5: Stellungnahmen
Stellungnahme zum "Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes" (Stand 17.06.2008) mit Regelungen zum Scoring und zur Auskunfteitätigkeit
Zum Entwurf allgemein
Der Entwurf geht davon aus, dass die bisherigen Regelungen des Bundesdatenschutzgesetzes (BDSG) nicht mehr den Anforderungen einer anonymer werdenden Geschäftswelt und der gesteigerten Bedeutung von Auskunfteien genügt. Dieser Bewertung kann im Grundsatz zugestimmt werden. Die Regelungen des BDSG werden zwar weitgehend dem Datenschutz von Verbraucherinnen und Verbraucher beim Einsatz neuer Technologien wie dem Scoring sowie bei neuen Warnverfahren in der Wirtschaft gerecht (dazu ausführlich Kamp/Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit - Chancen und Risiken für Verbraucher, 2006). Richtig ist, dass in diesem Bereich ein hohes Transparenzdefizit besteht, das aber v.a. auf einem großen Vollzugsdefizit bestehender Normen beruht. Die vom Entwurf angenommene Rechtsunsicherheit besteht nur in wenigen Punkten. Die Bewertungen durch die Datenschutz-Aufsichtsbehörden erfolgen weitgehend einheitlich und nach gemeinsamen Standards und werden unter diesen abgestimmt. Unterschiedliche Bewertungen können der Fortentwicklung des Rechtes dienen. Richtig ist, dass die Unternehmen im Auskunfteigeschäft ihre gesetzlichen Pflichten oftmals leugnen bzw. praktisch nicht akzeptieren. Insofern sind gesetzliche Klarstellungen und Verbesserungen zu begrüßen.
In anderen Bereichen des BDSG besteht großer Aktualisierungsbedarf. Dies gilt insbesondere für sämtliche über das Internet erfolgenden personenbezogenen Datenverarbeitungen. Auch insofern ist die Grundnorm für Auskunfteitätigkeit (§ 29 BDSG) anzuwenden. Diese Regelung ignoriert vollständig die Bereitstellung von Daten in öffentlichen Netzen und, dass hierfür das Grundrecht auf Meinungsäußerungs- und Informationsfreiheit (Art. 5 GG) in Anspruch genommen werden kann (OLG Köln, MMR 2008, 101, 103). Darüber hinaus besteht Bedarf an einer Verschlankung und Modernisierung des Datenschutzrechtes sowie an der Einführung von gesetzlich geregelten Verfahren der Zertifizierung von IT-Produkten und -Verfahren (Datenschutz-Gütesiegel und -Audit). Auf die Notwendigkeit der Modernisierung des Datenschutzrechtes wurde erstmals umfassend in dem durch das vom Bundesministerium des Innern (BMI) in Auftrag gegebenen und 2001 vorgelegten Gutachten von Roßnagel/Pfitzmann/Garstka (Modernisierung des Datenschutzrechts) hingewiesen. Die dort aufgezeigten Defizite haben sich mittlerweile teilweise massiv verstärkt.
Nr. 3 Rechte des Betroffenen (§ 6 Abs. 3)
Die Aufnahme eines Absatzes 3, wonach Daten über die Ausübung von Betroffenenrechten nur zu diesen Zwecken verwendet werden dürfen, ist zu begrüßen. Damit wird die bisher bestehende Rechtslage (Kamp/Weichert, Scoringsysteme, S. 78) ausdrücklich klargestellt. Dies ist sinnvoll, da die Praxis, z.B. bei der Schufa, lange Zeit dahin ging, dass die Wahrnehmung des Auskunftsrechtes zu einer Verschlechterung von Scores führte (Kamp/Weichert, Scoringsysteme, S. 54).
Nr. 4 Änderung der Regelung des automatisierten Einzelentscheidung (§ 6a)
Die Anwendbarkeit der Regelung des § 6a auf Entscheidungen, die auf automatisierte Verfahren gestützt werden, „wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat“, entspricht der bisherigen Gesetzesanwendung (Weichert in Däubler/Klebe/Wedde/Weichert, BDSG, 2. Aufl. 2007, § 6a Rz. 9f). Wegen des missverständlichen bisherigen Wortlautes ist die Klarstellung zu begrüßen.
Die Notwendigkeit, die wesentlichen Gründe einer automatisierten Entscheidung mitzuteilen, ist bisher geltende Rechtslage und ergibt sich schon aus der klaren Zielrichtung der bisherigen Regelung. Da die Praxis diese bisher nicht beachtet, ist eine normative Bekräftigung dieser Pflicht zu begrüßen.
Nr. 6 Ergänzungen des materiellen Datenschutzrechts
Einfügung eines neuen § 28a "Übermittlung an Auskunfteien"
Mit der Aufnahme des § 28a wird erstmals eine Vollregelung zur Datenbeschaffung von Bonitätsdaten durch Auskunfteien vorgenommen.
Absatz 1 Nr. 4 erlaubt pauschal die Übermittlung von Daten über ausstehende Forderungen, wenn bestimmte Voraussetzungen vorliegen (berechtigtes Interesse, 2 schriftliche Mahnungen, 8 Wochen Wartefrist, Information über geplante Übermittlung, Nichtbestreiten). Ob mit dieser Regelung dem Wildwuchs von Warndateien Einhalt geboten werden kann, ist zweifelhaft. Im Grunde kann ihr zugestimmt werden mit der Maßgabe, dass bei Bagatellforderungen i.d.R. kein "berechtigtes Interesse" besteht. Die Formulierung verzichtet – bewusst, wie sich aus der Begründung ergibt – auf eine Abwägung mit schutzwürdigen Betroffeneninteressen. Dies ist aber nur dann akzeptabel, wenn diese Abwägung schon bei der Prüfung des „berechtigten Interesses“ einfließt.
Die Regelung des Absatzes 1 Nr. 4 muss in dem Kontext gesehen werden, dass v.a. im Telekommunikations- und im Medienbereich in verstärktem Maße Verträge fingiert werden, d.h. dass der Abschluss eines Vertrages nach einem Telefonanruf eines Call-Centers, nach Aufruf einer Webseite oder nach der Nutzung eines sonstigen Telemediendienstes vom Unternehmen behauptet wird, obwohl oft überhaupt keine entsprechende Willenserklärung durch den Verbraucher abgegeben wurde oder der Vertrag aus zwingenden rechtlichen Gründen nicht zustande gekommen ist. Die sich aus solchen fingierten Verträgen vermeintlich ergebenden Zahlungspflichten werden auf der Basis der geplanten Regelung künftig an Auskunfteien verstärkt eingemeldet werden. Dies hat faktisch die Folge, dass – anders als bisher – die Betroffenen gezwungen sein werden, auf einen behaupteten, aber tatsächlich nicht berechtigten Zahlungsanspruch zu reagieren.
Die Regelung des Absatzes 1 wird dazu führen, dass die Einmeldung bei Auskunfteien verstärkt als Druckmittel zur Durchsetzung einer vermeintlich bestehenden Forderung genutzt wird. Zugleich werden rechtliche Auseinandersetzungen über die Berechtigung einer Speicherung zunehmen. Dies wird jedoch den positiven Effekt haben, dass sich die bisher oft fragwürdige Aktualität und Richtigkeit des Datenbestands von Auskunfteien verbessern wird.
Absatz 2 S. 1 enthält die pauschale Befugnis zur Datenübermittlung an Auskunfteien im Rahmen von Kreditvertragsverhältnissen nach entsprechender Unterrichtung und Interessenabwägung ohne die Notwendigkeit einer Einwilligung. Die Regelung läuft Gefahr, dass auch Übermittlungen über Vertragsverhältnisse erfolgen, wenn hierfür keine erkennbare Notwendigkeit besteht. Die Regelung beschränkt sich – was zu begrüßen ist – auf Kreditverträge und erfasst nicht generell Verträge, bei denen ein kreditorisches Risiko angenommen wird. Sie erlaubt die Speicherung von Positivdaten (objektive Daten über vertragskonformes Verhalten), nicht nur von Angaben über Hinweise auf fehlende Bonität (sog. Negativdaten).
Die Datenübermittlung an Auskunfteien über rein vorvertragliche Beziehungen ist schon bisher unzulässig (Kamp/Weichert, Scoringsysteme, S. 54 f., 74 f.). Finanzdienstleister halten sich bisher nicht an diese Regelung. Doch basiert dies nicht darauf, dass das bisherige Verbot geleugnet würde. Praktisch umstritten und oft zum Nachteil des Verbrauchers ungeklärt bleibt die Frage, wann von ihm über eine Kreditkonditionenabfrage der Zweck der "Markttransparenz" verfolgt wird (vgl. Finanztest 7/2008, 12 f.).
Einfügung eines neuen § 28b "Scoring"
Die Regelung bleibt leider weit hinter der schon bisher bestehenden Rechtslage zurück. Die Formulierung verlangt nicht, dass die Heranziehung der verwendeten Merkmale für die erstellte Prognose eine kausale Plausibilität hat (Kamp/Weichert, Scoringsysteme, S. 74 f.). Der Entwurf verlangt nur eine mathematisch-statistisch nachweisbare Erheblichkeit. Ein praktisches Problem besteht darin, dass diese wissenschaftliche Erheblichkeit von Scoringverfahren durch Datenschutzkontrollinstanzen selbst nicht nachgeprüft werden kann, da eine solche Prüfung die Nutzung des bisher vorliegenden gesamten Datenbestands nötig machen und eine aufwändige Analyse erfordern würde. Dies ist nicht im Rahmen der "klassischen" Datenschutzkontrolle möglich. Möglich wäre sie aber z.B. im Kontext eines Gütesiegel- oder Auditverfahrens.
Die Regelung von Nr. 2, wonach die Nutzung von Daten für das Scoring zulässig ist, wenn diese nach den §§ 28, 29 BDSG zulässig wäre, muss u.E. dahingehend verstanden werden, dass dies sich auf den jeweiligen konkreten Zweck bezieht.
Abzulehnen ist die Beschränkung der Unterrichtungspflicht nach Nr. 3 auf den Fall "der Nutzung von Anschriftendaten der Betroffenen ". Bisher gilt, dass Betroffene nicht nur bei dieser Datenkategorie unterrichtet werden müssen, sondern generell beim Einsatz von Scoringverfahren, und, dass sie hierin ausdrücklich in Form einer Einwilligung oder im Rahmen des Vertragsschlusses zustimmen müssen (Kamp, Weichert, Scoringsysteme, S. 73). Der Entwurf könnte, ohne dass dies von ihm beabsichtigt sein mag, so verstanden werden, dass in allen anderen Fällen eine Unterrichtung nicht erforderlich ist. Eine generelle Unterrichtungspflicht würde gegenüber der bisherigen Rechtslage eine starke Erleichterung des Durchführens von Scoring bedeuten. Dies kann allenfalls akzeptiert werden, wenn zugleich eine allgemeine Information über das Verfahren selbst sowie über die Datenquellen (Angaben aus dem Vertrag, Angaben von externen Scoring-Unternehmen, sozio-demografische Daten/Anschriftdaten) erfolgt. In diesem Zusammenhang muss darauf hingewiesen werden, dass die bei der Datenerhebung gegenüber dem Betroffenen bestehende Unterrichtungspflicht nach § 4 Abs. 3 BDSG von dem neuen § 28b unberührt bleibt.
7. Datenverarbeitung zum Zweck der Übermittlung (§ 29 BDSG)
- Die Einfügung einer Speicherungsbefugnis in Absatz 1 S. 1 unter Verweis auf § 28a Abs. 1 u. 2 erstreckt die Mängel der Übermittlungsregelung (s.o.) auf die Datenspeicherung.
- Die Stichprobenregelung entspricht schon heute der Praxis der Datenschutzaufsichtsbehörden.
Ein großer praktischer Konfliktpunkt bei der Auskunftserteilung durch Auskunfteien besteht darin, dass diese für immer mehr Branchen tätig sind und von diesen sowohl Daten eingemeldet erhalten als auch an diese übermitteln. Symptomatisch ist hierfür die Schufa, deren Geschäftsfeld von der Kreditwirtschaft im engeren Sinne immer mehr ausgeweitet wurde und heute Leasing, Telekommunikation, Wohnungswirtschaft u.v.m. erfasst. Dies hat faktisch zur Folge, dass z.B. die Nichtbezahlung einer Telefonrechnung – aus welchen Gründen auch immer – dazu führen kann, dass der betroffenen Person der Abschluss eines Mietvertrages verweigert wird. Diese Praxis wurde von den Datenschutzaufsichtsbehörden immer wieder kritisiert. Rechtlicher Hintergrund dieser Kritik ist der Zweckbindungsgrundsatz, der eine Nutzung von Daten für einen anderen Zweck, v.a. einer anderen Branche, nur unter engen Voraussetzungen erlaubt. Die Geltendmachung entgegenstehender schutzwürdiger Interessen der Betroffenen wird von der Wirtschaft nicht akzeptiert. Die systematische Missachtung des Zweckbindungsgrundsatzes hat für Betroffene oft sehr nachteilige Folgen. Der Entwurf enthält für diese Problematik keine Lösung.
8. Auskunft gegenüber den Betroffenen (§ 34 BDSG)
Es wäre zu begrüßen, wenn – wie dies in Vorentwürfen vorgesehen war – in Absatz 1 die Auskunftsverweigerung mit dem Argument des Geschäftsgeheimnisses nur nach Abwägung "der besonderen Umstände des Einzelfalls" für zulässig erklärt würde. Dies entspricht zwar der aktuellen Rechtslage. Angesichts der immer wieder festzustellenden pauschalen Verweisung auf Geschäftsgeheimnisse scheint aber eine solche Änderung nötig zu sein. Unklar ist das Verhältnis von Absatz 1Satz 3 und 4 zu dem neuen, inhaltlich identischen Absatz 3 Satz 3. Die Sätze 3 und 4 in Absatz können wohl ersatzlos gestrichen werden.
Der neue Absatz 2 sieht eine umfassende Auskunftsregelung zu Scoringverfahren vor. Da die Praxis insofern die bisher bestehende Rechtslage (Kamp/Weichert, Scoringsysteme, S. 93 ff.) ignoriert bzw. dessen Beachtung verweigert, ist die geplante Regelung sehr zu begrüßen. Zu begrüßen ist auch, dass die Regelungslücke bei getrennt gehaltenen Daten (ohne Personenbezug bzw. bei Speicherung durch andere Stelle) geschlossen wird. Die verantwortlichen Stellen konnten bisher durch das Getrennthalten von Daten, die zusammengeführt werden sollen, eine umfassende Auskunftserteilung über die verfügbaren Daten zu einer Person sabotieren.
Die Aufnahme eines Absatzes 4 erweitert die Auskunftsansprüche des Betroffenen gegenüber Auskunfteien in Bezug auf Wahrscheinlichkeitswerte (Scores). Da insofern große praktische Defizite und Lücken bestehen, ist diese Regelung zu begrüßen.
Die Zweckbegrenzung von Auskunftsdaten, die nun in Absatz 5 festgeschrieben werden soll, entspricht der bisherigen Rechtslage. Eine Klarstellung ist aber sinnvoll.
Die bisherige Auskunftsgebühr soll nach Absatz 8 nur noch anfallen, wenn innerhalb eines Jahres mehr als einmal eine Auskunft erteilt wird und eine wirtschaftliche Nutzbarkeit besteht. Diese Änderung ist sehr zu begrüßen, da Auskunfteien aus der Auskunftserteilung, also der Wahrnehmung eines Grundrechts, nämlich des Rechts auf informationelle Selbstbestimmung, ungerechtfertigterweise eine eigenständige Profitquelle erschlossen haben.
9. Datenkorrekturregelungen (§ 35 BDSG)
- Die Ergänzung, dass geschätzte Daten als solche kenntlich gemacht werden müssen, ist zu begrüßen.
- Die Löschpflicht von Positivdaten zu Kreditverträgen nach Erledigung des Vertrages gemäß Absatz 2 ist zu begrüßen.
- Das Verbot der Übermittlung im Fall der Sperrung nach Absatz 4a entspricht der bisherigen Rechtslage und hat lediglich klarstellende Wirkung.
10. Bußgeldregelung (§ 43 BDSG)
Es ist sehr zu begrüßen, wenn die bisher sanktionsfrei bleibende Auskunftsverweigerung als Ordnungswidrigkeit verfolgt werden kann (Kamp/Weichert, Scoringsysteme, S. 136).
Kiel, den 20.06.2008
Thilo Weichert.