Meinung

Tinos Kolumne

Heute lese ich mal wieder Heise-Ticker, wie immer, und stolpere über folgenden Artikel:

Altersverifikation soll ein gutes Geschäft werden

Dort werden zwei neue Verfahren zur Altersverifikation vorgestellt. Das der Schufa ist IMHO höchst illegal.

Der folgende Text ist eine ratsch-und-runter Meinung, die ich ggf. in Zukunft noch überarbeiten werde. Deshalb hier in meinem CMS.

Schufa illegal?

Das Fazit vorneweg:

Ich frage mich immer kopfschüttelnd, wie so etwas passieren kann. Die Schufa hat doch Juristen, denen klar sein müsste, dass die Schufa über Leute nur Auskunft erteilen darf, wenn eine Erlaubnis vorliegt! Diese Erlaubnisprüfung muss logischerweise vor der Auskunftserteilung angesiedelt sein.. Wie aber bitte bringen die Webshops diese Erlaubnis herbei? Da beisst sich die Katze doch in den Schwanz und das Verfahren der Schufa ist schlicht für seinen Zweck unbrauchbar, denn hätte der WebShop die Erlaubnis, kann er auch gleich das Alter dabei erfragen.

Überlegen wir mal:

Ob ich volljährig bin oder nicht, das ist ein personenbezogenes Datum. Wenn das jeder per Geld abrufen kann, verkauft die Schufa meine personenbezogenen Daten an Dritte.

Darf die Schufa diese Informationen weitergeben?

Ich habe zwar der Schufa-Klausel zugestimmt, aber da ist so viel Kleingedrucktes dabei, dass ich davon ausgehen darf, dass jeder Richter zu der Auffassung kommen sollte, dass man mit der Schufa-Klausel den Banken nur die Erlaubnis erteilt, die Kreditwürdigkeit zu überprüfen. Ebenso "erben" die Schufa-Einträge dann diesen impliziten Nutzungsgedanken. Egal was in der Schufa-Klausel steht, schließlich ist das wirklich nicht mehr für einen juristischen Normal-Laien verständlich.

Bei Schufa-"Kunden" aber ist die Sache nicht ganz klar.

Bei nicht-Schufa-"Kunden" liegt die Sache klar

Aber die Schufa gibt noch weitere personenbezogene Daten weiter, und zwar von Leuten, die niemals etwas mit der Schufa zu tun hatten. Es ist personenbezogen, ob ich etwas mit der Schufa zu tun habe oder nicht!

Wenn ich keinen Schufa-Eintrag habe darf die Schufa diese Auskunft ohne Genehmigung ganz sicher nicht erteilen, schließlich besteht kein Vertrag zwischen dem Besitzer des Schufa-Eintrags (oder Nichteintrags) und der Schufa, dass diese personenbezogene Daten weitergeben darf. Das hört sich ziemlich "wirr" an, aber es ist bekannt, dass "Ich habe keinen Eintrag" etwas anderes ist wie "Ich darf nicht darüber sprechen" ein Unterschied ist zu "Nein" (Beispiel: Ein Mann geht fremd und die Frau fragt den besten Freund. Dieser antwortet "Über so etwas spreche ich nicht". Das war damit die Bestätigung). Eine Firma darf das nur aufgrund eines Vertrages tun, sprich die Firma, die die Information anfragt, muss nachweisen, dass derjenige, auf den sich die Daten beziehen, damit einverstanden ist, dass diese Daten weitergegeben werden. Ein einfacher Bestellvorgang im Internet ist keine solche Legitimierung, die Schufa rückt die Daten also illegal heraus!

Auch kann die Schufa nicht schweigen und im Vertragsfalle antworten. Man kann mit "Nein" bzw. "Schweigen" durchaus das Schweigen als Information interpretieren, womit Informationen weitergegeben werden die hier ganz klar personenbezogen sind (personenbezogener geht es eigentlich nicht, eMail ist weniger personenbezogen, die Wohnadresse ist weniger personenbezogen, denn ich kann die eMail ändern oder Umziehen. Nicht ändern kann ich die Tatsache dass ich volljährig bin)!

Im Datenschutzrecht geht es übrigens nicht um "Belange" eines Geschäftsverfahrens sondern um Erlaubnis und Notwendigkeit. Das Verfahren das die Schufa macht, ist illegal und darf deshalb nicht stattfinden, nur weil es sonst nicht stattfinden kann! Das Verfahren das Fun Communications macht ist hingegen legal, denn hier ist die Antwort lediglich "die Geldkarte gehört jemandem, der volljährig ist", und diese Tatsache wird von dem, der Einkauft (dem Verbraucher) übermittelt (ein ganz anderer Vorgang!).

Deshalb ist "kein Eintrag" eindeutig Information. Information, die unter das Datenschutzrecht fällt. Die nicht weitergegeben werden darf, wenn keine Vertragsgrundlage dazu existiert!

Sollte es korrekt sein, dass das Datenschutzrecht das erlaubt, implementiere ich jedes Verfahren so, dass es über diesen Trick jegliches Datenschutzrecht generell zu Fall bringt. Es macht also nicht nur Sinn, hier Haare zu spalten, sondern man muss es sogar tun, sonst ist das Datenschutzrecht Makulatur.

Nichtantwort überträgt ggf. personenbezogene Daten

Habe ich mit der Schufa nichts zu tun, darf die Schufa diese Informationen also nicht weitergeben, eben weil ich nichts mit ihr zu tun habe. Aber das Verfahren darf auch keinen Rückschluss darauf zulassen, ob ich mit der Schufa etwas zu tun habe. Das geht nicht, denn sobald ein "Ja" kommt, weiss man es, und sobald nichts kommt kann man das "Ja" ausschließen. Es gibt zwar noch 2 Möglichkeiten, nämlich "minderjährig" oder "unbekannt", aber ich konnte von 3 Möglichkeiten eine ausmerzen, also weiss ich jetzt etwas über die Person! Das darf nicht sein, also kann die Schufa niemals antworten, auch nicht im "Ja"-Fall. Das muss nach geltendem Datenschutzrecht schlicht so geregelt sein, weil sonst existiert kein Datenschutzrecht weil es vollständig (ohne Ausnahme) umgangen werden kann (das muss man nicht suchen, dass kann man vollautomatisch konstruieren, die Methodik steht bei Gödel).

Bei der Bankauskunft ist es kein Problem. Dort holt die Bank ja die Erlaubnis ein die Schufa zu fragen und diese kann ich vorher verweigern, dann darf die Bank diese Anfrage erst recht nicht stellen und die Schufa antwortet also auch nicht. Antwortet die Schufa, liegt der Bank die Genehmigung vor, somit ist das ebenfalls korrekt. (Hier wird exakt ein Fall implementiert. Damit hat man gegenüber dem Fall der Altersverifikation ein beschränktes System mit exakt einer Regel, und diese Regel gilt, womit Gödel nicht dagegen andwendbar ist.)

Ergo:

Das Altersverifikationsverfahren der Schufa wie im Artikel geschildert ist nicht mit geltendem Datenschutzrecht vereinbar. Wäre sie es, nimmt das Datenschutzrecht unabsehbar Schaden, der Schufa wäre generell erlaubt, das Datenschutzrecht zu ignorieren, indem sie alles durch dieses eine Nadelöhr tunnelt (Ist er kreditwürdig? Gibt es Probleme? etc. Immer mit mit der Frage nach dem Alterscheck verbunden auf der Grundlage, dass die Bank ja weiss, wie alt ich bin, sie kann also die richtigen Fragen stellen die die Schufa entweder nicht beantwortet oder beantwortet und damit die gewünschte Information erteilt.)

Deshalb bin ich der Meinung die Schufa handelt illegal wenn sie es anbietet, unabhängig davon, ob es die windigen (="für Laien undurchschaubaren") Schufa-Klausen nun abdecken oder nicht, denn die Schufa braucht auch die Erlaubnis zu antworten von allen, die die Schufa nicht kennt. Und das ist ein Widerspruch zu der Annahme, es gibt Leute, die der Schufa dieses Recht nicht einräumen.

In zwei Varianten übrigens: Die einen verbieten es, die andere tun schlicht nichts und erlauben es somit nicht. Auch das, wie sich derjenige der Schufa gegenüber verhält sind personenbezogene Daten, die nicht weitergegeben werden dürfen, da dies entweder verboten, oder nicht erlaubt wurde. Und ich darf von der Schufa auch nicht erfahren können, ob jemand zu dieser Kategorie gehört, ausser ich bin autorisiert das zu erfahren. Und ein Einkauf autoisiert das nicht, dafür ist laut Datenschutz eine gültige Unterschrift notwendig und diese ist in der Regel schriftlich einzuholen. Z. B. per Postident. So hat man also gar nichts gewonnen, es wird nur komplizierter, denn wenn man die Unterschrift hat, braucht man das Schufa-Verfahren nicht.

Das Schufa-Verfahren ist also lediglich eine martschreierische Hype, nicht einmal Wert, dass man sich damit befasst.

Zukunft

Ach ja, sollte das Verfahren jenseits eines Tests jemals umfänglich in Serie gehen, bin ich als "Kunde" der Schufa betroffen sobald ich darauf aufmerksam werde. Ich werde dann die Datenschützer einschalten und der Schufa direkt die Erlaubnis entziehe, diese Art der Daten weiterzugeben. Sobald ein Shop auch nur irgendwelche Antworten liefert die von meiner Person abhängt, haben wir den klaren Verstoss gegen geltendes Datenschutzrecht, dann die Schufa hatte nicht das Recht, derartige Informationen ohne Genehmigung herauszugeben die ein anderes Verhalten gestatten.

Ich habe der Schufa dann das Recht entzogen, ohne ausdrückliche Genehmigung von mir die personenbezogenen Information, dass mein Eintrag von denen anderer abweicht, an Dritte weiterzugeben. Das ist mein gutes Recht, denn das schränkt die Schufa nicht ein, schließlich erlaube ich den Banken ja immer explizit, die Schufa zu fragen.

Aufgrund dieses Verstoßes werde ich dann ggf. eine Musterklage gegen die Schufa führen, wenn ich bei den Datenschützern kein Gehör finde. Und ich kann dabei nicht verlieren.

Mein Versprechen

Denn selbst wenn ich den Prozess verliere, habe ich aufgrund des Urteils die Lizenz zum Gelddrucken, denn ich implementiere dann genau das, was die Schufa tut, auf meine Weise neu, genau auf der Basis des erteilten Urteils, und werde damit den gesamten Datenschutz zu Fall bringen. Das Verfahren lasse ich mir dann in Amerika patentieren. Was glaubt ihr, werden mir amerikanische Shops bezahlen, wenn sie aufgrund meines Verfahrens dann nicht mehr gegen europäisches Datenschutzrecht verstossen, ohne auch nur eine Änderung in ihren Daten oder Gepflogenheiten vornehmen zu müssen? Lediglich das Handshaking wird auf das gerichtlich abgesegnete Schufa-Verfahren umgestellt, denn es ist ja festgelegt, dass darüber keine personenbezogenen Daten laufen.

Sofern die beiden Fälle oben nicht greifen, dieser greift sicher. Denn ich verbiete der Schufa, ohne explizite fallweise Genehmigung von mir, Informationen in diesem Fall weiterzugeben, auch nicht, dass bei mir eine explizite fallweise Genehmigung nötig ist!

Das Recht dazu habe ich. Ich greife damit nicht ungerechtfertigt in den Geschäftsprozess der Schufa ein. Es sind meine Daten, über die kann ich vollständig bestimmen! Ich muss das auch nicht über die Banken tunneln, denn die Banken haben mit dem Geschäftsgebaren der Schufa an dieser Stelle nichts zu tun.

Somit zwinge ich die Schufa zu dem, das mein gutes Recht ist: Die fallweise Genehmigung bei jedem einzuführen, damit meine personenbezogenen Daten gemäß geltenden Datenschutzrechts verarbeitet werden können. Diese Genehmigung haben die Webshops dann ggf. in rechtskonformer Weise (Unterschrift auf Papier) vorzulegen. Dann ist das Verfahren der Schufa legal und korrekt implementiert (momentan hat es da den Fehler und ist somit IMHO illegal).

Wenn die Shops diese Genehmigung aber einholen, ist das Verfahren der Schufa nutzlos, denn dann kann man genauso leicht sich eine Kopie des Ausweises faxen lassen, an den man dann eigenhändig ausliefert. Damit muss der Postbote den Ausweis prüfen, und fertig ist die Sache.

Ach ja, es ginge noch leichter:

DHL weiss dass ich volljährig bin

DHL sollte einfach eine Versandoption "Volljährigkeitsprüfung" herhausbringen. Diese wird ggf. eigenhändig vom Postboten mit Ausweis überprüft.

Und die Anonymität? Die ist per Packstation gewahrt! Der Kunde kann sich dann das Paket zur Packstation schicken lassen. Trifft es ein, gibt die Station dieses nur heraus, wenn der Kunde als volljährig eingestuft werden kann, was er z. B. im Postamt um die Ecke schnell erledigen kann.

Dabei unterschreibt der Kunde, dass er seine Paketkarte ab sofort nur noch persönlich verwendet (ggf. bekommt er eine Karte in roter blauer Farbe, die sog. Identity-Card?). Das ist IMHO vollkommen ausreichend, und sollte sicherstellen, dass jugendliche nicht an Dinge herankommen, die die Eltern nicht billigen. Das entspricht auch der Autonomie der Eltern, denn ich bin sicher, Eltern dürfen sich über das Jugendschutzrecht hinwegsetzen, wenn sie der Meinung sind, dass ein bestimmter Film für die Aufklärung ihrer Kinder notwendig ist, und das Kind aber erst 16 ist und die Post aus der Packstation holen darf. Das ist aber eine Entscheidung von Eltern, nicht von Kommissionen.

Wie sieht es der Shop?

Er versendet und die Sendung geht zurück wenn ein jugendlicher bestellt hat. Es kann aber auch eine schlichte Annahmeverweigerung (Rückgabe nach geltendem Fernabgabengesetz) aus anderem Grund sein. Das kann der Shop nicht wissen.

Wird der Artikel aber angenommen (solche Sendungen sind dann immer getrackt), weiss der Shop, dass jemand volljährig ist und kann ggf. den Account freischalten, damit er die ganzen Vorschaubildchen sieht.

Kein Datenschutzverstoß, sondern eine einfache Versandoption. Leute, die das nicht wünschen, können gegen die Annahme solcher Sendungen bei der Post eine generelle Verweigerung eintragen lassen. Auch das weiss der Shop nicht. Er sieht nur einen Rückläufer und bucht das Geld zurück.

Ich garantiere fast, solch ein Verfahren würde gerne von Shops genutzt wenn die Versandkosten nur moderat über denen des Päckchen liegen, sagen wir mal bei 8 EUR, also 2 EUR mehr als ein Päckchen. Und das Verfahren könnte auch leicht mit Nachnahme gekoppelt werden.

Naja, für eine RealDoll reicht es nicht, aber für alle normalen "erotischen" Sendungen allemal.

-Tino, 2005-09-30