Jahresbericht 1998
|
3.2 Trautes Heim - Job online |
3.3 |
Die ungeahnten Folgen eines fehlenden Fahrscheins |
Die Probleme des Outsourcing sind von uns schon mehrfach in Jahresberichten erörtert worden[75]. In Berlin war 1998 die Auslagerung personenbezogener Datenverarbeitung in einem Bereich Gegenstand einer Prüfung, der von vielen als besonders sensibel bewertet wird - wohl deswegen, weil es jedem so leicht "passieren" kann: Sowohl die Deutsche Bahn AG (DB) samt S-Bahn Berlin GmbH (S-Bahn) als auch die Berliner Verkehrsbetriebe (BVG) haben aus Gründen der Wirtschaftlichkeit die Verarbeitung der Daten von Schwarzfahrern fremden Dienstleistungsunternehmen übertragen.
Wird ein Fahrgast bei einer Kontrolle ohne gültigen Fahrausweis angetroffen, so wird dadurch ein langwieriges - dem Betroffenen nur in Bruchstücken offenbartes - Verfahren angestoßen, das nach unterschiedlichen Bestimmungen zu bewerten ist je nach dem, wessen Beförderungsleistung in Anspruch genommen wurde. Alle drei Verkehrsbetriebe haben bestimmte Verfahrensweisen entwickelt, mit denen einerseits das (bei einer Schwarzfahrt fällige) erhöhte Beförderungsentgelt eingezogen werden soll (Inkassoverfahren), andererseits aber auch Wiederholungsfälle ermittelt werden können, bei denen das Verkehrsunternehmen über die strafrechtliche Verfolgung des "Mehrfachtäters" befinden will. Die drei genannten Unternehmen haben bestimmte Aufgaben aus dem Gesamtkomplex unabhängig voneinander und mit jeweils eigenen Verträgen auf voneinander getrennte Firmen der INFOSCORE AG (Informationen, Forderungsmanagement, Scoringsysteme) in Rastatt/Baden-Württemberg ausgelagert: Die Credidata GmbH (Unternehmensbereich Treuhand und Verrechnung), die Süd-Westdeutsche Inkasso-KG (SWI, Unternehmensbereich Forderungseinzug) sowie die Infodata GmbH (Unternehmensbereich Information).
Die datenschutzrechtliche Zulässigkeit der einzelnen Verfahrensschritte ist bei DB und S-Bahn nach den Bestimmungen des Bundesdatenschutzgesetzes zu beurteilen, während für die Verfahrensweise der BVG (als Anstalt des öffentlichen Rechts) die speziellen Datenschutzbestimmungen der Verordnung über die Verarbeitung personenbezogener Daten bei den Berliner Verkehrsbetrieben (BVG) vom 30. Juni 1994 (BetriebeVO)[76] heranzuziehen sind.
BVG und S-Bahn haben nicht nur für die Beratung von Fahrgästen, sondern auch für die Fahrscheinkontrolle und die Erfassung von Personen ohne Fahrschein private Wachschutzunternehmen beauftragt. Da die Mitarbeiter nur genau festgelegte Datenverarbeitungsschritte und nicht weiter gehende Funktionen wahrnehmen, handelt es sich um Datenverarbeitung im Auftrag, die im Rahmen der Weisungen des Auftraggebers ohne weitere Voraussetzungen zulässig ist[77].
Während die BVG dieses Auftragsverhältnis und die damit einhergehenden Rechte und Pflichten des Auftragnehmers und des Auftraggebers in einem Vertrag fest gehalten hat, war dies bei der S-Bahn zunächst nicht der Fall, obwohl ohne den Abschluss eines schriftlichen Vertrages ein Verstoß gegen § 11 BDSG vorliegt. In einem solchen Vertrag sind insbesondere der Umfang der Datenverarbeitung sowie die vom Auftragnehmer vorzunehmenden technischen und organisatorischen Maßnahmen festzulegen.
Nach der Eisenbahnverordnung (DB, S-Bahn) und den einschlägigen Tarifregelungen (BVG) hat das Verkehrsunternehmen einen Anspruch auf die Entrichtung eines erhöhten Beförderungsentgeltes, wenn der Fahrgast keinen gültigen Fahrausweis besitzt oder ihn bei einer Kontrolle nicht vorzeigen kann. Der Kontrolleur nimmt in diesem Fall die personenbezogenen Daten des "Schwarzfahrers" in den dafür vorgesehenen Vordruck auf. Bei der BVG werden vorher die von dem Betroffenen angegebenen Personalien (wenn er kein Ausweispapier mitführt) telefonisch auf Übereinstimmung mit den Angaben im Melderegister des Landeseinwohneramts Berlin überprüft (§ 25 Meldegesetz).
Zweck der Datenerhebung ist einerseits die Beitreibung des erhöhten Beförderungsentgelts und zum anderen die Erfassung von Wiederholungsfällen (gegebenenfalls mit dem Ziel der Anzeigeerstattung wegen Beförderungserschleichung). Letzteres Interesse besteht auch dann, wenn der Schwarzfahrer das erhöhte Beförderungsentgelt sofort bar bezahlt. Rechtsgrundlage für die Datenverarbeitung der DB sowie der S-Bahn ist § 28 Abs.1 Satz 1 Nr.2 BDSG, für die der BVG § 3 Abs.1 der BetriebeVO.
Nach dem Bundesdatenschutzgesetz ist das Speichern, Verändern oder Übermitteln personenbezogener Daten zulässig, so weit es zur Wahrung berechtigter Interessen der speichernden Stelle erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Sowohl DB als auch S-Bahn haben ein berechtigtes (wirtschaftliches) Interesse daran, den ihnen jeweils zustehenden erhöhten Fahrpreis einzufordern. Sie haben auch ein berechtigtes Interesse daran, als Verletzte Strafanzeige zu erstatten. Ein überwiegendes schutzwürdiges Interesse des Betroffenen an dem Ausschluss dieser Datenspeicherung kann nicht anerkannt werden.
DB und S-Bahn geben jeweils die Daten an die Credidata GmbH weiter. Diese ist damit beauftragt, die Einsprüche der Betroffenen anzunehmen, wobei die Entscheidung hierüber bei den Einspruchsstellen des jeweiligen Verkehrsunternehmens bleibt. Die personenbezogenen Daten des Schwarzfahrers werden in einer Datei erfasst (Mehrfachtäter-, Wiederholungstäter- oder Schwarzfahrerdatei), die nach den vom Verkehrsbetrieb festgelegten Kriterien verwaltet werden. Credidata versendet standardisierte Mahnschreiben und überwacht einen eventuellen Zahlungseingang. Wegen des der Credidata GmbH auferlegten engen Handlungsrahmens sowie der fehlenden Entscheidungsbefugnis handelt es sich um Auftragsdatenverarbeitung, die keiner besonderen Befugnisnorm bedarf.
Die DB erwägt jedoch neuerdings, der Credidata eine umfassende Entscheidungsbefugnis hinsichtlich der Abwicklung des "Debitorenmahnverfahrens" (mehrstufige Versendung von Mahnschreiben) einzuräumen. Anschließend sollen die Daten nach wie vor zur Durchführung des Inkassoverfahrens an die SWI übermittelt werden. Die Voraussetzungen, unter denen dieser weitere Schritt zulässig ist, sind noch in Diskussion, insbesondere deshalb, weil das berechtigte Interesse der DB an der Einschaltung eines weiteren Unternehmens nicht erkennbar ist.
Die BVG hat die Credidata GmbH nicht in das Verfahren eingebunden. Vielmehr gibt die BVG die Daten, nachdem sie selbst die ersten Mahnschreiben versandt und etwaige Zahlungseingänge geprüft hat, sogleich an das Inkassounternehmen SWI weiter. SWI führt für die BVG einerseits die Wiederholungstäterdatei und betreibt andererseits das Inkassoverfahren, sobald die BVG die Forderungen an die SWI abgetreten hat. Das Führen der Wiederholungstäterdatei, mit deren Hilfe die BVG entscheidet, gegen wen sie Strafanzeige wegen Beförderungserschleichung erstattet, stellt wiederum eine Auftragsdatenverarbeitung durch die SWI für die BVG dar. Die SWI hat sich diesbezüglich zur Einhaltung des Berliner Datenschutzgesetzes verpflichtet und sich insbesondere der Kontrolle durch den baden-württembergischen Landesdatenschutzbeauftragten unterworfen (§ 3 Abs.4 BlnDSG).
In der Inkassodatei werden diejenigen Personen gespeichert, gegen die ein erhöhtes Beförderungsentgelt eingetrieben werden muss. Die SWI hält diese Datenbestände getrennt voneinander je nach dem, ob es sich um Kunden der DB, der S-Bahn oder der BVG handelt. Sie benötigt diese Daten zur eigenverantwortlichen Durchführung des Inkassoverfahrens, das bis zur gerichtlichen Geltendmachung der Forderung und bis zu ihrer Vollstreckung durch SWI reichen kann.
Bei der Übertragung des gesamten Inkassoverfahrens liegt keine bloße Auftragsdatenverarbeitung vor, sondern eine Funktionsübertragung. Dies hat zur Folge, dass die SWI als eigene Daten verarbeitende Stelle tätig wird und die Verantwortung für die Rechtmäßigkeit der Verarbeitung der bei ihr gespeicherten Daten selbst trägt. Zwar ist bei einer Funktionsübertragung - anders als bei der Auftragsdatenverarbeitung - ein schriftlicher Vertrag nicht obligatorisch. Diese eigenwillige gesetzliche Lücke muss jedoch durch entsprechende Maßnahmen ausgeglichen werden: Es ist dringlich anzuraten, Funktionsnehmern wie der SWI Vorgaben für den datenschutzrechtlichen Umgang mit den in seiner Verantwortung stehenden Daten zu machen, die das schutzwürdige Interesse des Einzelnen an der Rechtmäßigkeit der Verarbeitung seiner Daten berücksichtigen. Da es sich bei der SWI um eine eigene Daten verarbeitende Stelle (und nicht nur um einen unselbständigen Teil des Daten verarbeitenden Verkehrsbetriebes) handelt, hat sie bei der Tätigkeit als Inkassounternehmen des Bundesdatenschutzgesetzes zu beachten und unterliegt sie diesbezüglich der Kontrolle durch das baden-württembergische Innenministerium als Aufsichtsbehörde.
Aus der rechtlichen Einordnung der SWI als Funktionsnehmerin folgt, dass die Weitergabe der bei dem jeweiligen Verkehrsbetrieb erhobenen Daten an die SWI eine Datenübermittlung darstellt, die (mangels Einwilligung des Betroffenen) nur zulässig ist, wenn eine Rechtsvorschrift sie erlaubt.
Die Übermittlungsbefugnis der BVG ergibt sich aus § 3 Abs.2 BetriebeVO, nach der die BVG berechtigt ist, die in Abs.1 genannten Daten (u.a. Name, Anschrift, Geburtsdatum) zur Wahrnehmung ihrer Rechte an Dritte, insbesondere an Strafverfolgungsbehörden und die Inkassounternehmen, weiterzugeben, wobei die Weitergabe der Daten an Inkassounternehmen nur zur Forderungseinziehung erfolgen darf. Für die DB und die S-Bahn ist § 28 Abs.1 Satz 1 Nr.2 BDSG einschlägig. Sofern ein zivilrechtlicher Anspruch besteht, haben alle Unternehmen das Recht, bestehende Forderungen, die der Betroffene trotz mehrerer Mahnungen nicht erfüllt hat, mit Hilfe eines Inkassounternehmens einziehen zu lassen.
Allerdings entstanden Zweifel, ob nicht deswegen doch schutzwürdige Interessen am Unterbleiben der Übermittlung bestehen, weil die SWI Daten an ein weiteres Unternehmen, nämlich die Infodata GmbH, eine Auskunftei, weitergibt. Die Datenübermittlungen an Auskunfteien zur Überprüfung der Bonität ist nach § 28 Abs.2 Satz 1 Nr.1a BDSG dann zur Wahrung berechtigter Interessen Dritter, nämlich zum Schutz potenzieller Gläubiger des Betroffenen, gerechtfertigt, wenn es sich um gesicherte und beweisbare Daten handelt, die die Zuverlässigkeit des Betroffenen in Frage stellen, wie z.B. Zwangsvollstreckung, Konkurs, Haftbefehl, Abgabe der eidesstattlichen Versicherung nach § 807 ZPO, Pfändungen, Inanspruchnahme einer Lohnabtretung oder Wechsel- und Scheckproteste ("harte Negativ-Merkmale").
Die Nichtzahlung des erhöhten Beförderungsentgelts kann jedoch viele Gründe haben, die dem Inkassounternehmen nicht ohne weiteres bekannt sind, etwa Zahlungsunfähigkeit, Zahlungsunwilligkeit, aber auch das Bestreiten der Rechtmäßigkeit der Forderung, etwa weil der Betroffene im Besitz einer Jahreskarte ist oder weil er über die Auslegung sonstiger Tariffragen eine andere Meinung als der Verkehrsbetrieb vertritt. Die Übermittlung derartiger weicher Negativ-Merkmale kommt nur unter sehr engen Voraussetzungen in Betracht. Im Allgemeinen ist davon auszugehen, dass eine Übermittlung an eine Auskunftei dann möglich ist, wenn positiv festgestellt werden kann, dass das Verhalten des Betroffenen auf Zahlungsunwilligkeit bzw. Zahlungsunfähigkeit beruht. Um dies in Erfahrung zu bringen, muss das Inkassounternehmen dem Betroffenen vor der Übermittlung seiner Daten an Infodata Gelegenheit geben, Einwendungen gegen die Forderung zu erheben, und ihn darüber informieren, dass für den Fall, dass keine Einwendungen vorgetragen werden, die Übermittlung seiner Daten an die Auskunftei vorgesehen ist.
Ein derartiger Hinweis ist zwar auf den Mahnschreiben der SWI abgedruckt. Bei Verweigerung der Zahlung bzw. Nichtbeantwortung der Mahnschreiben erscheint jedoch zweifelhaft, ob daraus auf eine generelle Zahlungsunwilligkeit bzw. Zahlungsunfähigkeit geschlossen werden darf, was allein zur Übermittlung dieser Daten an die Auskunftei berechtigen würde: Die Bereitschaft, eine "normale Forderung" (etwa aus einem Kaufvertrag) zu begleichen, ist ungleich höher als bei der Bezahlung eines erhöhten Beförderungsentgelts. SWI darf deshalb nur harte Negativ-Merkmale an die Auskunftei übermitteln.
Wir haben DB und S-Bahn aufgefordert, die SWI zu verpflichten, keine weichen Negativ-Merkmale weiterzugeben. Die S-Bahn ist unserer Empfehlung nicht gefolgt mit der Folge, dass SWI die Daten an die Auskunftei schon dann übermittelt, wenn der Schuldner auf den entsprechenden Hinweis und die Mahnung nicht reagiert. Die DB hat dagegen zugesagt, SWI vertraglich zu verpflichten, die Auskunftei nur bei Forderungen ab 50,00 DM dann zu informieren, wenn keinerlei Reaktion des Schuldners auf die insgesamt fünf Mahnungen erfolgt ist oder wenn der Schuldner gerichtlich verurteilt worden ist. Die von der BVG an SWI übermittelten Daten werden in keinem Fall an die Auskunftei weitergegeben.
Die Auskunftei Infodata darf ihrerseits Bonitätsdaten über einen Schuldner an Credidata bzw. SWI übermitteln, damit diese feststellen können, ob der Betroffene bereits als Schuldner geführt wird und deshalb Maßnahmen zum Forderungseinzug lohnenswert sind. Voraussetzung ist, dass der Empfänger ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft darlegt und kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat (§ 29 Abs.2 Satz 1 BDSG). Aus Sicht der DB und der S-Bahn (bzw. der beauftragten Unternehmen Credidata und SWI) besteht ein berechtigtes Interesse daran zu wissen, ob eine bestimmte Person insolvent ist und das Unternehmen deshalb keinen weiteren finanziellen Aufwand zur Einziehung einer Forderung betreiben muss. Dem steht ein schutzwürdiges Interesse des Betroffenen nicht entgegen.
Von großer Bedeutung für die Betroffenen ist natürlich die Frage, wie lange die Daten gespeichert werden.
Bei der BVG sind die zur Beitreibung des erhöhten Beförderungsentgelts sowie zur Erfassung von Wiederholungsfällen erhobenen Daten ein Jahr nach der Abwicklung der auf den Vorfall gegründeten Rechtswirkungen, spätestens zwei Jahre nach dem letzten einschlägigen Vorfall zu löschen (§ 3 Abs.4 BetriebeVO). Dies bedeutet, dass die Daten des "Ersttäters" nur ein Jahr gespeichert werden dürfen, es sei denn, es wird innerhalb dieses Jahres eine weitere Schwarzfahrt entdeckt. Dann erhöht sich die Speicherfrist auch für die erste Schwarzfahrt auf zwei Jahre, beginnend ab dem Tag der zweiten Schwarzfahrt. Entgegen dieser eindeutigen Bestimmung speichern BVG und SWI die Daten des "Ersttäters" auch ohne Wiederholungsfall für zwei Jahre. Eine hinreichende Begründung dafür konnte die BVG nicht abgeben. Wir halten diese Verfahrensweise für rechtswidrig.
Bei Kindern zwischen sechs und vierzehn Jahren erfolgt die Löschung nach Zahlung des erhöhten Beförderungsentgelts (§ 3 Abs.4 BetriebeVO). Diese Regelung trägt dem Umstand Rechnung, dass die Daten von Minderjährigen (unter 14 Jahren) nach Zahlung des erhöhten Beförderungsentgelts nicht mehr erforderlich sind, weil nicht nur die zivilrechtliche Verfolgung der Vorgangs ausscheidet, sondern wegen Strafunmündigkeit auch die strafrechtliche, so dass die Daten auch nicht in die "Wiederholungstäterdatei" aufzunehmen sind. Wir haben auch der DB und der S-Bahn eine entsprechende Verfahrensweise empfohlen.
Die Speicherdauer bei den Vorgängen der DB beträgt grundsätzlich ein Jahr, das bei einem Wiederholungsfall erneut zu laufen beginnt, maximal jedoch drei Jahre. Bedenken gegenüber dieser Speicherfrist bestehen nicht, da das Unternehmen drei Jahre lang die Beförderungserschleichung strafrechtlich verfolgen lassen kann (§ 78 Abs.2 Nr.5 Strafgesetzbuch), andererseits aber nicht verfolgen lässt, wenn der Betroffene innerhalb eines Jahres nicht nochmals auffällt. Insofern ist die Kenntnis der Daten für diese Zeiträume erforderlich im Sinne des § 35 Abs.2 Nr.3 BDSG. Da diese drei Jahre die Höchstfrist für jeden einzelnen Vorfall darstellen, sind diese Speicherfristen günstiger ausgestaltet als bei der BVG, bei der bei alljährlichen Wiederholungsfällen die Löschung auch der allerersten Schwarzfahrt (die für sich z.B. schon drei Jahre zurückliegt und eigentlich schon hätte gelöscht werden müssen) erst zwei Jahre nach dem letzten einschlägigen (z. B. zehnten) Vorfall erfolgen muss. Am kürzesten sind die Speicherfristen bei den Vorgängen der S-Bahn. Die Daten werden ein Jahr nach ihrer Erfassung gelöscht.
Es kommt häufiger vor, dass Schwarzfahrer bei Kontrollen angeben, sie hätten keine Ausweispapiere dabei, und die Personalien anderer Personen nennen - oder sie geben zwar die richtigen Personalien an, streiten aber hinterher ab, selbst kontrolliert worden zu sein. Da eine Pflicht zum Mitführen eines Ausweisdokuments nicht besteht, kann die Identität des Schwarzfahrers nicht vor Ort geprüft werden.
Von der DB wurden derartige Fälle bislang ebenfalls in die Schwarzfahrerdatei aufgenommen mit der Begründung, dass diese Fallkonstellationen sehr häufig unter Jugendlichen auftreten, die bei einer Konfrontation mit verschiedenen Verdachtsfällen einräumen, dass sie in Wahrheit selbst mehrfach schwarzgefahren seien (aber ihre Identität verschleiern wollten). Wir haben die DB darauf hingewiesen, dass die Speicherung von Personen, bei denen sich erst später herausstellt, ob sie Täter oder Opfer gewesen sind, in der Schwarzfahrerdatei selbst nicht zulässig ist, weil die Speicherung dieser Daten mit dem Zweck der Datei nicht übereinstimmt. Die Speicherung ihrer Daten in der "Schwarzfahrerdatei" ist nicht geeignet, die Verdachtsperson oder das Opfer - dem Zweck der Datei entsprechend - als Täter "im wiederholten Fall" zu identifizieren. Die DB hat sich zwischenzeitlich dieser Auffassung angeschlossen und das Verfahren dahingehend geändert, dass künftig bei Abstreiten der Identität sofort Strafanzeige (ggf. gegen unbekannt) erstattet wird. Die Speicherung erfolgt nur noch mit ausdrücklicher Einwilligung des Betroffenen, nachdem er um Unterstützung bei der Sachverhaltsaufklärung gebeten worden ist.
Bei der S-Bahn werden seit neuestem alle Fälle des Personalienmissbrauchs (mit Namen, Vornamen, Geburtsdatum) in einer gesonderten Datei gespeichert. Bei einer Kontrolle werden die Angaben des Betroffenen in ein Handterminal eingegeben. Das Gerät signalisiert lediglich, ob die Angaben in dieser Datei erfasst sind, nicht jedoch wird die Datei mit allen bereits missbrauchten Namen sichtbar. Zeigt das Gerät an, dass die Angaben bereits missbraucht wurden, wird der Bundesgrenzschutz zur Klärung der Identität des Betroffenen hinzugezogen. Diese Datei wird also zu einem anderen Zweck geführt als die Mehrfachtäterdatei, nämlich mit dem Ziel, bereits vor Ort diejenigen Fälle aufzuklären, in denen ein Schwarzfahrer die Personalien einer anderen Person missbraucht. Eine Veränderung bereits eingegebener Daten kann durch den Kontrolleur nicht erfolgen. Bei fehlerhafter Eingabe bedeutet dies, dass - mangels Löschungsmöglichkeit - nur ein Vermerk angebracht werden kann. Beim Einlesen in die Datei wird der Datensatz automatisch (und unwiederbringlich) gelöscht und gleichzeitig ein Schreiben an den Kunden mit der entsprechenden Information erstellt. Falls der Betroffene später geltend macht, nicht der wahre Schwarzfahrer zu sein, wird ihm eine entsprechende eidesstattliche Erklärung (mit dem Hinweis auf die Strafbarkeit einer falschen Erklärung) abverlangt. Sodann wird der Datensatz in der Mehrfachtäterdatei mit der Angabe "Adressmissbrauch" gesperrt und in eine Namensmissbrauchsliste übernommen. Wir haben der S-Bahn empfohlen, eine Speicherung in der Namensliste - mangels Rechtsgrundlage - nur mit Einwilligung des Betroffenen vorzunehmen.
Auch die BVG führt eine interne Datei, die die Namen und Geburtsdaten von Fahrgästen enthält, für die bereits ein Namensmissbrauch vorgelegen hat. Werden die angegebenen Daten bei einer telefonischen Nachfrage in der Datenbank gefunden, so wird die Polizei zur Identitätsprüfung hinzugezogen. Die Übernahme der Daten in diese Namensmissbrauchsdatei darf nur mit Einwilligung des Betroffenen erfolgen, weil auch für die BVG eine Rechtsgrundlage für die Verarbeitung der Daten der Namensmissbrauchsopfer nicht existiert. Entgegen unserer Empfehlung speichert die BVG die Daten jedoch auch ohne Einwilligung des Betroffenen.
3.4 Jagdfieber im Internet |