Warnliste
Aus WikiLegia
Parlamentarische Anfrage
Eingelangt am 08.07.2008
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.
Anfrage
der Abgeordneten Mag. Johann Maier
und GenossInnen
an den Bundeskanzler
betreffend „Warndateien (oder so genannte schwarze Listen) in Österreich - Bonität von KundInnen - Datenschutzrechtliche Probleme“
Zahlreiche Branchen und Unternehmen bewerten vor Vertragsabschlüssen (oder bei Schadensregulierungen) die Bonität, d.h. Kreditwürdigkeit potenzieller KundInnen über eigene Warnlisten oder zunehmend über Datenbanken Dritter (z.B. von Auskunftsdateien oder Inkassosbüros). Damit werden Datenschutzbestimmungen umgangen.
Die Bonität der KundInnen wird zunehmend auch über so genannte Scoringverfahren festgestellt, in denen nicht nur unwissenschaftlich, sondern absolut intransparent ein „Bonitätswert" automatisiert errechnet wird, der als Grundlage unternehmerischer Entscheidungen (Vertrag ja/nein) verwendet wird. Die damit verbundenen Probleme wurden mit der AB 3582/XXIII. GP beantwortet.
KonsumentInnen bleibt dabei in der Regel verborgen, dass ihre personenbezogenen Daten mit personenbezogenen Daten einer Datenbank (meist Dritter) abgeglichen werden. Es ist meistens Betroffenen überhaupt verborgen, dass ihre personenbezogenen Daten in einer Datenbank, d.h. in einer so genannten „schwarzen Liste" enthalten sind. Dieses Datenmaterial ist wiederum oft veraltert und von fraglicher Herkunft, es ist nicht nachvollziehbar woher diese Daten stammen. Zunehmend gibt es darin auch falsche Daten. KonsumentInnen finden sich damit „unschuldig" in derartigen Listen und zwar mit unliebsamen Konsequenzen (d.h. kein Vertragsabschluss), es kommt zur sozialen Diskriminierung. Diese kann sogar existenzbedrohend sein, gerade dann wenn Menschen von bestimmten Produkten oder Leistungen ausgeschlossen werden.
Das österreichische Datenschutzgesetz (DSG) sieht allerdings sehr konkrete Rechte von Betroffenen vor, um sich zur Wehr setzen zu können. In der Praxis wird aber einem Löschungsersuchen des Betroffenen oder dessen Recht auf Richtigstellung von Daten aber vielfach nicht entsprochen. Das Widerspruchsrecht des Betroffenen (wegen Führung von Daten in einer öffentlich zugänglichen Liste) zur Löschung aus den Listen einer Wirtschaftsauskunftei wird in der Praxis vollkommen missachtet. Wird durch Unternehmen in Datenbanken Dritter Einsicht genommen, werden Datenschutzbestimmungen überhaupt umgangen.
Bekannt sind in der Öffentlichkeit so genannte Warnlisten in folgenden Branchen:
Banken, Versicherungen, Immobilientreuhänder, Versandhandel,Telekommunikationsunternehmen, Verkehrsuntemehmen, Auskunfteien und Inkassobüros.
Konsumentenschutzminister Dr. Erwin Buchinger hat daher - wegen vielfacher Nichteinhaltung datenschutzrechtlicher Bestimmungen - bereits im Jahr 2007 den VKI mit der Führung von Musterprozessen und Verbandsklagen beauftragt. Erste Ergebnisse bzw. Urteile liegen nun vor:
Der VKI hat - im Auftrag des BMSK - eine Klage auf Löschung von Daten eines Konsumenten nach § 28 DSG (Datenschutzgesetz) gegen eine Kreditauskunftsdatei, die eine Bonitätsdatenbank betreibt, eingebracht und in erster Instanz Recht bekommen
(noch nicht rechtskräftig).
In diesem Fall wollte der Kläger einen Mobilfunkvertrag abschließen. Das Mobilunternehmen verweigerte jedoch den Vertragsabschluss aufgrund eines Negativeintrages in dieser Bonitätsdatenbank.
Der daraufhin erfolgte Widerspruch zur weiteren Verwendung seiner Daten und dem Antrag auf Löschung binnen 8 Wochen der betreffenden Daten wurde vom Beklagten jedoch verweigert. Das Erstgericht entschied nun sehr eindeutig:
„Gemäß § 28 DSG könne der Betroffene beim Auftraggeber gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei jederzeit auch ohne Begründung seines Begehrens Widerspruch erheben. Die Daten seien binnen 8 Wochen zu löschen. Dies habe der Kläger gemacht. Wesentliche Voraussetzung für den Löschungsanspruch sei die „nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei" (Verbraucherrecht 1/2008).
Ähnlich die Situation in Deutschland: So hat die Stiftung Warentest herausgefunden, dass viele Bankberater grobe Fehler bei der Kreditberatung machen. Insbesondere durch falsche SCHUFA-Anfragen werden Kunden als nicht kreditwürdig eingestuft, obwohl sie nie einen Kredit aufgenommen haben, berichtete die Zeitschrift „FINANZtest" in einer Pressemitteilung zu ihrer Februar-Ausgabe (2008).
Deutsche Datenschützer und der Bund der Versicherten haben vor kurzem auch das als "schwarze Liste" geführte "Hinweis- und Informationssystem" (HIS) der deutschen Versicherungswirtschaft scharf kritisiert. 9,5 Mio. Datensätze sind in dieser Datenbank abgespeichert.
„Aus deren Sicht kann die Aufnahme in diese Warndatei für die Betroffenen Existenz bedrohend sein. Ein entsprechender Eintrag könne dazu führen, dass eben kein Versicherungsschutz mehr gewährt wird. In einem Schadensfall sei als Konsequenz denkbar, dass man dann auch bankrott wird. Der Vorsitzende der Arbeitsgruppe Versicherungswirtschaft der Datenschutzbeauftragten hierzulande hält es daher prinzipiell für sehr bedenklich, dass die Versicherungen unkontrolliert und teils fehlerbehaftet Daten im HIS speichern und weitergeben" (news 08.01.2008).
Die unterzeichneten Abgeordneten richten daher an den Bundeskanzler nachstehende
Anfrage:
1. Unterliegt die Führung (Datenanwendung) von so genannten Warnlisten (d.s. Datenbanken) der Vorabkontrolle (§ 18 Abs. 2 DSG) durch die DSK? Wenn nein, warum nicht? Wenn ja, wie viele sind nach der Vorabkontrolle registriert?
2. Wie viele und welche derartiger „Warnlisten" (Datenbanken) in Österreich sind dem Ressort bekannt? Wie viele Datensätze sind in diesen „Warnlisten" abgespeichert? Wie viele Personen davon betroffen? Wie viele sind davon als öffentlich zugängliche Datenbank anzusehen?
3. Ist aus Sicht des Ressorts für die Aufnahme von personenbezogenen Daten in eine so genannte „Warnliste" eine Zustimmungserklärung Betroffener - Konsumenten wie Unternehmer - einzuholen? Wenn nein, warum nicht? Wenn ja, genügt ein entsprechender Hinweis in Allgemeinen Geschäftsbedingungen (z.B. im Kleingedruckten)? Oder muss diese Zustimmungserklärung ausdrücklich vereinbart werden?
4. Oder stimmt es, dass Betroffene - Konsumenten oder Unternehmer - von der Aufnahme ihrer Daten in sogenannten „Warnlisten" zumindest im Nachhinein informiert werden müssen? Wenn nein, warum nicht?
5. Unter welchen Voraussetzungen dürfen überhaupt Daten von Personen in diese sogenannten „Warnlisten" aufgenommen werden?
6. Welche personenbezogenen Daten dürfen in eine so genannten „Warnliste" aufgenommen werden? Inwieweit dürfen dabei auch „sensible Daten" aufgenommen werden?
7. Dürfen bei der Aufnahme von Daten über Zahlungsverpflichtungen von Betroffenen - Konsumenten oder Unternehmer - nur unbestrittene Forderungen aufgenommen werden oder auch bestrittene Forderungen?
8.Teilen Sind Sie die Auffassung, dass Forderungen in eine derartige Warnliste nur ab einem bestimmten Betrag aufgenommen werden dürfen? Wenn ja, ab welchem Betrag?
9. Wie können sich Betroffene gegen falsche Eintragungen in so genannte Warnlisten effektiv zur Wehr setzen?
10.Können nach der ständigen Rechtssprechung Betroffene die Löschung ihrer Daten ohne Angabe von Gründen durchsetzen?
11. Wann müssen Daten in diesen sogenannten „Warnlisten" überhaupt von den Auftraggebern dieser Datenbanken gelöscht werden?
12. Müssen die Datenbestände einer derartigen „Warnliste" durch die Auftraggeber regelmäßig aktualisiert werden? Wenn ja, zu welche Konsequenzen führt die Nichtaktualisierung?
13. Wie können aus Sicht des Ressort die Rechte Betroffener gestärkt werden, damit Falscheinträge auch tatsächlich gelöscht und veralterte Daten richtig gestellt werden? Sind aus Sicht des Ressorts schärfere Sanktionen notwendig?
14. Muss gegenüber Betroffenen eine „Bonitätsentscheidung" - die auf eine Eintragung in so genannte Warnlisten zurückzuführen ist -jeweils begründet werden?
15. Unter welchen Voraussetzungen dürfen Daten aus einer so genannten „Warnliste" von den Auftraggebern bzw. Datenbankbetreibern (z.B. Wirtschaftsauskunftsdienste) überhaupt an andere Unternehmen oder Interessensvertretungen weitergegeben werden?
16. Unter welchen Voraussetzungen dürfen Daten aus einer so genannten „Warnliste" von den Auftraggebern bzw. Datenbankbetreibern (z.B. Wirtschaftsauskunftsdienste) grenzüberschreitend - weitergegeben an wen auch immer - werden?
17. Unter welchen Voraussetzungen können aus Sicht des Ressorts Schadenersatzansprüche geltend gemacht werden, wenn dadurch Betroffene in ihren Rechten geschädigt werden?
18. Trifft den Auftraggeber einer derartigen Warnliste eine Warn- oder Informationspflicht, gegenüber allen Personen deren Daten in der Datei enthalten sind, wenn diese Datenbankdateien verlustig gehen oder gestohlen werden? Wenn nein, warum nicht?
[bearbeiten] Und hier die Antwort:
4644/AB XXIII. GP
Eingelangt am 29.08.2008
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.
Bundeskanzler
Anfragebeantwortung
Die Abgeordneten zum Nationalrat Mag Maier, Kolleginnen und Kollegen haben am 8. Juni 2008 unter der Nr. 4723/J an mich eine schriftliche parlamentarische Anfrage betreffend „Warndateien (oder so genannte schwarze Listen) in Österreich-Bonität von KundInnen - Datenschutzrechtliche Probleme“ gerichtet.
Diese Anfrage beantworte ich wie folgt:
Zu den Fragen 1 und 2:
Ø Unterliegt die Führung (Datenanwendung) von so genannten Warnlisten (d.s. Da-tenbanken) der Vorabkontrolle (§ 18 Abs. 2 DSG) durch die DSK? Wenn nein, wa-rum nicht? Wenn ja, wie viele sind nach der Vorabkontrolle registriert?
Ø Wie viele und welche derartiger „Warnlisten" (Datenbanken) in Österreich sind dem Ressort bekannt? Wie viele Datensätze sind in diesen „Warnlisten“ abge-speichert? Wie viele Personen davon betroffen? Wie viele sind davon als öffent-lich zugängliche Datenbank anzusehen?
Gemäß § 18 Abs. 2 DSG 2000 dürfen meldepflichtige Datenanwendungen erst nach ihrer Prüfung (Vorabkontrolle) durch die Datenschutzkommission aufgenommen wer-den, wenn sie die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben (Z 3) oder in Form eines Informationsverbundsystems durchgeführt werden sollen (Z 4). „Warnlisten" unterliegen daher grundsätzlich der Vorabkontrolle durch die Datenschutzkommission (DSK).
Aufgrund der Ergebnisse des Prüfungsverfahrens kann die DSK dem Auftraggeber anlässlich der Registrierung Auflagen für die Vornahme der vorabkontrollpflichtigen Datenanwendung durch Bescheid erteilen, soweit dies zur Wahrung der durch das DSG 2000 geschützten Interessen der Betroffenen notwendig ist. Die DSK hat von dieser Möglichkeit mehrfach Gebrauch gemacht und per Bescheid Auflagen für fol-gende Datenanwendungen erteilt:
• „Kleinkreditevidenz zum Zweck des Gläubigerschutzes und der Risikomini-mierung (kurz: Kleinkreditevidenz oder KKE)“
(vgl. Musterbescheid GZ K600.033-018/0002-DVR/2007),
• „Warnliste der österreichischen Versicherungsunternehmen zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf auffälliges Vermittlerverhalten im Vertrieb" (kurz: Warnliste betreffend Vermittlerverhal-ten)" (vgl. Musterbescheid GZ K600.014-010/0002-DVR/2007) sowie
• „Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten (kurz: Warnliste der Banken)“ (vgl. Bescheide K095.014/016-DSK/2001 und K095.014/021-DSK/2001)
Diese Informationen sind auf der Homepage der DSK unter http://www.dsk.gv.at/site/6299/default.aspx abrufbar.
Laut Auskunft des Datenverarbeitungsregisters (DVR) sind im Rahmen der Warnliste der Banken bislang ungefähr 760 Meldungen von Banken als Auftraggeber einge-langt. Auch die Anzahl der bislang im Zusammenhang mit der KKE eingebrachten Meldungen beläuft sich auf eine ähnliche Höhe, wobei laufend weitere Meldungen eingebracht werden. Weitergehende Informationen, insbesondere hinsichtlich der in den Warnlisten abgespeicherten Datensätze oder der Anzahl der Betroffenen, stehen mir nicht zur Verfügung. Ich darf allerdings darauf hinweisen, dass gemäß § 16 Abs. 2 DSG 2000 zum Zweck der Publizität der Datenanwendungen jedermann in das DVR Einsicht nehmen kann.
Zu den Fragen 3 und 5:
Ø Ist aus Sicht des Ressorts für die Aufnahme von personenbezogenen Daten in eine so genannte „Warnliste" eine Zustimmungserklärung Betroffener - Konsu-menten wie Unternehmer - einzuholen? Wenn nein, warum nicht? Wenn ja, ge-nügt ein entsprechender Hinweis in Allgemeinen Geschäftsbedingungen (z.B. im
Kleingedruckten)? Oder muss diese Zustimmungserklärung ausdrücklich ver-einbart werden?
Ø Unter welchen Voraussetzungen dürfen überhaupt Daten von Personen in diese sogenannten „Warnlisten“ aufgenommen werden?
Die Zulässigkeit der Verwendung von Daten ergibt sich grundsätzlich aus den §§ 7ff DSG 2000. Daten dürfen gemäß § 7 Abs. 1 DSG 2000 nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden. Daten dürfen ferner gemäß § 7 Abs. 2 DSG 2000 nur übermittelt werden, wenn sie aus einer zulässigen Datenanwendung stammen, der Empfänger seine ausreichende gesetzliche Zustän-digkeit oder rechtliche Befugnis im Hinblick auf den Übermittlungszweck glaubhaft ge-macht hat und durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheim-haltungsinteressen des Betroffenen nicht verletzt werden. Darüber hinaus sind der Verhältnismäßigkeitsgrundsatz sowie die Grundsätze des § 6 DSG 2000, insbeson-dere der Grundsatz der Datenanwendung nach Treu und Glauben sowie der sachli-chen Richtigkeit, zu beachten.
§ 8 DSG 2000 zählt in Ausführung von § 1 Abs. 2 DSG 2000 verschiedene Fälle auf, in denen schutzwürdige Geheimhaltungsinteressen der Betroffenen bei der Verwen-dung nicht-sensibler Daten nicht verletzt werden, darunter Fälle der ausdrücklichen gesetzlichen Ermächtigung oder Verpflichtung zur Verwendung der Daten (§ 8 Abs. 1 Z 1), der Zustimmung des Betroffenen zur Verwendung seiner Daten, wobei ein Wi-derruf jederzeit zulässig ist und die Unzulässigkeit der weiteren Verwendung bewirkt (§ 8 Abs. 1 Z 2) oder der überwiegenden berechtigten Interessen des Auftraggebers oder eines Dritten (§ 8 Abs. 1 Z 4).
Der Begriff der Zustimmung wird in § 4 Z 14 DSG 2000 als gültige, insbesondere oh-ne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt, definiert. An eine hinreichend präzise und zwangsfreie Zustimmung sind dabei strenge Anfor-derungen zu stellen (vgl. Rundschreiben des BKA-VD, 810.008/1-V/1 a/85 vom 10. 8. 1985). Ein Hinweis in den Allgemeinen Geschäftsbedingungen reicht dafür grund-sätzlich nicht aus (vgl. Urteil des OGH vom 27.1.1999, 7 Ob 170/98). Angesichts der drohenden negativen Auswirkungen bzw. der Tatsache, dass sich wohl kaum ein Be-troffener freiwillig in eine „schwarze Liste" eintragen lässt, gehe ich allerdings davon aus, dass die Verwendung von Daten in der Regel nicht auf die Zustimmung der Be-troffenen gemäß § 8 Abs. 1 Z 2 DSG 2000 gestützt werden kann.
Schließlich ist § 49 DSG 2000 zu erwähnen, demzufolge niemand einer für ihn recht-liche Folgen nach sich ziehenden oder eine ihn erheblich beeinträchtigenden Ent-scheidung unterworfen werden darf, die ausschließlich auf Grund einer automations-unterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, sei-ner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.
Zu Frage 4:
Ø Oder stimmt es, dass Betroffene - Konsumenten oder Unternehmer - von der Auf-nahme ihrer Daten in sogenannten „Warnlisten" zumindest im Nachhinein infor-miert werden müssen? Wenn nein, warum nicht?
Wie die DSK in ihren Bescheiden zur Warnliste der Banken festgehalten hat, verlangt der Grundsatz der Datenverwendung nach Treu und Glauben gemäß § 6 Z 1 DSG 2000 eine ausreichende Information bzw. entsprechende Benachrichtigung der Betroffenen über die Verarbeitung personenbezogener Daten im Rahmen einer Warnliste, um ihnen die Durchsetzung ihrer Rechte gegenüber den Auftraggebern zu ermöglichen (DSK K095.014/016-DSK/2001 und K095.014/021-DSK/2001; vgl. ferner OGH 15.12.2005, 6 Ob 275/05t). Ähnliches ergibt sich aus § 24 DSG 2000, der die Informationspflicht des Auftraggebers näher determiniert.
Zu den Fragen 6 bis 8:
Ø Welche personenbezogenen Daten dürfen in eine so genannten „Warnliste" auf-genommen werden? Inwieweit dürfen dabei auch „sensible Daten" aufgenommen werden?
Ø Dürfen bei der Aufnahme von Daten über Zahlungsverpflichtungen von Betroffe-
nen - Konsumenten oder Unternehmer - nur unbestrittene Forderungen aufge-nommen werden oder auch bestrittene Forderungen?
Ø Teilen Sind Sie die Auffassung, dass Forderungen in eine derartige Warnliste nur ab einem bestimmten Betrag aufgenommen werden dürfen? Wenn ja, ab wel-chem Betrag?
Welche personenbezogenen Daten in einer Datenanwendung verarbeitet werden dürfen, ergibt sich aus den Bestimmungen über die Zulässigkeit der Datenverwen-dung (§ 7ff DSG 2000) und insbesondere den Grundsätzen des § 6 DSG 2000. So dürfen Daten beispielsweise nur verwendet werden, soweit sie für den Zweck der Datenanwendung wesentlich sind und über diesen Zweck nicht hinausgehen (§ 6 Abs. 1 Z 3 DSG 2000). Dies gilt grundsätzlich auch für sensible Daten, wobei bei Würdigung des Verhältnismäßigkeitsgrundsatzes sowie bei der Prüfung, ob schutz-würdige Geheimhaltungsinteressen der Betroffenen gemäß § 9 DSG 2000 verletzt werden, ein entsprechend strengerer Maßstab zur Anwendung gelangt.
Das Gebot der sachlichen Richtigkeit im Sinne des § 6 Abs. 1 Z 4 DSG 2000 erfor-dert ferner, dass das Faktum einer begründeten Bestreitung der Forderung sichtbar gemacht und die Bezahlung der Forderung in der "Warnliste" ausgewiesen wird (vgl. DSK K095.014/016-DSK/2001 und K095.014/021-DSK/2001). Die Betragshöhe der Forderungen kann bei der Beurteilung der Verhältnismäßigkeit einer Datenanwen-dung eine Rolle spielen. Die DSK hat in ihrem Bescheid über die Warnliste über Ver-mittlerverhalten beispielsweise eine betragsmäßige Grenze eingezogen, unterhalb derer die Daten gelöscht werden müssen (vgl. DSK K600.014-010/0002-DVR/2007).
Zu den Fragen 9 bis 12:
Ø Wie können sich Betroffene gegen falsche Eintragungen in so genannte Warnlis-ten effektiv zur Wehr setzen?
Ø Können nach der ständigen Rechtsprechung Betroffene die Löschung ihrer Daten ohne Angabe von Gründen durchsetzen?
Ø Wann müssen Daten in diesen sogenannten „Warnlisten" überhaupt von den Auf-traggebern dieser Datenbanken gelöscht werden?
Ø Müssen die Datenbestände einer derartigen „Warnliste" durch die Auftraggeber regelmäßig aktualisiert werden? Wenn ja, zu welchen Konsequenzen führt die Nichtaktualisierung?
Gemäß § 1 Abs. 3 DSG 2000 hat jedermann ein verfassungsgesetzlich gewährleiste-tes Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden (Z 1), sowie das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten (Z 2). Die diesbezüg-lichen einfachgesetzlichen Ausführungsbestimmungen finden sich in den §§ 26, 27 und 28 DSG 2000. Werden diese Betroffenenrechte verletzt, so steht die Möglichkeit einer Beschwerde an die Datenschutzkommission (§ 31 DSG 2000) bzw. die Anru-fung der Gerichte (§ 32 DSG 2000) offen.
Das in § 27 DSG 2000 näher geregelte Recht auf Löschung kann der Betroffene nur mittels begründetem Antrag geltend machen. Sofern die Voraussetzungen des § 28 DSG 2000 erfüllt sind, kann die Löschung von Daten die Folge der Ausübung des Widerspruchsrechts sein. Aus dem Richtigkeitsgebot des § 6 Abs. 1 Z 4 DSG 2000 ergibt sich ferner, dass eine Eintragung vom Auftraggeber unverzüglich zu löschen ist, wenn rechtskräftig festgestellt ist, dass die Forderung nicht besteht (vgl. DSK K095.014/016-DSK/2001 und K095.014/021-DSK/2001). Derselbe Grundsatz ver-langt, dass Daten, wenn nötig, auf den neuesten Stand gebracht werden. Datenbe-stände müssen demnach von den Auftraggebern regelmäßig aktualisiert werden, um gemäß § 7 Abs. 3 DSG 2000 die Voraussetzungen für die Zulässigkeit der Verwen-dung der Daten zu erfüllen.
Zu Frage 13:
Ø Wie können aus Sicht des Ressort die Rechte Betroffener gestärkt werden, damit Falscheinträge auch tatsächlich gelöscht und veralterte Daten richtig gestellt wer-den? Sind aus Sicht des Ressorts schärfere Sanktionen notwendig?
Ein vom Bundeskanzleramt am 11. April 2008 zur Begutachtung versendeter Entwurf für eine „DSG-Novelle 2008" sah verschiedene Maßnahmen zur Stärkung der Betrof-fenenrechte vor, darunter die Einrichtung eines betrieblichen Datenschutzbeauftrag-ten, Verbesserungen beim Auskunftsrecht der Betroffenen, eine Ausdehnung der Be-schwerdemöglichkeit an die DSK sowie eine Klarstellung und Stärkung der Betroffe-nenrechte gemäß § 49 Abs. 3 DSG 2000.
Zu den Fragen 14 und 18:
Ø Muss gegenüber Betroffenen eine „Bonitätsentscheidung" - die auf eine Eintra-gung in so genannte Warnlisten zurückzuführen ist -jeweils begründet werden?
Ø Trifft den Auftraggeber einer derartigen Warnliste eine Warn- oder Informations-pflicht, gegenüber allen Personen deren Daten in der Datei enthalten sind, wenn diese Datenbankdateien verlustig gehen oder gestohlen werden? Wenn nein, wa-rum nicht?
Der Auftraggeber einer Datenanwendung ist gemäß § 24 Abs. 1 DSG 2000 dazu an-gehalten, den Betroffenen in geeigneter Weise über den Zweck der Datenanwen-dung sowie Name und Adresse des Auftraggebers zu informieren. Darüber hinaus-gehende Informationen sind gemäß § 24 Abs. 2 DSG 2000 zu erteilen, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist.
Datenschutzrechtlich gesehen besteht keine Verpflichtung des Auftraggebers, die konkreten Gründe für eine Antragsablehnung bzw. die Verweigerung eines Vertrags-abschlusses mitzuteilen. Dabei handelt es sich um eine zivilrechtliche Entscheidung. Dem Betroffenen stehen jedoch mit dem Auskunftsrecht gemäß § 26 DSG 2000 so-wie der Verpflichtung des Auftraggebers gemäß § 49 Abs. 3 DSG 2000, dem Betrof-fenen auf seinen Antrag hin den logischen Ablauf automatisierter Einzelentscheidun-gen in allgemein verständlicher Form darzulegen, weitere Instrumente zur Verfü-gung, um die Ablehnung nachvollziehen zu können.
Zu den Fragen 15 und 16:
Ø Unter welchen Voraussetzungen dürfen Daten aus einer so genannten „Warnlis-te" von den Auftraggebern bzw. Datenbankbetreibern (z.B. Wirtschaftsauskunfts-dienste) überhaupt an andere Unternehmen oder Interessensvertretungen weiter-gegeben werden?
Ø Unter welchen Voraussetzungen dürfen Daten aus einer so genannten „Warnlis-te" von den Auftraggebern bzw. Datenbankbetreibern (z.B. Wirtschaftsauskunfts-dienste) grenzüberschreitend - weitergegeben an wen auch immer- werden?
Die Zulässigkeit der Übermittlung von Daten bestimmt sich grundsätzlich nach den Voraussetzungen der §§ 7ff DSG 2000 unter Berücksichtigung des Verhältnismäßig-keitsgrundsatzes sowie der Grundsätze des § 6 DSG 2000. Darüber hinaus kann die DSK dem Auftraggeber von vorabkontrollpflichtigen Datenanwendungen Auflagen für die Vornahme der Datenanwendung erteilen, welche auch Fragen der Datenüber-mittlung an Dritte betreffen können. Die Übermittlung von Daten ins Ausland ist grundsätzlich anhand der Vorgaben der §§ 12 und 13 DSG 2000 zu prüfen.
Zu Frage 17:
Ø Unter welchen Voraussetzungen können aus Sicht des Ressorts Schadenersatz-ansprüche geltend gemacht werden, wenn dadurch Betroffene in ihren Rechten geschädigt werden?
Gemäß § 33 DSG 2000 hat ein Auftraggeber, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen. Nähere Details zur Regelung dieses Schadensersatzanspruches sind § 33 DSG 2000 zu entnehmen.
