Aufsatz : Verarbeitung von Positivdaten durch Auskunfteien – wirklich nur mit Einwilligung? : aus der RDV 3/2022 Seite 117-123
Ob nicht-negative personenbezogene Daten („Positivdaten“) durch Auskunfteien auch außerhalb des Vorliegens einer Einwilligung des Betroffenen verarbeitet werden dürfen, ist seit Jahren umstritten. Gefestigte Rechtsprechung hierzu existiert nicht. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) hatte sich im September 2021 abermals mit dieser Frage beschäftigt und erneut die Chance verpasst, von ihrer knapp 15 Jahre alten Positionierung abzurücken. Dass auch unter der DS-GVO ein apodiktisches Festhalten am Primat der Einwilligung für die Verarbeitung von Positivdaten nicht begründbar ist und stattdessen eine Verarbeitung auch auf Grundlage der allgemeinen Interessenabwägungsklausel zulässig sein kann, wird dieser Beitrag aufzeigen.
I. Vorüberlegungen
1. Bedeutung des Auskunfteienwesens in Deutschland
Eine Auskunftei ist ein Unternehmen, das unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen erhebt und verarbeitet, um sie bei Bedarf seinen Geschäftspartnern für die Beurteilung der Kreditwürdigkeit der Betroffenen gegen Entgelt zugänglich zu machen.² Die Bedeutung des Auskunfteienwesens als unverzichtbarer Bestandteil der Wirtschaftsordnung ist heute allgemein anerkannt. Allen voran der Gesetzgeber geht davon aus, dass der Schutz von Verbrauchern vor Überschuldung „sowohl im Interesse der Verbraucher selbst als auch der Wirtschaft [liegt]. Die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften bilden das Fundament des deutschen Kreditwesens und damit auch der Funktionsfähigkeit der Wirtschaft.“³
Existierten durch Auskunfteien verfügbar gemachte Informationen nicht, wären auch nach Auffassung von Wissenschaft und Literatur breite Schichten der Bevölkerung aufgrund der für Kreditgeber nicht kalkulierbaren Risiken von einer Kreditvergabe praktisch ausgeschlossen. Informationen, die auf die Kreditwürdigkeit von Verbrauchern und Unternehmen schließen lassen, sind wesentliche Voraussetzung für eine reibungslose und kostengünstige Abwicklung volkswirtschaftlicher Transaktionen.⁴ Kontaktlose Massengeschäfte, die insbesondere in der aktuellen pandemischen Lage weiter an Bedeutung gewonnen haben, etwa in den Bereichen E-Commerce oder Telekommunikation, wären ohne neutral aufbereitete Information zu potentiellen Kunden unmöglich, jedenfalls aber erheblich erschwert.⁵
In der Rechtsprechung wird diese Einordnung des Auskunfteienwesens als für die Wirtschaftsordnung besonders bedeutsam seit jeher geteilt. Bereits in seinen ersten Entscheidungen zum seinerzeit neu erlassenen ersten Bundesdatenschutzgesetz anerkannte der BGH die Interessen der Wirtschaft an validen und neutral aufbereiteten Informationen über potentielle Geschäftspartner.⁶ Die Instanzrechtsprechung hat diese grundsätzliche Ausrichtung in der Folge ausnahmslos bestätigt.⁷ Auch nach Auffassung des EuGH unterstützen Kreditinformationssysteme Kreditinstitute bei der Erfüllung ihrer Aufgaben⁸ und sind dazu geeignet, der Überschuldung von Kreditnehmern vorzubeugen.⁹
2. Art und Umfang der Datenverarbeitung im Auskunfteienwesen
Wesentlicher Gegenstand der Verarbeitungstätigkeit einer Auskunftei ist die Erstellung und Bereitstellung von Scorewerten. Orientiert am Wortlaut von § 31 Abs. 1 BDSG handelt es sich bei Scorewerten um Wahrscheinlichkeitswerte über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit der betroffenen Person. Wurde Scoring anfangs zunächst ausschließlich bei klassischen (Bank-)Kreditgeschäften eingesetzt, finden sich heute zahlreiche Lebenslagen, in denen Scoringverfahren zum Einsatz kommen, so etwa in den Bereichen Telekommunikation, E-Commerce, Wohnraummiete, aber auch im Arbeitsrecht, etwa im Zusammenhang mit Laufbahnprognosen.
Scoringverfahren liegt die Annahme zugrunde, dass, je mehr Faktoren einer Vergleichsgruppe in einer Person vereint sind, umso wahrscheinlicher der Eintritt eines den Mitgliedern der Vergleichsgruppe ähnlichen Verhaltens sein wird. Klassifiziert werden können Scoringverfahren in interne (Verwendung eigener Datenbestände), externe (Einbindung von Dienstleistern) und Mischformen. Allen Scoring-Systemen gemein ist das Ersetzen subjektiv geprägter Entscheidungen durch mehr oder weniger wissenschaftliche, standardisierte, gewichtete Entscheidungsparameter.¹⁰
Externe Scoringverfahren werden durch Auskunfteien durchgeführt. Dass Auskunfteien bonitätsrelevante Daten unabhängig vom Vorliegen eines konkreten Verwendungszwecks verarbeiten, und damit der Geschäftsgegenstand von Auskunfteien eine Datenspeicherung „auf Vorrat“ darstellt, findet seine Rechtfertigung in der nicht hinwegzudenkenden hohen volkswirtschaftlichen Relevanz des Auskunfteienwesens. Der Datenbestand von Auskunfteien besteht sowohl aus Einmeldungen der Vertragspartner der Auskunftei als auch aus Informationen aus öffentlichen Verzeichnissen und anderen öffentlich zugänglichen Quellen.¹¹
Betrachtet man den Umfang der Datenverarbeitung durch Auskunfteien, lässt sich dieser in mehrere Verarbeitungsphasen, in die unterschiedliche Akteure eingebunden sind bzw. sein können, untergliedern. Als verantwortliche Stellen für diese Datenverarbeitungen treten dabei sowohl die einmeldenden Unternehmen als auch die Auskunfteien in Erscheinung.
3. Begriffsdefinition: Positivdaten
Nach einer Auffassung in der Literatur sind Positivdaten Informationen über ungestört laufende Verträge, also solche, bei denen der Belieferte keinen Anlass zur Beanstandung gibt.¹² Der Gesetzgeber folgt einer neutraleren, weiterreichenden Definition und versteht unter Positivdaten bereits „personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses eines Geschäfts mit finanziellem Ausfallrisiko (Positivdaten)“.¹³ Assion/Hauck weisen im Zusammenhang mit der Definition des Positivdatums zu Recht darauf hin, dass eine Trennung nach Positivdaten und Negativdaten wenig geeignet ist, Rechtssicherheit herzustellen. Vielmehr müsse berücksichtigt werden, dass die Einordnung einer Information als positiv oder negativ stets mit einer Wertungsfrage verbunden ist. Eine holzschnittartige Unterscheidung in Positiv- und Negativdaten ist nicht immer rechtssicher möglich. Ein und dieselbe Information kann wohlwollend oder nachteilig ins Gewicht fallen.¹⁴
So verhält es sich auch bei sogenannten „Dauerkonten“ des Versandhandels, d.h. der Information, dass eine Verbraucherin über ein Kundenkonto bei einem Versandhandelsunternehmen verfügt. Bereits die Existenz eines solchen Kundenkontos ist oft schon ein ganz erhebliches Indiz dafür, dass die Verbraucherin auch tatsächlich existiert, ihre Identität also als zumindest wahrscheinlich erachtet werden kann. Verfügt das Kundenkonto zudem über Finanzierungs- bzw. Stundungselemente, wie z.B. Vorausleistungsverpflichtungen des Händlers, Kundenkarten o.ä., ist hiermit grundsätzlich auch eine bonitätsrelevante Aussage verbunden.
4. Rechtsgrundlagen der Verarbeitung von Positivdaten
Außerhalb einwilligungsbasierter Verarbeitungen kommt als Rechtsgrundlage für die Verarbeitung von (negativen bzw. positiven) Bonitätsdaten grundsätzlich allein die allgemeine Interessenabwägung im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO in Betracht.¹⁵ Dieser Befund wurde zuletzt durch die Rechtsprechung erneut bestätigt.¹⁶ Eine Verarbeitung auf Grundlage der sog. Vertragsdatenverarbeitung im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. b DS-GVO ist hingegen regelmäßig wegen der fehlenden Erforderlichkeit der Verarbeitung für eine Vertragsabwicklung nicht möglich. Auch fehlt es an einer Auskunfteien adressierende, dem Kreditwesen vergleichbare Verarbeitungsobliegenheit (vgl. § 18 KWG). Da es sich bei Auskunfteien um privatrechtliche Unternehmen handelt und diese auch nicht im Wege der Beleihung mit öffentlich-rechtlichen Befugnissen ausgestattet sind,¹⁷ scheidet schließlich auch eine Verarbeitung auf Grundlage öffentlich-rechtlicher Befugnisnormen im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. e DS-GVO aus.
5. Einheitliche datenschutzrechtliche Betrachtung der Verarbeitungsphasen
Eine nach Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO durchzuführende Abwägungsentscheidung muss in Ansehung des finalen, „eigentlichen“ Zwecks der Datenverarbeitung erfolgen. Übertragen auf den hier zu betrachtenden Fall gilt insoweit, dass eine Bewertung der Zulässigkeit der Einmeldung von Positivdaten durch Versandhandelsunternehmen auf Grundlage von Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO nur unter Einbeziehung des hiermit tatsächlich verfolgten Zwecks, namentlich der durch eine Auskunftei vorgenommenen Scorewertberechnung unter Einbeziehung jener Positivdaten, möglich ist.
Bei der Bewertung der datenschutzrechtlichen Zulässigkeit ist die geplante „Verarbeitung“ in den Blick zu nehmen. Art. 4 Nr. 2 DS-GVO definiert den Begriff der Verarbeitung als „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.“ Die DS-GVO macht an dieser Stelle deutlich, dass im Rahmen der Zulässigkeitsprüfung keine allein auf einzelne Verarbeitungsphasen fokussierte Betrachtung vorzunehmen ist. Zwar sind auch unter Geltung der DS-GVO weiterhin alle Phasen eines Verarbeitungsvorgangs jeweils gesondert auf ihre Zulässigkeit hin zu überprüfen.¹⁸ Über den Begriff des Vorgangs bzw. der Vorgangsreihe wird jedoch eine Klammerwirkung erreicht, die eine Gesamtschau des gesamten durch den Verantwortlichen beeinflussten Datenverarbeitungsprozesses erforderlich macht.¹⁹ Aus welchen und wie vielen Verarbeitungsphasen der Umgang mit personenbezogenen Daten besteht und ob diese unmittelbar hintereinander, am gleichen Ort oder zeitlich oder räumlich verteilt stattfinden, ist dabei ohne Bedeutung.²⁰
Im Anwendungsbereich von Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO ist eine Abwägung zwischen den berechtigten Interessen des Verarbeiters an einer Verarbeitung und den widerstreitenden Ausschlussinteressen der betroffenen Person durchzuführen. Im Rahmen der Abwägung ist jede Phase der Datenverarbeitung getrennt zu prüfen. Zugleich ist der gesamte Verarbeitungsvorgang in den Blick zu nehmen. So kann eine Abwägung bspw. ergeben, dass etwa eine Speicherung und Nutzung gerechtfertigt ist, nicht aber eine diesen Verarbeitungsphasen nachgelagerte Übermittlung.²¹ Sind aber die einzelnen Verarbeitungsphasen so eng miteinander „verzahnt“, dass bei Wegfall der Zulässigkeit nur einer dieser Phasen der gesamte Verarbeitungsvorgang „keinen Sinn“ mehr ergibt, schlägt die Unzulässigkeit der einen Verarbeitungsphase auf die anderen Verarbeitungsphasen durch. Auch diese – bei isolierter Betrachtung zulässigen – Verarbeitungsphasen müssen dann als unzulässig eingeordnet werden. Erweist sich eine angestrebte Verwendung von Daten als unzulässig, erscheint auch eine diese Verwendung vorbereitende Verarbeitung auf Grundlage von Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO als nicht legitimierbar. Infolge der nicht realisierbaren Erreichung des eigentlichen Zwecks der Verarbeitung fehlte es dann bereits an der Erforderlichkeit der vorbereitenden Datenverarbeitung.
II. Tatbestandsvoraussetzungen von Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO
Soll eine Datenverarbeitung auf Grundlage der allgemeinen Interessenabwägung gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO erfolgen, muss sich diese Verarbeitung als zur Erfüllung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich darstellen. Den berechtigten Interessen des Verantwortlichen dürfen keine überwiegenden Interessen der betroffenen Person an einem Ausschluss der Verarbeitung entgegenstehen.
1. Berechtigte Interessen
Als berechtigtes Interesse kommen alle rechtlichen, wirtschaftlichen oder ideellen Interessen in Betracht. „Berechtigt“ ist jedes Interesse, solange dieses nicht gegen europäisches oder nicht auf europäisches Recht zurückgehendes Mitgliedstaatenrecht verstößt.²² Im Auskunfteienwesen sind sowohl die Interessen der angeschlossenen Unternehmen als auch die Interessen der Auskunftei selbst zu berücksichtigen. Die angeschlossenen Unternehmen verfolgen ein wirtschaftlich und rechtlich motiviertes Interesse an der Überprüfung bestimmter Personen. Informationen zur Bonität sind geeignet, strukturelle Risiken für Unternehmen, die kreditorische Risiken eingehen, zu reduzieren. Besonders bedeutsam sind die berechtigten Interessen an der Authentifizierung von Geschäftspartnern und der Betrugsprävention bei Distanzgeschäften.
Auskunfteien haben zudem ein grundrechtlich geschütztes wirtschaftliches Interesse daran, Informationen anzubieten, aufzubereiten und zu vermitteln. Nach der Rechtsprechung des BGH²³ und einzelner Obergerichte sind Scorewerte als Werturteile qualifiziert und Eingriffe in die Erstellung solcher Werte beeinträchtigen auch die Freiheit der Willensbildung.²⁴
2. Erforderlichkeit
Unabhängig von der Wahl der konkreten Rechtsgrundlage muss die Datenverarbeitung zur Erreichung des Verarbeitungszwecks erforderlich sein. Hierbei ist zu prüfen, ob die Datenverarbeitung objektiv zur Erreichung des Verarbeitungszwecks geeignet ist und ob eine für die betroffene Person weniger invasive Alternative entweder nicht vorliegt oder für den Verantwortlichen nicht zumutbar ist.
Im Fall der Verarbeitung von personenbezogenen Daten im Auskunfteienwesen ist diese ohne eine klare Erforderlichkeit schwer durchführbar, da die Möglichkeit des Datenabgleichs entfiele. Eine weniger invasive Alternative ist nicht erkennbar. Die gemeinhin hohe Wertschätzung des Auskunfteienwesens rührt gerade daher, dass über grundlegend zugängliche Informationen strukturelle Informationsdefizite überwunden werden können.
Bezogen auf die hier zu betrachtenden Verarbeitungen im Auskunfteienwesen ist zu beachten, dass nur Daten verarbeitet werden dürfen, die tatsächlich Bonitätsrelevanz aufweisen. Darunter fallen Informationen, die unmittelbare Aussagen über die Zahlungsfähigkeit und -willigkeit und damit die Kreditwürdigkeit der betroffenen Person treffen. Persönliche Bonitätsmerkmale (z. B. massive Zahlungsverzüge) sowie sonstige Informationen, wie etwa zu Bürgschaften oder ordnungsgemäß bedienten Verbindlichkeiten, sind erfasst, wobei ein direkter Bezug zu Forderungen nicht zwingend erforderlich ist. Entscheidend ist, dass die Information einen bonitätsrelevanten Aussagegehalt besitzt.
3. Interessenabwägung – Fokus: Zulässigkeit der Verarbeitung von Positivdaten
a) Allgemeines
Den berechtigten Interessen des Verantwortlichen dürfen keine überwiegenden Interessen der betroffenen Person entgegenstehen. Die Abwägung umfasst alle relevanten Grundrechtsbezüge sowie die Eingriffsintensität der Verarbeitung, die Art der verarbeiteten Daten, die Art der betroffenen Personen, mögliche Aufgaben oder Pflichten, die Zwecke der Datenverarbeitung und Sicherheitsmaßnahmen. Verarbeitungen, die die betroffene Person begünstigen, verringern tendenziell deren gegenläufige Interessen.²⁵
b) Position der Aufsichtsbehörden
Die Datenschutzaufsichtsbehörden von Bund und Ländern vertraten schon zum alten BDSG die Auffassung, dass die Übermittlung und Erhebung von Positivdaten durch Auskunfteien ohne Einwilligung der Betroffenen unzulässig sei. Kunden dürften „nicht zum Objekt wirtschaftlichen Handelns“ gemacht werden und hätten ein überwiegendes Interesse daran, dass ihre Daten nicht ohne Einwilligung verarbeitet werden. Diese Haltung wurde auch mit Blick auf die DS-GVO beibehalten und bestätigt, dass im Falle von Positivdaten regelmäßig ein überwiegendes Interesse der Betroffenen an der Selbstbestimmung über die Verwendung ihrer Daten gegeben sei.
c) Bewertung
Die Haltung der Aufsichtsbehörden ist aus mehreren Gründen wenig überzeugend. Die DS-GVO fordert bei der Verarbeitung auf Grundlage von Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO nicht zwingend ein Überwiegen der Interessen des Verarbeiters, sondern erlaubt die Verarbeitung auch bei gleichwertigen Interessen. Die betroffene Person soll lediglich vor unverhältnismäßigen Auswirkungen der Verarbeitung geschützt werden.
Auch in der Sache sprechen gewichtige Argumente für die Zulässigkeit der Verarbeitung von Positivdaten im Auskunfteienwesen.
aa) Eng begrenzter Kreis verantwortlicher Stellen
Der Kreis der Verantwortlichen ist beschränkt; nur das einmeldende Unternehmen und die Auskunftei selbst haben Zugriff auf die Bonitätsdaten, die oft durch behördliche Aufsicht und Selbstverpflichtungen reguliert sind. Für die Akteure ist zudem das Gesamtergebnis der Bonitätsermittlung ausschlaggebend, nicht die individuellen Datenpunkte.
bb) Art der Daten im Versandhandel
Positivdaten sind nach Definition der Aufsichtsbehörden Informationen ohne negative Zahlungserfahrungen. Die Verarbeitung durch Versandhandelsunternehmen und Auskunfteien bezieht sich meist auf die Eintragung eines neutralen Merkmals, wie „Versandhandelskunde“, welches ein hohes Indiz für die Identität des Kunden ist und somit dem Kunden zugutekommt.
cc) Erwartungshaltung der Betroffenen
Die Behauptung, Betroffene rechneten nicht mit der Weitergabe von Positivdaten, ist unbelegt und widerspricht der allgemeinen Bekanntheit des Auskunfteienwesens. Die Vernünftigkeitserwartung der Betroffenen, wie in Erwägungsgrund 47 DS-GVO beschrieben, dient nur als ein Abwägungskriterium und nicht als Ausschlusskriterium. Auch können die umfangreichen Informationspflichten nach Art. 13 und Art. 14 DS-GVO eventuelle Missverständnisse zur Erwartungshaltung der Betroffenen minimieren.
dd) Interessenlage der Betroffenen
Die Annahme, Betroffene hätten ein Interesse daran, dass ihre Positivdaten nicht verarbeitet werden, ist nicht belegt. Viele Verbraucher begrüßen die Einmeldung von Positivdaten, da diese ein umfassenderes Bild der Kreditwürdigkeit und Authentizität zeichnen. Ein „Identitätsmarker“ wie ein bestehendes Dauerkonto bei einem Telekommunikations- oder Versandhandelsanbieter verringert zudem das Betrugsrisiko für künftige Geschäftspartner und bringt potenzielle Vorteile, wie die Möglichkeit, auf Rechnung zu kaufen.
ee) Kein Primat der Einwilligung
Die Annahme, eine Verarbeitung von Positivdaten sei primär einwilligungsbasiert, ist unzutreffend. Art. 6 Abs. 1 DS-GVO führt gleichwertige Rechtsgrundlagen an, die nicht in einem Stufenverhältnis stehen. Die Einwilligung ist kein Primat, und gesetzliche Erlaubnistatbestände wie Art. 6 Abs. 1 Buchst. f DS-GVO stehen ihr gleichwertig gegenüber. Die Verarbeitung von Positivdaten ohne Einwilligung entspricht nicht nur den Interessen des Verantwortlichen, sondern fördert auch die Richtigkeit und Vollständigkeit der Bonitätsinformationen, was im Sinne der betroffenen Personen ist.
III. Keine Sperrwirkung durch § 31 Abs. 2 BDSG
Das nationale Datenschutzrecht, insbesondere § 31 Abs. 2 BDSG, schränkt die Zulässigkeit der Verarbeitung von Positivdaten nicht ein. Der Gesetzgeber hat in den Gesetzesbegründungen klargestellt, dass die Berechnung von Wahrscheinlichkeitswerten mit Positiv- und Negativdaten möglich bleiben soll, da diese Informationen essenziell für die wirtschaftliche Funktion von Auskunfteien sind. § 31 Abs. 2 S. 2 BDSG erlaubt die Verarbeitung von Positivdaten in Kreditinformationssystemen, sofern ein finanzielles Ausfallrisiko besteht. Das Gesetz unterstützt so eine umfassende und ausgewogene Bonitätsbewertung.
IV. Ergebnis
Das Datenschutzrecht steht der Einbeziehung von Positivdaten in die Scorewertberechnung oder als „Identitätsmarker“ durch Auskunfteien gemäß Art. 6 Abs. 1 UAbs. 1 Buchst. f DS-GVO nicht entgegen. Die Verarbeitung von Positivdaten ist sowohl auf Grundlage der Einmeldung durch Wirtschaftsunternehmen als auch für die Nutzung zur Scorewertberechnung zulässig. Die anderslautende Position der DSK ist unzureichend begründet, und die DS-GVO spricht eher für eine gleichwertige Berücksichtigung von Positiv- und Negativdaten. Nur so wird den Interessen der Betroffenen und dem Grundsatz der Richtigkeit der verarbeiteten Daten Rechnung getragen.