GEZ und Creditreform – Antwort des Datenschutzbeauftragten

security-2168233_1920Der Beitragsservice bedient sich gerne der Creditreform als Inkassounternehmen. Die Creditreform versendet dann einen Brief an den vermeintlichen Beitragsschuldner und fordert ihn (mit der ganzen Autorität eines Inkassobüros) zur Zahlung auf. Dabei gibt es, ganz modern, auch gleich die Möglichkeit, sich auf einer Internetplattform einzuloggen und sich um seine Schuldenlast zu kümmern.

Hierzu habe ich folgende Beschwerde an die Datenschutzbeauftragten der Länder verfasst:

Datenschutzrechtliche Mitteilung

Sehr geehrte Damen und Herren,

mir wurde im Rahmen eines Mandats folgender Sachverhalt zur Kenntnis gegeben:

Die Creditreform Mainz Albert & Naujoks KG, Bonifaziusplatz 1a, 55118 Mainz ist bundesweit (also auch in Ihrem Zuständigkeitsbereich) für die Landesrundfunkanstalten des öffentlich-rechtlichen Rundfunks, jeweils handelnd durch den Beitragsservice, tätig. Die Aufgabe der KG ist es, bei angeblich ausstehenden Rundfunkbeiträgen das Inkasso für den jeweiligen Gläubiger durchzuführen.

Auf den massenhaft versandten Anschreiben an die vermeintlichen Schuldner findet sich rechts unten regelmäßig folgender Hinweis:
www.schuldenreform.de
Ihr Online-Zugang:
Login 123456789 (neunstellige Zahlenfolge)
Passwort AbC456XyZ0 (zehnstellige Kombination aus Zahlen und Buchstaben)

Der Online-Zugang wird dabei individuell vergeben.

Nach dem Einloggen mit diesen Daten sind auch Details zum Schuldverhältnis einsehbar, insbesondere:

  • Name des Schuldners
  • Adresse des Schuldners
  • Person des Gläubigers
  • Beitragsnummer des Schuldners beim Gläubiger
  • Forderungshöhe
  • geleistete Zahlungen
  • Datum und Zeitraum der erlassenen Festsetzungsbescheide

Zudem lassen sich verschiedene Handlungen mit unmittelbarer Auswirkung auf das Schuldverhältnis tätigen, unter anderem:

  • Mitteilung von Kontodaten
  • Bereiterklärung zur Gesamtzahlung
  • Angabe eines Zahlungstermins
  • Vorschlag von Ratenzahlungen
  • Abgabe rechtsgeschäftlicher Erklärungen als „Mitteilung“
  • Änderung sämtlicher Personendaten
  • Angabe von Telephonnummer, E-Mail-Adresse etc.

Dadurch können auch Handlungen für und gegen den Schuldner vorgenommen werden, die im Ergebnis zu einer Hemmung, zu einer Ablaufhemmung oder einem Neubeginn der Verjährung führen könnten. Dass er selbst diese tatsächlich nicht vorgenommen hat, müsste er in einem Prozess glaubhaft machen können.

Diese Praxis halte ich für datenschutzrechtlich bedenklich.

Angesichts der dort zur Verfügung gestellten Login-Möglichkeit hat das Unternehmen vermutlich eine große Zahl an Daten über Personen und Schuldverhältnisse ins Internet gestellt. Eine Zustimmung dazu ist durch die Betroffenen zu keiner Zeit erfolgt. Vielmehr haben diese erst durch das Schreiben davon erfahren – sofern sie diesen Hinweis überhaupt gelesen haben.

Der Zugang wird nur durch eine einfache Kombination von Zugangskennung und Passwort geschützt. Bereits durch das Abfangen eines einzelnen Briefs lässt sich ein Login herstellen. Dies entspricht in keiner Weise heute üblichen Standards wie bspw. einer getrennten Zusendung der einzelnen Bestandteile der Zugangsdaten oder eine Zwei-Faktor-Authentifizierung.

Nicht selten werden diese Briefe, gerade in Bezug auf die Rundfunkbeiträge, ins Internet gestellt, um Hilfe von anderen Personen zu erhalten oder sich über die Rechtslage auszutauschen. Dabei wird nicht selten übersehen, diese Zugangsdaten zu verdecken oder zu retouchieren.

Zudem geht es hierbei auch um Daten hinsichtlich öffentlicher Abgaben. Diese sind aufgrund des Verhältnisses zwischen Staat und Bürger grundsätzlich besonders geschützt, vgl. bspw. das Steuergeheimnis gemäß § 30 der Abgabenordnung, auf das auch die jeweiligen Landesabgabengesetze entsprechend verweisen.

Schließlich stellt eine solche allgemein bekannte Ansammlung personenbezogener Daten auf einem über das Internet erreichbaren Server auch ein naheliegenderweise lohnendes Ziel für Hacker dar.

Ich bitte Sie daher, diesen Sachverhalt nachzuvollziehen und dann datenschutzrechtlich zu überprüfen, ob ein derartiger Umgang mit sehr sensiblen, personenbezogenen Daten wirklich vertretbar ist, und dies ggf. mit den Beteiligten, auch mit der jeweiligen Landesrundfunkanstalt, zu klären.

Mit freundlichen Grüßen

Thomas Hummel
Rechtsanwalt

Nach einiger Zeit trudelten die Antworten der verschiedenen Datenschutzbeauftragten ein. Und 15 davon waren sich schnell einig: Sie sind nicht zuständig, da verarbeitendes Unternehmen die Creditreform in Mainz (Rheinland-Pfalz) sei und deswegen der rheinland-pfälzische Datenschutzbeauftragte sich der Sache annehmen müsse.

Auch vom Datenschutzbeauftragten für Rheinland-Pfalz habe ich danach noch eine Antwort bekommen. Dieser wiederum sah die Sache etwas anders:

Die Creditreform Mainz wird im Rahmen des Gebühreneinzugs für die Landesrundfunkanstalten als Auftragsdatenverarbeiter tätig. Insoweit hat jede Landesrundfunkanstalt mit der Firma Creditreform Mainz einen eigenen Vertrag abgeschlossen. Dies bedeutet, dass jede Landesrundfunkanstalt als Auftraggeber für die Datenverarbeitung bei der Creditreform Mainz als verantwortliche Stelle anzusehen ist. Folglich muss eine datenschutzrechtliche Überprüfung des Gebühreninkassos direkt bei den Landesrundfunkanstalten als Auftraggeber stattfinden. Die Landesrundfunkanstalten unterliegen aber grundsätzlich nicht der Aufsicht der Datenschutzbeauftragten, sondern haben jeweils eigene Datenschutzbeauftragte, die die Datenverarbeitung in der Verantwortung der Landesrundfunkanstalt kontrollieren. Folglich ist meine Zuständigkeit als Datenschutzbeauftragter hier nicht gegeben.

Der rheinland-pfälzische Datenschutzbeauftragte stellt also, im Gegensatz zu seinen Kollegen nicht auf die Creditreform als verantwortliche Stelle ab, sondern auf die Landesrundfunkanstalt. Diese Rechtsansicht erscheint mir durchaus logisch, denn die Anstalt kann ihre Verantwortung nicht einfach an ein Privatunternehmen abgeben. Aus diesem Grund habe ich auch alle 16 Landesdatenschutzbeauftragten angeschrieben.

envelope-1803663_1920Dass dann aber die gesamte Datenverarbeitung der Landesrundfunkanstalt der öffentlichen Kontrolle entzogen ist und nur der interne Datenschutzbeauftragte der Anstalt selbst über die Datenverarbeitung wacht, ist eindeutig eine Schwachstelle – oder politisch gewollt, das ist Ansichtssache. Dass dies aber auch dann noch gelten soll, wenn dieser interne Bereich verlassen wird, wenn nämlich Daten an einen externen Dienstleister gehen, erschließt sich überhaupt nicht mehr.

Das bedeutet dann aber auch, dass eine datenschutzrechtliche Beschwerde hier völlig aussichtslos ist. Dass sich die Rundfunkanstalt selbst kritisiert, weil sie die Creditreform zu allzu leichtfertiger Datenverarbeitung animiert, kann man kaum erwarten.

Es handelt sich also wieder einmal um ein Sonderrecht des öffentlich-rechtlichen Rundfunks.