Die Ende 2009 beschlossenen und mittlerweile in Kraft getretenen drei BDSG-Novellierungen
waren in erster Linie eine hastige Reaktion des Gesetzgebers auf vermeintliche
oder tatsächliche Missstände. Die Eile, mit der die neuen Bestimmungen
am Ende der Legislaturperiode noch schnell verabschiedet wurden, blieb nicht ohne
Auswirkungen. Teilweise sind die Regelungen nicht hinreichend durchdacht, bleiben
unklar und werfen neue Fragen auf. Im Folgenden soll auf einige für das
Credit Management wichtige Fragen eingegangen werden.
Zahlungserfahrungen an Auskunfteien
Neu geregelt wurde die „Datenübermittlung
an Auskunfteien“ in einem eigenen
§ 28 a BDSG. Im Anwendungsbereich
dieser Norm gelten nicht mehr die allgemeinen
Bestimmungen des § 28
BDSG. Wenn personenbezogene Daten
an Auskunfteien eingemeldet werden,
sind nunmehr besondere und im Vergleich
zu dem bisherigen Rechtszustand
engere Voraussetzungen zu beachten.
Vorhanden sein müssen jetzt entweder
rechtskräftige oder für vollstreckbar erklärte
Titel oder eine ausdrückliche Anerkennung
durch den Betroffenen. Alternativ
dazu darf auch eingemeldet
werden, wenn gewisse formale Voraussetzungen
erfüllt sind wie eine zweimalige
Mahnung und vierwöchige Wartefrist
zwischen der ersten Mahnung und
der Übermittlung. Diese Bedingungen
bereiten überwiegend keine besonderen
Hürden, denn es ist zum Beispiel unerheblich,
wer gemahnt hat. Dies kann sowohl
der ursprüngliche Gläubiger sein
als auch der dann eingeschaltete
Rechtsanwalt oder das Inkassounternehmen.
Probleme bereitet jedoch die weitere
Voraussetzung, dass die Forderung nicht
bestritten sein darf. Anders als im Gesetzgebungsverfahren
ursprünglich geplant,
differenziert das Gesetz nicht danach,
ob es sich um mutwilliges oder um
berechtigtes Bestreiten handelt. Es liegt
damit in der Hand des Schuldners, durch
bloßes Bestreiten zu verhindern, dass die
notleidende Forderung an eine Auskunftei
eingemeldet wird. Es gibt noch keine
sicheren Erkenntnisse darüber, ob es in
diesem Zusammenhang zu Missbrauch
durch greifbar ungerechtfertigtes Bestreiten
kommt und welche Folgen dies
für den betreffenden Gläubiger und –
wegen der Sperrwirkung des Bestreitens
– für andere Gläubiger des selben
Schuldners hat, die nun über eventuell
längere Zeiträume bis zum Vorliegen
eines Titels nichts mehr über die offene
Schuld erfahren. Credit Management
und Inkassowirtschaft sollten aber diese
Entwicklung sorgfältig beobachten und
ggf. beim Gesetzgeber Veränderungen
anmahnen.
Nicht immer ganz klar ist der Anwendungsbereich
von § 28 a. Das Gesetz
regelt nur die Übermittlung personenbezogener
Daten „über eine Forderung an
Auskunfteien“. Gemeint sind damit
offene Forderungen, denn nur dort besteht,
wie auch die amtliche Begründung
des Gesetzes zeigt, ein Schutzbedarf
für den Betroffenen. Andere Übermittlungen
werden nicht erfasst. Das gilt
beispielsweise für das permanente Monitoring
von Zahlungsvorgängen. Auch
wenn dieses vielfach die Daten von Kapitalgesellschaften
betrifft, die nicht
dem BDSG unterfallen, müssen die Bestimmungen
des BDSG doch beachtet
werden, weil auch im gewerblichen Bereich
ein gewisser Prozentsatz an personenbezogenen
Daten anfällt. Die kontinuierliche
Überprüfung von Zahlungsflüssen,
aus denen sich gegebenenfalls
Indikatoren für relevante Veränderungen
in der Zahlungsfähigkeit eines Unternehmens
erkennen lassen, richtet sich
nicht nach § 28 a BDSG, sondern nach
den allgemeinen Regeln in § 28 Abs. 1, 2
BDSG.
In diesem Zusammenhang stellt sich
immer wieder die Frage, wie der Begriff
Auskunftei zu verstehen ist. Er ist im Gesetz
selbst nicht definiert. Gemeint ist
aber nach herrschender Ansicht ein gewerblich
tätiges Unternehmen, das Informationen
über Vermögensverhältnisse
und/oder persönliche Angelegenheiten
des Betroffenen sammelt und
daraus gewerbsmäßig gegen Entgelt
Auskünfte erteilt. Gemeint sind also nur
solche Unternehmen, die bestimmte Informationen
sammeln, um sie dann an
berechtigte Anfrager weiter zu geben.
Andere Unternehmen fallen dagegen
nicht unter den Auskunfteibegriff, so
dass eine Übermittlung an diese nicht
den Einschränkungen des § 28 a BDSG
unterliegt. Unklar ist allerdings die Abgrenzung.
Vieles spricht dafür, dass zum
Bespiel Dienstleister, die im Rahmen
ständiger Geschäftsbeziehungen Zahlungsverkehrsdaten
verfolgen und ihren
Auftraggeber über ungünstige Veränderungen
informieren, keine Auskunftei
i. S. v. § 28 a BDSG sind.
Zahlungserfahrungspools
Unklar und weiterhin höchst problematisch
ist die Weitergabe von Zahlungserfahrungen
an übergreifende Pools.
Diese fallen allgemein unter den Begriff
der Auskunftei. Sie dürfen nach § 29
Abs. 1 u. a. nur dann personenbezogene
Daten speichern oder nutzen, wenn
diese entweder aus allgemein zugänglichen
Quellen stammen und veröffentlicht
werden dürften, nach § 28 a übermittelt
wurden oder kein schutzwürdiges
Ausschlussinteresse des Betroffenen
berührt ist. Übermittlungen nach § 28 a
BDSG betreffen nur offene Forderungen
unter den schon oben beschriebenen
einschränkenden Voraussetzungen. Zahlungserfahrungen sind auch keine öffentlichen
Daten. Im Hinblick auf denkbare
schutzwürdige Ausschlussinteressen
des Betroffenen stehen die Datenschutz-
Aufsichtsbehörden grundsätzlich
und einhellig auf dem Standpunt, dass
die Übermittlung und Speicherung sogenannter
„Positivdaten“ in jedem Fall
gegen schutzwürdige Interessen des Betroffenen
verstoße und daher unzulässig
sei. Was „Positivdaten“ in diesem Sinne
eigentlich sein sollen, wird nirgendwo
gesagt. Die Aufsichtsbehörden verstehen
offensichtlich darunter alle Daten, bei
denen es sich nicht um explizite Negativmerkmale
handelt. Es handelt sich bei
dieser Ansicht um eine bloße Interpretation
des Gesetzes, dessen Wortlaut
keine derartige Einschränkung enthält.
Die Auslegung der Aufsichtsbehörden
lässt sich in dieser Allgemeinheit daher
nicht aus dem Gesetz und auch sonst
nicht überzeugend herleiten, jedenfalls
nicht in dieser Allgemeinheit.
Bedauerlicherweise hat der Novellierungsgesetzgeber
die Gelegenheit verpasst,
diese Streitfrage zu klären. Er hat
allerdings eine Sonderregelung für eine
Branche geschaffen, nämlich für die
Kreditwirtschaft. Zahlungserfahrungen
bei Bankkrediten und ähnlichen Bankgeschäften
dürfen nunmehr gemäß § 28 a
Abs. 2 BDSG auf gesetzlicher Grundlage
an Auskunfteien übermittelt werden.
Bisher galt dies, angesichts der geschilderten
Haltung der Aufsichtsbehörden,
nur aufgrund einer Einwilligung für zulässig,
wobei die klassische Form der
Einwilligung die „Schufa-Klausel“ darstellte.
Diese ist nun weitestgehend entbehrlich.
Damit hat der Gesetzgeber – unverständlicherweise
– nur einer Branche
das ausdrücklich zugestanden, was allen
anderen Unternehmen durch die Interpretation
der Datenschutz-Aufsichtsbehörden
verwehrt wird. Eine weitere Ungereimtheit
der Novellierung. Bis zu
einer Klärung durch die Rechtsprechung
oder eine gesetzgeberische Klarstellung
wird daher die Weitergabe und Nutzung
von Zahlungserfahrungen, die nicht im
eigenen Haus stattfinden, sondern eine
Übermittlung voraussetzen, rechtlich
problematisch bleiben.
Auskunftspflichten
Vielfach wurde in der Öffentlichkeit der
Eindruck erweckt, dass mit Inkrafttreten
der Novellen weitgehende neue
Auskunftspflichten geschaffen worden
seien. Dies ist so nicht richtig. Ein großer
Teil der Auskunftspflichten bestand
schon immer. Neu ist jedoch, dass bei
der Verwendung von Scores deren Zusammensetzung
und Bedeutung im Einzelfall
und nachvollziehbar erläutert
werden müssen. Neu ist auch, dass bußgeldrechtliche
Sanktionen drohen, wenn
alle Auskünfte nicht unverzüglich erteilt
werden. Auch wenn es noch keine verlässlichen
Statistiken gibt, lässt sich eine
zunehmend härtere Gangart bei den
Aufsichtsbehörden beobachten, und hier
ist deshalb bei den auskunftspflichtigen
Unternehmen Sorgfalt und Vollständigkeit
bei der Auskunftserteilung gefordert.
Beauskunftet werden muss grundsätzlich
alles, was über den Betroffenen
gespeichert ist, wenn dieses verlangt
wird. Die Auskunft muss auch kostenlos
erteilt werden. Lediglich Auskunfteien
sind berechtigt, ab der zweiten Auskunft
pro Jahr Gebühren zu nehmen, alle anderen
Unternehmen hingegen nicht.
Streitig ist, welche Anforderung an die
Legitimation des Auskunftssuchenden zu
stellen sind. Einige Aufsichtsbehörden
stehen auf dem Standpunkt, dass eine
teilweise geschwärzte Ausweiskopie
ausreichend sei. Das erscheint allerdings
sehr fragwürdig, wenn man bedenkt,
dass es vielfach um die Übermittlung
höchstpersönlicher und sensibler Daten
handelt, wie Kaufverhalten, Inanspruchnahme
von Krediten usw. Ausweiskopien
lassen sich leicht mit gängigen Bildbearbeitungssystemen
oder leistungsfähigen
Kopierern fälschen, so dass sich Unbefugte,
etwa neugierige Nachbarn oder
auch unbefugte Familienmitglieder, all
zu leicht in den Besitz schützenswerter
personenbezogener Daten bringen könnten.
Daher muss auf eine zuverlässige
Identifizierung Wert gelegt werden.
Schwärzungen sind geeignet, Fälschungen
erheblich zu erleichtern und daher
ein beachtliches Risiko für Betroffene
und für die die Auskünfte erteilenden
Unternehmen. Es ist daher zulässig,
wenn nicht sogar geboten, auf ein anderes
Identifizierungsverfahren zurück
zu greifen, etwa das Postidentverfahren.
Die dafür entstehenden Kosten sind
keine Kosten der Auskunft und daher
nicht vom Unternehmen zu tragen. Vielmehr
muss der Auskunftssuchende gegebenenfalls
die beim Unternehmen anfallenden
Identifizierungskosten im Vorwege
bezahlen.
Wichtig ist es, im Auge zu behalten, dass
die Verwendung der Seriennummer des
Ausweises gesetzlich untersagt ist. Eine
Änderung kann sich mit den neuen Personalausweisen
ergeben, sobald das
neue Personalausweisgesetz am 1. 11.
2010 in Kraft tritt. Dies ist jedoch noch
Zukunftsmusik und wird das Problem der
zuverlässigen Identifizierung für eine
längere Übergangszeit nicht beseitigen.
Ein weiteres Problem sind Blindanfragen.
Dabei werden alle möglichen Unternehmen,
insbesondere Auskunfteien und Inkassounternehmen,
um Auskunft ersucht,
ohne das die Fragesteller irgendeine
Beziehung zu dem Unternehmen
haben. Die Durchführung solcher Massen-
und Blindanfragen wird von einigen
Internetplattformen umsonst angeboten.
Auch solche Anfragen müssen
grundsätzlich beantwortet werden, und
zwar kostenlos. Einzige Bedingung ist,
wie schon erwähnt, die eindeutige Identifizierung
des Anfragenden. Nach einer
kürzlich durchgeführten Untersuchung
des Verfassers leiden vor allem kleinere
und mittlere Inkassounternehmen unter
einer starken Häufung derartiger Anfragen,
die in nicht unerheblichem Maße
Arbeitszeit binden und Kosten verursachen.
Werden von derselben Person eine
oder mehrere Anfragen allzu unbestimmt
gestellt, beispielsweise ohne korrekte
Adressierung, oder fragt dieselbe
Person in kurzen Abständen immer wieder
an, müssen solche Anfragen allerdings
nicht beantwortet werden. Nach
einer Auskunft des Berliner Datenschutzbeauftragten
an den Bundesverband
Deutscher Inkasso-Unternehmen
werden in solchen Fällen keine Bußgeldverfahren
eingeleitet, wenn das Inkassounternehmen
nicht (mehr) antwortet.
Nicht alle Fälle werden eindeutig sein.
Deshalb ist der sicherste Weg der, in
Zweifelsfragen den Vorgang der zuständigen
Aufsichtsbehörde für eine rechtssichere
Stellungnahme vorzulegen.
Fazit
Für das Credit Management haben die
jüngsten Novellierungen des BDSG
Schwierigkeiten und Rechtsunsicherheit
gebracht. Das steht im Gegensatz zu der
erklärten Absicht des Novellierungsgesetzgebers.
Im Zweifel ist eine sorgfältige
rechtliche Überprüfung und eine
eher restriktive Handhabung des technisch
Machbaren und Möglichkeiten angebracht.