Neuer Gesetzentwurf zum Kredit-Scoring
Das Bundesinnenministerium hat einen neuen Entwurf zur Änderung des BDSG vorgelegt. Darin sollen das Scoring und die Tätigkeit von Auskunfteien wie etwa der SCHUFA geregelt werden. Gegenüber dem vorherigen Gesetzentwurf (Telemedicus berichtete) wurden einige Regelungen präzisiert: Automatisierte Einzelfallentscheidungen sind gemäß §6a BDSG nur sehr eingeschränkt erlaubt; folgende Definition soll nun in den Wortlaut der Norm (§ 6a Abs. 1 Satz 2 BDSG-E) mit aufgenommen werden:
Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.
Dem „Wildwuchs von Warndateien“ Einhalt gebieten?
Kernstück der Novelle sind die neuen Paragraphen § 28a BDSG-E (Datenübermittlung an Auskunfteien) und § 28b BDSG-E (Scoring). Auch hier wurde noch einmal nachgebessert: Insbesondere hat man die Vorraussetzungen genauer gefasst, unter denen ein Kreditinstitut Daten über noch ausstehende Forderungen an Auskunfteien übermitteln darf (§ 28a Abs. 1 BDSG-E). Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat zu der Neuregelung Stellung genommen:
Absatz 1 Nr. 4 erlaubt pauschal die Übermittlung von Daten über ausstehende Forderungen, wenn bestimmte Voraussetzungen vorliegen (berechtigtes Interesse, 2 schriftliche Mahnungen, 8 Wochen Wartefrist, Information über geplante Übermittlung, Nichtbestreiten). Ob mit dieser Regelung dem Wildwuchs von Warndateien Einhalt geboten werden kann, ist zweifelhaft.
Im Grunde kann ihr zugestimmt werden mit der Maßgabe, dass bei Bagatellforderungen i.d.R. kein „berechtigtes Interesse“ besteht. Die Formulierung verzichtet – bewusst, wie sich aus der Begründung ergibt – auf eine Abwägung mit schutzwürdigen Betroffeneninteressen. Dies ist aber nur dann akzeptabel, wenn diese Abwägung schon bei der Prüfung des „berechtigten Interesses“ einfließt.
Außerdem soll bei dem Abschluss von Giroverträgen, „die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben“, ausdrücklich keine gesetzliche Erlaubnis zum Datentransfer bestehen (§ 28a Abs. 2 Satz 3 BDSG-E). In § 28b BDSG-E sind die Vorrausetzungen genannt, unter denen ein Score-Verfahren durchgeführt werden darf. Dazu das ULD:
Die Regelung bleibt leider weit hinter der schon bisher bestehenden Rechtslage zurück. Die Formulierung verlangt nicht, dass die Heranziehung der verwendeten Merkmale für die erstellte Prognose eine kausale Plausibilität hat (Kamp/Weichert, Scoringsysteme, S. 74 f.). Der Entwurf verlangt nur eine mathematisch-statistisch nachweisbare Erheblichkeit.
Ein praktisches Problem besteht darin, dass diese wissenschaftliche Erheblichkeit von Scoringverfahren durch Datenschutzkontrollinstanzen selbst nicht nachgeprüft werden kann, da eine solche Prüfung die Nutzung des bisher vorliegenden gesamten Datenbestands nötig machen und eine aufwändige Analyse erfordern würde. Dies ist nicht im Rahmen der „klassischen“ Datenschutzkontrolle möglich. Möglich wäre sie aber z.B. im Kontext eines Gütesiegel- oder Auditverfahrens.
Einschnitte bei den Rechten der Betroffenen
Durch die Neuregelungen sollen auch die Rechte der Betroffenen gestärkt werden. So sieht der Entwurf spezielle Auskunftsansprüche in § 34 BDSG-E vor; flankiert werden sie von neuen Korrektur- und Bußgeldvorschriften in den §§ 35, 43 BDSG-E. U.a. soll die Pflicht zur kostenlosen Auskunftserteilung einmal pro Jahr festgelegt werden (§ 34 Abs. 8 Satz 2 BDSG-E). Der Vorentwurf beinhaltete jedoch noch günstigere Regelungen. Deshalb sieht das ULD die geplante Neufassung aus Verbrauchersicht nicht nur positiv:
Es wäre zu begrüßen, wenn – wie dies in Vorentwürfen vorgesehen war – in Absatz 1 die Auskunftsverweigerung mit dem Argument des Geschäftsgeheimnisses nur nach Abwägung „der besonderen Umstände des Einzelfalls“ für zulässig erklärt würde. Dies entspricht zwar der aktuellen Rechtslage. Angesichts der immer wieder festzustellenden pauschalen Verweisung auf Geschäftsgeheimnisse scheint aber eine solche Änderung nötig zu sein.
Für einen schnellen Überblick haben wir alle geplanten Neuregelungen in dieser Synopse (PDF) der jetzigen Rechtslage gegenübergestellt; die Änderungen wurden hervorgehoben.
Der aktuelle Gesetzentwurf als PDF-Datei.
Zur Stellungnahme des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein.
