Datenschutz und Scoring: Grundelemente der BDSG-Novelle I

Von Univ.-Prof. Dr. Thomas Hoeren, Münster*

Die Frage des Scorings steht seit vielen Jahren im Mittelpunkt einer erbitterten Kontroverse zwischen Verbraucher- und Datenschützern auf der einen und der Finanzindustrie auf der anderen Seite. Die Kreditwirtschaft weist darauf hin, dass ohne eine Bewertung von Kreditanfragen, etwa mittels der SCHUFA, eine Kreditvergabe in vielen Fällen gar nicht möglich wäre. In der Tat ist der Einsatz von Scoringverfahren seit vielen Jahrzehnten gängiger Bestandteil des Kreditentscheidungsprozesses. Letztlich beruhen viele Finanzentscheidungen auf Durchschnitts- und Wahrscheinlichkeitswerten über das Verhalten des Kreditnehmers. Die Daten- und Verbraucherschützer halten dem entgegen, dass es in einer immer anonymer werdenden Geschäftswelt zunehmend Betroffene geben wird, die die Entscheidungen der Kreditindustrie nicht oder nur schwer nachvollziehen können. Dies gelte insbesondere für die von Auskunfteien erteilten Auskünfte über ihre Daten sowie für die verwendeten Scoringverfahren einschließlich der zugrunde liegenden mathematischen Grundlagen. Die Bundesregierung hat sich deshalb schon 2007 entsprechender Neuregelungen angenommen. Am 29.05.2009 hat der Bundestag mit der Novelle I die Tätigkeit von Auskunfteien und ihrer Vertragspartner sowie das Scoring neu geregelt. Im Folgenden sollen die zentralen Regelungen dieses neuen Gesetzes vorgestellt werden.

A. Die Neuregelungen im Einzelnen

I. Automatisierte Entscheidungen in § 6a BDSG

Nach § 6a BDSG a. F. waren Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich zogen oder ihn erheblich beeinträchtigten und die sich ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten stützten, verboten, so lange nicht eine der Ausnahmen des Abs. 2 vorlag. Mit der entsprechenden Regelung wurde Art.15 der EU-Datenschutzrichtlinie8umgesetzt. Hintergrund war das französische und niederländische Asylrecht; in beiden Ländern kam es in der Vergangenheit häufiger zur Ablehnung von Asylanträgen aufgrund computergestützter Entscheidungen. Dies galt in Brüssel als verfassungsrechtliches Menschenrechtsproblem. Eine Anwendung dieser Regelungen auf den Scoring-Bereich war allerdings problematisch, da § 6a BDSG a.F. nur für den Fall der ausschließlichen Stützung einer Entscheidung auf EDV zur Anwendung kam. Kreditentscheidungen werden aber niemals allein auf Computerentscheidungen beruhen, sodass § 6a BDSG a. F. das Scoring nicht erfasste. Anderes galt allenfalls für den Bereich der Telekommunikationsindustrie; hier war der Entscheidungsprozess im Wesentlichen durch die Verwendung von Scoring-Systemen vorgezeichnet. Die entsprechenden Unsicherheiten hat der Gesetzgeber durch eine Neufassung von § 6a BDSG beseitigt. Eine ausschließlich automatisierte Entscheidung soll nach § 6a Abs. 1 Satz 2 BDSG insbesondere dann vorliegen, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Durch diese Neuregelung sollte klargestellt werden, dass die Vorgaben des § 6a BDSG nicht dadurch ausgehebelt werden, dass dem automatisierten Datenverarbeitungsvorgang „noch eine mehr oder minder formale Bearbeitung durch einen Menschen nachgeschaltet [ist], dieser Mensch aber gar keine Befugnis oder ausreichende Datengrundlage besitzt, um von der automatisierten Entscheidung abweichen zu können.“

Hier klaffen Begründung und Gesetzestext auseinander. Der Gesetzestext fragt nur danach, ob noch eine inhaltliche Bewertung und eine darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Die Begründung sanktioniert eine „mehr oder minder formale Bearbeitung durch einen Menschen“. Eine solche „formale Bearbeitung“ soll dann vorliegen, wenn „dieser Mensch aber gar keine Befugnis oder ausreichende Datengrundlage besitzt“. Nun verfügen in Entscheidungsprozessen viele Entscheider nicht über ausreichende Datengrundlagen für ihre Entscheidungen. Ob eine Datengrundlage ausreichend ist, kann ohnehin regelmäßig nur ex tunc bestätigt werden. Der Hinweis auf die „mehr oder minder formale Bearbeitung“ trägt auch nicht zur Klärung bei, da jedweder Entscheidungsprozess in einem größeren Unternehmen „mehr oder minder formal“ gestaltet ist. Das Gesetz bringt hier eine fatale Unschärfe in die Diskussion, unter der die Planungssicherheit der Industrie leiden wird.

II. Zulässigkeit der Datenübermittlung an Auskunfteien nach §28a Abs. 1 BDSG

Erstaunlich ist der Regelungsansatz des neuen BDSG zur Zulässigkeit von Scoring. Scoring wird im Kern nicht als Problem der Auskunfteien angesehen, sondern als Problem derjenigen, die Daten in ein Scoring-System einmelden. Insofern konzentriert sich die Novellierung auf die Kreditindustrie selbst und nimmt sie mit verschärften Anforderungen für die Weitergabe scoringrelevanter Daten in Anspruch. Geschaffen wurde hierzu eine Neuregelung in § 28a BDSG über die Datenübermittlung an Auskunfteien, die hinsichtlich ihrer Prüfungsvoraussetzungen extrem kompliziert ist.

1. Berechtigtes Interesse

Erlaubt ist die Übermittlung personenbezogener Daten zunächst einmal nur, wenn ein berechtigtes Interesse der verantwortlichen Stelle oder eines Dritten eine solche Übermittlung erforderlich macht. Das Wort „nur“ impliziert, dass im Kern jedwede Datenweitergabe an Auskunfteien verboten ist (Verbot mit Erlaubnisvorbehalt). § 28a BDSG erweist sich insofern als Sonderfall neben § 28 Abs. 1 Satz 1 Nr. 2 BDSG, der allgemein eine Datenübermittlung nach einer Güterabwägung zwischen den berechtigten Interessen der verantwortlichen Stelle und den Schutzinteressen des Betroffenen ermöglicht. Fraglich ist, ob für die Kreditindustrie neben § 28a BDSG auch noch die allgemeine Regelung des § 28 Abs.1 Satz 1 Nr. 2 BDSG zur Anwendung kommen kann. Dies wird man m. E. nicht annehmen können. § 28a BDSG versteht sich als abschließende Sonderregelung für den Bereich der Übermittlung an Auskunfteien. Insofern ist eine Datenweitergabe in diesem Bereich nur nach Maßgabe von § 28a BDSG möglich. Allerdings wird die Kreditindustrie dahin gehend privilegiert, dass nach § 28a BDSG die schutzwürdigen Interessen des Betroffenen nicht mehr zu prüfen sind. Stattdessen werden weitere Prüfungsvoraussetzungen in den Nrn. 1–5 eingeführt, die den Verweis auf die schutzwürdigen Interessen des Betroffenen ersetzen sollen.

2. Nichterbringung der geschuldeten Leistung

Eine Datenübermittlung ist nur zulässig, wenn eine geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist. Nur für diesen Fall ist § 28a BDSG überhaupt konzipiert worden. Geht es um die Übermittlung anderer Daten an Auskunfteien, die nicht mit der Nichterbringung der geschuldeten Leistung in Beziehung stehen, kann allgemein auf § 28 BDSG abgestellt werden. § 28a BDSG ist nur eine Sonderregelung für den Fall der Übermittlung von Daten säumiger Schuldner. Dementsprechend spricht die Gesetzesbegründung davon, dass durch die Regelung in § 28a BDSG „einheitliche Voraussetzungen für die Übermittlung von Daten über Forderungen an Auskunfteien“ geschaffen würden, „soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist“. Die neue Regelung soll in dem Fall des säumigen Schuldners, an den derzeit in der Praxis unterschiedliche Anforderungen gestellt werden, Rechtsicherheit schaffen.

3. Die zusätzlichen Prüfungsanforderungen nach Nrn. 1–5

In den Nrn. 1–5 von § 28a Abs. 1 BDSG werden nun die einzelnen Prüfungskategorien erläutert, die verhindern sollen, dass schutzwürdige Interessen des Betroffenen durch eine unkontrollierte Datenweitergabe bei säumigen Schuldnern eintreten. Die genannten fünf Punkte sind alternativ zu verstehen, wie sich an dem „oder“ vor Ziff. 5 zeigt. Eingemeldet werden dürfen säumige Forderungen nur dann, wenn sie durch ein rechtskräftiges oder für vorläufig vollstreckbares Urteil festgestellt sind (Nr. 1, 1. Alt.). Auch reicht ein sonstiger Schuldtitel nach § 794 ZPO aus (Nr. 1, 2. Alt.). Hier sind vor allem die Vollstreckungsbescheide (§ 794 Abs. 1 Nr. 4 ZPO) sowie Vergleiche (§ 794 Abs. 1 Satz 1 Nr. 1 ZPO) wichtig.

Nach § 28a Abs. 1 Satz 1 Nr. 2 BDSG reicht als Titel aber auch aus, wenn die Forderung nach § 178 InsO festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist. Nicht ganz klar ist, warum allein auf das Bestreiten im Prüfungstermin abgestellt wird. Eine Forderung gilt ja nach § 178 Abs. 1 Satz 1 InsO als festgestellt, wenn sie im Prüfungstermin oder im schriftlichen Verfahren widerspruchslos geblieben ist. Insofern muss ein Bestreiten des Schuldners im schriftlichen Verfahren auch ausreichen. Gleiches soll für die Fälle gelten, in denen der Betroffene die Forderung ausdrücklich anerkannt hat (Nr. 3). Der Begriff der Anerkenntnis ist dem Zivilrecht eigentlich fremd. Er kommt aus dem Zivilprozessrecht, insbesondere aus § 307 ZPO. Er bezieht sich regelmäßig auf den prozessualen Anspruch und führt zum Anerkenntnisurteil. Eine Anerkenntnis in Bezug auf materielle Ansprüche gibt es nicht. Das Zivilrecht kennt nur das Instrument der Schuldanerkenntnis nach § 781 BGB.19Anders als bei § 28a BDSG ist ein solches Schuldanerkenntnis jedoch nur schriftlich möglich; im Übrigen bezieht sich § 781 BGB nur auf das abstrakte Schuldanerkenntnis. Mit dem Begriff der Anerkenntnis kann in § 28a BDSG demnach nur ein einseitiges Schuldanerkenntnis gemeint sein, das als nicht rechtsgeschäftliche Erklärung des Schuldners den Gläubiger von sofortigen Maßnahmen wie etwa der Beweissicherung abhalten soll. Insofern kann man diesen Fall einer Forderungsbestätigung einer Abrechnungserklärung gleichstellen. Allerdings sieht die Gesetzesbegründung den Anwendungsbereich anders. § 28a Abs. 1 Satz 1 Nr. 3 soll nicht den Fall regeln, in dem der Schuldner die Forderung zwar anerkannt hat, sie aber – z.B. wegen Aufrechnung – nicht begleicht. Alle Einwände oder Einreden gegen die Forderung führen dazu, dass nicht von einem Anerkenntnis i. S. v. § 28a Abs. 1 Nr. 3 BDSG ausgegangen werden kann.

Kompliziert wird die Lage, wenn eine nicht rechtskräftig festgestellte und nicht ausdrücklich anerkannte Forderung an Auskunfteien mitgeteilt werden soll. In diesem Fall kommt § 28a Abs. 1 Nr. 4 BDSG zum Tragen. Bei einer solchen Forderung muss der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zwei Mal schriftlich gemahnt worden sein (lit. a). Zwischen der ersten Mahnung und der Übermittlung der Forderung müssen mindestens vier Wochen liegen (lit. b). Die verantwortliche Stelle muss dem Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet haben (lit. c) und der Betroffene darf die Forderung nicht bestritten haben (lit. d). Die Erfüllung all dieser Anforderungen birgt für die Kreditindustrie erhebliche Probleme, denn das BGB sieht ein anderes Szenario für fällige Forderungen vor. So bedarf es typischerweise überhaupt keiner Mahnung, wenn die Leistung kalendermäßig bestimmt ist (§ 286 Abs. 2 Nr. 1 BGB). Nun muss die Bank trotz dieser Regelung im BGB wegen der BDSG-Vorgaben zwei Mal schriftlich mahnen. Auch das Erfordernis der Schriftform der Mahnung ist neu. Der Gesetzgeber will zwischen den Verzugsregeln und dem BDSG jedoch keinen Widerspruch erkennen. Seien die Voraussetzungen für einen Verzug nach BGB erfüllt, müsse der Schuldner eine Geldschuld verzinsen und entsprechende Schäden erstatten. Der Verzug sei aber kein Indiz für die Zahlungsunfähigkeit oder Unwilligkeit des Schuldners und damit datenschutzrechtlich für die Zulässigkeit der Einmeldung offener Forderungen.

Schwierig wird es auch mit dem Erfordernis der rechtzeitigen Unterrichtung von der geplanten Datenübermittlung nach lit. c). Rechtzeitig soll eine Unterrichtung nach der Gesetzesbegründung nur dann sein, wenn dem Betroffenen noch die Möglichkeit verbleibt, in zumutbarer Weise die Forderung zu begleichen, oder ihr Bestehen zu bestreiten. Neben diese Unterrichtungspflicht treten die Informationspflichten des §4 Abs. 3 BDSG, wonach der Betroffene bei erstmaliger Erhebung der Daten über die Zweckbestimmung der Verarbeitung unterrichtet werden muss. Das größte Problem zeigt sich bei dem Erfordernis des § 28a Abs. 1 S. 1 Nr. 4 d) BDSG, dass die Forderung nicht vom Betroffenen bestritten wird. § 28a BDSG kommt ohnehin nur zum Tragen, wenn eine bestehende Forderung trotz Fälligkeit nicht bezahlt wird. Fraglich ist, wieso der Betroffene überhaupt durch bloßes Bestreiten die Übermittlung an Auskunfteien unmöglich machen soll. Die Regelung ist schon fast eine Aufforderung an die Betroffenen, Forderungen pauschal zu bestreiten, um damit einer Meldung der entsprechenden Säumnis zu entgehen. In der Gesetzesbegründung wird nur sehr schwach in einem Satz darauf hingewiesen, dass treuwidriges Bestreiten einer Forderung durch den Betroffenen der Übermittlung an eine Auskunftei nicht entgegenstehe. Insofern hat es die Bank wiederum in der Hand, über das Element der Treuwidrigkeit eine Datenübermittlung unmöglich zu machen. Erst ex-post in einem Folgeprozess ließe sich dann klären, ob überhaupt eine Treuwidrigkeit vorliegt, oder umgekehrt das Bestreiten der Forderung zulässig war.

Nach Nr. 5, und damit der letzten Variante, kann eine Forderung auch dann angemeldet werden, wenn das Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und eine entsprechende Unterrichtung an den Betroffenen erfolgt. Entscheidend ist nicht die Kündigungserklärung selbst, sondern nur das Bestehen von Kündigungsgründen, insbesondere nach Maßgabe von § 626 BGB bzw. § 314 BGB. Auch hier stellt sich die Frage nach der Entscheidungsperspektive zur Feststellung einer objektiven Kündigungsmöglichkeit. Stellt man auf eine ex-tunc-Betrachtung ab, würde man dem Kreditinstitut das volle Darlegungs- und Beweisrisiko für die Richtigkeit einer Kündigungsmöglichkeit zuweisen. Dies kann aber nur in einem komplexen zivilrechtlichen Verfahren geklärt werden, was dafür spricht, auf eine ex-nunc-Betrachtung abzustellen. Die Sach- und Rechtslage muss sich für das Kreditinstitut so darstellen, dass aus seiner Perspektive ein entsprechender Kündigungsgrund vorgelegen hat. Entscheidend ist dabei nicht, ob wirklich ein Kündigungsgrund bestand, sondern dass die Bank ihre Entscheidungslage dem Betroffenen kommuniziert. Dieser muss nur darüber informiert werden, dass die Bank nach ihrer Kenntnis der Sachlage von dem Vorliegen eines wichtigen Grundes zur Kündigung des entsprechenden Vertragsverhältnisses ausgehen musste und durfte.

III. Sondertatbestände für Kreditgeschäfte nach § 28a Abs. 2 BDSG

Galten die Regelungen des § 28a Abs. 1 BDSG für alle Unternehmen, gibt es in Abs. 2 besondere Erlaubnistatbestände für Kreditgeschäfte. Der Begriff der Bankgeschäfte wird allerdings sehr eng verstanden und mit der Terminologie des Kreditwesengesetzes (KWG) verknüpft. Die Regelung bezieht sich nur auf Bankgeschäfte nach § 1 Abs. 1 Satz 2 Nr. 2 (Kreditgeschäft), Nr. 8 (Garantiegeschäft) oder Nr. 9 (Girogeschäft) des KWG. Hier wird den Banken zunächst einmal deutlich großzügiger eine Übermittlung aus Auskunfteien ermöglicht, es sei denn, dass überwiegende schutzwürdige Interessen des Betroffenen offensichtlich vorliegen. Die Formulierung „es sei denn“ ist eine Verschiebung der Darlegungs- und Beweislast. Mangels entgegenstehender Anhaltspunkte ist von einem überwiegenden Interesse am Ausschluss der Übermittlung zugunsten des Betroffenen nicht auszugehen. Dieser muss vielmehr selbst substanziieren und rechtlich nachweisen, dass entsprechende überwiegende Schutzinteressen vorliegen. Auch hier klaffen Gesetzesbegründung und Gesetzestext weit auseinander. § 28a Abs. 2 BDSG tritt nach dem Wortlaut des Gesetzes neben § 4 BDSG. Eine Bank kann somit die Weitergabe von Kreditdaten sowohl auf die Einwilligung des Betroffenen nach § 4 BDSG, als auch auf eine gesetzliche Erlaubnis nach § 28a Abs. 2 BDSG, als stützen. In der Gesetzesbegründung wird allerdings darauf hingewiesen, dass es regelmäßig zweifelhaft sei, ob die im Bankengeschäft typischen Einwilligungserklärungen der Kunden noch als freiwillig anzusehen sind, deshalb trete der neue Erlaubnistatbestand an die Stelle der Einwilligungserklärung. Der Ausschluss der Einwilligungsmöglichkeit steht allerdings nicht im Gesetz. Ganz im Gegenteil wird nur in einem besonderen und näher konkretisierten Fall die Möglichkeit einer Einwilligung ausgeschlossen (s. § 28a Abs. 2 Satz 4 BDSG). Vorrang hat hier m.E. der Gesetzeswortlaut, sodass natürlich neben § 28a BDSG weiterhin die Einwilligungsmöglichkeit bestehen bleibt.

Eine Einwilligung soll im Übrigen laut der Gesetzesbegründung nur noch dann möglich sein, wenn es um die Übermittlung von nichtvertragsbezogenen Daten durch Kreditinstitute oder um die Nutzung von Daten durch verantwortliche Stellen geht, die nicht Kreditinstitute sind. Denkt man diesen Gedanken des Gesetzgebers zu Ende, würde es zu fatalen Folgen bei der Auslegung des Gesetzes kommen. Beispielsweise soll nach § 28a Abs. 2 Satz 3 BDSG die genannte Regelung nicht für Giro-Verträge ohne Überziehungsmöglichkeit gelten. Würde aber das Gesetz insoweit nicht zum Tragen kommen, bliebe es auch bei dem Ausschluss der Einwilligungsmöglichkeit. Das hieße, dass man bei Konten ohne Überziehungsmöglichkeit letztlich keine Daten über den Betroffenen, noch nicht einmal mit dessen Einwilligung, speichern dürfte. Dies kann nicht richtig sein. Allerdings scheint der Gesetzgeber in der Begründung des Gesetzes diesen Rückschluss anzunehmen, denn er geht davon aus, dass bei einem bloßen Guthabenkonto das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung das berechtigte Interesse der verantwortlichen Stelle regelmäßig übersteigt. Auf die Frage der bestehenden Einwilligungsmöglichkeit geht die Gesetzesbegründung allerdings nicht ein. Der Gesetzgeber sieht noch weitere Probleme in der Einwilligung, wie § 28a Abs. 2 Satz 4 BDSG erkennen lässt. Hiernach soll es sogar mit Einwilligung des Betroffenen unzulässig sein, Daten über Verhaltensweisen des Betroffenen zu übermitteln, die im Rahmen eines vorvertraglichen Vertrauensverhältnis-ses der Herstellung von Markttransparenz dienen. Gemeint sind hier Vorfälle aus den letzten Jahren, bei denen Anfragen von Betroffenen nach Kreditkonditionen bei Auskunfteien angemeldet und von diesen negativ bei der Scorewertberechnung berücksichtigt worden waren. Auch hier weicht die Gesetzesbegründung wiederum vom Gesetzeswortlaut ab. Denn nach der Gesetzesbegründung soll es weiterhin zulässig sein, die Anfragedaten an Auskunfteien zu übermitteln, um aufgrund der Kreditkonditionsanfrage des Kunden eine individuelle Auskunft erteilen zu können. Es fehle hier an einer zukünftigen Übermittlung nach § 29 Abs. 2 BDSG. Unberührt bleiben soll auch – wie der Gesetzgeber in völlig unverständlichem Deutsch schreibt – „die Zulässigkeit von Übermittlungen von Angaben zur Glaubhaftmachung eines berechtigten Interesses am Abruf von Daten aus dem Auskunftsbestand einer Auskunftei“. Erstaunlich ist, dass trotz ausdrücklicher Einwilligung des Betroffenen eine Übermittlung unzulässig sein soll. Hier verabschiedet sich der Gesetzgeber zum allerersten Mal vom Leitbild der Privatautonomie des Betroffenen. Wenn jemand mit voller Einsichtsfähigkeit seine Einwilligung zu einer entsprechenden Datenübermittlung gibt, musste dies bislang verfassungsrechtlich respektiert werden, da insoweit der Grundsatz der Privatautonomie gilt. Nun stellt sich der Staat vor den Bürger – in dessen „wohlverstandenem Interesse“. M.E. bestehen erhebliche Bedenken hinsichtlich der Verfassungsmäßigkeit einer solchen Regelung. Es hätte genügt, den Betroffenen dadurch zu schützen, dass noch einmal auf die Problematik der Einwilligung in solch weitreichende Datenübermittlungsvorgänge durch AGB hingewiesen worden wäre.

Im Übrigen ist die Formulierung des § 28a Abs. 2 BDSG hinsichtlich der umfassten Daten weit. Es sind alle das Vertragsverhältnis beschreibende Daten eingeschlossen, d.h. alle personenbezogenen Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses. Die Gesetzesbegründung weicht hier wiederum vom Wortlaut des Gesetzes ab, indem sie „inhaltliche Daten aus dem Vertrag (z.B. Einkommensangaben des Betroffenen)“ aus dem Anwendungsbereich der Vorschrift herausziehen möchte.

Schwierigkeiten bei der Auslegung bereitet auch § 28a Abs. 3 BDSG, wonach nachträgliche Änderungen der übermittelten Tatsache binnen eines Monats nach Kenntniserlangung durch die verantwortliche Stelle der Auskunftei mitzuteilen sind. Die Frage stellt sich, welche Bedeutung die Vorschrift hat und wie sie sanktioniert wird. Es handelt sich auf keinen Fall um eine Zulässigkeitsvorschrift, sodass ein Verstoß gegen die Regelung die Übermittlung als solche nicht unzulässig machen kann. Allerdings ist die Vorschrift nach § 43 Abs. 1 Nr. 4a BDSG bußgeldbewährt. Sanktioniert wird hiernach eine nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig gemachte Mitteilung. Dies dürfte betroffene Unternehmen sehr irritieren. Allerdings wird für die Frist auf den Moment der Kenntniserlangung abgestellt. Es handelt sich hierbei um einen subjektiven und internen Faktor, dessen Konturierung nur das Unternehmen selbst vornehmen kann. Fraglich ist ferner, was mit nachträglichen Änderungen der Tatsachen gemeint ist. Diesbezüglich fehlt eine Wesentlichkeitsschwelle, sodass auch unerhebliche und rein formale Änderungen mitzuteilen wären (z.B. Tippfehler bei der Straße, in der der Betroffene wohnt). § 28a Abs. 3 Satz 2 BDSG verlangt für alle, dass die Auskunftei die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten unterrichtet. Auch dies ist rätselhaft. Offensichtlich geht der Gesetzgeber davon aus, dass nach entsprechenden Änderungen die ursprünglichen Daten sofort zu löschen seien. Dies ist insoweit bedenklich, als man der Auskunftei auch gestatten muss, nach Überprüfung ihrer Datensätze die geänderten und die alten Tatbestände für eine gewisse Zeit nebeneinander vorrätig zu halten. Im Übrigen ist diese Unterrichtungspflicht nicht bußgeldsanktioniert; § 43 Abs. 1 Nr. 4a BDSG spricht insofern nur von einer Sanktion bei fehlenden Mitteilungen, nicht bei der Unterrichtung der Auskunftei.

IV. Scoring als solches nach § 28b BDSG

§ 28b BDSG regelt das Scoring als solches. Scoring wird weit definiert. Das Gesetz spricht von einem „Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen“. Damit ist nicht nur das IT-gestützte Scoring verboten, sondern auch die Verwendung von Prognosen vor allem in der Kreditindustrie. Wenn zum Beispiel ein Mitarbeiter einer kleinen Volksbank aufgrund von internem Wissen Prognosen über das Verhalten eines Kunden macht (der beispielsweise an einer „guten Adresse“ wohnt, oder aufgrund seines ehrenamtlichen Engagements als zuverlässig bekannt ist), ist ihm nunmehr die Verwendung solchen Wissens verwehrt.

Der Wahrscheinlichkeitswert muss sich auf ein zukünftiges Verhalten des Betroffenen beziehen. Nach der Gesetzesbegründung ist damit das Scoring von Ereignissen, die auf höhere Gewalt und Fremdeinwirkung zurückgehen, kein Scoring im Sinne von § 28b BDSG. Der Versicherungsindustrie ist es im Rahmen dessen zum Beispiel möglich, Tarifierungssysteme von Lebens- oder Krankenversicherungen auf der Basis tatsächlicher Erkrankungsfälle zu berechnen.

Der entsprechende Score-Wert muss für die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen verwendet werden. Eine allgemeine Betrachtung von Kundendaten etwa im Rahmen von Data Mining ist als solches also noch kein Gegenstand für das Scoring-Verbot des § 28b BDSG.

Die Vorschrift ist als Verbot konzipiert. Die Verwendung von Scoring-Werten ist nur zulässig, wenn bestimmte Bedingungen eingehalten werden. Auch wenn das Wort „nur“ fehlt, geht der Gesetzgeber damit von einem Verbot mit Erlaubnisvorbehalt aus. Erstaunlich ist auch, dass das Gesetz das Verbot nicht auf die klassischen Datenverarbeitungsvorgänge aus § 3 Abs. 2 BDSG bezieht, d.h. auf die Erhebung, Verarbeitung oder Nutzung, sondern stattdessen von Erhebung und Verwendung spricht. Hier zeigt sich, mit welcher heißen Nadel das Gesetz gestrickt worden ist.

§ 28b Nr. 1 BDSG erlaubt das Scoring nur, wenn die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind (§ 28b Nr. 1 BDSG). Fraglich ist auch hier, ob auf eine ex-ante- oder ex-post-Betrachtung abzustellen ist. Die Formulierung spricht eher dafür, dass die Erheblichkeit der Daten ex-post mathematisch-statistisch nachweisbar ist. Im Falle des einfachen Sachbearbeiters einer kleinen Volksbank, der zum Beispiel das ehrenamtliche Engagement eines Kunden in die Frage der Gewährung eines Kredits einfließen lassen will, wäre dies unzulässig, da es kein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren geben dürfte, das den Nachweis einer Verbindung zwischen dem Datum und der Wahrscheinlichkeit eines bestimmten Verhaltens erbringt. Selbst wenn es einen solchen Zusammenhang aber gäbe, müsste der Sachbearbeiter nunmehr nachweisen, dass dieser tatsächlich nach wissenschaftlichem Standard besteht.

Die Voraussetzung des § 28b Nr. 1 BDSG ist zudem mit einer Dokumentationspflicht der verantwortlichen Stelle verbunden, die nach § 38 BDSG der Aufsichtsbehörde den angeblichen Zusammenhang darlegen und beweisen muss.

Die Zulässigkeit von Scoring setzt ferner voraus, dass im Falle der Berechnung der Wahrscheinlichkeitswerte durch eine Auskunftei die Voraussetzung für eine Übermittlung der genutzten Daten nach § 29 BDSG und in allen anderen Fällen die Voraussetzung einer zulässigen Nutzung nach § 28 BDSG vorliegt (§ 28b Nr. 2 BDSG). Damit verweist die Vorschrift auf die allgemeinen Zulässigkeitsvoraussetzungen in Bezug auf hausinternes Scoring nach § 28 BDSG, im Falle externen Scorings durch Auskunfteien nach § 29 BDSG.

Für die Berechnung der Wahrscheinlichkeitswerte dürfen nicht ausschließlich Anschriftendaten genutzt werden (§ 28b Nr. 3 BDSG). Hier versucht der Gesetzgeber, die Frage der Georeferenzierung von Daten zu regeln. Ursprünglich war diese Regelung weiter gefasst, sodass die Nutzung von Geodaten einzig von einer Unterrichtung des Betroffenen abhängig war. Diese Version ist aber während der parlamentarischen Diskussion entfallen.

Neu ist der sonst im BDSG nicht zu findende Begriff der „Anschriftendaten“. Dieser ist meines Erachtens eng auszulegen. Eine Anschrift besteht aus Straße/Postfach und Wohnort mit Postleitzahl. Nicht umfasst sind Bilder, wie etwa im Falle von Google Streetview. Das Verbot kam in letzter Minute in das Gesetz. Es ist meiner Ansicht nach eng auszulegen. Verboten wird nur die ausschließliche Nutzung von Anschriftendaten. Spielen Anschriftendaten als einer von mehreren Faktoren eine Rolle, gilt das Verbot des Geoscorings nicht. Da Anschriftendaten nur Straße und Wohnort umfassen, sind zum Beispiel keine Projekte verboten, in denen bestimmte Regionen, Stadtteile oder Bezirke erfasst werden.

Dass ansonsten Anschriftendaten durchaus Gegenstand von Scoringverfahren sein dürfen, zeigt § 28 Nr. 4 BDSG. Hiernach ist im Falle der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswertes über die vorgesehene Nutzung der Daten zu unterrichten, wobei die Unterrichtung zu dokumentieren ist. Der Gesetzgeber lässt eine Unterrichtung auch durch AGB zu. Im Übrigen verweist das Gesetz in der Begründung auch darauf, dass die Regelungen des KWG insbesondere zur internen Risikobemessung und die Regelungen des Versicherungsaufsichtsgesetzes unberührt bleiben. Was damit gemeint ist, ist nebulös. Man kann sich hier auf den Standpunkt stellen, dass die Regelungen zum Geoscoring nicht die vorrangigen Pflichten der Banken zur absatzrechtlich geforderten Risikoqualifizierung nach regionalen Faktoren ausschließen.

V. Regelung für Auskunfteien (§ 29 BDSG)

§ 29 BDSG wurde entsprechend der Zielrichtung des neuen Gesetzes, das im Wesentlichen die Banken in Anspruch nimmt und nicht die Auskunftei, weitgehend unangetastet gelassen. Allerdings müssen die Auskunfteien nunmehr nach § 29 Abs. 1 Satz 1 Nr. 3 BDSG für eine Speicherung von Daten die Voraussetzung des § 28a Abs. 1 und Abs. 2 BDSG erfüllen. Nach § 29 Abs. 1 Satz 1 Nr. 3 2. Halbs. BDSG ist ihnen die Erhebung oder Speicherung von Daten, die sich auf Voranfragen zu Krediten beziehen, verwehrt. Erstaunlich ist, dass § 28b BDSG scheinbar ausgenommen ist. Demnach gilt das Scoring-Verbot nur für die Nutzung von Scoring-Daten seitens der verarbeitenden Stelle, nicht aber für Scoring-Aktivitäten der Auskunfteien selbst, sodass die SCHUFA oder andere Wirtschaftsauskunfteien erstaunlicherweise bei der Erhebung und Auswertung von Scoredaten frei sind.

VI. Auskunft an den Betroffenen (§ 34 BDSG)

Geändert wurde auch § 34 BDSG in Bezug auf die Auskunft an die Betroffenen. Nach § 34 Abs. 2 BDSG hat die zur Entscheidung verantwortliche Stelle nach § 28b BDSG den Betroffenen auf Verlangen über verschiedene Score-Informationen Auskunft zu erteilen. Nach § 34 Abs. 2 Satz 1 Nr. 1 BDSG sind zunächst die innerhalb der letzten sechs Monate vor Auskunftsverlangen erhobenen, oder erstmalig gespeicherten Wahrscheinlichkeitswerte mitzuteilen. Weiterhin ist die verantwortliche Stelle zur Auskunft über die zur Berechnung der Wahrscheinlichkeitswerte benutzten Datenarten verpflichtet (§ 34 Abs. 2 Satz 1 Nr. 2 BDSG). Letzteres greift sehr tief in die mit dem Scoring verbundenen Betriebsgeheimnisse ein. Eine Regelung zum Schutz überwiegender Interessen an Geschäftsgeheimnissen findet sich hier allerdings nicht. Dies erstaunt umso mehr, als nach § 34 Satz 2 BDSG a.F. eine Auskunft verlangt werden konnte, sofern nicht das Interesse an der Wahrung des Geschäftsgeheimnisses überwog. Noch schwerwiegender ist die Nichtbeachtung schutzwürdiger Interessen an der Wahrung von Geschäftsgeheimnissen bei § 34 Abs. 2 Satz 1 Nr. 3 BDSG, wonach die scorende Stelle sogar das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemeinverständlicher Form erläutern muss. Der Gesetzgeber gesteht den Scoring-Unternehmen zwar ein überwiegendes Geheimhaltungsinteresse an der Scoreformel zu, sodass diese nach der Gesetzesbegründung nicht selbst zu offenbaren ist. Es müssen aber die der Wahrscheinlichkeitsrechnung zugrunde liegenden Sachverhalte in einer für den Laien verständlichen Form dargelegt werden. Den Betroffenen muss es ermöglicht werden, den der Berechnung zugrunde liegenden Sachverhalt nachzuvollziehen, um mögliche Fehler in der Berechnungsgrundlage aufzudecken. Angesichts der Tatsache, dass ein Gutachten im Auftrag des Verbraucherschutzministeriums feststellte, dass Einträge etwa bei der SCHUFA in 46 % der Fälle auf fehlerhaften Daten beruhen, ist diese Regelung sehr zu begrüßen. Hier wird wiederum deutlich, dass das neue Scoring-Gesetz weniger mit Datenschutz zu tun hat als mit Verbraucherschutzrecht. Es geht hier nicht darum, Persönlichkeitsrechte des Betroffenen gegen eine unzulässige Datenverarbeitung zu sichern. Vielmehr soll sichergestellt werden, dass die richtige Score-Entscheidung getroffen wird. Wichtig erscheint mir, dass der Gesetzgeber durchaus ein Geheimhaltungsinteresse der Unternehmen an Scoreformeln in der Begründung zum Gesetz anerkennt, sodass, trotz des Schweigens des Gesetzes selbst zum Geheimhaltungsinteresse bei der einzelfallbezogenen Auslegung der Vorschrift, das Geheimhaltungsinteresse zu prüfen sein wird. Dies ergibt sich auch aus verfassungsrechtlichen Vorgaben, da eine uneingeschränkte Freigabe der Score-Datenarten und -Formeln massiv in Art. 12 und Art. 14 GG eingreifen würde.

Das Gesetz sieht im Übrigen vor, dass die zur Entscheidung verantwortliche Stelle die entsprechenden Auskunftspflichten trifft. Dies ist ein neuer Begriff, der bislang im Gesetz nicht vorkam. Es dürfte schwierig sein, bei komplexen Vorgängen oder bei einer konzerngesteuerten Kreditvergabe die zur Entscheidung verantwortliche Stelle genau zu bestimmen. Oft sind gerade im Kreditbereich Entscheidungsprozesse komplex strukturiert und über mehrere Unternehmen hinweg gestaffelt. Die Frage ist, wer in einem solchen Fall die zur Entscheidung verantwortliche Stelle ist. Nicht erforderlich ist jedenfalls, dass der ursprüngliche Sachbearbeiter einer Entscheidung die Auskunft erteilt. Ausreichend ist, dass eine Person innerhalb der für die Entscheidung verantwortlichen Stelle zur Auskunftserteilung zur Verfügung steht. Die Auskunfteien sind im Übrigen von der Auskunftspflicht befreit.

Jedoch werden diese in § 34 Abs. 2 Satz 3 BDSG angesprochen und haben bei der Verwendung interner Score-Verfahren die zur Erfüllung der Auskunftsansprüche erforderlichen Angaben auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. Soweit die Auskunftei sogar den Wahrscheinlichkeitswert selbst berechnet, kann das Kreditinstitut nach § 34 Abs. 2 Satz 4 BDSG den Betroffenen an die Auskunftei verweisen, muss ihm dann allerdings Namen und Anschrift der Auskunftei sowie die zur Bezeichnung des Einzelfalls notwendigen Angaben mitteilen. Diese Auskunftspflicht gilt jedoch nur für die Auskunftei, wenn sie den kompletten Wahrscheinlichkeitswert berechnet. Berechnet sie nur Bestandteile des Wahrscheinlichkeitswertes, ist sie nicht im direkten Kontakt mit den Betroffenen auskunftspflichtig. Besteht hingegen eine direkte Auskunftspflicht der Auskunftei, hat sie die entsprechenden Auskunftsansprüche unentgeltlich zu erfüllen. Dies ist erstaunlich, da die eigenen Auskunftspflichten des Kreditinstituts nicht unentgeltlich sind. Insoweit fehlt in § 34 Abs. 2 Satz 1 BDSG ein Verweis auf die Unentgeltlichkeit. Die Auskunftei sollte also, im Gespräch mit den Kreditinstituten, darauf drängen, dass sie bei einer Weiterverweisung des Betroffenen die Kosten der entsprechenden Auskunftserteilung erstattet bekommt.

Neu sind auch die Auskunftspflichten nach § 34 Abs. 4 BDSG. Hiernach sind Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung erheben, speichern oder verändern, hinsichtlich des Scorings ebenfalls auskunftspflichtig. Es stellt sich die Frage, wie sich § 34 Abs. 4 BDSG zur komplexen Regelung des § 34 Abs. 2 BDSG verhält. Letztlich ist § 34 Abs. 2 BDSG überflüssig in Bezug auf die komplexe Regelung der Auskunftspflichten im Verhältnis der zur Entscheidung verantwortlichen Stelle zur jeweiligen Auskunftei. Die Auskunftei sieht sich daher nach § 34 Abs. 4 BDSG stets einem eigenen Auskunftsanspruch des Betroffenen gegenüber. Dieser Auskunftsanspruch ist gegenüber dem in § 34 Abs. 2 BDSG geregelten Anspruch deutlich weiter. Zu übermitteln sind die innerhalb der letzten zwölf Monate gespeicherten Score-Werte einschließlich der Namen und bekannten Anschriften der Dritten, an die die Werte übermittelt worden sind (§ 34 Abs. 4 Satz 1 Nr. 1 BDSG). Ferner bezieht sich die Auskunftspflicht zum einen auf Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens aus dem von der Stelle zur Berechnung angewendeten Verfahren ergeben (§ 34 Abs. 4 Satz 1 Nr. 2 BDSG) und zum anderen auch auf die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten (§ 34 Abs. 4 Satz 1 Nr. 3 BDSG). Das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte sind einzelfallbezogen und nachvollziehbar in allgemeinverständlicher Form zu erläutern (§ 34 Abs. 4 Satz 1 Nr. 4 BDSG). Hinweise auf überwiegende Geheimhaltungsinteressen müssen aber – wie oben gesagt – in die Vorschrift hineingelesen werden.

Eine Befreiung ergibt sich über § 34 Abs. 7 BDSG. Hiernach besteht keine Auskunftserteilungspflicht, wenn der Betroffene nicht nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 BDSG zu benachrichtigen ist. § 33 Abs. 2 Nr. 3 BDSG sieht vor, dass eine Pflicht zur Benachrichtigung nicht besteht, wenn die Daten ihrem Wesen nach, und damit nicht wegen des überwiegenden rechtlichen Interesses eines Dritten, geheim gehalten werden müssen. § 33 Abs. 2 Nr. 7 BDSG schreibt vor, dass eine Benachrichtigungspflicht nicht besteht, wenn diese die Geschäftszwecke der verantwortlichen Stelle erheblich gefährden würde, es sei denn, dass das Interesse an der Benachrichtigung die Gefährdung überwiegt.

Die Auskunft ist im Übrigen unentgeltlich zu erteilen (§ 34 Abs. 8 BDSG). Hier kommen auf die Banken und Auskunfteien erhebliche Kosten zu. Diese werden für die Auskunfteien noch dadurch erhöht, dass nach § 34 Abs. 8 Satz 2 für Anspruchsbetroffene eine unentgeltliche Auskunft einmal pro Kalenderjahr vorgesehen ist. Verlangt der Kunde weitere Auskünfte, kann ein Entgelt verlangt werden, das über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen darf (§ 34 Abs. 8 Satz 3 und 4 BDSG).

Neben der Auskunftserteilung hat der Gesetzgeber den Betroffenen noch andere Rechte gegeben. So kann er nach §35 Abs. 2 Satz 3 BDSG verlangen, dass personenbezogene Daten, die im Rahmen der Prüfung säumiger Forderungen gespeichert werden, nach Beendigung des Vertrages gelöscht werden. Allerdings ist eine Abgrenzung der zu löschenden Daten in der Praxis nicht einfach. Die Kreditinstitute speichern die gleichen Daten einmal nach § 28 a Abs. 2 Satz 1 BDSG wie auch allgemein nach § 28 Abs. 1 Satz 1 Nr. 1 und 2 BDSG ausschließlich auf der Grundlage einer Einwilligung des entsprechenden Bankkunden. Die sofortige Löschungspflicht impliziert jedoch nicht, dass die Kreditinstitute ihre Kundendaten nach Beendigung des Vertrages löschen müssen. Denn der im Gesetz benutzte Begriff der „Beendigung“ des Vertrages ist unjuristisch. Eine Kündigung als solches führt vielmehr noch nicht zu einer Beendigung des Vertrages selbst, sondern nur zu einer Beendigung des Vertrages als Dauerschuldverhältnis. Selbst wenn die Kündigung also innerhalb der Kündigungsfrist erklärt wurde, bestehen noch eine Reihe nachvertraglicher Rechte und Pflichten fort, sodass der Vertrag einen gewissen Fortbestand als einfaches Schuldverhältnis hat.

B. In-Kraft-Treten und Übergangsregelungen

Das Gesetz tritt am 1. April 2010 in Kraft. Den Banken wurde damit eine kürzere Vorlaufzeit als die eigentlich im Regierungsentwurf vorgesehene Frist von einem Jahr gewährt. Dies dient dazu, sich auf die neuen Stimmungen einzustellen, insbesondere die Geschäftsprozesse an die neue Rechtslage anzupassen.

*Der Text gibt einen Vortrag wieder, den der Verfasser auf dem NPL-Forum 2009 in Frankfurt gehalten hat.