Datenschutz und Datenanalyse

Scoring und die DSGVO

| Autor / Redakteur: Simone Rosenthal / Peter Schmitz

Die faktenbasierte Einschätzung des Kreditrisikos ist essentiell für eine funktionierende Wirtschaft. Im BDSG gibt es seit 2010 Regelungen, die sich explizit mit dem Scoring befassen.
Die faktenbasierte Einschätzung des Kreditrisikos ist essentiell für eine funktionierende Wirtschaft. Im BDSG gibt es seit 2010 Regelungen, die sich explizit mit dem Scoring befassen. (© pichetw - Fotolia.com)

Durch die Datenschutz-Grundverordnung (DSGVO) sollen die europäischen Datenschutzvorschriften vor dem Hintergrund der technischen Entwicklungen zukunftssicher gemacht werden. Der Bereich des Scorings und die damit verbundene Auswertung großer Datenmengen hat in den letzten Jahren für Unternehmen zunehmend an Bedeutung gewonnen. Auch in der gesellschaftlichen Diskussion geriet das Scoring immer mehr ins Zentrum.

Nach der aktuellen Definition im Bundesdatenschutzgesetz (§ 28b BDSG) ist Scoring die Erhebung oder Verwendung eines Wahrscheinlichkeitswerts für ein bestimmtes Verhalten des Betroffenen, um über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen zu entscheiden.

Das klassische Beispiel hierfür ist die Bildung eines Scores, das heißt eine Bonitätsprüfung, bei der Vergabe von Krediten. Weit gefasst zählen hierzu alle Geschäfte, bei denen ein Geschäftspartner in Vorleistung geht, ohne sofort eine Gegenleistung zu erhalten. Dazu zählen etwa der Banken- und Immobilienkredit ebenso wie der Kauf einer Ware mit Zahlung nach Rechnungslegung. Der Score ergibt sich aus zuvor als relevant definierten Kriterien, die mit Daten zu füllen sind. Exemplarisch hierfür ist die Bewertung durch die Schufa. Mit dem Score wird eine Wahrscheinlichkeit ausgedrückt, ob der Vertragspartner seine Schulden bedienen wird oder kann.

Die hohe Relevanz des Scorings in der Kreditvergabe und im Handel hat insbesondere im Verbraucherrecht Kritik hervorgerufen. Das Zustandekommen eines Scores sei in vielen Fällen für die Betroffenen nicht nachvollziehbar und daher kaum steuerbar. Daten würden ohne explizite Einwilligung für Zwecke der Bewertung des Kreditrisikos verarbeitet. Zudem dürfen Verbraucher dadurch in für sie wichtigen geschäftlichen Angelegenheiten allein von einem automatisierten Entscheidungsprozess abhängig sein. Es könnten hierdurch im Einzelfall unangemessene Entscheidungen zustande kommen, die nicht mehr im Einzelfall durch einen Menschen geprüft werden.

Ein Verbot derartiger Verarbeitungen kommt jedoch aus volkswirtschaftlichen Gründen nicht in Betracht. Die faktenbasierte Einschätzung des Kreditrisikos ist essentieller Bestandteil für eine funktionierende Wirtschaft, da ansonsten weitaus mehr Unternehmen von Kreditausfällen betroffen wären und die Vergabe von Krediten sich aufgrund der Risiken kaum noch lohnen würde.

Aktuelle gesetzliche Grundlagen

Daher ist die Möglichkeit des Scorings sowohl mit als auch ohne Einwilligung des Betroffenen gesetzlich legitimiert. Erst 2010 traten im BDSG Regelungen in Kraft, die sich explizit mit dem Scoring befassen.

§ 28a BDSG regelt die Möglichkeit zur Übermittlung von personenbezogenen Daten auch ohne die Zustimmung des Betroffenen an Auskunfteien wie die Schufa. Dies ist gemäß § 28a Abs. 1 BDSG prinzipiell nur dann erlaubt, wenn eine geschuldete Leistung trotz Fälligkeit nicht erbracht wurde und weitere Anforderungen hinzutreten, die sich auf die Berechtigung der Forderung beziehen. Kreditinstitute dürfen gemäß § 28a Abs. 2 BDSG unter erleichterten Voraussetzungen Informationen über Darlehen und ähnliche Geschäfte übermitteln.

Zentrale Vorschrift für die Zulässigkeit des Scorings ist § 28b BDSG. Vier Voraussetzungen müssen demnach vorliegen:

  • Die Daten sind unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des Kreditrisikos erheblich.
  • Die Voraussetzungen der §§ 28 und 29 BDSG müssen erfüllt sein, d. h. insbesondere muss das Scoring im Zusammenhang mit einer rechtsgeschäftlichen Entscheidung stehen und es dürfen nicht die Interessen des Betroffenen an einem Ausschluss der Verarbeitung/Nutzung der Daten überwiegen.
  • Es dürfen für die Berechnung nicht ausschließlich Adressdaten genutzt werden.
  • Sofern Adressdaten für die Berechnung mitgenutzt werden sollen, muss der Betroffene vorher mit entsprechendem Nachweis informiert werden.

Um die Rechte der Betroffenen in bedeutenden Einzelfällen zu wahren, verbietet § 6a BDSG die ausschließlich auf eine automatische Datenverarbeitung gestützte Einzelentscheidung, wenn es um Entscheidungen geht, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen. Wo es um spürbare Konsequenzen geht, muss also im Prinzip die Prüfung durch einen Menschen erfolgen. Ausnahmen regelt § 6a Abs. 2 BDSG. So kann gemäß § 6a Abs. 2 Nr. 1 BDSG eine automatisierte Entscheidung dann ergehen, wenn diese im Zusammenhang mit dem Abschluss oder der Erfüllung eines Vertragsverhältnisses ergeht und für den Betroffenen keine negativen Auswirkungen hat, da seinem Begehren – zumeist die Vergabe eines Kredites – entsprochen wurde.

§ 28a in Verbindung mit § 34 Abs. 2 und 4 BDSG legt Auskunftsrechte des Betroffenen über die Entstehung des Scorings fest und dient somit der Nachvollziehbarkeit, die einen der Hauptkritikpunkte an der früheren Praxis darstellt.

Regelungsstruktur der Datenschutz-Grundverordnung

Viele Regelungen des alten BDSG finden sich in ähnlicher Form in der DSGVO wieder, wenngleich das BDSG oftmals die detaillierteren Festlegungen trifft. Der deutsche Gesetzgeber hat bei der Ausfüllung der von der DSGVO freigelassenen Räume die Möglichkeit, konkretisierende Bestimmungen entweder neu zu formulieren oder bestehende Vorschriften zu bewahren. Inwieweit diese Räume bestehen und wie sie am besten genutzt werden können, ist aktuell Gegenstand einer intensiven juristischen wie politischen Diskussion.

Ausgangspunkt der Regelungen über das Scoring in der DSGVO ist der dortige Art. 22. Wie schon im deutschen Recht wird hier zunächst in Abs. 1 das grundsätzlich bestehende Recht des Betroffenen betont, in für ihn wichtigen Fällen nicht einer rein automatisierten Entscheidung unterworfen zu sein.

Eine Ausnahme von diesem prinzipiellen Verbot besteht jedoch dann, wenn die automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen beiden Parteien notwendig ist. Das Erfordernis der Notwendigkeit markiert einen Unterschied zu der bisherigen Regelung von § 6a Abs. 2 BDSG und stellt insoweit eine Verschärfung dar.

Art. 6 Abs. 1 f DSGVO verlangt für jede Datenverarbeitung eine Interessenabwägung. Die Verarbeitung ist immer dann unzulässig, wenn diese zum einen nicht für die Wahrung der berechtigten Interessen des Verantwortlichen erforderlich ist oder Rechte des Betroffenen am Ausschluss der Verarbeitung überwiegen. Die DSGVO nennt hier explizit die Rechte von Kindern, die als besonders schutzwürdig eingestuft werden.

Das Auskunftsrecht des Betroffenen regelt Art. 15 Abs. 1 h DSGVO. Zusätzlich zu den anderen in dieser Vorschrift genannten Auskunftrechten darf der Betroffene verlangen, über die involvierte Logik und die für ihn zu erwartenden Konsequenzen der Verarbeitung informiert zu werden. Hierbei handelt es sich um eine weniger detaillierte Bestimmungen als in § 34 Abs. 2 und Abs. 4 des aktuellen BDSG. Nach Art. 15 Abs. 3 DSGVO sind die fraglichen Daten in Kopie bereitzustellen.

Konkretisierungen im novellierten BDSG

Das für Ende 2017 erwartete novellierte BDSG soll in erster Linie der Konkretisierung der von der DSGVO verbliebenen Regelungsspielräume dienen, wobei nach den bisherigen Entwürfen die alten Vorschriften des BDSG weitgehend aufrechterhalten bleiben sollen. Insoweit besteht für Unternehmen zunächst wenig praktischer Anpassungsbedarf.

Ob die alten Regelungen jedoch – wie derzeit von der Bundesregierung beabsichtigt – weitestgehend deckungsgleich beibehalten werden können, ist noch nicht eindeutig geklärt. Der Entwurf für das neue BDSG befindet sich momentan in der Abstimmungsphase. Für die Konkretisierung der Scoring-Vorschriften der DSGVO muss der nationale Gesetzgeber besondere Gründe wie etwa den Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses geltend machen. Ob diese Voraussetzungen im Bereich des Scoring erfüllt sind und somit ein Spielraum zur Gestaltung eigener Regelungen, wird im weiteren Verlauf des Gesetzgebungsverfahrens zu beantworten sein.

Fazit und Handlungsempfehlung

In der Praxis werden Unternehmen mit der DSGVO und dem angepassten neuen BDSG zunächst keine gravierenden Änderungen im Bereich des Scorings vornehmen müssen. Nach aktuellem Stand beabsichtigt die Bundesregierung, die alten Vorschriften so weit wie möglich beizubehalten, sodass für Unternehmen nur ein geringer zusätzlicher Anpassungs- und Beratungsbedarf entstünde. Sollte sich im Gesetzgebungsverfahren jedoch die Auffassung durchsetzen, dass in weiterem Umfang auf die DSGVO abzustellen ist, wäre der rechtliche Anpassungsprozess durch eine fachlich fundierte Beratung zu begleiten.

Über die Autorin

Simone Rosenthal
Simone Rosenthal (Bild: SWD-Rechtsanwälte)

Simone Rosenthal ist Rechtsanwältin und Partnerin bei Schürmann Wolschendorf Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts sowie der Beratung zu vertriebs- und gesellschaftsrechtlichen Fragestellungen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44577110 / Compliance und Datenschutz )