die Möglichkeit einzuräumen, einer Aufzeichnung zu widersprechen, und für den Fall, dass kein Widerspruch
erfolgt, dies als Einwilligung zu interpretieren.
Bereits in meinem letzten Tätigkeitsbericht (Nr. 6.10) habe ich auf diese Problematik aufmerksam gemacht. In
diesem Berichtszeitraum habe ich stichprobenartig die Verfahrensweise zur Einholung der Einwilligung bei verschiedenen Telekommunikationsdiensteanbieter und Postdienstleister kontrolliert, um mir einen Überblick über
die Verfahrensweisen zu verschaffen. Das Ergebnis war durchwachsen, denn neben datenschutzrechtlich vorbildlichen Lösungen bin ich auf bedenkliche Varianten gestoßen. Ich habe die betreffenden Betreiber aufgefordert, die Verfahren umgehend datenschutzkonform auszugestalten.
Seit Jahren strebe ich eine einheitliche Vorgehensweise bei den Gesprächsaufzeichnungen an. Obwohl schon
Verbesserungen erkennbar sind, erfüllen noch immer nicht alle Dienstleister die datenschutzrechtlichen Anforderungen. Ein Grund mag sein, dass eine bereichsspezifische Regelung in den für die Telekommunikations diensteanbietern und Postdienstleistern geltenden Spezialgesetzen fehlt und oft übersehen wird, dass hier § 4a
BDSG zur Anwendung kommt. Sollte es auch im nächsten Berichtszeitraum nicht gelingen, flächendeckend
einen rechtskonformen Zustand herzustellen, empfehle ich eine eindeutige gesetzliche Regelung der datenschutzrechtlichen Anforderungen bei Gesprächsaufzeichnungen mit Kunden.
8.8.8 Übersendung von personenbezogenen Daten per unverschlüsselter E-Mail
Der Versand von sensiblen Informationen per unverschlüsselter E-Mail ist nicht zulässig. Leider musste ich im
Zuge der SEPA-Umstellung viele Verstöße gegen diese Vorgabe feststellen.
Infolge der Umstellung der nationalen Kontonummern und Bankleitzahlen durch das so genannte SEPA-Verfahren (Single Euro Payments Area, Einheitlicher Euro-Zahlungsverkehrsraum) haben sich viele Bürger an
mich gewandt, weil sie von ihrem Telekommunikationsanbieter per unverschlüsselter E-Mail ihre vollständige
Bankverbindung erhalten haben. Darin lag ein Verstoß gegen die Anlage zu § 9 Satz 1 BDSG, nach der die Unternehmen zu gewährleisten haben, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen oder kopiert werden können. Die Bankverbindung hätte daher entweder nicht per unverschlüsselter E-Mail oder zumindest in verkürzter Form übermittelt werden müssen. Ich habe die betroffenen Unternehmen auf diesen Verstoß hingewiesen, woraufhin - soweit dies technisch noch möglich war - die Prozesse sofort
gestoppt bzw. umgestellt wurden. Wenngleich in diesem Fall keine Wiederholungsgefahr bestand, müssen die
Unternehmen zukünftig in ähnlich gelagerten Situationen ihre Prozesse im Vorfeld sorgfältiger prüfen.
Noch in einem weiteren Fall bin ich auf den Versand personenbezogener Kundendaten durch unverschlüsselte
E-Mail gestoßen. Ein großer Telekommunikationsanbieter hatte seinen Kunden nach Vertragsschluss in einem
„Willkommensbrief“ Name, Anschrift, Kundenkennwort und Bankverbindung in einer unverschlüsselten
E-Mail bestätigt. Auch dies war unzulässig und auch nicht durch wirtschaftliche Überlegungen des Unterneh mens (Portoeinsparung) zu rechtfertigen. Ich habe mir die Prozesse zum Willkommensbrief von dem Anbieter
darstellen lassen und die datenschutzrechtlichen Aspekte verdeutlicht. Bereits während des Gesprächs wurde
mir zugesagt, den Willkommensbrief künftig per Post zu versenden. Ein Versand per unverschlüsselter E -Mail
erfolgt nur noch, wenn der Kunde vorab über die Risiken umfassend informiert wird und diesem Verfahren ausdrücklich zustimmt.
8.8.9 Binding Corporate Rules - eine sinnvolle Alternative
Konzerndatenschutzrichtlinien ermöglichen die Übermittlung personenbezogener Daten aus der Europäischen
Union in Drittstaaten. Erarbeitung und Umsetzung nehmen viel Zeit in Anspruch - die sich aber lohnt.
BfDI 25. Tätigkeitsbericht 2013-2014
– 157 –