23.01.2017

Scoring nach der DSGVO – Anpassungsbedarf für Unternehmen?

Scoring wird für Unternehmen in Zeiten eines von Ungewissheit geprägten marktwirtschaftlichen Umfeld immer wichtiger. Die richtige Bewertung eines Kreditausfallrisikos kann für den Erfolg des Unternehmens entscheidend sein. Der rechtskonforme Umgang mit den hierfür erforderlichen Daten ist daher von hoher Bedeutung. Ist die Bewertung der Kreditwürdigkeit einer natürlichen Person gefragt, müssen die datenschutzrechtlichen Vorgaben beachtet werden. Ausgehend von den aktuellen Bestimmungen stellt die folgende Übersicht dar, welche Neuerungen im Zuge der europäischen Datenschutz-Grundverordnung (DSGVO) zu erwarten sind.

Grundlagen zum Scoring

Für das Scoring hält § 28b des Bundesdatenschutzgesetzes (BDSG) eine Definition bereit: Scoring ist gegeben, wenn ein Wahrscheinlichkeitswert für ein bestimmtes Verhalten des Betroffenen erhoben oder verwendet wird, um in der Folge Entscheidungen darüber zu treffen, ob oder in welcher Weise ein Vertragsverhältnis mit dem Betroffenen zustande kommt.

Das klassische Beispiel hierfür ist die Bildung eines Scores, d. h. eine Bonitätsprüfung, bei der Vergabe von Krediten. Weit gefasst zählen hierzu alle Geschäfte, bei denen ein Geschäftspartner in Vorleistung geht, ohne sofort eine Gegenleistung zu erhalten. Dazu zählen etwa der Banken- und Immobilienkredit ebenso wie der Kauf einer Ware mit Zahlung nach Rechnungslegung. Der Score ergibt sich aus zuvor als relevant definierten Kriterien, die mit Daten zu füllen sind. Exemplarisch hierfür ist die Bewertung durch die Schufa. Mit dem Score wird eine Wahrscheinlichkeit ausgedrückt, ob der Vertragspartner seine Schulden bedienen wird oder kann.

Die hohe Relevanz des Scorings in der Kreditvergabe und im Handel hat insbesondere im Verbraucherrecht Kritik hervorgerufen. Das Zustandekommen eines Scores sei in vielen Fällen für die Betroffenen nicht nachvollziehbar und daher kaum steuerbar. Daten würden ohne explizite Einwilligung für Zwecke der Bewertung des Kreditrisikos verarbeitet. Zudem dürfen Verbraucher dadurch in für sie wichtigen geschäftlichen Angelegenheiten allein von einem automatisierten Entscheidungsprozess abhängig sein. Es könnten hierdurch im Einzelfall unangemessene Entscheidungen zustande kommen, die nicht mehr im Einzelfall durch einen Menschen geprüft werden.

Ein Verbot derartiger Verarbeitungen kommt jedoch aus volkswirtschaftlichen Gründen nicht in Betracht. Die faktenbasierte Einschätzung des Kreditrisikos ist essentieller Bestandteil für eine funktionierende Wirtschaft, da ansonsten weitaus mehr Unternehmen von Kreditausfällen betroffen wären und die Vergabe von Krediten sich aufgrund der Risiken kaum noch lohnen würde.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

Scoring nach dem BDSG

Aufgrund der Bedeutung des Scorings bestehen für Unternehmen Möglichkeiten, ein Scoring nicht allein mit Zustimmung des Betroffenen durchzuführen, sondern auch ohne die Zustimmung eine entsprechende Bewertung vorzunehmen.

Erst 2010 traten im BDSG Regelungen in Kraft, die sich explizit mit dem Scoring befassen.

  • 28a BDSG regelt die Möglichkeit zur Übermittlung von personenbezogenen Daten auch ohne die Zustimmung des Betroffenen an Auskunfteien wie die Schufa. Dies ist gemäß § 28a Abs. 1 BDSG prinzipiell nur dann erlaubt, wenn eine geschuldete Leistung trotz Fälligkeit nicht erbracht wurde und weitere Anforderungen hinzutreten, die sich auf die Berechtigung der Forderung beziehen. Kreditinstitute dürfen gemäß § 28a Abs. 2 BDSG unter erleichterten Voraussetzungen Informationen über Darlehen und ähnliche Geschäfte übermitteln.

Zentrale Vorschrift für die Zulässigkeit des Scorings ist § 28b BDSG. Vier Voraussetzungen müssen demnach vorliegen:

  • Die Daten sind unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des Kreditrisikos erheblich.
  • Die Voraussetzungen der §§ 28 und 29 BDSG müssen erfüllt sein, d. h. insbesondere muss das Scoring im Zusammenhang mit einer rechtsgeschäftlichen Entscheidung stehen und es dürfen nicht die Interessen des Betroffenen an einem Ausschluss der Verarbeitung/Nutzung der Daten überwiegen.
  • Es dürfen für die Berechnung nicht ausschließlich Adressdaten genutzt werden.
  • Sofern Adressdaten für die Berechnung mitgenutzt werden sollen, muss der Betroffene vorher mit entsprechendem Nachweis informiert werden.

Um die Rechte der Betroffenen in bedeutenden Einzelfällen zu wahren, verbietet § 6a BDSG die ausschließlich auf eine automatische Datenverarbeitung gestützte Einzelentscheidung, wenn es um Entscheidungen geht, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen. Wo es um spürbare Konsequenzen geht, muss also im Prinzip die Prüfung durch einen Menschen erfolgen. Ausnahmen regelt § 6a Abs. 2 BDSG. So kann gemäß § 6a Abs. 2 Nr. 1 BDSG eine automatisierte Entscheidung dann ergehen, wenn diese im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertragsverhältnisses ergeht und für den Betroffenen keine negativen Auswirkungen hat, da seinem Begehren – zumeist die Vergabe eines Kredites – entsprochen wurde.

  • 28a in Verbindung mit § 34 Abs. 2 und 4 BDSG legt Auskunftsrechte des Betroffenen über die Entstehung des Scorings fest und dient somit der Nachvollziehbarkeit, die einen der Hauptkritikpunkte an der früheren Praxis darstellt.

Vergleich mit der DSGVO

Die DSGVO ähnelt prinzipiell den Bestimmungen des BDSG, wobei die in der DSGVO enthaltenen Festlegungen offener formuliert sind und mehr Interpretationsspielraum bieten. Zudem hat der deutsche Gesetzgeber auch unter der Geltung der DSGVO die Möglichkeit, eigene Regelungsspielräume zu nutzen. Inwieweit diese Räume bestehen und wie sie am besten genutzt werden können, ist aktuell Gegenstand einer intensiven juristischen wie politischen Diskussion.

Ausgangspunkt der Regelungen über das Scoring in der DSGVO ist der dortige Art. 22. Wie schon im deutschen Recht wird hier zunächst in Abs. 1 das grundsätzlich bestehende Recht des Betroffenen betont, in für ihn wichtigen Fällen nicht einer rein automatisierten Entscheidung unterworfen zu sein.

Eine Ausnahme von diesem prinzipiellen Verbot besteht jedoch dann, wenn die automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen beiden Parteien notwendig ist. Das Erfordernis der Notwendigkeit markiert einen Unterschied zu der bisherigen Regelung von § 6a Abs. 2 BDSG und stellt insoweit eine Verschärfung dar.

Art. 6 Abs. 1 f DSGVO verlangt für jede Datenverarbeitung eine Interessenabwägung. Die Verarbeitung ist immer dann unzulässig, wenn diese zum einen nicht für die Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist oder Rechte des Betroffenen am Ausschluss der Verarbeitung überwiegen. Die DSGVO nennt hier explizit die Rechte von Kindern, die als besonders schutzwürdig eingestuft werden.

Das Auskunftsrecht des Betroffenen regelt Art. 15 Abs. 1 h DSGVO. Zusätzlich zu den anderen in dieser Vorschrift genannten Auskunftsrechten darf der Betroffene verlangen, über die involvierte Logik und die für ihn zu erwartenden Konsequenzen der Verarbeitung informiert zu werden. Hierbei handelt es sich um eine weniger detaillierte Bestimmungen als in § 34 Abs. 2 und Abs. 4 des aktuellen BDSG. Nach Art. 15 Abs. 3 DSGVO sind die fraglichen Daten in Kopie bereitzustellen.

Konkretisierungen im neuen BDSG

Der deutsche Gesetzgeber möchte bis Ende 2017 ein anhand der Vorgaben der DSGVO überarbeitetes BDSG vorlegen. Dabei wird das Ziel verfolgt, das BDSG soweit wie möglich bestehen zu lassen. Insoweit besteht für Unternehmen zunächst wenig praktischer Anpassungsbedarf.

Ob diese weitgehende Beibehaltung der alten Regelungen jedoch wie beabsichtigt verwirklicht werden kann, ist noch nicht endgültig geklärt. Der Entwurf für das neue BDSG befindet sich momentan in der Abstimmungsphase. Für die Konkretisierung der Scoring-Vorschriften der DSGVO muss der nationale Gesetzgeber besondere Gründe wie etwa den Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses geltend machen. Ob diese Voraussetzungen im Bereich des Scorings erfüllt sind und somit ein Spielraum zur Gestaltung eigener Regelungen, wird im weiteren Verlauf des Gesetzgebungsverfahrens zu beantworten sein.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 7 und 4.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Zusammenfassung

Aktuell haben Unternehmen keine mit der DSGVO und dem neuen BDSG einhergehenden tiefgreifenden Änderungen zu erwarten. Die Bundesregierung möchte die alten Vorschriften so weit wie möglich beibehalten, sodass für Unternehmen nur ein geringer zusätzlicher Anpassungs- und Beratungsbedarf entstünde. Sollte sich im Gesetzgebungsverfahren jedoch die Auffassung durchsetzen, dass in weiterem Umfang auf die DSGVO abzustellen ist, wäre der rechtliche Anpassungsprozess durch eine fachlich fundierte Beratung zu begleiten.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …