Die wesentlichen Kritikpunkte: Kunden genehmigen bei jeder EC/Maestro-Zahlung mit ihrer Unterschrift die Weitergabe ihrer Daten an ein Unternehmen für Zahlungsdienstleistungen sowie zwei Wirtschaftsauskunfteien; die Einwilligungserklärung zur Datenweitergabe und -speicherung erfolgt unter Zeitdruck; Kunden erhalten kein Doppel der unterschriebenen Einwilligungserklärung und die Erklärung ist auch nicht als Aushang einsehbar.

Kurz darauf wurde die Kartenzahlung deutschlandweit auf das PIN-Verfahren umgestellt (was für Rewe mit höheren Kosten pro Transaktion verbunden war).

Spätestens seit August sind die Rewe-Märkte nun wieder zum Verfahren mit Unterschrift zurückgekehrt. Die Unternehmensgruppe betonte schon im Mai, dass das Verfahren nach geltenden Regelungen des Deutschen Lastschriftverfahrens gestaltet sei. Dementsprechend wurde nur wenig am Text geändert: Weiterhin genehmigen die Kunden mit ihrer Unterschrift für den Fall der Rücklastschrift die Weitergabe ihrer Daten an ein Unternehmen für Zahlungsdienstleistungen (easycash) sowie zwei Wirtschaftsauskunfteien (Schufa und Bürgel – in diesem Zusammenhang ein kurzer Hinweis auf die kostenlose Selbstauskunft nach novelliertem Bundesdatenschutzgesetz).

Auch wenn es auf den ersten Blick nicht so aussieht, der neue Text ist kürzer – statt 263 Wörtern sind es nun 259. Das dürfte allerdings am Kritikpunkt “Einwilligungserklärung zur Datenweitergabe und -speicherung unter Zeitdruck” wenig ändern. Die meisten Kunden haben vermutlich kein Interesse daran, mit einer wachsenden Schlange im Nacken kleingedruckte juristische Texte zu lesen.

Im Text wurden einzelne Passagen klarer gefasst. So heißt es statt “Ich bin damit einverstanden…” jetzt “Ich willige ein… ” und die “Speichernde Stelle” ist nun “Verantwortliche Stelle”. Sollten Einträge in einer Sperrdatei fehlerhaft sein, sollen die Daten jetzt “gelöscht” werden und nicht nur die “Sperrung aufgehoben”.

Ein Doppel des Einwilligungstextes habe ich beim letzten Einkauf weiterhin nicht bekommen. Auch einen sichtbaren Aushang im Geschäft gab es nicht. Erst eine Anfrage über das Kontaktformular auf rewe-group.com führte zur vollständigen Information.

Aber was soll die Nörgelei. Irgendwie muss der Einzelhandel ja an sein Geld kommen, man kann ja bar zahlen oder woanders kaufen und der diesjährige Datenschützer-Sommerhit kommt nun mal von Google.

Update, 20.8.2010: Der Text hängt nun hinter beiden Kassen aus.

In ihrem Blog Nonprofits-vernetzt.de hat Dr. Brigitte Reiser heute einen lesenswerten Beitrag unter den Titel “Open Data und der gemeinnützige Sektor” veröffentlicht, der in diese Richtung weist.

In ihrem Beitrag lässt Sie auch Lucy Bernholz (Blueprint Research & Design) zu Wort kommen, die im März 2010 eine Reihe von Forderungen zum offenen Datenaustausch im Nonprofit-Sektor zu einem Manifest zusammengestellt hat.

Die Forderungen sind nachvollziehbar und nahezu durchgängig unterstützenswert.
Selbstverständlich gerät die Datenbefreiung schnell auch an Grenzen, zu nennen sind insbesondere Rechte Dritter und Datenschutz.

Nichtsdestoweniger sollten gemeinnützige Organisationen, die ja von Bürgerinnen und Bürgern unterstützt werden und auch weiterhin unterstützt werden wollen, auf ein möglichst hohes Maß an Transparenz hinwirken (siehe hierzu etwa spenden.de).

Rohdaten sollten nicht als Immaterialgut gehortet werden, sondern nach Klärung der Rechte und gegebenenfalls notwendigen Anonymisierungsmaßnahmen (etwa Aggregation) für andere Organisationen und Einzelpersonen zur Verfügung gestellt werden.

Dort wo staatliche Stellen fördernd eingreifen, sollten sie darauf Wert legen, dass mit öffentlichen Geldern gesammelte Daten nicht allein der geförderten Stelle gehören, sondern unter freien Lizenzen veröffentlicht werden.

Der offene Datenaustausch zwischen gemeinnützigen Akteuren ist meiner Meinung nach auf drei Ebenen wünschenswert: (1) Software, (2) Werke, (3) Datenbanken. Auf jeder der drei Ebenen gibt es eine besondere Ausprägung freier Lizenzen. Die ersten zwei werden vereinfachend mit einer Person in Verbindung gebracht: (1) für freie Software steht Richard Stallman mit GNU, (2) für Werke (Kulturvernetzung) steht Lawrence Lessig mit den Creative Commons Lizenzen.
Mittlerweile gibt auch passende freie Lizenzen für (3) Datensätze in Datenbanken. Auf Initiative der Open Knowledge Foundation (jetzt auch in Deutschland: http://okfn.de) sind die Open Database License (ODC-ODbL “Weitergabe unter gleichen Bedingungen” und – als Entwurf – ODC-By “Namensnennung”) und die Public Domain Dedication and Licence (PDDL) entstanden (Miller / Styles / Heath: Open Data Commons, 2008).
Mit der PPDL wird versucht, Daten praktisch gemeinfrei zu machen. Das gleiche Ziel wird mit der Creative Commons Lizenz CC0 angestrebt. Inwieweit eine Kompatibilität solcher Public Domain Lizenzen mit dem deutschen Immaterialgüterrecht herzustellen ist, bleibt noch zu klären.

Wenn einmal befreite Daten (mit klaren Angaben zu den Nutzungsrechten) in gemeinsame Datenbestände aufgenommen werden, kann sich ein neuer Blick auf größere Zusammenhänge ergeben (schönes Beispiel: http://www.gapminder.org).
Ein bemerkenswerter Datenpool für offene Daten ist das CKAN (Comprehensive Knowledge Archive Network).

Hierbei werden personenbezogene Daten und Erfahrungswerte herangezogen und mathematisch-statistisch analysiert. Scoring-Systeme sind häufig selbstlernend, sie sollen sich laufend an geänderte Rahmenbedingungen anpassen und können damit als Anwendungsfall für “künstliche Intelligenz” angesehen werden. Sommer wies auf die erwiesenermaßen hohe Fehlerrate der Scoring-Tabellen hin.

Die Gesetzesänderungen zum Scoring sind Teil der Bundesdatenschutzgesetz-Novelle I, die zum 1. April 2010 in Kraft treten wird (BGBl bei Bundesanzeiger-Verlag). Im neuen § 28b BDSG (Scoring) wird klarstellend vermerkt, dass der Scoring-Wert nicht allein auf der Adresse abgeleitet werden darf. Die verantwortliche Stelle muss in der Lage sein, über die zugrunde liegenden “wissenschaftlich anerkannten mathematisch-statistischen” Verfahren “einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form” Auskunft zu geben. (Hierzu ein zitierwürdiger Einwurf aus dem  Publikum: “AI for Dummies – künstliche Intelligenz für Einsteiger?”)

Eine knappe und verständliche Einführung bietet der Bundesverband deutscher Banken mit seiner Broschüre “Kredit-Scoring – Bestandteil der modernen Kreditvergabe“.

Neu ist allerdings, dass Firmen ab dem 1.9.2012 bei Werbung immer angeben müssen, wo die personenbezogenen Daten erhoben wurden. Der Einwand, es würden Alt-Datenbestände genutzt, wird ab diesem Termin entfallen.

Christian Rath (taz) wies darauf hin, dass etwa Zeitschriftenverlage ein dringendes Interesse daran haben, Adressdaten von anderen Verlagen zu übernehmen (60% der Abo-Neukunden sollen auf diese Weise geworben werden).

Auch von der Pflicht zur Einwilligung des Betroffenen ausgenommen ist die Werbung für eigene Angebote. Die zu immer größeren Medienkonzernen zusammengeschlossenen Verlage erhalten so eine gute Möglichkeit, ihre Produkte zielgerichtet zu bewerben. Dem Kunden muss allerdings die Möglichkeit gegeben werden, der Zusendung von Werbung zu widersprechen.

Im nächsten Teil geht es um den Einsatz von Scoring-Verfahren.

Die am 03.07.2009 beschlossene und am 01.09.2009 in Kraft getretene zweite Novelle zum Bundesdatenschutzgesetz (BDSG) enthält mit § 32 Abs. 1 erstmals eine Generalklausel zum Arbeitnehmerdatenschutz. Die Erhebung, Verarbeitung und Nutzung von Arbeitnehmerdaten zur Entscheidung über die Begründung oder nach dessen Begründung für die Durchführung oder Beendigung des Beschäftigungsverhältnisses zulässig. Die Regelung ist allerdings in hohem Maße auslegungsbedürftig und lässt viele Fragen offen. Wäre für jede darüber hinaus gehende Verarbeitung von Arbeitnehmerdaten eine Einwilligung des Arbeitnehmers erforderlich? Unter welchen Umständen liegen im Arbeitsverhältnis datenschutzrechtlich validen Einwilligungen vor? Inwieweit sind die allgemeinen Erlaubnistatbestände des § 28 BDSG auf Arbeitsverhältnisse noch anwendbar?

Vermutlich könnte ein zusätzliches BDSG-Kapitel zum Arbeitsnehmerdatenschutz mehr Klarheit schaffen.

• Aus aktuellem Anlass wurde die Frage nach Blutuntersuchungen bei der Einstellung in ein Unternehmen angesprochen. Imke Sommer betonte, dass niemand verpflichtet werden darf, bereits im Blutuntersuchungen durchführen zu lassen. Auch nach Abschluss der Bewerberauswahl darf das Unternehmen nur dann eine Untersuchung verlangen, wenn die zu besetzende Stelle besondere gesundheitliche Anforderungen stellt. (Im öffentlichen Bereich ist die Lage häufig eine andere. Im Beamtenverhältnis – Verbeamtung auf Lebenszeit! – ist es erlaubt, von den Kandidaten Blutproben zu nehmen.)  Detaillierte Ergebnisse darf der Arzt dem Arbeitgeber nicht mitteilen (ärztliche Schweigepflicht). Er darf nur die Information weitergeben, ob die Person für den Arbeitsplatz geeignet ist oder nicht.
• Nächstes Teilthema war die Speicherung Daten zu Erkrankungen von Arbeitnehmern. Die Arbeitsunfähigkeitsscheinigung für den Arbeitgeber (gelber Schein) enthält – im Gegensatz zur Arbeitsunfähigkeitsbescheinigung zur Vorlage bei der Krankenkasse mit Diagnosecode – keine Angaben zur Diagnose. Allerdings werde unzulässigerweise in einigen Betrieben in der Tabelle der Fehlzeiten eine zusätzliche Spalte mit Selbstdiagnosen geführt.
• Zwischendurch wurde auf die Stärkung der Position des betrieblichen Datenschutzbeauftragten, unter anderem durch den erhöhten Kündigungsschutz (§ 4 f Abs. 3 S. 5 BDSG) hingewiesen. Aus dem Publikum wurde die Annahme geäußert, dass die betrieblichen Datenschutzbeauftragten häufig weder hinreichend geschult noch zeitlich in der Lage sind, ihren Kontrollfunktionen nachzukommen.
• In Bezug auf private Telefongespräche über Dienstgeräte ist telekommunikations-rechtlich keine Überwachung erlaubt, der Arbeitgeber darf nur abrechnungsrelevante Daten erfassen.
• Zur Videoüberwachung (an öffentlichen Plätzen, § 6 b BDGS) bekommt die LfDI Bremen alle ein bis zwei Wochen Beschwerden. In Betrieben ist keine verdachtsunabhängige Videoüberwachung zulässig. Die Kamera muss offensichtlich positioniert werden; bestimmte Orte (Toilette, Umkleideraum) sind ausgeschlossen. Bei Kameras im öffentlichen Bereich, die auch Mitarbeiter überwachen ist § 6 b BDSG einschlägig. Die Frage, ob ein Compliance-Beauftragter (zuständig für Kontrolle der “Normbefolgung”) bei konkretem Verdacht selbst überwachen kann, oder ob der Fall nicht direkt an die Strafverfolgungsbehörden weitergegeben werden müsste, konnte aufgeworfen, aber nicht direkt beantwortet werden.

Im nächsten Teil werden ich die Aussagen zum Adresshandel zusammenzufassen.

Christian Rath (rechtspolitischer Korrespondent der taz) sollte am 16.11.2009 um 20 Uhr in der Villa Ichon Imke Sommer zu aktuellen Entwicklungen im (Bundes-)Datenschutzrecht befragen. Eingeladen hatte die Humanistische Union Bremen (gefunden über einen Hinweis bei Brainweich).

Villa Ichon

Dr. Imke Sommer ist seit etwa fünf Monaten neue bremische Landesbeauftragte für Datenschutz und Informationsfreiheit – sie steht der Behörde LfDI mit 13 Referentinnen und Referenten vor.

Die klassische Interview-Situation wurde nicht lange aufrecht erhalten, vielmehr entwickelte sich die Veranstaltung schnell zu einer Experten-Fragerunde zum Datenschutzrecht.

Ich möchte hier in den kommenden Tagen meine Zusammenfassungen zu den angesprochenen Themenbereichen veröffentlichen. Vielleicht ist es ja für den einen oder die andere von Interesse.

Ergänzung (9.12.2009): Zugehörige Beiträge

• Arbeitnehmerdatenschutz
• Adresshandel
• Scoring-Verfahren
• Informationsfreiheit