23. Januar 2017

Scoring nach der DSGVO – Anpassungsbedarf für Unternehmen?

Scoring wird für Unternehmen in Zeiten eines von Ungewissheit geprägten marktwirtschaftlichen Umfeld immer wichtiger. Die richtige Bewertung eines Kreditausfallrisikos kann für den Erfolg des Unternehmens entscheidend sein. Der rechtskonforme Umgang mit den hierfür erforderlichen Daten ist daher von hoher Bedeutung. Ist die Bewertung der Kreditwürdigkeit einer natürlichen Person gefragt, müssen die datenschutzrechtlichen Vorgaben beachtet werden. Ausgehend von den aktuellen Bestimmungen stellt die folgende Übersicht dar, welche Neuerungen im Zuge der europäischen Datenschutz-Grundverordnung (DSGVO) zu erwarten sind.

Grundlagen zum Scoring

Für das Scoring hält § 28b des Bundesdatenschutzgesetzes (BDSG) eine Definition bereit: Scoring ist gegeben, wenn ein Wahrscheinlichkeitswert für ein bestimmtes Verhalten des Betroffenen erhoben oder verwendet wird, um in der Folge Entscheidungen darüber zu treffen, ob oder in welcher Weise ein Vertragsverhältnis mit dem Betroffenen zustande kommt.

Das klassische Beispiel hierfür ist die Bildung eines Scores, d. h. eine Bonitätsprüfung, bei der Vergabe von Krediten. Weit gefasst zählen hierzu alle Geschäfte, bei denen ein Geschäftspartner in Vorleistung geht, ohne sofort eine Gegenleistung zu erhalten. Dazu zählen etwa der Banken- und Immobilienkredit ebenso wie der Kauf einer Ware mit Zahlung nach Rechnungslegung. Der Score ergibt sich aus zuvor als relevant definierten Kriterien, die mit Daten zu füllen sind. Exemplarisch hierfür ist die Bewertung durch die Schufa. Mit dem Score wird eine Wahrscheinlichkeit ausgedrückt, ob der Vertragspartner seine Schulden bedienen wird oder kann.

Die hohe Relevanz des Scorings in der Kreditvergabe und im Handel hat insbesondere im Verbraucherrecht Kritik hervorgerufen. Das Zustandekommen eines Scores sei in vielen Fällen für die Betroffenen nicht nachvollziehbar und daher kaum steuerbar. Daten würden ohne explizite Einwilligung für Zwecke der Bewertung des Kreditrisikos verarbeitet. Zudem dürfen Verbraucher dadurch in für sie wichtigen geschäftlichen Angelegenheiten allein von einem automatisierten Entscheidungsprozess abhängig sein. Es könnten hierdurch im Einzelfall unangemessene Entscheidungen zustande kommen, die nicht mehr im Einzelfall durch einen Menschen geprüft werden.

Ein Verbot derartiger Verarbeitungen kommt jedoch aus volkswirtschaftlichen Gründen nicht in Betracht. Die faktenbasierte Einschätzung des Kreditrisikos ist essentieller Bestandteil für eine funktionierende Wirtschaft, da ansonsten weitaus mehr Unternehmen von Kreditausfällen betroffen wären und die Vergabe von Krediten sich aufgrund der Risiken kaum noch lohnen würde.

Scoring nach dem BDSG

Aufgrund der Bedeutung des Scorings bestehen für Unternehmen Möglichkeiten, ein Scoring nicht allein mit Zustimmung des Betroffenen durchzuführen, sondern auch ohne die Zustimmung eine entsprechende Bewertung vorzunehmen.

Erst 2010 traten im BDSG Regelungen in Kraft, die sich explizit mit dem Scoring befassen.

  • 28a BDSG regelt die Möglichkeit zur Übermittlung von personenbezogenen Daten auch ohne die Zustimmung des Betroffenen an Auskunfteien wie die Schufa. Dies ist gemäß § 28a Abs. 1 BDSG prinzipiell nur dann erlaubt, wenn eine geschuldete Leistung trotz Fälligkeit nicht erbracht wurde und weitere Anforderungen hinzutreten, die sich auf die Berechtigung der Forderung beziehen. Kreditinstitute dürfen gemäß § 28a Abs. 2 BDSG unter erleichterten Voraussetzungen Informationen über Darlehen und ähnliche Geschäfte übermitteln.

Zentrale Vorschrift für die Zulässigkeit des Scorings ist § 28b BDSG. Vier Voraussetzungen müssen demnach vorliegen:

  • Die Daten sind unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des Kreditrisikos erheblich.
  • Die Voraussetzungen der §§ 28 und 29 BDSG müssen erfüllt sein, d. h. insbesondere muss das Scoring im Zusammenhang mit einer rechtsgeschäftlichen Entscheidung stehen und es dürfen nicht die Interessen des Betroffenen an einem Ausschluss der Verarbeitung/Nutzung der Daten überwiegen.
  • Es dürfen für die Berechnung nicht ausschließlich Adressdaten genutzt werden.
  • Sofern Adressdaten für die Berechnung mitgenutzt werden sollen, muss der Betroffene vorher mit entsprechendem Nachweis informiert werden.

Um die Rechte der Betroffenen in bedeutenden Einzelfällen zu wahren, verbietet § 6a BDSG die ausschließlich auf eine automatische Datenverarbeitung gestützte Einzelentscheidung, wenn es um Entscheidungen geht, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen. Wo es um spürbare Konsequenzen geht, muss also im Prinzip die Prüfung durch einen Menschen erfolgen. Ausnahmen regelt § 6a Abs. 2 BDSG. So kann gemäß § 6a Abs. 2 Nr. 1 BDSG eine automatisierte Entscheidung dann ergehen, wenn diese im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertragsverhältnisses ergeht und für den Betroffenen keine negativen Auswirkungen hat, da seinem Begehren – zumeist die Vergabe eines Kredites – entsprochen wurde.

  • 28a in Verbindung mit § 34 Abs. 2 und 4 BDSG legt Auskunftsrechte des Betroffenen über die Entstehung des Scorings fest und dient somit der Nachvollziehbarkeit, die einen der Hauptkritikpunkte an der früheren Praxis darstellt.

Vergleich mit der DSGVO

Die DSGVO ähnelt prinzipiell den Bestimmungen des BDSG, wobei die in der DSGVO enthaltenen Festlegungen offener formuliert sind und mehr Interpretationsspielraum bieten. Zudem hat der deutsche Gesetzgeber auch unter der Geltung der DSGVO die Möglichkeit, eigene Regelungsspielräume zu nutzen. Inwieweit diese Räume bestehen und wie sie am besten genutzt werden können, ist aktuell Gegenstand einer intensiven juristischen wie politischen Diskussion.

Ausgangspunkt der Regelungen über das Scoring in der DSGVO ist der dortige Art. 22. Wie schon im deutschen Recht wird hier zunächst in Abs. 1 das grundsätzlich bestehende Recht des Betroffenen betont, in für ihn wichtigen Fällen nicht einer rein automatisierten Entscheidung unterworfen zu sein.

Eine Ausnahme von diesem prinzipiellen Verbot besteht jedoch dann, wenn die automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen beiden Parteien notwendig ist. Das Erfordernis der Notwendigkeit markiert einen Unterschied zu der bisherigen Regelung von § 6a Abs. 2 BDSG und stellt insoweit eine Verschärfung dar.

Art. 6 Abs. 1 f DSGVO verlangt für jede Datenverarbeitung eine Interessenabwägung. Die Verarbeitung ist immer dann unzulässig, wenn diese zum einen nicht für die Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist oder Rechte des Betroffenen am Ausschluss der Verarbeitung überwiegen. Die DSGVO nennt hier explizit die Rechte von Kindern, die als besonders schutzwürdig eingestuft werden.

Das Auskunftsrecht des Betroffenen regelt Art. 15 Abs. 1 h DSGVO. Zusätzlich zu den anderen in dieser Vorschrift genannten Auskunftrechten darf der Betroffene verlangen, über die involvierte Logik und die für ihn zu erwartenden Konsequenzen der Verarbeitung informiert zu werden. Hierbei handelt es sich um eine weniger detaillierte Bestimmungen als in § 34 Abs. 2 und Abs. 4 des aktuellen BDSG. Nach Art. 15 Abs. 3 DSGVO sind die fraglichen Daten in Kopie bereitzustellen.

Konkretisierungen im neuen BDSG

Der deutsche Gesetzgeber möchte bis Ende 2017 ein anhand der Vorgaben der DSGVO überarbeitetes BDSG vorlegen. Dabei wird das Ziel verfolgt, das BDSG soweit wie möglich bestehen zu lassen. Insoweit besteht für Unternehmen zunächst wenig praktischer Anpassungsbedarf.

Ob diese weitgehende Beibehaltung der alten Regelungen jedoch wie beabsichtigt verwirklicht werden kann, ist noch nicht endgültig geklärt. Der Entwurf für das neue BDSG befindet sich momentan in der Abstimmungsphase. Für die Konkretisierung der Scoring-Vorschriften der DSGVO muss der nationale Gesetzgeber besondere Gründe wie etwa den Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses geltend machen. Ob diese Voraussetzungen im Bereich des Scorings erfüllt sind und somit ein Spielraum zur Gestaltung eigener Regelungen, wird im weiteren Verlauf des Gesetzgebungsverfahrens zu beantworten sein.

Zusammenfassung

Aktuell haben Unternehmen keine mit der DSGVO und dem neuen BDSG einhergehenden tiefgreifenden Änderungen zu erwarten. Die Bundesregierung möchte die alten Vorschriften so weit wie möglich beibehalten, sodass für Unternehmen nur ein geringer zusätzlicher Anpassungs- und Beratungsbedarf entstünde. Sollte sich im Gesetzgebungsverfahren jedoch die Auffassung durchsetzen, dass in weiterem Umfang auf die DSGVO abzustellen ist, wäre der rechtliche Anpassungsprozess durch eine fachlich fundierte Beratung zu begleiten.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!