22010 Aufsätze. Recht der Datenverarbeitung G Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht.

Größe: px
Ab Seite anzeigen:

Download "22010 Aufsätze. Recht der Datenverarbeitung G 20 141. Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht."

Transkript

1 ISSN Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G RDV Recht der Datenverarbeitung 26. Jahrgang April 2010 Seiten Aufsätze GÜRTLER / KRIESE, Die Umsetzung der Scoringtransparenz bei Banken BEHM, Datenschutzrechtliche Anforderungen an Scoringverfahren unter Einbeziehung von Geodaten KAMP / KÖRFFER, Auswirkungen des 32 BDSG auf die Aufgabenerfüllung und die strafrechtliche Verantwortung des Compliance Officers Rechtsprechung Aus dem Inhalt BVerfG, Zur Vorratsspeicherung von Telekommunikationsdaten BGH, Anforderungen an Datenverarbeitungseinwilligungsklausel (Happy Digits) BGH, Begriff der Teilnehmerdaten BGH, Anspruch auf Auskunft über Mitgesellschafter BAG, Unzureichende Deutschkenntnisse als Kündigungsgrund (Ls) BAG, Internetanschluss für den Betriebsrat (Ls) BAG, Keine negative betriebliche Übung BAG, Zur gerichtlichen Kontrolle dienstlicher Beurteilungen Berichte, Informationen, Sonstiges Aus der Europäischen Union Aus dem Bundestag Aus dem Ländern Sonstiges Literaturhinweise Veranstaltungen

2 Teil 1 Einführung in den Datenschutz für die Privatwirtschaft Teil 2 Einführung in den technischorganisatorischen Datenschutz Basis-Schulung Teil 3 Datenschutz-Management Repetitorium Vorbereitung auf die Prüfung zum GDDcert. Vertiefung und Prüfungsvorbereitung (fakultativ) Prüfung Zertifizierung durch die GDD Prüfungsinhalte sind die Teile 1 bis 3 GESELLSCHAFT FÜR DATENSCHUTZ UND DATENSICHERHEIT e.v. Datenschutz- Organisation Datenschutz- Praxis Spezial- Seminare SAP- Workshops >> Datenschutz Aktuell >> Der nebenamtliche Datenschutzbeauftragte mit kleinem Zeitbudget >> Neuer Kundendatenschutz >> Entlastung des Beauftragten für den Datenschutz von Routinearbeiten durch Datenschutz - integration >> Workshop: Das Datenschutz-Barometer nach BSI-Grundschutz >> Arbeitnehmerdatenschutz im öffentlichen Dienst >> Datenschutz Kompakt >> Neue Rechtsgrundlagen der Datenverarbeitung in der Versicherungswirtschaft >> Die Datenpanne! Albtraum jedes Unternehmens >> Datenaustausch in internationalen Unternehmen >> Praxisfragen beim betrieblichen Internetund -Einsatz >> Präsentationstechniken für Datenschutz - beauftragte >> Datenschutzprüfungen durch die Aufsichtsbehörden >> Rechtssichere Personaldatenverarbeitung und Prozesse >> Die 30 häufigsten Datenschutz-Schwachstellen und deren Lösung >> Update-Workshop: Datensicherheitspraxis >> Praxis-Workshop: Datenschutzpraxis im Unternehmen >> Das SAP-System für Datenschutzbeauftragte >> Prüfung von SAP- Systemen durch Datenschutzbeauftragte Datenschutzfachtagung (DAFTA) Anmeldung und weitere Informationen unter

3 Zeitschrift für Datenschutz-, Informationsund Kommunikationsrecht 26. Jahrgang 2010 Heft 2 Seiten Inhaltsverzeichnis Recht RDV der Datenverarbeitung Aufsätze Paul GÜRTLER /Gilbert KRIESE Die Umsetzung der Scoringtransparenz bei Banken 47 Ass. iur. Frank BEHM Datenschutzrechtliche Anforderungen an Scoringverfahren unter Einbeziehung von Geodaten 61 Meike KAMP /Barbara KÖRFFER Auswirkungen des 32 BDSG auf die Aufgabenerfüllung und die strafrechtliche Verantwortung des Compliance Officers 72 Rechtsprechung Zur Vorratsspeicherung von Telekommunikationsdaten (BVerfG, Urteil vom ) 76 Anforderungen an Datenverarbeitungseinwilligungsklausel (Happy Digits) (BGH, Urteil vom ) 77 Begriff der Teilnehmerdaten (BGH, Urteil vom ) 80 Anspruch auf Auskunft über Mitgesellschafter (BGH, Beschluss vom ) 84 Unzureichende Deutschkenntnisse als Kündigungsgrund (Ls) (BAG, Urteil vom ) 84 Internetanschluss für den Betriebsrat (Ls) (BAG, Beschluss vom ) 84 Keine negative betriebliche Übung (BAG, Urteil vom ) 85 Zur gerichtlichen Kontrolle dienstlicher Beurteilungen (BAG, Urteil vom ) 86 Umfang der Unterrichtung über neuen Arbeitgeber bei Betriebsübergang (BAG, Urteil vom ) 87 Anforderungen an Datenverarbeitungseinwilligungen (LG Berlin, Urteil vom ) 88 Berichte, Informationen, Sonstiges Aus der Europäischen Union Neue Datenschutz-Standards bei Einschaltung von Auftragsverarbeitern in Drittländern 89 Konsultation zum europäischen Rechtsrahmen für den Datenschutz 89 EuGH: Deutschland verstößt gegen EG Datenschutzrecht 90 Aus dem Bundestag Verwendung sogenannter Antiterrorlisten 90 Bilanz des Informationsfreiheitsgesetzes 90 Aus den Ländern Handyortung durch Arbeitgeber 90 Beendigung des Amtes als Datenschutzbeauftragter bei Fusion 91 Sonstiges Bußgelder wegen unerlaubter Telefonwerbung 92 Düsseldorfer Kreis zur Analyse des Surf- Verhaltens und zur Neuregelung der Datenverwendung für Werbezwecke 93 Genetische Daten wer darf sie kennen und wie ist mit ihnen umzugehen? 93 Literaturhinweise Buchbesprechungen Stefan Arenz, Der Schutz der öffentlichen Sicherheit in Next Generation Networks am Beispiel von Internet-Telefonie-Diensten (VoIP) (REDAKTION) 94 Ralf Dietrich, Das Erfordernis der besonderen Sicherung im StGB am Beispiel des Ausspähens von Daten (REDAKTION) 94 Neuerscheinungen Aufsätze 95 Veranstaltungen 96

4 Herausgegeben von der Gesellschaft für Datenschutz und Datensicherung e.v. (GDD), Bonn und Prof. Dr. Ralf Bernd ABEL, Hamburg/Schmalkalden Dietrich BOEWER, Vorsitzender Richter am Landesarbeitsgericht Düsseldorf i. R. Prof. Dr. Alfred BÜLLESBACH, Universität Bremen Prof. Dr. Horst EHMANN, Universität Trier Dr. Joachim W. JACOB, Bundesbeauftragter für den Datenschutz a. D. Prof. Dr. Friedhelm JOBS, Richter am Bundesarbeitsgericht a. D. Prof. Dr. Karl LINNENKOHL, Gesamthochschule Kassel Dr. h. c. Hans-Christoph MATTHES, Vorsitzender Richter am Bundesarbeitsgericht a. D. Dr. Alexander OSTROWICZ, Präsident des Landesarbeitsgerichts Schleswig-Holstein a. D. Prof. Dr. Michael RONELLENFITSCH, Hessischer Datenschutzbeauftragter, Wiesbaden Prof. Dr. Friedhelm ROST, Vorsitzender Richter am Bundesarbeitsgericht a. D. Peter SCHAAR, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit, Berlin Prof. Dr. Mathias SCHWARZ, Rechtsanwalt, München Prof. Dr. Dr. h.c. Spiros SIMITIS, Universität Frankfurt Prof. Dr. Jürgen TAEGER, Universität Oldenburg Dr. Irini VASSILAKI, Universität Göttingen Prof. Dr. Wolfgang ZÖLLNER, Universität Tübingen Beilagenhinweis GDD-Mitteilungen 2/2010; DATAKONTEXT, Frechen Manuskripte Zuschriften und Manuskriptsendungen, die den Inhalt der Zeitschrift betreffen, werden an die Schriftleitung erbeten. Für unverlangt eingesandte Manuskripte wird keine Haftung übernommen. Sie können nur zurückgesandt werden, wenn Rückporto beigefügt ist. Beiträge werden grundsätzlich nur angenommen, wenn sie nicht einer anderen Zeitschrift zur Veröffentlichung angeboten wurden. Mit der Annahme zur Veröffentlichung erwirbt der Verlag vom Autor alle Rechte, insbesondere das Recht der weiteren Vervielfältigung zu gewerblichen Zwecken mit Hilfe fotomechanischer oder anderer Verfahren. Urheber- und Verlagsrechte Sie sind einschließlich der Mikroverfilmung vorbehalten. Sie erstrecken sich auch auf die veröffentlichten Gerichtsentscheidungen und ihre Leitsätze; diese sind geschützt, soweit sie vom Einsender oder von der Schriftleitung erstellt oder bearbeitet sind. Der Rechtsschutz gilt auch gegenüber Datenbanken und ähnlichen Einrichtungen: Diese bedürfen zur Auswertung einer Genehmigung des Verlages. Der Verlag gestattet in der Regel die Herstellung von Fotokopien zu innerbetrieblichen Zwecken, wenn dafür eine Gebühr an die VG Wort, Abteilung Wissenschaft, Goethestraße 49, München, entrichtet wird, von der die Zahlungsweise zu erfragen ist. Schriftleitung Prof. Peter Gola RA Dr. Georg Wronka RA Andreas Jaspers RA Christoph Klug Redaktionsanschrift Pariser Str. 37, Bonn Telefon: (02 28) Telefax: (02 28) Erscheinungsweise 6 x jährlich Bezugspreis Jahresabonnement 139, Einzelheft 25, jeweils zzgl. Versandkosten Bestellungen DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Jürgen Weiß Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Clemens Köhler Leitung: Hans-Günter Böse HRB Abbestellungen 6 Wochen vor Abonnementablauf Verlag DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Clemens Köhler Leitung: Hans-Günter Böse HRB Satz alka mediengestaltung gbr Ottostraße 6, Bornheim-Sechtem Druck AZ Druck und Datentechnik GmbH Heisinger Straße 16, Kempten Anzeigenverwaltung DATAKONTEXT Verlagsgruppe Hüthig Jehle Rehm GmbH Standort Frechen Thomas Reinhard Augustinusstraße 9d D Frechen-Königsdorf Telefon: ( ) Telefax: ( ) Geschäftsführer: Clemens Köhler Leitung: Hans-Günter Böse HRB

5 Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln Recht RDV der Datenverarbeitung 26. Jahrgang 2010 Heft 2 Seiten Aufsätze Paul Gürtler / Gilbert Kriese, Düsseldorf* Die Umsetzung der Scoringtransparenz bei Banken I. BDSG-Novelle I 1. Einführung Kern der zum 1. April 2010 in Kraft getretenen Novelle I zum BDSG-2009 ist die gesetzliche Regelung der Scoringverfahren in der Privatwirtschaft 1 und bei Auskunfteien. Neben einem Paragraphen zum Scoring, 28b BDSG, befasst sich die Novelle mit der Datenübermittlung an Auskunfteien, 28a BDSG, worin u.a. neue Vorschriften zur Übermittlung von Positivdaten an Auskunfteien enthalten sind und in dem erstmals bei einer zukünftigen Übermittlung nach 29 Abs. 2 BDSG auch die Übermittlung von Daten über die Verhaltensweisen von Betroffenen, die der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig sind 2. Damit ist der Verbraucherdatenschutz im BDSG endgültig angekommen 3. Die Rechte der Betroffenen werden durch die BDSG-Novelle an zwei Stellen erweitert zum einen wird bei automatisierten Einzelentscheidungen nach 6a BDSG eine Ausweitung der Transparenz vorgenommen, zum anderen wird der bisherige Auskunftsanspruch nach 34 BDSG für die Anwendungen von Scoringverfahren in 34 Abs. 2 BDSG speziell geregelt. Die seit mehreren Jahren geführte Diskussion um das sog. Scoring, das mit einem Gutachten des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) im Auftrag des Bundesmi- nisteriums für Ernährung, Landwirtschaft und Verbraucherschutz (BMELV) an Intensität gewann 4 und auch außerhalb der Fachpublikationen mit Breitenwirkung geführt wurde 5, hat mit der BDSG-Novelle I 6 eine umfassende politische Kompromissregelung zwischen Transparenz und Wahrung des Geschäftsgeheimnisses gefunden, die für die Praxis aber einige be- * Paul Gürtler ist Direktor des Bereichs Datenschutz & Informationssicherheit und betrieblicher Datenschutzbeauftragter der TARGO- BANK sowie weiterer Gesellschaften, die zur Crédit Mutuel Bankengruppe in Deutschland gehören. Gilbert Kriese ist Direktor Scoring beim gleichen Institut. 1 Von der Vorschrift sind zwar primär Kreditinstitute und Auskunfteien angesprochen, dennoch können vgl. Gola/Klug, Sonderbeilage zu RDV Heft 4, 2009, 2 die Zulässigkeits- und Transparenzanforderungen durchaus auch für Unternehmen anderer Branchen gelten. 2 28a Abs. 2 S. 4 BDSG. 3 Weitere Anknüpfungspunkte zu einem Verbraucherdatenschutz bietet die BDSG-Novelle III BT-Drucks. 16/11643 v , S ; BR-Drucks. 639/09, Art. 5, v In 29 Abs. 6 und 7 ist ausdrücklich von Verbrauchern die Rede. Damit wird der sonst im BDSG verwendete Begriff des Betroffenen verlassen. 4 Gutachten des Unabhängigen Landeszentrums für Datenschutz im Auftrag des Bundesministeriums für Verbraucherschutz, Landwirtschaft und Ernährung: Scoring-Systeme zur Beurteilung der Kreditwürdigkeit Chancen und Risiken für Verbraucher vom ; zu den vorgebrachten datenschutzrechtlichen Bedenken gegen Scoringverfahren vgl. m.w.n. Gürtler in Albrecht-Karahan-Lenenbach, Fachanwaltshandbuch für Bank- und Kapitalmarktrecht 35, Datenschutz in der Bankpraxis, Rn Vgl. Schaar, Das Ende der Privatsphäre, S. 198; Spiegel 17, 2008, S. 44, Die neue Klassengesellschaft. 6 BDSG-Novelle I Auskunfteien und Scoring v ; BGBl. I, S ff. (Nr. 48 vom ), BR-Drucks. 548/08 v ; BT-Drucks. 16/10529 v ; 16/10581 v ; 16/13219 v ; zu den weiteren Gesetzesmaterialien vgl. auch 154/15429.html

6 48 RDV 2010 Heft 2 kannte Fragen unbeantwortet lässt und neue aufwirft. Der vorliegende Beitrag beschäftigt sich aus dem Blickwinkel von Kredit- und Finanzdienstleistungsinstituten mit der Frage, wie die neuen Vorschriften zum Scoring nach 29b BDSG und 34 Abs. 2 BDSG zu verstehen und vor allem praxisnah umzusetzen sind. Auf Fragestellungen hinsichtlich 6a BDSG wird, da es sich um ein eigenständiges Thema handelt, nicht eingegangen. Eine gesetzeskonforme Umsetzung der Scoringtransparenz ist nicht nur wegen der durch das BDSG umfassend erweiterten Bußgeldvorschriften 7 und damit bereits aus Datenschutz-Compliance Gesichtspunkten geboten, sondern liegt auch im Eigeninteresse der jeweiligen Institute. Insoweit besteht nämlich die Chance, dass Kreditentscheidungen von Kunden besser verstanden und akzeptiert sowie gegebenenfalls seitens der Bank auch korrigiert werden können. Der Gedanke liegt nahe, dass die neu eingeführten Regeln seitens der Verbraucherschutzorganisationen als Indikator dafür verwendet werden können, inwieweit eine bloß datenschutzkonforme oder darüber hinausgehende verbraucherschutzfreundliche Gestaltung erfolgt ist. Vor dem Hintergrund der in der Praxis zur Anwendung kommenden unterschiedlichen Scoremodellen wird es allerdings schwierig, hier allgemeinverbindliche und damit vergleichbare Lösungsansätze zu finden, weshalb es keine Musterlösung in der Praxis geben kann, sondern immer entscheidend auf den jeweiligen Einzelfall ankommt. 2. Alte und neue Fragen a) Scoring fehlende Legaldefinition Über die datenschutzrechtliche Behandlung von Scoringmodellen hat man bereits vor der BDSG-Novelle I umfassend diskutiert 8. Der Gesetzgeber hat mit der Novelle die Möglichkeit versäumt, zu definieren, was unter Scoring im Sinne des Gesetzes genau zu verstehen ist. Weder die Regelung in 29b BDSG noch die mit dieser Norm verknüpften neuen Auskunftspflichten gem. 34 Abs. 2 BDSG oder eine andere Stelle im BDSG enthält eine Definition von Scoring. Vielmehr wird dieser Begriff vorausgesetzt und kann anhand der neuen Vorschriften nur mittelbar erschlossen werden. Hoeren 9 versteht unter Scoring- Verfahren von der Wissenschaft entwickelte standardisierte, auf statistisch-mathematischer Analyse von Erfahrungswerten basierende Verfahren zur Prognose des Verhaltens von Personengruppen und potenziellen oder tatsächlichen Einzelpersonen mit bestimmten Merkmalen. Diese vor der BDSG-Novelle I geprägte Definition ist weiterhin aktuell. Der Gesetzgeber geht von einem eingrenzenden Verständnis von Scoring, gerichtet auf die zukünftige Prognose des Verhaltens von Personen, aus: Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken 28b BDSG spricht von einem Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen, und dieser Wert darf nur erhoben oder verwendet werden, wenn es um die Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen geht und zudem gem. 28b Nr. 1 BDSG die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind. Daraus folgt, dass es auf die Methodik der den Scoringverfahren zugrunde gelegten mathematisch-statistischen Modellen 10 nicht ankommt, solange sie wissenschaftlich anerkannt sind. Des Weiteren lässt sich aus dieser Systematik ableiten, dass ein Scoreverfahren, das sich ausschließlich auf den Eintritt eines zukünftigen Ereignisses durch höhere Gewalt oder Fremdeinwirkung bezieht, nicht von der neuen Regelung des BDSG erfasst wird, denn nach der Gesetzesbegründung zu 28b Scoring 11 ist entscheidend zunächst, dass ein zur Person des Betroffenen errechneter Scorewert für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen verwendet wird, d.h. der Scorewert Eingang findet in eine Entscheidung, die für den Betroffenen eine rechtliche Folge mit einem (potentiellen) Vertragsverhältnis nach sich zieht. Die Berechnung des Wahrscheinlichkeitswerts muss sich ferner auf ein zukünftiges Verhalten des Betroffenen beziehen. Dies setzt ein selbstbestimmtes Handeln voraus, so dass Ereignisse, die auf höhere Gewalt oder Fremdeinwirkung zurückgehen, ausscheiden (z.b. Blitzschlag, Diebstahl oder Erkrankung). Die Verfahren zur Tarifierung etwa von Lebensoder Krankenversicherungen oder Versicherungen gegen Kfz-Diebstahl stellen daher kein Scoring im Sinne des 28b [BDSG] dar. Damit sind grundsätzlich Scoringverfahren außerhalb des Anwendungsbereichs des BDSG denkbar, die ausschließlich auf Ereignisse fern jeden selbstbestimmten Verhaltens anknüpfen, z.b. Eintrittswahrscheinlichkeit von Kurzarbeit oder Arbeitslosigkeit. Soweit hier keine Verbindung zu einem Eintritt eines Verhaltens des Betroffenen besteht, sind diese Prozesse nicht vom BDSG erfasst. Das Ergebnis mag unbefriedigend sein, ist aber angesichts der klaren Gesetzesbegründung eindeutig Abs. 1 Nr. 8a, b und c BDSG. Der Bußgeldrahmen ist gem. 43 Abs. 3 auf 50 T erweitert worden, wobei weitere Verschärfungen durch die sog. Gewinnabschöpfung gem. 43 Abs. 3 S. 2 u. 3 BDSG möglich sind. 8 Weichert, DuD 2005, 582; Nick, Kreditscoring und Datenschutz in Festschrift für Karl Peter Mailänder, Berlin 2006, S Hoeren, RDV 2007, 93 zur Frage, was Scoring allgemein ist. 10 Als mathematische Modelle kommen u.a. logistische Regression, Diskriminanzanalyse, Entscheidungsbäume, neuronale Netze infrage. 11 BT-Drucks. 16/10529 v , S. 16.

7 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken b) Abgrenzung von Rating und Scoring Der Gesetzgeber hat es trotz entsprechender Kritik seitens der Kreditwirtschaft versäumt, das Verhältnis von Rating und Scoring zu klären. Es stellt sich für die Bankpraxis die Frage, wie die neuen Vorschriften des BDSG mit dem KWG, insbesondere 10 Abs. 1 Satz 3 ff. KWG in Einklang zu bringen sind. Für beide Begriffe Rating und Scoring gibt es keine allgemein verbindliche Definition 12. Während es nach der Gesetzesbegründung 13 beim Rating nach 10 Abs. 1 Satz 3 KWG um die Berechnung der Eigenkapitaldeckung gegenüber der Bundesanstalt für Finanzdienstleistungsaufsicht geht, ist das Scoringverfahren vor allem eine Entscheidungshilfe bei Vertragsverhältnissen mit Bankkunden. Beide Verfahren können in der Praxis eine Einheit bilden 14. Nach 10 Abs. 1 Satz 3 KWG können Ratingsysteme als Grundlage für die Beurteilung der Angemessenheit der Kapitalausstattung von Instituten dienen. Dies subsumiert sowohl Verfahren für Privatkunden als auch für Firmenkunden. Demgegenüber werden Scoringverfahren vor allem als eine Entscheidungshilfe bei Vertragsverhältnissen mit Privatkunden gesehen. Banken sind auf Basis der Baseler Eigenkapitalvereinbarung (Basel II) bzw. der Solvabilitätsverordnung angehalten, im Falle der Wahl des auf internen Ratings basierenden Ansatzes (IRBA) Ratingklassen/Risikoklassen für jeden einzelnen Kreditnehmer/Kredit zu ermitteln. Basis der Zuordnung der Ratingklassen/Risikoklassen sind im Privatkundenbereich Scoringverfahren 15. Damit ist die Trennung von Scoring und Rating in der Praxis nicht immer eindeutig vorzunehmen. Es liegt nahe, mögliche Konflikte und Rechtsunsicherheiten, die sich u.a. auch durch die Zuständigkeit unterschiedlicher Aufsichtsbehörden ergeben, über 1 Abs. 3 Satz 1 BDSG zu lösen und 10 Abs. 1 Satz 3 ff. KWG als lex specialis gegenüber den Scoringvorschriften des BDSG anzusehen 16. Sollten im Einzelfall damit Aspekte des Ratings im Vordergrund stehen, spricht einiges dafür, dass 28b BDSG nicht zur Anwendung kommt. 3. Voraussetzungen des Scorings gem. 28b BDSG Die Vorschrift enthält neben allgemeinen Zulässigkeitsvoraussetzungen und sich hieraus ergebenden Abgrenzungsfragen einschränkende Spezialregeln für Anschriftendaten. RDV 2010 Heft 2 49 a) Allgemeine Voraussetzungen des Scorings gem. 28b BDSG 28b BDSG stellt auf die Erhebung oder Verwendung eines Wahrscheinlichkeitswerts für ein bestimmtes zukünftiges Verhalten des Betroffenen ab, der für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen zur Anwendung kommt. Ein solcher Wahrscheinlichkeitswert darf nur dann erhoben oder verwendet werden, wenn: die Berechnung des Scorewerts auf Basis eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens erfolgt, das nachweisbar für die Berechnung der Wahrscheinlichkeit erheblich ist, bei Berechnung des Wahrscheinlichkeitswerts durch Auskunfteien diese Berechung auf Grundlage der Daten erfolgt, die gem. 29 BDSG übermittelt werden dürften. In allen anderen Fällen müssen die Voraussetzungen für die Nutzung der Daten gem. 28 BDSG gegeben sein. Die Anwendbarkeit von 28b BDSG setzt gem. 1 Abs. 2 Nr. 3 BDSG voraus, dass personenbezogene Daten durch Einsatz von Datenverarbeitungsanlagen bzw. aus nicht automatisierten Dateien verarbeitet, genutzt oder erhoben werden. Nicht erfasst sind gem. 27 Abs. 2 BDSG die Nutzung oder Verarbeitung von personenbezogenen Daten außerhalb von nicht automatisierten Dateien. Sogenannte nicht dateigebundene Prozesse sind vom Anwendungsbereich von 28b BDSG nicht erfasst 17. Für Banken dürfte bei der Ermittlung von Kreditrisiken das nach 29b Nr. 1 BDSG gebotene wissenschaftlich anerkannte mathematisch-statistische Verfahren bereits durch Einhaltung der Vorgaben des 10 Abs. 1 Sätze 3 bis 8 KWG erfüllt sein. 10 Abs. 1 KWG ist wie ausgeführt als bereichsspezifische Spezialnorm für den Betrieb interner Risikomessverfahren vorrangig heranzuziehen, wenn es um die Beurteilung der Wissenschaftlichkeit des Verfahrens geht. Da Scorecards und deren Einsatz im Unternehmen regelmäßig einer Überwachung unterliegen, dürfte auch der Nachweis der Erheblichkeit des Verfahrens in der Praxis durch Verweis auf die Ergebnisse der entsprechenden Monitoringaktivitäten, bzw. Prüfberichte interner und externer Stellen, erbracht werden können. Das Gesetz sagt nichts darü- 12 Abel, RDV 2006, 108 [108]. 13 Vgl. Gegenäußerung der Bundesregierung zur Stellungnahme des Bundesrats, BT-Drucks. 16/10581 v , S Ebenda. 15 Vgl. Nick, Fn. 8, Kreditscoring und Datenschutz, S. 45 [46] das Kreditrisiko ist nach einem internen Rating-Ansatz zu bewerten, wofür alle relevanten verfügbarem Informationen zu verwenden sind, wozu auch Scoringverfahren gehören; s.a. Mackenthun, WM 2004, 1713 [1714]. 16 Vgl. Gürtler in Albrecht-Karahan-Lenenbach, Fachanwaltshandbuch für Bank- und Kapitalmarktrecht, 35, Datenschutz in der Bankpraxis, Rn Anderenfalls könnte es u. U. zu dem auch vom Gesetzesgeber nicht gewollten Ergebnis kommen, dass eine von der Bundesanstalt für Finanzdienstleistungsaufsicht aus KWG-Gesichtspunkten geforderte Wahrscheinlichkeitsberechnung aus Sicht der Datenschutzaufsichtsbehörden mit Verweis auf das BDSG als unzulässig angesehen würde. 17 Vgl. GDD-Praxishilfe Automatisierte Einzelentscheidung, Scoring, Datenübermittlung an Auskunfteien, 1. Auflage 2010, II. 3. a): rein manuelle bzw. nicht dateigebundene Prozesse sind grundsätzlich von 28b BDSG nicht erfasst.

8 50 RDV 2010 Heft 2 ber aus, wie lange solche Dokumentationen aufzubewahren sind. Aus Sicht des BDSG sollte man hier bei Kreditinstituten als Minimalfrist sechs Monate ansetzen, da hier eine Auskunftspflicht von sechs Monaten gem. 34 Abs. 2 BDSG gegenüber den Betroffenen besteht. Längere Aufbewahrungspflichten können sich beispielsweise durch die Solvabilitätsverordnung bei Wahl des IRBA-Ansatzes ergeben (5 Jahre). Auch das weitere Erfordernis, dass gem. 28b Nr. 2 BDSG für Fälle, in denen es nicht um Berechnung der Wahrscheinlichkeitswerte durch eine Auskunftei geht, die Vorgaben des 28 BDSG einzuhalten sind, dürfte in der Praxis für Banken keine wesentlichen Schwierigkeiten bereiten. In der Regel werden die Daten unmittelbar gem. 4 Abs. 1 BDSG beim Betroffenen erhoben. Ihre Verarbeitung zu Scoringzwecken im Rahmen des 28b BDSG wird im Regelfall eine Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke i.s.v. 28 Abs. 1 BDSG sein. b) Anwendungsbereich und Abgrenzungsfragen Auch hinsichtlich des Anwendungsbereichs ergeben sich für die Praxis zahlreiche Abgrenzungsfragen, die im Rahmen dieser Bearbeitung allenfalls kurz angesprochen werden können. Als Interpretationsrichtlinie kann man allgemein unter Bezug auf den Sinn und Zweck der Norm darauf abstellen, dass Scoring im Rechtssinn immer dann vorliegt, wenn die Erhebung oder Verwendung eines Wahrscheinlichkeitswerts für ein bestimmtes zukünftiges Verhalten des Betroffenen im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses im Vordergrund steht. Geht es primär um die Steuerung interner Prozesse und Verarbeitungen oder um die Einhaltung oder Überprüfung der Einhaltung gesetzlicher Vorgaben, liegt kein Scoring im Sinne des 28b BDSG vor. Legt man diesen Gedanken zugrunde, ergibt sich, dass z.b. die Berechnung von Scorewerten im Zusammenhang mit Marketingmaßnahmen (sog. Marketing-/ Werbescore) nicht von dem Anwendungsbereich des 28b BDSG erfasst ist, da es bei der Frage, wem eine Werbung bzw. Marketingmaßnahme zukommen soll, nicht um die Entscheidung darüber geht, ob ein Rechtsverhältnis begründet, durchgeführt oder beendet wird. Sowohl bei Kunden als auch bei Nichtkunden sind Werbe- oder Marketingaktivitäten jeweils dem Vorfeld einer möglichen Entscheidung über ein Vertragsverhältnis zuzuordnen. Auch bei die Erfüllung gesetzlicher Vorgaben, wie insbesondere die nicht geringen Compliance-Aktivitäten, die der Kreditwirtschaft von gesetzlicher Seite aufgegeben werden (sog. Compliance-Scores) wird man den Anwendungsbereich der Norm bereits deshalb ausschließen können, weil es hier nicht um eine Prognose über ein künftiges Verhalten der Betroffenen Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken geht, sondern um die Überprüfung, ob die Gesetze eingehalten werden. Für die Aktivitäten der Kreditwirtschaft im Zusammenhang mit der Beitreibung gesamtfällig gestellter Forderungen sog. Inkasso-Scores ist darauf abzustellen, dass es hier im Regelfall nicht um die Prognose eines zukünftigen Verhaltens des Betroffenen geht, sondern darum, unter Zugrundelegung geschäftspolitischer Entscheidungsparameter im Einzelfall die weiteren Maßnahmen der Beitreibung zu steuern. Beispielsweise kann anhand der Höhe der ausstehenden Summe maschinell ein Mahnbescheid im Einzelfall veranlasst werden. Ebenso gut könnte hier ein maschinelles Schreiben an den Schuldner mit der Bitte um Kontaktaufnahme zur Vereinbarung einer gemeinsamen Lösung erstellt werden. Die unterschiedlichen Bearbeitungsansätze sind in der jeweiligen Geschäftspolitik begründet. In solchen Fällen wäre der hier zugrunde liegende Inkasso-Score kein Score im Sinne des 28b BDSG, sondern ein reiner Rechenwert zur Steuerung bankinterner Prozesse. Bei Prüfung der Frage ist zusätzlich zu berücksichtigen, dass die Entscheidung einer Bank, welche Schritte zur Sicherung ihrer Rückstände getroffen werden, geschäftspolitische Entscheidungen sind, die zum Kern des Geschäftsgeheimnisses einer Bank gehören. c) Spezialregeln für Anschriftendaten Der Gesetzgeber stellt zwei Regeln für die Berechnung und Nutzung von Anschriftendaten auf. Gem. 28b Nr. 3 BDSG dürfen für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden die Vergabe von Krediten ausschließlich auf Basis einer Anschrift ist unzulässig. Hinsichtlich der Nutzung von Anschriftendaten gibt das Gesetz Transparenz- und Dokumentationspflichten vor. Der Betroffene muss nach 28b Nr. 4 BDSG vor der Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung informiert werden. Die hier vorzunehmende Unterrichtung ist zudem zu dokumentieren. Nach der Gesetzesbegründung kann diese Unterrichtung in der Praxis über allgemeine Geschäftsbedingungen erfolgen 18. Wie auch zum Begriff des Scorings selbst, fehlt eine Gesetzesdefinition zum Begriff Anschriftendaten. Insoweit ist auf die Gesetzesbegründung abzustellen 19 sowie auf den Sinn und Zweck, wonach vermieden werden soll, dass die Vergabe von Krediten ausschließ- 18 BT-Drucks. 16/10529 v , S. 16; s. a. Abel, RDV 2009, 147, 150; ebenso Pauly/Ritzer, WM 2010, 8, 12, allerdings mit der Empfehlung, einen entsprechenden Hinweis in die Vertragsformulare aufzunehmen, mit denen die Adressdaten erfasst werden. 19 BT-Drucks. 16/10529 v , S. 17 zu Adressdaten, die aus den Einzeldaten: Straße, Hausnummer Postleitzahl und Ort bestehen; vgl. auch Zitat aus der Gesetzesbegründung zum Thema Datenarten unter III. 2. b).

9 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken RDV 2010 Heft 2 51 lich auf Grundlage der Bewertung oder Einschätzung einer Adresse erfolgt 20. Danach sind unter Adressdaten solche Daten anzusehen, die einen Ortsbezug haben und der Bewertung oder Einschätzung einer bestimmten Anschrift dienen. Die hieraus sich ergebenden Einzelfragen 21 sind als offen anzusehen. Entscheidend ist, ob ein Einzelwert für sich genommen ausreicht, um einen konkreten Adressbezug herzustellen. Dies wird man z.b. beim Abstellen auf ein Bundesland verneinen müssen, wohingegen die Kombination von Postleitzahl, Straße und Hausnummer relevant ist. Fraglich ist auch, ob die bloße Verwendung einer Postleitzahl in den Anwendungsbereich der Norm fällt. Stellt man auf den Gedanken des Verbots von sog. Redlining 22 ab, fiele auch die Verwendung von Postleitzahlen in den Anwendungsbereich der Norm. Angesichts der nicht unerheblichen Sanktionen empfiehlt es sich in der Praxis in Zweifelsfällen, Kontakt mit der zuständigen Datenschutzaufsicht aufzunehmen, um die Frage im Vorfeld zu klären, bzw. vorsichtshalber die verwendete Information als adressrelevant anzusehen und die Transparenz- und Dokumentationspflichten einzuhalten. II. Scoring im Bankbereich 1. Scoringarten Scoringverfahren beschränken sich nicht auf die Kreditwirtschaft, sondern kommen auch in anderen Wirtschaftsbereichen zur Anwendung 23. Bei Scoringverfahren im Bankbereich ist hinsichtlich des Verwendungszwecks zu differenzieren: Maßgeblich ist hier vor allem die Unterscheidung zwischen Antragsscorings im Zusammenhang mit der Entscheidung über die Begründung eines Vertragsverhältnisses und dem sog. Verhaltensscoring, bei dem es um die Verwertung von Informationen aus dem bestehenden Vertragsverhältnis geht und bei dem die Durchführung bzw. Beendigung des Vertragsverhältnisses im Vordergrund steht. Neben der Unterscheidung nach dem Verwendungszweck ist die Unterscheidung nach Modellen von Bedeutung. Bankeigene Scoremodelle sind von bankfremden Scoremodellen abzugrenzen. Dazwischen gibt es eine Vielzahl von Mischformen 24, die alle für die Umsetzung der Scoringtransparenz im Detail berücksichtigt werden müssen 25. Der hier verfolgte Ansatz stellt auf die Typisierung von Scorecards nach Institutsbezogenheit ab. Danach lassen sich grob sechs Fallgruppen unterscheiden: vollständiger Eigenscore, Eigenscore einschließlich externer Variablen, Eigenscore einschließlich bankspezifischem Auskunfteien score, Eigenscore einschließlich Standard-Auskunfteienscore, bankspezifischer Auskunfteienscore und der Standard-Auskunfteienscore. Im Detail wird auf diese Fallgruppen unten unter III. Umsetzung der Scoringtransparenz eingegangen. 2. Scoring und Kreditvergaberichtlinien Die Vorstellung des Gesetzgebers, dass das Scoring im Wesentlichen die Kreditvergabe bestimmt, kann aus der Praxis nicht bestätigt werden. Diese Vorstellung ist deshalb nicht richtig, weil ein ganz wesentlicher Teil unberücksichtigt bleibt, nämlich die institutsinternen Kreditvergaberichtlinien, die den Kern der unternehmerischen Handlungsfreiheit bilden und von Institut zu Institut verschieden sind. Wie bereits durch Nick im Detail herausgearbeitet wurde, ist das Kreditscoring nur ein Element des Kreditentscheidungsprozesses. Die für den betroffenen Kunden als Verbraucher wesentliche Frage, warum ein beantragter Kredit nicht herausgelegt wird, muss nicht unmittelbar mit dem Scorewert in Bezug stehen, aber gerade davon geht die Gesetzesnovelle aus. Hier hätte das vom Zentralen Kreditausschuss in der politischen Diskussion vorgeschlagene Alternativmodell bessere Ergebnisse für die Bankkunden erzielt 27, weil es nicht ausschließlich auf Scoring abstellt. Bevor es überhaupt zu einer Scorewertberechnung kommt, müssen alle Sachverhalte ausgesondert werden, die eine Scorewertberechnung von Anfang an ausschließen. Beispiele hierzu sind Minderjährigkeit oder negativer Kreditbüro-Eintrag 28, was institutsbezogen in den jeweiligen Kreditvergaberichtlinien festgehalten ist. Entsprechendes gilt, wenn Sachverhalte vorliegen, die einer Kreditherauslage entgegenstehen, z.b. unzureichendes Einkommen oder Arbeitslosigkeit 29. Während im Regelfall die Banken sich im Um- 20 Vgl. Abel, RDV 2009, 147, 150; vgl. im Übrigen auch Pauly/Ritzer, WM 2010, 8, 12, die unter Hinweis auf den US Community Reinvestment Act darauf abstellen, dass in den USA Banken dazu verpflichtet sind, Kredite zu gewähren, ohne Stadtviertel systematisch hiervon auszunehmen sog. Redlining. 21 Vgl. auch in diesem Heft der RDV Behm, Datenschutzrechtliche Anforderungen an Scoringverfahren unter Einbeziehung von Geodaten. 22 Vgl. Fn. 20, Pauly/Ritzer, WM 2010, 8, 12 Redlining verstanden als Verbot der Ausgrenzung einzelner Stadtviertel oder Straßenzüge. 23 Nick, Fn. 8, Kreditscoring und Datenschutz, S. 45: Scoringanwendungen finden sich neben der Kreditwirtschaft vor allem in der Versicherungsindustrie, der Telekommunikationswirtschaft und der Werbewirtschaft (wobei letztere wg. des nun im BDSG aufgenommenen Erfordernisses der Entscheidung über ein Vertragsverhältnis sich außerhalb des Anwendungsbereichs des BDSG befinden dürfte); vgl. im Übrigen Gürtler, Fn. 16, Rn Beckhusen, BKR 2005, 335 [336] zum sog. Auskunft-Scoring-Service der SCHUFA; Hoeren, RDV 2007, 93 zu den rechtlichen Grundlagen des SCHUFA-Scoring-Verfahrens. 25 Vgl. auch unten III. 3: Typisierung von Scorecards nach Institusbezogenheit und Umsetzung der BDSG-Offenlegunganforderungen von Scorecardinformationen. 26 Nick, Fn. 8, Kreditscoring und Datenschutz, S. 45 [48] vgl. Entscheidungsbaum eines typisierten Kreditentscheidungsprozesses. 27 Stellungnahme des ZKA v zum Entwurf der Bundesregierung für ein Gesetz zur Änderung des BDSG 28 Nick, Fn. 8, Kreditscoring und Datenschutz, S. 45 [48 f.]. 29 Nick, Fn. 8, Kreditscoring und Datenschutz, S. 45 [49].

10 52 RDV 2010 Heft 2 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken gang mit diesen Lebenssachverhalten gleichen, werden insbesondere bei der Bewertung der Einkommensverhältnisse und weiterer Umstände sich Unterschiede zwischen den Banken ergeben, die auf der unterschiedlichen Geschäftspolitik der Häuser basieren. Einzelne Aspekte von Kreditvergaberichtlinien werden zum Teil abwertend als Killermerkmale bezeichnet und missverständlich als Teil des Scorings diskutiert 30 tatsächlich liegt aber keine Bewertung durch Scoring vor. Das Regelwerk der Kreditvergabe (sog. Kredit-Policies), ist Grundlage jeder Kreditentscheidung und darf nicht mit Scoring verwechselt oder gleichgesetzt werden. Bei der Anwendung von Kreditvergaberichtlinien geht es nicht um die Prognose von Wahrscheinlichkeitswerten, sondern um die Umsetzung geschäftspolitischer und risikopolitischer Entscheidungen. III. Umsetzung der Scoringtransparenz Die zum von der Kreditwirtschaft umzusetzenden Vorgaben des Gesetzgebers lassen verschiedene Lösungsansätze zu. Insgesamt ist zunächst auf den Sinn und Zweck der Neuregelung im Zusammenhang mit der Systematik des Gesetzes abzustellen: Der Gesetzgeber wollte durch die Scoringtransparenz den Betroffenen die Möglichkeit geben, auf Scoring basierende Kreditentscheidungen zu hinterfragen und es ermöglichen, dass ein eigener Standpunkt geltend gemacht werden kann. Die vorliegende Kompromissregelung zwischen Transparenz und Wahrung des Geschäftsgeheimnisses lässt sich im System der Auskunftsansprüche interessengerecht umsetzen: Während der Betroffene nach 34 Abs. 1 BDSG insbesondere Auskunft über die zu seiner Person gespeicherten Daten verlangen kann, besteht nach 34 Abs. 2 BDSG ein Anspruch darauf, die Auskunft der Wahrscheinlichkeitswerte der letzten sechs Monate, die zur Berechnung dieser Werte genutzten Datenarten und gem. 34 Abs. 2 Satz 1 Nr. 3 BDSG auch das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen nachvollziehbar in allgemein verständlicher Form zu erhalten. 1. Ausgangspunkt Bei der Frage, wie der Gesetzeswortlaut von 34 Abs. 2 Nr. 1 3 BDSG zu interpretieren ist, bietet sich an, auf den Willen des Gesetzgebers abzustellen. Hierzu ist vor allem auf den im Gesetzesverfahren angenommenen Änderungsantrag der Regierungskoalition abzustellen, der sich hierzu umfassend äußert: Die Bundesregierung hat bereits in ihrer Gegenäußerung zur Stellungnahme des Bundesrats ausgeführt, dass die nach 34 [BDSG] zu erteilende Auskunft über den Scorewert dem Betroffenen auch die Einordnung seines Scorewerts in den allgemeinen Rahmen ermöglichen muss. Es erscheint jedoch erforderlich, eine entsprechende ausdrückliche Klarstellung in dem Gesetzestext vorzunehmen. Durch die vorgeschlagene Ergänzung, dass auch die Bedeutung seines Scorewerts einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form zu beauskunften ist, soll sichergestellt werden, dass der Betroffene abschätzen kann, ob der zu seiner Person errechnete Scorewert gut, mittel oder schlecht ist. Dazu gehört zunächst, dass dem Betroffenen mitgeteilt wird, auf welches bestimmte künftige Verhalten des Betroffenen im Sinne des 28b [BDSG] sich der Scorewert bezieht (z.b. dass der Scorewert angibt, wie wahrscheinlich es ist, dass der Betroffene einen Kredit ordnungsgemäß zurückzahlen wird), und die Skala der möglichen Scorewerte (z.b. 100 bis 600) mitgeteilt wird. Sofern der Scorewert bereits eine Prozentangabe zur Wahrscheinlichkeit eines bestimmten zukünftigen Verhaltens ist, kann dem Betroffenen ergänzend erklärt werden, dass z.b. ein Wert von 90 bedeutet, dass die Wahrscheinlichkeit, dass der Betroffene den Kredit vertragsgemäß zurückzahlen wird, mit 90% eingeschätzt wird. Da mit der Beauskunftung des ermittelten Scorewerts letztlich erreicht werden soll, dass der Betroffene den Aussagegehalt seines persönlichen Scorewerts versteht, muss der Betroffene darüber hinaus in die Lage versetzt werden, einzuschätzen, ob der zu seiner Person errechnete Scorewert ein guter, mittlerer oder schlechter Scorewert ist (z.b. dass 95 [auf einer Skala von 0 bis 100] ein für die Krediterlangung mittlerer Scorewert oder 200 [auf einer Skala von 100 bis 600] ein guter Scorewert ist. Ohne diese Erläuterung wäre die Kenntnis des Scorewerts für den Betroffenen ebenso wie im Übrigen auch für die Stelle, die den Scorewert berechnet oder berechnen lässt wertlos. 31 Bei Zugrundelegung dieser Interpretation lassen sich, trotz der zahlreichen offen bleibenden Fragen, für die Praxis taugliche Modelle ableiten. Eine Projektplanung, die sich an den hier zitierten gesetzgeberischen Vorstellungen orientiert hat, wird die gesetzeskonforme Umsetzung der Scoringtransparenz nicht verfehlen können. 2. Inhalt des Auskunftsanspruchs / Einzelfragen a) Wahrscheinlichkeitswerte der letzten sechs Monate Die Auskunft muss den konkreten Wahrscheinlichkeitswert enthalten, und zwar das jeweilige Ergebnis. Hierbei sind je nach dem verwendeten Modell entwe- 30 Nick, ebenda, unter Hinweis auf Koch, MMR 1998, 458 [460] und Möller/Florax, MMR 2002, 806 [809]. 31 BT-Drucks. 16/13219 v , S.9.

11 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken RDV 2010 Heft 2 53 der eine Ziffer (Score) oder die sog. Ausfallwahrscheinlichkeit in Prozent (Probability of Default), der sog. PD-Wert, denkbar. Aufgrund institutsbezogener Umsetzungen können bei einer Auskunft an den Betroffenen bei unterschiedlichen Scorekarten verschiedene Typen von Wahrscheinlichkeitswerten verwendet werden. Gegebenenfalls kann hier, soweit das Ergebnis nicht verfälscht wird, im Interesse einer einheitlichen verständlichen Kommunikation an den Kunden auf ein Modell/Scala umgerechnet werden. Das Gesetz stellt für den zu beauskunftenden Zeitraum auf den Zugang des Auskunftsverlangens ab vor dem Zugang sind alle erhobenen oder erstmalig über den Betroffenen gespeicherten Wahrscheinlichkeitswerte zu nennen. In diesem Zusammenhang stellt sich die Frage, ab wann der Auskunftsanspruch gültig ist, d.h. ob der Betroffene bereits zum gegenüber einer Bank verlangen kann, Auskunft über die zu seiner Person gespeicherten Scorewerte zu erhalten, zum Beispiel über die im Oktober 2009 gespeicherten Scorewerte. Hiergegen spricht der Gedanke, dass die Verpflichtung der Banken, die Scorewerte zu Auskunftszwecken zu speichern, erst ab dem Inkrafttreten des Gesetzes zum gilt. Zudem würde eine Auskunftsverpflichtung für vor dem Inkrafttreten des Gesetzes berechnete Scorewerte eine Rückwirkung des Gesetzes bedeuten. Hierzu ist aber weder aus dem Gesetz selbst noch aus der Gesetzesbegründung heraus etwas zu entnehmen. Damit kann der Auskunftsanspruch erst ab für die ab berechneten Scorewerte geltend gemacht werden. Im Beispielsfall kann der Betroffene die Berechnung der Scorewerte von Oktober 2009 nicht verlangen, da die Anwendung der Scoringtransparenzvorschriften erst mit dem beginnen 32. b) Datenarten Der Auskunftsanspruch bezieht sich gem. 34 Abs. 2 S. 1 Nr. 2 BDSG auf die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten. Damit sind nicht die konkreten Einzeldaten gemeint 33. Die Gesetzesbegründung sagt zu den Datenarten Folgendes: Mangels Offenlegung der Datengrundlage der Scoringverfahren ist es für den Betroffenen derzeit nicht oder nur schwer nachzuvollziehen, wie sein konkreter Scorewert und damit die darauf beruhende Entscheidung zustande gekommen ist. Um dem Betroffenen die Möglichkeit zu geben bzw. zu erleichtern, falsche Daten zu korrigieren oder den für ihn berechneten Wahrscheinlichkeitswert im konkreten Fall zu widerlegen, sollen ihm die genutzten Datenarten offenbart werden. Zur Erfüllung der Auskunftsansprüche erscheint es möglich, dass einzelne Datenfelder eines Datensatzes zusammengefasst werden. So kann etwa die Auskunft Adressdaten als eine offenbarte Datenart die Einzeldaten Straße, Hausnummer, Postleitzahl und Ort ersetzen. Entscheidend ist aber, dass der Betroffene nachvollziehen kann, welche Merkmale in das konkrete Berechnungsergebnis eingeflossen sind. 34 Daraus ist ersichtlich, dass die zur Ermittlung des Scores verwendeten Einzeldaten in Datenkategorien zusammengefasst werden können. Das Gesetz sagt nichts über Umfang und Art der Datenkategorien aus. Dies ist auch sinnvoll, denn aufgrund der in der Praxis verwendeten vielfältigen Scoreberechnungsmodelle muss jede Bank selbst bestimmen, wie die von ihr verwendeten Einzeldaten zu übergeordneten beauskunftspflichtigen Datenarten zusammenzufassen sind. Hier ist ein angemessenes Verhältnis zwischen der Scoringtransparenz und der Wahrung von Betriebs- und Geschäftsgeheimnissen zu wahren. Je detaillierter die Verwendung der gebildeten Datenarten ist, desto deutlicher und transparenter wird letztlich auch die verwendete konkrete Berechungsweise, was verschiedene Risiken mit sich bringt, wie beispielsweise die Möglichkeit von Wettbewerbern, das verwendete Verfahren zu kopieren oder bei Kunden die Möglichkeit, die Berechnung der Scorewerte durch angepasste Angaben in ihrem Sinne zu manipulieren. Ein in der Praxis verbreiteter Gedanke ist, zur Orientierung der zu bildenden Datenarten auf 10 Abs. 1 Satz 6 KWG abzustellen. Insoweit ergeben sich u.a. folgende Kategorien: Einkommens-, Vermögens- und Beschäftigungsverhältnisse sowie die sonstigen wirtschaftlichen Verhältnisse, wie Art, Umfang und Wirtschaftlichkeit der Geschäftstätigkeit des Betroffenen, sein Zahlungsverhalten und seine Vertragstreue, gegen ihn gerichtete vollstreckbare Forderungen sowie Zwangsvollstreckungsverfahren und maßnahmen sowie eröffnete oder zur Eröffnung beantragte Insolvenzverfahren über das Vermögen des Betroffenen. Hieraus lassen sich für die Praxis taugliche Datenarten ableiten 35. c) Zustandekommen und Bedeutung der Wahrscheinlichkeitswerte Neben den Wahrscheinlichkeitswerten und den Datenarten ist, wie sich aus 34 Abs. 2 Nr. 3 BDSG ergibt, der Betroffene einzelfallbezogen und allgemein verständlich zu informieren. Eine allgemeine Ausführung zum Scoring reicht also nicht aus. Zum Zustandekommen des Scorewerts kann allerdings auf 32 Im Ergebnis ebenso GDD-Praxishilfe Automatisierte Einzelentscheidung, Scoring, Datenübermittlung an Auskunfteien, 1. Auflage 2010, II. 5. a), aa). 33 Abel, Die neuen BDSG-Regelungen, RDV 2009, 147, BT-Drucks. 16/10529 v , S Vgl. Beispiel unter IV.2.

12 54 RDV 2010 Heft 2 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken allgemein beschreibende Ansätze zurückgegriffen werden, die dem Kunden darlegen, wie die jeweilige Bank den Scorewert ermittelt hat. Keinesfalls ist die mathematische Formel zur Scoreberechnung darzulegen. Zudem ist der jeweilige für den Betroffenen errechnete Scorewert verständlich zu machen. Dazu gehört auch die Bandbreite und, welche Bedeutung der errechnete Scorewert hat. d) Auskunftspflicht und Verweisungsmöglichkeit Nach 34 Abs. 2 ist die Auskunft gegenüber der für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses verantwortlichen Stelle geltend zu machen. Soweit die verantwortliche Stelle den Wahrscheinlichkeitswert selbst berechnet hat, ist ihr das auch ohne weiteres möglich. Komplexer wird die Fragestellung, wenn wie in der Praxis häufig die verantwortliche Stelle den Wahrscheinlichkeitswert über einen Dritten (z.b. Auskunftei) bezogen hat bzw. wenn sie nur einen Bestandteil eines Wahrscheinlichkeitswertes über den Dritten bezogen hat. Diese beiden Fallgruppen sollen im Folgenden kurz umrissen werden. Tatsächlich ist die Situation in der Praxis noch komplexer, wie unten in III. 3. im Detail diskutiert wird, denn man muss z.b. Standard-Auskunfteienscores von bankspezifisch zusammengestellten Auskunfteienscores unterscheiden. e) Fallgruppen 1. Fallgruppe 34 Abs. 2 Satz 3 Nr. 1 BDSG: Für die Ausgangssituation, Bezug eines Wahrscheinlichkeitswerts, sieht das Gesetz zwei Möglichkeiten vor: hat die verantwortliche Stelle den Wahrscheinlichkeitswert nicht selbst errechnet, kann sie nur dann selbst beauskunften, wenn ihr die notwendigen Informationen seitens des Dritten gegenüber mitgeteilt werden. Insoweit gibt 34 Abs. 2 Satz 3 BDSG daher der verantwortlichen Stelle gegenüber dem Dritten einen Anspruch, auf ihr Verlangen die zur Erfüllung ihrer Auskunftsansprüche erforderlichen Angaben zu erhalten. Alternativ kann die verantwortliche Stelle in diesem Fall auch auf den Dritten, z.b. die Auskunftei, zur Erfüllung des Auskunftsanspruchs verweisen; 34 Abs. 3 Satz 4 BDSG. Insoweit sind Name, Anschrift und entsprechend spezifizierte Angaben zur Zuordnung des Auskunftsanspruches dem Betroffenen mitzueilen. Die verantwortliche Stelle wird dadurch von ihrem Auskunftsanspruch befreit; 34 Abs. 2 Satz Fallgruppe 34 Abs. 2 Satz 3 Nr. 2 BDSG: Die verantwortliche Stelle hat über den Dritten nur einen Bestandteil eines Wahrscheinlichkeitswerts bezogen. Hier gilt: die verantwortliche Stelle muss grundsätzlich die Auskunft gegenüber dem Betroffenen selbst erteilen. Eine Verweisungsmöglichkeit auf den Dritten steht ihr gem. 34 Abs. 2 Satz 4 BDSG nicht zu, denn dies ist nur für die oben aufgeführte erste Fallgruppe möglich; 34 Abs. 2 Satz 3 Nr. 1 BDSG. Diese gesetzliche Wertung ist aus sich heraus verständlich, denn ihr liegt der Gedanke zugrunde, dass ein Verweis der verantwortlichen Stelle zur Beauskunftung durch einen Dritten nur dann möglich und damit auch sinnvoll ist, wenn der Dritte ohne Rückfragen bei der verantwortlichen Stelle in der Lage ist, die in Frage stehende Auskunft zu erteilen. Daher ist vom Gesetzgeber auch nur der verantwortlichen Stelle gegenüber dem Dritten gem. 34 Abs. 2 Satz 3 BDSG ein Auskunftsanspruch eingeräumt worden und nicht etwa auch dem Dritten gegenüber der verantwortlichen Stelle. f) Doppelnatur des Wahrscheinlichkeitswerts? Das Gesetz beantwortet nicht die in der Praxis vorkommende Frage, wie z.b. Standard-Auskunfteienscores von bankspezifisch zusammengestellten Auskunfteienscores zu unterscheiden sind 36. Für die Auskunftei ist ein Standard-Auskunfteienscore immer ein Wahrscheinlichkeitswert, der gem. 34 Abs. 4 BDSG zu beauskunften ist. Wird er zusammen mit einem institutseigenen Score verwendet stellt sich die Frage, ob er hierdurch nicht zu einem Bestandteil eines Wahrscheinlichkeitswerts, nämlich des betreffenden Instituts, wird. Damit wäre ein Standard-Auskunfteienscore je nach Betrachtungsweise einmal ein Wahrscheinlichkeitswert oder aber ein Bestandteil eines Wahrscheinlichkeitswerts (sog. Doppelnatur). In der Diskussion mit Aufsichtsbehörden wird z.t. die Auffassung vertreten, dass für den Fall, dass der Standard-Auskunfteienscore in den institutseigenen Score einfließt, der Wahrscheinlichkeitswert zu einem Bestandteil mit der Rechtsfolge wird, dass die verantwortliche Stelle den Standard-Auskunfteienscore selbst erklären muss und ihr eine Verweisungsmöglichkeit nicht gewährt wird. Nur bei paralleler Berechnung, wenn der Standard-Auskunfteienscore nicht mit dem Eigenscore zusammen berechnet wird, würde er ein Wahrscheinlichkeitswert bleiben. Wäre diese Auffassung richtig, würde in der Praxis der Hauptfall der vom Gesetz vorgesehenen Verweisungsmöglichkeit gem. 34 Abs. 2 Satz 3 Nr. 1 BDSG nicht zur Anwendung kommen. Dies ist fraglich, denn nach Sinn und Zweck des 34 Abs. 2 Satz 3 Nr. 1 BDSG soll die verantwortliche Stelle bei Vorliegen eines Wahrscheinlichkeitswerts auf die Auskunftei verweisen können. Anderenfalls müssten auch kleinere Institute bei Verwendung des Standard-Auskunfteienscores als Bestandteil einer eigenen Scorecard 36 Zu den Begriffen, vgl. unten III. 3 b), insbesondere Modelle C und D.

13 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken RDV 2010 Heft 2 55 diesen als Bestandteil eines Wahrscheinlichkeitswerts im Sinne von 34 Abs. 2 Satz 3 Nr. 2 BDSG behandeln und selbst erklären. Der Wahrscheinlichkeitswert des Standard-Auskunfteienscores wird nach der hier vertretenen Auffassung nicht deshalb zu einem Bestandteil, weil er zusammen mit einem institutseigenen Score in mathematische Berechnungen eingeht. Hier kann es nicht darauf ankommen, in welcher mathematischen Form der Wert in das Kalkül einbezogen wird. Eine Doppelnatur des Wahrscheinlichkeitswerts je nach Betrachtung des Beteiligten ist abzulehnen. Es spricht damit vieles dafür, dass der Standard-Auskunfteienscore als häufigste Anwendung in der Praxis als Wahrscheinlichkeitswert anzusehen ist, als der er auch gegenüber den Auskunfteien behandelt wird. Bei Verwendung eines bankspezifisch zusammengestellten Auskunfteienscores hingegen ist der individuelle Bezug zum jeweiligen Institut so stark, dass in der Regel ohne Rückfrage der Auskunftei bei der verantwortlichen Stelle eine Auskunft nicht möglich ist und die Auskunftei selbst hat, wie oben in Fallgruppe 2 dargelegt, keinen eigenen Auskunftsanspruch gegenüber der verantwortlichen Stelle. In einem solchen Fall erscheint es nach Sinn und Zweck der Norm interessengerecht, den bankspezifisch zusammengestellten Auskunfteienscore als Bestandteil eines Wahrscheinlichkeitswerts anzusehen, wobei es aber auf den Einzelfall ankommt. Wäre die Auskunftei nicht in der Lage, ohne Rückfrage beim Institut Auskunft zu geben, liegt ein Bestandteil eines Wahrscheinlichkeitswerts vor. Letztlich sind die aufgeworfenen Fragen als offen anzusehen und müssen von der Kommentarliteratur aufgearbeitet werden. Nach dem hier vorgeschlagenen Ansatz, der auf die teleologische Reduktion von 34 Abs. 2 Satz 3 BDSG abstellt, sollte im Einzelfall die Überlegung, ob ein Verweis auf die Auskunftei durch die verantwortliche Stelle überhaupt möglich und sinnvoll ist, zur Lösung der jeweiligen Fragestellung herangezogen werden. Nur wenn die Auskunftei ohne Rückfragen bei der verantwortlichen Stelle selbst Auskunft erteilen kann, sollte eine Verweisungsmöglichkeit im Sinne von 34 Abs. 2 Satz 4 BDSG gegeben sein. Dies ist bei dem Standard-Auskunfteienscore der Fall, beim bankspezifisch zusammengestellten Auskunfteienscore kommt es auf den jeweiligen Einzelfall an. g) Auskunftsverfahren Voraussetzung für eine Auskunft an den Betroffenen ist sein entsprechendes Verlangen. Insoweit gilt die zu 34 Abs. 1 BDSG herrschende Interpretation, wonach das Auskunftsverlangen formfrei ist und nur die Auskunft selbst schriftlich zu erteilen ist 37. In der Praxis stellt sich die Frage, inwieweit die verantwortliche Stelle die Identität des anfragenden Betroffenen prüfen muss bzw. prüfen darf 38. Im Ergebnis sollte Einigkeit bestehen, dass eine Auskunft jedenfalls an einen anderen als den Betroffenen selbst nicht zulässig ist 39. Die verantwortliche Stelle kann daher vom Betroffenen verlangen, sich zu legitimieren, damit geprüft werden kann, dass die Auskunft gegenüber dem Berechtigten erfolgt. Die Auskunft selbst kann gem. 34 Abs. 6 BDSG i.v.m. 126b BGB in Textform ergehen, d.h. sie kann damit auch per oder online erfolgen 40. Sie ist grundsätzlich unentgeltlich; 34 Abs. 8 Satz 1 BDSG. 3. Typisierung von Scorecards nach Institutsbezogenheit und Umsetzung der BDSG Offenlegungsanforderungen von Scorecardinformationen Es gibt in der der Praxis zahlreiche Typisierungen von Scorekarten. So lassen sich diese beispielsweise nach dem Anwendungsbereich (Kreditscore, Marketingscore, etc.), nach dem Zyklus der Kundenbeziehung (Antragsscore, Verhaltensscore) oder auch nach der Institutsbezogenheit klustern. Zentrales Element der Umsetzung einer institutsbezogenen Scoringtransparenz ist die Verbindung des aufgezeigten Verständnisses des Gesetzes mit den tatsächlich in der jeweiligen Bank verwendeten Scoringarten, die man auf alle Banken bezogen nach der hier vertretenen vereinfachten Typisierung unterscheiden kann. a) Vereinfachte Typisierung sechs Fallgruppen Eine solche vereinfachte Typisierung von Scorecards nach Institutsbezogenheit ergibt sechs Fallgruppen, die sich mit Vorgaben der Scoringtransparenz gem. 34 Abs. 2 BDSG verknüpfen lassen und somit die Ableitung von Implikationen auf die Bankpraxis ermöglichen. Wie bereits bei den Scoringarten erwähnt, lassen sich die Fallgruppen vollständiger Eigenscore, Eigenscore einschließlich externer Variablen, Eigenscore einschließlich bankspezifischem Auskunfteienscore, Eigenscore einschließlich Standard-Auskunfteienscore, bankspezifischer Auskunfteienscore und der Standard-Auskunfteienscore unterscheiden. 37 Dix in Simitis, BDSG, 34, Rn Eine Pflicht zur Identitätsprüfung wird grds. verneint und nur dann z.t. bejaht, wenn Anhaltspunkte dafür vorliegen, dass ein Unbefugter Auskunft verlangt, ansonsten aber abgelehnt, vgl. Schaffland/Wiltfang, BDSG, 34, Rn. 16; a.a. Gola/Schomerus, BDSG, 34, Rn. 6 u. 7, der sich vor Auskunftserteilung für eine Vergewisserung von der Identität des Auskunftssuchenden durch die verantwortliche Stelle ausspricht allerdings mit dem Zusatz, dass die verantwortliche Stelle das Verfahren und die Form der Identitätsprüfung bestimmt. 39 Vgl. GDD-Praxishilfe Automatisierte Einzelentscheidung, Scoring, Datenübermittlung an Auskunfteien, 1. Auflage 2010, II. 5. c) mit dem Hinweis, dass im Rahmen der Datenschutzorganisation Vorkehrungen zu treffen sind, die verhindern, dass Auskünfte von unbefugten Dritten zur Kenntnis genommen werden können. 40 GDD-Praxishilfe, ebenda, bei elektronischer Kommunikation ist Verschlüsselung zu empfehlen.

14 56 RDV 2010 Heft 2 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken Typisierung von Scorecards nach Institusbezogenheit und Umsetzung der BDSG Scoring Offenlegungsanforderungen Höchster Institutsbezug der Scorecard ++ + Geringster Institutsbezug der Scorecard Modell A B C D E F Vollständiger Eigenscore Eigenscore einschließlich externer Variablen Eigenscore einschließlich bankspezifischem Auskunfteienscore Eigenscore einschließlich Standard-Auskunfteienscore Bankspezifischer Auskunfteienscore Standard-Auskunfteienscore Auskunftspflicht der Bank Wahrscheinlichkeitswert Institutsebene Offenlegung d. Wahrscheinlichkeitswerts Ja Ja Ja Ja Bewertung d. Wahrscheinlichkeitswerts Ja Ja Ja Ja Zustandekommen d. Wahrscheinlichkeitswerts Ja Ja Ja Ja Finaler Score d. Instituts entspricht der Auskunfteienkomponente (Beauskunftung siehe unten) Offenlegung Datenarten Ja Ja Ja Ja Einordnung/Bewertung der Auskunfteienkomponente beim Institut Eingruppierung d. Auskunfteienkomponente (WW=Wahrscheinlichkeitswert BWW=Bestandteil eines Wahrscheinlichkeitswertes) BWW BWW (ggf. WW) WW WW WW Behandlung der Auskunfteienkomponente Variablen der Auskunftei sind in den Datenarten wie jede andere Scorekomponente (Variable) zu berücksichtigen (Wenn WW: Option A: Verweis auf die Auskunftei Option B: Berücksichtigung in eigenen Datenarten) Wenn BWW: Berücksichtigung in eigenen Datenarten Option A) Verweis auf die Auskunftei Option B) Berücksichtigung in eigenen Datenarten Option A) Verweis auf die Auskunftei Option B) Berücksichtigung in eigenen Datenarten Option A) Verweis auf die Auskunftei Option B) Berücksichtigung in eigenen Datenarten Auskunftspflicht der Auskuntei Auskunftspflicht (WW=Wahrscheinlichkeitswert BWW=Bestandteil eines Wahrscheinlichkeitswertes) Nein Wenn Auskunfteienkomponente ein WW ist, dann Beauskunftung, sonst keine Beauskunftung Keine Beauskunftung im Falle einer Auftragsdatenverarbeitung Ja, Beauskunftung des Auskunfteienscores Ja, Beauskunftung des Auskunfteienscores Keine Beauskunftung im Falle einer Auftragsdatenverarbeitung Ja Beauskunftung des Auskunfteienscores b) Komplexität der Praxis Beschreibung der Modelle Die Typisierung der Scorekarten nach Institutsbezogenheit differenziert die Scorekarten, wie stark diese auf ein einzelnes Institut zugeschnitten wurden. Die Typisierung stellt keine Wertung bezüglich Trennschärfe und damit der Prognosegüte dar. Alle Modelle kommen in der Praxis vor und werden beispielsweise in Abhängigkeit der Art und Größe des Portfolios, der technischen Gegebenheiten, des eigenen Knowhows und natürlich auch in Abhängigkeit der jeweils erzielbaren Trennschärfevorteile eingesetzt. Der vollständige Eigenscore (Modell A) weist die höchste Institutsbezogenheit auf. Im Rahmen der Modellentwicklung werden ausschließlich interne Variablen verwendet. Es fließen somit keine Informationen von Auskunfteien in den Score ein. Von diesem Scorekartentyp ist der Eigenscore einschließlich externer Variablen (Modell B) zu differenzieren. In das Modell B fließen neben eigenen Variablen auch Auskunfteieninformationen ein. Bei den Auskunfteieninformationen kann es sich um einzelne Variablen handeln (z.b. Anzahl der Girokonten oder Anzahl der Kreditkarten) oder auch um kombinierte Auskunfteivariablen (Alter des ältesten Meldesegmentes Kreditkarte oder Ratenkredit, etc.). Bei den Auskunfteienvariablen spricht man von sogenannten Bestandteilen von Wahrscheinlichkeitswerten, da sie wie interne Variablen in den Eigenscore einfließen. Auch

15 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken RDV 2010 Heft 2 57 diese externen Informationen sind in den Datenarten beim Institut bei der Beauskunftung der Scores zu berücksichtigen. Beim Eigenscore einschließlich bankspezifischem Auskunfteienscore (Modell C) wird neben den eigenen Variablen ein sogenannter bankspezifischer Auskunfteienscore verwendet. Der bankspezifische Auskunfteienscore beruht ausschließlich auf den Variablen von externen Auskunfteien und ist mit einem Auskunfteien-Standardscore vergleichbar. Einziger, jedoch wichtiger Unterschied zum Auskunfteien-Standardscore ist die Tatsache, dass der bankspezifische Auskunfteienscore für ein spezielles Institut entwickelt worden ist. Die Entwicklung des bankspezifischen Auskunfteienscores wird durch die Auskunftei vorgenommen, da nur diese in vollem Umfang Zugriff auf die Auskunfteiendaten hat. Beim bankspezifischen Auskunfteienscore kann im Regelfall davon ausgegangen werden, dass es sich um einen Bestandteil eines Wahrscheinlichkeitswertes handelt, da er als alleinstehender Wert vom Institut nicht zur Risikoprognose verwendet wird, sondern erst unter Hinzunahme von eigenen Variablen zu einem Wahrscheinlichkeitswert weiterverarbeitet wird. Ist jedoch der bankspezifische Auskunfteienscore selbst auch zur Risikoprognose geeignet oder wird er sogar für die Risikoprognose verwendet, so ist dieser als eigenständiger Wahrscheinlichkeitswert vom Institut anzusehen. Konträr kann auch die Einordnung des bankspezifischen Auskunfteienscores bei der Auskunftei diskutiert werden. Es handelt sich bei dieser Auskunfteienkomponente nicht um einen allgemein nutzbaren Score. Verstärkend kommt hinzu, dass wie bereits beschrieben der bankspezifische Score im Modell C erst durch das Institut weiterverarbeitet wird, also als losgelöster Wert überhaupt nicht zur Risikoprognose verwendet wird. Dies kann zu unterschiedlichen Sichtweisen der Auskunftei und des Instituts führen. Die Einordnung der Auskunfteienkomponente als Wahrscheinlichkeitswert oder als Bestandteil eines Wahrscheinlichkeitswertes sollte somit in Abstimmung zwischen Institut und Auskunftei erfolgen. Letztlich kommt es auf den Einzelfall an 41. Der Eigenscore einschließlich Standard-Auskunfteienscore (Modell D) beinhaltet neben den Eigenvariablen einen Standard-Auskunfteienscore. Im Vergleich zum Modell C ist der Auskunfteienscore im Modell D nicht für ein Institut optimiert worden, sondern ist ein für alle Banken anwendbares Modell. Die sich daraus möglicherweise ergebenden Trennschärfeverluste können durch den Vorteil überkompensiert werden, dass der Standard-Auskunfteienscore einem regelmäßigen Weiterentwicklungsprozess unterliegt, der durch die jeweilige Auskunftei forciert wird. Auch hier ist die Frage zu beantworten, inwieweit es sich beim Standard-Auskunfteienscore um einen Wahrscheinlichkeitswert handelt oder lediglich um den Bestandteil eines Wahrscheinlichkeitswertes. Aus Sicht der Auskunftei ist der Standard-Auskunfteienscore klar als Wahrscheinlichkeitswert einzustufen, da dieser von einer Vielzahl an Instituten für die Risikoprognose genutzt werden kann und auch genutzt wird. Die Sichtweise der Institute kann sich davon unterscheiden, wenn der Standard-Auskunfteienscore erst unter Hinzunahme der eigenen Variablen zu einem Wahrscheinlichkeitswert weiterverarbeitet wird. Dennoch kann davon ausgegangen werden, dass der Standard-Auskunfteienscore in der Praxis als eigener Wahrscheinlichkeitswert eingestuft werden muss aufgrund der Möglichkeit, diesen Wert auch losgelöst zur Risikoprognose verwenden zu können. Der bankspezifische Auskunfteienscore (Modell E) beinhaltet keine internen Variablen. Dieser Score wird auf Basis von Auskunfteieninformationen für ein spezielles Institut entwickelt. Er ist aus Sicht des Instituts als Wahrscheinlichkeitswert einzustufen. Nicht ganz so klar gestaltet sich die Bewertung aus Sicht der Auskunftei. Schließlich wurde der Score in der Regel nur für ein einzelnes Institut entwickelt und ist kein allgemein nutzbarer Wahrscheinlichkeitswert. Aufgrund des Umstandes, dass dieser Score jedoch durch mindestens ein Institut ohne weitere Verarbeitung zur Risikoprognose genutzt wird, kann davon ausgegangen werden, dass sich in der Praxis die Einordnung als Wahrscheinlichkeitswert durchsetzen wird. Der Standard-Auskunfteienscore (Modell F) beinhaltet ebenfalls keine internen Variablen des Instituts. Es handelt sich um einen allgemein verfügbaren Score, der auf Basis von Daten vieler Institute entwickelt wurde. Dieses Modell ist beispielsweise häufig bei sehr kleinen Portfolien oder bei Markteinstrittsaktivitäten vorzufinden. Der Standard-Auskunfteienscore wird im Regelfall nicht die Trennschärfe eines bankspezifischen Auskunfteienscores erreichen, da er nicht maßgeschneidert wurde. Er ist aus Sicht des Instituts und der Auskunftei als Wahrscheinlichkeitswert einzustufen. Nicht betrachtet wurde bislang die Fragestellung, wie sich der Umstand einer möglichen Auftragsdatenverarbeitung auf die Auskunftspflicht der Auskunftei auswirkt. Relevant sind in der Praxis die bereits zuvor beschriebenen Modelle C und E der Scorekartentypisierung nach Institutsbezogenheit, da nur in diesen Fällen durch die Auskunftei eine kundenspezifische Lösung, nämlich der bankenspezifische Standardscore, zur Verfügung gestellt wird. Liegt hierbei eine Aufragsdatenverarbeitung vor, kann die Meinung vertreten werden, dass eine Beauskunftung des bankenspezifischen Standardscores nicht durch die Auskunftei vorzunehmen ist, da der bankspezifische Standardscore weiterhin im Verantwortungsbereich des Instituts als letztlich datenschutzrechtlich verantwortlicher Stelle verbleibt. 41 Vgl. auch oben III. 2. f) Doppelnatur des Wahrscheinlichkeitswerts?

16 58 RDV 2010 Heft 2 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken IV. Lösungsansätze 1. Allgemeine Überlegungen Wie bereits erwähnt, wird die Relevanz der Scores bzw. Scorearten in 28b BDSG umrissen, aber nicht definiert. Die eigentliche Auskunftspflicht, d.h. der Umfang der Auskunftspflicht, ist in 34 Abs. 2 BDSG festgelegt. Grundsätzlich ergibt sich nur eine eigene Pflicht zur Beauskunftung von Wahrscheinlichkeitswerten, nicht jedoch von Bestandteilen von Wahrscheinlichkeitswerten. Im Falle des Vorliegens von Bestandteilen von Wahrscheinlichkeitswerten werden diese lediglich als Bestandteil des Gesamtscores berücksichtigt, also bei den Datenarten beauskunftet. Aufgrund dieser Abgrenzungsherausforderungen und der damit verbundenen BDSG-Implikationen ist es notwendig, dass die finale Entscheidung, ob es sich beim Auskunfteienscore um einen Wahrscheinlichkeitswert oder um einen Bestandteil eines Wahrscheinlichkeitswertes handelt, in enger Abstimmung zwischen Auskunftei und Institut getroffen wird. Unabhängig von der Definition, ob es sich bei Auskunfteienkomponenten in den Modellen B-F um einen Wahrscheinlichkeitswert oder um einen Bestandteil eines Wahrscheinlichkeitswerts handelt, besitzt das Institut nach 34 Abs. 2 Satz 3 BDSG gegenüber der Auskunftei ein Auskunftsrecht, um den eigenen Auskunftsverpflichtungen nachkommen zu können. Sofern es sich beim Auskunfteienscore um einen eigenen Wahrscheinlichkeitswert handelt, kann auf die Beauskunftung des Auskunfteienscores gemäß 34 Abs. 2 Satz 4 BDSG verzichtet und auf die Auskunftei verwiesen werden. In diesem Fall erlischt nach 34 Abs. 2 Satz 6 BDSG das Auskunftsrecht des Instituts gegenüber der Auskunftei gemäß 34 Abs. 2 Satz 3 BDSG. Es kann davon ausgegangen werden, dass die große Mehrheit der Institute von der Verweismöglichkeit auf die Auskunftei Gebrauch machen wird, da sich im Falle der Eigenauskunft das Risiko von asynchronen Auskünften des Instituts und der Auskunftei ergibt. Sofern das Institut auf die Auskunftei verweist, wird die Interpretation der Bedeutung des Auskunfteienscores ausschließlich der Auskunftei überlassen. Im Abschnitt III. Umsetzung der Scoringtransparenz wurde bereits dargestellt, welche Informationen zu beauskunften sind. Auf dieser Basis lassen sich verschiedene Praxismodelle ableiten, die nachfolgend beschrieben werden. Bezüglich der Kommunikation der Wahrscheinlichkeitswerte scheinen folgende zwei Varianten möglich: Option A) Offenlegung von Scores, Option B) Kommunikation von Ausfallwahrscheinlichkeiten. Bei Wahl der Option A werden die eigentlichen Scores beauskunftet, die jeweils für bestimmte Ereignis-/ Verhaltenswahrscheinlichkeiten stehen. Wenn diese Variante gewählt wird, ergeben sich besondere Herausforderungen bei der Erklärung der Bedeutung, da Scorekarten auch innerhalb eines Hauses ganz unterschiedliche Skalen haben können (z.b. als Ausfallwahrscheinlichkeiten zwischen 0 und 1, als Punktwerte aufsteigend oder absteigend, etc.) und damit nur schwer vergleichbar sind. Deshalb bietet es sich an, bei diesem Ansatz die Scorekarten auf eine einheitliche/ähnliche Skala zu transformieren, um für den Verbraucher die Lesbarkeit und damit die Transparenz zu erhöhen. Diese Transformation hat keinen Einfluss auf Inhalt oder Bedeutung der Scores. Banken, die bereits dem Internen Rating Ansatz (IRBA) nach Basel II folgen, werden regelmäßig Option B wählen. Hierbei wird statt des Scores die Ausfallwahrscheinlichkeit (PD) 42 nach Basel II kommuniziert. Die PD sorgt für eine Vergleichbarkeit per Definition zwischen den Scorekarten, da die Berechnung der PD nach Basel II genau vorgegeben ist. Unabhängig vom gewählten Modell ist der Entscheidungscharakter eines Wahrscheinlichkeitswertes maßgeblich für seine Offenlegungsrelevanz. So ist ein Wahrscheinlichkeitswert, der beispielsweise nur für das Reporting der Risikostruktur des Portfolios eingesetzt wird und nicht für Kreditentscheidungen zum Einsatz kommt, nicht relevant. Aufgrund der nicht erfolgten Spezifikation der sechs Monatshistorien kann zudem davon ausgegangen werden, dass der geforderte Zeitraum von sechs Monaten nicht bereits am vorhanden sein muss, sondern sukzessive ab aufgebaut werden kann und deshalb erst am einen sechs Monats-Zeitraum umfassen muss 43. Das BDSG sieht ausdrücklich nicht die Veröffentlichung von einzelnen Variablen vor, sondern ermöglicht die Aggregation von Variablen zu Datenarten. Dabei geht jedoch weder aus dem Gesetzestext noch aus der Gesetzesbegründung hervor, was ein geeignetes Niveau der Aggregation sein könnte. Auf Basis von 10 Abs. 1 KWG lassen sich beispielsweise folgende Datenarten ableiten: Daten zur Person (z.b. Geburtsdatum, Familienstand, Anzahl Unterhaltsberechtigte) Daten zu Einkommen und Vermögen (z.b. Höhe des Einkommens, Entwicklung des Einkommens) Daten zum Beschäftigungsverhältnis (z.b. Branche, Art des Anstellungsverhältnisses) Daten zum bisherigen Zahlungsverhalten (z.b. Anzahl der Zahlungserinnerungen, Limitnutzung) Daten von Auskunfteien (z.b. Anzahl Kreditkarten, Ratenkredite, Negativinformationen) 42 PD probability of default. 43 Siehe auch oben III. 2. a).

17 Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken RDV 2010 Heft 2 59 Daten zur Finanzierung (z.b. Laufzeit, Ratenhöhe) Daten zum Verwendungszweck bzw. zum Produkt (z.b. Art der Finanzierung Konsum, Modernisierung etc.). Zusätzliche Transparenz kann durch das Aufführen einzelner Variablenbeispiele bei den Datenarten erreicht werden, alle Datenfelder müssen hierbei aber nicht genannt werden. Soweit z.b. Anschriftendaten zur Verwendung kommen sollten, sind diese in den Beispielen zu den Datenarten ausdrücklich zu nennen. Da diese Daten wegen 28b Nr. 3 BDSG ohnehin nicht ausschließlich genutzt werden dürfen, darf es auch keine ausschließliche Datenart Adressdaten geben, wohl aber eine Kombination mit anderen Datenarten. Um ein sinnvolles Gespräch zwischen dem Institut und dem Kunden zu ermöglichen, sollte eine Wertung der Datenarten vorgenommen werden, das Zustandekommen des Scores also erläutert werden. Hierbei könnten beispielsweise folgende Modelle zur Anwendung kommen: a) Pro Datenart wird bestimmt, wie gut ein Kunde pro Datenart ist im Vergleich zum Kundendurchschnitt und/oder im Vergleich zum perfekten Kunden. b) Es wird/werden der/die Scoretreiber veröffentlicht, bei dem/denen der Verbraucher den stärksten Abschlag vom Score im Vergleich zum Durchschnittskunden hatte, wo also effektiv die größten Verbesserungsmöglichkeiten bestehen. c) Die Datenarten werden gemäß ihrer Wichtigkeit in eine Reihenfolge gebracht und ermöglichen so dem Kunden nachzuvollziehen, welche Daten von ihm besonders wichtig sind. Alle drei aufgeführten Modelle haben Vor- und Nachteile, scheinen jedoch vor dem BDSG Hintergrund geeignet zu sein. Auch die Bedeutung der Wahrscheinlichkeitswerte lässt sich auf unterschiedliche Art und Weise darstellen. Folgt man der Gesetzesbegründung, so kann die Bewertung des Scores durch die Einstufung beispielsweise in gut, mittel, schlecht durch Schulnotenmodelle oder Ampeldarstellungen vorgenommen werden. Bei der Veröffentlichung von Scorewerten ist gemäß Gesetzesbegründung die Skala der Scorekarte zu kommunizieren, um dem Verbraucher eine eigene Einordnung des Scores zu ermöglichen. Als ein alternatives Modell ist die Einstufung in Ratingklassen bzw. Risikoklassen denkbar, deren Bedeutung und Interpretation dem Kunden gegenüber transparent zu machen ist. Unabhängig vom gewählten Modell wird es eine Praxisanforderung sein, ein Mindestmaß an Synchronisation des Bedeutungsschemas für den Score und die Kreditentscheidungen sicherzustellen. So kann es beispielsweise zu Kommunikationsherausforderungen kommen, wenn der Cut-Off Score (Mindestscorewert, der für eine positive Kreditentscheidung notwendig ist), nicht übereinstimmt mit der Scoregrenze, ab welcher man Scores mit schlecht bewertet. Eine fehlende Synchronisation zum Bedeutungsschema des Scores könnte in der Praxis beispielsweise zum Effekt führen, dass ein als (sehr) gut eingestufter Score nur mit befriedigenden Konditionen verbunden ist, was ebenfalls Kommunikationsherausforderungen nach sich zieht. 2. Praxisbeispiel Wie bereits im Vorkapitel beschrieben, stehen für die Umsetzung der einzelnen Transparenzanforderungen verschiedene Modelle zur Verfügung, die sich wiederum miteinander kombinieren lassen. Das nachfolgende Beispiel beauskunftet Scores anstelle PDs und Ratingstufen. Zudem werden die Datenarten gemäß Ihrer Bedeutung kommuniziert. Im angegebenen Beispiel werden zwei Scores beauskunftet. Es kommen zwei verschiedene Scorecards zur Anwendung. So wurde der erste Score am ermittelt: Die Skala der Scorecard für den Einkaufskredit liegt in einem Bereich von Punkten. Für den Kunden wurde beim Antrag für den Einkaufskredit ein Scorewert von 801 Punkten ermittelt, der durch das Institut als mittel bewertet wurde. Die wichtigsten in diese Scorecard einfließenden Informationen sind die Daten zum Einkommen und Vermögen. Der zweite Score vom ist auf einen Antrag für eine Kreditkarte bezogen, wobei der Score im Ergebnis vom Institut als unterdurchschnittlich bewertet wurde. In dieser Scorecard sind die wichtigsten einfließenden Informationen Daten zum bisherigen Zahlungsverhalten. Datum der Scoreermittlung Scorecard/Entscheidung Aktueller Score Niedrigster Score Höchster Score Bewertung Score Datenarten nach Wichtigkeit Antrag Einkaufskredit Mittel 1. Daten zu Einkommen und Vermögen 2. Daten von Auskunfteien 3. Daten zum Beschäftigungsverhältnis 4. Daten zur Person Antrag Kreditkarte Unterdurchschnittlich 1. Daten zum bisherigen Zahlungsverhalten 2. Daten von Auskunfteien 3. Daten zu Einkommen und Vermögen

18 60 RDV 2010 Heft 2 V. Verhältnis von 34 Abs. 1 zu 34 Abs. 2 BDSG 34 Abs. 2 BDSG ist gegenüber 34 Abs. 1 BDSG lex specialis. Als speziellere Norm regelt sie abschließend den Auskunftsanspruch zum Scoring gem. 28b BDSG. 34 Abs. 1 BDSG ist, wie bislang, Grundlage des allgemeinen datenschutzrechtlichen Auskunftsanspruchs. Durch den mit der BDSG-I Novelle gefundenen politischen Kompromiss zur Scoringtransparenz ist nach der hier vertretenen Auffassung ein in der Praxis brauchbarer Weg gefunden worden, die Informationsansprüche der Betroffenen sowie die Interessen der Banken an ihren Geschäfts- und Betriebsgeheimnissen auszugleichen. Während der Betroffene über 34 Abs. 2 BDSG konkrete Informationen zu dem für ihn berechneten Scorewert in allgemein verständlicher Form erhält, kann er bei konkreten Rückfragen notfalls auf 34 Abs. 1 BDSG abstellen und insbesondere hinsichtlich der Datenarten die zu seiner Person gespeicherten Daten erfragen. 34 Abs. 1 Satz 2 BDSG sieht ausdrücklich vor, dass der Betroffene die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen soll. In Verbindung mit 34 Abs. 2 BDSG kann er somit soweit die personenbezogenen Daten betroffen sind seine Fragen konkretisieren und somit prüfen, ob zum Beispiel die bei der im Scoring zur verwendeten Datenart zugehörigen personenbezogenen Daten unrichtig sind und somit zum schlechten Ergebnis geführt haben. VI. Diskussionspunkte Gürtler / Kriese, Die Umsetzung der Scoringtransparenz bei Banken Wie die vorliegende Bearbeitung zeigt, sind zahlreiche Einzelfragen zu klären. Die Kreditwirtschaft hat sich mit dem Düsseldorfer Kreis 44 erstmals Ende Januar 2010 getroffen und unter anderem auch die Frage der Umsetzung der BDSG-Novelle I diskutiert 45. Ein möglicher Schwerpunkt der weiteren Diskussion, insbesondere mit den Datenschutzaufsichtsbehörden, könnte die Frage der Detailtiefe der verwendeten Datenarten werden. Hier wird die Auffassung vertreten, die Datenarten so konkret zu fassen, wie das in der Gesetzesbegründung oben genannte Beispiel zu den Adressdaten 46. Sind die Datenarten zu allgemein, könnte man von bloßen Datengruppen sprechen, die einer sinnvollen Erfüllung des Auskunftsanspruchs entgegenstehen. Entscheidend ist immer, ob der Betroffene bei der Scoreauskunft erkennen kann, woran es gelegen hat und welche Möglichkeiten ihm zustehen, das Ergebnis gegebenenfalls im Gespräch mit seiner Bank zu korrigieren. Bei der Frage der Detailtiefe ist aber auch immer zu fragen, ob der Schutz des Geschäfts- und Betriebsgeheimnisses gewahrt bleibt. Die Scorewertberechnung kann nur dann für die verantwortliche Stelle ihren Wert behalten, wenn sie vor allem auch aus bankaufsichtsrechtlicher Sicht nicht manipuliert werden kann und wenn Wettbewerber das Geschäftsmodell nicht einfach auf Basis der erteilten Informationen nachahmen können. Mögliche Diskussionen können sich auch in den Fällen ergeben, wenn Auskunfteien bankspezifische Scores den Instituten im Rahmen einer Auftragsdatenverarbeitung zur Verfügung stellen. Dabei ist die zentrale Frage, ob in diesen Fällen von einer Beauskunftung bei der Auskunftei abgesehen werden kann. Von Seiten der Aufsichtsbehörden wird darauf hingewiesen, dass wie auch hier vertreten die Auskunft gem. 34 Abs. 6 BDSG schriftlich zu erteilen ist, eine mündliche einzelfallbezogene Erläuterung des Zustandekommens des Scorewerts im Gespräch mit dem Betroffenen wäre danach nicht ausreichend. Ein weiterer Diskussionspunkt zeichnet sich bei der oben aufgeworfenen Fragestellung nach der Doppelnatur des Wahrscheinlichkeitswerts ab und der sich daraus ergebenden Verweisungsmöglichkeit, die für die verantwortliche Stelle gem. 34 Abs. 2 Satz 6 BDSG den Auskunftsanspruch entfallen lässt. Angesichts der nicht unerheblichen Sanktionen bei einem Verstoß vgl. z.b. 43 Abs. 1 Nr. 8a; Abs. 3 BDSG ist dies nicht nur eine akademische Frage. VII. Zusammenfassung Die durch die BDSG-Novelle I zum 1. April 2010 eingeführte Scoringtransparenz für Banken und Finanzdienstleistungsinstitute bleibt eine echte Herausforderung für die Praxis. Dennoch ist der gefundene politische Kompromiss trotz aller Widersprüche ein gangbarer Weg, der die Rechte der Betroffenen deutlich stärkt und ihnen die Möglichkeit gibt, Kreditentscheidungsprozesse zu hinterfragen, soweit Scorewertberechnungen dabei eine Rolle spielen. Angesichts der Vielzahl der in Bankalltag eingesetzten Scoringmodelle kann es keinen Königsweg zur Scoringtransparenz für Banken geben. Der für die einzelne Bank einzuschlagende Weg muss im jeweiligen Einzelfall instituts- und scorecardbezogen ermittelt werden, um hier für den betroffenen Kunden die gebotene Transparenz herzustellen. Eine enge Abstimmung der Banken mit den jeweiligen Auskunfteien ist anzuraten. 44 Zum Begriff Düsseldorfer Kreis vgl. Gürtler in Albrecht-Karahan- Lenenbach, Fachanwaltshandbuch für Bank- und Kapitalmarktrecht 35, Datenschutz in der Bankenpraxis, Rn Bei Redaktionsschluss war eine Position des Düsseldorfer Kreises zu diesem Thema nicht veröffentlicht. Es empfiehlt sich, die Verlautbarungen der Aufsichtsbehörden im Internet hierzu abzurufen, vgl.: 46 Vgl. Fn. 34

19 Behm, Scoringverfahren unter Einbeziehung von Geodaten RDV 2010 Heft 2 61 Ass. iur. Frank Behm, Garz (Insel Rügen) / Chemnitz* Datenschutzrechtliche Anforderungen an Scoringverfahren unter Einbeziehung von Geodaten Abstract Der Beitrag befasst sich mit der Zulässigkeit der Verwendung von Geodaten in Scoringverfahren. Die Schufa, eine privatrechtlich organisierte Gesellschaft, sammelt und verwertet Informationen über die Bonität von Bürgern, die sie auf Nachfrage den Kreditgebern zur Abschätzung des Kreditausfallrisikos zur Verfügung stellt. Der Beitrag soll klären, inwieweit die Schufa bei diesem Vorgang auch geographische Daten nutzen kann und darf. Dabei wird zunächst der Begriff Geodaten untersucht. Anschließend wird das Scoringverfahren zur Berechnung des Scorewerts dargestellt. Schwerpunktmäßig werden dabei die rechtlichen Voraussetzungen für die Einbeziehung der geographischen Daten in dieses Verfahren beleuchtet. deutlich ab. Ehescheidung ist meist mit Unterhaltszahlungen verbunden, Arbeitslosigkeit kein lebenslang anhaltender Zustand. Banken haben meist kein Interesse daran, dem Kunden, der um einen Kredit bittet, die genaue Berechnungsmethode ihrer Bonitätsprüfung offen zu legen. In diesem Fall müssten sie diesem erklären, dass die Entscheidung, ob der Kredit vergeben wird, schon vor dem Gespräch mit dem Berater gefallen ist. Das gegenseitig aufgebaute Vertrauen zwischen Bank und Kunde wäre damit infolge abstrakter, den konkreten Fall nicht berücksichtigender Berechnungsmethoden rasch wieder demontiert. Die Bundesregierung hat einen wichtigen Schritt in Richtung Transparenz bei der Nutzung von Geodaten beschritten und ein Internetportal eingerichtet, in dem sich jeder Bürger über solche Daten informieren kann 6. I. Einleitung Das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz hat sich bereits seit längerem der Problematik der fehlenden Transparenz von Scoringverfahren bei der Kreditvergabe angenommen und das Thema in seine Agenda einbezogen 1. Die Bundesregierung will freilich das Geo-Scoring zur Bonitätsprüfung zulassen 2. Hierzu wurde auch (2008) ein entsprechender Gesetzesentwurf 3 zur Änderung des BDSG vorgelegt. Dieser ist freilich im Laufe der Gesetzgebung vor allem an einigen Stellen, die Verbraucherrechte festschreiben sollten, verwässert worden, nachdem die ursprüngliche Gesetzesvorlage, was ausgesprochen selten vorkommt, auch von Datenschützern ausdrücklich gelobt worden war 4. Nachdem der Bundesrat in seiner Sitzung vom zustimmte 5, ist das Gesetzgebungsverfahren abgeschlossen, und die Änderungen des BDSG treten damit ab in Kraft. Der Beitrag untersucht daher zunächst die bisherige Rechtslage bei der Einbeziehung von Geodaten bei Scoringverfahren und geht anschließend auf die Novellierung des BDSG ein. Das Problem lässt sich von zwei Seiten beschreiben: aus Sicht der Verbraucher und aus Sicht der Bankwirtschaft. Für den Verbraucher sind Kriterien, die seine Bonität beschreiben, meist schon aufgrund allgemeiner Lebenserfahrung nachvollziehbar, etwa Ehescheidung, Arbeitslosigkeit, schwere oder nachhaltige Krankheit. Kommen Merkmale wie Wohnsitz, Alter, Familienstand oder Anzahl der Kinder, Besitz eines Kfz etc. hinzu, die meist mit abstrakten Algorithmen und ohne Blick auf den konkreten Einzelfall in die Bonitätsprüfung einfließen, nimmt die Transparenz aber II. Geodaten 1. Anwendungsbereich des BDSG Für Scoringverfahren ist der Anwendungsbereich des BDSG seines 3. Abschnitts eröffnet: Gemäß 27 I 1 Nr. 1 BDSG erheben, nutzen und verarbeiten Wirtschaftsdienste als nicht-öffentliche Stellen personenbezogene Daten mittels Datenverarbeitungsanlagen. Die Definition der nicht-öffentlichen Stelle ergibt sich aus der Verweisung auf 2 IV BDSG. Danach werden alle natürlichen und juristischen Personen des Privatrechts erfasst 7. Auskunfteien und Wirtschaftsinformationsdienste sind zumeist privatrechtlich organisiert, d.h. in einer Rechtsform des Privatrechts geführt. Die Schufa beispielsweise hat die Rechtsform einer AG 8. Aber auch eine BGB-Gesellschaft (GbR) würde einbezogen 9. Die Begriffe automatisierte Verarbeitung, erheben und verarbeiten sind in 3 II, III * Der Verfasser ist Doktorand am Lehrstuhl für öffentliches Recht und öffentliches Wirtschaftsrecht von Prof. Dr. Ludwig Gramlich an der Fakultät für Wirtschaftswissenschaften der Technischen Universität Chemnitz. 1 nnn=true. 2 /meldung/ /meldung/ https://www.datenschutz.de/news/detail/?nid= Gola/Schomerus, BDSG, 9. Auflage 2008, 2, Rn Gola/Schomerus (Fn 7), 2, Rn 20, Simitis in Simitis, Kommentar zum BDSG, 6. Auflage 2006, 2, Rn 118 ff., Rn 121.

20 62 RDV 2010 Heft 2 Behm, Scoringverfahren unter Einbeziehung von Geodaten bzw. IV BDSG definiert. Bei der Bereitstellung der Informationen zur Bonität von Personen erheben, verarbeiten und nutzen ( 3 V BDSG) solche Stellen personenbezogene Daten ( 3 I BDSG). Eine Begrenzung des Anwendungsbereichs gemäß 27 I 2 BDSG liegt nicht vor, weil die Verarbeitung der Daten durch Wirtschaftsdienste nicht für persönliche oder familiäre Tätigkeiten erfolgt. 27 II BDSG steht der Anwendung der 28 ff. BDSG ebenfalls nicht entgegen. Jedoch müssen zwei Begriffe näher betrachtet werden: Was sind Geodaten? Besteht bei Geodaten ein Personenbezug? 2. Begriffsdefinition Geodaten Geodaten können ganz allgemein als solche Daten verstanden werden, die einen Ort oder eine Fläche bestimmen. Dabei ist zwischen Primärdaten 10 und Sekundärdaten 11 zu differenzieren. Primärdaten entstehen direkt und unmittelbar bei der Erhebung, wie beispielsweise die Längen- und Breitenangabe eines Ortes. Sekundärdaten sind dagegen alle Daten, die hieraus abgeleitet werden und durch Interpretation, Klassifizierung, Generalisierung oder Aggregation entstehen. Weiter kann zwischen Geobasis- und Geofachdaten differenziert werden. Geobasisdaten 12 sind Daten, die i.d.r. von den Vermessungsanstalten der Bundesländer oder des Bundes zur Verfügung gestellt werden und die Topographie von Grundstücken beschreiben. Um diese Daten verarbeiten zu können, fließen sie in Geoinformationssysteme (GIS) ein. Geofachdaten 13 sind raumbezogene Daten aus einem bestimmten Fachgebiet, etwa der Bodenkunde 14 oder Klimatologie 15. Geofachdaten haben im Gegensatz zu Geobasisdaten einen eigenständigen Aussagegehalt. Zum Beispiel hat die Stadt Chemnitz als geographische Basisdaten Ost und Nord. Daraus lassen sich Geofachdaten ableiten, beispielsweise Zugehörigkeit zu einer Klimazone oder dort häufig vorkommende Bodenarten. Geodaten sind also digitale Informationen, denen auf der Erdoberfläche durch eine Lokalisierungsmethode eine bestimmte oder bestimmbare Fläche bzw. ein Punkt zugewiesen wird 16. Sie können zunächst durch die Angabe von Längen- und Breitenmeridianen, GPS (global position system) oder das Galileo-Ortungssystem 17 beschrieben werden. Im klassischen Sinn ist auch die Adressangabe dazu geeignet, die Lage eines Grundstücks zu bestimmen. Ferner sind hierzu Kataster- oder Grundbuchdaten geeignet. Diese Informationen allein sind jedoch für die Bestimmung der Kreditwürdigkeit einer Person wertlos. Für Wirtschaftsdienste ist daher die Verknüpfung dieser Daten mit bestimmten Personen und anderen Daten enorm wichtig. Erst aufgrund dieser Verknüpfung können Banken ein Scoring durchführen und Aussagen über die Bonität einer bestimmten Person treffen. 3. Geodaten als personenbezogene Daten? a) Kriterien Die entscheidende Frage ist also, ob Geodaten einen Personenbezug aufweisen oder nicht. Gemäß der Legaldefinition in 3 I BDSG sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Das Merkmal Personenbezug ist dabei weit auszulegen 18. aa) Einzelangaben über persönliche oder sachliche Verhältnisse Den Terminus Einzelangabe definiert das BDSG selbst nicht. Entsprechend dem Schutzzweck von 1 I BDSG ist der Begriff ebenfalls weit auszulegen 19. Dabei kann auf eine Legaldefinition des Begriffes Einzelangabe in 203 II 2 StGB zurückgegriffen werden, d.h. die für die Aufgaben der öffentlichen Verwaltung erfassten, in beliebiger gegenständlicher Weise fixierten oder gespeicherten Dateien 20. Der Begriff Einzelangabe findet sich auch in 16, 18 BStatG. Unstrittig hat dabei eine Einzelangabe i.s.d. BDSG einen Personenbezug, wenn sie mit dem Namen einer Person verbunden ist oder sich ein solcher Zusammenhang herstellen lässt 21. Als systematisches begrenzendes Korrektiv kann negativ formuliert werden, bei aggregierten oder anonymisierten Daten liege gerade keine Einzelangabe mehr vor 22. Einzelangaben sind also beliebige Aussagen, die geeignet sind, bestimmte Tatsachen über eine bestimmte bzw. bestimmbare Person bzw. Personengruppe zu treffen. Die speziell beim Scoring gewonnene Aussage, dass eine Person einer nach bestimmten Kriterien über die Bonität zusammengestellten und bewerteten Gruppe angehört, ist eine Einzelangabe über sie 23. Als Beispiel lässt sich die Angehörigkeit einer Person zu einer Gruppe nennen, die bei der Bonitätsprüfung als Sicherheiten Grundstücke vorweisen kann (oder nicht). Bei Gruppenangaben ist zu berücksichtigen, dass die Merkmale, welche die Gruppe insgesamt kennzeichnen, dem einzelnen Mitglied der Gruppe zugerechnet wer Art. 3 Nr. 2 RL 2007/2/EG zur Schaffung einer gemeinsamen Geodateninfrastruktur in der Europäischen Gemeinschaft vom ; Weichert, DuD 2007, BVerfG Urteil vom , 1 BvR 209/83, Rn 149 BVerfGE 65, 1 ff. (http://www.servat.unibe.ch/dfr/bv html dort Rn. 160 ff). 19 Dammann in Simitis (Fn. 9), 3, Rn 4 ff., Rn Tröndle/Fischer, Strafgesetzbuch, 52. Auflage, , Rn Saeltzer, DuD 2004, BFH NJW 1994, S. 2246; Gola/Schomerus (Fn 6), 3, Rn 3, Floax, NJW 2003, 2724; Koch MMR 1998, 458.

Was sagt Ihr Scorewert? Die neuen Auskunftsansprüche des Bundesdatenschutzgesetzes. www.datenschutzzentrum.de

Was sagt Ihr Scorewert? Die neuen Auskunftsansprüche des Bundesdatenschutzgesetzes. www.datenschutzzentrum.de Thema DATENSCHUTZ HEISE Forum täglich 11 00 bis 12 00 Halle 5 / Stand E 38 Was sagt Ihr Scorewert? Die neuen Auskunftsansprüche des Bundesdatenschutzgesetzes Die 7 Säulen des ULD Prüfung Beratung Schulung

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

BDSG: Änderungen zum 1.4.2010 (Scoring)

BDSG: Änderungen zum 1.4.2010 (Scoring) Zum 1. April 2010 sind Änderungen im Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Es handelt sich dabei um die Modifizierungen aufgrund der Datenschutz-Novelle I, die am 29. Mai 2009 vom Bundestag

Mehr

Auskunfteien BAYERISCHES LANDESAMT. Fragen und Antworten FÜR DATENSCHUTZAUFSICHT

Auskunfteien BAYERISCHES LANDESAMT. Fragen und Antworten FÜR DATENSCHUTZAUFSICHT BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Auskunfteien Fragen und Antworten Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Der Datenschutz in der Bank

Der Datenschutz in der Bank Der Datenschutz in der Bank Juristische Grundlagen und Praxis Rechtsanwalt Thomas Kahler Inhalt 1.) Das Bankgeheimnis a) Definition b) Der Inhalt des Bankgeheimnisses c) Beispiele d) Der Umfang des Bankgeheimnisses

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Verbraucher-Scoring Wie bewertet mich die Wirtschaft?

Verbraucher-Scoring Wie bewertet mich die Wirtschaft? Blaue Reihe 2 Verbraucher-Scoring Wie bewertet mich die Wirtschaft? Inhaltsverzeichnis Was ist unter Scoring zu verstehen?... 2 Wie muss man sich ein Scoring vorstellen?... 2 Wofür wird der Scorewert genutzt?...

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Kennen Sie Ihren wahren Wert? Kreditscoring und Datenschutz

Kennen Sie Ihren wahren Wert? Kreditscoring und Datenschutz Kennen Sie Ihren wahren Wert? Kreditscoring und Datenschutz Meike Kamp Datenschutz Schleswig-Holstein Kreditscoring und Datenschutz Vorstellung ULD Was ist Kredit-Scoring? Datenschutzrechtliche Aspekte

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

(http://rsw.beck.de/rsw/upload/beck_aktuell/entwurf_bdsg_regierung.pdf)

(http://rsw.beck.de/rsw/upload/beck_aktuell/entwurf_bdsg_regierung.pdf) Das Bundesdatenschutzgesetz (BDSG) in seiner derzeitigen Fassung trägt der gestiegenen und weiter steigenden Bedeutung von Auskunfteien in einer immer anonymer werdenden Geschäftswelt und ihrer Nutzung

Mehr

Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes

Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes Dr. Thilo Weichert Landesbeauftragter für Datenschutz Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz 16. Versicherungswissenschaftliches

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes Bundesrat Drucksache 599/05 22.07.05 Gesetzesantrag der Länder Niedersachsen, Hessen In - Fz - Wi Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes A. Problem und Ziel Das Bundesdatenschutzgesetz

Mehr

Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes

Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes Scoring von Versicherungsprodukten unter dem Aspekt des Datenschutzes Dr. Thilo Weichert Landesbeauftragter für Datenschutz Schleswig-Holstein Unabhängiges Landeszentrum für Datenschutz 16. Versicherungswissenschaftliches

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

5. Ortstagung Kiel am 12. März 2014

5. Ortstagung Kiel am 12. März 2014 5. Ortstagung Kiel am 12. März 2014 I. Begrüßung Der Einladung zur 5. Ortstagung des Deutschen Arbeitsgerichtsverbands e. V. in Kiel im Saal des Hauses des Sports folgten 55 Teilnehmerinnen und Teilnehmer.

Mehr

SCORING NACH DER DATENSCHUTZNOVELLE 2009

SCORING NACH DER DATENSCHUTZNOVELLE 2009 SCORING NACH DER DATENSCHUTZNOVELLE 2009 GP Forschungsgruppe Symposium im BMJV Berlin, 20. Mai 2015 HTA-Bericht zur Alkoholprävention 1 Methodik Befragung von 2.021 Personen im Alter von 18-75 Jahren in

Mehr

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Datenschutz und Arbeitsrecht Arbeitsrechtliche Konsequenzen bei Verstößen gegen den Datenschutzund

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtentbindungserklärung Der Text der Einwilligungs-/Schweigepflichtentbindungserklärung wurde 2011 mit den Datenschutzaufsichtsbehörden

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Datenschutz bei Rechtsanwälten

Datenschutz bei Rechtsanwälten Datenschutz bei Rechtsanwälten Vortrag von: Rechtsanwalt Dr. Holger Zuck Anwaltskanzlei Zuck & Quaas, Stuttgart 1 Datenschutz bei Rechtsanwälten Normen: Bereichsspezifische Normen: BRAO (insb. 43, 43a,

Mehr

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Datenschutz als Qualitäts- und Wettbewerbsfaktor Datenschutz als Qualitäts- und Wettbewerbsfaktor RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.v. Die GDD e.v. Die GDD e.v. tritt als gemeinnütziger Verein

Mehr

zum Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten

zum Entwurf eines Gesetzes zur Verbesserung der Rechte von Patientinnen und Patienten Änderungsantrag 1 Zu Artikel 1 Nummer 4 ( 630c Absatz 2 Satz 2) (Informationspflicht des Behandelnden bei Behandlungsfehlern) 630c Absatz 2 Satz 2 wird wie folgt gefasst: Sind für den Behandelnden Umstände

Mehr

Verantwortungsvolle Kreditvergabe für Verbraucher. Kodex. der Abbildung Istockphoto svanhorn

Verantwortungsvolle Kreditvergabe für Verbraucher. Kodex. der Abbildung Istockphoto svanhorn Verantwortungsvolle Kreditvergabe für Verbraucher Kodex der Abbildung Istockphoto svanhorn Präambel Unsere Verantwortung Die Mitgliedsbanken des Bankenfachverbandes sind sich ihrer Verantwortung als Kredit

Mehr

Allgemeine Geschäftsbedingungen

Allgemeine Geschäftsbedingungen Allgemeine Geschäftsbedingungen CrediMaxx, Inhaber Mario Sparenberg CrediMaxx, Fritz-Haber-Straße 9, 06217 Merseburg 1 Allgemeines und Geltungsbereich (1) 1 Diese Geschäftsbedingungen gelten für alle gegenwärtigen

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin 4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin Vortrag zum Thema Qualitätssicherung und Datenschutz, Anforderungen an den Datenschutz aus der Sicht des

Mehr

Stellungnahme des Bundesverbandes Deutscher Versicherungskaufleute e.v.

Stellungnahme des Bundesverbandes Deutscher Versicherungskaufleute e.v. BUNDESVERBAND DEUTSCHER VERSICHERUNGSKAUFLEUTE e.v. Stellungnahme des Bundesverbandes Deutscher Versicherungskaufleute e.v. zum Referentenentwurf eines Gesetzes zur Umsetzung der Wohnimmobilienkreditrichtlinie

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Antrag. auf Anerkennung als Sachverständige(r) durch. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs.

Antrag. auf Anerkennung als Sachverständige(r) durch. das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs. 09/2010 Antrag auf Anerkennung als Sachverständige(r) durch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gemäß 3 Abs. 1 DSAVO 1. Angaben zur Person 1.1 Persönliche Daten Titel/akademischer

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

13 W 890/10. Leitsatz

13 W 890/10. Leitsatz 13 W 890/10 Leitsatz Die Unterscheidungskraft einer an eine Internetdomain angelehnten Firma gem. 18 Abs. 1 HGB kann sich aus dem Zusammenhang einer für sich gesehenen nicht unterscheidungskräftigen Second-Level-Domain

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist vom Bundesamt für Ernährung und Landwirtschaft beauftragt worden,

Mehr

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info

Mehr

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden

datenschutz carsten metz Bundesdatenschutzgesetz Haftungsrisiken vermeiden Bundesgesetz Haftungsrisiken vermeiden Datenschutzrechtlinien von den Vereinten Nationen 1990 beschlossen Grundsätze, die einen Mindeststandard festlegen, der bei der nationalen Gesetzgebung berücksichtigt

Mehr

Recht der Datenverarbeitung

Recht der Datenverarbeitung Zeitschrift für Praxis und Wissenschaft Schriftleitung: Prof. Peter Gola, Königswinter RA Dr. Georg Wronka, Bonn RA Andreas Jaspers, Bonn RA Christoph Klug, Köln 25. Jahrgang 2009, Beilage zu Heft 4 Recht

Mehr

Neues vom Datenschutz

Neues vom Datenschutz FG IT-Sicherheit medien forum freiburg Neues vom Datenschutz Die Auswirkungen der BDSG-Novelle 2009 Dr. jur. Astrid Breinlinger Von 1989 bis 1997 Leiterin der Datenschutzaufsichtsbehörde in Hessen (Rhein-Main-

Mehr

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz und Datensicherheit im Handwerksbetrieb N. HOZMANN BUCHVERLAG Werner Hülsmann Datenschutz und Datensicherheit im Handwerksbetrieb Inhaltsverzeichnis Vorwort 13 1 Datenschutz und Datensicherheit 15 1.1 Grundlagen und Grundsätze 15 1.1.1 Was ist

Mehr

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt

Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt Rechtliches und Technisches Rezertifizierungsgutachten Einhaltung datenschutzrechtlicher Anforderungen durch das IT-Produkt - SQS -Testsuite für SAP HCM - der SQS Software Quality Systems AG, Stollwerckstraße

Mehr

Der Entwurf zu einem Beschäftigtendatenschutz

Der Entwurf zu einem Beschäftigtendatenschutz Der Entwurf zu einem Beschäftigtendatenschutz Erweiterung oder Begrenzung der Arbeitnehmerkontrolle per Gesetz? Der Auslöser Nach der Erfindung des photographischen Films durch Georg Eastmann und dank

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

STICHPROBE AUSKUNFTEIEN

STICHPROBE AUSKUNFTEIEN STICHPROBE AUSKUNFTEIEN 15.04.2013 Verheerende Ergebnisse bei markt-stichprobe - Auskunfteien scoren oft unvollständig und nicht nachvollziehbar (Köln) Über 80 WDR Zuschauer haben in den vergangenen Monaten

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Systematisches Scannen von WLAN-Datennetzen durch den Google-Konzern

Systematisches Scannen von WLAN-Datennetzen durch den Google-Konzern 14. Wahlperiode 30. 04. 2010 Antrag der Abg. Andreas Stoch u. a. SPD und Stellungnahme des Innenministeriums Systematisches Scannen von WLAN-Datennetzen durch den Google-Konzern Antrag Der Landtag wolle

Mehr

Diplom Informatiker Werner Hülsmann: Kurzinfo Betriebliche/r Datenschutzbeauftragte/r Bestellung Stellung im Unternehmen Aufgaben Extern / Intern

Diplom Informatiker Werner Hülsmann: Kurzinfo Betriebliche/r Datenschutzbeauftragte/r Bestellung Stellung im Unternehmen Aufgaben Extern / Intern Seite 1 Diplom Informatiker Werner Hülsmann: Kurzinfo Betriebliche/r Datenschutzbeauftragte/r Bestellung Stellung im Unternehmen Aufgaben Extern / Intern Seite 2 Zu meiner Person Studium der Informatik

Mehr

Datenschutz und Geoinformationen - Ampelstudie eine Studie für die GIW-Kommission

Datenschutz und Geoinformationen - Ampelstudie eine Studie für die GIW-Kommission Datenschutz und Geoinformationen - Ampelstudie eine Studie für die Kongress DIHK und Wirtschaftsförderung mit Online-Geodaten 05. Juni 2008, DIHK Berlin Leiter des ULD Schleswig-Holstein, Unabhängiges

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

Praxis des Scorings in anderen EU-Mitgliedstaaten

Praxis des Scorings in anderen EU-Mitgliedstaaten Praxis des Scorings in anderen EU-Mitgliedstaaten Prof. Dr. Jürgen Taeger Carl von Ossietzky Universität Oldenburg Scoring Symposium am 20. Mai 2015 1. Erlaubnis und Pflicht zur Bonitätsprüfung Rechtlicher

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung

Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und Schweigepflichtenbindungserklärung Lebensversicherung Nr.: Versicherte Person Die Regelungen des Versicherungsvertragsgesetzes, des

Mehr

FAQ-Katalog zur Musterverfahrensdokumentation

FAQ-Katalog zur Musterverfahrensdokumentation FAQ-Katalog zur Musterverfahrensdokumentation Nr. Frage Antwort 1 Befasst sich die Musterverfahrensdokumentation (MVD) auch mit der Behandlung elektronischer Dokumente (E-Rechnung, elektronische Kontoauszüge,

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Bericht und Antrag des Datenschutzausschusses

Bericht und Antrag des Datenschutzausschusses B R E M I S C H E B Ü R G E R S C H A F T Landtag 15. Wahlperiode Drucksache 15 /1304 (zu Drs. 15/11208) 25. 11. 02 Bericht und Antrag des Datenschutzausschusses Gesetz zur Änderung des Bremischen Datenschutzgesetzes

Mehr

Datenschutz und Datensicherheit als unternehmerische Aufgabe

Datenschutz und Datensicherheit als unternehmerische Aufgabe Datenschutz und Datensicherheit als unternehmerische Aufgabe RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung e.v. (GDD) Die GDD Unterstützung von Unternehmen und

Mehr

Verantwortungsvolle Kreditvergabe für Verbraucher. Kodex

Verantwortungsvolle Kreditvergabe für Verbraucher. Kodex Verantwortungsvolle Kreditvergabe für Verbraucher Kodex Präambel Unsere Verantwortung Die Mitgliedsbanken des Bankenfachverbandes sind sich ihrer Verantwortung als Kredit geber bewusst. Sie vergeben Kredite

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN?

1. WANN BENÖTIGT EIN UNTERNEHMEN EINEN BETRIEBLICHEN DA- TENSCHUTZBEAUFTRAGTEN? MERKBLATT Fairplay DER BETRIEBLICHE DATENSCHUTZBEAUFTRAGTE Braucht mein Unternehmen einen Datenschutzbeauftragten? Wie bestelle ich einen Datenschutzbeauftragten? Welche Rechte und Pflichten hat der Datenschutzbeauftragte?

Mehr

25. Jahrgang August 2009 Seiten 147 192. Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus den Ländern

25. Jahrgang August 2009 Seiten 147 192. Aus der Europäischen Union Aus der Gesetzgebung Aus dem Bundestag Aus den Ländern ISSN 0178-8930 Zeitschrift für Datenschutz-, Informations- und Kommunikationsrecht G 20 141 RDV Recht der Datenverarbeitung 25. Jahrgang August 2009 Seiten 147 192 42009 Aufsätze Rechtsprechung Aus dem

Mehr

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG

AUB e.v. Nürnberg Verfahrenmeldung nach 4e, 4g BDSG Bemerkung: Betriebliche Datenschutzbeauftragte fragen nach wie vor an, wie das Verfahrensregister zu gestalten ist, was er nach 4g Abs. 2 resp. 4e Satz 1 BDSG zu führen und auszugsweise für jedermann zur

Mehr

Lidl muss zahlen Millionen-Strafe für die Schnüffler Teure Bespitzelung: Der Discounter

Lidl muss zahlen Millionen-Strafe für die Schnüffler Teure Bespitzelung: Der Discounter Einleitung Handel mit Millionen Melderegisterdaten aufgedeckt Der Skandal um den illegalen Adresshandel ist offenbar um ein dunkles Kapitel reicher. Laut einem Zeitungsbericht haben mindestens acht Unternehmen

Mehr

Leitlinien zum Ankauf von statistischen bzw. soziodemographischen Daten durch Hamburgische Behörden

Leitlinien zum Ankauf von statistischen bzw. soziodemographischen Daten durch Hamburgische Behörden Leitlinien zum Ankauf von statistischen bzw. soziodemographischen Daten durch Hamburgische Behörden (Stand: Dezember 2010) Die jüngste Diskussion um den geplanten Ankauf von statistischen Daten durch die

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Stand: 20.12.2007 Inhaltsverzeichnis Vorbemerkung Ziff. 1 Ziff. 2 Ziff.

Mehr

- Vertrauen durch Transparenz

- Vertrauen durch Transparenz !"" # $%&''()*+," -.%&''()*+!*( /01%#2 30#4 5607#689 - Vertrauen durch Transparenz Grundlegende Informationen für eine Datenschutz-Policy sowie Formulierungen abrufbar unter www.gdd.de (Rubrik Aktuelles

Mehr

Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie. 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven

Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie. 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven Reformbedarf im UWG: Zur Umsetzung der UGP-Richtlinie 10 Jahre UGP-Richtlinie: Erfahrungen und Perspektiven Zweites Gesetz zur Änderung des UWG Das Gesetz dient der weiteren Umsetzung der Richtlinie 2005/29/EG

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Dr. Martin Bahr INTERNET-GEWINNSPIELE: GRUNDLEGENDE ÄNDERUNG DER RECHTSPRECHUNG. Rechtsanwalt

Dr. Martin Bahr INTERNET-GEWINNSPIELE: GRUNDLEGENDE ÄNDERUNG DER RECHTSPRECHUNG. Rechtsanwalt Rechtsanwalt Dr. Martin Bahr INTERNET-GEWINNSPIELE: GRUNDLEGENDE ÄNDERUNG DER RECHTSPRECHUNG - ANMERKUNG ZUR GAMBELLI-ENTSCHEIDUNG DES EUGH (URT. V. 06.11.2003 - AZ.: C-243/0) Kanzlei RA Dr. Bahr Sierichstr.

Mehr

Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke

Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke VORBEMERKUNG Der Düsseldorfer Kreis als Gremium

Mehr

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht

Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Melanie Gutmann Outsourcing bei Kreditinstituten: Rechtsfragen im Zusammenhang mit dem Bank- und Datenschutzrecht Wirtschaftliche Interessen der Banken im Spannungsverhältnis zum Geheimhaltungsinteresse

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

Wissenschaftlich begründetes KURZGUTACHTEN

Wissenschaftlich begründetes KURZGUTACHTEN Deubner Verlag GmbH & Co. KG Wissenschaftlich begründetes KURZGUTACHTEN zur rechtlichen Problematik internationales Familienrecht - u.a. anwendbares Recht für geltend gemachte Ansprüche erstellt im Auftrag

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Verbraucherdatenschutz Welche Datenschutzrechte habe ich als Kunde und Verbraucher?

Verbraucherdatenschutz Welche Datenschutzrechte habe ich als Kunde und Verbraucher? Blaue Reihe 3 Verbraucherdatenschutz Welche Datenschutzrechte habe ich als Kunde und Verbraucher? Inhaltsverzeichnis Worüber muss ein Unternehmen mich informieren, wenn es meine persönlichen Daten bei

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement

Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Präsentation für AMC Arbeitskreis Mittwoch, 13. Juni 2012 Düsseldorf 13. Juni 2012 l 1 24.04.2012

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

7. Finanz- und Versicherungswirtschaft

7. Finanz- und Versicherungswirtschaft 7. Finanz- und Versicherungswirtschaft Hier finden Sie Musterschreiben an die SCHUFA, an Handels- und Wirtschaftsauskunfteien, Kreditinstitute und Versicherungsunternehmen Eine Vielzahl von personenbezogenen

Mehr

Muster-AGB für Online-Shops

Muster-AGB für Online-Shops Muster-AGB für Online-Shops Stand: Januar 2014 Hinweise für die Benutzung dieser Muster-AGB Unzulässige AGB-Klauseln sind immer wieder Anlass wettbewerbsrechtlicher Abmahnungen gegenüber Betreibern von

Mehr

Stock Aders + Partner

Stock Aders + Partner Stock Aders + Partner SA+P Newsletter 2014 l SPEZIAL Liebe Leserinnen und Leser, vor einigen Tagen wurde bekannt, dass der Bundesgerichtshof interessante Entscheidungen zur Verjährung der Ansprüche von

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr