A. Problem und Ziel
- Das Bundesdatenschutzgesetz (BDSG) in seiner derzeitigen Fassung trägt der gestiegenen und weiter steigenden Bedeutung von Auskunfteien in einer immer anonymer werdenden Geschäftswelt und ihrer Nutzung durch immer weitere Branchen nicht mehr ausreichend Rechnung. Problematisch ist insbesondere, dass aufgrund bestehender intransparenter Verfahrensweisen der Auskunfteien Betroffene häufig die sie betreffenden Entscheidungen ihrer (potentiellen) Geschäftspartner, der Auskunfteikunden, nicht oder nur schwer nachvollziehen können. Dies gilt insbesondere beim Einsatz sog. Scoringverfahren (mathematischstatistische Verfahren zur Berechnung der Wahrscheinlichkeit, mit der eine bestimmte Person ein bestimmtes Verhalten zeigen wird), die vor allem zur Bewertung der Kreditwürdigkeit (Zahlungsfähigkeit und -willigkeit) der Betroffenen verwendet werden. Zudem ist hinsichtlich bestimmter Datenverarbeitungen durch Auskunfteien in der Praxis eine gewisse Rechtsunsicherheit zu erkennen. Aufgrund der mitunter sehr weiten Auslegungs- und Bewertungsspielräume der geltenden datenschutzrechtlichen Regelungen wird die Zulässigkeit bestimmter Datenverarbeitungen, mitunter auch von den Datenschutz-Aufsichtsbehörden der Länder, unterschiedlich beurteilt. Der Gesetzentwurf verfolgt das Ziel, die Transparenz der Verfahren zu verbessern und gleichzeitig mehr Rechtssicherheit und damit bessere Planungsmöglichkeiten für die Unternehmen zu schaffen.
B. Lösung
- Die Regelungen für die Tätigkeit von Auskunfteien und ihren Vertragspartnern im BDSG sind dahingehend zu ändern, dass die Rechte der Betroffenen, insbesondere durch weitere Informations- und Auskunftsrechte gestärkt werden.
- Mehr Rechtssicherheit wird durch die Einführung spezifischer Erlaubnistatbestände für bestimmte Datenverarbeitungen (z.B. für bestimmte Übermittlungen von Forderungen oder von Angaben über die ordnungsgemäße Durchführung von Kreditverträgen an Auskunfteien) erreicht. Insbesondere werden ausdrückliche Regelungen für die Durchführung von Scoringverfahren, sofern deren Ergebnisse für Entscheidungen über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen verwendet werden eingeführt.
C. Alternativen
D. Finanzielle Auswirkungen auf die öffentlichen Haushalte
- Finanzielle Auswirkungen auf die öffentlichen Haushalte sind auf Grund der Gesetzesänderung nicht zu erwarten.
E. Sonstige Kosten
- Geringfügige zusätzliche Verwaltungskosten für einzelne Unternehmen können nicht ausgeschlossen werden (siehe Bürokratiekosten). Andere Kostenfolgen für die Wirtschaft sind nicht zu erwarten. Auswirkungen auf die Einzelpreise, das allgemeine Preisniveau und das Verbraucherpreisniveau sind ebenfalls nicht zu erwarten.
F. Bürokratiekosten
- Für Unternehmen werden zwei Informationspflichten geändert und vier neue eingeführt (im Einzelnen siehe den allgemeinen Teil der Begründung). Die Summe zu erwartender Mehrkosten für alle betroffenen Unternehmen insgesamt beträgt rund 646 700 Euro pro Jahr.
- Für Bürgerinnen und Bürger wird eine neue Informationspflicht eingeführt. Es werden keine Informationspflichten für die Verwaltung neu eingeführt, geändert oder aufgehoben.
Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes
Bundesrepublik Deutschland Berlin, den 8. August 2008
Die Bundeskanzlerin
An den
Präsidenten des Bundesrates
Herrn Ersten Bürgermeister
Ole von Beust
Sehr geehrter Herr Präsident,
hiermit übersende ich gemäß Artikel 76 Absatz 2 des Grundgesetzes den von der Bundesregierung beschlossenen
mit Begründung und Vorblatt.
Federführend ist das Bundesministerium des Innern.
Die Stellungnahme des Nationalen Normenkontrollrates gemäß § 6 Abs. 1 NKRG ist als Anlage 1 beigefügt.
Die Stellungnahme der Bundesregierung zur Stellungnahme des Nationalen Normenkontrollrates ist als Anlage 2 beigefügt.
Mit freundlichen Grüßen
Der Stellvertreter der Bundeskanzlerin Dr. Frank-Walter Steinmeier
Fristablauf: 19.09.08
Vom ...
Der Bundestag hat das folgende Gesetz beschlossen:
Artikel 1
Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 1 des Gesetzes vom 22. August 2006 (BGBl. I S. 1970), wird wie folgt geändert:
Artikel 2
- Dieses Gesetz tritt am ... [einsetzen: Datum des ersten Tags des 13. auf die Verkündung folgenden Kalendermonats] in Kraft.
Begründung
A. Allgemeiner Teil
I. Ziel des Entwurfs
Der Entwurf verfolgt das Ziel, die Regelungen des Bundesdatenschutzgesetzes (BDSG) für die Tätigkeit insbesondere von Auskunfteien der gestiegenen und weiter steigenden Bedeutung von Auskunfteien und dem vermehrten Einsatz von Scoringverfahren anzupassen. Durch ihn sollen zur Stärkung der Rechte der Betroffenen die Transparenz der Verfahren verbessert und mehr Rechtssicherheit sowohl für die Betroffenen als auch für die Unternehmen und damit auch bessere Planungsmöglichkeiten für die Unternehmen geschaffen werden.
Unter einer Auskunftei ist grundsätzlich ein Unternehmen zu verstehen, das unabhängig vom Vorliegen einer konkreten Anfrage geschäftsmäßig bonitätsrelevante Daten über Unternehmen oder Privatpersonen sammelt, um sie bei Bedarf seinen Geschäftspartnern für die Beurteilung der Kreditwürdigkeit der Betroffenen gegen Entgelt zugänglich zu machen (Ehmann, in: Simitis, Bundesdatenschutzgesetz, 6. Aufl., § 29, Rdnr. 73). Aufgrund der immer anonymer werdenden Geschäftswelt erlangt die Tätigkeit von Auskunfteien für den Schutz potentieller Kreditgeber vor der Vergabe von Krediten an zahlungsunfähige oder -unwillige Schuldner immer größere Bedeutung. Z. B. sind - begünstigt durch die Vergleichsmöglichkeiten, die das Internet bietet - immer mehr private Verbraucher nicht mehr langjährige Stammkunden bei einem bestimmten Unternehmen, sondern wechseln ihre Geschäftspartner häufig und unterhalten vielfach auch zu mehreren Kreditinstituten gleichzeitig Geschäftsbeziehungen.
Dies hat zur Folge, dass keines der Kreditinstitute aufgrund seines eigenen Datenbestands den vollständigen Überblick über die finanziellen Verhältnisse des Verbrauchers hat. Typische Geschäftspartner von Auskunfteien sind z.B. Kreditinstitute, Telekommunikationsdiensteanbieter und Versandhandelsunternehmen. Zunehmend schließen sich aber auch weitere Branchen wie die Wohnungs- oder Versicherungswirtschaft an das Auskunfteiensystem an.
Obwohl auch die Betroffenen von einer Auskunftei Auskunft über die zu ihrer Person gespeicherten Daten verlangen können (sog. Selbstauskunft), hat sich in der Praxis gezeigt dass Betroffene die von einer Auskunftei - ihnen oder ihren potentiellen Vertragspartnern - erteilte Auskunft oftmals nicht nachvollziehen können. Dies liegt an den bestehenden intransparenten Verfahrensweisen der Auskunfteien. Mangelnde Transparenz besteht insbesondere hinsichtlich der sog. Scoringverfahren. Scoring ist ein mathematischstatistisches Verfahren, mit dem die Wahrscheinlichkeit, mit der eine bestimmte Person ein bestimmtes Verhalten zeigen wird, berechnet werden kann. Diese Wahrscheinlichkeit wird angegeben durch den so genannten Scorewert.
Vorwiegend werden Scoringverfahren zur Berechnung der Wahrscheinlichkeit des Zahlungsverhaltens und damit zur Ermittlung der Kreditwürdigkeit einer Person benutzt.
Nicht ausreichend transparent für den Betroffenen ist die einem Geschäftspartner der Auskunftei erteilte Auskunft insbesondere auch dann, wenn Auskunfteien bestimmte Daten nicht mehr selbst in ihrem Datenbestand vorhalten, sondern bei Bedarf automatisiert aus fremden Datenbeständen abrufen und nach Übermittlung an den Geschäftspartner wieder löschen. Ist dem Betroffenen aber nicht ersichtlich aufgrund bzw. mit Hilfe welcher Daten die ihn betreffende Entscheidung zustande gekommen ist, kann er weder fehlerhafte Daten korrigieren oder Missverständnisse aufklären noch seine Interessen sachgerecht gegenüber dem Sachbearbeiter vertreten.
Auch der Sachbearbeiter kann ohne Kenntnis der Einzelheiten keine sachgerechte Prüfung durchführen, sondern muss sich auf den berechneten Scorewert verlassen.
Durch eine Erweiterung der Informations- und Auskunftsrechte der Betroffenen in bestimmten Fällen wird die Transparenz der von den Auskunfteien praktizierten Verfahren verbessert und den Betroffenen ermöglicht, ihre Rechte effektiver wahrzunehmen.
Gleichzeitig wird durch die Einführung spezifischer Regelungen für bestimmte Datenverarbeitungen dem Anliegen der Wirtschaft Rechnung getragen, mehr Rechtssicherheit und dadurch verbesserte Planungsmöglichkeiten zu erhalten.
Derzeit führen in der Praxis die mitunter sehr weiten Auslegungs- und Wertungsspielräume im BDSG zu divergierenden Rechtsauffassungen hinsichtlich der Zulässigkeit von bestimmten Datenverarbeitungen durch Auskunfteien und deren Geschäftspartner. So wird z.B. die Frage, unter welchen Voraussetzungen die Geschäftspartner der Auskunfteien Angaben über Forderungen in den Datenbestand der Auskunfteien einmelden dürfen, unterschiedlich beantwortet.
Zudem erscheint problematisch, dass in der Praxis eine natürliche Person einen Bankkredit regelmäßig nicht mehr ohne eine von der Bank angeforderte Bonitätsauskunft einer Auskunftei erhält, wobei in vielen Fällen der Betroffene gleichzeitig eine Einwilligungserklärung für bestimmte Datenübermittlungen an diese Auskunftei abzugeben hat. Diese Einwilligung umfasst die Übermittlungen personenbezogener Daten über den gewünschten Kreditvertrag zur zukünftigen Auskunftserteilung an Dritte, die auf keine gesetzliche Rechtsgrundlage gestützt werden können (z.B. von Daten über Betrag und Laufzeit des Kredits). Eine solche datenschutzrechtliche Einwilligung ist allerdings nur wirksam, wenn der Betroffene sie freiwillig erteilt. Mangels zumutbaren Alternativverhaltens kann es zweifelhaft sein, ob eine solche Einwilligung noch als freiwillig anzusehen ist.
II. Lösung
Die bestehenden Informations- und Auskunftsansprüche der Betroffenen gegenüber den datenverarbeitenden Stellen werden erweitert. Es wird ein Auskunftsanspruch des Betroffenen hinsichtlich der von einer Auskunftei nicht dauerhaft gespeicherten, aber zeitweise genutzten oder an Dritte übermittelten Daten sowie der in Scoringverfahren genutzten Datenarten und der mit diesen Verfahren errechneten Scorewerte eingeführt. In den Fällen, in denen für eine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen ein Scorewert verwendet wird, erhält der Betroffene einen entsprechenden Auskunftsanspruch grundsätzlich auch gegenüber der entscheidenden Stelle. Verstärkt werden die Auskunftsansprüche der Betroffenen durch einen neuen Bußgeldtatbestand für das Nichterfüllen der Auskunftsansprüche. Die Betroffenen erhalten zusätzlich gegenüber Stellen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung speichern einen Anspruch auf eine einmal jährliche kostenfreie Selbstauskunft in Textform. Entscheidungen, die ausschließlich mit Hilfe automatisierter Verarbeitung personenbezogener Daten ergangen sind, müssen in Zukunft begründet werden sofern der Betroffene dies verlangt.
Es werden allgemeine Voraussetzungen für die Durchführung von Scoringverfahren, deren Ergebnisse für Entscheidungen über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen verwendet werden, eingeführt.
Zudem werden spezielle Erlaubnistatbestände für Übermittlungen bestimmter Daten an Auskunfteien geschaffen. Geregelt wird etwa die Übermittlung von Daten über Forderungen sowie von Daten über die Begründung, ordnungsgemäße Durchführung oder Beendigung von bestimmten Bankgeschäftsverträgen (vgl. § 1 Abs. 1 Satz 2 Nr. 2, 8 oder 9 Kreditwesengesetz - KWG) zum Zweck der zukünftigen Übermittlung.
Die Übermittlung von Merkmalen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses des Betroffenen mit seinem Geschäftspartner der Herstellung von Markttransparenz dienen, zum Zweck der zukünftigen Übermittlung wird verboten. Es erfolgt ferner eine Klarstellung hinsichtlich der Regeln für die bestehenden Stichprobenverfahren zum Vorliegen eines berechtigten Interesses des Auskunfteikunden beim automatisierten Abruf von Daten aus dem Datenbestand einer Auskunftei.
Daneben werden die Regelungen über die Sperrung von Daten präzisiert und wird für die bestimmte Datenart der erledigten Forderungen die gesetzlich vorgesehene Prüffrist, nach deren Ablauf festgestellt werden muss, ob ein gespeichertes Datum zu löschen ist, von vier auf drei Jahre verkürzt.
Aus Anlass der genannten Änderungen des BDSG werden redaktionelle Änderungen einzelner Vorschriften vorgeschlagen.
III. Gesetzgebungskompetenz
Die Gesetzgebungskompetenz des Bundes folgt für Regelungen des Datenschutzes als Annex aus der Kompetenz für die geregelte Sachmaterie. Die Regelungen für die Tätigkeit für Auskunfteien und die neu eingeführten Regelungen für Scoringverfahren betreffen nicht-öffentliche Stellen, d.h. grundsätzlich alle privatrechtlichen Organisationsformen (z.B. private Unternehmen). Betroffene Sachmaterien sind daher vorwiegend das Bürgerliche Recht (Artikel 74 Abs. 1 Nr. 1 GG), das Recht der Wirtschaft (Artikel 74 Abs. 1 Nr. 11 GG) und das Arbeitsrecht (Artikel 74 Abs. 1 Nr. 12 GG). Die Berechtigung des Bundes zur Inanspruchnahme der Gesetzgebungskompetenz ergibt sich aus Artikel 72 Abs. 2 GG. Eine bundeseinheitliche Regelung für die Tätigkeit von Auskunfteien und die Durchführung von Scoringverfahren durch bundesweit agierende Unternehmen ist zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung dieser Materie durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die sowohl im Interesse des Bundes als auch der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten. Es bestünde die Gefahr, dass die Voraussetzungen für die Zulässigkeit bestimmter Datenverarbeitungen durch die verschiedenen Landesgesetzgeber unterschiedlich festgelegt würden, mit der Folge, dass bundesweit agierende Unternehmen ihre Datenverarbeitungssysteme auf verschiedenste Vorgaben einrichten müssten. So müsste z.B. eine bundesweit agierende Auskunftei ihr Datenverarbeitungssystem so ausrichten, dass je nach Sitz des anfragenden oder meldenden Unternehmens die datenschutzrechtlichen Vorgaben gewährleistet bleiben. Wirtschaftlich rentabel kann dies bei Millionen von Kundenanfragen im Jahr aber nicht mehr sein.
IV. Vereinbarkeit mit dem Recht der Europäischen Union
Die vorgeschlagenen Änderungen betreffen Vorschriften, durch die Vorgaben der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (sog. EG-Datenschutzrichtlinie) umgesetzt wurden.
Sie sind mit den Vorschriften der EG-Datenschutzrichtlinie vereinbar, da sie die allgemeinen Vorgaben der Richtlinie (insbesondere der Artikel 6, 7, 12, 15 und 24) konkretisieren ohne über den durch die Richtlinie festgesetzten Rechtsrahmen hinauszugehen.
Im Einzelnen zu den - nicht nur redaktionellen - Änderungen:
Zu Nummer 3 (§ 6 Abs. 3)
§ 6 Abs. 3 enthält eine Zweckbegrenzung für die Verwendung von personenbezogenen Daten über die Ausübung von Datenschutzrechten durch den Betroffenen. Diese Regelung hält sich im Rahmen der Vorgaben der Artikel 5 und 6 EG-Datenschutzrichtlinie.
Zu Nummer 4 (§ 6a)
Durch die Regelungen in § 6a werden die Vorgaben des Artikels 15 der Richtlinie umgesetzt. Nach geltendem § 6a sind Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen und die sich ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten stützen, verboten solange nicht eine der Ausnahmen des Absatzes 2 vorliegt. Grundlage dieser Regelung ist Artikel 15 der Richtlinie, wonach die Mitgliedstaaten jeder Person das Recht einräumen, keiner für sie rechtliche Folgen nach sich ziehenden und keiner sie erheblich beeinträchtigenden Entscheidung unterworfen zu werden, die ausschließlich aufgrund einer automatisierten Verarbeitung von Daten zum Zwecke der Bewertung einzelner Aspekte ihrer Person ergeht, solange nicht eine der Ausnahmen des Absatzes 2 vorliegt. Durch den vorliegenden Gesetzentwurf soll § 6a Abs. 1 nunmehr ergänzt werden um einen neuen Satz 2, in dem der Begriff der ausschließlich auf eine automatisierte Verarbeitung gestützten Entscheidung konkretisiert wird. Danach liegt eine solche Entscheidung insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Hierdurch wird klargestellt, dass die Vorgaben des § 6a nicht dadurch umgangen werden können, indem dem automatisierten Datenverarbeitungsverfahren noch eine mehr oder minder formale Bearbeitung durch einen Menschen nachgeschaltet wird, dieser Mensch aber gar keine Befugnis oder ausreichende Datengrundlage besitzt, um von der automatisierten Entscheidung abweichen zu können. Diese Ergänzung entspricht Sinn und Zweck der Regelung in Artikel 15 der Richtlinie und hält sich demnach im vorgegebenen europarechtlichen Rahmen.
Zulässig sind Entscheidungen nach § 6a Abs. 1 gemäß Absatz 2 Nr. 2 dann, wenn die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet und dem Betroffenen von der verantwortlichen Stelle die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitgeteilt wird. Entsprechend der Vorgaben der Richtlinie (vgl. Artikel 15 Abs. 2 Buchstabe a) gilt insofern als geeignete Maßnahme insbesondere die Möglichkeit des Betroffenen, seinen Standpunkt geltend zu machen. Da dies nur möglich ist, sofern dem Betroffenen zumindest die wesentlichen Gründe der Entscheidung bekannt sind, wird die Pflicht zur Mitteilung über das Vorliegen einer Entscheidung in § 6a Abs. 2 Nr. 2 ergänzt um die Pflicht, dem Betroffenen auf Verlangen die wesentlichen Gründe der Entscheidung mitzuteilen. Auch diese Ergänzung hält sich demnach in dem durch die Regelungen der Richtlinie vorgegebenen Rahmen.
Zu Nummer 6 (§§ 28a, 28b) und Nummer 7 (§ 29)
Die Regelungen in den neuen §§ 28a und 28b sowie die geänderten Regelungen in § 29 legen Zulässigkeitsvoraussetzungen für bestimmte Datenverarbeitungen fest und konkretisieren damit den von Artikel 5 und 7 der EG-Datenschutzrichtlinie vorgegebenen Rahmen. Nach Artikel 5 bestimmen die Mitgliedstaaten nach Maßgabe des folgenden Kapitels die Voraussetzungen näher, unter denen die Verarbeitung personenbezogener Daten rechtmäßig ist. Nach Artikel 7 dieses Kapitels sehen die Mitgliedstaaten vor dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf wenn einer der Tatbestände des Artikels 7 erfüllt ist. So ist z.B. nach Artikel 7 Buchstabe f Voraussetzung, dass die Verarbeitung erforderlich ist zur Verwirklichung des berechtigten Interesses, das von dem für die Verarbeitung Verantwortlichen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt werden, sofern nicht das Interesse oder die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen. § 28a legt Voraussetzungen fest, unter denen nichtöffentliche Stellen bestimmte Daten an Auskunfteien übermitteln dürfen. Hinsichtlich der ggf. übermittelten Daten wird § 29 Abs. 1 ergänzt um eine entsprechende Speichererlaubnis für die Auskunfteien. § 28b bestimmt einheitliche Voraussetzungen für bestimmte Datenverwendungen im Zusammenhang mit der Durchführung von Scoringverfahren.
Die Regelungen insgesamt konkretisieren damit den von Artikel 7 Buchstabe f der Richtlinie vorgegebenen Abwägungsrahmen zwischen den berechtigten Interessen der verantwortlichen Stelle bzw. eines Dritten und den schutzwürdigen Interessen des Betroffenen.
Zu Nummer 8 (§ 34) und Nummer 10 (§ 43)
Die in § 34 neu eingeführten Auskunftsansprüche konkretisieren insbesondere Artikel 12 Buchstabe a der Richtlinie, wonach die Mitgliedstaaten jeder betroffenen Person u. a. das Recht garantieren, vom für die Verarbeitung Verantwortlichen frei und ungehindert in angemessenen Abständen ohne unzumutbare Verzögerung oder übermäßige Kosten die Bestätigung, dass es Verarbeitungen sie betreffender Daten gibt, die Kategorien der Daten, die Gegenstand der Verarbeitung sind, und die Empfänger oder Kategorien der Empfänger, an die die Daten übermittelt werden, zu erhalten -sowie eine Mitteilung in verständlicher Form über die Daten, die Gegenstand der Verarbeitung sind, und die verfügbaren Informationen über die Herkunft der Daten, sowie Auskunft über den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten.
Die Einführung eines Bußgeldtatbestands (vgl. § 43), um Verstöße gegen diese Auskunftsrechte sanktionieren zu können, sieht Artikel 24 der Richtlinie ausdrücklich vor.
Zu Nummer 9 (§ 35)
Die Änderungen des § 35, die Aussagen über die Richtigkeit von Daten sowie die Löschungs- und Sperrpflichten der verantwortlichen Stelle betreffen, halten sich im Rahmen der Vorgaben des Artikels 12 Buchstabe b der Richtlinie, wonach die Mitgliedstaaten jeder betroffenen Person das Recht garantieren, vom für die Verarbeitung Verantwortlichen je nach Fall die Berichtigung, Löschung oder Sperrung von Daten, deren Verarbeitung nicht den Bestimmungen der Richtlinie entspricht, insbesondere wenn diese Daten unvollständig oder unrichtig sind, zu erhalten.
V. Bürokratiekosten
1. Informationspflichten für Unternehmen
Die Erweiterung bestehender Informations- und Auskunftsrechte der Betroffenen gegenüber den datenverarbeitenden Stellen können zusätzliche Kosten für die einzelnen Unternehmen zur Folge haben. Die daraus resultierenden Bürokratiekosten betragen für alle betroffenen Unternehmen rund 646 700 Euro pro Jahr. Im Einzelnen:
Es werden zwei bestehende Informationspflichten geändert und vier neue eingeführt.
a. Bürokratiekosten geänderter Informationspflichten
Die nach § 6a Abs. 2 Satz 1 Nr. 2 bestehende Pflicht, den Betroffenen über die Tatsache des Vorliegens einer Entscheidung nach § 6a Abs. 1 zu informieren, wird dadurch erweitert dass neben der Tatsache des Vorliegens einer Entscheidung nach § 6a Abs. 1 auch die wesentlichen Gründe der Entscheidung mitzuteilen sind, sofern der Betroffene dies verlangt. Dies ist notwendig, da sich in der Praxis herausgestellt hat dass Betroffene Entscheidungen ihrer potentiellen Vertragspartner, die wesentlich auf automatisierte Vorentscheidungsprozesse wie der Scorewertberechnung gestützt werden nicht oder nur schwer nachvollziehen können. Den Betroffenen wird durch die erweiterte Mitteilungspflicht erleichtert, die Entscheidung nachzuvollziehen und ihre Interessen zu vertreten. Der Exante-Schätzung der Bürokratiekosten wurde eine Häufigkeit von 100 Fällen pro Jahr zugrunde gelegt. Der Zeitaufwand für die Information beträgt insgesamt 1/6 Stunde mit Arbeitskosten in Höhe von 30,20 Euro/ Stunde. Daraus resultieren Kosten in Höhe von insgesamt ca. 500 Euro pro Jahr.
Zudem wird der Umfang der bereits bestehenden Pflicht zur Auskunftserteilung nach § 34 Abs. 1 bis 4 erweitert. Dies ist notwendig, da sich in der Praxis gezeigt hat, dass Betroffene die von einer Auskunftei - ihnen oder ihren potentiellen Vertragspartnern -erteilte Auskunft über die zu ihrer Person gespeicherten Daten oftmals nicht nachvollziehen können. Dies liegt an den bestehenden intransparenten Verfahrensweisen der Unternehmen. Durch eine Erweiterung der Auskunftsrechte wird die Transparenz der Verfahren erhöht und es den Betroffenen erleichtert, die sie betreffenden Entscheidungen nachzuvollziehen und das Ergebnis von Scoringverfahren zu interpretieren.
Der Betroffene soll die Möglichkeit erhalten, seine Rechte sachgerecht auszuüben und mögliche Fehler aufzudecken. Daher wird der Auskunftsanspruch gegenüber Stellen, die für Entscheidungen über die Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses mit dem Betroffenen einen Scorewert verwenden grundsätzlich erweitert auf die Angabe des Scorewerts und die genutzten Datenarten. Von Stellen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichern, kann der Betroffene darüber hinaus Auskunft verlangen über die innerhalb der letzten zwölf Monate an Dritte übermittelten Scorewerte, Name und letztbekannte Anschrift dieser Dritten, den tagesaktuellen Scorewert sowie die zur Berechnung dieser Scorewerte genutzten Datenarten. Ferner werden die Auskunftsansprüche erstreckt auf Daten, die von der verantwortlichen Stelle selbst nicht gespeichert werden und an ihrem ursprünglichen Speicherort noch keinen Personenbezug aufweisen, deren Personenbezug aber von der verantwortlichen Stelle zur Übermittlung an Dritte oder im Rahmen des Scoringverfahrens hergestellt wird. Gegenüber der gegenwärtigen Regelung ergibt sich eine zusätzliche Belastung in Höhe von 598 800 Euro. Der Exante-Schätzung der Bürokratiekosten wurde eine Häufigkeit von 60 000 Auskunftsersuchen pro Jahr zugrunde gelegt. Der Zeitaufwand zur Befolgung der zusätzlichen Pflichten beträgt insgesamt 0,36 Stunden mit Arbeitskosten in Höhe von 28,5 bzw. 19,3 Euro/Stunde. Daraus resultieren Kosten in Höhe von 9,98 Euro pro Fall.
b. Bürokratiekosten neuer Informationspflichten
Neu eingeführt werden zwei Informationspflichten in § 28a Abs. 1 Nr. 4 (Buchstabe a und c). § 28a Abs. 1 schafft einheitliche Voraussetzungen für die Übermittlung von Daten über trotz Fälligkeit nicht beglichene Forderungen an Auskunfteien. Die Regelung soll der Rechtssicherheit dienen, da die Anforderungen an die Zulässigkeit dieser Datenverarbeitungen derzeit in der Praxis unterschiedlich beurteilt werden. Nach § 28a Abs. 1 setzt eine zulässige Übermittlung u. a. voraus, dass einer der Tatbestände der Nummern 1 bis 5 erfüllt ist. Zur Erfüllung der Nummer 4 werden Unternehmen u. a. verpflichtet, den Betroffenen nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich zu mahnen (Buchstabe a) und den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung zu unterrichten (Buchstabe c). Die zweimalige Mahnung des Betroffenen bei Nichterfüllung der geschuldeten Leistung entspricht der ohnehin schon bestehenden Praxis der Vertragspartner der Auskunfteien (z.B. der Banken bei Nichtzahlung von Kreditraten). Insofern ist der durch die neu eingeführte Informationspflicht in § 28a Abs. 1 Nr. 4a ggf. entstehende Mehraufwand für die Unternehmen zu vernachlässigen. Gleiches gilt für die neu eingeführte Informationspflicht in § 28a Abs. 1 Nr. 4 Buchstabe c. Der nach Buchstabe c erforderliche Hinweis auf die bevorstehende Übermittlung kann und wird in der Regel auch mit der ersten Mahnung verbunden werden, so dass allenfalls vernachlässigbare zusätzliche Verwaltungskosten entstehen.
Eine weitere Informationspflicht für Unternehmen wird in § 28a Abs. 2 Satz 2 eingeführt.
§ 28a Abs. 2 schafft einen speziellen Erlaubnistatbestand für Übermittlungen personenbezogener Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung bestimmter Vertragsverhältnisse durch Kreditinstitute an Auskunfteien, die bisher auf eine Einwilligung des Betroffenen nach § 4 Abs. 1 gestützt wurden.
Die Regelung soll mehr Rechtssicherheit schaffen, da es in der derzeitigen Praxis sehr zweifelhaft ist, ob die von den Betroffenen erteilten Einwilligungen noch als freiwillig anzusehen sind. Nach § 28a Abs. 2 Satz 2 sind die Unternehmen verpflichtet, den Betroffenen vor Abschluss des Vertrages von der geschaffenen Möglichkeit der Datenübermittlung zu unterrichten. Da aber der neue Erlaubnistatbestand an die Stelle der Einwilligungserklärung tritt und eine wirksame Einwilligung einen der Unterrichtung entsprechenden Hinweis nach § 4a Abs. 1 Satz 2 voraussetzt, entstehen für die Unternehmen durch die neue Informationspflicht keine zusätzlichen Verwaltungskosten.
Im Ergebnis verringert sich die Anzahl der Fälle, in denen eine Hinweispflicht nach § 4a Abs. 1 Satz 2 begründet wird. Die Hinweispflicht ergibt sich nunmehr direkt aus dem neuen § 28a Abs. 2 Satz 2.
An den bestehenden Verwaltungskosten ändert sich daher nichts.
Aufgrund der in der Öffentlichkeit diskutierten Bedeutung von Anschriftendaten hinsichtlich der Bewertung der Bonität der Betroffenen wird eine Unterrichtungspflicht der verantwortlichen Stelle gegenüber dem Betroffenen bei Nutzung dieser Daten in Scoringverfahren eingeführt, sofern der durch dieses Verfahren berechnete Scorewert für eine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen verwendet wird (§ 28b Nr. 3). Dadurch soll zusätzliche Transparenz geschaffen werden. Der Exante-Schätzung der Bürokratiekosten wurde eine Häufigkeit von 30 000 pro Jahr zugrunde gelegt. Der Zeitaufwand zur Befolgung der Informationspflicht beträgt insgesamt 0,06 Stunden mit Arbeitskosten in Höhe von 28,5 bzw. 19,3 Euro/Stunde. Daraus resultieren Kosten in Höhe von 1,58 Euro pro Fall und insgesamt in Höhe von 47 400 Euro pro Jahr.
2. Informationspflichten für Bürgerinnen und Bürger
Für die Bürgerinnen und Bürger wird eine neue Informationspflicht eingeführt. § 6a Abs. 2 Satz 1 Nr. 2 begründet die Pflicht der verantwortlichen Stelle, dem Betroffenen auf Verlangen die wesentlichen Gründe einer Entscheidung nach § 6a Abs. 1 mitzuteilen. Damit enthält § 6a Abs. 2 Satz 1 Nr. 2 den Antrag des Betroffenen, von der verantwortlichen Stelle Auskunft über die wesentlichen Gründe der Entscheidung zu erhalten.
VI. Sonstige Kosten
Zusätzliche Kosten für Bürgerinnen und Bürger sind nicht zu erwarten. Zusätzliche Kosten für die Verwaltung entstehen nicht. Auswirkungen auf Einzelpreise und das allgemeine Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind nicht zu erwarten.
VII. Auswirkungen von gleichstellungspolitischer Bedeutung
Auswirkungen von gleichstellungspolitischer Bedeutung sind nicht zu erwarten.
B. Besonderer Teil
Zu Artikel 1
Zu Nummer 1 (Inhaltsübersicht):
Die Inhaltsübersicht ist an die nachfolgend begründeten Gesetzesänderungen anzupassen.
Zu Nummer 2 (§ 4d Abs. 3)
Die Änderung ist eine Klarstellung. Durch sie wird § 4d Abs. 3 sprachlich an § 4f Abs. 1 Satz 4 angeglichen.
Zu Nummer 3 (§ 6 Abs. 3)
Absatz 3 bestimmt, dass personenbezogene Daten über die Ausübung eines Rechts nach den Datenschutzvorschriften durch den Betroffenen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflichten der verantwortlichen Stelle verwendet werden darf. Ein Ziel des Gesetzentwurfs ist es, die Transparenz der von den Auskunfteien durchgeführten Verfahren durch eine Erweiterung der Auskunftsrechte der Betroffenen zu erhöhen. Hierfür ist notwendig, dass der Betroffene durch die Ausübung seiner Datenschutzrechte (z.B. Auskunfts- und Informationsrechte) keinen Nachteil erleidet und auch nicht befürchten muss, einen Nachteil zu erleiden.
Sieht der Betroffene nämlich die Gefahr, dass die Ausübung seiner Auskunftsrechte sich nachteilig z.B. auf die Bewertung seiner Bonität auswirken könnte, könnte dies den Betroffenen abhalten, von seinen Transparenz fördernden Auskunftsrechten Gebrauch zu machen.
Zu Nummer 4 (§ 6a)
Nach § 6a Abs. 1 sind bestimmte Entscheidungen, die sich ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten stützen, verboten, solange nicht eine der Ausnahmen des Absatzes 2 vorliegt. Der neue Absatz 1 Satz 2 konkretisiert nun den Begriff der ausschließlich automatisierten Verarbeitung in dem Sinn, dass eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung insbesondere dann vorliegt, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat. Hierdurch wird klargestellt, dass die Vorgaben des § 6a nicht dadurch umgangen werden können, indem dem automatisierten Datenverarbeitungsverfahren, auf das sich die Entscheidung im Sinne des § 6a Abs. 1 stützt, noch eine mehr oder minder formale Bearbeitung durch einen Menschen nachgeschaltet wird, dieser Mensch aber gar keine Befugnis oder ausreichende Datengrundlage besitzt, um von der automatisierten Entscheidung abweichen zu können. Die Ergänzung soll verdeutlichen, dass § 6a alle Entscheidungen erfasst, deren bestimmende Motive durch automatisierte Vorgänge vorgegeben werden. Die Vorschrift greift nicht nur dann ein, wenn die automatisierten Vorgänge die Entscheidung unumstößlich vorgeben, sie erfasst auch alle die Fälle, in denen das automatisierte Verfahren die Entscheidung wesentlich vorbereitet und damit mitbestimmt hat, ohne dass eine natürliche Person die Entscheidung überprüft hat. Sinn und Zweck der Regelung ist der Schutz des Betroffenen vor computergestützten Entscheidungen, denen der Betroffene ausgeliefert zu sein scheint, da ihm keine Möglichkeit gegeben wird, seinen Standpunkt gegenüber einem Menschen darzulegen und die computergestützte Entscheidung durch diesen Menschen überprüfen zu lassen. Aus diesem Grund sind die erfassten Entscheidungen auch nicht generell verboten. Vielmehr sind sie zulässig, sofern bestimmte Informationspflichten gegenüber dem Betroffenen erfüllt und dem Betroffenen bestimmte Überprüfungsmöglichkeiten eingeräumt werden.
Zulässig sind solche Entscheidungen nach Absatz 2 Nr. 2 aktueller Fassung dann, wenn bestimmte Informationspflichten gegenüber dem Betroffenen erfüllt werden.
Zusätzlich zu diesen Informationspflichten wird eine Pflicht zur Begründung der konkreten Entscheidung auf Nachfrage des Betroffenen eingeführt. Dem Betroffenen sind auf Verlangen die wesentlichen Gründe der Entscheidung, insbesondere auch die wesentlichen personenbezogenen Daten, aus denen sich die Entscheidung ableitet, mitzuteilen. Beruht die Entscheidung auf einem Scorewert, kann die Begründung im Einzelfall der Auskunft nach § 34 Abs. 2 oder Abs. 4 über die für den errechneten Wahrscheinlichkeitswert im konkreten Fall genutzten Datenarten entsprechen. Entscheidend ist hierbei nicht, dass dem Betroffenen die Funktionsweise des automatisierten Verfahrens oder gar mathematische Formeln offen gelegt werden, entscheidend ist vielmehr, dass dem Betroffenen verdeutlicht wird, was in seinem Fall ausschlaggebend für die ihn betreffende Entscheidung war. Dies gilt auch für den Fall, dass die Entscheidung auf anderen Gründen beruht, etwa gesetzlichen Regelungen (z.B. mangelnder Geschäftsfähigkeit) oder geschäftspolitischen Entscheidungen (z.B. Kredite nur an Verbraucher zu vergeben). Dem Betroffenen soll bei einer für ihn ungünstigen Entscheidung erklärt werden, was letztlich zu dieser Ablehnung geführt hat "woran es gelegen hat". Dadurch wird es ihm erleichtert, eine Entscheidung seines potentiellen Vertragspartners, die wesentlich auf automatisierte Vorentscheidungsprozesse wie der Scorewertberechnung gestützt wird, nachzuvollziehen. Dem Betroffenen wird dadurch ermöglicht, ggf. mit einem zuständigen Sachbearbeiter in Kontakt zu treten und ihre Interessen zu vertreten. Die Vertragsfreiheit der Vertragspartner bleibt wie bisher von der Regelung unberührt. Die verantwortliche Stelle ist nach § 6a Abs. 2 Satz 3 weiterhin nur verpflichtet, ihre Entscheidung erneut zu prüfen.
Ein Kontrahierungszwang wird nicht begründet.
Zu Nummer 5 (§ 26 Abs. 4)
§ 26 Abs. 4 Satz 2 wird redaktionell geändert. Aufgrund der Einführung eines neuen § 38 Abs. 1 Satz 2 im Jahr 2006 geht die damals versehentlich nicht angepasste Verweisung in § 26 Abs. 4 auf § 38 Abs. 1 Satz 3 und 4 fehl.
Zu Nummer 6 (§§ 28a, 28b)
Zu § 28a
In § 28a werden spezielle Erlaubnistatbestände für die Übermittlung bestimmter Daten an Auskunfteien zum Zweck der Auskunftserteilung an Dritte eingeführt.
Zu Absatz 1
Die vorgeschlagene Regelung in Absatz 1 schafft einheitliche Voraussetzungen für die Übermittlung von Daten über Forderungen an Auskunfteien, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist. Die Anforderungen an die Zulässigkeit dieser Datenverarbeitungen werden derzeit in der Praxis unterschiedlich beurteilt. Die neue Regelung soll insofern Rechtssicherheit schaffen. Grundlegende Voraussetzung einer zulässigen Übermittlung ist zunächst, dass die Übermittlung der Daten erforderlich ist, um berechtigte Interessen der verantwortlichen Stelle oder eines Dritten zu wahren. Die nach geltender Rechtslage zusätzlich vorzunehmende Abwägung dieser Interessen mit den schutzwürdigen Interessen des Betroffenen an dem Ausschluss der Übermittlung wird durch die Prüfung der Voraussetzungen der Nummern 1 bis 5 ersetzt.
Zusätzliche Voraussetzung für die Übermittlung von Angaben über eine Forderung ist nach den Nummern 1 bzw. 2, dass die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt (Nummer 1) bzw. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist (Nummer 2). In diesen Fällen treten die schutzwürdigen Interessen des Betroffenen an dem Ausschluss der Übermittlung zurück, sofern der Betroffene die Forderung trotz Wissens um ihr Bestehen und berechtigtes Geltendmachen durch den Gläubiger nicht begleicht. Ist der Betroffene aufgrund Zahlungsunfähigkeit gar nicht in der Lage die Forderung auszugleichen, wären zwei Mahnungen, wie sie in den Fällen der Nummer 4 gefordert werden, an den Betroffenen zudem nicht Ziel führend.
Gleiches gilt auch für die Fälle, in denen der Betroffene die Forderung ausdrücklich anerkannt hat (Nummer 3), sie aber trotzdem - ohne rechtliche Gründe - nicht begleicht.
Hierunter fallen allerdings nicht die Fälle, in denen der Schuldner die Forderung zwar anerkannt hat, sie aber nicht begleicht, weil er z.B. gegen sie aufrechnen kann. In den Fällen, in denen der Schuldner Einwände oder Einreden gegen die Forderung geltend machen kann, ist das nach § 28a Abs. 1 Satz 1 zweiter Halbsatz erforderliche berechtigte Interesse des Gläubigers an der Übermittlung der Angaben über die Forderung nicht gegeben.
Anders dagegen die Situation bei Vorliegen einer nicht rechtskräftig festgestellten und nicht ausdrücklich durch den Betroffenen anerkannten Forderung. In diesen Fällen sollen die unter Nummer 4 vorgesehenen Voraussetzungen sicherstellen, dass der Betroffene vor der Meldung der Forderung an eine Auskunftei ausreichende Gelegenheit erhält die Forderung zu begleichen oder das Bestehen der Forderung zu bestreiten. In diesen Fällen muss der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden sein und es müssen zwischen der ersten Mahnung und der Meldung mindestens vier Wochen liegen. Dadurch soll vermieden werden, dass in den Datenbestand einer Auskunftei insofern "falsche"
Daten eingemeldet werden, als dass die eingemeldete Forderung weder aufgrund der Zahlungsunfähigkeit noch der Zahlungsunwilligkeit des Betroffenen nicht beglichen wurde, sondern z.B. lediglich aufgrund von Unachtsamkeit oder Unkenntnis der Forderung in Folge mehrwöchiger Abwesenheit des Betroffenen. Insofern stehen die vorgeschlagenen Regelungen auch nicht im Widerspruch zu den Verzugsregelungen in § 286 BGB. Ziel dieser Verzugsregeln ist, dass dem Gläubiger kein finanzieller Nachteil dadurch entstehen soll, dass der Schuldner eine offene Forderung nicht fristgerecht beglichen hat. Unabhängig von dem Grund des Verzugs (z.B. urlaubsbedingte Abwesenheit des Schuldners) muss der Schuldner eine Geldschuld grundsätzlich verzinsen und etwaige durch den Verzug eingetretene Schäden des Gläubigers ausgleichen. Der Verzug ist aber kein Indiz für die Zahlungsunfähigkeit oder -unwilligkeit des Schuldners, die aus datenschutzrechtlicher Sicht Voraussetzung für die Zulässigkeit der Meldung der offenen Forderung an eine Auskunftei ist.
Weitere Voraussetzung für die Meldung einer nicht rechtskräftig festgestellten Forderung in den Datenbestand einer Auskunftei ist nach der vorgeschlagenen Regelung, dass die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben über die bevorstehende Übermittlung unterrichtet hat. Rechtzeitig ist die Unterrichtung nur, wenn dem Betroffenen noch die Möglichkeit verbleibt, in zumutbarer Weise die Forderung zu begleichen oder ihr Bestehen zu bestreiten. Entscheidend ist dies insbesondere in den Fällen, in denen der Betroffene eine Forderung bewusst nicht erfüllt, da er diese für unbegründet hält, oder der Betroffene nicht erreichbar ist und keine Kenntnis von der offenen Forderung erlangt. Diese Pflicht, den Betroffenen auf die - rechtlich zulässigen - Folgen seines Verhaltens hinzuweisen, erhält insbesondere in den Fällen Bedeutung, in denen der Betroffene bisher nicht auf die erhobene Forderung reagiert und sich verschwiegen hat, weil er die Forderung für unbegründet hält. § 4 Abs. 3, der bestimmte Unterrichtungspflichten der verantwortlichen Stelle gegenüber dem Betroffenen festlegt, bleibt von der Regelung unberührt. Schließlich setzt eine zulässige Übermittlung nach Nummer 4 voraus, dass die Forderung nicht vom Betroffenen bestritten wird. Durch die neue Regelung soll nicht von der bisherigen, sich in der Praxis herausgebildeten rechtlichen Beurteilung, dass ein treuwidriges Bestreiten einer Forderung durch den Betroffenen einer Übermittlung an eine Auskunftei nicht entgegensteht, abgewichen werden.
In den Fällen der Nummer 5 soll die Übermittlung auch ohne das Vorliegen der unter Nummer 4 genannten Voraussetzungen zulässig sein, da der Betroffene insofern nicht schutzwürdig ist und die Erfüllung aller Voraussetzungen der Nummer 4 durch die verantwortliche Stelle einen ungerechtfertigten bürokratischen Aufwand erzeugen würde. Nummer 5 erfasst die Fälle, in denen objektiv die Voraussetzungen vorliegen, nach denen das der Forderung zugrunde liegende Vertragsverhältnis vom Vertragspartner des Betroffenen aufgrund von Zahlungsrückständen fristlos gekündigt werden kann. Da in diesen Fällen bereits eine erhebliche Vertragsstörung im Verantwortungsbereich des Betroffenen vorliegt, tritt sein schutzwürdiges Interesse an dem Ausschluss der Übermittlung der Angaben über die entsprechende Forderung hinter das berechtigte Interesse der Unternehmen an der Übermittlung der Angaben an eine Auskunftei zurück. Voraussetzung ist allerdings, dass die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat.
Zu Absatz 2
§ 28a Abs. 2 Satz 1 ist ein spezieller Erlaubnistatbestand für bestimmte Übermittlungen personenbezogener Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertrages im Rahmen eines Bankgeschäfts im Sinne des § 1 Abs. 1 Satz 2 Nr. 2 (Kreditgeschäft), Nr. 8 (Garantiegeschäft) oder Nr. 9 (Girogeschäft) KWG. Diese Datenübermittlungen werden mangels spezieller Rechtsgrundlage derzeit auf eine Einwilligung des Betroffenen nach § 4 BDSG gestützt.
Dies ist insofern problematisch, als in der Praxis eine natürliche Person einen Bankkredit regelmäßig nicht mehr ohne eine von der Bank angeforderte Bonitätsauskunft einer Auskunftei erhält, wobei diese mit einer Einwilligungserklärung des Betroffenen in die Übermittlung bestimmter personenbezogener Daten an diese Auskunftei verbunden wird. Mangels zumutbaren Alternativverhaltens kann es daher zweifelhaft sein ob die vom Betroffenen erteilte Einwilligung noch als freiwillig anzusehen ist. An Stelle der Einwilligungserklärung tritt der neue Erlaubnistatbestand in Absatz 2. Danach dürfen Kreditinstitute die angegebenen Daten zur zukünftigen Übermittlung an Auskunfteien übermitteln, sofern nicht das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten im Einzelfall offensichtlich überwiegt. Letzteres kann z.B. der Fall sein, wenn eine offensichtlich bedrohte Person vermeiden möchte, dass im Rahmen einer Kontoeröffnung ihre aktuellen Adressdaten in den Datenbestand einer Auskunftei eingemeldet und von dort wiederum Dritten, z.B. der ihr drohenden Person beauskunftet werden können. Übermittelt werden dürfen nach Satz 1 grundsätzlich alle das Vertragsverhältnis beschreibende Daten (Angaben über Begründung, ordnungsgemäße Durchführung und Beendigung des Vertrags), nicht jedoch inhaltliche Daten aus dem Vertrag (z.B. Einkommensangaben des Betroffenen). Naturgemäß dürfen auch nur Daten übermittelt werden, die zum Zeitpunkt der Übermittlung von der verantwortlichen Stelle noch gespeichert werden dürfen. Der gesetzliche Erlaubnistatbestand in § 28a Abs. 2 Satz 1 betrifft nur die Übermittlung der dort ausdrücklich benannten Daten durch Kreditinstitute. Die Möglichkeit einer Einwilligung des Betroffenen gemäß § 4 Abs. 1, § 4a in die Übermittlung darüber hinaus gehender Daten durch Kreditinstitute bleibt von der vorgeschlagenen Regelung unberührt.
Unberührt bleibt auch die Möglichkeit anderer verantwortlicher Stellen als Kreditinstituten, mit einer Einwilligung des Betroffenen gemäß § 4 Abs. 1, § 4a das Vertragsverhältnis beschreibende Daten (Angaben über Begründung, ordnungsgemäße Durchführung und Beendigung des Vertrags) zu übermitteln. Der Betroffene ist vor Abschluss des Vertrages durch die verantwortliche Stelle von der geschaffenen Möglichkeit der Datenübermittlung zu unterrichten (Satz 2), so dass dem Betroffenen die Möglichkeit verbleibt, vom Abschluss des Vertrages abzusehen. § 4 Abs. 3, der bestimmte Unterrichtungspflichten der verantwortlichen Stelle gegenüber dem Betroffenen festlegt bleibt von der Regelung unberührt. Gemäß Satz 3 werden Daten über Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben, aus dem Tatbestand des neuen Erlaubnistatbestands ausgenommen.
In diesen Fällen, in denen der Betroffene nur ein Guthabenkonto unterhält, überwiegt das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung grundsätzlich das berechtigte Interesse der verantwortlichen Stelle oder eines Dritten an der Kenntnis dieser Daten. Insgesamt werden durch die Regelung die Voraussetzungen für Übermittlungen von den Kreditinstituten an die Auskunfteien klarer umgrenzt und damit die Kontrolle durch die zuständigen Aufsichtsbehörden erleichtert.
Daneben wird klargestellt, dass Daten über Verhaltensweisen des Betroffenen, die der Herstellung von Markttransparenz dienen, (auch mit Einwilligung des Betroffenen) nicht zur zukünftigen Übermittlung an Auskunfteien übermittelt werden dürfen (Satz 4). In der Vergangenheit wurden nämlich z.B. Anfragen von Betroffenen nach Kreditkonditionen bei verschiedenen Banken zur Informationsgewinnung gleichgesetzt mit mehrmaligen, auf einen konkreten Vertragsabschluss gerichteten Kreditanfragen, bei Auskunfteien eingemeldet und von diesen negativ bei der sog. Scorewertberechnung berücksichtigt. Diese Wertung widerspricht der Forderung nach Markttransparenz und dem Leitbild eines verantwortungsbewussten Kunden, der sich auf der Grundlage mehrerer vergleichbarer Angebote für oder gegen einen Vertrag entscheidet. Nach der vorgeschlagenen Neuregelung ist die Übermittlung von Daten über Anfragen nach Kreditkonditionen zur Informationsgewinnung in den Datenbestand einer Auskunftei unzulässig. Zulässig bleibt die Übermittlung der Anfragedaten an die Auskunftei, um auf die Kreditkonditionenanfrage des Kunden eine individuelle Auskunft erteilen zu können, da sie nicht zur zukünftigen Übermittlung übermittelt werden. Die Übermittlung von Angaben, die gerichtet auf den Abschluss eines konkreten Kreditvertrages gemacht wurden, ist nach den Voraussetzungen des neuen Satzes 1 dagegen zulässig, sofern die Angaben nicht nur zur - auf anderem Wege nicht möglichen - Konditionenanfrage gemacht worden sind. Soweit Kreditinstitute Konditionen nur nach Stellung eines vollständigen Kreditantrages mitteilen, der Kunde also die für ihn geltenden Konditionen nur erfahren kann, wenn er einen Kreditantrag stellt dürfen auch die im Rahmen eines solchen Kreditantrags erhobenen Angaben erst dann in den Auskunftsbestand einer Auskunftei eingemeldet werden, wenn der Kunde die ihm genannten Konditionen akzeptiert und ein Kreditvertrag zustande kommt. Die vorgeschlagene Regelung betrifft allein die Zulässigkeit der Übermittlung von Angaben in den Auskunftsbestand einer Auskunftei, die Zulässigkeit von Übermittlungen von Angaben zur Glaubhaftmachung eines berechtigten Interesses am Abruf von Daten aus dem Auskunftsbestand einer Auskunftei bleibt von der Regelung unberührt.
Zu § 28b
§ 28b legt allgemeine Voraussetzungen für die Durchführung von Scoringverfahren fest sofern der berechnete Scorewert für Entscheidungen über die Begründung, Durchführung oder Beendigung eines konkreten Vertragsverhältnisses mit dem Betroffenen verwendet werden. Es werden insofern Art und Umfang der zulässigen Datengrundlage bestimmt. Mangels ausdrücklicher Rechtsgrundlage für die Durchführung von Scoringverfahren im BDSG werden die aus den allgemeinen Regelungen in § 28 bzw. § 29 abzuleitenden Voraussetzungen für die zulässige Durchführung von Scoringverfahren, insbesondere hinsichtlich der zulässigen Datengrundlage in der Praxis derzeit sehr unterschiedlich bewertet. Die gesetzliche Festlegung der Voraussetzungen für die Durchführung von Scoringverfahren, deren Ergebnisse für Entscheidungen über Vertragsverhältnisse verwendet werden, führt daher zu mehr Rechtssicherheit und zu mehr Transparenz der Verfahren.
Entscheidend ist zunächst, dass ein zur Person des Betroffenen errechneter Scorewert für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen verwendet wird, d. h. der Scorewert Eingang findet in eine Entscheidung, die für den Betroffenen eine rechtliche Folge im Zusammenhang mit einem (potentiellen) Vertragsverhältnis nach sich zieht.
Die Berechnung des Wahrscheinlichkeitswertes muss sich ferner auf ein zukünftiges Verhalten des Betroffenen beziehen. Dies setzt ein selbstbestimmtes Handeln voraus, so dass Ereignisse, die auf höhere Gewalt oder Fremdeinwirkung zurückgehen, ausscheiden z.B. Blitzschlag, Diebstahl oder Erkrankung. Die Verfahren zur Tarifierung etwa von Lebens- oder Krankenversicherungen oder Versicherungen gegen Kfz-Diebstahl stellen daher kein Scoring im Sinne des § 28b dar.
Zulässigkeitsvoraussetzung für die Durchführung der erfassten Scoringverfahren ist nach der Regelung im neuen § 28b zunächst, dass die zur Berechnung des Scorewerts genutzten Daten unter Zugrundelegung eines wissenschaftlichen anerkannten mathematischenstatistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind (Nummer 1). Diese Voraussetzung führt zu einer Dokumentationspflicht der verantwortlichen Stelle. Die verantwortliche Stelle muss nämlich ggf. der Aufsichtsbehörde nach § 38 den nachgewiesenen Zusammenhang darlegen können. Erfasst werden von der Regelung alle bei der Durchführung des Scoringverfahrens verwendeten Daten. Es wird davon ausgegangen dass jede Verwendung personenbezogener Daten im Rahmen der Durchführung von Scoringverfahren eine "Nutzung" und keine "Verarbeitung" darstellt.
Weitere Zulässigkeitsvoraussetzung ist, dass im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine zulässige Übermittlung der genutzten Daten nach § 29, in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung nach § 28 vorliegen (Nummer 2). Danach darf eine Auskunftei nur die Daten für die Berechnung eines Scorewerts für einen bestimmten Kunden nutzen, die sie auch nach § 29 an diesen Kunden übermitteln dürfte. Für alle anderen Stellen ist Voraussetzung, dass die Daten nach § 28 genutzt werden dürfen.
Wegen der in der Öffentlichkeit diskutierten Bedeutung der Nutzung von Anschriftendaten wird zudem eine Pflicht, den Betroffenen vor der geplanten Nutzung von Anschriftendaten hierüber zu informieren, eingeführt, um zusätzliche Transparenz zu schaffen (Nummer 3). Die Unterrichtung kann in der Praxis über Allgemeine Geschäftsbedingungen erfolgen. Die Regelung trägt der besonderen Sensibilität der Öffentlichkeit hinsichtlich der Verwendung von Anschriftendaten im Rahmen von Scoringverfahren zur Bewertung der Kreditwürdigkeit der Betroffenen Rechnung.
Die Regelungen des Kreditwesengesetzes, insbesondere die über die Ausgestaltung der internen Risikomessverfahren, und die Regelungen des Versicherungsaufsichtsgesetzes bleiben durch die vorgeschlagenen Regelungen im BDSG unberührt.
Zu Nummer 7 (§ 29)
Zu Absatz 1
Die vorgeschlagenen Änderungen der Nummern 1 und 2 des § 29 Abs. 1 Satz 1 sowie dessen Ergänzung um eine neue Nummer 3 stehen im Zusammenhang mit den Regelungen im vorgeschlagenen neuen § 28a. Sie schaffen eine Rechtsgrundlage für Auskunfteien zur Verarbeitung und Nutzung von Daten, die ihre Geschäftskunden nach den neuen Regelungen in § 28a an sie übermitteln dürfen. Es wird ferner klargestellt, dass Daten im Sinne von § 28a Abs. 2 Satz 3, d. h. Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen (z.B. sog. Konditionenanfragen), von Auskunfteien nicht zum Zweck der Übermittlung an ihre Kunden erhoben oder gespeichert werden dürfen. Die Aufnahme der Daten in den Auskunftsdatenbestand ist danach unzulässig. Davon unberührt bleibt die Frage der Zulässigkeit der Erhebung und Speicherung dieser Daten zum Zweck des möglichen Nachweises eines berechtigten Interesses des abrufenden Kunden.
Aus Anlass dieser Änderung wird zur Klarstellung das Wort "Nutzen" in den Katalog der Datenverwendungen im einleitenden Satzteil des § 29 Abs. 1 Satz 1 aufgenommen.
Bisher wird in § 29 Abs. 1 Satz 1 nur das "Verändern", anders als in der Parallelregelung in § 28 Abs. 1 Satz 1 aber nicht das "Nutzen" ausdrücklich genannt. In der Praxis wird aber auch das Nutzen personenbezogener Daten als geringerer Eingriff in das Recht auf informationelle Selbstbestimmung des Betroffenen als der Eingriff durch ein Verändern der Daten auf § 29 Abs. 1 gestützt. Eine Abgrenzung zwischen Verändern und Nutzen von Daten ist im Hinblick auf den Schutzzweck des § 29 Abs. 1 entbehrlich, zumal die nach § 29 Abs. 2 an Dritte übermittelten Daten regelmäßig von diesen Dritten nach § 28 genutzt werden könnten.
Zu Absatz 2
In Absatz 2 Satz 1 und 3 werden redaktionelle Änderungen vorgenommen.
Der neue Absatz 2 Satz 5 tritt klarstellend neben die weiterhin geltenden Regelungen in § 10 Abs. 4 und benennt konkrete Vorgaben zur Sicherstellung der Stichprobenkontrollen im automatisierten Abrufverfahren: Die übermittelnde Stelle, d. h. die Auskunftei, hat Stichprobenverfahren durchzuführen und dabei das Vorliegen des für die Datenübermittlung erforderlichen berechtigten Interesses des Abrufenden einzelfallbezogen festzustellen und zu überprüfen.
Zu Nummer 8 (§ 34)
Im Hinblick auf die vorgesehene Einführung eines Bußgeldtatbestands in § 43 für nicht richtig, nicht vollständig oder nicht rechtzeitig erteilte Auskünfte nach § 34 werden die zu bewehrenden Vorschriften des § 34 als Handlungsgebote formuliert, die sowohl hinsichtlich der vorzunehmenden Handlungen als auch hinsichtlich der Normadressaten so bestimmt gefasst sind, dass sie dem strafrechtlichen Bestimmtheitserfordernis entsprechen. Die Absätze 2, 4 und 5 werden neu eingeführt. Die Absätze 3 (bisher Absatz 2) und 6 (bisher Absatz 3) werden inhaltlich ergänzt bzw. geändert.
Im Einzelnen:
Zu Absatz 1
Sprachliche Änderung aufgrund des Bestimmtheitsgebots.
Zu Absatz 2 (neu)
Mit dem vorgeschlagenen neuen Absatz 2 soll ein Auskunftsanspruch des Betroffenen in den Fällen des § 28b, d. h. wenn ein Scorewert für eine Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen verwendet wird, eingeführt werden. Nach Satz 1 wird die für die Entscheidung verantwortliche Stelle zur Offenlegung des verwendeten Scorewerts (vgl. Nummer 1) und der im konkreten Verfahren genutzten Datenarten (vgl. Nummer 2) gegenüber dem Betroffenen verpflichtet. Mangels Offenlegung der Datengrundlage der Scoringverfahren ist es für den Betroffenen derzeit nicht oder nur schwer nachzuvollziehen, wie sein konkreter Scorewert und damit die darauf beruhende Entscheidung zustande gekommen ist. Um dem Betroffenen die Möglichkeit zu geben bzw. zu erleichtern, falsche Daten zu korrigieren oder den für ihn errechneten Wahrscheinlichkeitswert im konkreten Fall zu widerlegen, sollen ihm die genutzten Datenarten offenbart werden. Zur Erfüllung der Auskunftsansprüche erscheint es möglich, dass einzelne Datenfelder eines Datensatzes zusammengefasst werden. So kann etwa die Auskunft "Adressdaten" als eine offenbarte Datenart die Einzeldaten "Straße", "Hausnummer", "Postleitzahl" und "Ort" ersetzen. Entscheidend ist aber, dass der Betroffene nachvollziehen kann, welche Merkmale in das konkrete Berechnungsergebnis eingeflossen sind. Nach Nummer 3 ist dem Betroffenen außerdem das Zustandekommen des Wahrscheinlichkeitswerts einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form dargelegt wird. Dadurch wird sichergestellt, dass einerseits die Unternehmen nicht die Scoreformel, an deren Geheimhaltung die Unternehmen ein überwiegendes schutzwürdiges Interesse haben, offenbaren müssen, andererseits aber dem Betroffenen auf Wunsch die der Wahrscheinlichkeitsberechnung zugrunde liegenden Sachverhalte in einer für den Laien verständlichen Form dargelegt werden müssen. Komplexe mathematische Formeln sind danach nicht zu offenbaren, zumal sie auch nicht allgemein verständlich, d. h. aus sich heraus für den Betroffenen verständlich sind. Vielmehr muss dem Betroffenen ermöglicht werden den der Berechnung zugrunde liegenden Lebenssachverhalt bzw. die einschlägigen Lebenssachverhalte nachzuvollziehen. Das Ergebnis muss für den Betroffenen stets soweit nachvollziehbar sein, dass er seine Rechte sachgerecht ausüben mögliche Fehler in der Berechnungsgrundlage aufdecken und Abweichungen von den automatisiert gewonnenen typischen Bewertungen des zugrunde liegenden Lebenssachverhalts darlegen kann. Dem Betroffenen soll ermöglicht werden, gegenüber der für die ihn betreffende Entscheidung verantwortlichen Stelle seinen Standpunkt geltend zu machen und somit eine sachgerechte Überprüfung der Entscheidung zu erreichen. Gewährleistet werden muss, dass ein sinnvolles Gespräch zwischen der für die Entscheidung verantwortlichen Stelle und dem Betroffenen stattfinden kann. Dabei ist nicht erforderlich, dass dieses Gespräch unmittelbar zwischen der Person, die die ursprüngliche Entscheidung getroffen hat, und dem Betroffenen stattfindet. Ausreichend ist, dass eine Person innerhalb der für die Entscheidung verantwortlichen Stelle zur Auskunftserteilung zur Verfügung steht. Das heißt, das Auskunftsverlangen des Betroffenen muss nicht stets durch den ursprünglichen Sachbearbeiter beantwortet werden, sofern der Betroffene sich z.B. an eine spezielle Auskunftsperson wenden kann.
Nach Satz 2 kann die Auskunft auch dann verlangt werden, wenn die zur Scorewertberechnung genutzten Daten von der verantwortlichen Stelle oder einem Dritten ohne Personenbezug gespeichert werden, der Personenbezug aber bei der Durchführung der Scoreverfahren von der verantwortlichen Stelle hergestellt wird.
Die nach aktueller Rechtslage bestehenden, auf den Bestand personenbezogener Daten der verantwortlichen Stelle gerichteten Auskunftsrechte des Betroffenen gehen nämlich regelmäßig hinsichtlich der Daten ins Leere, die von der verantwortlichen Stelle ohne Personenbezug gespeichert oder gar nicht mehr selbst vorgehalten, sondern nur noch bei Bedarf automatisiert von Dritten bezogen und nach der Scorewertberechnung wieder gelöscht werden. Handelt es sich bei diesen bezogenen Daten um vollständig anonyme (z.B. kleinräumigregionalstatistische) Informationen, hat der Betroffene nicht einmal ein Auskunftsrecht gegenüber dem Dritten, da vollständig anonyme Informationen nicht vom BDSG erfasst werden. Ziel der vorgeschlagenen Regelung ist es in den Fällen, in denen entweder Daten ohne Personenbezug zum Zweck, diesen in einem vorprogrammierten Verfahren in Zukunft herzustellen, gespeichert werden oder in denen Daten nicht selbst von der verantwortlichen Stelle gespeichert werden, aber nach einem feststehenden Verfahren mit personenbezogenen Daten verbunden werden sollen, dem Betroffenen im Rahmen der sog. Selbstauskunft das Bild zu vermitteln, das von ihm gezeichnet würde, wenn in dem Moment der Selbstauskunft einem Dritten Auskunft über den Betroffenen erteilt würde.
Ist die für die Entscheidung verantwortliche Stelle nicht identisch mit der Stelle, die den Wahrscheinlichkeitswert oder einen Bestandteil hiervon berechnet hat, muss letztere nach Satz 3 auf Verlangen der für die Entscheidung verantwortlichen Stelle die zur Erfüllung der Auskunftsansprüche erforderlichen Angaben an die für die Entscheidung verantwortliche Stelle übermitteln, um eine Umgehung der Auskunftsansprüche zu vermeiden. In den Fällen, in denen die für die Entscheidung verantwortliche Stelle den für die Entscheidung verwendeten Wahrscheinlichkeitswert von einer anderen Stelle erhoben und ohne selbst Berechnungen durchzuführen der Entscheidung zugrunde gelegt hat (Satz 3 Nr. 1), kann sie nach Satz 4 den Betroffenen zur Geltendmachung seiner Auskunftsansprüche auch direkt an die andere Stelle verweisen.
Hierfür muss sie dem Betroffenen unverzüglich den Namen und die Anschrift der anderen Stelle sowie die zur Bezeichnung des Einzelfalls notwendigen Angaben mitteilen. In diesen Fällen hat die andere Stelle, die den Wahrscheinlichkeitswert berechnet hat die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber dem Betroffenen unentgeltlich zu erfüllen (Satz 5). Notwendige Angaben im Sinne des Satzes 4 sind daher alle Angaben, die es der anderen Stelle, z.B. der Auskunftei, ermöglichen, die zur Erfüllung des Auskunftsanspruchs des Betroffenen im konkreten Fall erforderlichen Daten in ihrem Datenbestand zu identifizieren und dem Betroffenen mitzuteilen. Soweit die für die Entscheidung verantwortliche Stelle von ihrer Möglichkeit gemäß Satz 4 Gebrauch macht, auf die für die Berechnung des Wahrscheinlichkeitswerts verantwortliche Stelle zu verweisen, entfällt die Auskunftspflicht der für die Berechnung des Wahrscheinlichkeitswerts verantwortlichen Stelle nach Satz 3 gegenüber der für die Entscheidung verantwortlichen Stelle (Satz 6). Grundsätzlich wird die Auskunftserteilung durch die für die Entscheidung verantwortliche Stelle als der für alle Beteiligten unbürokratischste und billigste Weg angesehen. Es soll aber für die Stelle, die Wahrscheinlichkeitswerte ausschließlich von einem Dritten bezieht ohne eigene Wahrscheinlichkeitsberechnungen durchzuführen, die Möglichkeit eröffnet werden, dass sie den Betroffenen an die für die Berechnung des Wahrscheinlichkeitswerts verantwortliche Stelle verweist, sofern sie diesen Weg für kostengünstiger ansieht. In diesem Falle muss dem Betroffenen allerdings die Informationen zur Verfügung gestellt werden, die er benötigt, um die für die Berechnung des Wahrscheinlichkeitswerts verantwortliche Stelle aufzufinden und bei dieser Stelle die Informationen für den konkreten Einzelfall zu erhalten.
Zu Absatz 3 (bisher Absatz 2)
Die Änderungen in den Sätzen 1 und 2 sind sprachliche Änderungen aufgrund des Bestimmtheitsgebots. Die Ergänzung in dem neuen Satz 3 ist die Parallelregelung zum neuen Absatz 2 Satz 2 und erweitert insofern den schon bisher geltenden allgemein Auskunftsanspruch nach § 34 Abs. 1. Auch hier gehen nach aktueller Rechtslage die bestehenden, auf den Datenbestand der verantwortlichen Stelle gerichteten Auskunftsrechte des Betroffenen regelmäßig hinsichtlich der Daten ins Leere, die die verantwortliche Stelle, z.B. eine Auskunftei, ohne Personenbezug speichert oder gar nicht selbst vorhält, sondern nur bei Bedarf automatisiert bei Dritten abruft und nach Übermittlung an den Geschäftspartner wieder löscht.
Zu Absatz 4 (neu)
Die vorgeschlagene Regelung in Absatz 4 erweitert die Auskunftsansprüche des Betroffenen gegenüber Stellen, die geschäftsmäßig personenbezogenen Daten zum Zweck der Übermittlung erheben, speichern oder verändern. Sie gibt dem Betroffenen u. a. einen Anspruch auf Auskunft über seinen tagesaktuellen Scorewert und die innerhalb der letzten zwölf Monate ggf. Dritten übermittelten Scorewerte sowie über diese Dritten (Name und letztbekannte Anschrift). Der Betroffene hat ein berechtigtes Interesse sowohl an der Kenntnis seines aktuellen Scorewerts als Information für seine zukünftige wirtschaftliche Planung als auch an Informationen, die Dritte über ihn erhalten haben. Zudem werden die genannten Stellen - parallel zur neuen Regelung in Absatz 2 - zur Offenlegung der in den konkreten Verfahren verwandten Datenarten gegenüber dem Betroffenen verpflichtet. Insofern wird auf die Begründung zu § 34 Abs. 2 verwiesen.
Nach Satz 2 besteht der Auskunftsanspruch nach Satz 1 auch dann, wenn die zur Scorewertberechnung genutzten Daten von der verantwortlichen Stelle ohne Personenbezug gespeichert werden oder von dieser nicht selbst gespeichert werden und an ihrem Speicherort keinen Personenbezug aufweisen, der Personenbezug aber bei der Durchführung der Scoreverfahren hergestellt wird. Um die Transparenz für die Betroffenen zu verbessern, wird der Auskunftsanspruch insofern erweitert und die verantwortlichen Stellen verpflichtet, die für die Auskunft an ihre Geschäftspartner hinzugezogenen Informationen für den Zeitraum von zwölf Monaten zu speichern, da sie nur so etwaige Auskunftsansprüche erfüllen kann.
Zu Absatz 5 (neu)
Der neue Absatz 5 enthält eine ausdrückliche Zweckbegrenzung der nach den Absätzen 2 bis 4 für die Auskunftserteilung gegenüber dem Betroffenen vorzuhaltenden Daten.
Zu Absatz 6 (bisher Absatz 3)
Absatz 6 wird aufgrund des Bestimmtheitsgebots sprachlich geändert. Anlässlich dieser Änderung wird zudem klargestellt, dass die Auskunft nicht in gesetzlich vorgeschriebener Schriftform erfolgen muss, sondern eine Auskunft in Textform ( § 126b BGB) ausreichend ist.
Zu Absatz 7 (bisher Absatz 4)
Keine Änderung.
Zu Absatz 8 (bisher Absatz 5)
Mit der vorgeschlagenen Neufassung des Absatzes 8 erhält der Betroffene gegenüber Stellen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung speichern einen Anspruch, einmal jährlich eine kostenfreie Selbstauskunft in Textform zu erhalten, auch wenn er diese zu wirtschaftlichen Zwecken gegenüber Dritten nutzen kann. Regelmäßig sind derzeit die von einer Auskunftei auf Antrag schriftlich erteilten Selbstauskünfte entgeltpflichtig. In diesen Fällen besteht zwar auch die Möglichkeit der kostenlosen Selbstauskunft bei persönlichem Erscheinen des Betroffenen bei der Auskunftei. In der Praxis können aber für den Betroffenen - abhängig von der Entfernung zwischen seinem Wohnort und dem Sitz einer Geschäftsstelle der Auskunftei - dabei unter Umständen erhebliche Fahrtkosten anfallen.
Die kostenlose Selbstauskunft muss in Textform erfolgen. Erfasst wird hiervon auch die elektronische Auskunft, z.B. per E-Mail, sofern der Betroffene entsprechende Empfangsmöglichkeiten anbietet.
Zu Nummer 9 (§ 35)
In Absatz 1 wird klargestellt, dass Schätzdaten bzw. Erfahrungswerte als solche deutlich zu kennzeichnen sind. Dies dient insbesondere dem Schutz des Betroffenen, dass keine geschätzten Daten als Fakten über ihn verbreitet werden. Letztlich dient dies aber auch den Empfängern der Daten. Damit der Schutzzweck der Regelung nicht leer läuft, muss die Kennzeichnung mit dem gespeicherten Datum insofern eine Einheit bilden, als auch bei der Übermittlung des Datums die Kennzeichnung mit übermittelt wird. Eine bloße Kennzeichnung des Datum im Datenbestand, ohne dass die Kennzeichnung an die Empfänger der Daten übermittelt würde, würde den Schutzzweck umgehen.
Neben einer redaktionellen Änderung in Absatz 2 Satz 2 Nr. 2 wird durch die vorgeschlagene Änderung des Absatzes 2 Satz 2 Nr. 4 die gesetzliche Prüffrist, nach deren Ablauf festgestellt werden muss, ob ein gespeichertes Datum zu löschen ist, für erledigte Sachverhalte grundsätzlich von vier auf drei Jahre verkürzt. Diese Frist ist regelmäßig ausreichend, um das Verhalten des Betroffenen einschätzen zu können.
Da nach drei Jahren lediglich eine Prüfung erfolgen muss, kann das Datum auch länger als drei Jahre gespeichert werden, sofern die Voraussetzungen der Speichererlaubnis weiterhin vorliegen. Zudem kann das Datum weiterhin gespeichert werden, wenn der Betroffene der Löschung widerspricht. Klargestellt wird ferner, dass die Frist beginnend mit dem Kalenderjahr, das der erstmaligen Speicherung folgt, berechnet wird.
Nach dem neuen Absatz 2 Satz 3 müssen personenbezogene Daten, die auf der Grundlage von § 29 Abs. 1 Satz 1 Nr. 3 i. V. m. § 28a Abs. 2 gespeichert werden, nach Beendigung des Vertrags gemäß § 1 Abs. 1 Satz 2 KWG gelöscht werden, wenn der Betroffene dies verlangt. Nach aktueller Rechtslage werden diese Daten über Begründung ordnungsgemäße Durchführung und Beendigung des Vertrages grundsätzlich nur mit Einwilligung des Betroffenen an Auskunfteien übermittelt und dort gespeichert. Widerruft der Betroffene seine Einwilligung, ist die weitere Speicherung der Daten unzulässig, die Daten sind nach § 35 Abs. 2 Satz 1 Nr. 1 zu löschen.
Damit die Einführung des speziellen Erlaubnistatbestands für bestimmte Datenübermittlungen in § 28a Abs. 2 und die daraus resultierende Speicherbefugnis nach § 29 Abs. 1 Satz 1 Nr. 3 insofern nicht zu einer Schlechterstellung des Betroffenen in diesen Fällen führt, in denen sich der zugrunde liegende Sachverhalt erledigt hat, wird die besondere Löschungspflicht in § 35 Abs. 2 Satz 3 neben der allgemeinen Pflicht nach § 35 Abs. 2 Satz 2 Nr. 4 eingeführt. Durch einen Widerruf der Einwilligung kann der Betroffene eine Löschungspflicht hinsichtlich der auf Grundlage der Einwilligung gespeicherten Daten erreichen. Die Übermittlung und Speicherung von Daten über die Begründung ordnungsgemäße Durchführung und Beendigung bestimmter Verträge, die bisher nur aufgrund einer Einwilligung zulässig waren, können nunmehr auf den neuen Erlaubnistatbestand gestützt werden. Nach bisheriger Rechtslage unterlägen die danach gespeicherten Daten den aktuellen Löschungsregeln des § 35, nach denen grundsätzlich keine Löschungspflicht entsteht, nur weil der Betroffene die Löschung verlangt. Absatz 3 Nr. 1 wird redaktionell geändert.
Nach Absatz 4a darf die Tatsache einer Sperrung, die auf ein strittiges Datum hinweist, nicht an Dritte übermittelt werden. Die Mitteilung einer Sperre könnte nämlich vom empfangenden Dritten leicht dahin missverstanden werden, dass der Betroffene nicht nur nicht zahlt, sondern auch noch ein schwieriger Kunde ist. Die Mitteilung könnte somit einen negativen Eindruck über den Betroffenen hinterlassen und deshalb zu einer für ihn negativen Entscheidung führen. Die Vorschrift darf auch nicht dadurch umgangen werden, dass eine Formulierung gewählt wird, aus der auf die Tatsache der Sperre bzw. das Vorliegen einer Unregelmäßigkeit geschlossen werden kann.
Zu Nummer 10 (§ 43)
Die neuen Nummern 8a bis 8c führen zum Schutz der Rechte der Betroffenen neue
Bußgeldtatbestände ein für die Fälle, in denen einer der Auskunftsansprüche des Betroffenen nach § 34 nicht ordnungsgemäß erfüllt wird.
Zu Artikel 2
Die Vorlaufzeit von einem Jahr bis zum Inkrafttreten des Gesetzes ist erforderlich, um den betroffenen Unternehmen ausreichend Gelegenheit zu geben, sich auf die neue Rechtslage einzustellen und ihre Geschäftsprozesse an die geänderte Rechtslage anzupassen.
->
Anlage
Stellungnahme des Nationalen Normenkontrollrates gem. § 6 Abs. 1 NKR-Gesetz:
NKR-Nr. 207:
Gesetz zur Änderung des Bundesdatenschutzgesetzes
Der Nationale Normenkontrollrat hat den o.g. Gesetzentwurf auf Bürokratiekosten, die durch Informationspflichten begründet werden, geprüft.
Mit dem Gesetz werden für die Wirtschaft vier Informationspflichten eingeführt und zwei Informationspflichten geändert. Für Bürgerinnen und Bürger wird eine Informationspflicht begründet. Das Bundesministerium des Innern (BMI) schätzt die durch den Entwurf entstehenden Bürokratiekosten für die Wirtschaft auf 646.700 Euro jährlich.
Der Nationale Normenkontrollrat hält die Schätzung der dargelegten Bürokratiekosten für nicht überzeugend. Insbesondere die Fallzahl der Informationspflichten scheint nach Prüfung der Angaben, die die betroffenen Unternehmen in der Verbändeanhörung gemacht haben, vom BMI als zu gering eingeschätzt zu sein. So schätzt das BMI etwa die Fallzahl für die Auskunftspflichten aus § 34 Abs. 1-4 Bundesdatenschutzgesetz (BDSG) auf insgesamt 60.000 jährlich. Unter Zugrundelegung eines Aufwands von 9,98 Euro je Fall ergibt sich eine Gesamtbelastung von ca. 600.000 Euro. Nach Angaben der SCHUFA Holding AG, die als größte Auskunftei ein Adressat der Auskunftspflichten aus § 34 Abs. 3-4 BDSG ist, belief sich die Anzahl der Anfragen allein ihr gegenüber im Jahr 2007 auf über eine Million. Bei einem Aufwand von 9,98 Euro je Fall errechnet sich allein für dieses Unternehmen damit eine Belastung in Höhe von 9,98 Mio. Euro. Nach § 6a Abs. 2 Nr. 2 BDSG muss ein Vertragspartner, der eine Entscheidung mit einer rechtlichen Folge oder erheblichen Beeinträchtigung für den Betroffenen ausschließlich aufgrund von in einem automatisierten Verfahren ermittelten Daten trifft, auf Verlangen des Betroffenen die wesentlichen Gründe für diese Entscheidung mitteilen. Diese Auskunftspflicht trifft insbesondere Banken, Anbieter von Telekommunikationsdiensten und Unternehmen des Versandhandels, die beispielsweise über die Vergabe eines Geld- oder Warenkredits auf der Grundlage eines automatisierten Verfahrens unter Verwendung personenbezogener Daten entscheiden. Das BMI geht hier von einer Fallzahl von 100 Anfragen auf Mitteilung der Ablehnungsgründe pro Jahr aus. Bei allein 5.000 bis 6.000 Kreditanfragen bei einer deutschen Großbank pro Tag scheint auch diese Fallzahl deutlich zu niedrig zu sein.
Da neben den Auskunftspflichten aus § 6a Abs. 2 Nr. 2 und § 34 BDSG auch die Änderung bzw. Neueinführung anderer Informationspflichten einen Anstieg der Bürokratiekosten erwarten lassen, geht der Rat davon aus, dass die durch den Entwurf verursachten Bürokratiekosten deutlich über den vom BMI geschätzten 646.700 Euro liegen.
Zwar bezieht sich das BMI bei den verwendeten Fallzahlen auf Erkenntnisse aus der Bestandsmessung des BDSG. In Anbetracht der Hinweise der betroffenen Verbände bezweifelt der Rat jedoch die diesbezüglichen Ergebnisse der Bestandsmessung und bittet nachdrücklich die Bestandsmessung des BDSG unter Beteiligung der betroffenen Unternehmen und Verbände zu überprüfen.
Im Hinblick auf den vorliegenden Gesetzentwurf regt der Rat an, die mit dem Entwurf verbundenen Bürokratiekosten unter Berücksichtigung der Erkenntnisse aus der Verbändeanhörung und unter Einbeziehung der Betroffenen erneut zu berechnen. Auf der Grundlage dieser Neuberechnung soll das BMI die mit dem Gesetzentwurf verbundenen Informationspflichten erneut auf ihre Angemessenheit überprüfen, dem Rat vorlegen und die entsprechenden Informationen dem Gesetzgeber kurzfristig zur Verfügung stellen.
gez. | gez. |
Dr. Ludewig | Prof. Dr. Wittmann |
Vorsitzender | Berichterstatter |
Anlage 2
Stellungnahme der Bundesregierung zur Stellungnahme vom 23. Juli 2008 des Nationalen Normenkontrollrates gem. § 6 Abs. 1 NKR-Gesetz:
NKR-Nr. 207:
Gesetz zur Änderung des Bundesdatenschutzgesetzes
Der Nationale Normenkontrollrat bezweifelt in seiner Stellungnahme zu dem Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes die der Berechnung der Bürokratiekosten zugrunde gelegten Ergebnisse der Bestandsmessung des Bundesdatenschutzgesetzes und bittet nach Überprüfung dieser Ergebnisse um erneute Berechnung der mit dem Entwurf verbundenen Bürokratiekosten sowie um Überprüfung der Angemessenheit der vorgesehenen Informationspflichten. Das Bundesministerium des Innern tritt dieser Auffassung entgegen. Die vom Bundesministerium des Innern vorgenommene Berechnung der für die Wirtschaft zu erwartenden zusätzlichen Verwaltungskosten basiert auf den Fallzahlen der Bestandsmessung des Bundesdatenschutzgesetzes.
Andere verlässliche Zahlen aus der Praxis liegen derzeit nicht vor. Falls sich im Laufe des weiteren Verfahrens hinreichende Anhaltspunkte dafür ergeben dass die Erkenntnisse aus der erfolgten Bestandsmessung für die zu erwartenden zusätzlichen Verwaltungskosten keine ausreichende Bemessungsgrundlage bilden müssen die entsprechenden Fallzahlen und die darauf beruhenden Schätzungen der Bürokratiekosten, wie vom Nationalen Normenkontrollrat gefordert, im weiteren Verfahren überprüft werden. Die Angemessenheit der im Gesetzentwurf enthaltenen Informationspflichten steht dagegen nicht in Frage. Durch den Gesetzentwurf sollen die Regelungen des Bundesdatenschutzgesetzes der gestiegenen und weiter steigenden Bedeutung von Scoring-Verfahren im modernen Geschäftsverkehr angepasst werden. Ein Hauptziel des Gesetzentwurfs ist die Erhöhung der Transparenz der praktizierten Verfahren durch die Erweiterung der Informations- und Auskunftsrechte der Betroffenen. Dies hat zwangsläufig die Einführung neuer Informationspflichten bzw. die Erweiterung bestehender Informationspflichten für die Unternehmen zur Folge. Der zur Erfüllung dieser Pflichten zusätzlich entstehende Mehraufwand für die Wirtschaft ist daher unvermeidbar, um das politische Ziel der verbesserten Transparenz zu erreichen.