BDSG: Änderungen zum (Scoring)

Transkript

1 Zum 1. April 2010 sind Änderungen im Bundesdatenschutzgesetz (BDSG) in Kraft getreten. Es handelt sich dabei um die Modifizierungen aufgrund der Datenschutz-Novelle I, die am 29. Mai 2009 vom Bundestag verabschiedet wurde (BGBl I, S ff.). Im Folgenden finden Sie einen Überblick über die wichtigsten Bereiche, die sich ändern: 1. Keine Benachteiligung bei Wahrnehmung der Datenschutzrechte 2. Automatisierte Einzelentscheidung (z. B. Scoring): strengere Voraussetzungen 3. Datenübermittlung an Auskunfteien: neue Rechtsgrundlage in 28a 4. Scoring: neue Rechtsgrundlage in 28b 5. Automatisierte Abrufverfahren: Prüfung der Berechtigung 6. Geschätzte Daten: Kennzeichnungspflicht 7. Gesetzliche Prüffrist für Datenlöschung: verkürzt 1. Keine Benachteiligung bei Wahrnehmung der Datenschutzrechte alle Unternehmen Betroffene dürfen nicht deswegen benachteiligt werden, weil sie ihre Datenschutzrechte wahrnehmen. Es darf nicht mehr die Tatsache gespeichert oder verwertet werden, dass ein Betroffener seine Datenschutzrechte wahrgenommen hat. Wenn ein Betroffener ein Recht geltend macht, das ihm nach den (Datenschutz-)Gesetzen zusteht (beispielsweise auf Auskunft, Sperrung oder Löschung von Daten), dann darf diese Tatsache nun nicht mehr für andere Zwecke verwendet werden ( 6 Abs. 3 und 35 Abs. 4a BDSG). Hintergrund ist, dass solche Bitten bisher bei Scoring-Anbietern oft zu einem schlechteren Scorewert und damit zu verminderten Kreditchancen geführt haben. Insbesondere die Tatsache, dass Daten gesperrt sind, darf nicht an Dritte übermittelt werden. Die Mitteilung einer Sperre könnte nämlich vom empfangenden Dritten leicht dahingehend missverstanden werden, dass der Betroffene z. B. nicht nur nicht zahlt, sondern auch noch ein schwieriger Kunde ist. Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann. 2. Automatisierte Einzelentscheidung (z. B. Scoring): strengere Voraussetzungen Insbesondere Unternehmen, die (Kredit-)Scoring nutzen oder anbieten Keine Umgehung des 6a BDSG mehr dadurch, dass ein Mensch die automatisierte Entscheidung formal nachbearbeitet Die wesentlichen Entscheidungsgründe sind auf Verlangen darzulegen. Es werden mehr Verfahren unter 6a BDSG fallen als bisher. Diese sind nur unter den strengeren Voraussetzungen des umformulierten 6a BDSG zulässig. 6a BDSG regelt die Voraussetzungen, ob und wann automatisierte Einzelentschei- Seite 1

2 3. Datenübermittlung an Auskunfteien: neue Rechtsgrundlage in 28a dungen zulässig sind, also Entscheidungen, die ausschließlich durch Computer getroffen werden (z. B. die Entscheidung, ob jemand kreditwürdig ist). Er enthält zwei Neuerungen: Nicht mehr ausreichend ist eine nur formale Nachbearbeitung durch einen Menschen: Nach 6a Abs. 1 Satz 2 BDSG ist nun explizit geregelt, wann eine automatisierte Einzelentscheidung vorliegt. Demnach genügt eine nur formale (nachgeschaltete) Nachbearbeitung durch einen Menschen nicht mehr, um die Voraussetzungen des 6a BDSG auszuhebeln. Sinn und Zweck der Regelung ist der Schutz des Betroffenen vor computergestützten Entscheidungen. Mitteilung der wesentlichen Gründe: Zulässig sind automatisierte Einzelentscheidungen aber, wenn eine der Ausnahmen des 6a Abs. 2 vorliegt. Dessen Nummer 2 wurde neu gefasst. Demnach muss dem Betroffenen (wie bisher) nicht nur Gelegenheit zur Wahrung seiner Interessen gegeben und ihm mitgeteilt werden, dass überhaupt eine automatisierte Einzelentscheidung vorliegt. Vielmehr sind ihm auch die wesentlichen Entscheidungsgrundlagen zu erläutern, wenn er dies verlangt. Unternehmen, die Zahlungsausfälle von Kunden an Auskunfteien (z. B. Schufa) übermitteln Kreditinstitute, die Vertrags- (Rahmen-)Daten an Auskunfteien übermitteln Wenn Daten an Auskunfteien übermittelt werden, ist dies nur noch unter den Voraussetzungen des neuen 28a BDSG zulässig. Es herrscht mehr Rechtssicherheit, da das Gesetz genauer regelt als bisher, wann Datenübermittlungen zulässig sind. Zahlungsausfälle Viele Unternehmen übermitteln ausbleibende Zahlungen ihrer Kunden an Auskunfteien wie Schufa oder Creditreform. Diese Datenübermittlungen sind nur noch dann zulässig, wenn sie den Voraussetzungen des 28a Abs. 1 BDSG entsprechen. Demnach ist es (im Gegensatz zu bisher) nicht mehr nur ausreichend, ein "berechtigtes Interesse" an der Datenübermittlung geltend zu machen. Zusätzlich zu dieser Abwägung tritt nun nach neuer Rechtslage eine Tatsachenprüfung. Nur wenn einer der explizit im Gesetz genannten fünf Sachverhalte vorliegt, ist die Datenübermittlung (oder gegebenenfalls die Datennutzung zu eigenen Zwecken) zulässig. Die Übermittlung eines Zahlungsausfalls ist demnach nur noch zulässig, wenn 1. die zugrundeliegende Forderung durch ein Urteil festgestellt ist oder ein Schuldtitel vorliegt, oder 2. die Forderung im Insolvenzverfahren erhoben und von keiner Seite bestritten wird, oder 3. der Betroffene die Forderung ausdrücklich anerkannt hat, oder 4. der Betroffene nach Eintritt der Fälligkeit mindestens zweimal schriftlich gemahnt worden ist, wobei 5. zwischen der ersten Mahnung und der Datenübermittlung an die Auskunftei Seite 2

3 4. Scoring: neue Rechtsgrundlage in 28b mindestens vier Wochen liegen müssen und 6. der Betroffene rechtzeitig von der bevorstehenden Datenübermittlung unterrichtet wurde (jedoch nicht vor der ersten Mahnung) und 7. der Betroffene die Forderung nicht bestritten hat, oder 8. der zugrundeliegende Vertrag fristlos gekündigt werden darf aufgrund der Zahlungsrückstände und der Betroffene über die bevorstehende Datenübermittlung unterrichtet wurde. Wichtig: Wenn nachträglich Tatsachen bekannt werden (z. B. eine vorzeitige Schuldenrückzahlung), müssen diese Fakten vom übermittelnden Unternehmen an die Auskunftei nachgemeldet werden ( 28a Abs. 3 BDSG). Diese Pflicht besteht so lange, wie die ursprünglichen Daten bei der Auskunftei gespeichert sind. Die Nachmeldung muss jeweils innerhalb eines Monats nach Kenntnis erfolgen. Bankgeschäfte Auch Kreditinstitute geben Daten an Auskunfteien wie Schufa oder Creditreform weiter, etwa Abschlüsse von Darlehensverträgen, Ausgabe von Kreditkarten etc. Dazu bedurfte es bisher der Einwilligung der Betroffenen. Nach dem neuen 28a Abs. 2 BDSG ist dies nicht mehr der Fall, da er eine eigene Rechtsgrundlage enthält. Wenn es um Daten über Vertragsabschlüsse, über die ordnungsgemäße Erfüllung und Beendigung von Verträgen geht, dann genügt es nun, dass der Betroffene auf die geplante Datenübermittlung schon vor dem Vertragsabschluss mit dem Kreditinstitut aufmerksam gemacht wird und der Betroffene kein höherwertiges schutzwürdiges Interesse an der Nicht-Übermittlung besitzt. Zu beachten ist, dass die Tatsache bloßer Konditionenanfragen, die nur der Marktübersicht dienen (also die Einholung eines Angebots, nur um die konkreten Zinsen zu erfragen), generell nicht mehr an Auskunfteien übermittelt werden dürfen. Auch hier besteht für die Kreditinstitute eine Pflicht zur Nachmeldung, wenn nachträglich Tatsachen bekannt werden ( 28a Abs. 3 BDSG). Außerdem kann der Betroffene verlangen, dass nach Vertragsbeendigung alle diesbezüglichen Daten gelöscht werden ( 35 Abs. 2 Satz 3). Unternehmen, die Scoringwerte für Geschäftsentscheidungen einsetzen Unternehmen, die Scoringwerte für den eigenen oder fremden Bedarf berechnen Wenn automatisiert berechnet wird, ob ein Kunde kreditwürdig ist, gelten nun erstmals spezielle datenschutzrechtliche Vorschriften ( 28b BDSG). Diese regeln die Verwendung von Grunddaten und die Information der Betroffenen. Scoringverfahren sollen für die Betroffenen transparenter werden. Insbesondere erhalten sie das Recht, einmal jährlich eine kostenlose Auskunft anzufordern. Das Unternehmen muss jedoch nicht das exakte Berechnungsverfahren offenlegen. Was ist "Scoring"? Scoringverfahren sind mathematisch-statistische Wahrscheinlichkeitsberechnungen, die ein bestimmtes zukünftiges Verhalten von Betroffenen vorhersagen sollen. Meistens Seite 3

4 geht es um die Frage, ob ein Betroffener eine Forderung begleichen kann und will. Bisher gab es für die Zulässigkeit solcher Verfahren keine speziellen Vorschriften. Nun sind die Einschränkungen des neu eingeführten 28b BDSG zu beachten. Wann sind die neuen Regeln anwendbar? Die neuen Vorschriften über Scoring sind jedoch nur dann anwendbar, wenn der Scorewert für die Entscheidung herangezogen werden soll, ob mit dem Betroffenen überhaupt ein Vertrag abgeschlossen wird, es um die Vorhersage eines zukünftigen, selbstbestimmten Verhaltens geht (deshalb ist die Vorschrift nicht anwendbar bei Lebensversicherungen, Krankenversicherungen oder Versicherungen gegen Kfz-Diebstahl, da es hier nicht um ein Verhalten geht, sondern um die Absicherung von Risiken und höherer Gewalt). In allen anderen Fällen gelten die allgemeinen Regeln, die auch bisher anwendbar waren, unverändert weiter. Was sagen die neuen Regeln aus? Nach der neuen Vorschrift darf ein Wahrscheinlichkeitswert für ein Verhalten nur noch dann erhoben oder verwendet werden, wenn diese vier Kriterien beachtet werden: Erheblichkeit der Daten: Die verwendeten Einzeldaten müssen erheblich sein, um den gewünschten Scoringwert berechnen zu können (Beispiel: Die Haarfarbe hat keinen Einfluss auf die Kreditwürdigkeit und ist daher nicht erheblich für die Berechnung). Welche Daten als erheblich angesehen werden, ist zu dokumentieren. Rechtmäßige Herkunft der Daten: Die verwendeten Einzeldaten müssen rechtmäßig gewonnen worden sein und müssen rechtmäßig verwendet werden dürfen nach den allgemeinen Vorschriften der 28 oder 29 BDSG. Nicht ausschließlich Adressdaten: Für die Berechnung eines Wahrscheinlichkeitswerts müssen neben den Adressdaten auch weitere Daten hinzugezogen werden. Das bloße Wohnen in einer "schlechten Gegend" allein darf keine Rückschlüsse zulassen. Unterrichtung bei Verwendung von Adressdaten: Wenn die Anschrift des Betroffenen in die Berechnung mit einfließt, dann ist er darüber vorher zu unterrichten. Dies darf beispielsweise auch in Allgemeinen Geschäftsbedingungen erfolgen. Die Unterrichtung ist zu dokumentieren. Welche Auskunftsrechte haben Betroffene? Den Betroffenen werden weitreichende Rechte auf Information eingeräumt. Damit trägt der Gesetzgeber den öffentlichen Diskussionen und Medienberichten der letzten Monate Rechnung. Auskunft geben muss sowohl die Stelle, welche Scoringwerte verwendet (vgl. 34 Abs. 2, also z. B. der Online-Händler) als auch die Stelle, welche Scoringwerte berechnet und anderen Stellen anbietet (vgl. 34 Abs. 4, z. B. Schufa). Der Betroffene darf dort insbesondere erfragen, die Wahrscheinlichkeitswerte, die dort in den letzten Monaten erhoben oder erstmals gespeichert wurden, an wen diese Werte gegebenenfalls übermittelt wurden, Seite 4

5 5. Automatisierte Abrufverfahren: Prüfung der Berechtigung 6. Geschätzte Daten: Kennzeichnungspflicht 7. Gesetzliche Prüffrist für Datenlöschung: verkürzt welche Datenarten zur Berechnung genutzt wurden (beispielsweise "Einkommen", "verfügbares Einkommen", "Beruf"), wie der Scorewert zustande kommt und was er im Einzelfall bedeutet (beispielsweise welcher Punktwert als "gut" oder "schlecht" anzusehen ist). Die mathematische Berechnung muss jedoch nicht offenbart werden. Die Auskunft ist in der Regel schriftlich zu erteilen (wobei hier auch eine Auskunft per zulässig ist). Zudem muss sie kostenlos erfolgen. Eine Ausnahme gilt für Auskünfte bei der Schufa und anderen Stellen, die Daten geschäftsmäßig zum Zweck der Übermittlung speichern: Hier ist nur die erste Auskunft pro Kalenderjahr kostenfrei. Auskunfteien und Adresshändler, die Daten in Form automatisierter Abrufverfahren ( 10 BDSG) anbieten Es wird gesetzlich klargestellt, dass stichprobenhaft geprüft werden muss, ob ein berechtigtes Interesse für den Abruf vorliegt. Die betreffenden Unternehmen müssen sicherstellen, dass die Prüfungen vorgenommen werden können und tatsächlich regelmäßig durchgeführt werden. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt nach wie vor der Abrufende. Neu ist jedoch nach 29 Abs. 2 Satz 5 BDSG, dass eine geschäftsmäßig speichernde Stelle (Auskunftei oder Adresshändler) nicht nur stichprobenhaft die Abrufe von Dritten zu kontrollieren hat, sondern dabei auch das Vorliegen des berechtigten Interesses einzelfallbezogen feststellen und überprüfen muss. Unternehmen, die nicht nur "harte Fakten", sondern auch geschätzte personenbezogene Daten speichern, verarbeiten oder nutzen Sofern Schätzdaten vorliegen, muss ersichtlich sein, dass es sich nicht um Fakten handelt ( 35 Abs. 1 Satz 2 BDSG). Dies kann beispielsweise durch ein zusätzliches Feld in Software-Eingabemasken kenntlich gemacht werden. Der Betroffene soll dadurch geschützt werden, weil so keine Vermutungen über ihn als Fakten verbreitet werden können. Auskunfteien und Adresshändler, die Daten geschäftsmäßig zum Zweck der Übermittlung verarbeiten Daten über Sachverhalte, die erledigt sind, müssen bereits nach drei Jahren routinemäßig gelöscht werden, sofern der Betroffene nicht widerspricht. Es ist eine weitere Prüfroutine einzurichten, nach der die genannten Daten gelöscht werden müssen. Personenbezogene Daten, die geschäftsmäßig zum Zweck der Übermittlung verarbeitet werden, sind regelmäßig dahingehend zu überprüfen, ob sie noch benötigt werden oder gelöscht werden können. So eine Prüfung musste und muss auch weiterhin am Ende des vierten Kalenderjahres nach ihrer Speicherung erfolgen. Seite 5

6 Zukünftig ist eine weitere Prüfung erforderlich: Demnach müssen nicht mehr benötigte Daten bereits nach drei Jahren gelöscht werden, wenn sie Angaben über abgeschlossene Sachverhalte enthalten und wenn der Betroffene der Löschung nicht widerspricht ( 35 Abs. 2 Satz 2 Nr. 4). Seite 6