Gesetzliche Grundlagen bei unterschiedlichen Fallgestaltungen der Informationsgewinnung

Transkript

1 Das Scoring von Kreditrisiken bei Privatpersonen Gesetzliche Grundlagen bei unterschiedlichen Fallgestaltungen der Informationsgewinnung Eleonore Elbs AuditNetwork

2 Inhalt 1.Teil Das Scoring von Kreditrisiken... 5 A. Fakten, Fakten, Fakten.?... 5 B. Ziel und Struktur Teil Gesetzliche Grundlagen für das Scoring von Kreditrisiken... 9 A. Bankaufsichtsrechtliche Bestimmungen für Kreditinstitute... 9 I. Überblick... 9 II. Standards für das Risikomanagement im Kreditgeschäft (MaRisk) Risikomanagement gem. 25a KWG i.v.m. MaRisk Wesentliche und unwesentliche Risiken Auslagerungen vs. sonstiger Fremdbezug III. Technische Regelungen für das Rating (SolvV) Adressausfallrisiko und Mengengeschäft Kreditrisiko-Standardansatz (KSA) Auf internen Ratings basierender Ansatz (IRBA) IV. Begriffsklärung: Rating vs. Scoring B. Datenschutzrechtliche Bestimmungen I. Regelungen für Kreditinstitute Subsidiarität des BDSG Die Reichweite der Erlaubnistatbestände des KWG als lex specialis II. Regelungen für Auskunfteien Die Auskunftei als verantwortliche Stelle Die Auskunftei als Auftragsdatenverarbeiter III. Regelungen des BDSG für das Scoring IV. Begriffsklärung: Scorewerte als personenbezogene Daten? / 41

3 3.Teil Arten der Informationsgewinnung und Rechtsfolgen A. Kreditscoring und Arten der Informationsgewinnung B. Fallabhängige Anwendung der gesetzlichen Vorschriften I. Verwendung eigener Scores durch das Kreditinstitut Fallbeschreibung Bankaufsichtsrechtliche Regelungen Datenschutzrechtliche Regelungen Zuständigkeit und Inhalt der Auskunft Zusammenfassung und Fazit II. Verwendung bankspezifischer Auskunfteienscores Fallbeschreibung Bankaufsichtsrechtliche Regelungen Datenschutzrechtliche Regelungen Zuständigkeit und Inhalt der Auskunft Zusammenfassung und Fazit III. Verwendung von Standardauskunfteienscores und Auskünften Fallbeschreibung Bankaufsichtsrechtliche Regelungen Datenschutzrechtliche Regelungen Zuständigkeit und Inhalt der Auskunft Zusammenfassung und Fazit Teil Risiken bei der Verwendung von Daten und Scorewerten A. Kriterien für die Richtigkeit der Informationen I. Richtigkeit von Rohdaten II. Richtigkeit der Score-Werte B. Berichtigung falscher Informationen C. Adressaten der Berichtigungspflicht / 41

4 D. Ausblick Literaturverzeichnis / 41

5 1.Teil Das Scoring von Kreditrisiken A. Fakten, Fakten, Fakten.? Im Jahr 2010 belief sich allein die an Privatpersonen vergebene Kreditsumme nach Angaben des Bankenverbands auf 1.022,4 Mrd. EUR, die von den 2093 in Deutschland ansässigen Kreditinstituten gewährt wurde. Das entspricht in etwa dem Betrag, den Selbständige und Unternehmen im gleichen Jahr erhielten (1.317,2 Mrd. EUR) 1. So ist es volkswirtschaftlich durchaus erheblich, die Entscheidung über die Kreditvergabe auf der Grundlage von tragfähigen und entscheidungsrelevanten Informationen zu treffen und damit Ausfallrisiken zu minimieren. Um diesem Aspekt im Interesse der Gesamtwirtschaft Rechnung zu tragen, sehen die Regelungen von Basel II bezogen auf die eingegangenen Risiken bei der Kreditvergabe eine entsprechende Eigenkapitalunterlegung vor, die sich auch an der Höhe dieses sogenannten Adressausfallrisikos und an der Wirksamkeit des Risikoklassifizierungsverfahrens des jeweiligen Kreditinstituts festmacht. Entsprechend besteht für Kreditinstitute die Pflicht, einmal nach den Vorschriften des 10 KWG i.v.m. der SolvV tragfähige Lösungen zu verwenden bzw. selbstverantwortete Ratings (IRBA) funktionsfähig zu halten. Zudem sind Kreditinstitute nach 25a KWG und den daraus abgeleiteten normeninterpretierenden Verwaltungsvorschriften der MaRisk verpflichtet, die entsprechenden Risikoklassifizierungsverfahren im Rahmen eines wirksamen Internen Kontrollsystems zu betreiben. Dabei ist es den Kreditinstituten erlaubt, neben den beim Kunden oder Antragsteller selbst erhobenen Daten gem. 10 I 4 Nr. 4 KWG auch öffentlich verfügbare Informationen oder aber die Dienste von Auskunfteien ( 10 I 4 Nr. 3 KWG) zu nutzen. Auskunfteien sind allerdings bereits seit Jahren ins Gerede gekommen: die Studie des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im Auftrag des Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz und der Bundesanstalt für Landwirtschaft und Ernährung aus 1 Bankenverband, Fakten und Zahlen aus der Kreditwirtschaft, September / 41

6 dem Jahr , die 2008 von der Verbraucherzentrale Bundesverband e.v. 3 und 2009 vom Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz 4 beauftragten Studien kommen zu relativ vernichtenden Ergebnissen, was die Qualität der bei der SCHUFA verwendeten Daten angeht. Die jüngste Studie geht von einer Fehlerquote bei den für die Beauskunftung verwendeten personenbezogenen Daten von 45 % aus 5. Aktuell wurde vom NDR bei der Infoscore Consumer Data GmbH (ICD), nach Angaben des Senders ein Branchenriese auf dem Gebiet der Auskunfteien, ein Fall besonders drastischer Fall veröffentlicht 6. Hier war ein schlechter Scorewert auf Basis geschätzter (Altersbestimmung an Hand des Vornamens) oder nicht vorhandener Daten (Fakt der Nichtspeicherung einer Information führt zu schlechtem Scorewert) zu Unrecht vergeben worden. Nach der Pressemitteilung des NDR vom wird zudem der baden-württembergische Datenschutzbeauftragte, Jörg Klingbeil zitiert, der bei ICD bereits vor einem Jahr auf veraltete Daten und Verfahren gestoßen war - Missstände, die nach seiner Aussage bis heute noch nicht nachweislich behoben wurden. Entsprechend dem 21. Tätigkeitsbericht des BfDI sieht dieser den externen Bezug von Daten durch Kreditinstitute für die Bonitätsbeurteilung ebenfalls kritisch, weil die Gefahr besteht, über diese Quellen Daten in das Ratingsystem einzuführen, die den strengen Maßstäben der Bonitätsrelevanz nicht genügen. 7 Bezogen auf die hohe volkswirtschaftliche Relevanz der Kreditvergabeentscheidung stellt sich angesichts des auch von Kreditinstituten hierfür verwendeten - zweifelhaften Datenmaterials der Auskunfteien die Frage, wie weit hier die rechtliche Verantwortung des Kreditinstituts reicht. Die Verantwortung gegenüber der Gesamtwirtschaft obliegt gem. 4 IV FinDAG der Bundesanstalt, die ihre Aufgaben und Befugnisse nur im öffentlichen Interesse wahrnimmt. Zu diesen Aufgaben gehören Prüfungspflichten bezogen auf 2 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Scoringsysteme zur Beurteilung der Kreditwürdigkeit Chancen und Risiken für Verbraucher, Dieter Korczak & Michael Wilken GP Forschungsgruppe, Scoring im Praxistest: Aussagekraft und Anwendung von Scoringverfahren in der Kreditvergabe und Schlussfolgerungen, Dieter Korczak & Michael Wilken GP Forschungsgruppe, Bericht Verbraucherinformation Scoring, Juni Dieter Korczak & Michael Wilken GP Forschungsgruppe, Bericht Verbraucherinformation Scoring, Juni 2009, 14 6 NDR Norddeutscher Rundfunk (Pressemappe), Bertelsmann-Tochter Infoscore: Fragwürdige Bonitätsbewertungen von Millionen Verbrauchern, BT-Drs. 16/4950 vom , Unterrichtung durch den Bundesbeauftragten für Datenschutz und Informationsfreiheit, Tätigkeitsbericht 2005 und 2006 des Bundesbeauftragten für Datenschutz und Informationsfreiheit 21. Tätigkeitsbericht -, 106 f. 6 / 41

7 das Funktionieren des Risikoklassifizierungsverfahrens und auch bezogen auf eingesetzte eigene Ratingverfahren der Kreditinstitute. Gem. 6 KWG, der die Aufgaben der BaFin definiert, hat diese die ordnungsgemäße Durchführung von Bankgeschäften sicherzustellen und damit die Gesamtwirtschaft vor Schaden zu bewahren. Die BaFin selbst äußert sich jedoch bezogen auf die Dienste der SCHUFA wie folgt: Die SCHUFA ist eine privatrechtliche Einrichtung, die nach dem Gegenseitigkeitsprinzip Auskünfte über die privaten Vertragspartner der angeschlossenen Unternehmen sammelt und diesen zum Zwecke der Bonitätsbeurteilung auf Anfrage übermittelt; sie unterliegt nicht der Aufsicht der BaFin. Einzelheiten zur Tätigkeit der SCHUFA sind aus deren Internetangebot ersichtlich ( Dort besteht auch die Möglichkeit, eine Selbstauskunft anzufordern. 8 Fraglich ist jedoch, inwieweit die Vorgaben der BaFin für Kreditinstitute und ggf. die Prüfungen der BaFin bei diesen sicherstellen, dass letztlich auch die Daten und Verfahren der ggf. hinzugezogenen Auskunftei den Standards der BaFin genügen. Des Weiteren soll untersucht werden, ob ggf. das BDSG soweit anwendbar neben Regelungen zur Vertraulichkeit und zweckgebundenen Verwendung von Daten - auch Regelungen zum Schutz vor fehlerhaften Daten und Berechnungen enthält. Diesen Fragestellungen soll abhängig von der rechtlichen Ausgestaltung der Zusammenarbeit zwischen Kreditinstitut und Auskunftei nachgegangen werden. B. Ziel und Struktur Nach einer Herleitung und Einführung in die relevanten gesetzlichen Grundlagen für das Scoring von Kreditrisiken wird in Anlehnung an die von Gürtler / Kriese nach Institutsnähe definierten Ausprägungen der Zusammenarbeit zwischen Kreditinstitut und Auskunftei die für die jeweilige Form geltende Rechtslage dargestellt: Eigenscore des KI auf Basis eigener Variablen Bankspezifische Scores, die von Auskunfteien geliefert werden und 8 BaFin, Was bedeutet die SCHUFA-Klausel?, o.d. 7 / 41

8 Externe Variablen und Standardauskunfteienscores, die vom KI verwendet werden. Für jede dieser Ausprägungen soll geklärt werden, Inwieweit bankaufsichtsrechtliche Vorgaben zur Sicherstellung der Datenund Scoringqualität beitragen, welche Rolle datenschutzrechtliche Bestimmungen bei der Sicherung der Zuverlässigkeit von Daten und Scoring spielen und wie die Zuständigkeiten und Inhalte bezogen auf die Beauskunftung aussehen. Dabei wird neben den für das Verständnis des Zusammenhangs wesentlichen Vorgaben lediglich auf solche Regelungen Bezug genommen, die zur Qualitätssicherung der Daten und Verfahren beitragen können. Die Einmeldung von Daten an Auskunfteien für deren eigene geschäftliche Nutzung wird im Rahmen dieser Arbeit nicht inhaltlich beleuchtet, da die zulässigen Inhalte und die damit verbundenen Fragestellungen unabhängig von der Fallgestaltung sind. Lediglich ihre grundsätzliche Zulässigkeit wird abhängig von der Vertragsgestaltung zwischen Kreditinstitut und Auskunftei (Gegenseitigkeitsprinzip) und deren Unterfallen unter den Tatbestand der Auftragsdatenverarbeitung untersucht. Zum Schluss sollen Konsequenzen und Risiken, die sich aus den aufsichtsrechtlichen Zuständigkeiten für die Richtigkeit der Daten und die Haftung hierfür ergeben können, kurz dargestellt werden. 8 / 41

9 2.Teil Gesetzliche Grundlagen für das Scoring von Kreditrisiken A. Bankaufsichtsrechtliche Bestimmungen für Kreditinstitute I. Überblick Die Anforderungen an die Eigenmittelausstattung von Instituten, Institutsgruppen und Finanzholding-Gruppen des 10 KWG sind nationales Bankenaufsichtsrecht. Sie beruhen auf dem sogenannten Basler Akkord vom Juli 1983, dessen derzeit (noch) geltende Empfehlungen (Basel II) u.a. im KWG gesetzlich verankert wurden 9. Es handelt sich beim Basler Akkord lediglich um eine Empfehlung des Basel Bankenaufsichtskomitees (Cooke-Kommission), das 1974 von den Zentralbankpräsidenten der G10-Länder eingesetzt wurde. 10 Die Empfehlungen des Ausschusses gliedern sich in drei Säulen : neben Vorschlägen zur bankaufsichtsrechtlichen Prüfung und der Definition von Offenlegungspflichten beschäftigt sich die erste Säule vor allem mit dem Verhältnis zwischen Risikopotenzial und Eigenmitteln. Für die Bestimmung des Risikopotenzials werden neben den (im Rahmen dieser Arbeit nicht behandelten) Marktpreisrisiken die Adressausfallrisiken und die operationellen Risiken erfasst. Die Unterlegung von Adressausfallrisiken und von operationellen Risiken mit Eigenmitteln wird in 10 KWG definiert und durch die Solvabilitätsverordnung konkretisiert. In 10 KWG sind auch datenschutzrechtlich relevante Bestimmungen niedergelegt. Die organisatorischen Pflichten nach der zweiten Säule von Basel II, die das operationelle Risiko mindern sollen, sind insbesondere in 25a KWG genannt und in den MaRisk konkretisiert. Die MaRisk haben als normeninterpretierende Verwaltungsvorschrift nach h.m. bindenden Charakter. 25a KWG stellt seinerseits jedoch keine bereichsspezifische Datenschutzregelung dar Gesetz vom Bundesgesetzblatt Teil I 2006 Nr S Zeitler, Internationale Entwicklungslinien der Bankenaufsicht der Basler Eigenkapitalübereinkunft, WM, 2001, (1397) 11 Helfrich, Kreditscoring und Scorewertbildung der SCHUFA (Diss.), Baden-Baden, 2010, 59 9 / 41

10 II. Standards für das Risikomanagement im Kreditgeschäft (MaRisk) 1. Risikomanagement gem. 25a KWG i.v.m. MaRisk 25a I KWG definiert besondere organisatorische Pflichten von Kreditinstituten: Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat. Diese aufsichtsrechtlichen Organisationsanforderungen unterscheiden den Umfang der Pflichten des Kreditinstituts nach wesentlichen und unwesentlichen Risiken. 2. Wesentliche und unwesentliche Risiken Gem. AT Tz. 1 MaRisk werden die folgenden allgemeinen Anforderungen an Risikosteuerung und controlling definiert: diese haben eine Identifizierung, Beurteilung, Steuerung sowie die Überwachung und Kommunikation der wesentlichen Risiken ( ) zu gewährleisten. 12 Die Abgrenzung der wesentlichen Risiken sollte sich an den hauptsächlichen Geschäftsaktivitäten des Instituts orientieren. Risiken der Kerngeschäftsfelder (z. B. das Kreditgeschäft oder die Handelsgeschäfte) sollten dabei mindestens in die Risikotragfähigkeitsüberlegungen einbezogen werden. 13 Die Einschätzung der Risiken als wesentlich oder unwesentlich obliegt alleine dem Kreditinstitut. 3. Auslagerungen vs. sonstiger Fremdbezug Die Risikosteuerungs- und -controllingprozesse müssen gem. 25a II KWG gewährleisten, dass auch die (wesentlichen) Risiken aus ausgelagerten Aktivitäten und Prozessen frühzeitig erkannt, vollständig erfasst und in angemessener Weise dargestellt werden können. 14 Eine Auslagerung setzt nach 25a II i.v.m. AT 9 Tz. 1 MaRisk voraus, dass ein anderes Unternehmen mit der Wahrnehmung solcher Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleis- 12 Boos/Fischer/Schulte-Mattler-Braun/Wolfgarten, Kreditwesengesetz, 4. Auflage, München, 2012, 25a, Rn Boos/Fischer/Schulte-Mattler- Braun/Wolfgarten, Kreditwesengesetz, 4. Auflage, München, 2012, 25a, Rn Schimansky/Bunte/Lwowski-Fischer, Bankrechts-Handbuch, 2011, 4. Auflage, München, 2011, 129, Rn. 231f. 10 / 41

11 tungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selber erbracht würden. Der Begriff des anderen Unternehmens (Auslagerungsunternehmen) ist im Gesetz nicht definiert. 15 Nach Braun/Wolfgarten ist die Auslagerung durch die Nachhaltigkeit des Bezugs und damit durch dessen regelmäßige Wiederholung vom sonstigen Bezug abzugrenzen. In diesem Verständnis stellt der Bezug von Daten bei einer Auskunftei in jedem Fall eine Auslagerung dar, da dieser Bezug auch bei Rohdaten kaum einzeln, sondern regelmäßig im Rahmen einer dauerhaften Geschäftsbeziehung stattfindet. III. Technische Regelungen für das Rating (SolvV) 1. Adressausfallrisiko und Mengengeschäft Adressenausfallrisiko ist das Risiko, dass ein Vertragspartner des Instituts nicht oder nicht fristgerecht leistet oder das Institut seinem Vertragspartner aufgrund der Nichtleistung eines Dritten zu leisten verpflichtet ist sowie das Wertverschlechterungsrisiko aus Beteiligungen. 16 Adressrisiken bilden die Gefahr des Ausfalls von Geschäftspartnern ab. Sie sind in der SolvV definiert 17 Die Forderungsklasse Mengenschäft ist für IRBA-Institute in den 76, 77 SolvV definiert. Bankintern wird hier von Retail-Geschäft gesprochen, das durch eine hohe Anzahl von Kunden bestimmt ist, die jeweils nur kleinere Beträge in Anspruch nehmen. Dazu gehört das klassische Privatkundengeschäft. 2. Kreditrisiko-Standardansatz (KSA) Gem. 8 I 3 SolvV hat ein Institut, das kein IRBA-Institut ist, sämtliche Adressausfallrisikopositionen nach dem KSA zu berücksichtigen. Kreditforderungen gegenüber Kunden gelten als Bilanzielle Adressenausfallrisikopositionen gem. 10 Nr. 1 i.v.m. 19 I 2 Nr. Nr. 4 SolvV. Die entsprechenden Positionen sind gem. 25 I Nr. 9 SolvV der Forderungsklasse Mengengeschäft zuzurechnen. Welche Positionen dies sind, ist in 25 X SolvV definiert. Das Risiko für das Mengengeschäft ist gem. 34 SolvV mit 75 % zu gewichten. Aus der Multiplikation mit dem in 8 15 Boos/Fischer/Schulte-Mittler- Braun/Wolfgarten, Kreditwesengesetz, 4. Auflage, München, 2012, 25a, Rn Boos/Fischer/Schulte-Mittler- Braun/Wolfgarten, Kreditwesengesetz, 4. Auflage, München, 2012, 25a, Ran. 231f 17 Schimansky/Bunte/Lwowski-Fischer, Bankrechts-Handbuch, 2011, 4. Auflage, München, 2011, 129, Rn / 41

12 II genannten Faktor mit dieser Risikogewichtung ergibt sich die erforderliche Eigenkapitalunterlegung für das Institut. Gem. 41 SolV I 1 i.v.m. Tabelle 12 der Anlage 1 SolvV gehört das Mengengeschäft nicht zu den Forderungsklassen, für die die ergänzende Hinzuziehung einer sog. externen Ratingagentur möglich ist. Damit haben die entsprechenden Bestimmungen 41ff. SolvV über die Verwendung externer Bonitätsbeurteilungen keine Gültigkeit für das Mengengeschäft. Dementsprechend handelt es sich bei der SCHUFA und anderen sogenannten Auskunfteien nicht um anerkennungsfähige Rating-Agenturen gem. 52 SolvV. 3. Auf internen Ratings basierender Ansatz (IRBA) Gem SolvV kann ein Institut auch die Zulassung eines eigenen Ratings gem. 55ff. SolvV durch die BaFin beantragen. Hierbei können im Gegensatz zum oben beschriebenen KSA-Verfahren Schätzungen und Risikoparameter auf der Basis von internen Ratingsystemen verwendet werden. Es existieren zwei unterschiedliche Ansätze: Der IRB-Basisansatz. Dabei wird bankintern nur die Ausfallwahrscheinlichkeit geschätzt, während die anderen Parameter durch die SolvV vorgegeben sind. Der Fortgeschrittene IRB-Ansatz. Dabei werden sämtliche Bemessungsfaktoren auf der Basis interner Berechnungen oder Schätzungen ermittelt. 18 Der risikogewichtete IRBA-Positionswert ergibt sich aus dem Produkt des IRBA- Risikogewichts mit dem Positionswert. Das IRBA-Risikogewicht bemisst sich nach der zu ermittelnden Ausfallwahrscheinlichkeit (Regelungen hierzu in den 86 ff. SolvV). Die Mindestanforderungen an die hierfür erforderliche Nutzung von Ratingsystemen samt der Verwendung entsprechender mathematischstatistischer Verfahren sind in den 106ff. SolvV geregelt. 19 IV. Begriffsklärung: Rating vs. Scoring In Unterabschnitt 2 der SolvV, in dem die Zulassungsvoraussetzungen für Ratingsysteme bezogen auf IRBA aufgeführt sind, nennt der Gesetzgeber in 60 I SolvV folgende Definition: 18 Schimansky/Bunte/Lwowski-Fischer, Bankrechts-Handbuch, 4. Auflage, München, 2011, 129, Rn Schimansky/Bunte/Lwowski-Fischer, Bankrechts-Handbuch, 4. Auflage, München, 2011, 129, Rn / 41

13 Ein Ratingsystem ist die Gesamtheit aller Methoden, Verfahrensabläufe, Steuerungs- und Überwachungsprozeduren und Datenerfassungs- und Datenverarbeitungssysteme, die die Einschätzung von Adressrisiken, die Zuordnung von IRBA- Positionen zu Ratingstufen oder Risikopools (Rating) und die Quantifizierung von Ausfall- und Verlustschätzungen für eine bestimmte Art von IRBA-Positionen unterstützen. Der Begriff Scoring hingegen wird in den bankrechtlichen Spezialvorschriften nicht verwendet; er kommt als Terminus lediglich im BDSG vor, wird allerdings auch dort nicht definiert. Gemeinsam sind Rating und Scoring, dass sie Verfahren der Zuordnung einzelner Engagements zu Risikoklassen 20 darstellen. Abel verwendet die Begriffe Scoring und Rating alternativ und beschreibt beide als standardisiertes, objektives, aktuelles, nachvollziehbares und skaliertes Krediturteil über die Bonität ( ), wobei Soring die Bonitätsbeurteilung natürlicher Personen und Rating die Beurteilung wirtschaftlicher Einheiten bezeichnen soll. 21 In der Literatur wird teilweise argumentiert, dass zwischen den eigenkapitalbezogenen gesetzlichen Vorgaben und einer Entscheidungsbasis für Kredite und Konditionen unterschieden werden müsse 22. Auch in der BT-Drs. 16/ findet sich die Anmerkung des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI): Allerdings sei das Problem der Abgrenzung der zwei Arten von Scoring aufgetreten, die sogar Fachleuten schwer falle. Das eine Scoring-Verfahren liege dem Rating der Kreditwirtschaft im Rahmen von Basel II zugrunde, das andere Scoring betreffe das Verfahren der Kreditwirtschaft selbst gegenüber ihren Kunden, zum Beispiel das Scoring von potenziellen Kunden im Vorfeld über die SCHUFA. Das letztere sei jedoch nicht durch diesen Gesetzentwurf erfasst. ( ). 24 Hier ist etwas unscharf die 20 Becker / Förschler / Klein-Martin, Rating-Systeme und Prozesse, Heidelberg, 2007, Rn Abel, Rechtsfragen von Scoring und Rating, RDV, 2006, 108 (109) 22 Gürtler / Kriese, Die Umsetzung der Scoring-Transparenz bei Banken, RDV, 2010, 47ff. (49) 23 BT-Drs. 16/2056, Bericht des Finanzausschusses (7. Ausschuss) zu dem Gesetzentwurf der Bundesregierung Drucksache 16 / 1335, Entwurf eines Gesetzes zur Umsetzung der neu gefassten Bankenrichtlinie und der neu gefassten Kapitaladäquanzrichtlinie vom , 6 24 BT-Drs. 16/2056 vom zum Gesetzentwurf der Bundesregierung - Drucksache 16/1335 Entwurf eines Gesetzes zur Umsetzung der neu gefassten Bankenrichtlinie und der neu gefassten Kapitaladäquanzrichtlinie, 6 13 / 41

14 Rede von zwei unterschiedlichen Scoring-Verfahren, die durch die unterschiedlichen Zwecksetzungen differenziert werden. Es erscheint jedoch fraglich, wie die gemeinsame Zielsetzung von Gesetzgeber und Kreditinstitut, die in der Minimierung des Ausfallrisikos besteht, anders realisiert werden sollte als durch die Verwendung zumindest einer Schnittmenge gleicher Informationen. Martin wiederum verwendet den Begriff Scoring aus Bankrevisionssicht als mögliche Ausprägung von Risikoklassifizierungsverfahren i.s. der BTO 1.4 Tz. 2 MaRisk: Bei einem Scoringverfahren werden i.a. eine Reihe von quantitativen und qualitativen Bonitätskriterien Punktwerte zugeordnet, welche entsprechend ihrer Bedeutung unterschiedlich stark gewichtet in das Gesamtergebnis einfließen. Dabei werden die Gewichtungskoeffizienten durch mathematischstatistische Verfahren ermittelt. 25 Bei dieser kurzen Irrfahrt durch die möglichen Definitionen ist deutlich geworden, dass hier insbesondere auch interdisziplinär keine gemeinsame Auffassung möglich ist. Im Rahmen dieser Arbeit sollen analog Abel die Begriffe Rating und Scoring gleichbedeutend für die statistisch-mathematischen Verfahren zur Bonitätsbeurteilung verstanden werden. B. Datenschutzrechtliche Bestimmungen I. Regelungen für Kreditinstitute 1. Subsidiarität des BDSG Gem. 1 III BDSG gehen andere Rechtsvorschriften des Bundes, die auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, ( ) den Vorschriften dieses Gesetzes vor. Damit stellen die im Folgenden genannten Regelungen des KWG für Institute sowie die Institutsgruppen und Finanzholding-Gruppen nach 10 a Abs. 1 bis 5, die auf personenbezogene Daten anzuwenden sind, ein dem BDSG vorgehendes lex specialis dar, soweit diese denselben Tatbestand regeln. 25 Becker / Förschler / Klein-Martin, Rating-Systeme und Prozesse, Heidelberg, 2007, Rn. 64f. 14 / 41

15 Gemäß Gola / Schomerus gilt für die Subsidiarität gem. 1 III S. 1 BDSG, dass nur eine deckungsgleiche Regelung der betreffenden Bestimmung des BDSG 26 vorgeht. Und: Eine nur teilweise Regelung in einem Spezialgesetz schließt nicht die Anwendbarkeit des BDSG insgesamt aus Die Reichweite der Erlaubnistatbestände des KWG als lex specialis Die Datenerhebung und übermittlung gem. 10 I S. 3-8 KWG ist einmal eine andere Rechtsvorschrift i.s.d. 4 I Alt. 2 BDSG. Weiter handelt es sich um eine dem BDSG vorgehende gesetzliche Regelung im Rahmen des Subsidiaritätsprinzips gem. 1 III S. 1 BDSG. Boos führt hierzu aus: Grundlegend neu sind die Regelungen in den Sätzen 3 bis 8. Mit diesen Bestimmungen soll so die Regierungsbegründung eine bereichsspezifische Regelung für den Umgang mit personenbezogenen Daten im Zusammenhang mit solchen Risikomessverfahren geschaffen werden, die einerseits dem Interesse der Institute und der Bankenaufsicht im Aufbau und Betrieb solcher Systeme Rechnung trägt und andererseits die schutzwürdigen Interessen der Kunden angemessen berücksichtigt. 28 Weiter führt er aus, dass Die Datenerhebungsregeln in 10 Satz 3 ff. ( ) die Zulässigkeit der Erhebung personenbezogener Daten für den Aufbau und Betrieb interner Ratingverfahren 29 regeln. Und: Gesetzessystematisch ist dies eine berufsspezifische Sonderregelung zum BDSG, die für Institute und deren Dienstleister insoweit Planungs- und Rechtssicherheit schaffen soll. 30 Entsprechend kommt auch Helfrich zu dem Schluss, dass die bereichsspezifische Vorschrift des 10 I S. 3 8 KWG ( ) die Erhebung und Verarbeitung personenbezogener Daten für eigene Zwecke der verantwortlichen Stelle (regelt) und ( ) insoweit die allgemeine Vorschrift des 28 BDSG (verdrängt). 31 Auskunfts- und Informationsrechte für den Betroffenen sind im KWG hingegen nicht definiert. Insoweit endet hier die Reichweite des KWG und Helfrich stellt 26 Gola / Schomerus, BDSG-Kommentar, München, 2010, 1, Rn Gola / Schomerus, BDSG-Kommentar, München, 2010, 1, Rn Boos/Fischer/Schulte-Mattler-Boos, Kreditwesengesetz, 4. Auflage, München, 2012, 10, Rn Boos/Fischer/Schulte-Mattler-Boos, Kreditwesengesetz, 4. Auflage, München, 2012, 10, Rn Boos/Fischer/Schulte-Mattler-Boos, Kreditwesengesetz, 4. Auflage, München, 2012, 10, Rn Helfrich, Kreditscoring und Scorewertbildung der SCHUFA (Diss.), Baden-Baden, 2010, / 41

16 fest, dass in Ermangelung insoweit einschlägiger Regelungen des KWG die 33 ff. BDSG (Rechte des Betroffenen) auch für Kreditinstitute gelten 32 : II. Regelungen für Auskunfteien 1. Die Auskunftei als verantwortliche Stelle Sofern die Auskunftei als eigenständige verantwortliche Stelle angesehen werden kann inwieweit das möglich ist, wird in Teil 3 dieser Arbeit untersucht gilt insbesondere die Vorschrift des 29 BDSG über die Geschäftsmäßige Datenerhebung und -speicherung zum Zweck der Übermittlung. 28a BDSG (Datenübermittlung an Auskunfteien) ist ebenfalls ausschließlich für den Fall einschlägig, dass die Auskunftei eine verantwortliche Stelle i.s.d. 3 VII BDSG ist, da im Fall einer Auftragsdatenverarbeitung für das Kreditinstitut keine Übermittlung vorliegt. 2. Die Auskunftei als Auftragsdatenverarbeiter Eine Auftragsdatenverarbeitung gem. 11 BDSG hat zur Folge, dass der Auftragsdatenverarbeiter nicht als verantwortliche Stelle bezeichnet werden kann (sog. Funktionsübertragung i.s.d. BDSG). Zentrales Kriterium für die Entscheidung, ob es sich um Auftragsdatenverarbeitung oder Funktionsübertragung handelt, ist die Bindung der Auskunftei an die Weisungen des Auftraggebers gem. 11 III 1 BDSG. 10 I 8 KWG regelt die Übermittlung erhobener Daten ( ) und in pseudonymisierter Form auch an von dem Institut mit dem Ratingsystem beauftragte Dienstleistern. 33 Gem. Boos gilt Das Pseudonymisierungserfordernis ( ) nach dem Wortlaut der Vorschrift nur für die Übermittlung von personenbezogenen Daten vom Institut an den das Ratingsystem betreibenden Dienstleister. Sofern sich das Institut bei der technischen Verarbeitung von personenbezogenen Daten im Rahmen seines Ratingsystems eines Auftragsdatenverarbeiter nach 11 BDSG bedient, richtet sich die Zulässigkeit des Datenaustausches ausschließlich nach 11 BDSG Helfrich, Kreditscoring und Scorewertbildung der SCHUFA (Diss.), Baden-Baden, 2010, Boos/Fischer/Schulte-Mattler-Boos, Kreditwesengesetz, 4. Auflage, München, 2012, 10, Rn Boos/Fischer/Schulte-Mattler-Boos, Kreditwesengesetz, 4. Auflage, München, 2012, 10, Rn / 41

17 28b Nr. 2 BDSG nennt als eine der Voraussetzungen für die Zulässigkeit des Scoring den Fall, dass bei der der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen nach 29, in alle anderen Fällen die Voraussetzungen nach 28 BDSG vorliegen. Ehmann leitet daraus folgerichtig ab, dass der Fall, das die verantwortliche Stelle die Berechnung selbst durchführt, ( ) dabei der Fall gleich(steht), dass sie dies im Fall der Auftragsdatenverarbeitung ( 11) nach Außen an eine Nicht- Auskunftei vergibt. 35 Entsprechend Petri: Sofern Dienstleistungen (!) Bonitätsbewertungen z.b. mit Hilfe von Scoringverfahren übernehmen, liegt darin (!) regelmäßig eine Funktionsübertragung vor. 36 Diese Aussage wird in der vorliegenden Literatur nicht problematisiert: der Fall, dass eine Auskunftei als Auftragsdatenverarbeiter tätig wird, ist von der Gesetzgebung nicht adressiert. Dabei spricht Einiges dafür, die Erfahrung und Infrastruktur gerade einer Auskunftei für die bankspezifische Auftragsdatenverarbeitung zu nutzen. Fraglich ist demzufolge, ob allein das Gewerbe einer Auskunftei geeignet ist zu verhindern, dass diese als ansonsten den einschlägigen Kriterien des 11 BDSG entsprechender Auftragsdatenverarbeiter anzusehen ist. Bedeutsam ist dies insbesondere für die Datenübermittlung i.s.d. 28a BDSG. Das scorewertbildende Unternehmen ermittelt einen Scorewert regelmäßig nur für solche Institute, die ihrerseits forderungsbezogene Daten an das scorewertbildende Unternehmen melden (Gegenseitigkeitsprinzip). 37 Die Berechtigung hierzu knüpft jedoch gem. 28a BDSG an die Umgangsart Übermittlung an. Gem. 3 IV Nr.3 BDSG ist Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten. Gem. 3 VIII 2 BDSG sind Dritte sind nicht der Betroffene sowie Personen und Stellen, die im Inland, ( ) personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Im Fall der Auftragsdatenverarbeitung handelt es sich daher nicht um eine Übermittlung. Das bedeutet, dass die Verwendung von im Rahmen der Auftragsda- 35 Simitis-Ehmann, Bundesdatenschutzgesetz, Baden-Baden, 2011, 28b, Rn Simitis-Petri, Bundesdatenschutzgesetz, Baden-Baden, 2011, 11, Rn Helfrich, Kreditscoring und Scorewertbildung der SCHUFA (Diss.), Baden-Baden, 2010, / 41

18 tenverarbeitung erhaltenen personenbezogenen Daten durch die Auskunftei für eigene Zwecke nicht durch die Vorschrift des 28a BDSG legitimiert wäre. Für die weiteren Ausführungen in dieser Arbeit wird bei der Ermittlung bankspezifischer Scores i.s. der Systematik des BDSG davon ausgegangen, dass diese stets eine Auftragsdatenverarbeitung i.s. des 11 BDSG darstellt, auch wenn die Datenverarbeitung durch eine Auskunftei erfolgt. Sollte es sich bei der durch Ehmann und Petri vorgetragene Interpretation nicht um die Bewertung eines eigentlich redaktionellen Versehens des Gesetzgebers handeln, kann auf die Ausführungen bei der 3. Fallgestaltung zurückgegriffen werden, die die Verwendung von Standardauskunfteienscores beschreibt und die Auskunftei als verantwortliche Stelle behandelt. III. Regelungen des BDSG für das Scoring 28b BDSG ist eine Komplementärvorschrift zu den 28, 29 BDSG 38 und definiert die Anforderungen an das Scoring für den Lebenszyklus eines Vertragsverhältnisses. IV. Begriffsklärung: Scorewerte als personenbezogene Daten? Mangels anderweitiger Definition im KWG wird sich der Begriff personenbezogene Daten ( ) ausschließlich am BDSG ausrichten. Nach 3 Abs. 1 BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. 39 Wesentliches Kriterium für die Anwendbarkeit des BDSG ist die Verwendung personenbezogener Daten, an die die Erlaubnistatbestände und die damit verbundene Zwecksetzung jeweils anknüpfen. Beckhusen stellt fest, dass der Score gem. 3 I BDSG eine Einzelangabe über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person darstellt, weil die Person auf Grund einer zugeordneten Wahrscheinlichkeit so behandelt wird, als würde sie die entsprechenden Eigenschaften aufweisen Simitis-Ehmann, Bundesdatenschutzgesetz, Baden-Baden, 2011, 28b, Rn Boos/Fischer/Schulte-Mattler-Boos, Kreditwesengesetz, 4. Auflage, München, 2012, 10, Rn Beckhusen, Das Scoring-Verfahren der SCHUFA im Wirkungsbereich des Datenschutzrechts, BKR, 2005, 335 (337) 18 / 41

19 Auch Ehmann referenziert auf diese Darstellung und kommt zu dem Schluss, dass zunächst rein statistisch aus anonymisierten Daten ermittelte(n) Score- Werte im zweiten Schritt einer Person zugeordnet werden und (so) die Grundlage für eine Prognose über das wahrscheinliche Verhalten dieser Person in der Zukunft bilden. 41 Möller / Florax präzisieren: Durch die Weitergabe des Scores an die anfragende Stelle wird der Score aber genau der Person zugewiesen, auf die er zuvor zugeschnitten wurde. 42 Entsprechend wird in dieser Arbeit davon ausgegangen, dass auch errechnete Scorewerte durch die prognostisch motivierte Verbindung mit Personendaten für diese unmittelbare Relevanz haben und Scorewerte daher in diesem Kontext als personenbezogen anzusehen sind. Angefügt werden soll, dass in der Literatur auch gegenteilige Meinungen vertreten werden, so v.a. Wuermeling: Um persönliche und sachliche Verhältnisse einer Person handelt es sich ( ) bei statistischen Risikowerten nicht. Das BDSG findet keine Anwendung Simitis-Ehmann, Bundesdatenschutzgesetz, Baden-Baden, 2011, 28b, Rn Möller / Florax, Datenschutzrechtliche Unbedenklichkeit des Scoring von Kreditrisiken, NJW, 2003, 2724ff., (2725) 43 Wuermeling, Scoring von Kreditrisiken, NJW, 2002, 3508, (3509) 19 / 41

20 3.Teil Arten der Informationsgewinnung und Rechtsfolgen A. Kreditscoring und Arten der Informationsgewinnung Gem. Gürtler / Kriese lassen sich für das Scoring grob die folgenden sechs Fallgruppen nach absteigender Institutsnähe unterscheiden: Vollständiger Eigenscore, Eigenscore einschließlich externer Variablen, Eigenscore einschließlich bankspezifischem Auskunfteienscore, Eigenscore einschließlich Standard- Auskunfteienscore, Bankspezifischer Auskunfteienscore und Standard- Auskunfteienscore. 44 Von dieser praxisbezogenen Aufteilung soll im Rahmen dieser Untersuchung abgewichen werden, da lediglich für den vollständigen Eigenscore, der auf ausschließlich durch das Kreditinstitut erhobenen Daten beruht, die bankaufsichtsrechtlichen Bestimmungen und die Datenschutzbestimmungen des KWG fraglos gelten. Auch die Vorgaben der SolV für IRBA sind hier einschlägig. die Verwendung bankenspezifischer Scorewerte ob als Bestandteil des eigenen Ratings oder ausschließlich durch das Kreditinstitut verwendet stellt eine Auslagerung i.s. des AT 9 MaRisk dar. Da diese jedoch keine datenschutzrechtliche Vorgabe beinhalten und auch 10 KWG i.v.m. der SolvV keine datenschutzrechtlichen Vorgaben für diesen Fall vorsehen, muss von der Anwendbarkeit des 11 i.v.m. 9 (Anlage) ausgegangen werden. Die technischen Vorgaben der SolvV sind hier ebf. einschlägig. der Bezug von Standarddienstleistungen einer Auskunftei, die sowohl in der Beauskunftung von Personendaten als auch eines Standardscores bestehen kann, stellt ebenfalls eine Auslagerung i. S. des AT 9 MaRisk dar. Da hier keine Auftragsdatenverarbeitung vorliegt, sind die 28, 28a, 28b und 29 BDSG einschlägig. Die vorliegende Literatur ist bislang bis auf den hier verwendeten Aufsatz von Gürtler / Kriese auf die fallabhängige Problematik nicht eingegangen, und auch in der Rechtsprechung wurde diese noch nicht thematisiert. Für die Untersuchung in dieser Arbeit (Kriterien sind das Unterfallen unter aufsichtsrechtliche und datenschutzrechtliche Bestimmungen) werden lediglich die 44 Gürtler / Kriese, Die Umsetzung der Scoring-Transparenz bei Banken, RDV 2010, 47ff. (51, 55) 20 / 41