DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (31): Auswirkungen der DS-GVO auf Auskunfteien, Inkassounternehmen und Kreditwesen : aus der RDV 4/2017, Seite 187 bis 189

Ausgewählt und kommentiert von Prof. Peter Gola, Königswinter*

Lesezeit 7 Min.

I. Vorbemerkung

Der Hessische Datenschutzbeauftragte berichtet in seinem im Mai 2017 vorgelegten 45. Tätigkeitsbericht (2016) über die Abstimmungen zwischen den Aufsichtsbehörden und den Auskunfteien über die im Folgejahr stattfindende Anwendung der DS-GVO. Spezielle Regelungen zur Tätigkeit von Auskunfteien enthält die DS-GVO nicht. Soweit nicht das BDSG n.F. (§ 31) mit einer auf den Bereich abgestellten bereichsspezifischen Vorschrift greift, richtet sich die Tätigkeit der Auskunfteien in Zukunft nach den allgemeinen Vorschriften in Art. 6 DS-GVO.

In dem Abstimmungsverfahren wurde versucht, bestehende Rechtsunsicherheit zu beseitigen und den Auslegungsspielraum des Art. 6 DS-GVO einzugrenzen.

Rechtlich geprüft und aufbereitet wurden u.a. folgende Themen.

II. Zulässigkeit und Umfang von Bonitätsauskünften (4.2.1.1)

Nach den Aufsichtsbehörden können die in den §§ 28 ff. BDSG kodifizierten Grundsätze im Rahmen der Anwendung von Art. 6 Abs. 1 lit. b und f DS-GVO als Rechtsgrundlage für die Verarbeitung auch weiter zur Anwendung kommen.

Anfragen von verantwortlichen Stellen bei Auskunfteien zur Prüfung der Bonität im vorvertraglichen Bereich, aber auch Bonitätsabfragen etwa zur Prüfung der Erfolgsaussichten von Vollstreckungsmaßnahmen können grundsätzlich im Sinne von Art. 6 Abs. 1 lit. b DS-GVO als erforderlich zur Durchführung vorvertraglicher oder vertraglicher Maßnahmen angesehen werden. Für die Erteilung einer Auskunft durch Auskunfteien bietet Art. 6 Abs. 1 lit. f DS-GVO eine ausreichende Rechtsgrundlage. Es bleibt also bei der Interessenabwägung, die bisher gemäß §§ 28 Abs. 1 S. 1 Nr. 2 und 29 Abs. 2 BDSG durchgeführt werden musste und immer noch muss. Dies entspricht auch der Wertung von ErwG 47 DS-GVO. Wie bisher kann ein bestehendes oder drohendes kreditorisches Risiko die Rechtmäßigkeit einer Bonitätsabfrage indizieren.

Der vorherige Nachweis der Zulässigkeit einer Bonitätsabfrage gegenüber der Auskunftei wird als verzichtbar angesehen. Zwar enthält die DS-GVO nicht mehr die grundsätzliche Privilegierung der Bonitätsabfrage nach § 29 Abs. 2 BDSG. Die Forderung eines Einzelnachweises und dessen Speicherung bzw. Aufbewahrung sei im Massengeschäft jedoch überzogen. Sie würde berechtigte und zulässige Datenübermittlungen aus rein formalen Gründen vereiteln. Vielmehr werde es auch weiterhin ausreichen, wenn das berechtigte Interesse glaubhaft gemacht wird. Mangels ausdrücklicher gesetzlicher Privilegierung kann jedoch nicht mehr von einer generellen Zulässigkeit der bloßen Glaubhaftmachung ausgegangen werden. Dies gilt vielmehr nur dann, wenn aufgrund bisheriger Erfahrungen oder begründeter Erwartungen die Gewissheit besteht, dass Bonitätsabfragen nur dann durchgeführt werden, wenn diese zulässig sind. Das Maß der Gewissheit muss dabei Zweifeln an der Zulässigkeit Schweigen gebieten, ohne sie völlig auszuschließen.

Dies erfordere eine ausreichende Organisationsstruktur, welche unzulässige Bonitätsabfragen verhindert oder zumindest so weit erschwert, dass verbleibenden Zweifeln an dem Unterbleiben unzulässiger Bonitätsabfragen Schweigen geboten wird. Hierfür werde in der Regel die Protokollierung der Bonitätsabfragen inkl. der Person des Abfragenden durch individualisierte und personalisierte Zugangsberechtigungen erforderlich sein. Einzelne Fehlabfragen beeinträchtigen die Zulässigkeit nicht. Mehrfache unzulässige Abfragen oder eine vollständig fehlende Vorsorge gegen unzulässige Abfragen vermögen die grundsätzlich bestehende Vermutung, dass Bonitätsabfragen zulässig sind, aber zu entkräften. In solchen Fällen können Bonitätsauskünfte im Massengeschäft nicht mehr zulässig erteilt werden.

III. Zulässigkeit und Umfang der Datenspeicherung (Ziff. 4.2.1.2)

Informationen über negative Erfahrungen mit dem Zahlungsverhalten einer betroffenen Person dürfen ebenfalls gemäß Art. 6 Abs. 1 lit. f DS-GVO an eine Auskunftei übermittelt und dort gespeichert werden. Aber auch hier ist eine Abwägung durchzuführen, die zugunsten der Übermittlung ausfällt, wenn die bisher in § 28a Abs. 1 BDSG kodifizierten Voraussetzungen vorliegen. Nur dann ist sicher gewährleistet, dass ein Sachverhalt vorliegt, der zuverlässig auf eine verminderte oder eingeschränkte Bonität einer betroffenen Person schließen lässt. Mangels ausdrücklicher Kodifizierung müsse die Prüfung der Voraussetzungen des § 28a Abs. 1 BDSG jedoch nicht zu formell wörtlich, sondern nach Sinn und Zweck betrachtet werden. Sachverhalte, bei denen eindeutig kein bonitätsrelevanter Sachverhalt vorliegt, wie bspw. die Geltendmachung von behaupteten, aber in der Regel zweifelhaften Ansprüchen, rechtfertigen eine Übermittlung daher nicht. Dient die Übermittlung daher nur der Drohung oder Durchsetzung sehr zweifelhafter Ansprüche, wäre sie unzulässig.

Das berechtigte Interesse an der Übermittlung der Negativinformationen besteht zum einen in dem Interesse Dritter, über negative Zahlungserfahrungen informiert zu werden, um eigenen negativen Erfahrungen vorzubeugen. Zum anderen besteht es in dem Interesse des übermittelnden Unternehmens, an einem solchen System teilnehmen zu können und ebenfalls über negative Erfahrungen Dritter informiert zu werden; Art. 6 Abs. 1 lit. 192f DS-GVO.

Die Interessen der betroffenen Personen stehen dem nicht entgegen, wenn die Tatsache der negativen Zahlungserfahrung hinreichend sicher ist und dieses Verhalten nach empirischer Erfahrung oder statistischer Auswertung ebenfalls hinreichend sicher auf eine verminderte oder eingeschränkte Bonität einer betroffenen Person und die damit verbundene erhöhte Wahrscheinlichkeit eines Ausfalls schließen lässt. Zusätzlich ist zu berücksichtigen, dass durch die Übermittlung auch betroffene Personen vor dem Eingehen zu hoher Risiken oder einer zu hohen Verschuldung geschützt werden können.

IV. Speicherfristen (Ziff. 4.2.1.4)

Speicherfristen für Auskunfteien sind derzeit in § 35 Abs. 2 Satz 2 Nr. 4 BDSG detailliert geregelt. Eine derart detaillierte Regelung enthält die DS-GVO nicht mehr. Art. 17 DSGVO gibt betroffenen Personen zwar einen Anspruch auf Löschung gespeicherter personenbezogener Daten. Detaillierte Prüf- und Löschfristen sind aber nicht mehr enthalten. Stattdessen normiert die DS-GVO, dass Daten zu löschen sind, wenn sie für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind; Art. 17 Abs. 1 a DS-GVO. Wann dies exakt der Fall ist, lässt die DS-GVO jedoch offen.

Zur Schaffung von Rechtssicherheit haben die Aufsichtsbehörden mit den Auskunfteien eine Beibehaltung der bisherigen Fristen besprochen. Zur Gleichbehandlung der betroffenen Personen könnten die Fristen allerdings künftig einheitlich ab der Speicherung und nicht – wie bisher – ab dem Ende des Jahres der Speicherung berechnet. Dies wird die Fristen voraussichtlich etwas verkürzen. Es ist beabsichtigt, dieses Ergebnis im Wege der Selbstverpflichtung umzusetzen.

V. Umfang von Selbstauskünften (Ziff. 4.2.1.5)

Der Umfang von Selbstauskünften ergibt sich künftig vor allem aus Art. 15 DS-GVO. Auch hier enthält die DS-GVO nicht mehr die detaillierten Regelungen für Auskunfteien gemäß § 34 BDSG.

Betroffenen Personen ist jedoch gemäß Art. 15 Abs. 3 DS-GVO eine vollständige Kopie der gespeicherten Daten zur Verfügung zu stellen. Dies umfasst die bisher erteilten Auskünfte jedenfalls dann, wenn diese gespeichert sind.

Durch die umfangreichen Abstimmungsverfahren und die damit verbundene Erzielung von Ergebnissen besteht im Tätigkeitsbereich der Auskunfteien ab der Geltung des DS-GVO eine deutlich verbesserte Rechtssicherheit für betroffene Personen und die Wirtschaft.

Erforderlich ist nach wie vor die Identifikation der betroffenen Person.

Nur wenn mittels der übermittelten Daten eine eindeutige und zweifelsfreie Identifizierung des Auskunftsersuchenden/der betroffenen Person nicht möglich ist (beispielsweise bei abweichenden Adressdaten), kann eine Fotokopie des Ausweisdokuments bzw. der Einwohnermeldeamtsbestätigung angefordert werden. Letzteres ist im Hinblick auf die Wohnanschrift bei einem ausländischen Pass, dem keine Anschriftendaten zu entnehmen ist, der Fall.

Verweigert werden muss auch der Versand der Auskunft an eine innerdeutsche Postfachadresse (Ziff. 4.2.2.1.2), da es nicht möglich ist die seitens des Auskunftsersuchenden angegebene Postfachadresse als diejenige der betroffenen Person zweifelsfrei zu verifizieren. Zu unsicher ist auch der Versand an eine Anschrift „wohnhaft bei“ (Ziff. 4. 2.2.1.3). Der Versand einer Selbstauskunft an eine nicht verifizierte Adresse mit dem Zusatz „wohnhaft bei“ sei datenschutzrechtlich zu beurteilen wie der Versand an einen Dritten zur Weiterleitung an die betroffene Person. Ein derartiger Versand würde den Missbrauch der Selbstauskunft begünstigen. Gleiches gilt für eine private c/o-Anschrift (Ziff. 2.2.2.1.4).

VI. Kredit- und Finanzwirtschaft

Ein gleicher Abstimmungsprozess fand zur Vorbereitung auf das Wirksamwerden der Datenschutz-Grundverordnung im Bereich der Kreditwirtschaft statt (Ziff. 4.3.1). Dazu wurden einige als vordringlich bewertete Themen rechtlich geprüft und aufbereitet.

Dabei wurde Konsens erzielt, dass die bisher zulässigen Datenverarbeitungsprozesse der Kreditwirtschaft auch nach der DS-GVO weitgehend zulässig sein werden. Dies gilt insb. für die Verarbeitung von Daten aufgrund von bankaufsichtsrechtlichen oder anderen regulatorischen Vorschriften sowohl auf nationaler als auch auf europäischer Ebene. Der bisher zulässige Datenaustausch mit Auskunfteien könne zukünftig auf Art. 6 Abs. 1 lit. b und f DS-GVO gestützt werden.

Einwilligungen zur Datenverarbeitung sind jedoch an den Anforderungen der DS-GVO zu messen. Obligatorische Einwilligungen werden daher voraussichtlich nicht mehr zulässig sein. In der Regel kann die Datenverarbeitung und Datenübermittlung aber zukünftig auf die gesetzliche Grundlage des Art. 6 Abs. 1 DS-GVO gestützt werden. Dies gilt auch für den Verarbeitungsschritt des Profilings, der in der Regel aufgrund der Pflicht von Kreditinstituten zur Bonitätsprüfung aufgrund bankaufsichtsrechtlicher Vorschriften zulässig sein wird.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.