Home > Allgemein > Die Problematik der Negativauskünfte

Die Problematik der Negativauskünfte

29. Februar 2012

Vergangenes Jahr haben wir eine Anfrage an die Landesdatenschutzbeauftrage von Bremen gestellt, um herauszufinden, inwieweit Negativauskünfte (“Person unbekannt, keine Daten vorhanden”) ein personenbezogenes Merkmal darstellen. Hierbei ging es vor allem darum, eine Möglichkeit zur Entlastung der auskunftspflichtigen Unternehmen zu finden, indem diese Negativauskünfte beispielsweise per E-Mail an die Anfragenden versenden. Unsere Anfrage vom 26.09.2011:

Wir hatten vergangenes Jahr bereits Kontakt mit Ihnen wegen unseres Dienstes “selbstauskunft.net”. Bürgern bieten wir über selbstauskunft.net die Möglichkeit, kostenlos Selbstauskünfte bei diversen Unternehmen anzufordern.

Während der Registrierung gibt der Interessent seine persönlichen Daten wie E-Mail-Adresse, Namen, Geburtsdatum und Anschriften ein. Außerdem übermittelt er durch das Zeichnen per Maus oder auf dem Smartphone (iOS/Android) seine Unterschrift, mit welcher wir die Anfragen an die Unternehmen versehen.

Durch die zahlreichen Anfragen entstehen seitens der Unternehmen leider nicht unerhebliche Kosten, weil momentan jede Anfrage postalisch beantwortet werden muss. In den meisten Fällen liegen über den Anfragenden jedoch überhaupt keine Daten bei den Unternehmen vor. Wir möchten gerne die Kosten seitens der Unternehmen durch unsere Anfragen senken und stellen uns daher folgende Frage: Ist es datenschutzrechtlich zulässig, den Anfragenden per E-Mail mitzuteilen, dass dieser bei dem Unternehmen nicht bekannt ist? Sollten Daten vorhanden sein, würde das Unternehmen eine Auskunft weiterhin per Post an die Anfragenden versenden.

Über eine rechtsverbindliche Auskunft über die Zulässigkeit des angedachten Verfahrens wäre ich Ihnen sehr dankbar.

Antwort vom 05.01.2012:

In Beantwortung dieser Ihrer Anfrage sei vorab auf Folgendes hingewiesen: Eine generelle, rechtsverbindliche Auskunft, wie von Ihnen gewünscht, können wir Ihnen zu Ihrer Frage nicht erteilen. Dies schon, weil wir lediglich Datenschutzaufsichtsbehörde für nicht-öffentliche Stellen im Lande Bremen sind, nur insoweit zuständig für Auslegung und Anwendung des Bundesdatenschutzgesetzes (BDSG) sind, jedoch keine Aussagen bzw. Festlegungen für die Datenschutzaufsichtsbehörden anderer Länder treffen können.

Inhaltlich ergibt sich die Antwort auf Ihre Frage zunächst aus § 34 Abs. 6 BDSG: hiernach ist die Auskunft auf Verlangen des Betroffenen in Textform zu erteilen. Die Textform ist in § 126b Bürgerliches Gesetzbuch (BGB) dahingehend legaldefiniert, dass „die Erklärung in einer Urkunde oder auf andere zur dauerhaften Wiedergabe in Schriftzeichen geeigneten Weise abgegeben, die Person des Erklärenden genannt und der Abschluss der Erklärung durch Nachbildung der Namensunterschrift oder anders erkennbar gemacht werden“ muss. Grundsätzlich genügt auch eine E-Mail der Textformvorgabe, wobei vor dem Hintergrund eines wirksamen Zugangs (§ 130 BGB) der Empfänger selbst zu erkennen gegeben haben muss, dass er mit dieser Form der elektronischen Übersendung von Erklärungen einverstanden ist. Datenschutzrechtlich „tauchen“ dann im Falle einer Übermittlung personenbezogener Angaben via E-Mail aber folgende Probleme auf: die auskunftserteilende Stelle hat im Wege entsprechender Maßnahmen insbesondere die sog. „Zugriffkontrolle“ bzw. genauer „Weitergabekontrolle“ zu gewährleisten (§ 9 BDSG iVm Anlage Ziff. 4, 3), also insbesondere sicherzustellen, dass keine unbefugte Kenntnisnahme personenbezogener Daten durch Dritte erfolgt und dass die Nachricht nicht verändert wird. Dies dürfte praktisch schwierig sein, weil die Stellen wohl regelmäßig keine Verschlüsselung verwenden dürften, die unverschlüsselte E-Mail aber im Internet ohne weiteres Dritten zugänglich ist, keine Möglichkeit zur Sicherstellung ihrer Integrität besteht und auch ihre Authentizität nicht feststellbar ist. Des Weiteren kann beim E-Mail-Versand kaum sichergestellt werden, dass die Nachricht tatsächlich bei dem Betroffenen in seinem eigenen elektronischen Postfach „landet“.

Im Ergebnis besteht also grundsätzlich die Möglichkeit der elektronischen Versendung personenbezogener Daten in Beantwortung eines Eigenauskunftsgesuchs; die E-Mail-Versendung unterliegt dann aber wiederum einigen datenschutzrechtlichen Vorgaben und bringt insoweit sicherlich einige praktische Probleme mit sich.

Unsere Nachfrage am selben Tag:

vielen Dank für Ihre ausführliche Antwort. Dass personenbezogene Daten nicht in einer unverschlüsselten E-Mail übertragen werden, ist für uns selbstverständlich. Unabhängig vom Übertragungsweg ist für uns jedoch folgendes entscheidend:
Ist nach Ihrer Auslegung eine Negativauskunft (“Person unbekannt”) bereits ein personenbezogenes Datum?

Antwort vom 16.01.2012:

auf Ihre E-Mail vom 05.01. kommen wir zurück. Sie hatten uns um Beantwortung der Frage gebeten, ob nach Auslegung der LfDI Bremen die „Negativauskunft“: „Person unbekannt“ bereits ein personenbezogenes Datum darstellt. Hierzu folgendes, wobei ausdrücklich darauf hingewiesen sei, dass es sich um eine unverbindliche Einschätzung auf Arbeitsebene handelt:

Ausgangspunkt ist die Legaldefinition des personenbezogen Datums als „Einzelangabe über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (vgl. § 3 Abs. 1 BDSG). Der Begriff ist demnach grundsätzlich sehr weit gezogen und erfasst alle Informationen, die über eine Bezugsperson etwas aussagen. Unabdingbar ist aber selbstverständlich ein wie auch immer gearteter Informationsgehalt. Gerade bei Aussagen mit „negativem Vorzeichen“ ergibt sich der Informationsgehalt häufig aus dem Kontext der Aussage. Praktisches Beispiel: Betrachtet man die Aussage „Person unbekannt“ ohne Rücksicht auf den Äußernden, Antwortkontext etc., also völlig losgelöst, so dürfte ein Informationswert nicht bestehen; stammt diese Aussage jedoch beispielsweise von der Polizei in Bezug auf ein polizeiliches Fahndungssystem, so dürfte ein personenbezogenes Datum vorliegen. Eine abstrakte Antwort auf Ihre Frage ist daher – auch wenn dies für Sie sicherlich unbefriedigend ist – nicht möglich.

Praktisch scheint es für die Fälle, die Sie im Auge haben dürften (wohl insbesondere Auskunftei-Eigenauskünfte) kaum vorstellbar, dass eine Mail-Auskunft, möglicherweise sogar an eine nicht-personalisierte Postfach-Adresse, lediglich lautet: „Person unbekannt“. Um einerseits für den Adressaten sicherzustellen, dass tatsächlich auch er gemeint ist, also seitens der beauskunftenden verantwortlichen Stelle keine Namens- bzw. Identitätsverwechslung vorliegt, andererseits aus Sicht der Auskunfteien einem „Reinwasch-Versuch“ (um die Begrifflichkeiten dieser Geschäftsbranche aufzugreifen) vorzubeugen, müssten wohl regelmäßig die Bezugsangaben zur Identifizierung der anfragenden Person mitgeliefert werden. Die besonderen Probleme der Authentizität und Integrität einer solchen Nachricht seien in diesem Zusammenhang ebenfalls nochmals unterstrichen.

Wie andere Aufsichtsbehörden, in deren Zuständigkeitsbereich die jeweilige auskunftgebende Stelle ansässig ist, die Frage einschätzen, entzieht sich im Übrigen unserer Kenntnis.

Vielen Dank an den Mitarbeiter der Landesdatenschutzbeauftragten Bremen für die umfangreichen Erläuterungen. Im Ergebnis steht für uns fest, dass elektronische Negativauskünfte nicht ohne weiteres umsetzbar sind.

Print Friendly

flattr this!

  1. Gugu
    1. März 2012, 12:35 | #1

    Nach 2 Monaten hab ich von 3/4 der Unternehmen noch keine Antwort erhalten. Dafür erhielt ich von den 1/4 eine Antwort und auch Besuch von einem GEZ Schnüffler.

    Und kann ich nun die 3/4 Firmen nun rechtsanwaltlich teuer abmahnen?

    Was ist mit Widersprüchlichen Infos das Firma A schreibt, die haben meine Daten an Firma B verkauft und Firma B behauptet mich überhaupt nicht zu kennen. Ist doch alles Beschiss.

  2. Siggi
    23. März 2012, 04:49 | #2

    @Gugu
    Auch ich habe nach ca. 2 Monaten von etwa 3/4 der angeschriebenen Unternehmen noch keine Antwort erhalten – setzen die sich über die Gesetze hinweg und wie kann man sich dagegen wehren?

  3. bripot
    23. März 2012, 13:23 | #3

    Meine Anfrage über Selbstauskunft.net liegt ca. einen Monat zurück. Ich habe vier Antworten erhalten, davon drei Negativauskünfte und ein Schreiben von der Schufa, in dem die Zusendung einer Personalausweiskopie und einer aktuellen Meldebescheinigung verlangt wird, weil angeblich meine Adresse von der dort gespeicherten Daten abweicht. Ich wohne seit über 20 Jahren an der selben Adresse und überlege noch, ob ich mir die Mühe machen soll, die geforderten Dokumente zu beschaffen und einzureichen.

  4. Julian
    23. März 2012, 13:39 | #4

    Hierfür gibt es seit kurzem die Erfahrungsberichte. Unternehmen, die durch die nicht-Bearbeitung der Anfragen auffallen, können dann “besonders” behandelt werden.

Kommentare sind geschlossen
Powered by: Digineo - Web-Entwicklung in Ruby On Rails und PHP