Anhang Beschlüsse der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) Sitzung vom 19./20. April 2007 (Düsseldorfer Kreis) Kreditscoring / Basel II Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Be- reich beurteilen die Erhebung, Verarbeitung und Nutzung von personenbezo- genen Daten beim Einsatz von Scoring-Verfahren im Bereich der Kreditwirt- schaft wie folgt: I. Welche personenbezogenen Merkmale dürfen für die Berechnung des Scores genutzt werden? 1. Es dürfen nur Parameter genutzt werden, deren Bonitätsrelevanz mittels eines den wissenschaftlichen Standards entsprechenden mathematisch- statistischen Verfahrens nachgewiesen wurde. Die statistische Relevanz eines Parameters ist für die Einstellung in das Scoring-Verfahren eine notwendige, aber noch keine hinreichende Bedingung. 2. Nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG dürfen nur Daten erhoben und gespeichert werden, soweit dies zur Zweckbestimmung eines Vertragsverhältnisses erforderlich ist. Die Tatsache, dass ein Scoring- Verfahren durchgeführt wird, ändert daran nichts und erweitert nicht den Berechtigungsrahmen der Banken. Es dürfen daher nur Daten in ein Scoring-Verfahren eingestellt werden, die das Institut im Rahmen eines Kreditvertrages erheben darf (Erforderlichkeitsprinzip). Soweit Daten für andere Zwecke, etwa aufgrund von Vorgaben des KWG oder des WpHG erhoben und gespeichert wurden, dürfen diese Daten nur für diese Zwecke, nicht jedoch für Scoring-Verfahren verwendet werden. (Da sensitive Daten im Sinne des § 3 Abs. 9 BDSG nicht nach § 28 Abs. 1 Satz 1 Nr. 1 BDSG erhoben und verarbeitet werden, dürfen diese auch nicht in die Score-Berechnung einfließen.) 3. Das Scoring-Verfahren selbst stellt eine Datennutzung dar. Für diese gilt § 28 Abs. 1 Satz 1 Nr. 2 BDSG. Danach ist die Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig, soweit es zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Ein berechtigtes Interesse der Banken an der Nutzung der für das Scoring-Verfahren verwendeten Parameter kann in der Regel angenommen werden. Wenn das Kreditinstitut die Möglichkeit hat, konkrete, unmittelbar bonitätsrelevante Daten zu erheben, darf es nicht auf Daten zurückgreifen, die nur Indizcharakter haben. Soweit ein berechtigtes Interesse der Banken vorliegt, ist bei jedem einzelnen Parameter zu überprüfen, ob der Betroffene überwiegende schutzwürdige Interessen am Ausschluss der Datennutzung geltend machen kann. Die hier vorzunehmende Abwägung stellt einen LDI NRW 19. Datenschutzbericht 2009 185
Anhang normativen Prozess dar; die bloße statistische Relevanz eines Kriteriums führt noch nicht dazu, dass nicht von überwiegenden schutzwürdigen Interessen des Betroffenen auszugehen ist. Bei der Abwägung können die gesetzgeberischen Wertungen aus § 10 Abs. 1 Satz 3 ff. KWG herangezogen werden. § 10 Abs. 1 KWG gilt zwar als bankenaufsichts- rechtliche Norm nur für die Erhebung und Verarbeitung personen- bezo- gener Daten zur internen Risikobemessung (Eigenkapitalausstattung), nicht jedoch für das Scoring im Außenverhältnis zu den (potentiellen) Kundinnen und Kunden. Die Wertungen aus § 10 Abs. 1 Satz 3 ff. KWG können allerdings als gesetzgeberisches Leitbild in die Auslegung des BDSG einfließen. Das gilt insbesondere für die Anforderungen an Scoring-Merkmale. Die Merkmale müssen daher nicht nur mathematisch- statistisch erheblich sein, sondern eine ebenso hohe Stringenz aufweisen wie die im Merkmalskatalog des § 10 Abs. 1 Satz 6 KWG aufgeführten Regelbeispiele. So sind Angaben zur Staatsangehörigkeit bereits aufgrund des ausdrücklichen Verbots in § 10 Abs. 1 Satz 3 KWG als Score-Merkmale ausgeschlossen. Bei der Abwägung sind darüber hinaus Wertungen des Grundgesetzes wie auch des einfachen Rechts daraufhin zu überprüfen, ob eine Benachteiligung der (potentiellen) Kundinnen und Kunden aufgrund eines bestimmten Kriteriums unzumutbar ist. 4. Auch wenn sich Basel II vornehmlich mit der Eigenkapitalhinterlegung der Institute befasst, wird der Einsatz von Scoring-Verfahren zunehmend dazu führen, jeden Kredit entsprechend dem individuellen Risiko zu bezinsen. Nur wenn in einer Gesamtschau der Kriterien sichergestellt ist, dass diesem Anliegen Rechnung getragen wurde, erfolgt die Datennutzung zur Wahrung berechtigter Interessen und sind keine überwiegenden schutzwürdigen Interessen der Betroffenen tangiert. II. Wie transparent müssen die Bewertungen für die Betroffenen sein? Für die Betroffenen (wie auch für die Aufsichtsbehörden) muss nachvollziehbar sein, 1. welche personenbezogenen Merkmale in die Berechnung des Score-Wer- tes einfließen; 2. welche konkreten personenbezogenen Daten der kreditsuchenden Person dafür genutzt wurden; 3. welches die maßgeblichen Merkmale sind, die den konkreten Score-Wert der betroffenen Person negativ beeinflusst haben. Diese maßgeblichen Merkmale sollen nach ihrer Bedeutung bzw. den Grad ihres Einflusses auf den konkreten Score- Wert aufgelistet werden, wobei sich die Auflistung auf die vier bedeutsamsten Merkmale beschränken soll. Darüber hinaus ist bei der Anwendung von Scoring-Verfahren der § 6a BDSG zu beachten. Internationaler Datenverkehr 1. Der Düsseldorfer Kreis beschließt das anliegende Positionspapier zum internationalen Datenverkehr. Der BlnBDI wird gebeten, das Papier als Vorsitzender der AG "Internationaler Datenverkehr" an die damals beteiligten Wirtschaftsvertreter zu versenden, die zugleich darauf 186 LDI NRW 19. Datenschutzbericht 2009
Anhang hingewiesen werden sollen, dass weitere Fallkonstellationen in einer allgemein zugänglichen Handreichung näher dargestellt werden. Die im Positionspapier genannten Auffassungen können von den Aufsichtsbehörden bei der Beratung auch anderer Wirtschaftsvertreter genutzt werden. 2. Der Düsseldorfer Kreis beschließt ferner die anliegende Handreichung zur rechtlichen Bewertung von Fallgruppen zur internationalen Auftragsdatenverarbeitung. Sie beinhaltet die häufigsten Fallkonstellationen und soll den Unternehmen die rechtliche Bewertung erleichtern. Im Einzelfall kann eine abweichende Bewertung erforderlich sein. Deshalb verbieten sich schematische Lösungen. Den Aufsichtsbehörden wird anheim gestellt, die Handreichung im Internet zu veröffentlichen oder auf andere Weise interessierten Unternehmen zugänglich zu machen. Erhebung von Positivdaten zu Privatpersonen bei Auskunfteien Nicht nur sog. Verbraucherauskunfteien wie beispielsweise die SCHUFA, son- dern auch Handels- und Wirtschaftauskunfteien erheben und verarbeiten zu- nehmend Bonitätsdaten zu Privatpersonen, die nicht gewerblich tätig sind. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich weisen in diesem Zusammenhang darauf hin, dass die Handels- und Wirt- schaftsauskunfteien insoweit die selben datenschutzrechtlichen Vorgaben zu beachten haben wie die "Verbraucherauskunfteien". Handels- und Wirtschaftsauskunfteien können daher sog. Positivdaten zu Pri- vatpersonen grundsätzlich nicht auf Grundlage des § 29 Abs. 1 BDSG erheben. Denn bei Positivdaten - das sind Informationen, die keine negativen Zahlungs- erfahrungen oder sonstiges nicht vertragsgemäßes Verhalten zum Inhalt haben - überwiegt das schutzwürdige Interesse der betroffenen Personen, selbst über die Verwendung ihre Daten zu bestimmen. Werden die Daten übermittelt, ist insoweit bereits die Übermittlung nach § 28 BDSG regelmäßig unzulässig. Will eine Auskunftei Positivdaten zu Privatpersonen erheben, bedarf es dafür einer wirksamen Einwilligung der Betroffenen im Sinne des § 4a BDSG. Sofern die Auskunftei oder ihre Vertragspartner zu diesem Zweck eine für eine Vielzahl von Fällen vorformulierte Einwilligungsklausel verwenden, die als Allgemeine Geschäftsbedingung im Sinne des § 305 BGB zu werten ist, muss eine entspre- chende Einwilligung darüber hinaus den Anforderungen des § 307 BGB genü- gen. Adressänderungen durch Versandhandelsunternehmen Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich stellen dazu fest: Übermittelt ein Unternehmen Umzugsadressen seiner Kunden an andere Unternehmen zur weiteren Übermittlung dieser Adressänderung an angeschlossene Unternehmen zum Zwecke des Adressabgleichs, so ist dies nur mit einer ausdrücklichen Einwilligung der Betroffenen gemäß $ 4a BDSG zulässig. LDI NRW 19. Datenschutzbericht 2009 187
Anhang Ein Datenschutzhinweis in den Allgemeinen Geschäftsbedingungen eines Versandhandeslunternehmens entspricht weder der Form noch dem Inhalt nach den Anforderungen an eine wirksame Einwilligung im Sinne von § 4a BDSG. Eine Einwilligung der Kunden setzt voraus, dass diese ausdrücklich darauf hingewiesen werden, welche Daten zu welchem Zweck an wen weitergegeben werden sollen. Mahnung durch Computeranruf Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Be- reich stellen dazu fest: Eine telefonische Mahnung durch Computeranruf ist we- gen der hohen Gefahr, dass ein anderer als der vorgesehene Empfänger die Nachricht erhält und so personenbezogene Daten einem Dritten unbefugt of- fenbart werden, unzulässig. Sitzung vom 8./9. November 2007 (Düsseldorfer Kreis) Anwendbarkeit des Bundesdatenschutzgesetzes auf Rechtsanwälte Der Düsseldorfer Kreis begrüßt, dass die Bundesregierung in ihrer Stellung- nahme zum 21. Tätigkeitsbericht des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit erklärt hat, dass die Erhebung und Verwendung personenbezogener – auch mandatsbezogener – Daten durch Rechtsanwälte den Vorschriften des Bundesdatenschutzgesetzes unterliegt und dass die Auf- sichtsbehörden der Länder zuständig sind, die Datenschutzkontrolle durchzu- führen. Der Düsseldorfer Kreis sieht darin die Bestätigung seiner Auffassung, dass das Bundesdatenschutzgesetz (BDSG) – auch hinsichtlich mandatsbezo- gener Daten – auf Rechtsanwälte anwendbar ist. In der Bundesrechtsanwalts- ordnung (BRAO) befinden sich aus datenschutzrechtlicher Hinsicht nur punktu- elle Regelungen (§ 43a Abs. 2 BRAO Schweigepflicht, § 50 BRAO Handakten). Die Vorschriften des BDSG treten gemäß § 1 Abs. 3 BDSG lediglich insoweit zurück, als bereichsspezifische Datenschutzvorschriften bestehen. Durch das anwaltliche Berufsgeheimnis werden die Informationsrechte der Aufsichtsbe- hörden nach § 38 BDSG in Verbindung mit § 24 Abs. 6 und 2 BDSG nicht ein- geschränkt. Gesetzesinitiative der Bundesregierung zu Auskunfteien und Scoring Im modernen Wirtschaftsleben kommt Auskunfteien eine ständig wachsende Bedeutung zu. Diese sammeln eine Vielzahl von persönlichen Daten auch über Privatpersonen, um sie Dritten insbesondere für die Beurteilung der Kreditwür- digkeit ihrer Geschäftspartner gegen Entgelt zur Verfügung zu stellen. Während in der Vergangenheit vor allem Kreditinstitute, der Versandhandel und Telekommunikationsunternehmen Auskünfte abgefragt haben, werden Infor- mationen zur Beurteilung der Kreditwürdigkeit zunehmend auch von Vermie- tern, Versicherungen und sonstigen Unternehmen eingeholt. Von den Aus- kunfteien wird dabei vielfach ein so genannter Scorewert übermittelt. Hierbei handelt es sich um einen Wert, der auf der Grundlage eines mathematisch- statistischen Verfahrens aus den bei der Auskunftei vorhandenen Angaben er- 188 LDI NRW 19. Datenschutzbericht 2009
Anhang rechnet wird und eine Aussage über die Wahrscheinlichkeit des künftigen Zahlungsverhaltens der Betroffenen und damit über ihre Kreditwürdigkeit ent- hält. Der Aufbau und die Erweiterung der zentralen Datenbestände über Betroffene bei Auskunfteien und die branchenübergreifende Bereitstellung dieser Infor- mationen für eine Vielzahl von Unternehmen sowie der zunehmende Einsatz von Scoring- Verfahren gefährden nachhaltig das Recht auf informationelle Selbstbestimmung der Betroffenen. Vor diesem Hintergrund begrüßt der Düsseldorfer Kreis im Grundsatz den vom Bundesministerium des Innern vorgelegten Entwurf eines Gesetzes zur Ände- rung des Bundesdatenschutzgesetzes, mit dem die Rechte der Betroffenen ge- stärkt und insbesondere auch die Transparenz beim Einsatz von Scoring-Ver- fahren verbessert werden sollen. Nach Auffassung des Düsseldorfer Kreises bedarf der vorliegende Gesetzentwurf allerdings einer grundlegenden Überar- beitung, um das Ziel der Stärkung der Rechte der Betroffenen auch tatsächlich zu erreichen. Dabei muss insbesondere sichergestellt werden, dass die bei Auskunfteien ge- sammelten Daten die Erstellung umfassender Persönlichkeitsprofile von Be- troffenen nicht zulassen. Darüber hinaus ist gesetzlich eindeutig zu regeln, dass die Einholung einer Bonitätsauskunft auch in Zukunft an das Vorliegen eines finanziellen Ausfallrisikos geknüpft bleibt. Die im Entwurf derzeit vorgesehene Regelung, wonach jedes rechtliche oder wirtschaftliche Interesse einschließlich der Vermeidung allgemeiner Vertragsrisiken ein berechtigtes Interesse darstellen kann, würde die Rechte der Betroffenen unverhältnismäßig beeinträchtigen. Des Weiteren muss eindeutig klargestellt werden, dass nur vertragsrelevante Daten in die Berechnung eines Scorewerts einbezogen werden dürfen. Im Üb- rigen dürfen die Auskunftsrechte der Betroffenen nicht durch die pauschale Berufung auf ein Geschäftsgeheimnis vereitelt werden. Sitzung vom 17./18. April 2008 (Düsseldorfer Kreis) Internet-Portale zur Bewertung von Einzelpersonen 1. Die Datenschutzaufsichtsbehörden weisen darauf hin, dass es sich bei Beurteilungen und Bewertungen von Lehrerinnen und Lehrern sowie von vergleichbaren Einzelpersonen in Internet-Portalen vielfach um sensible Informationen und subjektive Werturteile über Betroffene handelt, die in das Portal eingestellt werden, ohne dass die Urheber erkennbar sind und die jederzeit von jedermann abgerufen werden können. 2. Anbieter entsprechender Portale haben die Vorschriften des Bundesda- tenschutzgesetzes über die geschäftsmäßige Verarbeitung personen- bezogener Daten einzuhalten. 3. Bei der danach gesetzlich vorgeschriebenen Abwägung ist den schutz- würdigen Interessen der bewerteten Personen Rechnung zu tragen. Das Recht auf freie Meinungsäußerung rechtfertigt es nicht, das Recht LDI NRW 19. Datenschutzbericht 2009 189
Anhang der Bewerteten auf informationelle Selbstbestimmung generell als nachrangig einzustufen. Keine fortlaufenden Bonitätsauskünfte an den Versandhandel Auskunfteien dürfen Bonitätsauskünfte gemäß § 29 Absatz 2 Nr. 1a BDSG grundsätzlich nur erteilen, wenn der Dritte, dem die Daten übermittelt werden sollen, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat. Besteht zwischen diesem Dritten (also dem anfragenden Unternehmen) und dem Betroffenen ein Dauerschuldverhältnis, aufgrund dessen das anfragende Unternehmen während der gesamten Dauer des Bestehens ein finanzielles Ausfallrisiko trägt (z.B. Ratenzahlungskredit, Girokonto, Energielieferungs-, Telekommunikationsvertrag), so dürfen Bonitätsauskünfte nicht nur zu dem Zeitpunkt erteilt werden, zu dem der Betroffene ein solches Vertragsverhältnis beantragt hat, sondern während der gesamten Laufzeit des Vertragsverhältnis- ses und bis zur Erfüllung sämtlicher Pflichten des Betroffenen. Ein Versandhandelsgeschäft stellt als solches kein Dauerschuldverhältnis dar. Die aufgrund der bisherigen Erfahrungen mit den Kunden möglicherweise be- stehende Wahrscheinlichkeit und darauf gegründete Erwartung, dass der Kunde nach der ersten Bestellung wiederholt bestellen wird, und die zur Erleichterung der Bestellvorgänge möglicherweise erfolgte Einrichtung eines "Kundenkontos" rechtfertigten es nicht, ein Versandhandelsgeschäft mit einem Dauerschuldver- hältnis gleichzusetzen. Ein berechtigtes Interesse seitens des Versandhandels gem. § 29 BDSG ist demnach nur gegeben, wenn aufgrund eines konkreten Bestellvorgangs ein fi- nanzielles Ausfallrisiko vorliegt. Nach Vertragsschluss sind Bonitätsauskünfte an Versandhändler dann nicht zu beanstanden, wenn ein Ratenzahlungskredit ver- einbart wurde oder noch ein offener Saldo besteht. In allen anderen Fällen ist das Rechtsgeschäft nach Abwicklung des einzelnen Kaufgeschäftes für den Ver- sandhandel abgeschlossen, ein berechtigtes Interesse an Bonitätsauskünften ist dann nicht mehr zu belegen. Damit sind Nachmeldungen oder sonstige Beauskunftungen in dieser Konstellation rechtlich unzulässig. Hinweis: Die Vertreter des Versandhandels und der Auskunfteien haben sich bereit er- klärt, ihre Verfahren entsprechend den vorgenannten gesetzlichen Anforderun- gen bis spätestens Ende September 2008 umzustellen. Datenschutzkonforme Gestaltung sozialer Netzwerke Der datenschutzgerechten Gestaltung sozialer Netzwerke im Internet kommt eine zentrale Bedeutung zu. Die Aufsichtsbehörden rufen in diesem Zusam- menhang in Erinnerung, dass Anbieter in Deutschland zur Einhaltung des Regu- lierungsrahmens zum Datenschutz verpflichtet sind. Insbesondere sind folgende rechtliche Rahmenbedingungen einzuhalten: • Anbieter sozialer Netzwerke müssen ihre Nutzer umfassend gemäß den gesetzlichen Vorschriften über die Verarbeitung ihrer personenbezogenen Daten und ihre Wahl- und Gestaltungsmöglichkeiten unterrichten. Das betrifft auch Risiken für 190 LDI NRW 19. Datenschutzbericht 2009
Anhang die Privatsphäre, die mit der Veröffentlichung von Daten in Nutzerprofilen verbunden sind. Darüber hinaus haben die Anbieter ihre Nutzer aufzuklären, wie diese mit personenbezogenen Daten Dritter zu verfahren haben. • Die Aufsichtsbehörden weisen darauf hin, dass nach den Bestimmungen des Telemediengesetzes (TMG) eine Verwendung von personenbezogenen Nutzungsdaten für Werbezwecke nur zulässig ist, soweit die Betroffenen wirksam darin eingewilligt haben. Bei Werbemaßnahmen aufgrund von Profildaten müssen die Betroffenen nach den Bestimmungen des Bundesdatenschutzgesetzes (BDSG) mindestens eine Widerspruchsmöglichkeit haben. Die Aufsichtsbehörden empfehlen, dass die Anbieter die Nutzer selbst darüber entscheiden lassen, ob – und wenn ja, welche – Profil- oder Nutzungsdaten zur zielgerichteten Werbung durch den Anbieter genutzt werden. • Die Aufsichtsbehörden erinnern weiterhin daran, dass eine Speicherung von personenbezogenen Nutzungsdaten über das Ende der Verbindung hinaus ohne Einwilligung der Nutzer nur gestattet ist, soweit die Daten zu Abrechnungszwecken gegenüber dem Nutzer erforderlich sind. • Für eine vorauseilende Speicherung von Daten über die Nutzung sozialer Netzwerke (wie auch anderer Internet-Dienste) für eventuelle zukünftige Strafverfolgung besteht keine Rechtsgrundlage. Sie wird insbesondere auch nicht durch die Regelungen zur Vorratsdatenspeicherung vorgeschrieben. • Schließlich weisen die Aufsichtsbehörden darauf hin, dass das TMG die Anbieter dazu verpflichtet, das Handeln in sozialen Netzwerken anonym oder unter Pseudonym zu ermöglichen. Dies gilt unabhängig von der Frage, ob ein Nutzer sich gegenüber dem Anbieter des sozialen Netzwerks mit seinen Echtdaten identifizieren muss. • Die Anbieter sind verpflichtet, die erforderlichen technisch- organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit zu treffen. Sie müssen insbesondere einen systematischen oder massenhaften Export oder Download von Profildaten aus dem sozialen Netzwerk verhindern. • Bei der datenschutzfreundlichen Gestaltung von sozialen Netzwerken kommt den Standardeinstellungen – z. B. für die Verfügbarkeit von Profildaten für Dritte – eine zentrale Bedeutung zu. Die Aufsichtsbehörden fordern die Anbieter sozialer Netzwerke auf, datenschutzfreundliche Standardeinstellungen für ihre Dienste zu wählen, durch die die Privatsphäre der Nutzer möglichst umfassend geschützt wird. Diese Standardeinstellungen müssen besonders restriktiv gefasst werden, wenn sich das Portal an Kinder richtet. Der Zugriff durch Suchmaschinen darf jedenfalls nur vorgesehen werden, soweit der Nutzer ausdrücklich eingewilligt hat. • Der Nutzer muss die Möglichkeit erhalten, sein Profil auf einfache Weise selbst zu löschen. Schließlich sollten die Anbieter sozialer Netzwerkdienste die Einführung von Verfallsdaten oder zumindest LDI NRW 19. Datenschutzbericht 2009 191
Anhang automatische Sperrungen erwägen, die von den Nutzern selbst festgelegt werden können. Sitzung vom 13./14. November 2008 (Düsseldorfer Kreis) Datenschutzrechtliche Bewertung von digitalen Straßenansichten insbesondere im Internet Bei digital erfassten Fotos von Gebäude- und Grundstücksansichten, die über Geokoordinaten eindeutig lokalisiert und damit einer Gebäudeadresse und dem Gebäudeeigentümer sowie den Bewohnern zugeordnet werden können, handelt es sich in der Regel um personenbezogene Daten, deren Erhebung und Verar- beitung nach dem Bundesdatenschutzgesetz zu beurteilen ist. Die Erhebung, Speicherung und Bereitstellung zum Abruf ist nur zulässig, wenn nicht schutz- würdige Interessen der Betroffenen überwiegen. Bei der Beurteilung schutz- würdiger Interessen ist von Bedeutung, für welche Zwecke die Bilddaten ver- wendet werden können und an wen diese übermittelt bzw. wie diese veröffent- licht werden. Die obersten Aufsichtsbehörden sind sich einig, dass die Veröffentlichung von georeferenziert und systematisch bereit gestellten Bilddaten unzulässig ist, wenn hierauf Gesichter, Kraftfahrzeugkennzeichen oder Hausnummern erkenn- bar sind. Den betroffenen Bewohnern und Grundstückeigentümern ist zudem die Möglichkeit einzuräumen, der Veröffentlichung der sie betreffenden Bilder zu widersprechen und dadurch die Bereitstellung der Klarbilder zu unterbinden. Keine schutzwürdigen Interessen bestehen, wenn die Darstellung der Gebäude und Grundstücke so verschleiert bzw. abstrakt erfolgt, dass keine individuellen Eigenschaften mehr erkennbar sind. Um die Möglichkeit zum Widerspruch schon vor der Erhebung zu eröffnen, sollte die geplante Datenerhebung mit ei- nem Hinweis auf die Widerspruchsmöglichkeit rechtzeitig vorher bekannt gege- ben werden. Die Widerspruchsmöglichkeit muss selbstverständlich auch noch nach der Veröffentlichung bestehen. Novellierung des Bundesdatenschutzgesetzes in den Bereichen Adressenhandel, Werbung und Datenschutzaudit Der Düsseldorfer Kreis begrüßt, dass die Bundesregierung durch eine Novellie- rung des Bundesdatenschutzgesetzes aus den jüngst bekannt gewordenen Da- tenschutzverstößen im Bereich der Privatwirtschaft Konsequenzen ziehen möchte. Die uneingeschränkte Streichung des Listenprivilegs und die Pflicht zur Einholung einer Einwilligung des Betroffenen bei der Übermittlung an Dritte oder bei der Nutzung für Werbezwecke für Dritte sind erforderlich, um das in- formationelle Selbstbestimmungsrecht der Bürgerinnen und Bürger zu stärken. Hiervon wird künftig auch die Wirtschaft profitieren. Die geplanten Änderungen ermöglichen es, Werbung zielgerichteter und ohne Streuverluste vorzunehmen und unerwünschte Belästigungen zu vermeiden, so dass das Verbraucherver- trauen in die Datenverarbeitung der Wirtschaft gestärkt wird. Die vorgesehenen Regelungen zur Klarstellung, wann eine wirksame Einwilligung in die Werbenut- zung vorliegt, und dass diese nicht mit wichtigen vertraglichen Gegenleistungen gekoppelt werden darf, verbessern die Transparenz und die Freiwilligkeit für den Betroffenen. 192 LDI NRW 19. Datenschutzbericht 2009
Anhang Darüberhinaus hat die beim Datenschutzgipfel am 4. September 2008 einge- setzte Länderarbeitsgruppe weitere Vorschläge zur Verbesserung des Bundes- datenschutzgesetzes unterbreitet, die jedoch bisher nicht berücksichtigt wur- den. Die derzeit geplanten Vorschriften genügen nicht, um künftig im Bereich der privaten Wirtschaft ein ausreichendes Datenschutzniveau zu verwirklichen. Hierzu bedarf es zum einen einer angemessenen Ausstattung der Datenschutz- aufsichtsbehörden. Es bedarf zum anderen gemäß den europarechtlichen Vor- gaben wirksamer Einwirkungsbefugnisse. Hierzu gehört neben adäquaten Kon- troll- und Sanktionsmitteln die Möglichkeit, bei schwerwiegenden Datenschutz- verstößen die Erhebung und Verwendung personenbezogener Daten zu unter- sagen. Auch die Stellung der betrieblichen Datenschutzbeauftragten sollte ge- stärkt werden. Die bisherigen Vorschläge des Bundesministeriums des Innern zur Einführung eines Datenschutzaudits sind nicht geeignet, den Datenschutz in der Wirtschaft zu verbessern. LDI NRW 19. Datenschutzbericht 2009 193
Anhang Entschließungen der Konferenz der Informationsfreiheitsbeauftragten in Deutschland Informationsfreiheit bei Betriebs- und Geschäftsgeheimnissen stärken (11. Juni 2007) Die Wahrung von Betriebs- und Geschäftsgeheimnissen hat für Unternehmen eine besondere Bedeutung. Betriebs- und Geschäftsgeheimnisse können den Wert eines Unternehmens und seine Stellung am Markt erheblich beeinflussen. Bei ihrer Aufgabenerfüllung erhalten öffentliche Stellen bisweilen Kenntnis von Betriebs- und Geschäftsgeheimnissen. Als Bestandteil amtlicher Aufzeichnun- gen unterliegen die Betriebs- und Geschäftsgeheimnisse den Informationsfrei- heitsgesetzen, sie werden hier aber durch einen Ausnahmetatbestand ge- schützt. Die Konferenz der Informationsfreiheitsbeauftragten stellt fest, dass die Ausle- gung und Anwendung des Ausnahmetatbestandes das Informationsfreiheits- recht der Bürgerinnen und Bürger übermäßig einschränkt. So führt oft die be- trächtliche Rechtsunsicherheit der Behörden bei der Anwendung dieser Be- stimmung zu einer besonders restriktiven Auskunftspraxis. Aber nicht jedes Unternehmensdatum ist ein Betriebs- oder Geschäftsgeheimnis. Nach der Rechtsprechung des Bundesgerichtshofes zum Wettbewerbsrecht müssen hier- für folgende Voraussetzungen kumulativ vorliegen: Es muss sich um Tatsachen handeln, die • im Zusammenhang mit einem wirtschaftlichen Geschäftsbetrieb ste- hen, • nur einem begrenzten Personenkreis bekannt und damit nicht offenkundig sind, • (subjektiv) nach dem erkennbaren Willen des Unternehmens und • (objektiv) nach dessen berechtigten und schutzwürdigen wirtschaftli- chen Interessen geheim gehalten werden sollen (insbesondere, wenn bei Offenbarung ein Schaden eintritt). Die Konferenz der Informationsfreiheitsbeauftragten in Deutschland fordert deshalb den Bundes- und die Landesgesetzgeber auf, die gesetzlichen Regeln zu ergänzen und zu präzisieren. 1. Es gibt Betriebs- oder Geschäftsgeheimnisse, bei denen das öffentliche Interesse an der Offenbarung den Schutzbedarf überwiegt. Soweit daher eine Abwägungsklausel in den gesetzlichen Grundlagen noch nicht vorhanden ist, soll sie aufgenommen werden. Dabei muss auch verdeutlicht werden, dass Verträge, die mit der öffentlichen Hand geschlossen werden, nicht grundsätzlich geheimhaltungsbedürftig sind: Wer mit dem Staat Geschäftsbeziehungen eingeht, muss sich darüber im Klaren sein, dass staatliches Handeln besonderen Kontrollrechten unterliegt und damit nicht alle Vertragsinhalte geheim bleiben können. 194 LDI NRW 19. Datenschutzbericht 2009
