Aufsatz : Zulässigkeit der Tätigkeit von Auskunfteien nach der DS-GVO : aus der RDV 1/2017, Seite 10 bis 13
Bei Auskunfteien handelt es sich um ein etabliertes Geschäftsmodell nach der derzeitigen Rechtslage. In vielen Vorschriften des Bundesdatenschutzgesetzes (BDSG) werden Auskunfteien explizit erwähnt. Die einzelnen Datenverarbeitungsschritte sind in den §§ 28a ff. BDSG ausdifferenziert geregelt. Die Europäische Datenschutz-Grundverordnung (DS-GVO) dagegen erwähnt das Geschäftsmodell nicht[1], sondern arbeitet mit Generalklauseln. Diese werfen viele Fragen auf. Der folgende Beitrag soll daher einen ersten Überblick über die Zulässigkeit der Tätigkeit von Kreditauskunfteien unter der DS-GVO bieten.
I. Rechtslage unter dem BDSG
Unter Auskunfteien werden im Allgemeinen Unternehmen verstanden, die unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammeln, um sie bei Bedarf Geschäftspartnern für die Beurteilung der Kreditwürdigkeit der Betroffenen gegen Entgelt zugänglich zu machen.[2] Ihnen wird aufgrund des anonymer werdenden Geschäftsverkehrs eine zentrale Funktion zum Schutz potentieller Kreditgeber vor zahlungsunfähigen oder -unwilligen Schuldnern zugesprochen.[3] Das BDSG sieht ausdrückliche Regelungen für das Geschäftsmodell der Auskunfteien vor.[4] Eine zentrale Norm stellt § 29 BDSG dar. Das geschäftsmäßige Erheben, Speichern, Verändern oder Nutzen personenbezogener Daten zum Zweck der Übermittlung ist zulässig, insbesondere wenn es der Tätigkeit von Auskunfteien oder dem Adresshandel dient, sofern die Erlaubnistatbestände des § 29 Abs. 1 BDSG[5] erfüllt sind. Die Zulässigkeit von Datenübermittlungen durch Auskunfteien richtet sich nach § 29 Abs. 2 BDSG.
Unter den in § 28a Abs. 1 BDSG genannten Voraussetzungen ist die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien zulässig. Gem. § 28a Abs. 2 BDSG dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft an Auskunfteien übermitteln. § 28a Abs. 3 BDSG statuiert eine Nachberichtspflicht sowohl an als auch durch die Auskunftei.
Scoring ist eines der Kernprodukte von Auskunfteien[6] neben dem Eigenscoring etwa durch Kreditinstitute selbst. Im Rahmen der BDSG-Novelle 2009 wurde mit § 28b BDSG eine explizite Regelung für die Erhebung und Verwendung von Wahrscheinlichkeitswerten geschaffen.
Die §§ 33-35 BDSG enthalten auskunfteispezifische Betroffenenrechte. So besteht nach § 33 Abs. 1 Satz 2 BDSG eine spezielle Regelung der Benachrichtigungspflicht für Auskunfteien. § 34 BDSG sieht in Abs. 1 Satz 3 und Abs. 3 auskunfteispezifische Auskunftspflichten vor. § 34 Abs. 4 BDSG betrifft ausdifferenzierte Auskunftspflichten zu Scorewerten. Außerdem bestehen nach § 35 Abs. 2 Satz 2 Nr. 4 BDSG für Auskunfteien spezielle Prüf- und Löschpflichten.
II. Rechtslage unter der DS-GVO
Die DS-GVO sieht ein nicht annähernd so detailliertes Regelungssystem zu Auskunfteien vor. Dass Auskunfteien in der DS-GVO nicht erwähnt werden, bedeutet aber wohl nicht, dass das Geschäftsmodell von vornherein unzulässig sein soll. Vielmehr sieht die DS-GVO generell keine branchenspezifischen Regelungen vor. Im Folgenden sollen die Zulässigkeit von Bonitätsabfragen und Scoring sowie Informationsund Auskunftspflichten von Auskunfteien betrachtet werden.
1. Bonitätsabfragen
1.1 Rechtsgrundlage für die Abfragen durch Vertragspartner der Auskunfteien
Unternehmen führen vorvertragliche Bonitätsprüfungen beispielsweise durch, wenn sie mit einem Vertragsabschluss ein kreditorisches Risiko eingehen. Aber auch zur Prüfung der Erfolgsaussichten von Vollstreckungsmaßnahmen werden Bonitätsdaten bei Auskunfteien abgefragt. Bisher kam als Rechtsgrundlage für Abfragen § 28 Abs. 1 Satz 1 Nr. 2 BDSG[7] in Betracht. Künftig wird Art. 6 Abs. 1 lit. f) DS-GVO zu prüfen sein. Grundsätzlich kommt bei vorvertraglichen Bonitätsprüfungen zwar auch Art. 6 Abs. 1 lit. b) DS-GVO als Rechtsgrundlage in Betracht.[8] Dies kann jedoch höchstens Fällen vorbehalten sein, in denen Bonitätsprüfungen zur Zweckbestimmung des Vertrages oder des vorvertraglichen Verhältnisses gehören, wie etwa bei Abschluss eines Kreditvertrages.
Grundsätzlich ist somit für Bonitätsabfragen bei Auskunfteien eine Interessenabwägung nach Art. 6 Abs. 1 lit. f) DS-GVO durchzuführen. Die Abfrage muss zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich sein und die Interessen der betroffenen Person dürfen nicht überwiegen. Gem. Erwägungsgrund 47 der DS-GVO sind hierbei die vernünftigen Erwartungen der betroffenen Person, die auf der Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse kann vorliegen, wenn die betroffene Person ein Kunde des Verantwortlichen ist. Bei der Abwägung soll geprüft werden, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftiger Weise absehen kann, dass möglicherweise eine Verarbeitung zu diesem Zweck erfolgen wird. Konkrete Anhaltspunkte[9] dafür, dass ein der Verarbeitung entgegenstehendes schutzwürdiges Interesse besteht, werden gerade nicht gefordert. Ob jedes wirtschaftliche Interesse, wie etwa die Steigerung der Kundenzufriedenheit[10], Bonitätsabfragen rechtfertigen kann, ist fraglich. Dies wäre für betroffene Personen vernünftiger Weise jedenfalls nicht absehbar. Das Interesse, kreditorische Risiken vor Abschluss eines entsprechenden Vertrages mit Hilfe von Bonitätsinformationen einzuschätzen, ist dagegen berechtigt i.S.v. Art. 6 Abs. 1 lit. f) DS-GVO.
1.2 Rechtsgrundlage für die Übermittlung durch Auskunfteien
Bisher kam als Rechtsgrundlage für die Übermittlung von Bonitätsdaten durch Auskunfteien § 29 Abs. 2 BDSG in Betracht. Zukünftig wird wie bei den Abfragen durch die Vertragspartner auch Art. 6 Abs. 1 lit. f) DS-GVO zu prüfen sein.[11] Es ist also im Rahmen einer Interessenabwägung zu prüfen, ob eine Erforderlichkeit zur Wahrung berechtigter Interessen eines Dritten besteht und Interessen der betroffenen Person überwiegen. Gem. Erwägungsgrund 47 sind die vernünftigen Erwartungen der betroffenen Person zu berücksichtigen. Fraglich ist, ob die kontextfremde Erteilung von Auskünften den vernünftigen Erwartungen der betroffenen Person entspricht. So dürften betroffene Personen etwa davon ausgehen, dass Informationen zu Mietforderungen nur in diesem Kontext Aussagekraft erlangen und daher ausschließlich auf entsprechende Anfragen bei Abschluss eines Mietvertrages beauskunftet werden. Hierfür spricht auch, dass die Begleichung von Forderungen mit existenziellen Auswirkungen wie Mietschulden eine höhere Priorität bei Schuldnern erhalten wird als beispielsweise das Begleichen der Telefonrechnung. Die derzeit existierenden branchenübergreifenden Auskunfteisysteme, die etwa Forderungen aus Telekommunikationsverträgen auch auf Anfragen von Vermietern beauskunften, könnten somit auf der Grundlage des Art. 6 Abs. 1 lit. f) DS-GVO nicht zu rechtfertigen sein.
Es besteht keine Regelung dazu, wie der Nachweis des berechtigten Interesses gegenüber der Auskunftei zu führen ist. Verantwortliche müssen allerdings gem. Art. 5 Abs. 2 DS-GVO die Rechtmäßigkeit der Verarbeitungen nachweisen können. Eine Privilegierung in Form eines Stichprobenverfahrens für automatisierte Abrufverfahren wie bisher in § 29 Abs. 2 Satz 4 und 5 BDSG enthält die DS-GVO nicht. Soll auch zukünftig in den Massenverfahren der Auskunfteien auf den Nachweis eines berechtigten Interesses durch den Abfragenden in jedem Einzelfall verzichtet werden, müssen entsprechend kompensierende technische und organisatorische Schutzmaßnahmen eingerichtet werden. Dazu zählt insbesondere die Beschränkung auf einen potentiell berechtigten Empfängerkreis, die geeignete Dokumentation der glaubhaft dargelegten Abfragegründe, die stichprobenartige Überprüfung[12] der Berechtigung der Abfragen in einem angemessenen Umfang und der Ausschluss von Verantwortlichen von dem vereinfachten Verfahren, die ohne berechtigtes Interesse Abfragen getätigt haben. Die Dokumentation dieser Maßnahmen dient auch dem Nachweis gegenüber der Aufsichtsbehörde.
2. Scoring
Mit der BDSG-Novelle 2009 wurde eine ausdrückliche Regelung zu Scoring in § 28b BDSG geschaffen.[13] Die Regelung betrifft die Errechnung eines Wahrscheinlichkeitswertes für ein bestimmtes zukünftiges Verhalten zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen. Die DS-GVO enthält in Art. 4 Nr. 4 eine Definition zu Profiling. Darunter soll jede Art der automatisierten Datenverarbeitung zur Analyse und Vorhersage persönlicher Aspekte zu verstehen sein, was auch auf die bekannten Scoringverfahren zutrifft. Art. 4 Nr. 4 DS-GVO stellt aber keine Rechtsgrundlage für entsprechende Datenverarbeitungen dar. Auch Art. 22 DS-GVO enthält keinen Erlaubnistatbestand[14], sondern sieht vergleichbar mit dem bisherigen § 6a BDSG[15] Rahmenbedingungen für automatisierte Entscheidungen einschließlich Profiling vor.
2.1 Rechtsgrundlage für Scoreberechnungen Eine mögliche Rechtsgrundlage für Scoringverfahren stellt Art. 6 Abs. 1 lit. f) DS-GVO dar. Es ist eine eigenständige Interessenabwägung durchzuführen, welche unabhängig von der Prüfung der Zulässigkeit der Verarbeitung der Datengrundlage zu erfolgen hat. Die zulässige Speicherung von Daten impliziert noch nicht deren zulässige Verwendung für Scoringzwecke. So kann etwa das Speichern der Voranschrift einer Person für eine Auskunftei zu Identifizierungszwecken zulässig sein. Das heißt jedoch nicht, dass das Datum zulässigerweise in ein Bonitätsscoring einbezogen werden darf.[16]
2.2 Maßnahmen zur Gewährleistung einer fairen und transparenten Verarbeitung
Gem. Erwägungsgrund 71 ist insbesondere eine faire und transparente Verarbeitung zu gewährleisten. Entsprechend muss die Informationsqualität in Hinblick auf den Einsatz von Scoreverfahren in der Zukunft generell verbessert werden. Vielen Verbraucherinnen und Verbrauchern sind die Berechnungsverfahren unbekannt.[17] Der Grundsatz der Transparenz bezieht sich gem. Erwägungsgrund 58 allerdings auch auf Informationen für die Öffentlichkeit.
Wie bereits unter § 28b Nr. 1 BDSG sind nur geeignete mathematische und statistische Verfahren für das Scoring einzusetzen. Des Weiteren sind technische und organisatorische Maßnahmen zu treffen, um insbesondere das Risiko von Fehlern zu minimieren.[18] Die Berechnungsverfahren, die Zuverlässigkeit ihrer Datenquellen sowie die Aussagekraft der Ergebnisse sind demnach ständig zu überwachen. Voraussetzung hierfür ist, dass die Verfahren beherrschbar und kontrollierbar sind.
Neu ist zudem die Regelung besonderer Datenschutzmaßnahmen[19] für automatisierte Entscheidungen bei Vertragsbeziehungen und aufgrund einer Einwilligung in Art. 22 Abs. 3 DS-GVO. Es besteht das Recht auf Eingreifen durch eine Person, Darlegung des eigenen Standpunktes und Anfechtung der Entscheidung. Gem. Erwägungsgrund 71 hat als logische Voraussetzung für die Wahrnehmung dieser Rechte eine spezifische Unterrichtung der betroffenen Person zu erfolgen. Diese Maßnahmen zur Wahrung der Interessen der betroffenen Personen sind auch nicht deshalb unbeachtlich, weil Auskunfteien in der Regel nicht selbst rechtswirksame oder ähnliche Entscheidungen gegenüber den betroffenen Personen treffen. Die Schutzmaßnahmen sind jedenfalls zu gewährleisten, wenn an der Vorbereitung entsprechender Entscheidungen mitgewirkt wird. Für die Kriterien und Bedingungen der auf Profiling basierenden Entscheidungen wird der Europäische Datenschutzausschuss gem. Art. 70 Abs. 1 S. 2 lit. f) DS-GVO Leitlinien, Empfehlungen und bewährte Verfahren bereitstellen.
3. Betroffenenrechte
3.1 Informationspflichten der Auskunfteien
Da Auskunfteien eine Fremderhebung vornehmen, sind die Informationspflichten des Art. 14 zu beachten.[20] Gem. Art. 12 Abs. 1 DS-GVO sind die Informationen in präziser, transparenter, verständlicher, leicht zugänglicher Form sowie in klarer und einfacher Sprache[21] bereitzustellen. Die aktuell verwendeten Informationsschreiben nach § 33 BDSG sind anzupassen.[22] Die Informationen können gem. Art. 12 Abs. 1 DS-GVO auch in elektronischer Form erteilt werden. Gem. Art. 12 Abs. 7 DS-GVO dürfen Bildsymbole[23] verwendet werden, um einen aussagekräftigen Überblick über die Verarbeitung zu vermitteln.
Hinsichtlich des Zeitpunkts der Informationserteilung haben Auskunfteien Art. 14 Abs. 3 lit. c) DS-GVO zu beachten. Die Informationen nach Art. 14 Abs. 1 und 2 DS-GVO sind spätestens zum Zeitpunkt der ersten Offenlegung an einen Empfänger zu erteilen. Ausnahmen von der Informationspflicht sind in Art. 14 Abs. 5 DS-GVO geregelt. Ein unverhältnismäßiger Aufwand[24] gem. Art. 14 Abs. 5 lit. b) DSGVO kann in der Regel für Auskunfteien nicht angenommen werden. Denn das Geschäftsmodell besteht gerade in der geschäftsmäßigen Datenverarbeitung und verlangt aufgrund der Fremderhebung eine nur restriktive Einschränkung der Transparenzmaßnahmen. Soll die Informationspflicht von Dritten erfüllt werden, um sich auf den Ausnahmetatbestand des Art. 14 Abs. 5 lit. a) DS-GVO zu berufen, trägt der Verantwortliche das Risiko.[25] Der Bußgeldtatbestand des Art. 83 Abs. 5 lit. b) DS-GVO spricht für eine besonders sorgfältige Erfüllung der Informationspflichten sowie der übrigen Betroffenenrechte.
3.2 Auskunftsrechte
Das Auskunftsrecht der betroffenen Person ist nun in Art. 15 DS-GVO geregelt. Neu ist eine Fristenregelung in Art. 12 Abs. 3 DS-GVO. Danach muss unverzüglich, in jedem Fall innerhalb eines Monats, auf den Auskunftsantrag reagiert werden. Eine Verlängerung der Frist ist in komplexen Fällen zwar möglich. Selbst dann ist die betroffene Person aber innerhalb eines Monats über die Gründe der Verzögerung zu unterrichten. Generell haben Verantwortliche somit ein geeignetes Verfahren einzurichten, um Anträge innerhalb der vorgegebenen Fristen bearbeiten zu können. Dies betrifft gem. Art. 12 Abs. 4 DS-GVO auch Fälle, in denen der Verantwortliche gar nicht tätig werden will. Für Auskunfteien stellen diese Vorgaben eine gesteigerte Herausforderung dar, da sie erfahrungsgemäß in größerem Umfang von Auskunftsersuchen betroffen sind. Auskünfte sind dabei gem. Art. 12 Abs. 5 DS-GVO grundsätzlich unentgeltlich zu erteilen. Neu ist eine Regelung zu „offenkundig unbegründeten oder exzessiven Anträgen“, wobei den Verantwortlichen diesbezüglich eine Nachweispflicht trifft. Gem. Erwägungsgrund 63 soll das Auskunftsrecht in angemessenen Abständen wahrgenommen werden können, was für einen Fortbestand der mindestens einmal jährlich kostenlos erteilten Auskunft[26] spricht.
Schwierigkeiten können für eine Auskunftei bestehen, die Auskunft auf elektronischem Weg zuverlässig an den Berechtigten[27] zu erteilen. Dieser Weg soll gem. Art. 12 Abs. 3 Satz 4 DS-GVO „nach Möglichkeit“ genutzt werden, wenn auch der Antrag elektronisch gestellt wurde. Kann aber etwa eine E-Mailadresse, unter der ein Auskunftsanspruch geltend gemacht wurde, nicht sicher als diejenige der berechtigten Person verifiziert werden, sollte eine Auskunft postalisch an die im Datenbestand der Auskunftei gespeicherte Anschrift gesendet werden. Gleiches gilt für den Kopieherausgabeanspruch gem. Art. 15 Abs. 3 DS-GVO. Im Übrigen kann der Verantwortliche bei Zweifeln an der Identität der auskunftsersuchenden Person gem. Art. 12 Abs. 6 DSGVO zur Identifizierung erforderliche Informationen zusätzlich anfordern.
Inhaltlich umfasst der Anspruch gem. Art. 15 Abs. 1 DSGVO die Auskunft, ob personenbezogene Daten zur betroffenen Person verarbeitet werden und wenn ja, welche. In diesem Fall sind zusätzlich die katalogartig aufgezählten Informationen zu erteilen. Neu sind hier die Information über die geplante Speicherdauer oder die Kriterien für deren Festlegung sowie die Information über Betroffenenrechte, insbesondere das Beschwerderecht bei der Aufsichtsbehörde. Zum Bestehen automatisierter Entscheidungsfindungen einschließlich Profiling sind aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen zu erteilen. Dies ist keinesfalls ein Weniger gegenüber der bisherigen Auskunftsregelung des § 34 Abs. 4 BDSG. Vielmehr spricht der Transparenzgrundsatz gem. Art. 5 Abs. 1 lit. a) DS-GVO für eine weite Auslegung des Art. 15 Abs. 1 lit. h) DS-GVO, die von Geschäftsgeheimnissen[28] der Auskunftei beschränkt werden kann.
III. Fazit
Auskunfteien verlieren ein ausdifferenziertes Regelungssystem im BDSG. Die Prozesse sind hinsichtlich der Vereinbarkeit mit der DS-GVO zu überprüfen. Insbesondere im Bereich der Betroffenenrechte sind Anpassungen vorzunehmen, um etwa Fristenregelungen und inhaltlich ausgeweiteten Transparenzansprüchen gerecht zu werden.
Carolyn Eichler ist Referentin bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit. Der Beitrag gibt die persönliche Auffassung der Autorin wieder.
* Aufsatz zum Vortrag im Rahmen des 35. RDV-Forums am 16.11.2016 in Köln.
[1] Gola, in: Gola, DS-GVO Einl. Rn. 39.
[2] Ehmann, in: Simitis, BDSG § 29 Rn. 83 f.
[3] BT-Drs. 16/10529, S. 9.
[4] Daneben erwähnt auch § 38 Abs. 1 Nr. 2 Gewerbeordnung Auskunfteien.
[5] Buchner, in: BeckOK DatenSR, BDSG § 29 Rn. 49.
[6] Schulz, in: Gola, DS-GVO Art. 6 Rn.133.
[7] Zur Auslegung des § 28 BDSG: Gola/Schomerus/Körffer/Klug, BDSG § 28 Rn. 19.
[8] Schulz, in: Gola, DS-GVO Art. 6 Rn. 37.
[9] A.A. Schulz, in: Gola, DS-GVO Art. 6 Rn. 138.
[10] Schulz, in: Gola, DS-GVO Art. 6 Rn. 135.
[11] Zum Fehlen einer den §§ 28 und 29 BDSG vergleichbaren Differenzierung zwischen Datenverarbeitungen für eigene Geschäftszwecke und solchen, die geschäftsmäßig zum Zwecke der Übermittlung erfolgen: Schulz, in: Gola, DS-GVO Art. 6 Rn. 59.
[12] Schulz, in: Gola, DS-GVO Art. 6 Rn. 136.
[13] Zu der Frage, ob die Vorschriften im BDSG zum Scoring erhalten bleiben können: Taeger, ZRP 2016, 72.
[14] Schulz, in: Gola, DS-GVO Art. 22 Rn. 3.
[15] Martini, in: Paal/Pauly, DS-GVO Art. 22 Rn. 42.
[16] Schulz, in: Gola, DS-GVO Art. 6 Rn. 132.
[17]Https://www.bundesregierung.de/Content/DE/Artikel/2015/05/2015-05-06-scoring-transparenz-verbraucher.html.
[18] Erwägungsgrund 71.
[19] Martini, in: Paal/Pauly, DS-GVO Art. 22 Rn. 39.
[20] Schulz, in: Gola, DS-GVO Art. 6 Rn. 133.
[21] Paal, in: Paal/Pauly, DS-GVO Art. 12 Rn. 33.
[22] Franck, in: Gola, DS-GVO Art. 12 Rn.12.
[23] Zu Vorschlägen des Parlamentsentwurfs der DS-GVO, die sich im Abstimmungsprozess nicht durchsetzen konnten: Franck, in: Gola, DSGVO Art. 12 Rn. 47.
[24] Franck, in: Gola, DS-GVO Art. 14 Rn. 23.
[25] Piltz, K&R 2016, 629, 630.
[26] Bisher § 34 Abs. 8 BDSG.
[27] Piltz, K&R 2016, 629.
[28] Vgl. Erwägungsgrund 63.