Raspi with Police

Bekanntmachung des Innenministeriums über Hinweise (Nummer 38) zum Bundesdatenschutzgesetz für die private Wirtschaft vom 18.01.2000

Az.: 2-0552.1/14. Die Veröffentlichung erfolgt im Anschluss an die Hinweise Nr. 37 im Staatsanzeiger für Baden-Württemberg Nr. 2 vom 18.01.1999, Seite 13

  1. Schutz der Kundendaten bei der Fusion von Banken
    1. Offenlegung von Kundendaten vor der Fusionsentscheidung
    2. Offenlegung von Kundendaten nach der Fusionsentscheidung
    3. Übertragung von Kundendaten nach der Fusion
  2. Informationsaustausch bei Wechsel des Versicherers in der Privatkrankenversicherung
  3. Datenschutz im Mieterhöhungsverfahren
    1. Der Vermieter lässt sein Mieterhöhungsverlangen von seinem Haus- und Grundbesitzerverein durchführen, der über eine Sammlung von Vergleichsmieten verfügt.
    2. Der gewerbliche Vermieter greift bei der Begründung des Mieterhöhungsverlangen auf seinen eigenen Wohnungsbestand zu.
    3. Der Vermieter greift für sein Mieterhöhungsverlangen auf fremde Wohnungsbestände zu.
    4. Der private Vermieter erhält Vergleichsmieten von anderen privaten Vermietern
  4. Bonitätsprüfung durch Ärzte und Zahnärzte
  5. Datenschutzgerechte Reparatur von Mobiltelefonen
A. Schutz der Kundendaten bei der Fusion von Banken

Die Verschmelzung mehrerer Kreditinstitute zu einem Unternehmen (Fusion) berührt naturgemäß die Interessen der Bankkunden der beteiligten Kreditinstitute. Diese haben Anspruch darauf, dass ihre schutzwürdigen Belange vor, während und nach der Verschmelzung gewahrt werden. Die datenschutzrechtlichen Anforderungen an den Umgang mit den Daten der Bankkunden sind im Umwandlungsgesetz nicht geregelt; sie richten sich nach dem Bundesdatenschutzgesetz. Die Aufsichtsbehörde für den Datenschutz hält folgende Verfahrensweisen nach den Vorschriften des Bundesdatenschutzgesetzes für zulässig:

1. Offenlegung von Kundendaten vor der Fusionsentscheidung

Für die Fusion von Kreditinstituten sind neben der Kundenstruktur und der Struktur und Höhe der Einlagen insbesondere die Höhe der vergebenen Kredite sowie die Qualität der Kreditsicherheiten und die Bonität der Kreditschuldner bewertungs- und entscheidungserhebliche Kriterien. Das an der Übernahme eines anderen Kreditinstituts interessierte Kreditinstitut oder die an einer Verschmelzung zu einem neuen Unternehmen interessierten Kreditinstitute haben deshalb grundsätzlich ein berechtigtes Interesse daran, vor der Fusionsentscheidung Kundendaten umfassend prüfen zu können. Andererseits haben die betroffenen Bankkunden sowohl aus der Sicht des Datenschutzrechts als auch aus der Sicht ihres bankvertraglich geschützten Bankgeheimnisses ein schutzwürdiges Interesse daran, dass ihre Daten nicht ohne Einwilligung auf ihre Person bezogen offen gelegt und damit übermittelt werden, bevor die Fusionsentscheidung unwiderruflich von den Beschlussgremien der Anteilseigner der beteiligten Kreditinstitute bestätigt worden ist. Erst dann haben die Kunden Gewähr dafür, dass ihre Daten nur dem künftigen Vertragspartner bekannt werden. Vor diesem Zeitpunkt steht der Übermittlung § 28 Abs. 1 Satz 1 Nr. 2 BDSG entgegen, da regelmäßig davon ausgegangen werden muss, dass die schutzwürdigen Interessen der betroffenen Kunden die berechtigten Interessen der beteiligten Kreditinstitute überwiegen.

In dieser Vorphase der Fusion ist es deshalb den beteiligten Kreditinstituten datenschutzrechtlich verwehrt, die sich aus Kundenbeziehungen und Kreditengagements des jeweils anderen Instituts ergebenden Daten personenbezogen mit eigenen Mitarbeitern zu prüfen. Dies gilt auch dann, wenn die personenbezogenen Kundendaten in einem Gemeinschaftsrechenzentrum verarbeitet werden; weder darf das Rechenzentrum dem übernahmeinteressierten Kreditinstitut von sich aus noch mit Wissen des an der Übertragung des Geschäfts interessierten Kreditinstituts den lesenden Zugriff auf den Gesamtbestand der Daten einräumen. Auch ist die vorübergehende Integration von Mitarbeitern des übernahmeinteressierten Kreditinstituts in den Mitarbeiterstamm des die Übernahme anstrebenden Kreditinstituts zum Zweck der Gewinnung personenbezogener Informationen über die Bankkunden regelmäßig unzulässig, weil die Mitarbeiter vor der Fusionsentscheidung wieder in das entsendende Kreditinstitut aufgenommen werden und dort den Weisungen des Vorstands unterliegen.

Als Datenbasis für die Fusionsverhandlungen kommen regelmäßig nur zusammengefasste strukturelle Daten sowie anonymisierte Einzeldaten in Frage. Das berechtigte Interesse des übernahmeinteressierten Kreditinstituts an der Korrektheit der aggregierten und anonymisierten kundenrelevanten Daten und der betriebswirtschaftlich zutreffenden Bewertung dieser Daten kann durch die Einschaltung unabhängiger Wirtschaftsprüfer oder verbandseigener Prüfer sichergestellt werden. Auf vorliegende Prüfberichte des an der Übertragung des Geschäfts interessierten Kreditinstituts kann nicht zurückgegriffen werden, weil diese regelmäßig personenbezogene Kundendaten enthalten, die sich nur schwer anonymisieren lassen; so sind insbesondere bei problematischen Kreditengagements auch die Personalien der Kreditnehmer ersichtlich. Wird eine Sonderprüfung des zu übernehmenden Kreditinstituts veranlasst, ist darauf zu achten, dass Kundendaten in dem für die Fusionsverhandlungen verwendeten Prüfbericht ausreichend anonymisiert sind. Erforderlichenfalls ist ein Treuhänder einzuschalten, der die Korrektheit der anonymisierten Unterlagen gewährleistet, die Grundlage der Fusionsverhandlungen sind.

Wenn allerdings wegen besonderer Umstände eine zuverlässige Anonymisierung von Kundendaten nicht möglich ist, wie beispielsweise bei einem einzelnen großen Kreditengagement, über das bereits die Presse berichtet hat, überwiegt das berechtigte Interesse der übernahmeinteressierten Bank an der Kenntnis der personenbezogenen Daten das schutzwürdige Interesse des betroffenen Kunden an der Geheimhaltung seiner Daten. Es sollte aber so weit wie möglich vermieden werden, dass Kundendaten für die wirtschaftliche Bewertung des an der Übertragung des Geschäfts interessierten Kreditinstituts offen gelegt werden, wenn die Fusionsentscheidung noch weitgehend offen ist. Es ist den betroffenen Kunden nicht zumutbar, dass ihre Daten über das ihnen vertraglich verbundene Kreditinstitut hinaus bekannt sind, wenn nach der Prüfung der Kreditengagements die Fusionsverhandlungen abgebrochen werden.

2. Offenlegung von Kundendaten nach der Fusionsentscheidung

Zwischen der Fusionsentscheidung durch die Beschlussorgane der Anteilseigner der betroffenen Kreditinstitute und der Aufnahme des Geschäftsbetriebs und damit dem Übergang der Vertragsbeziehungen der Kunden auf das Fusionsunternehmen liegt regelmäßig eine Zeitspanne, die der Vorbereitung und Konsolidierung der Geschäftsprozesse der beteiligten Kreditinstitute dient. So kann es beispielsweise erforderlich sein, die Kontenführung zu vereinheitlichen oder den Kunden neue Kontonummern zuzuordnen. Auch Serviceleistungen im Interesse der Kunden, wie beispielsweise die Information regelmäßiger Teilnehmer am Lastschrifteinzugsverfahren über neue Kontobeziehungen der Bankkunden müssen in dieser Phase vorbereitet werden. Für solche Zwecke ist die Offenlegung der dafür notwendigen Kundendaten durch die übertragende Bank als Übermittlung nach § 28 Abs. 1 Nr. 2 BDSG ohne Einwilligung der betroffenen Kunden zulässig. Das Kreditinstitut als Vertragspartner des Kunden hat ein berechtigtes Interesse an der Vorbereitung des ordnungsgemäßen Geschäftsbetriebs des künftigen fusionierten Unternehmens. Dagegen stehende schutzwürdige Belange des Bankkunden sind nicht erkennbar; sein Interesse ist regelmäßig auf die problemlose Fortsetzung seiner Vertragsbeziehungen mit dem Fusionsunternehmen gerichtet.

3. Übertragung von Kundendaten nach der Fusion

Datenschutzrechtlich unproblematisch ist der Umgang mit den Kundendaten der beteiligten Unternehmen nach dem Wirksamwerden des Verschmelzungsvertragsanderes Kreditinstitut übernehmende . Das neu entstandene oder das ein Kreditinstitut tritt als Gesamtrechtsnachfolger für das Vorgängerinstitut in die Verträge zu den Bankkunden ein; es ist damit nicht Dritter im Sinne des Bundesdatenschutzgesetzes, eine Datenübermittlung findet nicht statt. Die Zulässigkeit der Datenverarbeitung durch das übernehmende Kreditinstitut gründet sich auf vertragliche Beziehung und damit auf § 28 Abs. 1 Satz 1 Nr. 1 BDSG.

[top]

B. Informationsaustausch bei Wechsel des Versicherers in der Privatkrankenversicherung

Wenn ein Versicherter seine private Krankenversicherung wechseln will, muss er dem künftigen Versicherer seine bisherigen Krankheiten und Beschwerden im Versicherungsantrag offen legen. Diese Angaben braucht der neue Versicherer, um das Vertragsrisiko richtig einzuschätzen und für die Versicherung eine risikogerechte Prämie festzulegen. Zur Klärung des Risikos benötigt der Versicherer gelegentlich Auskünfte von Ärzten und Krankenhäusern, die den Versicherten behandelt haben, ebenso können Auskünfte des bisherigen Krankenversicherers notwendig sein.

Damit Mitarbeiter von Krankenversicherungen sowie Ärzte und andere Behandler einem Auskunftsersuchen des Privatkrankenversicherers entsprechen können, muss sie der Versicherte von ihrer beruflichen Schweigepflicht entbinden. Dies geschieht regelmäßig mit einer in den Versicherungsantrag aufgenommenen Schweigepflichtentbindungserklärung, die üblicherweise einem zwischen der Versicherungswirtschaft und den Obersten Aufsichtsbehörden für den Datenschutz abgesprochenen Standard entspricht. Damit wird der Krankenversicherer ermächtigt, an einen anderen Personenversicherer (Kranken-, Lebens-, Unfallversicherer) Auskünfte über den Gesundheitszustand einer bei ihm versicherten Person zur Beurteilung des Risikos eines beantragten Versicherungsvertrags zu erteilen. Die Auskunft ist nur zulässig, soweit dazu ein Anlass besteht, und darf nur Vorgänge der letzten zehn Jahre umfassen. Diese Ermächtigung zur Auskunftserteilung endet fünf Jahre nach der Antragstellung. Die Entbindung von der Schweigepflicht ist demnach nach Anlass und Zeitpunkt (beantragter Vertrag), Zweck (Risikoprüfung), Umfang (Gesundheitszustand der letzten zehn Jahre) und Geltungsdauer (fünf Jahre) eindeutig beschränkt.

Der Aufsichtsbehörde sind allerdings verschiedentlich Fälle bekannt geworden, in denen diese Beschränkungen weder von den anfragenden noch von den auskunftserteilenden Privatkrankenversicherungsunternehmen beachtet worden sind. So haben Krankenversicherer erst nach dem Vertragsabschluss aus Anlass von Kostenerstattungsanträgen von Versicherten beim früheren Versicherer umfassende Auskünfte über die gewährten Leistungen angefordert und erhalten, aus denen über einen Zeitraum von zehn Jahren u. a. die Diagnosen sämtlicher Krankheiten und Beschwerden ersichtlich waren, für die der Versicherte medizinische Hilfe in Anspruch genommen hatte.

Die Aufsichtsbehörde beurteilt die Zulässigkeit des Informationsaustauschs zwischen Unternehmen der privaten Krankenversicherung folgendermaßen:

  • Die Erhebung von Daten durch ein Versicherungsunternehmen der privaten Krankenversicherung bei einem anderen Privatkrankenversicherer über einen (bisherigen) Versicherten ist am Grundsatz von Treu und Glauben zu messen (§ 28 Abs. 1 Satz 2 BDSG). Das Unternehmen, das die Erhebung durchführt, kann dabei davon ausgehen, dass der Versicherte seinen (bisherigen) Vertragspartner im beschriebenen Umfang von der Schweigepflicht entbunden hat. Zweck und Umfang der Datenerhebung müssen mit der Schweigepflichtentbindung im Einklang stehen, wenn die Erhebung nicht treuwidrig sein soll.
  • Ein umfassender Datenaustausch zur Risikoprüfung ist grundsätzlich nur vor dem Vertragsabschluss von der Schweigepflichtentbindungserklärung gedeckt. Die Pflicht des künftigen Krankenversicherers zur Vertragsgestaltung entsprechend dem Individualrisiko berechtigt ihn, sich über den Gesundheitszustand des künftigen Versicherten umfassend zu informieren. Ein dazu erforderlicher Informationsaustausch mit dem bisherigen Krankenversicherer greift in das informationelle Selbstbestimmungsrecht des Betroffenen nicht unangemessen ein, insbesondere verletzt dieser keine schutzwürdigen Interessen.
  • Der Datenaustausch zur Risikoprüfung ist auch nach Vertragsschluss nicht grundsätzlich ausgeschlossen; die Befristung der Schweigepflichtentbindungserklärung auf fünf Jahre nach der Antragstellung würde sonst keinen Sinn ergeben. Während des Vertragslaufs ist die Erhebung von Daten beim früheren Privatkrankenversicherer und die Übermittlung durch diesen jedoch durch den Grundsatz der Verhältnismäßigkeit des Eingriffs in die Persönlichkeitsrechte des Betroffenen auf das beschränkt, was erforderlich ist. Dem trägt auch der Wortlaut der Schweigepflichtentbindungserklärung Rechnung. Gesundheitsdaten können dann zulässigerweise nur erhoben werden, wenn und vor allem so weit dazu eine konkrete Veranlassung besteht. Dies wird regelmäßig dann der Fall sein, wenn sich beim Versicherten vor dem Vertragsabschluss nicht bekannte Krankheiten oder Beschwerden zeigen, die nach medizinischer Erfahrung nicht kurzfristig auftreten, sondern auf eine längere Vorgeschichte schließen lassen. Nach Vertragsschluss ist die Erhebung von Gesundheitsdaten beim Vorversicherer auf Daten zu beschränken, welche die aufgetretenen Krankheits- oder Beschwerdebilder betreffen.
  • Unternehmen der Privatkrankenversicherung dürfen Daten über Versicherte oder ehemalige Versicherte nur unter den Voraussetzungen des § 28 Abs. 2 Nr. 1a BDSG übermitteln, so weit dies zur Wahrung berechtigter Interessen des künftigen Krankenversicherers erforderlich ist; darüber hinaus nur mit deren Einwilligung. Die gebräuchliche datenschutzrechtliche Einwilligungsklausel beschränkt die Zulässigkeit der Übermittlung ebenso wie die Schweigepflichtentbindungsklausel auf den für die Risiko- und Leistungsprüfung erforderlichen Umfang. Datenschutzrechtlich und ggf. auch strafrechtlich verantwortlich für die Zulässigkeit der Übermittlung ist das übermittelnde Unternehmen. Die Privatkrankenversicherer haben vor einer Übermittlung insbesondere von Diagnosedaten die Berechtigung des Auskunftsersuchens zumindest nach Plausibilitätsgesichtspunkten zu prüfen.

[top]

C. Datenschutz im Mieterhöhungsverfahren

Nach § 2 Abs. 1 des Gesetzes zur Regelung der Miethöhe (MHG) ist für eine Mieterhöhung die ortsübliche Vergleichsmiete maßgebend. Das Erhöhungsverlangen ist zu begründen. Eine der in § 2 Abs. 2 MHG vorgesehenen Begründungsmöglichkeiten ist die Benennung dreier vergleichbarer Wohnungen. Nach der Rechtsprechung des Bundesgerichtshofs (BGH) müssen die Vergleichswohnungen im Erhöhungsverlangen so genau beschrieben werden, dass sie vom Mieter identifiziert werden können. Die Daten einer Wohnung sind personenbezogene Daten des Eigentümers (Vermieters), da sich aus ihnen Angaben über seine Vermögensverhältnisse ergeben können. Durch die vom BGH geforderte Identifizierbarkeit der Wohnung besteht jedoch auch Personenbezug zum Mieter. Durch die Anschrift ist er bestimmbar, durch die genaue Beschreibung der Wohnung kann auf seine Lebensumstände, insbesondere seine Wohnverhältnisse geschlossen werden. Daher sind die Wohnungsdaten wie Lage, Größe, Beschaffenheit, Ausstattung, Miete, auch personenbezogene Daten des Mieters.

Bei der folgenden Betrachtung stehen die Wohnungsdaten als personenbezogene Daten des Mieters im Vordergrund.

Bei einem Mieterhöhungsverlangen, das mit der Benennung von drei vergleichbaren Wohnungen begründet wird, werden dem Mieter, an den das Mieterhöhungsverlangen gerichtet ist, personenbezogene Daten der Mieter der Vergleichswohnungen bekanntgegeben.

§ 2 Abs. 2 MHG ist keine "andere Rechtsvorschrift" i. S. § 4 Abs. 1 BDSG, die die Nutzung und Verarbeitung personenbezogener Daten erlaubt. Der Gesetzgeber wollte im MHG, das vor dem BDSG erlassen wurde, keine datenschutzrechtliche Regelung treffen. Vielmehr ist die Problematik nach dem BDSG zu betrachten.

Bei der datenschutzrechtlichen Beurteilung der Frage, inwieweit die Daten anderer Wohnungen für die Begründung einer Mieterhöhung herangezogen werden dürfen, ist zwischen vier Fallgruppen zu unterscheiden:

1. Der Vermieter lässt sein Mieterhöhungsverlangen von seinem Haus- und Grundbesitzerverein durchführen, der über eine Sammlung von Vergleichsmieten verfügt.

Viele Haus- und Grundbesitzervereine erstellen für ihre Mitglieder individuell ausgearbeitete Mietvertragsentwürfe und führen Mieterhöhungsverfahren durch. Diese Tätigkeit ist keine Datenverarbeitung im Auftrag, sondern eine eigenständige Verarbeitung von Daten. Daher können die Vereine Wohnungsdaten insbesondere über Größe, Lage, Ausstattung und Miethöhe der von ihnen erstellten und abgeschlossenen Verträge in einem Vergleichsmietenkataster nach § 28 Abs. 1 Nr. 1 BDSG zur Erfüllung eigener Geschäftszwecke speichern. Die Namen der Mieter dürfen für Zwecke von Mieterhöhungsverfahren im Kataster nicht gespeichert werden, da die Vereine kein die schutzwürdigen Interessen der Mieter überwiegendes berechtigtes Interesse an der Speicherung geltend machen können (§ 28 Abs. 1 Nr. 2 BDSG).

Erhält ein Verein von einem Vermieter den Auftrag, für dessen Wohnung eine Mieterhöhung durchzuführen, so greift der Verein zu deren Begründung auf die Daten des Katasters zurück. Obwohl das Kataster keine Mieternamen enthält, übermittelt er mit der Benennung der Vergleichswohnung personenbezogene Daten, da für den von der Mieterhöhung Betroffenen die Personalien der Mieter dieser Wohnungen leicht zu ermitteln sind. Die Zulässigkeit dieser Übermittlung ist nach § 28 Abs. 1 Nr. 2 BDSG zu beurteilen. Zwar hat der Verein ein berechtigtes Interesse, das Mieterhöhungsverfahren durchzuführen. Jedoch besteht Grund zur Annahme, dass das schutzwürdige Interesse der Mieter der Vergleichswohnungen an der Geheimhaltung ihrer Daten überwiegt, da durch die Übermittlung der Wohnungsdaten Rückschlüsse auf ihre persönlichen Verhältnisse gezogen werden können durch Anfragen und Besuche von einer Mieterhöhung betroffenen Mietern, die überprüfen wollen, ob die Wohnungen tatsächlich vergleichbar sind, Belästigungen entstehen können.

Die Übermittlung von Wohnungsdaten ist deshalb nur mit Einwilligung der Mieter der Vergleichswohnungen zulässig. Die Einwilligung ist nach § 4 Abs. 1 BDSG schriftlich einzuholen. Dabei sind die betroffenen Mieter auf den vorgesehenen Verwendungszweck der Daten sowie darüber zu informieren, dass die Einwilligung widerruflich ist. Die Einwilligung kann in den Mietvertrag integriert werden. Sie muss dann im äußeren Erscheinungsbild hervorgehoben und vom Mieter gesondert unterschreiben werden.

2. Der gewerbliche Vermieter greift bei der Begründung des Mieterhöhungsverlangen auf seinen eigenen Wohnungsbestand zu.

Wohnungsdaten sind Daten des Vermieters und des Mieters. Aus diesem Grund muss der gewerbliche Vermieter bei der Benennung eigener Vergleichswohnungen in Mieterhöhungsverlangen die unter Ziffer 1 dargestellten schutzwürdigen Interessen der Mieter gegenüber seinem berechtigten Interesse an der Mieterhöhung abwägen. Dazu wird er dann in der Lage sein, wenn er die aktuellen persönlichen Lebensumstände des betreffenden Mieters kennt. Ist dies nicht der Fall, muss er dem Mieter vorher Gelegenheit geben, seine der Benennung seiner Wohnung als Vergleichswohnung entgegenstehenden Interessen darzulegen.

Da es nach Auffassung der Aufsichtsbehörde häufig schwierig ist, eine solche Abwägung sachgerecht durchzuführen, wird auch bei gewerblichen Vermietern die Einholung einer vorherigen Einwilligung der Mieter der praktikablere Weg sein.

3. Der Vermieter greift für sein Mieterhöhungsverlangen auf fremde Wohnungsbestände zu.

Speichert eine nicht-öffentliche Stelle geschäftsmäßig Wohnungsdaten zu dem Zweck, diese an Vermieter zur Begründung von Mieterhöhungsverlangen zu übermitteln, sind wie bei einer Auskunftei die Vorschriften des § 29 BDSG einschlägig. In diesen Fällen ist die Übermittlung zulässig, wenn der Vermieter, der die Daten erhält, ein berechtigtes Interesse glaubhaft dargelegt hat, und kein Grund zur Annahme besteht, dass der betroffene Mieter ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Davon muss jedoch regelmäßig ausgegangen werden, solange der Mieter keine gegenteilige Erklärung abgegeben hat. Daher ist auch in diesen Fällen eine Übermittlung von Wohnungsdaten ohne Einwilligung des betroffenen Mieters nach § 29 BDSG nicht zulässig.

4. Der private Vermieter erhält Vergleichsmieten von anderen privaten Vermietern

Die Datenverarbeitung ist bei privaten Vermietern weder geschäftsmäßig noch gewerblich, solange sie keinen berufsmäßigen Umfang annimmt. Das BDSG gilt nicht für den privaten Umgang mit personenbezogenen Daten.

[top]

D. Bonitätsprüfung durch Ärzte und Zahnärzte

Bei umfangreichen ärztlichen und zahnärztlichen Behandlungen – z. B. unter Beteiligung von Zahntechnikern – können Vorleistungen des behandelnden Arztes erforderlich werden, die mit einem finanziellen Risiko verbunden sind. Der vorleistende Arzt kann daher ein Interesse haben, sich der Bonität des von ihm zu behandelnden Patienten durch eine Anfrage bei einem Kreditschutzunternehmen oder einer Auskunftei zu versichern.

Die Bonitätsanfrage beim Kreditschutzunternehmen muss personenbezogene Daten des Patienten enthalten, die ihn eindeutig identifizieren lassen. Mit der Anfrage wird zwangsläufig die Tatsache offenbart, dass sich der Patient in ärztlicher Behandlung befindet. Die Anfrage des behandelnden Arztes schließt die Angabe ein, wo die Behandlung stattfindet. Nach der Rechtsprechung ist die Mitteilung an einen Dritten, dass sich eine Person in ärztlicher Behandlung befindet, die "Mitteilung eines fremden Geheimnisses" im Sinne von § 203 des Strafgesetzbuches. Die Zulässigkeit dieser Mitteilung und damit die Übermittlung personenbezogener Daten des Patienten bedarf nach einhelliger Auffassung der Einwilligung des Patienten. Nur dann ist sie "befugt" im Sinne des § 203 des Strafgesetzbuchs.

Rechnet der Arzt bzw. Zahnarzt mit dem Patienten (bzw. bei minderjährigen Patienten mit deren Erziehungsberechtigten) ab, wird es zweckmäßig sein, sofern nicht die Einwilligung angesichts einer kostenträchtigen Behandlung im Einzelfall eingeholt wird, eine Einwilligungserklärung des Patienten in eine denkbare Bonitätsanfrage in den Patientenerhebungsbogen aufzunehmen. Die Erklärung könnte – bezogen auf Zahnärzte – folgenden Wortlaut haben:

"Ich bin damit einverstanden, dass bei umfangreichen zahnärztlichen oder zahntechnischen Leistungen, für die mein( e) Zahnarzt/ Zahnärztin gegenüber dem Zahntechniker in finanzielle Vorleistungen treten muss, ggf. eine Bonitätsanfrage bei einem Kreditschutzunternehmen oder einer Auskunftei eingeholt wird."

Wegen der offenen Fassung der Einwilligungserklärung hält es die Aufsichtsbehörde für erforderlich, dass der Arzt bzw. Zahnarzt auf konkrete Nachfrage des Patienten das Kreditschutzunternehmen benennt.

[top]

E. Datenschutzgerechte Reparatur von Mobiltelefonen

Wie alle Gegenstände des täglichen Lebens unterliegen auch Mobiltelefone dem Verschleiß. Ein Mobiltelefon ist nicht nur ein Kommunikationsgerät, sondern zugleich auch ein Datenspeicher, in dem der Nutzer ein Telefonverzeichnis mit Namen und Rufnummern anlegen kann. Die gespeicherten Rufnummern sind personenbezogene Daten, die insbesondere die regelmäßigen Kommunikationsbeziehungen des Geräteinhabers widerspiegeln. Die mit Namen gespeicherten Rufnummern sind auch personenbezogene Daten der Inhaber der betreffenden Anschlüsse. Deshalb kann ein Gerätedefekt zu datenschutzrechtlichen Problemen führen, wenn das Mobiltelefon ausgetauscht wird, ohne dass zuvor sein Rufnummernspeicher mit dem Telefonverzeichnis gelöscht wurde.

Zwar ist grundsätzlich der Nutzer für die in seinem Mobiltelefon gespeicherten Daten verantwortlich und hat selbst dafür zu sorgen, dass das Telefonverzeichnis vor einem Geräteaustausch gelöscht wird. Jedoch ist nach den Erfahrungen der Aufsichtsbehörde die Meinung weit verbreitet, dass ein defektes Geräte von der Servicestelle vernichtet wird. Auch kann wegen der Art des Defekts der Rufnummernspeicher im Gerät vom Nutzer oftmals nicht mehr selbst gelöscht werden.

Die Hersteller von Mobiltelefonen können deshalb nicht davon ausgehen, dass reparierte Geräte an andere als die ursprünglichen Nutzer unbesehen weitergegeben werden dürfen. Die Herausgabe von Geräten mit Telefonverzeichnissen früherer Nutzer ist als Datenübermittlung i. S. d. Bundesdatenschutzgesetzes zu qualifizieren. Die Offenbarung der Kommunikationsbeziehungen früherer Nutzer greift in deren schutzwürdigen Belange ein und ist nach § 28 BDSG nicht zu rechtfertigen. Es liegt in der Verantwortung der Hersteller, dafür zu sorgen, dass keine Mobiltelefone mit ungelöschten Rufnummernspeichern in Verkehr kommen. Zwar haben die Mobilfunkbetreiber und ihre Provider in der Regel die Serviceunternehmen, welche die Gerätereparatur für sie vornehmen, zum Löschen des Speichers im Wege eines Softwareupdates oder Reset verpflichtet. Dass diese Verpflichtung eingehalten wird, muss aber von den Unternehmen durch geeignete Maßnahmen kontrolliert werden.

Akten