Omnibusunternehmen sind als Dienstleistungsbetriebe Reisebüro und Veranstalter zugleich. Es ist das erklärte Ziel, dem Kunden weitestmöglich zu helfen in allen Belangen, die zur Reisevorbereitung gehören. Dazu gehören auch Empfehlungen, beispielsweise über Banken, um im Inland kostengünstige Devisen zu kaufen. Hier jedoch setzt das Bundesdatenschutzgesetz (BDSG) eindeutige Grenzen, zum Beispiel im folgenden Fall:

Ein Kunde hatte Anfang 1977 eine Reise für die Osterferien nach Mallorca in einem Reisebüro gebucht. Die Reise wurde ihm ordnungsgemäß bestätigt. Einige Tage später erhielt er von der Bank, die ihre Filiale im gleich Haus wie das Reisebüro hat, ein Schreiben mit dem Hinweis: "Wir haben zur Kenntnis genommen, daß Sie im Reisebüro X eine Reise nach Mallorca gebucht haben. Wie bieten Ihnen unsere Dienstleistung an etc. "

Mit Sicherheit liegt hier keine böse Absicht vor. Ab dem 1. Januar 1978 jedoch ist diese Datenweitergabe des Reisebüros an die Bank, also Datenübermittlung an Dritte, ohne das Einverständnis des Betroffenen eine Datenschutzverletzung, da schutzwürdige Belange durch die Preisgabe von Reisedaten berührt werden. Diese Datenübermittlung gehört nicht zur Abwicklung des geschäftlichen Vorganges. In der Touristikbranche mit ihren weitgehend personenbezogenen Daten müssen sinnvolle organisatorische Maßnahmen getroffen werden, damit Daten aus der Privatsphäre des Kunden nur in zulässiger Weise verarbeitet, das heißt gespeichert, übermittelt, berichtigt und gelöscht werden. Daraus leitet sich als oberster Grundsatz ab, jeden Geschäftsvorfall in Kenntnis des BDSG vertraulich zu bearbeiten und besonders jede Datenweitergabe kritisch auf Zulässigkeit zu prüfen.

Was hat jedes Unternehmen zu beachten, welche Maßnahmen sind zu treffen?

1. Die Erfassung und Verarbeitung personenbezogener Daten ist immer dann zulässig, wenn diese Daten für die Abwicklung des Vertrages benötigt werden. Bei der Buchung einer Urlaubsreise werden Anschrift, Alter etc. erforderlich. Weitere Angaben, die schutzwürdige Belange des Kunden betreffen, wären beispielsweise die Reise selbst und die Namen der Mitreisenden.

2. Die Vertraulichkeit bei der Datenerfassung ist sicherzustellen. Dabei sollten Außenstehende keinen Einblick in die aufzunehmenden Reisedaten haben.

3. Die Weitergabe von Kundendaten an Dritte muß ernsthaft auf Zulässigkeit geprüft werden.

4. Alle Mitarbeiter eines Reisebüros sollen nach BDSG ° 5 auf das Datengeheimnis verpflichtet werden.

Durch diese Maßnahme wird das Bewußtsein der Vertraulichkeit noch stärker betont, zumal wenn in der Verpflichtung auf empfindliche Strafen bei Datenmißbrauch hingewiesen wird.

5. Reiseunterlagen und die im Büro gelehrten Karteien müssen gesichert werden. Es muß vermieden werden, daß Unbefugte, wie beispielsweise das Reinigungspersonal, Zugriff zu den Daten der Reisenden hat.

Bestellung des Datenschutzbeauftragten

Das BDSG sieht neben den staatlichen Aufsichtsbehörden die Selbstkontrolle in den Betrieben vor. Hierzu wurden Bestellkriterien und Pflichten durch den Gesetzgeber definiert. Wann muß nunmehr in einem Unternehmen ein DSB bestellt werden? Hierzu folgende Beispiele:

1. Fall: Ein Reisebüro ist keinem Rechenzentrum angeschlossen und hat

kein Buchungsterminal. Bestellpflicht des DSB, wenn mindestens 20 Mitarbeiter ständig personenbezogene Daten bearbeiten.

2. Fall: Ein Reisebüro läßt seine Daten in einem Servicerechenzentrum auswerten, also keine direkte Verbindung, und hat kein Buchungsterminal. Bestellpflicht des DSB, wenn mindestens 20 Mitarbeiter ständig personenbezogene Daten bearbeiten. 3. Fall: Ein Reisebüro hat eine direkte Verbindung zu einem Rechner mittels Buchungsterminal oder gar eine eigene EDV-Anlage. Bestellpflicht des DSB, wenn mindestens 5 Mitarbeiter mit maschineller Verarbeitung personenbezogener Daten beschäftigt sind.

Das BDSG gibt mit seinen Paragraphen die Verarbeitungsregeln für die personenbezogenen Daten an. Die Zulässigkeit der Datenverarbeitung ist immer aufgrund von Verträgen oder Einwilligung des Betroffenen gegeben. Dieser Zulässigkeitsbereich erweitert sich bedingt bei "berechtigtem, Interesse der speichernden Stelle" (BDSG ° 23). Da aber anzunehmen ist, daß die Interessen der Kunden und der speichernden Stelle nicht immer in der erforderlichen Weise kongruent sind, sollte die Einwilligung des Reisenden für die Einspeicherung seiner Daten in eine Kundendatei aufgrund eines entsprechenden Passus in den Reisebedingungen eingeholt werden. Damit wird in der Touristikbranche eine Basis für eine zweifelsfreie zulässige Verarbeitung der Kundendaten geschaffen.

Auskunftserteilung

Der Kunde hat nach dem BDSG das Recht, Auskunft von der speichernden Stelle darüber zu erhalten, welche seiner Daten bei dieser gespeichert werden. Zunächst stellt sich hier das grundlegende Problem der Identifikation des Anfragers. Die speichernde Stelle muß sich darüber bei dem Auskunftssuchenden vergewissern, daß sie ihm nur dessen Daten mitteilt und nicht gesetzwidrig Angaben von Dritten weitergibt. Als Beispiel sei genannt, daß die Weitergabe von Angaben an den Ehepartner unzulässig sein kann, da es sich hier um Datenübermittlung an Dritte handelt. Auskünfte über die gebuchte Reise des Ehepartners können zum Beispiel gegen den betroffenen in Scheidungsprozessen verwendet werden.

Die Zielsetzung, die organisatorische Struktur und die Verarbeitung der Kundendaten als personenbezogene Aussage ist in der Branche gleich. Unter diesen Voraussetzungen bietet sich geradezu eine zentrale Stelle für den Datenschutz an. Diese Zentrale kann als Dienstleistung alle Pflichten des Gesetzes wahrnehmen und den angeschlossenen Betrieben, soweit es der Gesetzgeber verordnet hat, auch den "externen" Datenschutzbeauftragten stellen, der das Unternehmen um die Aufgaben des Datenschutzes entlastet. Der DSB nimmt die sich aus dem Gesetz ergebenden Tätigkeiten wahr, wie diese in den °° des 1. und

des 3. Abschnittes des BDSG definiert sind. Ebenso können hier die kommenden Kommunikationsmedien bewertet und eingeordnet Werden, wie das Start-System, der Bildschirmtext, Telekopiersystem etc.

Die Touristikbranche ist eine Dienstleistungsbranche mit sehr großer öffentlicher Wirkung. Entgegen herkömmlicher Meinung sind praktisch alle erfaßten Daten vom BDSG geschätzt, zum Beispiel Merkmale wie

- der Kunde hat eine Reise gebucht - der Kunde hat im Reisebüro X gebucht

- der Kunde hat zu dem Urlaubsziel X in der Zeit Y gebucht

- der Kunde hat zum Preis X gebucht

- der Kunde hat mit der Person X gebucht

Durch diese Ergänzung der einfachen Kundenadressen gewinnt die Reisebuchung an Brisanz. Die Sensitivität dieser Daten gebietet es, daß die bisher streng geübte Vertraulichkeit eingehalten wird. Es muß sorgsam vermieden werden, daß sich in der Touristikbranche kein "Datenfall" ereignet.

Das BDSG trifft mit den Paragraphen seines 1. Abschnittes für alle Unternehmen zu. Aus diesen Gründen muß der Branche das BDSG immer stärker bewußt werden. Es muß vermieden werden, daß Barbara Frundsen mit ihrem Ausspruch Recht behält: Gesetzestexte lesen sich manchmal so, als sollte der wahre Inhalt verborgen bleiben."

* Horst Laduga ist Datenschutzbeauftragter

_AU:Horst Laduga