BDSG-Novelle zu Auskunfteien und Scoring

§ 6a BDSG wird neu gefasst. Nach dieser Vorschrift sind automatisierte Einzelentscheidungen zu Lasten des Betroffenen, die aufgrund einer Bewertung einzelner Persönlichkeitsmerkmale getroffen werden, verboten. Hier geht es um Entscheidungen, die eine rechtliche Folge nach sich ziehen oder den Betroffenen erheblich beeinträchtigen. Eine solche Entscheidung liegt nach der Neufassung insbesondere dann vor, wenn keine inhaltliche Bewertung und eine darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Es genügt also nicht, wenn einer automatisierten Entscheidung lediglich formal die Bearbeitung durch einen Menschen nachgeschaltet wird, dieser aber gar keine Befugnis besitzt, eine eigene Entscheidung zu treffen.

Das Verbot greift nicht, wenn eine Entscheidung zugunsten des Betroffenen ergeht oder wenn automatisiert nur ein Vorschlag für den zuletzt entscheidenden Sachbearbeiter erstellt wird. Das Verbot greift ebenfalls nicht, wenn zwar automatisiert eine negative Entscheidung ergeht, der Betroffene aber die Möglichkeit zur Stellungnahme hat und sich das Unternehmen insoweit zur Überprüfung der Entscheidung (durch einen Menschen) verpflichtet. Hierauf ist der Betroffene deutlich hinzuweisen. Auf Verlangen sind dem Betroffenen die wesentlichen Gründe der für ihn ungünstigen automatisierten Entscheidung mitzuteilen und zu erläutern. Er soll hierdurch in die Lage versetzt werden, seine Interessen beim zuständigen Sachbearbeiter sachgerecht zu vertreten.

Der Betroffene kann bei automatisierten Einzelentscheidungen über den allgemeinen Auskunftsanspruch nach § 34 BDSG hinaus auch Auskunft über den logischen Aufbau der ihn betreffenden automatisierten Datenverarbeitung verlangen.

Im vorgelagerten Bereich des Dialogmarketing wirkt sich § 6a BDSG nicht aus. Wenn der Betroffene aufgrund der Verarbeitung seiner Daten kein werbliches Angebot erhält, ändert oder verschlechtert sich seine Rechtsposition nicht. Auch dürfte eine Entscheidung über die Zahlungsmodalität, etwa bei einer Bestellung des Betroffenen nur gegen Vorkasse anstatt gegen Rechnung zu liefern, noch keine negative Entscheidung im Sinne von § 6a BDSG sein, da es letztlich zu einer Belieferung kommt.

Das Gesetz passt das BDSG ansonsten der gestiegenen und weiter steigenden Bedeutung von Auskunfteien und dem häufigen Einsatz von Scoringverfahren an.

Unter Auskunftei wird ein Unternehmen verstanden, dass auf Vorrat geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammelt, um diese auf Anfrage hin für die Beurteilung der Kreditwürdigkeit der Betroffenen gegen Entgelt zu übermitteln.

Der neue § 28a BDSG regelt, unter welchen Voraussetzungen personenbezogene Daten über eine Forderung oder ein Bankgeschäft an Auskunfteien geliefert werden dürfen. Die Voraussetzungen für eine zulässige Übermittlung gelten auch für den Fall, dass die verantwortliche Stelle selbst Dritte beauskunftet.

Die bisher bei der Einmeldung nicht bezahlter Forderungen erforderliche Abwägung zwischen den berechtigten Interessen der erforderlichen Stelle und den schutzwürdigen Interessen des Betroffenen wird nun durch die Prüfung der konkreten gesetzlichen Voraussetzungen ersetzt, § 28a (1) BDSG, was Rechtssicherheit schafft.

Bei Datenübermittlungen im Rahmen eines Kredit-, Garantie- oder Girogeschäfts wurde bislang mit der Einwilligung des Betroffenen gearbeitet. Hier kann die Datenübermittlung durch Kreditinstitute künftig auf die gesetzlichen Erlaubnistatbestände in § 28a (2) BDSG gestützt werden. Bei diesen Bankgeschäften bleibt es aber bei der Interessenabwägung im Einzelfall.

In § 28a (3) BDSG wird eine Nachberichtspflicht eingeführt. Nachträgliche Änderungen der eingemeldeten Tatsachen, etwa eine Bezahlung der angemahnten Forderung, sind der Auskunftei innerhalb eines Monats nach Kenntniserlangung mitzuteilen, um zu gewährleisten, dass Datenbestände von Auskunfteien aktuell und richtig sind. Die Nachberichtspflicht gilt nur, solange die eingemeldeten Tatsachen noch bei der Auskunftei gespeichert sind. Die Auskunftei hat daher die übermittelnde Stelle von einer Löschung der Daten zu unterrichten.

§ 29 BDSG wird durch mehrere Änderungen an § 28a BDSG angepasst und schafft so eine Rechtsgrundlage für Auskunfteien zur Verarbeitung und Nutzung von Daten, die ihnen durch ihre Geschäftskunden nach § 28a BDSG übermittelt worden sind.

Der Begriff Scoring wird in dem neuen § 28b BDSG gesetzlich definiert als Verwendung eines Wahrscheinlichkeitswertes (Scorewert) für ein bestimmtes zukünftiges Verhalten des Betroffenen zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses. Der Scorewert wirkt sich auf eine Entscheidung aus, die für den Betroffenen eine rechtliche Folge im Zusammenhang mit einem potentiellen oder bestehenden Vertragsverhältnis nach sich zieht. Werbescoring fällt also nicht darunter. Die Spezialregelungen des Kreditwesengesetzes und des Versicherungsaufsichtsgesetzes bleiben unberührt.

Der Scorewert muss sich auf ein zukünftiges selbstbestimmtes Handeln des Betroffenen beziehen; Ereignisse aufgrund höherer Gewalt oder Fremdeinwirkung scheiden demnach aus. Die Tarifgestaltung von Lebensversicherungen oder Versicherungen gegen KfZ-Diebstahl wird so von § 28b BDSG nicht erfasst.

Das Gesetz regelt Art und Umfang der für die Erhebung und Verwendung eines solchen Scorewerteswertes zulässigen Datengrundlage. Es gibt drei Zulässigkeitsvoraussetzungen.

Erstens müssen die zur Berechnung des Scorewertes genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit eines bestimmten Verhaltens erheblich sein. Für die Berechnung eines Scorewertes dürfen nicht ausschließlich Anschriftendaten genutzt werden. Dieses Verbot darf nicht dadurch umgangen werden, dass andere Daten neben den Anschriftendaten nur mit einer verschwindend geringen Gewichtung in die Berechnung eingehen.

Zweitens darf eine Auskunftei für die Berechnung eines Scorewertes für einen bestimmten Kunden nur solche Daten nutzen, die sie auch nach § 29 BDSG an diesen Kunden übermitteln dürfte. Andere verantwortliche Stellen, die ihren eigenen Kundenbestand scoren, müssen hierzu nach § 28 BDSG berechtigt sein.

Drittens ist der Betroffene vor einer geplanten Nutzung (auch) seiner Anschriftendaten für Scoring-Zwecke hierüber zu informieren, um zusätzliche Transparenz zu schaffen. Diese Unterrichtung ist zu dokumentieren.

In § 34 (2) bis (5) BDSG werden umfassende Auskunftsansprüche des Betroffenen hinsichtlich des Scoringverfahrens und der hierfür verwendeten Daten neu geschaffen. Der Betroffene soll nachvollziehen können, wie ein Scorewert zustande kommt, welchen Aussagegehalt sein Scorewert hat (gut, mittel, schlecht) und inwiefern die Entscheidung über Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses darauf beruht. Er hat so auch die Möglichkeit, falsche Daten zu korrigieren und den errechneten Wahrscheinlichkeitswert im konkreten Fall zu widerlegen.

Die Auskunft hat einzelfallbezogen, aus sich heraus verständlich und nachvollziehbar zu erfolgen, komplexe mathematische Formeln sind also nicht zu offenbaren. Das Auskunftsverlangen muss nicht durch den konkreten Sachbearbeiter beantwortet werden, das kann auch durch eine spezielle Auskunftsperson geschehen. Die Auskunft umfasst anders als bisher auch die gespeicherten nicht-personenbezogenen Daten, etwa auf Zellebene, sofern diese bei einer Auskunft zur Durchführung des Scoring mit personenbezogenen Daten des Betroffenen verknüpft würden. Der Betroffene kann von Auskunfteien Auskunft über seinen tagesaktuellen Scorewert verlangen, ebenso, welche Scorewerte in den letzten zwölf Monaten an Dritte (Name und letztbekannte Anschrift) übermittelt worden sind. Der Betroffene kann einmal jährlich eine kostenfreie Auskunft in Textform, etwa per Email, fordern.

Bevor eine verantwortliche Stelle Auskunft erteilt, ist zu prüfen, ob nicht ein Ausnahmetatbestand nach § 34 (7) BDSG i. V. m. § 33 (2) 1 Nr. 2, 3, 5 bis 7 BDSG vorliegt.

Schließlich werden die Kennzeichnungs- und Löschpflichten in § 35 BDSG geändert, z. B. bei erledigten Sachverhalten von vier auf drei Jahre verkürzt und neue Bußgeldtatbestände in § 43 (1) Nr. 8a bis 8c BDSG geschaffen, etwa hinsichtlich der Nachberichtspflicht.

Das Gesetz tritt erst zum 01.04.2010 in Kraft.

Ralf Rösler