Raspi with Police

Bekanntmachung des Innenministeriums über Hinweise (Nummer 35) zum Bundesdatenschutzgesetz für die private Wirtschaft vom 15. Januar 1997

Az.: 2-0552.1/11. Die Veröffentlichung erfolgt im Anschluß an die Hinweise Nr. 34 im Staatsanzeiger für Baden-Württemberg Nummer 1 vom 2. Januar 1996, Seite 10.

  1. Erhebung, Verarbeitung und Nutzung von Schüleradressen zu Werbezwecken
  2. Arbeitgeberanfragen von Gläubigern oder Inkassofirmen
  3. Einrichtung automatisierter Abrufverfahren (§ 10 BDSG) bei Auskunfteien und Kreditschutzorganisationen
  4. Versendung von Briefen und Postkarten mit sensiblem Dateninhalt

1. Erhebung, Verarbeitung und Nutzung von Schüleradressen zu Werbezwecken

Kinder und Jugendliche im Schulalter sind eine wichtige Zielgruppe für die Werbung. Die Erhebung, Verarbeitung und Nutzung von Schüleradressen für Werbezwecke ist jedoch datenschutzrechtlich in mehrfacher Hinsicht problematisch.

1.1

Für Werbeaktionen bei Kindern und Jugendlichen gelten wegen der Unerfahrenheit und leichten Beeinflußbarkeit von Kindern und mangelnden geschäftlichen Erfahrung von Jugendlichen eine Reihe wettbewerbsrechtlicher Einschränkungen. Dabei kommt es vor allem darauf an, für welches Produkt oder welche Dienstleistung geworben wird, wie alt und damit wie einsichtsfähig die Kinder und Jugendlichen sind und auf welche Art und Weise die Werbung durchgeführt wird. Beispielsweise kann es wettbewerbswidrig sein, wenn Verlage den Absatz von Jugendzeitschriften unter Ausnützung der Autorität öffentlicher Schulen durch Empfehlungen von Lehrern an Eltern zu fördern versuchen oder wenn bei Wettbewerben, Preisausschreibungen und Gewinnspielen die Spielleidenschaft von Kindern und Jugendlichen für kommerzielle Zwecke ausgenutzt wird. Näheres hierzu ergibt sich aus der Rechtsprechung und Literatur zum Wettbewerbsrecht. Verstößt eine geplante Werbeaktion gegen Wettbewerbsrecht, so dürfen personenbezogene Daten hierfür auch datenschutzrechtlich nicht erhoben, verarbeitet und genutzt werden.

1.2

Die Werbung in Schulen und die damit verbundene Erhebung von Schülerdaten ist grundsätzlich nach schulrechtlichen Regelungen (Schulgesetze, Gewohnheitsrecht) unzulässig, soweit der Gegenstand der Werbung nicht ausnahmsweise den Erziehungs- und Bildungsauftrag der Schule fördert und die Werbung daher vom Schulleiter oder einer zuständigen Stelle gestaltet worden ist (vgl. dazu in Baden-Württemberg Verwaltungsvorschrift des Kultusministeriums vom 19. Oktober 1995 über Werbung, Wettbewerbe und Erhebungen in Schulen in Kultus und Unterricht 1995 S. 554). Ist die Werbung schulrechtlich unzulässig, folgt daraus auch die datenschutzrechtliche Unzulässigkeit der Erhebung, Verarbeitung und Nutzung der Schüleradressen, die bei der Werbeaktion in der Schule beschafft worden sind.

1.3

Bei der Erhebung, Verarbeitung und Nutzung von Schüleradressen für Werbezwecke sind darüber hinaus regelmäßig auch die datenschutzrechtlichen Vorschriften des Bundesdatenschutzgesetzes zu beachten, weil die Daten meist automatisiert verarbeitet werden. Die Aufsichtsbehörde hatte im Zusammenhang mit Werbeaktionen bei Schülern mehrere Beschwerden zu bearbeiten, die sich vor allem auf die Beschaffung von Schüleradressen bezogen. Sie nimmt dies zum Anlaß, auf folgendes hinzuweisen.

  1.3.1

Grundsätzlich sollten verarbeitende Unternehmen Adreßdaten von Schülern - schon aus Gründen der Transparenz - möglichst beim betroffenen Schüler selbst erheben. Handelt es sich beim werbenden Unternehmen um eine Stelle, für die öffentliches Datenschutzrecht gilt (z.B. Krankenkassen der gesetzlichen Krankenversicherung), besteht die Pflicht zur Direkterhebung (§ 11 Abs. 2 Satz 1 LDSG bzw. § 67 a Abs. 2 SGB X). Bei der Erhebung der Adreßdaten beim Schüler sind folgende Voraussetzungen zu beachten:

  • Der Schüler muß über ausreichende Einsichtsfähigkeit verfügen. Maßgeblich ist dabei nicht in erster Linie sein Lebensalter, sondern die Fähigkeit, die Konsequenzen der Weitergabe seiner Adreßdaten im konkreten Fall zu übersehen und hierüber zu entscheiden. Bei Schülern unter 14 Jahren ist dies besonders kritisch zu prüfen. Liegt keine ausreichende Einsichtsfähigkeit vor, müssen die Daten ggf. bei den Erziehungsberechtigten beschafft werden.
  • Der Schüler muß näher darüber informiert werden, welches Unternehmen ihn für welche Produkte oder Dienstleistungen bewerben will und ob beabsichtigt ist, seine Daten für fremde Werbezwecke zu nutzen oder an andere Unternehmen zu übermitteln. Nur auf der Grundlage einer solchen Information kann der Schüler in etwa abschätzen, ob er seine Daten hierfür zur Verfügung stellen will oder ob er der Verwendung seiner Daten für fremde Werbezwecke widerspricht (§ 28 Abs. 3 BDSG). Die Pflicht des werbenden Unternehmens zur Information ergibt sich aus Treu und Glauben (§ 28 Abs. 1 Satz 2 BDSG). Damit nicht vereinbar wäre es beispielsweise, minderjährige Schüler über den Zweck der Adreßerhebung im Unklaren zu lassen oder sie hierüber sogar zu täuschen. Eine solche Täuschung kann etwa darin bestehen, daß ihnen erklärt wird, die Daten dienten nur für eine allgemeine Befragungsaktion, die Durchführung eines Preisausschreibens oder die Zusendung von Werbematerial über ein bestimmtes Produkt, während sie in Wirklichkeit für die Adreßvermietung genutzt oder einer Vielzahl verbundener Unternehmen übermittelt werden sollen.
  1.3.2

Beschafft sich ein Unternehmen Schüleradressen zu Werbezwecken unmittelbar bei der Schule (Schulleiter, Lehrer, Schulsekretariat), muß es sich bewußt sein, daß die Schule solche Daten grundsätzlich nur für schulische Zwecke verwenden und übermitteln darf. Mit der Weitergabe der Adreßdaten von Schülern an Unternehmen zu Werbezwecken würde die Schule gegen die für sie als öffentliche Stelle geltenden Datenübermittlungsregelungen verstoßen, wenn nicht die Einwilligung der betroffenen Schüler i.S.v. § 4 LDSG vorliegt. In Baden-Württemberg ist den Schulen die Einholung von Einwilligungen zur Übermittlung von Schülerdaten an Unternehmen zu kommerziellen Zwecken untersagt (vgl. dazu Verwaltungsvorschrift des Kultusministeriums vom 7. Dezember 1993 in Kultus und Unterricht 1994, S. 15 f., Abschnitt VI Nr. 1 Satz 3).

Werden von einer Schule gleichwohl im Einzelfall Schüleradressen an ein Unternehmen zu Werbezwecken übermittelt - etwa weil das betreffende Produkt auch pädagogischen Zwecken dient (z.B. ein Geschichtswerk) -, muß sich das Unternehmen vor der Speicherung oder Nutzung der Daten vergewissern, ob im konkreten Fall eine Einwilligung der betroffenen Schüler eingeholt worden ist. Schüleradressen, die von der Schule ohne Einwilligung und damit unter Verstoß gegen datenschutzrechtliche Vorschriften übermittelt worden sind, darf das Unternehmen weder speichern noch nutzen, sondern muß sie löschen (§ 35 Abs. 2 Satz 2 Nr. 1 BDSG).

  1.3.3

Die Erhebung von Schüleradressen bei Elternvertreter, Klassensprecher oder Schulsprechern wirft datenschutzrechtliche Probleme auf. Die Schule darf diesen Personen Adreßlisten nur zweckgebunden zur Erfüllung ihrer schulischen Aufgaben zur Verfügung stellen. Sie sind daher regelmäßig nicht berechtigt, Adreßlisten von Schülern für andere als schulische Zwecke an Dritte weiterzugeben. Für Daten, die gleichwohl von Funktionsträgern einem Unternehmen zu Werbezwecken überlassen werden, gilt deshalb, daß sich das Unternehmen auch in solchen Fällen vergewissern muß, ob die betroffenen Schüler in die Weitergabe ihrer Adreßdaten zu Werbezwecken nach § 4 LDSG eingewilligt haben. Sonst dürfen die Daten hierfür weder gespeichert noch genutzt, sondern müssen gelöscht werden (§ 35 Abs. 2 Satz 2 Nr. 1 BDSG).

  1.3.4

Das Beschaffen von Schüleradressen bei anderen Mitschülern oder deren Eltern, etwa durch Befragung oder Auslobung von Anreizprämien für die Weitergabe der Adressen, ist datenschutzrechtlich ebenfalls problematisch.

  • Dies gilt bereits für die Art und Weise der Datenerhebung, die meist ohne Kenntnis der betroffenen Schüler und unter Ausnutzung des mangelnden Problembewußtseins der Informationen erfolgt. Die betroffenen Schüler gehen regelmäßig davon aus, daß ihre Adreßdaten von Mitschülern oder der Eltern nur im schulischen oder privaten Zusammenhang verwendet und nicht zu kommerziellen Zwecken an Unternehmen weitergegeben werden.
  • Die Speicherung und Nutzung der auf diese Weise beschafften Aadreßdaten kann darüber hinaus auch deshalb unzulässig sein, weil im Einzelfall - beispielsweise wegen des Produkts oder der Dienstleistung, für die Schüler geworben werden sollen - das schutzwürdige Interesse der Schüler das Geschäftsinteresse des Unternehmens an der Beschaffung und Verwendung der Daten zu Werbezwecken überwiegt. Dabei sind das je nach Alter unterschiedlich hohe Schutzbedürfnis von Minderjährigen und deren mangelnde Erfahrung in wirtschaftlichen Angelegenheiten in die Interessenabwägung mit einzubeziehen (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG).

Zur Vermeidung rechtlicher Risiken sollte ein Unternehmen Adreßdaten auf diese Art und Weise daher allenfalls dann erheben und sie für Werbezwecke verarbeiten und nutzen, wenn es sich in angemessener Weise darüber vergewissert, ob die betroffenen Schüler darüber informiert worden sind und keine Einwände gegen die Werbung haben.

  1.3.5

Für Daten aus allgemein zugänglichen Quellen (z.B. Tageszeitungen) läßt das Bundesdatenschutzgesetz in relativ weitem Umfang eine Speicherung und Nutzung für Werbezwecke zu (§ 28 Abs. 1 Satz 1 Nr. 3 BDSG). Zu den allgemein zugänglichen Quellen gehören alle Veröffentlichungen, die dazu bestimmt sind, einem nicht näher bestimmbaren Personenkreis Informationen zu vermitteln. Hierzu zählen auch Schul- und Abiturzeitungen, soweit sie über den engeren Kreis der Schüler und deren Eltern hinaus vertrieben werden. Dies sollten Schulen bei der Veröffentlichung von Schülerdaten berücksichtigen.

Unzulässig ist die Speicherung und Nutzung der aus allgemein zugänglichen Quellen erhobenen Daten jedoch dann, wenn ihr offensichtlich überwiegende schutzwürdige Interessen des betroffenen Minderjährigen entgegenstehen. Dies kann beispielsweise der Fall sein, wenn das Angebot, für das geworben werden soll, mit besonderen gesundheitlichen Risiken (z.B. Werbung für den Konsum von Zigaretten oder Alkoholika) oder mit besonderen wirtschaftlichen Risiken (z.B. Einrichtung eines Girokontos mit Überziehungskredit für Jugendliche ohne Einkommen) verbunden oder wenn die geplante Werbung wettbewerbsrechtlich unzulässig ist (z.B. Verwendung der Daten für eine Telefonmarketingaktion).

  1.3.6

Die Zulässigkeit der listenmäßigen Übermittlung von Adressen Minderjähriger durch ein Unternehmen an ein anderes Unternehmen zu Werbezwecken hängt von der Schutzbedürftigkeit der Betroffenen ab. Unternehmen, die Adreßdaten von Minderjährigen gespeichert haben (z.B. über Jugendliche, die Prospektmaterial bezogen haben, über Bezieher von Jugendbüchern oder über Jugendliche, die bie ihren Eltern mitversichert sind), dürfen Adreßlisten an andere Unternehmen zu Werbezwecken nur übermitteln, wenn kein Grund zu der Annahme besteht, daß die betroffenen Minderjährigen schutzwürdige Interessen gegen eine solche Übermittlung haben. Bei der Interessenabwägung ist or allem zu berücksichtigen, für welches Produkt oder welche Dienstleistung geworben und wie die Werbeaktion ausgestaltet werden soll (§ 28 Abs. 2 Satz 2 Nr. 1 b BDSG).

Die Nutzung von Adressen Minderjähriger für Werbeaktionen anderer Unternehmen insbesondere im Rahmen der Adreßvermietung (z.B. durch Überlassung an einen Lettershop zur Aussendung von Werbematerialien) unterliegt ebenfalls Restriktionen. Auch wenn für die Vermietung von solchen Adressen ein berechtigtes wirtschaftliches Interesse des speichernden Unternehmens vorliegt, müssen die schutzwürdigen Interessen der betroffenen Minderjährigen gegen dieses Unternehmensinteresse abgewogen werden. Überwiegen bei der Prüfung erkennbar die Interessen der Minderjährigen daran, daß ihre Adresse für die geplante Werbung nicht verwendet wird, ist die Adresßnutzung unzulässig (§ 28 Abs. 1 Satz 1 Nr. 2 BDSG).

[top]


2. Arbeitgeberanfragen von Gläubigern oder Inkassofirmen

Gläubiger der von diesen eingeschaltete Inkassofirmen versuchen in vielen Fällen, durch sog. Arbeitgeberanfragen näher aufzuklären, ob Aussicht besteht, Forderungen gegen Arbeitnehmer durch Lohn- oder Gehaltspfändungen oder andere Zwangsvollstreckungsmaßnahmen beizutreiben. Hierbei sind insbesondere folgende Gesichtspunkte zu beachten:

2.1

Für den Arbeitgeber besteht bei solchen Anfragen keine Auskunftspflicht (anders als bei der Drittschuldnererklärung nach § 840 ZPO).

2.2

Der Arbeitgeber hat aufgrund der arbeitsvertraglichen Fürsorgepflicht die Daten von Arbeitnehmern und ehemaligen Arbeitnehmern vertraulich zu behandeln. Daher sollte er Gläubigern und Inkassofirmen grundsätzlich keine Auskunft geben, es sei denn, der betroffene Arbeitnehmer hat in die Auskunftserteilung eingewilligt.

2.3

In Ausnahmefällen kann die Erteilung einer Auskunft auch ohne Einwilligung des Arbeitnehmers auf der Grundlage einer Interabwägung in Betracht kommen. Vor einer Auskunftserteilung sollte der Arbeitgeber jedoch nach Möglichkeit den Arbeitnehmer unterrichten und ihm Gelegenheit zur Äußerung geben, damit er dessen Interessen bei der zu treffenden Entscheidung über die Auskunftserteilung angemessen berücksichtigen kann. Bei dateimäßig gespeicherten Daten gilt darüber hinaus folgendes:

  • Eine Auskunft ist zulässig, wenn die Interessenten des Arbeitgebers an der Auskunftserteilung die Interessen des Arbeitnehmers am Unterbleiben der Auskunft überwiegen (§ 28 Abs. 1 Nr. 2 BDSG). Beispielsweise kann ein überwiegendes Interesse des Arbeitgebers bestehen, nicht mit einem Lohnpfändungsverfahren überzogen zu werden, wenn wegen Vorpfändungen weder derzeit noch in absehbarer Zukunft eine Pfändung des Arbeitseinkommens des Arbeitnehmers möglich ist oder dieser aus dem Unternehmen ausgeschieden ist, ohne noch Forderungen aus dem Arbeitsverhältnis zu haben.
  • Eine Auskunft ist ferner zulässig, wenn der Gläubiger oder die Inkassofirma ein berechtigtes Interesse an der Erteilung der Auskunft hat und der betroffene Arbeitnehmer kein schutzwürdiges Interesse daran hat, daß eine Auskunft unterbleibt (§ 28 Abs. 2 Nr. 1 a BDSG). Dabei ist jedoch zu berücksichtigen, daß es in erster Linie Sache des Arbeitnehmers ist, sich mit seinem Gläubiger auseinanderzusetzen und daß dem Arbeitgeber die Interessen seines Arbeitnehmers regelmäßig näher liegen werden, als diejenigen des Gläubigers oder der Inkassofirma. Deshalb sollte der Arbeitgeber eine Auskunft im ausschließlichen Interesse des Gläubigers oder der der Inkassofirma nur mit größter Zurückhaltung erteilen. Eine Auskunft kann beispielsweise in Betracht kommen, wenn über die Forderung ein Vollstreckungstitel vorliegt und die Rechtsverfolgung ohne die Auskunft vereitelt oder gravierend erschwert würde (etwa wenn der Arbeitnehmer mit unbekannter Anschrift verzogen ist, dem Arbeitgeber aber Informationen über die neue Anschrift oder den neuen Arbeitgeber vorliegen).
2.4

Wenn eine Auskunft erteilt wird, sollte dies in einer für den betreffenden Arbeitnehmer möglichst schonender Weise geschehen und sich auf die für die Beurteilung der Aussichten der Lohn- oder Gehaltspfändung unbedingt erforderlichen Angaben beschränken. Dabei kommen etwa Angaben darüber in Betracht:

  • ob der Schuldner noch im Unternehmen beschäftigt ist (ggf. ob in ungekündigter Stellung);
  • wie hoch der noch pfändbare Teil des monatlichen Nettoeinkommens des Schuldners ist;
  • ob und welche Ansprüche andere Personen am Arbeitseinkommen des Schuldners geltend machen, sowie,
  • falls der Schuldner aus dem Unternehmen ausgeschieden ist, bei welchem Arbeitgeber er jetzt beschäftigt ist bzw. seine neue Anschrift.

Darüber hinausgehende Informationen muß sich der Gläubiger bzw. die Inkassofirma grundsätzlich beim Schuldner selbst beschaffen. Dies gilt beispielsweise für Fragen nach dem Familienstand, der Zahl der Personen für die der Schuldner unterhaltspflichtig ist, der vermögenswirksamen Anlage von Teilen des Arbeitseinkommens oder dem Finanzamt, bei dem ein Lohnsteuerjahresausgleich durchgeführt wird. Es ist nicht Sache des Arbeitgebers, durch solche weitgehenden Angaben die Vollstreckung des Gläubigers gegen seinen Mitarbeiter zu fördern.

[top]


3. Einrichtung automatisierter Abrufverfahren (§ 10 BDSG) bei Auskunfteien und Kreditschutzorganisationen

Die Einrichtung automatisierter Abrufverfahren hat in den letzten Jahren zunehmend an Bedeutung gewonnen. Dies trifft beispielsweise für Auskunfteien und Kreditschutzorganisationen zu, die den Kunden ihre umfangreichen Datenbestände auch zum Direktabruf zur Verfügung stellen. Nach den Feststellungen der Aufsichtsbehörde werden dabei die gesetzlichen Vorgaben für die Protokollierung der Abrufe und die Dokumentation des Verfahrens nicht immer ausreichend beachtet. Dies gilt gleichermaßen für speichernde wie für abrufende Stellen.

3.1

Protokollierung der Abrufe. Bei der Übermittlung im automatisierten Abrufverfahren bestehen Protokollierungspflichten für die speichernde und für die abrufende Stelle.

  3.1.1

Speichernde Stelle. Die speichernde Stelle hat nach § 10 Abs. 4 Satz 3 BDSG zu gewährleisten, daß die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Dies setzt ein entsprechendes Protokollierungsverfahren voraus, das zumindest stichprobenweise - d.h. für die abrufende Stelle nicht vorhersehbar - die Abrufe aufzeichnet. Bei Auskunfteien und Kreditschutzorganisationen sind diese Aufzeichnungen die Grundlage für eine Stichprobenkontrolle des "berechtigten Interesses" für die vorgenommenen Abrufe nach § 29 Abs. 2 Nr. 1 a BDSG.

  3.1.2

Abrufende Stelle. Die abrufende Stelle trägt nach § 10 Abs. 4 Satz 1 BDSG die Verantwortung für die Zulässigkeit des einzelnen Abrufs. Die abrufende Stelle hat nach § 29 Abs. 2 Satz 4 BDSG die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise der glaubhaften Darlegung desselben aufzuzeichnen. Dieser Protokollierung kommt eine eigenständige Bedeutung zu. Sie soll den bei der abrufenden Stelle zuständigen Personen - beispielsweise dem betrieblichen Datenschutzbeauftragten - die Kontrolle ermöglichen, ob beim Betrieb des automatisierten Abrufverfahrens die datenschutzrechtlichen Anforderungen eingehalten werden. Dies setzt eigene Aktivitäten der abrufenden Stelle voraus. Die abrufende Stelle kann sich deshalb nicht darauf beschränken abzuwarten, ob sie von der speichernden Stelle im Rahmen der dieser obliegenden Stichprobenkontrolle (s.o. 1.1.1) aufgefordert wird, das "berechtigte Interesse" nachzuweisen. Nach den Feststellungen der Aufsichtsbehörde im Bereich der Kunden von Auskunfteien und Kreditschutzorganisationen kommen die abrufenden Stellen ihrer Pflichten nicht immer ausreichend nach; teilweise war dem betrieblichen Datenschutzbeauftragten nicht einmal klar, ob überhaupt eine ausreichende Protokollierung gem. § 29 BDSG stattfindet und bei welcher Stelle diese Protokolle angefordert werden können.

Dies mag damit zusammenhängen, daß die abrufenden Stellen die ihnen obliegende Protokollierungspflicht vielfach der speichernden Stelle im Wege eines Datenverbeitungsauftrags (§ 11 BDSG) übertragen haben. Hiergegen bestehen zwar keine Bedenken; es darf jedoch nicht aus dem Blickfeld geraten, daß die Protokollierung im Auftrag und für Zwecke der abrufenden Stelle vorgenommen wird. Die Aufzeichnungen sind für Kontrollzwecke aufzubewahren; wegen der Bemessung der Aufbewahrungsdauer wird auf den Hinweis Nr. 12 (Ziff. 2) hingewiesen. Danach ist grundsätzlich von einer Aufbewahrungsdauer von drei Jahren auszugehen. Dieselbe Dauer wird im übrigen auch in § 18 Abs. 6 S. 4 der Schuldnerverzeichnisverordnung - SchuVVO - vorgeschrieben (vgl. nachfolgende Nr. 1.3).

  3.1.3

Sonderfall: Schuldnerverzeichnisdaten. Wenn Schuldnerverzeichnisdaten in das Abrufverfahren einbezogen werden, was bei Auskunfteien und Kreditschutzorganisationen regelmäßig der Fall ist, muß die Protokollierung auch den Aufzeichnungsforderungen des § 18 Abs. 6 SchuVVO Rechnung tragen. Darin wird unter anderem ein Katalog der aufzuzeichnenden Angaben zwingend vorgeschrieben und eine Reihe von Vorgaben dazu gemacht, wann und in welchem Umfang Abrufe in jedem Fall zu protokollieren sind. Einen Spielraum für abweichende Regelungen läßt § 18 Abs. 7 Nr. 4 SchuVVO beispielsweise bei der Protokollierung des Paßwortes und der Endgerätekennung zu.

3.2

Dokumentation des Verfahrens. Die am Abrufverfahren beteiligten Stellen haben nach § 10 Abs. 2 BDSG zu gewährleisten, daß die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu haben sie die dort genannten schriftlichen Festlegungen zu treffen, insbesondere die nach § 9 BDSG erforderlichen technischen und organisatorischen Maßnahmen festzulegen. Das Bundesdatenschutzgesetz verlangt, daß unter den Beteiligten ein abgestimmtes Datensicherungskonzept für das Abrufverfahren vereinbart und entsprechend dokumentiert wird. Es genügt nicht, lediglich pauschal zu vereinbaren, daß die nach § 9 BDSG erforderlichen Maßnahmen getroffen werden. Notwendig ist vielmehr, im einzelnen festzulegen, welche Maßnahmen vorgesehen werden.

Dieses Konzept muß im Hinblick auf die zehn Datensicherungsziele der Anlage zu § 9 BDSG ein Gesamtkonzept für das Abrufverfahren sein. Darin müssen auch Art und Umfang der vorgeschriebenen Protokollierungen (s.o. Nr. 2.1) und Kontrollmaßnahmen konkret dokumentiert werden. Im Sonderfall der Schuldnerverzeichnisdaten ergeben sich die zwingenden Anforderungen an die Protokollierung aus § 18 SchuVVO. Die danach zu treffenden Maßnahmen sind ebenfalls entsprechend § 10 Abs. 2 BDSG im Rahmen des angesprochenen Datensicherungskonzepts im einzelnen zu dokumentieren.

3.3

Beteiligung von Rechenzentren. Wickeln abrufende und/oder speichernde Stellen ihre Datenverarbeitung über Dienstleistungsunternehmen (Rechenzentren) ab, sind diese ebenfalls in das Datensicherungskonzept einzubeziehen. Diensleistungsrechenzentren sind als Auftragnehmer an die Weisungen ihres Auftraggebers gebunden (§ 11 Abs. 3 Satz 1 BDSG). Soweit also die speichernde Stelle mit der abrufenden Stelle Vereinbarungen über die jeweils notwendigen Datensicherungsmaßnahmen trifft, müssen die beauftragten Dienstleister entsprechend angewiesen werden, die Einhaltung der beschriebenen Maßnahmen zu gewährleisten.

[top]


4. Versendung von Briefen und Postkarten mit sensiblem Dateninhalt
4.1 Adhäsionsverschlüsse. Es kommt häufiger vor, daß Briefe mit sensiblen Daten, die aus Dateien stammen, in Umschlägen mit Adhäsionsverschlüssen versendet werden. Diese Verschlüsse lassen sich öffnen und wieder verschließen, ohne daß der Umschlag beschädigt wird; es bleibt deshalb unbemerkt, wenn ein Unbefugter den Umschlag geöffnet hat. Bei Briefen mit sensiblen personenbezogenen Daten ist diese Art der Versendung nicht ausreichend, um die nach Nr. 9 der Anlage zu § 9 BDSG geforderte Transportkontrolle zu gewährleisten. Dies gilt beispielsweise für die Zusendung eines Speicherauszugs an den Betroffenen im Rahmen einer Eigenauskunft nach § 34 BDSG, aber auch für die Zusendung von Lohn- und Gehaltsabrechnungen, Rechnungen mit sensiblem Inhalt (insbesondere Arztrechnungen) und Kontoauszügen.
4.2 Postkarten. Gelegentlich wird die offene Form der Postkarte für den Schriftverkehr in Fällen vorgesehen, die sich wegen der Art der übermittelten personenbezogenen Daten hierzu nicht eignen. So hat beispielsweise ein Unternehmen, das Fortbildungsveranstaltungen durchführt, den angeschriebenen Personen eine Postkarte für die Anmeldung beigefügt, auf der auch die Bankeinzugsermächtigung für die Teilnahmegebühr erteilt und Gründe für eine evtl. Gebührenermäßigung angegeben werden sollten. Zwar ist der Betroffene in solchen Fällen nicht verpflichtet, eine solche Postkarte zu verwenden; insbesondere ist es ihm unbenommen, diese in einem verschlossenen Umschlag zurückzusenden. Besser wäre es jedoch, dem Betroffenen von Anfang an nicht die Verwendung einer offenen Postkarte für die Rückantwort vorzugeben.
Akten