Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (25): Unerwünschte Kunden/Mitarbeiter : aus der RDV 3/2016, Seite 133 bis 135
Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*
Es gibt Personen mit denen möchte man nichts oder nichts mehr zu tun haben, weil man selbst oder andere schlechte Erfahrungen mit ihnen gemacht haben. Ggf. helfen dann interne oder externe Warndateien.
Unerwünschte Hotelgäste
In einem zu einer großen Hotelkette gehörenden Haus wurden potentielle Hotelgäste am Empfang abgewiesen, weil sie laut Empfangspersonal auf einer „Schwarzen Liste“ ständen. Die Nachforschungen der BlnBDI (Jahresbericht 2015, Ziff. 5.8.2) ergaben, dass in der Liste unerwünschte frühere Gäste mit dem Ablehnungsgrund „Raucher“ bzw. „Schwarzschläfer“ aufgeführt werden. Die BlnBDI hat gegen eine solche Liste keine grundsätzlichen Bedenken, sofern die datenschutzrechtlichen Belange der betroffenen Gäste gewahrt bleiben. Dazu verweist sie auf die dem Hotelier zustehende Vertragsfreiheit und sein berechtigtes Interesse mit Gästen, die Regeln der Hotelnutzung nicht einhalten, indem sie in Nichtraucherzimmern geraucht oder nicht angemeldete Gäste als „Schwarzschläfer“ aufgenommen haben, keine neuen Verträge abzuschließen.
Jedoch seien die Betroffenen von der Speicherung auf der Liste zu benachrichtigen, um ihre Datenschutzrechte geltend machen zu können. Eine Norm für die Benachrichtigung nennt die BlnBDI nicht. Offensichtlich wendet sie § 33 in der gebotenen extensiven Auslegung (vgl. Gola/Schomerus, BDSG § 33 Rn.) nicht nur auf Fälle der erstmaliger Speicherung der Daten des Kunden an, sondern auch, wenn eine neue Art von Daten gespeichert wird bzw. deren Weitergabe innerhalb der Hotelkette erfolgt.
Die Hotelkette führt die Hausverbotsliste nunmehr bei der Zentrale unter der Regie des betrieblichen DSB, worin die BlnBDI keine Probleme sieht.
Unerwünschte Versandhauskunden/Unternehmensinterne Auskunftei
Der HambBfDI (25. TB (2014/2015), VIII, Ziff. 1.4) ermittelte, dass Mitarbeiter in Unternehmen eines Versandhandelskonzerns bei der Überprüfung von Neukunden auf insgesamt 33 Dateien zurückgreifen konnten. Dabei ging es um jeweils 3 eigene Dateien, nämlich eine allgemeine Kunden-, eine Inkasso- und eine Warndatei.
Hinsichtlich der Dateien der Tochterunternehmen wurde die Mutter als Auftragsdatenverarbeiter tätig. Im Rahmen der sogenannten Neukundenkreditprüfung wurden die bonitätsrelevanten Kundendaten aus den drei Datenbanken abgefragt, wobei jedes der Unternehmen (eingeschränkten) Zugriff auf die Dateien der anderen Unternehmen hatte.
Der HambBfDI bewertete dieses Verfahren als den Betrieb einer Auskunftei, der besonderen BDSG-Regelungen unterliegt. U.a. dürften Meldungen über offene Forderungen nur unter den Voraussetzungen des § 28a BDSG erfolgen. Ferner seien besondere Pflichten zu beachten, wie Stichprobenverfahren, Benachrichtigungs- und Auskunftspflichten.
Letztendlich hat das Unternehmen den Betrieb einer Auskunftei zum Register des HambBfDI gemeldet und die insoweit bestehenden Pflichten anerkannt.
Unerwünschte Lastschriftzahler
Gegenüber Kunden, die ihre Rechnung im elektronischen Lastschriftverfahren (ELV), d.h. ohne sofortige Prüfung der Leistung der Bank, zahlen, sichern sich Händler dadurch ab, dass sie oder der Netzbetreiber Kunden mit zuvor z.B. wegen mangelnder Deckung oder Nichtbestehen des Kontos gescheiterten Lastschriftverfahren bei einer von einer Auskunftei geführten „Sperrdatei“ einmelden. In der Datei geführte Kunden werden automatisiert von der Zahlung im ELV ausgeschlossen und auf das Girocardverfahren verwiesen.
Der HambBfDI (25 TB, 2014/2015, VIII, Ziff.1.5) bemängelte an einer derartigen Datei, dass dort auch berechtigte Rücklastschriften, d.h. d.h. Fälle, in denen berechtigt per Widerspruch bei der Bank die Zahlung verweigert wurde, gespeichert wurden. Hierüber wurden die Kunden auch in dem Belehrungstext, der ihnen zusammen mit der zu unterzeichnenden Einzugsermächtigung auf einem Kassenausdruck gezeigt wurde, nicht informiert. Dies wurde geändert, indem deutlich gemacht wird, dass, sofern bereits bei der Erklärung des Widerrufsrechts aus dem zugrundeliegenden Kaufvertrag Einwände, etwa ein Mangel der erworbenen Sache, geltend gemacht werden, von vorneherein keine Meldung mehr an die Auskunftei erfolgt.
Zur Unzuverlässigkeit finanzschwacher Bewerber
Sowohl die BremLfDI (38. TB, 2015, Ziff. 11.1) als auch die BlnBDI (Jahresbericht 2015, Ziff. 91) befassen mit der Zulässigkeit von Bonitätsanfragen über Bewerber, wobei es sich einmal um den Posten eines Autoverkäufers und zum anderen um eine Stelle im Bereich des Telefonmarketing handelte. Finanzielle Zuverlässigkeit sollte nach Ansicht der Arbeitgeber überprüft werden, weil der Verkäufer mit „viel Geld“ in Berührung komme bzw. im Telefonmarketing die Gefahr der Bestechlichkeit bestehe.
Zutreffend ist zunächst, dass Bewerber wegen privater finanzieller Probleme nicht stigmatisiert und als kriminalitätsanfällig eingestuft werden dürfen. Dazu hält der BlnBDI für standardisierte Bonitätsauskünfte wie folgt fest:
„Standardisierte Bonitätsauskünfte enthalten auch Informationen, die Aufschluss über die privaten Lebensumstände und über Geld- und Warenkreditverträge der Betroffenen geben. Die Einholung einer solchen Auskunft ist in der Regel unzulässig, da diese über das für die Einstellungsentscheidung erforderliche Informationsinteresse hinausgeht und in das Persönlichkeitsrecht der Bewerberinnen und Bewerber eingreift.“
Gleiche bzw. zusätzliche Bedenken erhebt die BremLfDI, indem sie auch darauf verweist, dass die Auskünfte erheblich mehr Daten erhalten, als für die Entscheidung über den zu besetzenden Arbeitsplatz erforderlich seien, und dass Daten zur Kreditwürdigkeit häufig unzutreffend seien. Sie kommt zur uneingeschränkten Unzulässigkeit derartiger Auskunftseinholungen über Bewerber, da es ausreiche, im Wege der Direkterhebung bei den Betroffenen nach Verurteilungen wegen Straftaten im Zusammenhang mit Vermögensdelikten in den letzten fünf Jahren zu fragen. Dazu, ob eine Überprüfung dieser Angaben zulässig sei, äußert sie sich nicht.
Anders und zutreffend beurteilt jedoch die BlnBDI im Einzelfall das Informationsinteresse des Arbeitgebers. Einzelanfragen werden als zulässig angesehen, wenn der Bewerber eine Aufgabe übernehmen soll, in der Seriosität und Vertrauenswürdigkeit in finanziellen Fragen bedeutsam sind (z.B. Finanzberatung). Gleiches gelte aber auch für Beschäftigte, bei denen finanzielle Zuverlässigkeit gefordert sei (z.B. Kassierer).
Angemerkt sei jedoch, dass zunächst das Prinzip der Direkterhebung gilt und dass der Bewerber über den nachfolgenden sog. „Background-Check“ zuvor informiert werden muss.
Unerwünschte „Terrorverdächtige“
Aufgrund der aktuellen Problematik (nach Pressemitteilungen sollen im Brüsseler Flughafen und im Atomkraftwerk der ISS-Nähe verdächtigte Personen beschäftigt gewesen sein) und der erneut aufgekommenen Diskussion in der Literatur (vgl. Behling, NZA 2015, 1359; Byers/Fetsch, NZA 2015, 1364) befasst sich der LfD-Baden-Württemberg (32. TB, 2014/2015, Ziff. 9.2) einmal mehr mit dem Abgleich von Beschäftigtendaten mit den Sanktionslisten der EU. Konkreter Anlass war, das in einem großen Konzern per Konzernbetriebsvereinbarung alle drei Monate die Daten von Mitarbeitern und Bewerbern an Hand von Vor- und Nachname, Geburtsdatum und Adresse mit den EU-Sanktionslisten mit Terrorverdächtigten “gescreent“ werden. Der Abgleich erfolgt, weil die Verordnungen verbieten, den aufgelisteten Personen Gelder zur Verfügung zu stellen und Verstöße nach dem Außenwirtschaftsgesetz mit Bußgeld geahndet werden können. Bei anderen Unternehmen erfolgt der Abgleich vor jeder Gehaltszahlung, bzw. sie verweisen auf den im Rahmen der unbaren Gehaltszahlung sowieso erfolgenden Abgleich bei den Banken. Dabei geht es den Unternehmen ofensichtlich vorrangig auch um die die Prüfung voraussetzende Erteilung des sog. AEO-Status zwecks vereinfachter Zollabfertigung. Andere beschränken den Abgleich auf Mitarbeiter in sensiblen Bereichen, wobei hier deutlich wird, dass es vorrangig um den Eigenschutz des Unternehmens geht.
Nach Schilderung der unterschiedlichen Beurteilung der Rechtslage hinsichtlich der Pflicht zu bzw. der Zulässigkeit von Abgleichen zwischen den Aufsichtsbehörden und dem Wirtschaftsministerium bzw. der Bundeszollverwaltung, die zudem vom BFH bestätigt ist (RDV 2012, 303), sieht sich der LfDI jedenfalls derzeit zum Stillhalten als verpflichtet an, indem er festhält: „Bei der Auslegung der Bußgeldtatbestände des Außenwirtschaftsgesetzes zieht die Bundeszollverwaltung nicht an einem Strang mit der Konferenz der Datenschutzaufsichtsbehörden des Bundes und der Länder. Anlasslose und systematische Abgleiche von Beschäftigtendaten mit den Sanktionslisten des EU-Rechts durch Arbeitgeber müssen daher bis auf weiteres hingenommen werden. Der Europäische Gesetzgeber ist aufgerufen, in dieser Frage für Klarheit zu sorgen.“
* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.