Die Ende 2009 beschlossenen und mittlerweile in Kraft getretenen drei BDSG-Novellierungen waren in erster Linie eine hastige Reaktion des Gesetzgebers auf vermeintliche oder tatsächliche Missstände. Die Eile, mit der die neuen Bestimmungen am Ende der Legislaturperiode noch schnell verabschiedet wurden, blieb nicht ohne Auswirkungen. Teilweise sind die Regelungen nicht hinreichend durchdacht, bleiben unklar und werfen neue Fragen auf. Im Folgenden soll auf einige für das Credit Management wichtige Fragen eingegangen werden.


Zahlungserfahrungen an Auskunfteien
Neu geregelt wurde die „Datenübermittlung an Auskunfteien“ in einem eigenen § 28 a BDSG. Im Anwendungsbereich dieser Norm gelten nicht mehr die allgemeinen Bestimmungen des § 28 BDSG. Wenn personenbezogene Daten an Auskunfteien eingemeldet werden, sind nunmehr besondere und im Vergleich zu dem bisherigen Rechtszustand engere Voraussetzungen zu beachten. Vorhanden sein müssen jetzt entweder rechtskräftige oder für vollstreckbar erklärte Titel oder eine ausdrückliche Anerkennung durch den Betroffenen. Alternativ dazu darf auch eingemeldet werden, wenn gewisse formale Voraussetzungen erfüllt sind wie eine zweimalige Mahnung und vierwöchige Wartefrist zwischen der ersten Mahnung und der Übermittlung. Diese Bedingungen bereiten überwiegend keine besonderen Hürden, denn es ist zum Beispiel unerheblich, wer gemahnt hat. Dies kann sowohl der ursprüngliche Gläubiger sein als auch der dann eingeschaltete Rechtsanwalt oder das Inkassounternehmen.

Probleme bereitet jedoch die weitere Voraussetzung, dass die Forderung nicht bestritten sein darf. Anders als im Gesetzgebungsverfahren ursprünglich geplant, differenziert das Gesetz nicht danach, ob es sich um mutwilliges oder um berechtigtes Bestreiten handelt. Es liegt damit in der Hand des Schuldners, durch bloßes Bestreiten zu verhindern, dass die notleidende Forderung an eine Auskunftei eingemeldet wird. Es gibt noch keine sicheren Erkenntnisse darüber, ob es in diesem Zusammenhang zu Missbrauch durch greifbar ungerechtfertigtes Bestreiten kommt und welche Folgen dies für den betreffenden Gläubiger und – wegen der Sperrwirkung des Bestreitens – für andere Gläubiger des selben Schuldners hat, die nun über eventuell längere Zeiträume bis zum Vorliegen eines Titels nichts mehr über die offene Schuld erfahren. Credit Management und Inkassowirtschaft sollten aber diese Entwicklung sorgfältig beobachten und ggf. beim Gesetzgeber Veränderungen anmahnen.

Nicht immer ganz klar ist der Anwendungsbereich von § 28 a. Das Gesetz regelt nur die Übermittlung personenbezogener Daten „über eine Forderung an Auskunfteien“. Gemeint sind damit offene Forderungen, denn nur dort besteht, wie auch die amtliche Begründung des Gesetzes zeigt, ein Schutzbedarf für den Betroffenen. Andere Übermittlungen werden nicht erfasst. Das gilt beispielsweise für das permanente Monitoring von Zahlungsvorgängen. Auch wenn dieses vielfach die Daten von Kapitalgesellschaften betrifft, die nicht dem BDSG unterfallen, müssen die Bestimmungen des BDSG doch beachtet werden, weil auch im gewerblichen Bereich ein gewisser Prozentsatz an personenbezogenen Daten anfällt. Die kontinuierliche Überprüfung von Zahlungsflüssen, aus denen sich gegebenenfalls Indikatoren für relevante Veränderungen in der Zahlungsfähigkeit eines Unternehmens erkennen lassen, richtet sich nicht nach § 28 a BDSG, sondern nach den allgemeinen Regeln in § 28 Abs. 1, 2 BDSG.

In diesem Zusammenhang stellt sich immer wieder die Frage, wie der Begriff Auskunftei zu verstehen ist. Er ist im Gesetz selbst nicht definiert. Gemeint ist aber nach herrschender Ansicht ein gewerblich tätiges Unternehmen, das Informationen über Vermögensverhältnisse und/oder persönliche Angelegenheiten des Betroffenen sammelt und daraus gewerbsmäßig gegen Entgelt Auskünfte erteilt. Gemeint sind also nur solche Unternehmen, die bestimmte Informationen sammeln, um sie dann an berechtigte Anfrager weiter zu geben. Andere Unternehmen fallen dagegen nicht unter den Auskunfteibegriff, so dass eine Übermittlung an diese nicht den Einschränkungen des § 28 a BDSG unterliegt. Unklar ist allerdings die Abgrenzung. Vieles spricht dafür, dass zum Bespiel Dienstleister, die im Rahmen ständiger Geschäftsbeziehungen Zahlungsverkehrsdaten verfolgen und ihren Auftraggeber über ungünstige Veränderungen informieren, keine Auskunftei i. S. v. § 28 a BDSG sind.

Zahlungserfahrungspools
Unklar und weiterhin höchst problematisch ist die Weitergabe von Zahlungserfahrungen an übergreifende Pools. Diese fallen allgemein unter den Begriff der Auskunftei. Sie dürfen nach § 29 Abs. 1 u. a. nur dann personenbezogene Daten speichern oder nutzen, wenn diese entweder aus allgemein zugänglichen Quellen stammen und veröffentlicht werden dürften, nach § 28 a übermittelt wurden oder kein schutzwürdiges Ausschlussinteresse des Betroffenen berührt ist. Übermittlungen nach § 28 a BDSG betreffen nur offene Forderungen unter den schon oben beschriebenen einschränkenden Voraussetzungen. Zahlungserfahrungen sind auch keine öffentlichen Daten. Im Hinblick auf denkbare schutzwürdige Ausschlussinteressen des Betroffenen stehen die Datenschutz- Aufsichtsbehörden grundsätzlich und einhellig auf dem Standpunt, dass die Übermittlung und Speicherung sogenannter „Positivdaten“ in jedem Fall gegen schutzwürdige Interessen des Betroffenen verstoße und daher unzulässig sei. Was „Positivdaten“ in diesem Sinne eigentlich sein sollen, wird nirgendwo gesagt. Die Aufsichtsbehörden verstehen offensichtlich darunter alle Daten, bei denen es sich nicht um explizite Negativmerkmale handelt. Es handelt sich bei dieser Ansicht um eine bloße Interpretation des Gesetzes, dessen Wortlaut keine derartige Einschränkung enthält. Die Auslegung der Aufsichtsbehörden lässt sich in dieser Allgemeinheit daher nicht aus dem Gesetz und auch sonst nicht überzeugend herleiten, jedenfalls nicht in dieser Allgemeinheit.

Bedauerlicherweise hat der Novellierungsgesetzgeber die Gelegenheit verpasst, diese Streitfrage zu klären. Er hat allerdings eine Sonderregelung für eine Branche geschaffen, nämlich für die Kreditwirtschaft. Zahlungserfahrungen bei Bankkrediten und ähnlichen Bankgeschäften dürfen nunmehr gemäß § 28 a Abs. 2 BDSG auf gesetzlicher Grundlage an Auskunfteien übermittelt werden. Bisher galt dies, angesichts der geschilderten Haltung der Aufsichtsbehörden, nur aufgrund einer Einwilligung für zulässig, wobei die klassische Form der Einwilligung die „Schufa-Klausel“ darstellte. Diese ist nun weitestgehend entbehrlich. Damit hat der Gesetzgeber – unverständlicherweise – nur einer Branche das ausdrücklich zugestanden, was allen anderen Unternehmen durch die Interpretation der Datenschutz-Aufsichtsbehörden verwehrt wird. Eine weitere Ungereimtheit der Novellierung. Bis zu einer Klärung durch die Rechtsprechung oder eine gesetzgeberische Klarstellung wird daher die Weitergabe und Nutzung von Zahlungserfahrungen, die nicht im eigenen Haus stattfinden, sondern eine Übermittlung voraussetzen, rechtlich problematisch bleiben.

Auskunftspflichten
Vielfach wurde in der Öffentlichkeit der Eindruck erweckt, dass mit Inkrafttreten der Novellen weitgehende neue Auskunftspflichten geschaffen worden seien. Dies ist so nicht richtig. Ein großer Teil der Auskunftspflichten bestand schon immer. Neu ist jedoch, dass bei der Verwendung von Scores deren Zusammensetzung und Bedeutung im Einzelfall und nachvollziehbar erläutert werden müssen. Neu ist auch, dass bußgeldrechtliche Sanktionen drohen, wenn alle Auskünfte nicht unverzüglich erteilt werden. Auch wenn es noch keine verlässlichen Statistiken gibt, lässt sich eine zunehmend härtere Gangart bei den Aufsichtsbehörden beobachten, und hier ist deshalb bei den auskunftspflichtigen Unternehmen Sorgfalt und Vollständigkeit bei der Auskunftserteilung gefordert. Beauskunftet werden muss grundsätzlich alles, was über den Betroffenen gespeichert ist, wenn dieses verlangt wird. Die Auskunft muss auch kostenlos erteilt werden. Lediglich Auskunfteien sind berechtigt, ab der zweiten Auskunft pro Jahr Gebühren zu nehmen, alle anderen Unternehmen hingegen nicht.

Streitig ist, welche Anforderung an die Legitimation des Auskunftssuchenden zu stellen sind. Einige Aufsichtsbehörden stehen auf dem Standpunkt, dass eine teilweise geschwärzte Ausweiskopie ausreichend sei. Das erscheint allerdings sehr fragwürdig, wenn man bedenkt, dass es vielfach um die Übermittlung höchstpersönlicher und sensibler Daten handelt, wie Kaufverhalten, Inanspruchnahme von Krediten usw. Ausweiskopien lassen sich leicht mit gängigen Bildbearbeitungssystemen oder leistungsfähigen Kopierern fälschen, so dass sich Unbefugte, etwa neugierige Nachbarn oder auch unbefugte Familienmitglieder, all zu leicht in den Besitz schützenswerter personenbezogener Daten bringen könnten. Daher muss auf eine zuverlässige Identifizierung Wert gelegt werden. Schwärzungen sind geeignet, Fälschungen erheblich zu erleichtern und daher ein beachtliches Risiko für Betroffene und für die die Auskünfte erteilenden Unternehmen. Es ist daher zulässig, wenn nicht sogar geboten, auf ein anderes Identifizierungsverfahren zurück zu greifen, etwa das Postidentverfahren. Die dafür entstehenden Kosten sind keine Kosten der Auskunft und daher nicht vom Unternehmen zu tragen. Vielmehr muss der Auskunftssuchende gegebenenfalls die beim Unternehmen anfallenden Identifizierungskosten im Vorwege bezahlen.

Wichtig ist es, im Auge zu behalten, dass die Verwendung der Seriennummer des Ausweises gesetzlich untersagt ist. Eine Änderung kann sich mit den neuen Personalausweisen ergeben, sobald das neue Personalausweisgesetz am 1. 11. 2010 in Kraft tritt. Dies ist jedoch noch Zukunftsmusik und wird das Problem der zuverlässigen Identifizierung für eine längere Übergangszeit nicht beseitigen.

Ein weiteres Problem sind Blindanfragen. Dabei werden alle möglichen Unternehmen, insbesondere Auskunfteien und Inkassounternehmen, um Auskunft ersucht, ohne das die Fragesteller irgendeine Beziehung zu dem Unternehmen haben. Die Durchführung solcher Massen- und Blindanfragen wird von einigen Internetplattformen umsonst angeboten. Auch solche Anfragen müssen grundsätzlich beantwortet werden, und zwar kostenlos. Einzige Bedingung ist, wie schon erwähnt, die eindeutige Identifizierung des Anfragenden. Nach einer kürzlich durchgeführten Untersuchung des Verfassers leiden vor allem kleinere und mittlere Inkassounternehmen unter einer starken Häufung derartiger Anfragen, die in nicht unerheblichem Maße Arbeitszeit binden und Kosten verursachen. Werden von derselben Person eine oder mehrere Anfragen allzu unbestimmt gestellt, beispielsweise ohne korrekte Adressierung, oder fragt dieselbe Person in kurzen Abständen immer wieder an, müssen solche Anfragen allerdings nicht beantwortet werden. Nach einer Auskunft des Berliner Datenschutzbeauftragten an den Bundesverband Deutscher Inkasso-Unternehmen werden in solchen Fällen keine Bußgeldverfahren eingeleitet, wenn das Inkassounternehmen nicht (mehr) antwortet. Nicht alle Fälle werden eindeutig sein. Deshalb ist der sicherste Weg der, in Zweifelsfragen den Vorgang der zuständigen Aufsichtsbehörde für eine rechtssichere Stellungnahme vorzulegen.

Fazit
Für das Credit Management haben die jüngsten Novellierungen des BDSG Schwierigkeiten und Rechtsunsicherheit gebracht. Das steht im Gegensatz zu der erklärten Absicht des Novellierungsgesetzgebers. Im Zweifel ist eine sorgfältige rechtliche Überprüfung und eine eher restriktive Handhabung des technisch Machbaren und Möglichkeiten angebracht.


Quelle: Der CreditManager