IITR Datenschutz Blog

Die Neuregelungen zum Scoring durch die Datenschutz Novelle vom 1.4.2010

02.06.2010

Wie bereits in einem anderen Beitrag behandelt wurde das Bundesdatenschutzgesetz („BDSG“) nach der Novelle vom 1.9.2009 zum 1.4.2010 in maßgeblichen Teilen erneut geändert. Ein großer Teil der Änderung bezieht sich auf Scoringverfahren. Welche Änderungen im BDSG seitdem verankert sind und was dies für die Unternehmen bedeutet, soll im Folgenden behandelt werden.

Durch das Internet werden viele Geschäftsbeziehungen wesentlich anonymer. Mangels eines direkten Gegenübers wird – um dessen Bonität zu bestimmen – zunehmend auf ein sog. Scoringverfahren zurückgegriffen. Hierdurch soll herausgefunden werden, wie der Kunde sich im Zahlungsverkehr verhält, z.B. ob er seine Kredite zurückbezahlt.

Natürlich müssen, damit eine Statistik zu einer bestimmten Person erstellt werden kann, personenbezogene Daten über diese Person gesammelt werden. Insofern ist dieser Vorgang datenschutzrechtlich relevant.

Was ist Scoring eigentlich?

Ein Scoringverfahren ist ein mathematisch-statistisches Verfahren zur Wahrscheinlichkeitsberechnung. Nach diesem kann berechnet werden, wie wahrscheinlich es ist, dass eine Person ein bestimmtes Verhalten wieder zeigen wird. Dies kann bei per Rechnung abzuwickelnden Kaufverträgen oder Kreditverträgen das ausschlaggebende Kriterium zur Zu- oder Absage sein.

Zulässigkeit des Scoringverfahrens nach der Novellierung des BDSG

Die Zulässigkeit des Scorings wird nach der Novelle durch § 28b BDSG bestimmt. Es werden nach der Novelle nur bestimmte Scoringverfahren zugelassen. Zudem ist eine jährliche Verpflichtung des Anbieters zur Auskunft über die gespeicherten Daten und Basiswerte vorgesehen.

Mehr Rechtssicherheit durch die Einführung spezifischer Erlaubnistatbestände

Im neuen § 28a BDSG werden mehrere Erlaubnistatbestände für die Übermittlung von Negativdaten (z.B. unbeglichene Forderungen) und Positivdaten (bestehende Kredite) an Auskunfteien geschaffen. Wie bereits in einem vorhergehenden Beitrag erwähnt, dürfen nach der Novellierung Negativdaten nur übermittelt werden, wenn die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist und die Übermittlung der Daten an die Auskunftei zur Wahrung berechtigter Interessen erforderlich ist. Insofern ist das Bestehen von Einreden oder Einwendungen gegen die Forderung relevant, was letztlich den Betroffenen schützen kann, da dieser durch ein aktives Einschreiten eine Einflussmöglichkeit auf seinen Scorewert enthält.

Wann ist die Übermittlung personenbezogener Daten an eine Auskunftei zulässig?

Im Gesetz ist genau normiert, wann eine Übermittlung erfolgen darf.

Dies ist u.a. dann gegeben, wenn die Forderung durch ein mindestens für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel vorliegt (§ 28a Absatz 1 Nr. 1 BDSG).

Gemäß § 28a Absatz 1 Nr. 2 BDSG liegt die Möglichkeit der Übermittlung auch dann vor, wenn die Forderung nach § 178 der Insolvenzordnung festgestellt wurde und vom Schuldner nicht im Prüfungstermin bestritten worden ist.

Eine Übermittlung gemäß § 28a Absatz 1 Nr. 3 BDSG ist daneben möglich, wenn der Schuldner die Forderung anerkennt, sie aber ohne rechtlichen Grund nicht begleicht.

Des Weiteren besteht gemäß § 28a Absatz 1 Nr. 4 BDSG die Möglichkeit zur Übermittlung an eine Auskunftei, wenn der Schuldner vor der Meldung der Forderung die Möglichkeit erhält, diese zu begleichen oder substantiiert zu bestreiten.

Damit dieser Sachverhalt vorliegt, sind nach dem Gesetzestext mindestens zwei Mahnungen erforderlich, zwischen welchen ein Abstand von vier Wochen liegen muss. Daneben muss der Betroffene von der verantwortlichen Stelle über diese Übermittlung informiert werden.

Nach § 28a Absatz 1 Nr. 5 BDSG ist eine Übermittlung auch zulässig, wenn objektiv die Voraussetzungen dafür vorliegen, dass das der Forderung zugrundeliegende Vertragsverhältnis wegen Zahlungsrückständen fristlos gekündigt werden kann. Nach einer Unterrichtung durch die verantwortliche Stelle gegenüber dem Betroffenen ist eine Übermittlung dann zulässig.

Änderung hinsichtlich der Übermittlung von Positivdaten

Daneben konnten sog. Positivdaten bisher nur auf Grund einer Einwilligung des Betroffenen übermittelt werden. Nun kann eine Übermittlung gemäß § 28a Absatz 2 BDSG generell stattfinden, sofern nicht ein schutzwürdiges Interesse des Betroffenen am Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei offensichtlich überwiegt. Ist ein solches Interesse erkennbar, so muss der Betroffene vor dem Vertragsschluss auf die Übermittlung aufmerksam gemacht werden, so dass er noch vom Vertragsschluss absehen kann. Wichtige Ausnahme: besondere Arten personenbezogener Daten gemäß § 3 Abs. 9 BDSG (z.B. Gesundheitsdaten) dürfen nach wie vor nur nach Einwilligung durch den Betroffenen übertragen werden.

Nach der Novellierung: Die ausschließliche Nutzung von Anschriftendaten ist unzulässig!

Nach der Novellierung ist es verboten, lediglich Anschriftendaten zur Ermittlung eines Scorewertes heranzuziehen. Wo eine Person ihre Adresse hat, kann jedoch einen von mehreren Faktoren darstellen, die zur Ermittlung herangezogen werden. Erforderlich ist stets, dass die zu den Anschriftendaten hinzukommenden Informationen wenigstens eine ausreichende Gewichtung erhalten. Zudem ist der Betroffene gemäß § 28b Nr. 4 BDSG im Fall der Nutzung von Anschriftendaten vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten zu unterrichten. Die Unterrichtung ist zu dokumentieren.

Schaffung des Auskunftsrechtes in § 34 BDSG

Eine relevante Neuerung im Zusammenhang mit dem Scoring sind auch die Auskunftsrechte des Betroffenen gemäß § 34 BDSG.

Die dort zitierten Auskunftsrechte bestehen sowohl gegenüber der Stelle, die mit Scoringwerten arbeitet wie auch gegenüber Stellen, die Scoringwerte berechnet. Der Betroffene kann unter anderem erfragen, welche Scoringwerte gespeichert wurden und an wen diese übermittelt worden sind. Daneben kann er Auskunft über die Berechnungsgrundlagen verlangen und auch darüber, was der berechnete Punktwert über ihn aussagt.

In welchem Umfang können Verbraucher Auskunft über den Scorewert erhalten?

Die Auskunft über personenbezogene Daten und den daraus ermittelten Scoringwert kann kostenfrei – dies jedoch nur einmal pro Jahr – eingeholt werden. Sie ist grundsätzlich in Textform zu erteilen. Auch eine Datenkorrektur oder Datenlöschung bei unzulässiger oder unrichtiger Datenspeicherung muss kostenfrei erfolgen.

Erhöhter Verbraucherschutz

Damit die neuen Rechte durch die Verbraucher auch sofort umgesetzt werden können, hat der Verband der Verbraucherzentralen zum Zweck der Auskunftsanfrage eine kostenfreie Liste von Auskunfteien zusammengestellt. Dort gibt es auch ein Musteranschreiben, das die Verbraucher herunterladen können, wenn diese ihre Rechte geltend machen wollen.

Fazit

Es ist zu erwarten, dass rechtliche Auseinandersetzungen über die Berechtigung von Scoringverfahren zunehmen werden. Den Unternehmen muss empfohlen werden, ihr Forderungsmanagement sowie ihr Mahnwesen hinsichtlich der Änderungen durch die Novellierung zu überprüfen. Verstöße können mit Bußgeldern belegt werden. Daneben kommen Schadensersatzforderungen der Verbraucher in Betracht. Hinsichtlich dieses Kostenrisikos empfiehlt sich eine schnelle Anpassung.

 

Autoren:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Rechtsanwältin Alma Lena Fritz

Telefon: 089-1891 7360
E-Mail: email@iitr.de

 

Information bei neuen Datenschutz-Artikeln

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über neue Datenschutz-Artikel und aktuelle Entwicklungen im Datenschutzrecht.

 

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

0 Kommentar zu diesem Beitrag:

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

https://www.iitr.de/blog/wp-content/uploads/2020/10/chatbot-load.png https://www.iitr.de/blog/wp-content/uploads/2020/10/loading.gif