Freitag, 9. Mai 2008, von

Änderung des BDSG: Neue Rechtsgrundlagen für „Scoring“

Geht es nach dem Bundesinnenminister, dann steht noch in dieser Legislaturperiode eine Novelle des Bundesdatenschutzgesetzes (BDSG) an. Ein noch nicht öffentlicher Entwurf zu dieser Gesetzesänderung liegt uns vor. Dieser sieht spezifische Regelungen zum sog. „Scoring“ vor. Bei diesem Verfahren wird die Wahrscheinlichkeit, mit der eine konkrete Person ein bestimmtes Verhalten zeigen wird, anhand von Erfahrungswerten berechnet. Das machen sich vor allem Kreditinstitute zunutze, indem sie versuchen, das Zahlungsverhalten von Verbrauchern und damit deren Kreditwürdigkeit zu bestimmen.
Gerade dieses Kredit-Scoring ist bei Verbraucher- und Datenschützern in die Kritik geraten: Die weitestgehend automatisierte Methode und ihre Auslagerung auf besondere Auskunfteien verletze das Recht auf informationelle Selbstbestimmung. Auch Diskriminierungen aufgrund persönlicher Merkmale werden befürchtet. Hinzu komme, dass das gesamte Verfahren sowie Art und Umfang der relevanten Daten nicht transparent seien. Der Gesetzentwurf sieht deshalb eine Stärkung der Rechte von Betroffenen vor. Daneben sollen die neuen Regelungen für mehr Rechtssicherheit bei den Unternehmen sorgen; der Entwurf erkennt nämlich prinzipiell die Bedeutung von Scoring für die Wirtschaft an. Dort heißt es:

Aufgrund der immer anonymer werdenden Geschäftswelt erlangt die Tätigkeit von Auskunfteien für den Schutz potentieller Kreditgeber vor der Vergabe von Krediten an zahlungsunfähige oder –unwillige Schuldner immer größere Bedeutung.

Ist Scoring überhaupt erlaubt?

Bisher ist in der Praxis sehr umstritten, ob und inwiefern Scoring überhaupt zulässig ist. Im Datenschutzrecht gilt für den Umgang mit personenbezogenen Daten ein Verbot mit Erlaubnisvorbehalt (§ 4 Abs. 1 BDSG). Das bedeutet, dass jeder, der solche Daten nutzen möchte, die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnisnorm benötigt. Für den Fall des Kredit-Scoring heißt das, dass die Bank Kundendaten nicht ohne weiteres an ein Scoring-Unternehmen wie z.B. die SCHUFA übermitteln darf. Über die Rechtsgrundlage für solche Datentransfers ist man sich bisher nicht einig. In Betracht kommt eine Einwilligung des Betroffenen (§ 4 a BDSG). Im Gesetzentwurf zur Änderung des BDSG heißt es dazu:

[Es] erscheint problematisch, dass in der Praxis eine natürliche Person einen Bankkredit regelmäßig nicht mehr ohne eine von der Bank angeforderte Bonitätsauskunft einer Auskunftei erhält, wobei in vielen Fällen der Betroffene gleichzeitig eine Einwilligungserklärung für bestimmte Datenübermittlungen an diese Auskunftei abzugeben hat. (…) Eine solche datenschutzrechtliche Einwilligung ist allerdings nur wirksam, wenn sie „freiwillig“ vom Betroffenen abgegeben wird. Mangels zumutbaren Alternativverhaltens kann es zweifelhaft sein, ob eine solche Einwilligung noch als freiwillig anzusehen ist.

Damit verbleiben nur gesetzliche Erlaubnistatbestände. Dabei kommen v.a. § 28 Abs. 1 Nr.1 BDSG (im Rahmen eines Vertragsverhältnisses) und § 28 Abs. 1 Nr. 2 BDSG (zur Wahrung berechtigter Interessen) in Frage. Beide Normen sind jedoch sehr unklar gefasst. In der Praxis besteht deshalb Uneinigkeit darüber, inwiefern sie auf diesen Fall anwendbar sind. Deshalb schlägt der Gesetzentwurf neue Regelungen vor:

Rechtsgrundlage für die Übermittlung

Im Mittelpunkt des Vorschlages steht der neue § 28 a BDSG-E. Dieser sieht eine ausdrückliche Rechtsgrundlage für den Transfer von Daten zu Kreditverträgen an Auskunfteien vor. Von dieser Erlaubnis sind jedoch bestimmte Angaben ausgenommen, die keinen Einfluss auf die Bonität haben. Unzulässig ist u.a. die Übermittlung von Informationen über Anfragen des Betroffenen zu Kreditkonditionen oder darüber, ob er beispielsweise eine Selbstauskunft über seine gespeicherten Daten eingeholt hat. Daten zu Forderungen gegen den Betroffenen dürfen nur unter besonderen Voraussetzungen übermittelt werden: Durch eine vorherige Unterrichtungspflicht wird der Verbraucher in die Lage versetzt, einer solchen Übermittlung zu widersprechen und so u.U. eine negative Auswirkung auf seinen Score-Wert zu verhindern.

Rechtsgrundlage für das Score-Verfahren

Der neue § 28 b BDSG-E stellt Regeln für die Durchführung eines Scoring-Verfahrens auf: Hier werden Art und Umfang der zulässigen Daten, die zur Grundlage der Berechnung dienen, definiert. Insbesondere müssen die verwendeten Informationen für den Wahrscheinlichkeitswert „nachweislich erheblich“ sein. Grundsätzlich dürfen auch die sehr umstrittenen Wohnortdaten in die Bewertung einfließen. Allerdings besteht dann eine ausdrückliche Unterrichtungspflicht gegenüber dem Betroffenen.

Rechtsgrundlage für Auskunfteien

Die Auskunfteien, die von Kreditinstituten Daten erhalten und ihnen Auskunft erteilen, benötigen für ihre Arbeit mit personenbezogenen Daten ebenso eine Rechtsgrundlage. Und auch die hier in Frage kommende Erlaubnis nach § 29 BDSG (Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung) ist umstritten. Deshalb sieht der Gesetzentwurf eine sichere Grundlage vor, indem er Auskunfteien erlaubt, solche Daten zu nutzen, die nach den Regeln des neuen § 28 a BDSG-E übermittelt worden sind. Wenn auch automatisierte Abrufverfahren angeboten werden, müssen die Stellen nach dem Entwurf zumindest durch Stichproben kontrollieren, ob der Abrufende ein „berechtigtes Interesse“ hat.

Stärkung der Rechte von Betroffenen

Der Entwurf stärkt die Rechte der Betroffenen durch neue Auskunfts- und Informationsansprüche. So soll die Informationspflicht in § 6 a Abs. 2 Nr. 2 BDSG (Zulässigkeit von „automatisierten Einzelentscheidungen“) um eine Pflicht zur Begründung der Entscheidung erweitert werden. Auch die Auskunftsrechte in § 34 BDSG werden in der geplanten Änderung ergänzt und durch eine neue Bußgeldvorschrift im Falle von Verstößen gestärkt. Die Ansprüche auf Auskunft sollen Entscheidungen, die durch die Verwendung von Scorewerten zustande gekommen sind, nachvollziehbar machen. Aus der Begründung zum neuen § 34 Abs. 1 a BDSG-E:

Entscheidend ist (…), dass der Betroffene nachvollziehen kann, welche Merkmale das konkrete Berechnungsergebnis maßgeblich beeinflusst haben. (…) Betriebs- und Geschäftsgeheimnisse müssen nicht offenbart werden, soweit das Interesse an ihrer Wahrung im Einzelfall das Offenbarungsinteresse des Betroffenen überwiegt. (…) Das Ergebnis muss für den Betroffenen stets soweit nachvollziehbar sein, dass er seine Rechte sachgerecht ausüben, mögliche Fehler in der Berechnungsgrundlage aufdecken und Abweichungen von den automatisiert gewonnenen typischen Wertungen des zugrunde liegenden Lebenssachverhalts darlegen kann.

Außerdem soll der Auskunftsanspruch auf solche Daten erweitert werden, die noch ohne Personenbezug gespeichert sind, einen solchen aber bei der Übermittlung erhalten. Neu ist auch ein Auskunftsanspruch gegenüber Auskunfteien selbst; diese müssen nach dem Entwurf einmal pro Jahr kostenlos eine schriftliche sog. Selbstauskunft erteilen:

Mit der vorgeschlagenen Neufassung (…) erhält der Betroffene gegenüber Stellen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung speichern, einen Anspruch, einmal jährlich eine kostenfreie schriftliche Selbstauskunft zu erhalten, auch wenn er diese zu wirtschaftlichen Zwecken gegenüber Dritten nutzen kann. Regelmäßig sind derzeit die von einer Auskunftei auf Antrag schriftlich erteilten Selbstauskünfte entgeltpflichtig.

In diesen Fällen besteht zwar auch die Möglichkeit der kostenlosen Selbstauskunft bei persönlichem Erscheinen des Betroffenen bei der Auskunftei. In der Praxis können aber für den Betroffenen – abhängig von der Entfernung zwischen seinem Wohnort und dem Sitz einer Geschäftsstelle der Auskunftei – dabei unter Umständen erhebliche Fahrtkosten anfallen.

Auszüge aus dem aktuellen Gesetzesentwurf (PDF).