BDSG-Novelle – was hat sich für die Unternehmen geändert?
Im Jahr 2009 verabschiedete der Gesetzgeber drei Datenschutznovellen, wodurch
das Bundesdatenschutzgesetz (BDSG) mehrere Änderungen erfuhr. Dieser Beitrag
konzentriert sich auf die BDSG-Novelle I, deren Änderungen mit dem „Gesetz zur
Änderung des Bundesdatenschutzgesetzes“ am 1. April 2010 in Kraft getreten sind.
Der Anwendungsbereich des BDSG regelt
den Umgang mit personenbezogenen
Daten natürlicher Personen. Daher umfasst
der Anwendungsbereich des BDSG
die „natürliche Person“ nicht nur in ihrer
Eigenschaft als Verbraucher im Sinne des
§ 13 BGB, sondern vielmehr auch in ihrer
Eigenschaft als Freiberufler, Selbstständiger
oder Alleingesellschafter einer
GmbH.
Die in diesem Beitrag dargestellten Neuregelungen
bei der Datenübermittlung
an Auskunfteien und der Bonitätsprüfung
anhand von Scoreverfahren im Bereich
„Business-to-consumer“ beziehen
sich daher nicht ausschließlich auf natürliche
Personen in ihrer Eigenschaft als
Verbraucher, sondern nach dem Anwendungsbereich
des BDSG auf natürliche
Personen unabhängig von ihrer Eigenschaft
als Verbraucher.
Ein wesentliches Motiv für die Verabschiedung
der BDSG-Novelle I war die
Kritik von Verbraucherschützern und Datenschutzaufsichtsbehörden
an der aus
ihrer Sicht mangelnden Transparenz und
fehlenden Rechtssicherheit im Auskunfteiwesen.
Große Bedeutung ist bei der
BDSG-Novelle I daher den Neuregelungen
zur Datenübermittlung von kreditge-
CreditManager Schwerpunkt
benden Unternehmen an Auskunfteien
und zu Scoringverfahren zugekommen.
Datenübermittlung an Auskunfteien
Mit dem neu geschaffenen § 28 a BDSG
sind die Voraussetzungen, unter denen
eine Übermittlung von Daten an eine
Auskunftei zulässig ist, in Gesetzesform
gegossen worden. Hierbei ist zwischen
der Übermittlung von Daten hinsichtlich
unbeglichener Forderungen nach § 28 a
Abs. 1 BDSG und der Übermittlung von
Daten hinsichtlich der Begründung, ordnungsgemäßen
Durchführung und Beendigung
im Rahmen bestimmter Bankgeschäfte
iSd. Gesetzes über das Kreditwesen
(KWG) nach § 28 Abs. 2 BDSG zu
unterscheiden.
Nach § 28 a Abs. 1 Nr. 1–5 BDSG ist die
Übermittlung von Daten über eine nicht
beglichene Forderung an Auskunfteien
nur zulässig, soweit die geschuldete Leistung
trotz Fälligkeit nicht erbracht worden
ist, die Übermittlung zur Wahrung
berechtigter Interessen der verantwortlichen
Stelle oder eines Dritten erforderlich
ist und die Forderung entweder
• gerichtlich festgestellt worden ist oder
ein Schuldtitel nach § 794 der Zivilprozessordnung
vorliegt (Nr. 1),
die Forderung nach § 178 der Insolvenzordnung
festgestellt und nicht
vom Schuldner im Prüfungstermin bestritten
worden ist (Nr. 2)
• der Betroffene die Forderung ausdrücklich
anerkannt hat (Nr. 3),
• der Betroffene nach Eintritt der Fälligkeit
der Forderung mindestens zweimal
schriftlich gemahnt worden ist,
zwischen der ersten Mahnung und der
Übermittlung mindestens vier Wochen
liegen, die Verantwortliche Stelle den
Betroffenen rechtzeitig vor der Übermittlung
der Angaben, jedoch frühestens
bei der ersten Mahnung über die
bevorstehende Übermittlung unterrichtet
hat und der Betroffene die Forderung
nicht bestritten hat (Nr. 4)
oder
• das der Forderung zugrunde liegende
Vertragsverhältnis aufgrund von Zahlungsrückständen
fristlos gekündigt
werden kann und die verantwortliche
Stelle den Betroffenen über die bevorstehende
Übermittlung unterrichtet
hat (Nr. 5).
Vor dem Inkrafttreten des § 28 a BDSG
war eine Übermittlung von Daten über
eine Forderung zulässig, soweit das Verhalten
des Schuldners auf Zahlungsunfähigkeit
bzw. Zahlungsunwilligkeit beruhte.
Davon war nach der Rechtsprechung
im Regelfall auszugehen, wenn es
sich um eine ausreichend gemahnte,
überfällige Forderung, die im Zeitpunkt
der Übermittlung unbestritten war, gehandelt
hat. Vergleicht man diese durch
die Rechtsprechung geschaffene Kasuistik
mit den neu geschaffenen Regelungen
des § 28 a Abs. 1 BDSG, so ist erkennbar,
dass es sich bei dessen Regelungen
im Wesentlichen um eine
gesetzliche Konkretisierung der bereits
vorhandenen Rechtsprechung handelt.
Nach den Voraussetzungen des neuen
§ 28 a Abs. 2 BDSG können nun auch bestimmte
Bankgeschäfte ohne Einwilligung
nach Unterrichtung des Betroffenen
an Auskunfteien übermittelt werden.
Im Hinblick auf die Übermittlung
von Daten nach § 28 a Abs. 2 BDSG ist
zunächst festzuhalten, dass diese Regelung
lediglich bestimmte Kataloggeschäfte
iSd. § 1 Abs. 1 KWG umfasst,
nämlich Kreditgeschäfte (Nr. 2), Garantiegeschäfte
(Nr. 8) und Girogeschäfte
(Nr. 9). Natürlich bleibt das Bankgeheimnis
neben dem BDSG bestehen. Andere
Geschäfte dürfen nach wie vor auf der
Grundlage einer Einwilligung übermittelt
werden.
Zulässigkeit des Scorings nach dem
neuen § 28b BDSG
Nachdem im Vorfeld im BDSG keine expliziten
gesetzlichen Vorschriften im
Hinblick auf das Scoring existiert hatten,
wurde mit der Einführung des § 28 b
BDSG die Zulässigkeit des Scorings nun
auch im BDSG gesetzlich geregelt. Danach
darf zum Zwecke der Entscheidung
über die Begründung, Durchführung
oder Beendigung eines Vertragsverhältnisses
unter bestimmten Voraussetzungen
ein Wahrscheinlichkeitswert für ein
bestimmtes zukünftiges Verhalten des
Betroffenen (Score) erhoben oder verwendet
werden. Maßgeblich ist insbesondere,
dass die verwendeten Daten
statistisch-mathematisch nachweisbar
erheblich sind und auch im Übrigen
nach dem BDSG zulässig gespeichert
sind.
Auskunftsansprüche der Betroffenen
Um für die Betroffenen mehr Transparenz
- insbesondere beim Scoring - zu
schaffen, wurden deren Auskunftsansprüche
im § 34 BDSG gestärkt. Bei den
Auskunftsansprüchen der Betroffenen in
den Fällen des § 28 b BDSG ist zu unterscheiden,
gegen welche Stelle die Auskunftsansprüche
geltend gemacht werden.
Die Auskunftsansprüche der Betroffenen
gegen den Scorelieferanten
richten sich nach § 34 Abs. 4 BDSG, wohingegen
sich die Auskunftsansprüche
gegen den Scoreanwender nach § 34
Abs. 2 BDSG richten.
Gemäß § 34 Abs. 2 BDSG hat das kreditgebende
Unternehmen, das zur Kreditentscheidung
Scores verwendet, dem Betroffenen
die innerhalb der letzten sechs
Monate vor dem Zugang des Auskunftsverlangens
erhobenen oder erstmalig gespeicherten
Wahrscheinlichkeitswerte
Auskunft zu geben. Dem Betroffenen
muss darüber hinaus auch Auskunft über
die zur Berechnung des Scores verwendeten
Datenarten sowie das Zustandekommen
und die Bedeutung der Wahrscheinlichkeitswerte
einzelfallbezogen
und nachvollziehbar in allgemein verständlicher
Form erteilt werden.
Auf Grund der unbestimmten und ausfüllungsbedürftigen
Rechtsbegriffe „einzelfallbezogen“
und „nachvollziehbar in
allgemein verständlicher Form“ ist bislang
nicht eindeutig, wann der Auskunftsanspruch
des Betroffenen erfüllt
ist. Diese Begriffe müssen in der Praxis
und gegebenenfalls durch die Rechtsprechung
konkretisiert werden.
Fazit
Vor dem Hintergrund der mit der BDSGNovelle
ebenfalls ausgeweiteten Bußgeldtatbestände
insbesondere auch bei
der Verletzung der Auskunftsansprüche
der Betroffenen, sollten Unternehmen
prüfen, ob und welcher Handlungsbedarf
sich bei der Anpassung von Geschäftsabläufen
aus den Änderungen des BDSG
für sie ergeben, um den neuen Anforderungen
im Datenschutz gerecht zu werden.