BDSG-Novelle tritt in Kraft
Am 29. Mai 2009 hatte der Deutsche Bundestag die sogenannte BDSG-Novelle 1 verabschiedet. Konkret erweitert wurden die Vorschriften des Bundesdatenschutzgesetzes zur Zulässigkeit automatisierter Einzelentscheidungen, des Scorings, der Datenübermittlung an Auskunfteien und auch die Regelungen hinsichtlich der Auskunftsrechte des Betroffenen. Diese Vorschriften treten nun zum 1. April 2010 in Kraft.
Automatisierte Einzelentscheidung, § 6 a BDSG
Durch die Novelle zunächst unverändert geblieben ist § 6 a Abs. 1 Satz 1 BDSG, wonach es verboten ist, Entscheidungen, die für den Betroffenen eine Rechtsfolge nach sich ziehen oder ihn erheblich beeinträchtigen, ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten zu stützen, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. War ein genaues Verständnis dieser Vorschrift bisher nur unter Zuhilfenahme einschlägiger Kommentarliteratur möglich, versucht der Gesetzgeber von nun an im neu geschaffenen Satz 2 der Vorschrift zu definieren, was darunter zu verstehen sein soll.
„Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.“
Das erhoffte Begriffsverständnis bleibt dabei zunächst aus, deutlicher wird es erst durch ein Beispiel: So darf beispielsweise die Kündigung eines Vertragsverhältnisses nicht allein auf das Ergebnis einer automatisierten Verarbeitung personenbezogener Daten gestützt werden, sondern muss von einer zur Entscheidung befugten natürlichen Person nachvollzogen und gegebenenfalls bestätigt werden. Intention dieser Vorschrift ist es damit, Menschen vor alleinigen Entscheidungen von Computern und Datenverarbeitungsanlagen zu schützen.
Ebenfalls geändert worden ist der diesbezügliche Ausnahmetatbestand des § 6 a Abs. 2 Nr. 2 BDSG, wonach § 6 a Abs. 1 BDSG nicht gilt, wenn
„die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert.“
Vage Begrifflichkeiten wie das berechtigte Betroffeneninteresse oder die Geeignetheit lassen den Anwendungsbereich der Vorschrift damit leider weiterhin offen. Deutlich wird lediglich, dass die Entscheidung der verantwortlichen Stelle dem Betroffenen so zu erklären ist, dass er in der Lage ist, mit einem Sachbearbeiter der verantwortlichen Stelle in Kontakt zu treten und seine Interessen sachgerecht vertreten kann.
Insgesamt tragen die vorgenannten Änderungen und Ergänzungen des § 6 a BDSG keineswegs dazu bei, die Vorschrift dem Gesetzesanwender verständlicher und transparent zu machen, da sie allzu offen gehalten sind und Änderungen nur hinsichtlich einzelner Formulierungen erkennen lassen.
Datenübermittlung an Auskunfteien, § 28 a BDSG
Der Umgang mit personenbezogenen Daten zwischen kreditgebenden Institutionen und Auskunfteien erfolgte bislang auf Grundlage der generalklauselartig gefassten §§ 28, 29 BDSG beziehungsweise einer Einwilligung des Betroffenen ohne zumutbare Alternative. Im neuen § 28 a BDSG werden nun spezielle Erlaubnistatbestände für die Übermittlung von Negativdaten und Positivdaten an Auskunfteien eingeführt.
Für die Übermittlung von Negativdaten an Auskunfteien bedarf es fortan neben dem berechtigten Interesse der verantwortlichen Stelle oder eines Dritten des Vorliegens eines der Katalogtatbestände des § 28 a Abs. 1 Nr. 1-5 BDSG. Das Gesetz normiert an dieser Stelle ausdrücklich, was bisher von der Praxis in die Abwägungstatbestände der §§ 28, 29 BDSG „hinein gepresst“ worden ist.
§ 28 a Abs. 2 BDSG formuliert einen Erlaubnistatbestand für Kreditinstitute, Positivdaten über den Betroffenen unter Einhaltung einer Interessensabwägung an Auskunfteien zu ermitteln. Bislang war eine solche Übermittlung nur möglich, wenn der Betroffene dazu eingewilligt hatte.
Nach § 28 a Abs. 3 BDSG hat die verantwortliche Stelle nachträgliche Änderungen von Tatsachen in Bezug die Übermittlung von Positiv- oder Negativdaten der jeweiligen Auskunftei innerhalb eines Monats mitzuteilen, solange die ursprünglich gespeicherten Daten dort gespeichert sind.
Insgesamt ist es zu begrüßen, dass gesetzlich das normiert worden ist, was sich jahrelang in Rechtsprechung und Praxis in einer umfassenden Kasuistik zu §§ 28, 29 BDSG heraus gebildet hatte, und damit ohnehin vom Gesetzesanwender schon zu berücksichtigen war. Kritisch ist anzumerken, dass es in Bezug auf die Übermittlung von Positivdaten gemäß § 28 a Abs. 2 BDSG nunmehr keiner Einwilligung des Betroffenen bedarf und stattdessen wie allzu oft im BDSG auf vage, normative und nur schwer greifbare Begrifflichkeiten wie das schutzwürdige Betroffeneninteresse abgestellt wird.
Scoring, § 28 b BDSG
Wird für Zwecke der Entscheidung über die Begründung, die Durchführung oder die Beendigung eines Vertragsverhältnisses mit dem Betroffenen ein Scorewert benötigt, ist dies zukünftig nur noch unter den Voraussetzungen des neu geschaffenen § 28 b BDSG möglich. „Scoring” bezeichnet dabei die Berechnung und Zugrundelegung eines Wahrscheinlichkeitswertes, der sich auf ein zukünftiges Verhalten des Betroffenen, in den allermeisten Fällen wohl dessen Zahlungsfähigkeit, bezieht.
Die in § 28 b BDSG festgelegten Voraussetzungen zur Nutzung eines solchen Wahrscheinlichkeitswertes verlangen gemäß dessen Nr. 1, dass die Berechnung anhand eines anerkannten mathematisch-statistischen Verfahrens erfolgt und dieser Wert auch für die Berechnung der Wahrscheinlichkeit des Verhaltens erheblich zu sein hat.
Geschieht die Berechnung des Wertes durch eine Auskunftei, haben nach § 28 b Nr. 2 BDSG auch die Voraussetzungen der Datenübermittlung nach § 29 BDSG vorzuliegen. Unglücklich formuliert wirkt dort der weitere Hinweis auf alle „anderen Fälle“ und das Vorliegen der Voraussetzungen des § 28 BDSG. Denn was mit diesen „anderen Fällen“ gemeint sein soll, lässt weiten Raum für Annahmen und Spekulationen.
Die Nr. 3 und 4 des § 28 b BDSG sollen klarstellen, dass für die Berechnung des Wahrscheinlichkeitswertes nicht ausschließlich auf die Anschrift des Betroffenen abgestellt werden darf. Im Falle der Nutzung der Anschriftsdaten bei Berechnung des Wahrscheinlichkeitswertes ist der Betroffene darüber jedoch zu unterrichten.
Diese Vorschriften sind als ein klarer Hinweis an die wohl gängige, aber hartnäckig bestrittene Praxis von Auskunfteien zu verstehen, einen Wahrscheinlichkeitswert zumindest auch anhand der Anschriftsdaten des Betroffenen zu berechnen. An dieser Stelle ist der Gesetzgeber leider inkonsequent geblieben, indem er die Formulierung „nicht ausschließlich“ verwendet. Dies bedeutet, dass auch weiterhin aktuelle und ehemalige Anschriftsdaten des Betroffenen das Ergebnis dessen Scorewertes beeinflussen werden.
Dass lediglich auf die Anschriftsdaten, und damit auf die Meldeadressen des Betroffenen abgestellt wird, ist ein Mangel, der schon länger bekannt ist und ganz offenkundig nicht behoben wurde. Dieser Umstand mag zwar den Anforderungen an ein anerkanntes mathematisch-statistisches Verfahren im Sinne der § 28 b Nr. 1 BDSG genügen, steht aber mit der Lebenswirklichkeit nicht in Einklang.
Geschäftsmäßige Datenerhebung- und Speicherung, § 29 BDSG
Die Erlaubnisnorm des § 29 BDSG zur geschäftsmäßigen Datenerhebung und Speicherung zum Zweck der Übermittlung ist im Wesentlichen in dessen Absatz 1 um die Tatbestandsvariante des „Nutzens“ erweitert worden. Darunter ist gemäß der Legaldefinition des § 3 Abs. 5 BDSG jede Verwendung personenbezogener Daten zu verstehen, soweit es sich nicht um eine Verarbeitung handelt. Es ist anzunehmen, dass insoweit auch die Aufbereitung bereits erhobener und gespeicherter personenbezogener Daten zum Zwecke der späteren Übermittlung gemeint ist. Im Ergebnis wird die Erlaubnisnorm des § 29 BDSG damit nicht unwesentlich erweitert.
Die Betroffenenauskunft, § 34 BDSG
Auch die Rechte des Betroffenen auf Auskunft sind in §§ 34 ff. BDSG hinlänglich verändert worden. Besonders hervorzuheben ist zunächst, dass mit den Vorschriften des § 43 Abs. 1 Nr. 8 a-c BDSG Bußgeldtatbestände formuliert worden sind, welche die Nichteinhaltung der Vorschriften der §§ 34 ff. BDSG durch die verantwortliche Stelle sanktionieren.
Der neu gefasste § 34 Abs. 2 BDSG verpflichtet in seinen Tatbestandsalternativen die verantwortliche Stelle, dem Betroffenen auf dessen Verlangen hin hinlänglich Auskunft zu erteilen über innerhalb der letzten sechs Monate gemäß § 28 b BDSG erhobene und erstmalig gespeicherte Wahrscheinlichkeitswerte. Darüber hinaus hat die verantwortliche Stelle dem Betroffenen in einer für den Laien verständlichen Form zu erläutern, wie dieser Wert berechnet worden ist und welche Datenarten der Berechnung zu Grunde liegen. Diese Vorschrift ist damit als „Kehrseite der Medaille“ des neu gefassten § 28 b BDSG zu verstehen.
Abgeschwächt wird das Auskunftsrecht des Betroffenen durch die innerhalb des § 34 BDSG beibehaltene und immer wiederkehrende Formulierung, dass die betroffene Stelle die Auskunft über die Herkunft der Daten und die Empfänger verweigern kann, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. Wann von einem solchen Übergewicht auszugehen ist, unterliegt damit faktisch einer ex-ante Beurteilung durch die verantwortliche Stelle. Vorzugswürdig wäre in diesem Zusammenhang eine gesetzliche Vermutung gewesen, die auf das überwiegende Informationsinteresse des Betroffenen abstellen würde und die verantwortliche Stelle dadurch verpflichtete, nicht „inflationär“ die Wahrung ihrer Geschäftsinteressen geltend zu machen.
Fazit
Die zum 1. April in Kraft tretenden Änderungen des BDSG lassen die Bemühungen des Gesetzgebers nach Modernisierung des reformbedürftigen Datenschutzrechts in Deutschland durchaus erkennen. Offensichtlich ist jedoch, dass an einigen Stellen von der großen Koalition unter Zeitdruck und mit der berüchtigten „heißen Nadel“ gearbeitet wurde und auch Interessensvertreter der Kreditwirtschaft, der Auskunfteien und des Adresshandels Einfluss nehmen konnten. Das Resultat ist daher ein insgesamt richtiger Ansatz mit viel „wenn“ und „aber“.
