Im Jahr 2009 verabschiedete der Gesetzgeber drei Datenschutznovellen, wodurch das Bundesdatenschutzgesetz (BDSG) mehrere Änderungen erfuhr. Dieser Beitrag konzentriert sich auf die BDSG-Novelle I, deren Änderungen mit dem „Gesetz zur Änderung des Bundesdatenschutzgesetzes“ am 1. April 2010 in Kraft getreten sind.


Der Anwendungsbereich des BDSG regelt den Umgang mit personenbezogenen Daten natürlicher Personen. Daher umfasst der Anwendungsbereich des BDSG die „natürliche Person“ nicht nur in ihrer Eigenschaft als Verbraucher im Sinne des § 13 BGB, sondern vielmehr auch in ihrer Eigenschaft als Freiberufler, Selbstständiger oder Alleingesellschafter einer GmbH. Die in diesem Beitrag dargestellten Neuregelungen bei der Datenübermittlung an Auskunfteien und der Bonitätsprüfung anhand von Scoreverfahren im Bereich „Business-to-consumer“ beziehen sich daher nicht ausschließlich auf natürliche Personen in ihrer Eigenschaft als Verbraucher, sondern nach dem Anwendungsbereich des BDSG auf natürliche Personen unabhängig von ihrer Eigenschaft als Verbraucher.


Ein wesentliches Motiv für die Verabschiedung der BDSG-Novelle I war die Kritik von Verbraucherschützern und Datenschutzaufsichtsbehörden an der aus ihrer Sicht mangelnden Transparenz und fehlenden Rechtssicherheit im Auskunfteiwesen. Große Bedeutung ist bei der BDSG-Novelle I daher den Neuregelungen zur Datenübermittlung von kreditge- CreditManager Schwerpunkt benden Unternehmen an Auskunfteien und zu Scoringverfahren zugekommen. Datenübermittlung an Auskunfteien Mit dem neu geschaffenen § 28 a BDSG sind die Voraussetzungen, unter denen eine Übermittlung von Daten an eine Auskunftei zulässig ist, in Gesetzesform gegossen worden. Hierbei ist zwischen der Übermittlung von Daten hinsichtlich unbeglichener Forderungen nach § 28 a Abs. 1 BDSG und der Übermittlung von Daten hinsichtlich der Begründung, ordnungsgemäßen Durchführung und Beendigung im Rahmen bestimmter Bankgeschäfte iSd. Gesetzes über das Kreditwesen (KWG) nach § 28 Abs. 2 BDSG zu unterscheiden.


Nach § 28 a Abs. 1 Nr. 1–5 BDSG ist die Übermittlung von Daten über eine nicht beglichene Forderung an Auskunfteien nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und die Forderung entweder

• gerichtlich festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt (Nr. 1),

die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist (Nr. 2)

• der Betroffene die Forderung ausdrücklich anerkannt hat (Nr. 3),

• der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, die Verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und der Betroffene die Forderung nicht bestritten hat (Nr. 4) oder

• das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat (Nr. 5).

Vor dem Inkrafttreten des § 28 a BDSG war eine Übermittlung von Daten über eine Forderung zulässig, soweit das Verhalten des Schuldners auf Zahlungsunfähigkeit bzw. Zahlungsunwilligkeit beruhte. Davon war nach der Rechtsprechung im Regelfall auszugehen, wenn es sich um eine ausreichend gemahnte, überfällige Forderung, die im Zeitpunkt der Übermittlung unbestritten war, gehandelt hat. Vergleicht man diese durch die Rechtsprechung geschaffene Kasuistik mit den neu geschaffenen Regelungen des § 28 a Abs. 1 BDSG, so ist erkennbar, dass es sich bei dessen Regelungen im Wesentlichen um eine gesetzliche Konkretisierung der bereits vorhandenen Rechtsprechung handelt.


Nach den Voraussetzungen des neuen § 28 a Abs. 2 BDSG können nun auch bestimmte Bankgeschäfte ohne Einwilligung nach Unterrichtung des Betroffenen an Auskunfteien übermittelt werden. Im Hinblick auf die Übermittlung von Daten nach § 28 a Abs. 2 BDSG ist zunächst festzuhalten, dass diese Regelung lediglich bestimmte Kataloggeschäfte iSd. § 1 Abs. 1 KWG umfasst, nämlich Kreditgeschäfte (Nr. 2), Garantiegeschäfte (Nr. 8) und Girogeschäfte (Nr. 9). Natürlich bleibt das Bankgeheimnis neben dem BDSG bestehen. Andere Geschäfte dürfen nach wie vor auf der Grundlage einer Einwilligung übermittelt werden. Zulässigkeit des Scorings nach dem neuen § 28b BDSG Nachdem im Vorfeld im BDSG keine expliziten gesetzlichen Vorschriften im Hinblick auf das Scoring existiert hatten, wurde mit der Einführung des § 28 b BDSG die Zulässigkeit des Scorings nun auch im BDSG gesetzlich geregelt. Danach darf zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses unter bestimmten Voraussetzungen ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen (Score) erhoben oder verwendet werden. Maßgeblich ist insbesondere, dass die verwendeten Daten statistisch-mathematisch nachweisbar erheblich sind und auch im Übrigen nach dem BDSG zulässig gespeichert sind.


Auskunftsansprüche der Betroffenen Um für die Betroffenen mehr Transparenz - insbesondere beim Scoring - zu schaffen, wurden deren Auskunftsansprüche im § 34 BDSG gestärkt. Bei den Auskunftsansprüchen der Betroffenen in den Fällen des § 28 b BDSG ist zu unterscheiden, gegen welche Stelle die Auskunftsansprüche geltend gemacht werden. Die Auskunftsansprüche der Betroffenen gegen den Scorelieferanten richten sich nach § 34 Abs. 4 BDSG, wohingegen sich die Auskunftsansprüche gegen den Scoreanwender nach § 34 Abs. 2 BDSG richten. Gemäß § 34 Abs. 2 BDSG hat das kreditgebende Unternehmen, das zur Kreditentscheidung Scores verwendet, dem Betroffenen die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte Auskunft zu geben. Dem Betroffenen muss darüber hinaus auch Auskunft über die zur Berechnung des Scores verwendeten Datenarten sowie das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form erteilt werden.


Auf Grund der unbestimmten und ausfüllungsbedürftigen Rechtsbegriffe „einzelfallbezogen“ und „nachvollziehbar in allgemein verständlicher Form“ ist bislang nicht eindeutig, wann der Auskunftsanspruch des Betroffenen erfüllt ist. Diese Begriffe müssen in der Praxis und gegebenenfalls durch die Rechtsprechung konkretisiert werden.

Fazit
Vor dem Hintergrund der mit der BDSGNovelle ebenfalls ausgeweiteten Bußgeldtatbestände insbesondere auch bei der Verletzung der Auskunftsansprüche der Betroffenen, sollten Unternehmen prüfen, ob und welcher Handlungsbedarf sich bei der Anpassung von Geschäftsabläufen aus den Änderungen des BDSG für sie ergeben, um den neuen Anforderungen im Datenschutz gerecht zu werden.


Quelle: Der CreditManager