft der ermittelten Daten. Der Gesetzgeber hat jedoch stattdessen eine Ermächtigung für die Länder vorgesehen, entsprechende Verordnungen zu erlassen (§ 38 Abs. 3 Gewerbeordnung). Die Senatsverwaltung für Wirtschaft und Betriebe hat Bereitschaft zum Erlass einer solchen Verordnung signalisiert. Mit einer neu geschaffenen Verordnung wären Auskunftsansprüche der Betroffenen gegenüber Auskunfteien und Detekteien deutlich besser realisierbar.

Das Projekt der DB, die bereits seit Jahren eingeführte BahnCard ab Mitte 1995 gemeinsam mit der Citibank zu produzieren und mit einer Kredikartenfunktion zu verbinden, hatte zu einer erregten öffentlichen Diskussion über den hinreichenden Schutz der Daten bei der Verarbeitung in den USA geführt. Bei der Übernahme der Aufgabe der Aufsichtsbehörde fanden wir dieses Problem vor. Der DB und der Citibank war daran gelegen, durch geeignete juristische und technische Maßnahmen ein Höchstmaß an Datenschutzvorkehrungen für die Kunden zu gewährleisten. Im Ergebnis wurde mit einer Vereinbarung zwischen DB und den deutschen und amerikanischen Citibank-Organisationen ein Weg gefunden, der noch heute in der internationalen Datenschutzgemeinde für vorbildlich bei derartigen Vereinbarungen gehalten wird[145].

Gegenstand der Vereinbarung war die Verarbeitung personenbezogener Daten der BahnCard- sowie der entsprechenden Kreditkartenkunden, die in den Rechenzentren der Citibank in Sioux Falls, South Dakota, und Las Vegas, Nevada, stattfinden sollte. Insbesondere handelte es sich um die technische Herstellung der BahnCard (Las Vegas) sowie die Entscheidung über die Zulassung der Kreditkartenfunktion (Sioux Falls). Die Datenschutzvereinbarung stellte sicher, dass deutsches Datenschutzniveau bei der Verarbeitung in den USA gewährleistet werden sollte und dass auch vor Ort durch den Berliner Datenschutzbeauftragten Kontrollen vorgenommen werden könnten. Letzteres wurde durch Abstimmungen mit den amerikanischen Behörden sichergestellt.

Die Verarbeitung der Daten in den USA erfolgte ohne Beanstandung. Einzelne, bei dem Umfang des Projektes unvermeidliche Fehler wiesen nicht auf grundsätzliche Mängel hin. In einem einzigen Fall, bei dem die versagte Einwilligung des Datentransfers in die USA gleichwohl zu einer Datenübermittlung führte, kam es zu gerichtlichen Auseinandersetzungen[146], die schließlich mit einem Vergleich endeten.

Die Kooperation zwischen der DB und der Citibank endete am 31. März 1999 aus betriebswirtschaftlichen Gründen. Seither wird die BahnCard (wie bereits vor 1995) in Deutschland von der MSN Bertelsmann produziert. BahnCard und Kreditkarte wurden entkoppelt. Die seit Sommer 1998 laufende Abwicklung der Kooperation im Hinblick auf die Verarbeitung der Kundendaten wurde von uns in mehreren Gesprächen überprüft. Hierbei ergab sich kein Grund für eine Beanstandung. Ursprüngliche Bedenken, dass es technisch nicht möglich sein würde, die Passfotos derjenigen Kunden, die keine Visacard mehr haben wollten, aus dem Datenbestand der Citibank zu entfernen, erwiesen sich als verfehlt.

Die DB möchte mit ihrem 3-S-Konzept Service, Sicherheit und Sauberkeit im Bahnhofsbereich verbessern. Dazu werden nacheinander die großen Personenbahnhöfe mit Videoanlagen ausgerüstet, die über ferngesteuerte Speed-Dome-Kameras verfügen und weite Bereiche des Bahnhofes erfassen. Sie werden über mehrere Monitore von den Mitarbeitern der DB in den 3-S-Zentralen beobachtet, aus denen der Einsatz der Mitarbeiter im Bahnhofsbereich koordiniert wird.

Bis zum Jahr 2001 sollen 46 derartige 3-S-Zentralen eingerichtet werden, darunter die Berliner Bahnhöfe Zoologischer Garten, Lehrter Bahnhof, Lichtenberg und Ostbahnhof. Da es sich bei der Videoüberwachung auf den Bahnhöfen der DB (mit Hauptsitz in Berlin) um eine Angelegenheit von überregionaler und zentraler Bedeutung handelt, haben wir exemplarisch den in der Entwicklung am weitesten fortgeschrittenen Ostbahnhof besichtigt und geprüft, ob bei der Videoüberwachung datenschutzkonform verfahren wird.

Auf der Grundlage unserer Position zur Videoüberwachung[147] haben wir bei Besichtigung des Ostbahnhofs empfohlen, die im Bahnhofsbereich bereits vorhandenen Hinweise zu verbessern. Da die zum Bahnhof führenden Zugänge und die unter der Hochbahntrasse entlangführende Straße, also öffentliche Straßenbereiche, ebenfalls von der Videoüberwachung betroffen sind, haben wir auch hier das Anbringen von deutlich sichtbaren Hinweisen empfohlen. Eine Aufklärung ist an den auf den Bahnsteigen befindlichen Notrufsäulen erforderlich. Von einer Gefahrenlage, die die Aufzeichnung von Bild und Wort rechtfertigt, ist bei Betätigung des Notrufknopfes durch den Betroffenen auszugehen.

Ein an die 3-S-Zentrale angrenzender verschlossener Raum wird vom Bundesgrenzschutz (BGS) genutzt und ist mit Monitoren, die ihrerseits an die Videoanlage des 3-S-Systems angeschlossen sind, ausgestattet. Entsprechend den Empfehlungen des Bundesbeauftragten für den Datenschutz[148] wurden die Arbeitsbereiche der Mitarbeiter der DB zur Erfüllung der bahneigenen Aufgaben einerseits und der Arbeitsbereich für die Mitarbeiter des BGS zur Erfüllung der bahnpolizeilichen Aufgaben andererseits getrennt voneinander gehalten, so dass eine optische und akustische Abschottung der Arbeitsbereiche voneinander gewährleistet ist. Auch die Auflage des BfD, dass die Bilder in der Leitzentrale abgeschaltet werden, wenn die Polizei selbst die Kamera führt, wird eingehalten.

Hinsichtlich des Mitarbeiterdatenschutzes haben wir uns davon überzeugt, dass eine Betriebsvereinbarung die Nutzung der Videoaufnahmen für Verhaltens- und Leistungskontrollen ausschließt.

Anprangernde Adressierung

In der Tat wird jedem, der mit dem Brief in Berührung kommt (z. B. andere Mitarbeiter der DB, Postboten, Nachbarn, Mitbewohner des Empfängers), offenbart, dass der Betroffene noch nicht mündig ist und es bei dem mit dem Brief mitzuteilenden Sachverhalt um etwas derart Schwerwiegendes geht, dass es den Erziehungsberechtigten zur Kenntnis gegeben werden soll. Diese Datenübermittlung ist nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG unzulässig, weil die Art der Adressierung nicht zur Wahrung berechtigter Interessen der DB (an der Durchsetzung einer Forderung) erforderlich ist und zudem das schutzwürdige Interesse von Minderjährigen an dem Ausschluss derartiger Übermittlungen überwiegt. Dies gilt insbesondere deshalb, weil die DB den tatsächlichen Erziehungsberechtigten entsprechend den melderechtlichen Bestimmungen durch eine Melderegisterauskunft bei der örtlich zuständigen Meldestelle erfragen kann. Die DB hat sich unserer Auffassung angeschlossen und das Verfahren bei Fahrpreisnacherhebungen entsprechend geändert. Im Adressfeld erscheint der Name des Minderjährigen nicht mehr, sondern allein der Name und die Anschrift des gesetzlichen Vertreters. Im Übrigen wird auf den Briefumschlägen auf den Stempelaufdruck "Fahrpreisnacherhebung" verzichtet und eine neutrale Absenderangabe verwendet.

Die Berliner Verkehrsbetriebe sind das größte deutsche Nahverkehrsunternehmen. Auch beim Datenschutz sollten sie die Vorreiterrolle spielen.

Dass der Umgang mit Bargeld den Rationalisierungsbestrebungen im Zahlungsverkehr entgegensteht, zeigt der ungebrochene Drang zu elektronischen Zahlungsweisen und Selbstbedienungssystemen in der Kreditwirtschaft. Im Gegensatz zu elektronischem Geld erfordert die Handhabung von Bargeld nach wie vor zeit- und kostenverschlingende Handarbeit. Darüber hinaus entspricht der Umgang mit den anonymen Münzen und Geldscheinen nicht der hohen Bedeutung von Kundenbindung und innerbetrieblicher Transparenz.

Obwohl die elektronische Geldbörse in Berlin bisher nur eine geringe Verbreitung gefunden hat, soll dieses Kartenmodell jetzt den öffentlichen Nahverkehr revolutionieren: Die Berliner Verkehrsbetriebe (BVG) haben am 1. Oktober 1999 mit dem Feldversuch für das elektronische Ticketing begonnen. Auch die S-Bahn GmbH hat sich nach einigem Zögern inzwischen dem Feldversuch angeschlossen.

Die Teilnehmer am Feldversuch bekamen dabei eine kontaktlos wirkende Chipkarte, das tick.et, ausgehändigt. Damit wurde das Recht erworben, einen Monat lang im gesamten Tarifbereich zu fahren.

Zur Infrastruktur des Feldversuchs gehört eine Reihe von kundenbezogenen Geräten:

- Das gelbe tick.et start-Terminal dient dem Kunden zum Einchecken. Mit dem Vorbeiführen der Chipkarte an einem Kontaktfeld erfolgt eine - im Feldversuch noch fiktive, weil finanziell sich nicht auswirkende - Abbuchung eines Pauschalbetrages an ÖPNV-Einheiten, der auf einem Display angezeigt wird. Dies entspricht der Entwertung eines Fahrscheins. Die Eincheckdaten werden auf dem tick.et gespeichert.

- Das blaue tick.et stop-Terminal dient dem Kunden zum Auschecken. Hier erfolgt eine - ebenfalls noch fiktive - Rückbuchung, falls der Pauschalbetrag den tatsächlichen entfernungs- und zeitabhängigen Wert der Fahrt überschritten hat. Dabei werden die Eincheckdaten zur Berechnung herangezogen.

- Das weißgelbe tick.et box-Terminal dient der Ausgabe oder Aufladung von Karten sowie Zahlung mit Bargeld, GeldKarte oder ec-Karte (mit PIN-Eingabe).

- Das weiß-gelb-blaue tick.et tip-Terminal dient der Abfrage von Auskünften rund um das System sowie zum Restwert der Karten und zum Lesen der Logdatei auf der Karte, die die Angaben der letzten zwanzig Ein- oder Auscheckprozesse sowie der letzten drei Ladetransaktionen enthält.

Das Ein- und Auschecken führt in den Hintergrundsystemen zur kartenbezogenen Erfassung der einzelnen Fahrten. Ein Bezug zu den Eigentümern der Karten kann nicht hergestellt werden, so dass Befürchtungen, die ÖPNV-Nutzer könnten gläsern werden, nicht gerechtfertigt sind.

Die BVG hat sich von Anfang an um unsere Einbeziehung bemüht und erklärt, dass ohne die strikte Beachtung aller datenschutzrechtlichen Vorgaben das Projekt nicht durchgeführt werden könne.

Datenschutzrechtlich entstand eine Reihe von Einzelfragen, die von Teilnehmern sowie der Presse an uns herangetragen wurden.

Die mit dem Feldversuch zusammenhängenden personenbezogenen Datenerhebungen müssen auf der Grundlage einer Einwilligung erfolgen. Die Daten sind für die Planung von Bedeutung, beim Echtbetrieb selbst dagegen, wenn die Nutzung des elektronischen Ticketings für jeden BVG-Kunden obligatorisch ist, nicht mehr erforderlich. Zwar sind beim Feldversuch und Echtbetrieb unterschiedliche Maßstäbe zu setzen. Nichtsdestoweniger muss auch beim Feldversuch auf die Erforderlichkeit abgestellt werden. Daher dürften auch bei der Analyse der Fahrgastströme und der Vorbereitung einer entfernungs- und zeitbezogenen Tarifierung nur anonyme Daten verarbeitet werden.

Bei Karten, die den allmählichen Verbrauch eines Guthabens ermöglichen und damit personenbezogene Daten für ein späteres Clearing überflüssig machen, stellt sich die Frage nach dem Reklamationsmanagement. Auch beim tick.et muss der Kunde die Möglichkeit haben, bei technischen Störungen den Nachweis zu erbringen, dass auf der Karte mehr ÖPNV-Einheiten abgebucht als tatsächlich verfahren wurden. Umgekehrt hat auch die BVG einen legitimen Anspruch darauf, Gegenbeweise vorzubringen, wenn eine technische Störung von Kunden behauptet wird. Dem Anonymitätsanspruch würde jedoch widersprechen, wenn Nachweisdaten zentral in den Hintergrundsystemen gesammelt würden. Stattdessen wird ein Weg gegangen, der auch bei der GeldKarte der deutschen Kreditinstitute üblich ist: Das Protokoll wird auf der Karte selbst geführt und steht somit in der alleinigen Verfügungsgewalt des Karteninhabers. Die Logdatei auf dem tick.et enthält die letzten zwanzig Ein- bzw. Auschecktransaktionen und die drei letzten Ladevorgänge.

Jeder Kartennutzer sollte schnell und einfach den Inhalt der Karte auslesen können. Er muss ja vor Antritt einer Fahrt wissen, ob das gespeicherte Guthaben für diese Fahrt ausreichend ist oder sie noch in den Geltungszeitraum der Karte fällt. Es wäre unpraktikabel, wenn diese Auskünfte ausschließlich am tick.et tip-Terminal abgefragt werden könnten. Es ist daher geplant, den Kunden kleine Chipkarten-Lesegeräte, sog. Wallets, anzubieten, mit denen die Chipkarte ebenfalls ausgelesen werden kann. Solche Wallets haben die Größe eines Schlüsselanhängers (und können dafür auch verwendet werden). Die Verwendung solcher Wallets ist aber bei kontaktlosen Chipkarten bisher nicht möglich. Daher soll das tick.et auch mit einem Kontakt ausgestattet werden. Wir haben empfohlen, dies im Feldversuch bereits einzuführen.

Bei der Nutzung des tick.et muss der Kunde erfahren, ob das Einchecken erfolgreich stattgefunden hat. Anderenfalls würde er Gefahr laufen, als Schwarzfahrer ertappt zu werden. Diese Rückkopplung erfolgt durch eine visuelle und akustische Anzeige. Die akustische Anzeige eines erfolgreichen Eincheckens erfolgt mit einer diskreten Tonfolge, ein erfolgloses Einchecken wird dagegen mit einem auffälligen akustischen Alarm quittiert, der im weiten Umkreis der Terminals zu hören ist. Wir haben bereits frühzeitig darauf hingewiesen, dass eine Prangerfunktion durch die Signalisierung nicht entstehen dürfe, da ein erfolgloses Einchecken viele Gründe haben kann, die nicht nur in Versäumnissen des Kunden, sondern auch in technischen Problemen liegen können. Diese Hinweise wurden zwar akzeptiert. Missverständliche Äußerungen, durch die Signalisierung solle man sehen, wer zahlt und wer nicht, führten in der Presse allerdings zur Behauptung, das tick.et sei eine Maßnahme gegen Schwarzfahrer.

Ein solcher Effekt ergibt sich durch Chipkarteneinsatz nicht. Schwarzfahrer können nach wie vor ohne tick.et oder Benutzung des tick.et fahren. Wer sich jedoch einchecken will, dies ihm aber lautstark verwehrt wird, hat mit Sicherheit nicht schwarzfahren wollen. Wir haben empfohlen, dass die Lautstärke zurückgenommen und durch Hinweise auf die Bedeutung des Signals aufmerksam gemacht wird. Dem wurde gefolgt.

Die Testphase soll die erforderlichen Daten für die endgültige Einführung des elektronischen Tickets liefern. Das Projekt, das in ambitionierter Weise für den öffentlichen Nahverkehr wegweisend sein soll, soll in ebenso vorbildlicher Weise die Belange des Datenschutzes, vor allem in technischer Hinsicht (privacy enhancing technologies), berücksichtigten. Wir haben unsere Mitwirkung hierzu zugesagt.

In unserem letzten Jahresbericht hatten wir ausführlich dargestellt, wie die Berliner Verkehrsunternehmen mit den Daten von Schwarzfahrern und von solchen Personen umgehen, deren Personalien von dem tatsächlichen Schwarzfahrer missbraucht wurden[149]. Problematisch war die unterschiedslose Speicherung der Daten für die Dauer von zwei Jahren bei der BVG. Um der nach § 3 Abs. 4 BetriebeVO vorgesehenen Einzelfallbetrachtung Rechnung zu tragen, haben wir empfohlen, eine Stichtagsregelung einzuführen, nach der die Daten im Einzelfall nach einem Jahr, spätestens nach zwei Jahren gelöscht worden wären. Dem hat sich die BVG nicht angeschlossen. Sie macht aus Vereinfachungsgründen von der zweijährigen Speichermöglichkeit keinen Gebrauch mehr, sondern löscht die Daten bereits ein Jahr nach dem Vorfall.

Auch die Verfahrensweise bezüglich der Namensmissbrauchsdatei hat die BVG auf unsere Empfehlung hin geändert. So werden die Daten der vom Personalienmissbrauch betroffenen Personen nur mit deren Einwilligung gespeichert. Die BVG hat überdies zugesagt, die bislang ohne Einwilligung der Betroffenen gespeicherten Daten zu löschen, wenn nicht die Betroffenen ihre Einwilligung erteilen (§ 17 Abs. 3 Satz 2, 3 BlnDSG).

Ein Fahrgast der BVG hat sich darüber beschwert, dass ein BVG-Mitarbeiter anlässlich einer Fahrkartenkontrolle den vorgezeigten Personalausweis nicht nur zur Überprüfung der Personalien angesehen, sondern eingezogen und erst zurückgegeben habe, nachdem die Kontrollen der übrigen Fahrgäste im Oberdeck des Busses abgeschlossen und die Kontrolleure zum Aussteigen bereit gewesen seien.

Die BVG stimmte mit uns darin überein, dass das Kontrollpersonal der BVG nicht berechtigt ist, quasipolizeiliche Befugnisse gegenüber dem Kunden geltend zu machen. Dementsprechend wurde gegenüber dem BVG-Mitarbeiter die notwendige arbeitsrechtliche Maßnahme ergriffen. Um Wiederholungsfälle zu vermeiden, haben wir empfohlen, eine schriftliche Arbeitsanweisung für das Vorgehen des Kontrollpersonals herauszugeben, in der auch darauf hingewiesen wird, dass schon die Vorlage des Personalausweises nicht verlangt, sondern allenfalls erbeten werden darf. Diesen Anforderungen hat die BVG durch eine an das Kontrollpersonal gerichtete Mitteilung entsprochen. Danach ist das Personal nicht berechtigt, die Vorlage des Ausweises zu verlangen. Bei freiwilliger Vorlage dürfen nur die Personalien (Name, Anschrift) abgeschrieben werden, der Ausweis ist sodann unverzüglich zurückzugeben.

Die Ankündigung des CityServers hat sofort eine öffentliche Diskussion über die Zulässigkeit derartiger Unternehmen ausgelöst. Der Bundesbeauftragte für den Datenschutz erklärte in einer Presseinformation, das geschilderte Verfahren stelle eine neue Dimension von Datenmacht in privater Hand dar und sei nach der bestehenden Rechtslage nicht zulässig. Auf Betreiben des Verlags wurde dem Bundesbeauftragten im Wege einer einstweiligen Anordnung aufgegeben, es zu unterlassen, sich über die Unzulässigkeit des Vorhabens zu äußern. Eine derartige negative Feststellung könne erst nach sorgfältiger Prüfung der Sach- und Rechtslage erfolgen, die zum Zeitpunkt der Entscheidung gerade von dem zuständigen niedersächsischen Landesbeauftragten vorgenommen wurde. Verboten wurde ihm auch die Äußerung, das Vorhaben der Firma könne auch kriminellen Aktivitäten Tür und Tor öffnen.

Im Mai 1999 legte der niedersächsische Datenschutzbeauftragte das Ergebnis seiner Prüfung vor. Danach verstoße das Vorhaben in der derzeit angebotenen Form nicht gegen das geltende Datenschutzrecht. Zwar handele es sich entgegen der Auffassung der Firma beim Erstellen und Vertreiben der Häuser- und Gebäudedatenbank um die Verarbeitung personenbezogener Daten. Die weitere Anwendung des Bundesdatenschutzgesetzes scheide aber aus, weil die Daten nicht in oder aus Dateien verarbeitet werden, insbesondere sei eine automatisierte Auswertung der Gebäudedatenbank nach Straße und Hausnummer nicht möglich. Diese Auffassung wurde auch später von der Rechtsprechung geteilt[151].

Ungeachtet der Zuständigkeit des niedersächsischen Datenschutzbeauftragten teilen wir diese Auffassung nicht. Zusätzlich zu den Aufnahmen werden bei dem Verfahren die Geo-Koordinaten des jeweiligen Kamerastandpunktes mit Hilfe von Satellitensignalen gespeichert. Unter Angabe dieser Koordinaten kann in der Datei ein bestimmtes Haus aufgefunden werden. Verfügt man über eine bestimmte Adresse, sind somit die Bilder auswertbar, wenn eine Zuordnung zwischen genauer Adresse und Geo-Koordinaten möglich ist. Zwar wurde uns anlässlich einer Präsentation des Systems versichert, Stadtpläne, mit denen sich die Geo-Koordinaten der Adressen ermitteln ließen, seien derzeit auf dem deutschen Markt nicht verfügbar. Dies trifft jedoch nicht zu: Zumindest für die Städte Berlin, Hamburg, Düsseldorf und München werden derart geo-referenzierte Stadtpläne sogar im Internet angeboten. Somit liegt die für die Geltung des Bundesdatenschutzgesetzes erforderliche Auswertbarkeit des Datenbestandes vor.

Ungeachtet der juristischen Auseinandersetzungen um die Geltung des Bundesdatenschutzgesetzes stellen derartige Projekte jedenfalls einen erheblichen Eingriff in die Persönlichkeitsrechte der Eigentümer und Mieter dar. Zwar hat der Bundesgerichtshof vor vielen Jahren entschieden, dass ein Eigentümer aufgrund seiner Eigentümerstellung das Fotografieren seines Hauses und die Verwertung der Aufnahmen nicht verhindern kann, solange der Fotograf nicht das Grundstück betritt[152]. Fraglich ist jedoch, ob dies noch gelten kann, wenn die Aufnahmen mit Hilfe der modernen Informationstechniken jeder denkbaren kommerziellen Zielsetzung dienen können. Ein Eingriff in die Persönlichkeitsrechte liegt insbesondere dann vor, wenn auf den Bildern neben dem Gebäude selbst Personen oder andere identifizierbare Gegenstände (Kfz, Hausinschriften, Gegenstände, die auf besonderen Wohlstand hinweisen) abgebildet sind.

Die Übermittlung der Daten durch die Veröffentlichung des CityServers ist damit zumindest dann unzulässig, wenn der Eigentümer oder Mieter des Hauses Widerspruch gegen die Veröffentlichung eingelegt hat. Das Unternehmen hat sich denn auch ohne Anerkennung einer Rechtspflicht bereit erklärt, Widersprüche von Betroffenen gegen die Aufnahme ihres Hauses in die Datenbank zu beachten. Allerdings verlangt das Unternehmen die Übersendung eines Fotos des entsprechenden Hauses, um die Löschung vornehmen zu können. Die Angabe der genauen Geo-Koordinaten des Gebäudes bzw. der Adresse müssten hierfür genügen.

Ähnliche Projekte gibt es bereits in anderen europäischen Ländern, u.a. in Frankreich, Finnland, den Niederlanden sowie der Schweiz. In Frankreich können diese Daten sogar über das normale Telefonverzeichnis (Page Blanche) im Internet abgerufen werden. Auch hier ist damit zu rechnen, dass der CityServer oder ein ähnliches Produkt künftig im Internet erreichbar ist.

Angesichts dieser Entwicklung hat die Internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation in einem gemeinsamen Standpunkt gefordert, dass die "nationale Gesetzgebung dem Betroffenen zumindest ein Widerspruchsrecht gegen die systematische Sammlung und Speicherung derartiger Bilddaten über seine Wohnumgebung für kommerzielle Zwecke einräumen" sollte. Nach der Entschließung der Arbeitsgruppe gibt es "einen Unterschied zwischen einem einzelnen Bürger, der für private Zwecke Aufnahmen eines bestimmten Gebäudes macht, und einem Unternehmen, das systematisch Bilder aller Gebäude in einer Stadt für kommerzielle Zwecke sammelt. Insbesondere muss der Betroffene das Recht haben, einer Einstellung dieser Daten in das Internet oder ihrer Speicherung auf elektronischen Datenträgern (z. B. CD-ROM) jederzeit zu widersprechen"[153]. Sowohl die Erstellung derartiger Datenbanken als auch die Möglichkeit des Widerspruchs sollte daher bei der Novellierung des BDSG berücksichtigt werden.

In zwei Urteilen[154] hat der BGH seine bisherige Rechtsprechung zum Telefonmarketing bestätigt und Telefonwerbung als "besonders schwer wiegende Beeinträchtigung der verfassungsrechtlich geschützten Privatsphäre" eingestuft, da sie ein "praktisch unkontrollierbares Eindringen in die Lebensgewohnheiten der Zielperson erlaube" und den Bürgern im häuslichen Bereich "Anpreisungen von Waren und Dienstleistungen zu Zeiten aufzwinge, die ausschließlich der Werbende bestimmt".

Es ist bereits gefestigte Rechtsprechung des BGH, dass Werbung per Telefon nur mit vorherigem Einverständnis des Betroffenen zulässig ist und ein solches Einverständnis nicht schon allein in der Aufnahme eines geschäftlichen Kontakts gesehen werden kann. Der BGH hat darüber hinaus jedoch klargestellt, dass die Einwilligung der Betroffenen in das Telefonmarketing nicht durch allgemeine Geschäftsbedingungen herbeigeführt werden darf. Auch ein bestehendes Vertragsverhältnis ist kein ausreichender Rechtfertigungsgrund für die Verwendung einer formularmäßigen Zustimmungsklausel zur Telefonwerbung. Die Klauseln wurden vom BGH insgesamt als "unangemessene Benachteiligung der Kunden" im Sinne von § 9 AGB-Gesetz eingestuft.

Im Rahmen eines Vertragsverhältnisses dürfen nur die Daten des Betroffenen gespeichert werden, die für die Erfüllung des Vertrages erforderlich sind (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG). Hierzu zählt auch die Geltendmachung von Rechtsansprüchen zur Durchsetzung einer bestehenden Kaufpreisforderung. Das Notieren von Namen, Anschrift oder sogar der Personalausweisnummer ist jedoch - auch zur Absicherung der Geltendmachung der Kaufpreisforderung - nicht erforderlich.

Die vom Kunden zu unterschreibenden Belege bei der Bezahlung im Lastschriftverfahren enthalten regelmäßig die Ermächtigung der Bank, für den Fall der Nichteinlösung der Lastschrift dem Unternehmen Namen und aktuelle Anschrift des Kontoinhabers mitzuteilen. Daher ist zum Zwecke der Durchsetzung des Zahlungsanspruchs durch den Gläubiger nicht erforderlich, von vornherein Namen und Anschrift des Schuldners zu speichern. Denn es besteht aufgrund der Einwilligung die Möglichkeit, bei Nichteinlösung der Lastschrift die zur Verfolgung des Schuldners erforderlichen Daten bei der Schuldnerbank in Erfahrung zu bringen. Ebenso sehen die Händlerbedingungen der Kreditwirtschaft zum ec-Lastschriftverfahren vor, dass das Karten ausgebende Kreditinstitut dem Unternehmen Namen und Adresse des Karteninhabers auf Anfrage mitteilen wird, wenn die Lastschrift nicht eingelöst wurde oder der Karten-/Kontoinhaber der Belastung widersprochen hat, eine Sperrdateiabfrage erfolgt ist und eine wirksame Einwilligung des Karteninhabers in die Weitergabe seiner Daten vorliegt.

Da die Unternehmen bei Bezahlung im ec-Lastschriftverfahren dem Kunden gegenüber in Vorleistung treten, haben wir keine Bedenken dagegen, dass gegebenenfalls die Vorlage des Personalausweises verlangt wird, um zu überprüfen, ob der Käufer berechtigter Inhaber der ec-Karte ist. Ein Unterschriftenvergleich von Personalausweis und ec-Karte ist ausreichend, um einen Missbrauch der ec-Karte auszuschließen und den Kunden als rechtmäßigen ec-Karteninhaber zu identifizieren. Auf der Einzugsermächtigung darf dann nur noch festgehalten werden, dass eine solche Identitätsüberprüfung stattgefunden hat. Die Adresse oder sogar die Personalausweisnummer muss hierfür nicht notiert werden.

Die betroffenen Unternehmen haben sehr unterschiedlich reagiert. Leider blieb das Vorgehen eines großen Unternehmens, das nach unserem Hinweis sofort sämtliche Filialen benachrichtigte und entsprechende Anweisungen an das Kassenpersonal erteilte, die große Ausnahme. In den allermeisten Fällen war die Unternehmensleitung nicht bereit, sich unserer Rechtsauffassung anzuschließen.

In den vorliegenden Fällen wurden die Voraussetzungen des § 3 BlnDSG nicht eingehalten. Danach hat der Auftraggeber, d. h. hier der private Postzustelldienst, dafür Sorge zu tragen, dass die datenschutzrechtlichen Bestimmungen auch von dem durch ihn eingeschalteten Subunternehmer eingehalten werden. Der Auftraggeber hat zu gewähren, dass keine Informationen an unberechtigte Dritte weitergegeben werden. Obwohl sich in dem Agenturvertrag eine Regelung zum Datenschutz findet, wird die Einhaltung der datenschutzrechtlichen Bestimmungen durch den Auftraggeber ganz offensichtlich nicht ausreichend überwacht. Die geplante Beanstandung gegenüber dem Auftraggeber konnte nicht mehr erfolgen, da dieser zwischenzeitlich insolvent wurde und zukünftig wieder die Deutsche Post AG mit dem Transport der Behörden-Briefe beauftragt wird.

[144] Urteil v. 14.1.1999, Az.: 14 O 417/97

[145] JB 1995, 3.1

[146] Amtsgericht Kassel, Urteil v. 3.11.1998, Az.: 424C 1260/98

[147] vgl. 3.1

[148] 16. Tätigkeitsbericht 1995-1996, 12.4

[149] JB 1998, 3.3

[150] JB 1997, 4.7.2

[151] Landgericht Waldshut/Thiengen, Entscheidung vom 14.10.1999, Az.: 1 O 200/99;

Verwaltungsgericht Karlsruhe, Beschluss vom 1.12.1999 Az.: 1 ZK 2911/99

[152] BGH NJW 1971, 1359; 1989, 2251

[153] Gemeinsamer Standpunkt der Internationalen Arbeitsgruppe Datenschutz in der

Telekommunikation zum Datenschutz bei Gebäude-Bilddatenbanken, Anlagen-

band "Dokumente zum Datenschutz 1999", Teil C

[154] BGH v. 16.3.1999, Az.: XI ZR 76/98 und BGH v. 24.3.1999, Az.: IV ZR 90/98