umwelt-online: Bundesrat 548/08: Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

847. Sitzung des Bundesrates am 19. September 2008

Der federführende Ausschuss für Innere Angelegenheiten (In), der Agrarausschuss (A) und der Wirtschaftsausschuss (Wi) empfehlen dem Bundesrat, zu dem Gesetzentwurf gemäß Artikel 76 Abs. 2 des Grundgesetzes wie folgt Stellung zu nehmen:

1. Zu Artikel 1 Nr. 4 Buchstabe a ( § 6a Abs. 1 BDSG) und Buchstabe b (§ 6a Abs. 2 Satz 1 Nr. 2 BDSG)

Artikel 1 Nr. 4 ist wie folgt zu ändern:

a) Buchstabe a ist wie folgt zu fassen:
- "a) In Absatz 1 werden die Wörter "personenbezogener Daten gestützt werden die der Bewertung einzelner Persönlichkeitsmerkmale dienen" durch die Wörter "von Daten zum Zwecke der Bewertung einzelner Aspekte seiner Person beruhen" ersetzt und folgender Satz angefügt:
  "Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Einzelentscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.""
b) Buchstabe b ist wie folgt zu fassen:
"b) In Absatz 2 Satz 1 Nr. 2 werden die Wörter "die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitgeteilt wird" durch die Wörter "unter Hinweis auf den Auskunftsanspruch nach den §§ 19 und 34 die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitgeteilt werden." ersetzt."

Begründung

Zu Buchstabe a

Der Gesetzentwurf sieht vor, § 6a Abs. 1 einen Satz 2 anzufügen. Diese Änderung übernimmt der Änderungsvorschlag.

Es ist aber eine weitere Änderung des § 6 Abs. 1 erforderlich. Das geltende Recht stellt nur auf die automatisierte Verarbeitung personenbezogener Daten ab die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Erfasst werden müssen aber alle automatisierten Verarbeitungen von Daten zum Zwecke der Bewertung einzelner Aspekte der Person. Nur dann harmoniert die Vorschrift mit den Vorgaben zum Scoring im künftigen § 28b.

Daten, die zur Berechnung des Wahrscheinlichkeitswertes eines bestimmten zukünftigen Verhaltens des Betroffenen genutzt werden, sind nämlich häufig nicht personenbezogen, sondern erlangen den Personenbezug erst dadurch, dass der ermittelte Wahrscheinlichkeitswert dem Betroffenen zugeordnet wird.

Die vorgeschlagene Änderung steht in Einklang mit Art. 15 Abs. 1 der Richtlinie 95/46/EG. Sie entspricht dem Wortlaut dieser Bestimmung. Demgegenüber ist der Anwendungsbereich des § 6a Abs. 1 in seiner jetzigen Fassung deutlich enger als der des Art. 15 der Richtlinie.

Zu Buchstabe b

Im Interesse des Betroffenen sollte die verantwortliche Stelle verpflichtet sein, die Mitteilung über eine automatisierte Einzelentscheidung mit dem Hinweis zu verbinden, dass auf Verlangen des Betroffenen die wesentlichen Gründe für diese Entscheidung mitgeteilt werden. Dann kann auch eine weniger rechtskundige Person erkennen, dass die Entscheidung nicht unumstößlich ist, sondern bei Vorbringen des Betroffenen von der verantwortlichen Stelle zu überprüfen ist.

2. Zu Artikel 1 Nr. 4 Buchstabe b (§ 6a Abs. 2 Satz 1 Nr. 2 BDSG)

Der Bundesrat bittet, im weiteren Verlauf des Gesetzgebungsverfahrens zu prüfen, ob die im Gesetzentwurf vorgesehene Begründungspflicht für eine negative Kreditentscheidung entfallen kann.

Begründung

Der deutsche Gesetzgeber würde ansonsten von der EU-Datenschutzrichtlinie (Artikel 15) abweichen, denn die Richtlinie sieht eine derartige Begründungspflicht nicht vor. Die konkrete automatisierte Einzelentscheidung muss nach EU-Recht wegen der Vertragsabschlussfreiheit eines Unternehmens nicht begründet werden. Die Begründungspflicht würde zu einer Rechtfertigungspflicht des Kreditinstituts führen und damit in die Vertragsabschlussfreiheit des Kreditinstituts eingreifen.

3. Zu Artikel 1 Nr. 4 (§ 6a Abs. 2 Nr. 1 und Absatz 3 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen,

a) wie klargestellt werden kann, dass § 6a Abs. 2 Nr. 1 nicht zur Anwendung kommt wenn der Betroffene zwar eine positive Entscheidung erhält, aber aufgrund der bei der automatisierten Einzelentscheidung berücksichtigten Faktoren nicht zu den günstigsten Konditionen. Dies könnte dadurch geschehen, dass das Anbieten schlechterer Konditionen ausschließlich aufgrund der automatisierten Bewertung einzelner Persönlichkeitsmerkmale des Betroffenen (richtiger: ausschließlich aufgrund der automatisierten Bewertung einzelner Aspekte des Betroffenen) als erhebliche Beeinträchtigung im Sinne des § 6a Abs. 1 Satz 1 definiert wird;
b) wie sich der bestehende Auskunftsanspruch des Betroffenen nach § 6a Abs. 3 über den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten zu dem nach § 34 Abs. 2 des Gesetzentwurfs vorgesehenen Anspruch auf Auskunft über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und über das Zustandekommen der Wahrscheinlichkeitswerte in Fällen des Scorings verhalten soll.

Begründung

Zu Buchstabe a

In der Wirtschaft, insbesondere bei einzelnen Direktbanken ist es üblich, in der Werbung mit besonders günstigen Zinskonditionen zu locken. Konkreten Kreditangeboten ist ein Scoring vorgeschaltet mit dem Ergebnis, dass das tatsächliche Angebot häufig mehrere Prozentpunkte über dem Lockangebot liegt.

Dem Betroffenen müssen die Gründe hierfür ersichtlich gemacht werden.

Zu Buchstabe b:

Die Auskunftsansprüche nach § 6 Abs. 3 und § 34 Abs. 2 überschneiden sich teilweise.

Es bedarf der Klarstellung, dass die Regelung des § 6 Abs. 3 zur Auskunft über den logischen Aufbau der automatisierten Verarbeitung dann nicht zur Anwendung kommen soll, wenn in Fällen des Scorings nach § 34 Abs. 2 in der Fassung des Gesetzentwurfs ein Anspruch auf Auskunft über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und über das Zustandekommen der Wahrscheinlichkeitswerte besteht. Ansonsten bestünden nahezu deckungsgleiche Auskunftsansprüche, die zu entbehrlichem Aufwand bei den zur Auskunft verpflichteten Stellen führen könnten.

4. Zu Artikel 1 Nr. 6 (§ 28a Abs. 1 und 2 Satz 1 und 4 - neu - BDSG)

In Artikel 1 Nr. 6 ist § 28a wie folgt zu ändern:

a) Absatz 1 ist wie folgt zu fassen:
(1) Die Übermittlung von Angaben über eine Forderung an Auskunfteien, die nach § 29 Abs. 1 geschäftsmäßig personenbezogene Daten speichern um sie zur Beurteilung der Zahlungsfähigkeit oder Zahlungswilligkeit des Betroffenen zu übermitteln, ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist und
- 1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt und die Forderung zwei Wochen nach Eintritt der Vollstreckbarkeit nicht beglichen worden ist,
- 2. die Forderung nach § 178 der Insolvenzordnung festgestellt, vom Schuldner im Prüfungstermin nicht bestritten und zwei Wochen nach Feststellung nicht beglichen worden ist,
- 3. die Forderung vom Betroffenen ausdrücklich anerkannt und zwei Wochen nach Anerkennung nicht beglichen worden ist,
- 4. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen berechtigt fristlos gekündigt worden ist und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat,
- 5. die Forderung durch Mahnbescheid, gegen den Widerspruch nicht eingelegt worden ist, festgestellt ist und einen Monat nach Zustellung des Mahnbescheides noch nicht beglichen worden ist, oder
- 6. die Forderung noch nicht nach §§ 704, 794 der Zivilprozessordnung der Zwangsvollstreckung unterliegt, aber nach den Gesamtumständen Zahlungsunfähigkeit oder Zahlungsunwilligkeit des Betroffenen anzunehmen ist; dies ist in der Regel der Fall, wenn
  - a) der Betroffene nach Eintritt der Fälligkeit von der die Übermittlung vornehmenden Stelle mindestens zweimal schriftlich gemahnt worden ist,
  - b) zwischen der ersten Mahnung und der Übermittlung mindestens sechs Wochen* liegen,
  - c) die verantwortliche Stelle den Betroffenen frühestens bei der ersten Mahnung und spätestens zwei Wochen vor der Übermittlung der Angaben darüber unterrichtet hat, dass seine Daten übermittelt werden, wenn er die Forderung nicht begleicht oder keine berechtigten Einwände gegen die Forderung geltend macht und
  - d) der Betroffene die Forderung nicht bestritten hat.
  Die Übermittlung nach Satz 1 unterbleibt, wenn und solange das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. Sofern von der Übermittlungsbefugnis nach Satz 1 Gebrauch gemacht worden ist, sind auch zu Gunsten des Betroffenen wirkende Veränderungen der Forderungen zu übermitteln, wenn und solange dies zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist. Die in Satz 1 Nr. 1, 2, 3, und 5 bestimmten Fristen sind nicht einzuhalten, wenn Angaben über die Forderung bereits nach Satz 1 Nr. 6 übermittelt worden sind. Sätze 1 bis 4 gelten entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet."
b) Absatz 2 ist wie folgt zu ändern:
- aa) Satz 1 ist wie folgt zu ändern:
  Nach der Angabe "Nr. 2, 8 oder" ist die Angabe "Nr. " zu streichen und der Halbsatz "es sei denn, dass schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt" durch den Halbsatz "wenn die Daten von den Auskunfteien ausschließlich zur Beurteilung der Kreditwürdigkeit gespeichert, verarbeitet oder genutzt werden" zu ersetzen.
- bb) Nach Satz 3 ist folgender Satz einzufügen:
  Die Übermittlung nach Satz 1 unterbleibt, wenn das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung offensichtlich überwiegt.

Begründung

Zu Buchstabe a

Satz 1 entspricht weitgehend § 28a Abs. 1 des Gesetzentwurfs. Abweichend davon wird die Übermittlung von Angaben zur Zahlungsfähigkeit oder Zahlungswilligkeit ausdrücklich auf "Kreditauskunfteien" beschränkt. Die genaue Bezeichnung des Übermittlungszwecks führt bei Auskunfteien, denen die Daten übermittelt werden, über die Regelung des § 29 Abs. 1 und 2 BDSG zugleich zu Verwendungs-, insbesondere Übermittlungsbeschränkungen.

Abweichend vom Gesetzentwurf wird die übermittelnde Stelle mit Rücksicht auf die in Satz 1 Nr. 1 bis 6 festgelegten strengen Übermittlungskriterien von der Prüfung freigestellt, ob die Übermittlung im Einzelfall zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist. Diese Voraussetzung ist grundsätzlich als gegeben anzunehmen.

Satz 1 Nr. 1 bis 3 stimmen weitgehend mit den entsprechenden Regelungen des Gesetzentwurfs überein.

Satz 1 Nr. 4 entspricht weitgehend Nummer 5 des Gesetzentwurfs, verlangt aber dass die Kündigung erstens berechtigt und zweitens tatsächlich erfolgt ist.

Satz 1 Nr. 5 trifft für Fälle des Vorliegens eines Mahnbescheides, dem nicht widersprochen worden ist, eine von nachfolgender Nummer 6 abweichende Sonderregelung.

Satz 1 Nr. 6 lehnt sich an Nummer 4 des Gesetzentwurfs an. Die Regelungen zur fristgerechten Unterrichtung über die vorgesehene Übermittlung werden aber konkretisiert. Außerdem wird die Frist zwischen der ersten Mahnung und der Übermittlung von Daten an Auskunfteien von vier auf sechs Wochen verlängert.

Der Betroffene muss auch dann, wenn er sich in einem mehrwöchigen Urlaub o. ä. befunden hat, nach Kenntnisnahme der Mahnungen noch ausreichend Gelegenheit haben, die Forderung zu bestreiten oder den Anspruch zu befriedigen. Eine kürzere Frist ist in Fällen der Nummer 6 wegen der erheblichen wirtschaftlichen Folgen, die mit einer Speicherung der Daten im Datenbestand einer Auskunftei verbunden sind, nicht vertretbar. Die Annahme, dass bei Vorliegen der in Buchstaben a bis d genannten Voraussetzungen Zahlungsunfähigkeit oder Zahlungsunwilligkeit vorliegt, kann im Einzelfall widerlegt werden z.B. dann, wenn es um dubiose Forderungen von Unternehmen mit zweifelhaften Geschäftspraktiken (fingierte Verträge) geht.

Im Unterschied zum Gesetzentwurf wird dem Betroffenen in den Fällen der Nr. 1, 2, 3, und 5 die Möglichkeit gegeben, die Übermittlung der Daten an Auskunfteien abzuwenden wenn offene Forderungen nach Erklärung der Vollstreckbarkeit, der wiederholten Mahnung zügig beglichen werden. Würden die Daten sofort übermittelt und in den Datenbestand von Auskunfteien eingestellt, wären unrichtige Schlüsse auf die Zahlungsfähigkeit oder Zahlungswilligkeit des Betroffenen nicht zu vermeiden. Dies würde schutzwürdige Interessen des Betroffenen beeinträchtigen. Eine Karenzzeit von zwei Wochen reicht generell aus sie muss allerdings bei Mahnbescheiden einen Monat nach Zustellung betragen weil innerhalb der ersten zwei Wochen Widerspruch gegen einen Mahnbescheid erhoben werden kann.

Satz 2 trägt Fallgestaltungen Rechnung, bei denen das schutzwürdige Interesse des Betroffenen am Ausschluss der Übermittlung offensichtlich überwiegt oder zumindest am Hinausschieben der Übermittlung an Auskunfteien. Ein solcher Fall läge etwa vor, wenn ein Betroffener einen größeren Betrag zahlen muss und durch Bankbestätigung oder auf andere Weise nachweist, dass ihm die erforderlichen Mittel kurz nach dem Zeitpunkt, zu dem eine Übermittlung von Daten an Auskunfteien zulässig wäre, zur Verfügung stehen werden.

Satz 3 verpflichtet die übermittelnden Stellen zu Nachmeldungen gegenüber Auskunfteien, wenn und solange dies zur Wahrung schutzwürdiger Interessen der Betroffenen erforderlich ist. Eine Nachmeldung dürfte danach solange vorzunehmen sein wie die negativen Daten im Auskunftsbestand der Auskunftei gespeichert sind; in der Regel in Hinblick auf § 35 Abs. 2 Satz 2 - neu - mindestens bis zum Ende des dritten Jahres, dass der Übermittlung an die Auskunftei folgt. Die Nachmeldung hat Nachmeldepflichten sind schon jetzt - auch mit Blick auf § 35 des Bundesdatenschutzgesetzes - Gegenstand von Verträgen zwischen Auskunfteien und übermittelnden Unternehmen, um zu gewährleisten, dass Datenbestände der Auskunfteien aktuell und richtig sind.

Satz 4 bestimmt, dass die in Satz 1 festgelegten Karenzzeiten für die Übermittlung von Daten an Auskunfteien nicht zu beachten sind, wenn die Daten bereits nach einer anderen Nummer des Satzes 1 übermittelt worden sind.

Satz 5 stellt klar, dass Inkassounternehmen, die auch als Kreditauskunfteien tätig sind Daten aus dem Inkassobereich nicht uneingeschränkt für Auskunfteizwecke verwenden dürfen.

Zu Buchstabe b

Zu Doppelbuchstabe aa

Die Ausführungen in Absatz 1 der Begründung zu Buchstabe a gelten entsprechend.

Gegenüber dem Gesetzentwurf wird die Übermittlung von Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft an Auskunfteien nur zugelassen, wenn die Auskunfteien die Daten ausschließlich zur Beurteilung der Kreditwürdigkeit des Betroffenen speichern, verarbeiten oder nutzen. Die Daten dürfen schon auf Grund ihrer Sensibilität nicht für andere Zwecke verwendet werden, ansonsten würde das Bankgeheimnis ausgehöhlt.

Zu Doppelbuchstabe bb

Die Regelung des § 29 Abs. 2 Satz 1, 2. Halbsatz des Gesetzentwurfs wird in einen gesonderten Satz übernommen.

5. Zu Artikel 1 Nr. 6 (§ 28a Abs. 1 Nr. 4 Buchstabe b BDSG)

In Artikel 1 Nr. 6 ist in § 28a Abs. 1 Nr. 4 Buchstabe b das Wort "vier" durch das Wort "acht" zu ersetzen.

Begründung

Die dem Schuldner gewährte Frist von vier Wochen nach der ersten Mahnung ist zu kurz bemessen, um die erheblichen wirtschaftlichen Folgen zu rechtfertigen, die eine Mitteilung an eine Auskunftei für die betroffene Person haben kann. Vor allem bei Forderungen, bei denen der Schuldner einen Erstattungsanspruch gegenüber einem Versicherer hat, kann die Prüfung des geltend gemachten Anspruchs durch den Schuldner oder seinen Versicherer längere Zeit in Anspruch nehmen. Hinzu kommen Verzögerungen auf Grund beruflich bedingter Abwesenheit, Krankheit oder Urlaub, die bei der Fristbemessung im Gesetzentwurf nicht berücksichtigt wurden. Durch die gegenüber dem Referentenentwurf auf vier Wochen verkürzte Frist wird im Ergebnis nicht der durch die Datenweitergabe betroffene Schuldner geschützt, sondern dem Gläubiger ein zusätzliches, außerprozessuales Druckmittel zur Forderungsdurchsetzung an die Hand gegeben. Daher ist die Stillhaltefrist in § 28a Abs. 1 Nr. 4 Buchstabe b wie im Referentenentwurf auf acht Wochen zu verlängern.

6. Zu Artikel 1 Nr. 6 (§ 28a Abs. 1 Nr. 5 BDSG)

In Artikel 1 Nr. 6 ist § 28a Abs. 1 wie folgt zu ändern:

a) In Nummer 3 ist nach dem Wort "hat" das Komma durch das Wort "oder" zu ersetzen.
b) In Nummer 4 Buchstabe d ist nach dem Wort "hat" das Wort "oder" durch einen Punkt zu ersetzen.
c) Nummer 5 ist zu streichen.

Begründung

Die Regelung in § 28a Abs. 1 Nr. 5 führt dazu, dass die strengen Anforderungen des Absatzes 1 Nr. 4 an eine Datenübermittlung an Auskunfteien unterlaufen werden können. Vor allem ist der Schuldner nicht vor einer Übermittlung an eine Auskunftei und den damit verbundenen negativen Folgen geschützt, wenn er die Zahlung aus berechtigten Gründen verweigert, da Absatz 1 Nr. 5 nicht auf unbestrittene Forderungen beschränkt ist. Die Anknüpfung an das Kündigungsrecht schützt den Schuldner gerade dann nicht, wenn über das Bestehen des Kündigungsrechts Streit besteht.

7. Zu Artikel 1 Nr. 6 (§ 28a Abs. 1 Nr. 5 BDSG)

In Artikel 1 Nr. 6 ist § 28a Abs. 1 Nr. 5 wie folgt zu fassen:

5. in Bezug auf das der Forderung zu Grunde liegende Vertragsverhältnis auf Grund von Zahlungsrückständen nachweislich ein fristloser Kündigungsgrund besteht und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat.

Begründung

Klarstellung des Gewollten: § 28a Abs. 1 Nr. 5 BDSG-E soll die Fälle erfassen, in denen eine erhebliche Vertragsstörung im Verantwortungsbereich des Betroffenen vorliegt und ein fristloser Kündigungsgrund tatsächlich besteht. Allein die Behauptung, dass ein fristloser Kündigungsgrund besteht, darf für die Übermittlung der Daten an eine Auskunftei nicht ausreichend sein.

8. Zu Artikel 1 Nr. 6 (§ 28a Abs. 1 Satz 2 und 3 - neu - BDSG)

In Artikel 1 Nr. 6 sind dem § 28a Abs. 1 folgende Sätze 2 und 3 anzufügen:

Die Übermittlung von Angaben nach Satz 1 ist nur zulässig, wenn kein Grund zur Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt. § 35 und § 39 bleiben unberührt.

Begründung

Der mit einer Weitergabe von Angaben an Auskunfteien verbundene Eingriff in die Rechte des Betroffenen ist nur gerechtfertigt, wenn wie in § 28 Abs. 1 Satz 1 gewährleistet ist, dass keine überwiegenden schutzwürdigen Interessen des Betroffenen entgegenstehen. Zu denken ist dabei vor allem an besonders sensible personenbezogene Daten wie beispielsweise Angaben über Krankheiten und medizinische Behandlungen. Daher ist in Absatz 1 Satz 2 ein entsprechendes Korrektiv aufzunehmen.

Durch die Ergänzung in Satz 3 wird klargestellt, dass Berichtigungsansprüche, z.B. bei einem nachträglichen Erlöschen der Forderung, nach § 35 unberührt bleiben. Außerdem wird klargestellt, dass die Beschränkungen für eine Weitergabe von personenbezogenen Daten, die einem Berufs- oder besonderen Amtsgeheimnis unterliegen (z.B. Arztgeheimnis), auch für die Übermittlung nach § 28a Abs. 1 gelten.

9. Zu Artikel 1 Nr. 6 (§ 28a Abs. 2 Satz 1 zweiter Halbsatz BDSG)

In Artikel 1 Nr. 6 ist in § 28a Abs. 2 Satz 1 der zweite Halbsatz wie folgt zu fassen:

wenn kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten überwiegt

Begründung

Den Interessen der Auskunfteien und den schutzwürdigen Belangen der Kunden bei einer Datenübermittlung an Auskunfteien ist in der nach § 28a Abs. 2

Satz 1 vorgesehenen Abwägung gleiches Gewicht einzuräumen. Durch die im Gesetzentwurf enthaltene Einschränkung, dass das schutzwürdige Interesse des Betroffenen "offensichtlich" überwiegen müsse, wird den Interessen der Auskunfteien jedoch ein zu weitgehender Vorrang eingeräumt, der aus Sicht des Daten- und Verbraucherschutzes nicht gerechtfertigt ist. Daher ist die für die Interessenabwägung in § 28 Abs. 1 Satz 1 Nr. 2 BDSG verwendete Formulierung in § 28a Abs. 2 Satz 1 zu übernehmen.

10. Zur Artikel 1 Nr. 6 ( § 28b Satz 1 BDSG)

In Artikel 1 Nr. 6 sind in § 28b im Eingangssatz nach den Wörtern "mit dem Betroffenen" folgende Wörter einzufügen:

, das einen Darlehensvertrag im Sinne des § 488 des Bürgerlichen Gesetzbuches, einen Vertrag im Sinne des § 499 des Bürgerlichen Gesetzbuches, einen Bürgschaftsvertrag im Sinne des § 765 des Bürgerlichen Gesetzbuches oder ein Bankgeschäft im Sinne des § 1 Abs. 1 Satz 2 Nr. 9 des Kreditwesengesetzes, ausgenommen Giroverträge ohne Überziehungsmöglichkeit, betrifft,

Begründung

Die Regelung in § 28b zu Scoring ist auf Bewertungsverfahren für Verträge zu beschränken bei denen ein kreditorisches Ausfallrisiko besteht. Dies wird durch die Bezugnahme auf Darlehensverträge, Finanzierungshilfen im Sinne von § 499 BGB, Bürgschaften und Bankgeschäfte nach § 1 Abs. 1 Satz 2 Nr. 9 KWG (bargeldloser Zahlungsverkehr) mit Ausnahme von Giroverträgen ohne Überziehungskredit gewährleistet.

Für eine Ausweitung von automatisierten Bewertungsverfahren auf andere Verträge ist in Abwägung der Interessen und Belange der beiden Vertragsparteien kein überwiegendes wirtschaftliches Interesse erkennbar, das den mit dem Scoring verbundenen, weitreichenden Eingriff in die Rechte des Betroffenen rechtfertigen könnte.

11. Zu Artikel 1 Nr. 6 (§ 28b Nr. 1 BDSG)

Im Hinblick auf die in § 28b Nr. 1 BDSG geregelten Voraussetzungen für Scoring-Verfahren einerseits und § 10 Abs. 1 Satz 3 ff. KWG andererseits bittet der Bundesrat, im weiteren Gesetzgebungsverfahren sicherzustellen, dass die für die Kreditinstitute geltenden Vorschriften keine sich widersprechenden Anforderungen in der Ausgestaltung dieser Verfahren enthalten.

Zudem muss gewährleistet sein, dass die Überprüfung der Einhaltung der gesetzlichen Vorschriften seitens der Kreditinstitute auf der Grundlage der spezielleren Regelungen des KWG in erster Linie durch die Bundesanstalt für Finanzdienstleistungsaufsicht erfolgt.

12. Zu Artikel 1 Nr. 6 (§ 28b Nr. 2a - neu - BDSG)

In Artikel 1 Nr. 6 ist in § 28b nach Nummer 2 folgende Nummer einzufügen:

2a. im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei sichergestellt ist, dass diese die für die Entscheidung verantwortliche Stelle in allgemeiner Form über die Berechnung des Wahrscheinlichkeitswerts, insbesondere die dafür genutzten Daten, und im Einzelfall über die für das errechnete Ergebnis maßgeblichen Daten unterrichtet,

Begründung

Nichtöffentlichen Stellen, die sich zur Berechnung von Wahrscheinlichkeitswerten einer Auskunftei bedienen, ist häufig weder bekannt, wie der Wahrscheinlichkeitswert abstrakt berechnet wird, insbesondere welche Daten dafür herangezogen werden, noch welche Faktoren im Einzelfall den Wahrscheinlichkeitswert maßgeblich bestimmt haben. Diese Kenntnis aber ist notwendig, damit die verantwortliche Stelle im Einzelfall eine sachgerechte Entscheidung treffen kann. Dies soll durch die neue Nummer 2a erreicht werden.

13. Zu Artikel 1 Nr. 6 (§ 28b Nr. 3 und Satz 2 - neu - BDSG)

In Artikel 1 Nr. 6 ist § 28b wie folgt zu ändern:

a) Nummer 3 ist zu streichen.
b) Es ist folgender Satz 2 anzufügen:
- "Für die Berechnung eines Wahrscheinlichkeitswerts dürfen
- 1. Daten im Sinne des § 3 Abs. 9,
- 2. Daten, die an die Anschrift eines Betroffenen oder dessen Wohnumfeld anknüpfen und
- 3. Schätzdaten nicht verwendet werden."

Begründung

Aus dem Gesetzentwurf ergibt sich nicht mit der notwendigen Klarheit, welche personenbezogenen Daten in die Berechnung von Wahrscheinlichkeitswerten einbezogen werden dürfen. Vielmehr soll sich die Zulässigkeit der Verwendung von Daten nach Nummer 2 aus einer Abwägung zwischen den berechtigten Interessen der nichtöffentlichen Stelle und den schutzwürdigen Belangen des Betroffenen ergeben. Damit wird der Gesetzentwurf in diesem Punkt seiner Zielsetzung, die Transparenz der Verfahren zu verbessern und gleichzeitig mehr Rechtssicherheit für Unternehmen zu schaffen, nicht gerecht. Mit dem neuen Satz 2 sollen wenigstens die Daten durch Gesetz festgelegt werden, die auf keinen Fall für die Berechnung von Wahrscheinlichkeitswerten herangezogen werden dürfen. Dazu gehören wegen ihrer Sensibilität die Daten nach § 3 Abs. 9. Nicht verwendet werden dürfen ferner Daten, die an die Anschrift eines Betroffenen anknüpfen sowie die Wohnumfelddaten. Eine wirtschaftliche Benachteiligung von Personen, die beispielsweise in Gegenden mit einem geringen Einkommensniveau oder in Straßen mit vorwiegend älteren Gebäuden wohnen ist nicht gerechtfertigt und würde überdies gesamtgesellschaftlich unerwünschte Entwicklungen wie die Bildung von sozialen Brennpunkten und die Ausgrenzung von Personen mit geringem Einkommen fördern.

Die Verwendung von Schätzdaten soll untersagt werden, weil dadurch die Aussagekraft von Wahrscheinlichkeitswerten gemindert wird. Zu den Schätzdaten zählen beispielsweise eine Altersschätzung anhand des Vornamens einer Person oder die Herleitung des Familienstands einer Person aus Daten, die in einem öffentlich zugänglichen Verzeichnis (z.B. einem Adressbuch) enthalten sind.

Da die Verwendung von Daten, die an die Anschrift eines Betroffenen oder dessen Wohnumfeld anknüpfen, untersagt wird, ist Nummer 3 des Gesetzentwurfs zu streichen.

14. Zu Artikel 1 Nr. 6 (§ 28b Nr. 3 Satz 2 - neu - BDSG)

In Artikel 1 Nr. 6 ist § 28b wie folgt zu ändern:

a) Nummer 3 ist wie folgt zu fassen:
3. bei der Berechnung des Wahrscheinlichkeitswerts Verfahren verwendet werden die insbesondere hinsichtlich ihrer Methodik dem Stand der Technik entsprechen, und alle organisatorischen und technischen Vorkehrungen getroffen werden, um unrichtige Bewertungen und fehlerhafte Dateneingaben zu vermeiden.
b) Folgender Satz 2 ist anzufügen:
Eine Nutzung von Anschriftendaten für die Zwecke des Satzes 1 ist unzulässig.

Begründung

Zu Buchstabe a:

Die in § 28b Nr. 1 vorgesehene Anforderung an die Datenqualität ist für den Schutz des Betroffenen nicht ausreichend, da sie lediglich den Datenumfang regelt. Notwendig ist vielmehr auch die Vorgabe materieller Mindeststandards für die Qualität und Zuverlässigkeit der verwendeten Verfahren, da gerade in der Praxis wiederholt unrichtige Bewertungen erstellt werden, die für den Betroffenen erhebliche negative wirtschaftliche Auswirkungen haben können.

Zu Buchstabe b:

Bewertungen beispielsweise zur Kreditwürdigkeit einer Person sollen nicht auf Anschriftendaten gestützt werden dürfen. Eine wirtschaftliche Benachteiligung von Personen, die beispielsweise in Gegenden mit einem geringeren Einkommensniveau wohnen ist sachlich nicht gerechtfertigt und würde überdies gesamtgesellschaftlich unerwünschte Entwicklungen wie die Bildung von sozialen Brennpunkten und die Ausgrenzung von Personen mit geringeren Einkommen verstärken.

15.1 Zu Artikel 1 Nr. 6 (§ 28b Nr. 4 - neu - BDSG)

In Artikel 1 Nr. 6 ist § 28b wie folgt zu ändern:

a) In Nummer 3 ist am Ende der Punkt durch ein Komma zu ersetzen.
b) Folgende Nummer 4 ist anzufügen:
4. der Betroffene über die Erhebung oder Verwendung des Wahrscheinlichkeitswerts und die Entscheidung sowie auf Verlangen über die wesentlichen Gründe dieser Entscheidung unterrichtet wird.

Begründung

Da das Verhältnis zwischen § 28b und § 6a BDSG nicht eindeutig bestimmt ist und zudem nicht gewährleistet ist, dass die Unterrichtungspflicht nach § 6a Abs. 2 BDSG stets im Falle von Scoringverfahren Anwendung findet, ist eine ausdrückliche Regelung der Unterrichtungspflicht in § 28b erforderlich. Die Unterrichtungspflicht ist zwingende Voraussetzung dafür, dass der Betroffene in die Lage versetzt wird, seine Auskunftsrechte nach § 34 BDSG und etwaige Berichtigungsansprüche nach § 35 BDSG geltend zu machen. Solange eine aktive Mitteilung an den Betroffenen unterbleibt, kann der Betroffene in vielen Fällen bestenfalls vermuten, dass die Entscheidung über einen Vertragsschluss oder die gewährten Vertragskonditionen auf dem Ergebnis eines Scoringverfahrens beruht.

16. Zu Artikel 1 Nr. 7 Buchstabe a Doppelbuchstabe dd (§ 29 Abs. 1 Satz 1 Nr. 3 BDSG) Buchstabe b Doppelbuchstabe aa Dreifachbuchstabe bbb (§ 29 Abs. 2 Satz 1 Nr. 2 BDSG) Doppelbuchstabe aa1 - neu - (§ 29 Abs. 2 Satz 3 - neu - BDSG)

Artikel 1 Nr. 7 ist wie folgt zu ändern:

a) In Buchstabe a Doppelbuchstabe dd ist Nummer 3 wie folgt zu fassen:
3. es für ein Scoring nach § 28b erfolgt.
b) Buchstabe b Doppelbuchstabe aa ist wie folgt zu fassen:
"aa) Satz 1 wird wie folgt geändert:
- aaa) In Nummer 1 Buchstabe b wird nach der Angabe "§ 28 Abs. 3" die Angabe "Satz 1" eingefügt.
- bbb) Der Nummer 2 wird folgender Satz angefügt:
  "Dieses Interesse ist stets anzunehmen, wenn personenbezogene Daten dem Betroffenen nicht zweifelsfrei zuzuordnen sind, es sei denn,
  - a) die verantwortliche Stelle hat alle zumutbaren Schritte unternommen, die Zweifel an der Zuordnung auszuschließen
  - b) die Daten sind mit an Sicherheit grenzender Wahrscheinlichkeit dem Betroffenen zuzuordnen,
  - c) die Kenntnis der Daten ist für den Dritten, dem die Daten übermittelt werden, zum Schutz vor einem unmittelbaren erheblichen finanziellen Ausfallrisiko unerlässlich
  - d) der Betroffene wird von der verantwortlichen Stelle über die Übermittlung unter Angabe der personenbezogenen Daten, die ihm nicht zweifelsfrei zugeordnet worden sind, benachrichtigt und
  - e) der Dritte, dem die Daten übermittelt werden, verpflichtet sich die Daten nur zu verwenden, wenn er die Daten dem Betroffenen eindeutig zuordnen kann und anderenfalls die Daten unverzüglich zu löschen.""
c) Nach Doppelbuchstabe aa ist folgender Doppelbuchstabe aa1 einzufügen:
- "aa1) Nach Nummer 2 wird folgender Satz eingefügt:
  "(2) Die Übermittlung von nicht allgemein zugänglichen Daten über die Kreditwürdigkeit des Betroffenen ist nur zulässig, wenn der Dritte, dem die Daten übermittelt werden, zumindest ein unmittelbares finanzielles Ausfallrisiko geltend macht.""

Begründung

Zu Buchstabe a

Die Befugnis von Auskunfteien Daten zu speichern, die ihnen nach § 28a Abs. 1 oder 2 übermittelt worden sind, ergibt sich aus diesen Bestimmungen in Verbindung mit § 29 Abs 1 in der geltenden Fassung. Dies bedarf daher - anders als im Gesetzentwurf vorgesehen - keiner besonderen Regelung. Dagegen sollte die Befugnis dieser Stellen zum Scoring ausdrücklich festgelegt und nicht nur in der Regelung über die Auskunft an den Betroffenen (§ 34 Abs. 2 - neu -) als gegeben vorausgesetzt werden.

Im Übrigen weist der Gesetzentwurf in Nr. 7 Buchst. a, Doppelbuchst. dd eine redaktionelle Unstimmigkeit auf. Die Angabe "§ 28a Abs. 2 Satz 3" müsste "§ 28a Abs. 2 Satz 4" lauten.

Zu Buchstabe b

Zu Doppelbuchstabe aa

Zu Dreifachbuchstabe aaa

Die Regelung entspricht Nr. 7 Buchst. b, Doppelbuchst. aa des Gesetzentwurfs.

Zu Dreifachbuchstabe bbb

In der Praxis der Auskunfteien kommt es ausnahmsweise auch zur Übermittlung personenbezogener Daten, die dem Betroffenen nicht eindeutig zugeordnet werden können. Der Übermittlung solcher Daten stehen grundsätzlich schutzwürdige Interessen des Betroffenen entgegen. Nur in extremen Ausnahmefällen kann eine solche Übermittlung berechtigt sein, insbesondere dann, wenn Anhaltspunkte dafür bestehen, dass eine nicht solvente Person eine falsche Identität verwendet, um uneingeschränkt am Wirtschaftsleben teilhaben zu können.

Vor einer solchen Übermittlung haben Adressaten des § 29 alle zumutbaren Möglichkeiten auszuschöpfen, Zweifel an der Zuordnung auszuschließen. Sie dürfen diese Verantwortung grundsätzlich nicht auf die Stellen abwälzen können, denen die Daten übermittelt werden.

Wegen der besonderen Risiken für den Betroffenen, die aus der Übermittlung von negativen Daten herrühren können, die ihn tatsächlich nicht betreffen, sind besondere Schutzvorkehrungen erforderlich. So orientiert sich die Regelung hinsichtlich der Vorgaben für die Verwendung und Löschung an § 10 Abs. 3 des Gesetzes über das Ausländerzentralregister.

Die Pflicht, den Betroffenen über jede ausnahmsweise erfolgende Übermittlung nicht eindeutig ihm zuzuordnender Daten zu benachrichtigen, ist zwingend geboten. Nur so kann der Betroffene rechtzeitig darauf hinwirken, dass künftig falsche Zuordnungen unterbleiben. Der künftig vorgesehene Auskunftsanspruch über entsprechende Daten (§ 34 Abs. 2 Sätze 3 und 4) reicht nicht aus. Die Unterrichtung des Betroffenen wäre von der Ausübung des Auskunftsanspruches abhängig und käme damit regelmäßig zu spät.

Zu Buchstabe c

Die Zulässigkeit der Übermittlung von Angaben zur Kreditwürdigkeit ist, sofern es sich dabei nicht um allgemein zugängliche Daten handelt, unter Abwägung der widerstreitenden Interessen nur zu bejahen, wenn der Dritte, dem die Daten übermittelt werden, zumindest ein unmittelbares finanzielles Ausfallrisiko hat.

17. Zu Artikel 1 Nr. 8 (§ 34 Abs.1 Satz 1, Absatz 2 Satz 1 und 3, Absatz 3 Satz 1* und Absatz 4 Satz 1 BDSG)

In Artikel 1 Nr. 8 ist in § 34 Abs. 1 Satz 1, Absatz 2 Satz 1 und 3 , Absatz 3 Satz 1* und Absatz 4 Satz 1 jeweils nach dem Wort "Verlangen" das Wort "unverzüglich" einzufügen.

Begründung

Für die in § 34 vorgesehenen Auskunftsansprüche sind bisher keine Fristen geregelt.

Diese sind jedoch sowohl im Hinblick auf die in § 43 Abs. 1 Nr. 8a bis 8c BDSG vorgesehene Bußgeldbewehrung einer nicht rechtzeitigen Auskunftserteilung als auch zur Konkretisierung der Auskunftsansprüche der Betroffenen geboten. Durch die Legaldefinition der Unverzüglichkeit in § 121 BGB ist damit die im Hinblick auf die vorgesehene Sanktionsmöglichkeit erforderliche Bestimmtheit für den Bußgeldtatbestand gegeben.

Eine Konkretisierung der Rechtzeitigkeit im Zusammenhang mit der bußgeldbewehrten Verhaltenspflicht (§ 34) ist auch gegenüber einer Definition der Rechtzeitigkeit im Rahmen der Bußgeldvorschriften (§ 43) gesetzessystematisch vorzugswürdig.

* Die Änderung zu § 34 Abs. 3 Satz 1 entfällt bei Annahme von Ziffer 18.

18. Zu Artikel 1 Nr. 8 (§ 34 Abs. 1 Satz 3 und 4, Absatz 3 und 4 Satz 3 - neu -, Absatz 7, 8 und 8a - neu - BDSG)

In Artikel 1 Nr. 8 ist § 34 wie folgt zu ändern:

a) Absatz 1 Satz 3 und 4 ist zu streichen.
b) Absatz 3 ist wie folgt zu fassen:
(3) Abweichend von Absatz 1 haben Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung speichern,
- 1. auch Auskunft über personenbezogene Daten zu erteilen, die nicht gespeichert sind, auf die aber im Rahmen der Übermittlung zugegriffen wird,
- 2. auch Auskunft über Daten zu erteilen, die gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit einer Übermittlung von der verantwortlichen Stelle hergestellt werden soll,
- 3. auch Auskunft über Herkunft und Empfänger der Daten zu erteilen, wenn diese Angaben nicht gespeichert sind,
- 4. Auskunft über Herkunft und Empfänger der Daten dann nicht zu erteilen, wenn im Einzelfall das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt."
c) In Absatz 4 ist nach Satz 2 folgender Satz anzufügen:
- "Der Anspruch nach Satz 1 und 2 besteht nicht, soweit die Auskunft nach Absatz 2 Satz 4 oder 5 bereits erteilt ist.
d) In Absatz 7 ist die Angabe "§ 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7" durch die Angabe "§ 33 Abs. 2 Satz 1 Nr. 2, 3, 5, 6 oder 7 Buchstabe b" zu ersetzen.
e) Absatz 8 ist wie folgt zu fassen:
(8) Die Auskunft ist, soweit in Absatz 8a nichts anderes bestimmt ist, unentgeltlich.
f) Nach Absatz 8 ist folgender Absatz 8a einzufügen:
(8a) Von Auskunfteien kann der Betroffene unentgeltlich Auskunft erlangen,
- 1. einmal im Kalenderjahr in Textform,
- 2. wenn er eine Benachrichtigung nach § 33 erhalten hat,
- 3. wenn besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig sind oder unzulässig gespeichert werden oder
- 4. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 oder 4 zu löschen sind.
Im Übrigen können Auskunfteien für die Auskunftserteilung ein Entgelt verlangen dessen Höhe jedoch nicht über die durch die Auskunftserteilung unmittelbar zurechenbaren Kosten hinausgehen darf. Im Falle des Satzes 1 Nr. 4 ist dem Betroffenen ein vor der Auskunftserteilung entrichtetes Entgelt zu erstatten."

Begründung

Zu Buchstabe a und b

Sonderregelungen für die Auskunftserteilung an den Betroffenen für Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung speichern werden mit Ausnahme der Sonderregelungen zum Scoring in Absatz 3 zusammengefasst. Dies führt zu einer Vermeidung von Doppelregelungen.

Zu Buchstabe b

In Nummer 1 werden die Ausnahmetatbestände nach § 34 Abs. 1 Satz 4 und Abs. 2 Satz 1, die sich nur marginal unterscheiden, in einer Regelung zusammengeführt.

Nummer 3 verpflichtet insbesondere Adresshändler Dokumentationen über die Herkunft und die Empfänger der Daten vorzuhalten.

Abweichend von § 34 Abs. 1 Satz 4 in der Fassung des Gesetzentwurfs wird im vorgeschlagenen Absatz 2 Nr. 4 die Möglichkeit von Stellen, die geschäftsmäßig Daten zum Zwecke der Übermittlung speichern, Auskunft über die Herkunft und die Empfänger von Daten unter Berufung auf das Geschäftsgeheimnis zu verweigern, ausdrücklich auf Einzelfälle beschränkt. Damit wird verdeutlicht dass eine Auskunft über solche Daten nicht pauschal verweigert werden kann, sondern nur dann, wenn im konkreten Fall das Informationsinteresse des Betroffenen hinter dem Interesse an der Wahrung des Geschäftsgeheimnisses zurückbleibt. Diese Anforderung kann ausnahmsweise im Einzelfall bei Auskunfteien erfüllt sein, jedoch nie bei Adresshändlern.

Zu Buchstabe c

Verzicht auf einen doppelten Anspruch auf Auskunftserteilung.

Zu Buchstabe d

Absatz 7 entspricht in der Fassung des Gesetzentwurfs dem § 34 Abs. 4 des geltenden Rechts. Die Regelung ist insoweit nicht stimmig, als es keine Rechtfertigung gibt auch in Fällen des § 33 Abs. 2 Satz 1 Nr. 7a von der Auskunftspflicht freizustellen. Diese Unstimmigkeit wird beseitigt.

Die weiteren Änderungen sind redaktioneller Art.

Zu Buchstabe e und f

Der Gesetzentwurf behandelt alle nicht-öffentlichen Stellen, die Daten geschäftsmäßig zum Zweck der Übermittlung speichern, gleich. Dies ist nicht sachgerecht. Adresshändler sollten uneingeschränkt zur unentgeltlichen Auskunftserteilung verpflichtet sein. Lediglich für Auskunfteien sind Sonderregelungen sachlich gerechtfertigt, die in einem neuen Absatz 8a zusammengefasst werden sollen.

Der neue Absatz 8a unterscheidet sich vom Gesetzentwurf dadurch, dass er dem Betroffenen auch dann einen Rechtsanspruch auf unentgeltliche Auskunftserteilung einräumt wenn dieser eine Benachrichtigung nach § 33 über die erstmalige Übermittlung seiner Daten erhalten hat. In diesen Fällen hat er ein berechtigtes Interesse daran, von der Auskunftei zu erfahren, welche Daten diese über ihn speichert und an wen sie die Daten übermittelt hat, dem durch die Unentgeltlichkeit der Auskunftserteilung Rechnung zu tragen ist.

Die Auskunftserteilung soll im übrigen nicht nur in den Fällen des § 35 Abs. 1 und des § 35 Abs. 2 Satz 2 Nr. 1, sondern auch im Falle des § 35 Abs. 2 Satz 2 Nr. 4 unentgeltlich sein. Da die Auskunfteien die Auskunftserteilung häufig von der vorherigen Entrichtung eines Entgelts abhängig machen, soll für die Fälle, in denen die Auskunft ergibt, dass die Daten zu berichtigen oder zu löschen sind vorgesehen werden, dass das Entgelt zu erstatten ist.

Mit diesen Ergänzungen kann akzeptiert und im Gesetz auch zum Ausdruck gebracht werden, dass Auskunfteien in allen übrigen Fällen ein Entgelt verlangen dürfen.

Absatz 8 Satz 3 des Gesetzentwurfs wahrt die Interessen der Betroffenen nur scheinbar besser. Er läuft in der Praxis jedoch leer, weil Auskunfteien regelmäßig davon ausgehen, dass ihre Auskünfte gegenüber Dritten zu wirtschaftlichen Zwecken genutzt werden können.

Zu Artikel 1 Nr. 8 (§ 34 Abs. 1 Satz 4, Absatz 3 Satz 3 BDSG)

In Artikel 1 Nr. 8 ist § 34 wie folgt zu ändern:

19. a) Absatz 1 Satz 4 ist zu streichen.
20. b) Absatz 3 Satz 3 ist zu streichen.

Begründung

Verbraucher haben ein Interesse zu erfahren, wer über ihre personenbezogenen Daten verfügt. Gemäß der derzeitigen Rechtslage und des vorliegenden Gesetzentwurfs können Unternehmen, die mit personenbezogenen Daten gewerbsmäßigen Handel betreiben, Verbrauchern mit Verweis auf die Wahrung des Geschäftsgeheimnisses die Auskunft verweigern. Dies führt zu dem Ergebnis, dass Verbraucher gegenüber Auskunfteien weder einen Anspruch darauf haben zu erfahren, woher das Unternehmen die Daten erhalten hat, noch darüber, an wen die Daten weitergeleitet werden. Es ist nicht ersichtlich, weswegen die Auskunftsansprüche von Verbrauchern gegenüber Auskunfteien stärker eingeschränkt sein sollen als gegenüber Unternehmen, die personenbezogenen Daten lediglich zu eigenen Zwecken nutzen.

Verbrauchern sollte vielmehr ein umfassender Auskunftsanspruch zugestanden werden woher Auskunfteien ihre personenbezogenen Daten erhalten haben und an wen diese weitergegeben wurden. Nur so können sich Verbraucher einen Überblick verschaffen, wer über ihre personenbezogenen Daten verfügt, um dann gegebenenfalls der weiteren Verarbeitung und Nutzung ihrer Daten zu widersprechen

21. Zu Artikel 1 Nr. 8 (§ 34 Abs. 2 Satz 1 Nr. 2, Absatz 4 Satz 1 Nr. 3 BDSG)

In Artikel 1 Nr. 8 ist § 34 wie folgt zu ändern:

a) Absatz 2 Satz 1 Nr. 2 ist wie folgt zu fassen:
"2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten in absteigender Reihenfolge ihrer Bedeutung für das im Einzelfall berechnete Ergebnis und".
b) Absatz 4 Satz 1 Nr. 3 ist wie folgt zu fassen:
"3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Daten in absteigender Reihenfolge ihrer Bedeutung für das im Einzelfall berechnete Ergebnis sowie".

Begründung

Die in Absatz 2 Satz 1 Nummern 2 und 3 und Absatz 4 Satz 1 Nummern 3 und 4 des Gesetzentwurfs vorgesehenen Regelungen bieten keine Gewähr dafür, dass der Betroffene durch die jeweils zur Auskunft verpflichtete Stelle auch tatsächlich in die Lage versetzt wird, seine Rechte sachgerecht auszuüben und mögliche Fehler in der Berechnungsgrundlage aufzudecken, wie es in der Gesetzesbegründung heißt. Die Gesetzesbegründung hat nämlich in den Wortlaut des Gesetzentwurfs keinen Eingang gefunden. Es ist daher zu befürchten, dass sich die Praxis darauf beschränken wird, Auskunft über Datenarten sowie den errechneten Gesamtwert und die Einzelwerte für die verschiedenen Merkmale zu erteilen, ohne dass der Betroffene einzuschätzen vermag, woran es letztlich liegt wenn der für ihn errechnete Gesamtwert niedrig ist und die für die Entscheidung verantwortliche Stelle eine negative Entscheidung getroffen hat.

Dem soll durch die vorgeschlagene Ergänzung begegnet werden.

Im übrigen soll das im Gesetzentwurf verwendete Wort "Datenarten" durch das Wort "Daten" ersetzt werden, um zu verhindern, dass Daten in einer Weise zusammengefasst werden die den schutzwürdigen Belangen der Betroffenen nicht hinreichend Rechnung trägt (z.B. "soziodemographische Daten").

22. Zu Artikel 1 Nr. 8 ( § 34 Abs. 2 BDSG)

Der Bundesrat bittet, im weiteren Verlauf des Gesetzgebungsverfahrens zu prüfen, ob das vorgesehene Auskunftsrecht hinsichtlich eines durchgeführten "Scoring-Verfahrens" nicht zu weitgehend ist.

Begründung

Der Gesetzentwurf gibt dem Betroffenen ein Recht auf Auskunft über die für das Scoring verwendeten Datenarten, die Scoringwerte der letzten sechs Monate vor dem Auskunftsersuchen und über das Zustandekommen des Scoringwerts.

Nach der Gesetzesbegründung erhält der Betroffene das Auskunftsrecht, um die Kreditentscheidung verstehen, falsche Daten korrigieren oder den für ihn errechneten Scoringwert im konkreten Fall widerlegen zu können.

Die Einführung dieser Informationspflichten beim Scoring-Verfahren begegnet folgenden Bedenken:

- Der deutsche Gesetzgeber würde damit von der EU-Datenschutzrichtlinie abweichen, die eine derartige Informationspflicht nicht vorsieht. Im konkreten Fall würden für deutsche Kreditinstitute strengere Anforderungen gelten als für Unternehmen in anderen EU-Mitgliedstaaten. Eine Verzerrung des Wettbewerbs innerhalb der EU wäre die Folge.
- Die Auskunft über das Zustandekommen des Score-Werts führt zu einer Preisgabe des Betriebs- und Geschäftsgeheimnisses der Banken.
- Die deutsche Kreditwirtschaft wird mit zusätzlichen, nicht gerechtfertigten bürokratischen Lasten belegt. Aus diesen Lasten resultieren erhebliche Kosten für die Implementierung, die weit über die in der Gesetzesbegründung geschätzten Kosten hinausgehen.

23. Zu Artikel 1 Nr. 9 Buchstabe e - neu - ( § 35 Abs. 5 BDSG)

In Artikel 1 Nr. 9 ist nach Buchstabe d folgender Buchstabe e anzufügen:

"e) Absatz 5 wird wie folgt gefasst:
"(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht. Dies gilt nicht, wenn eine Interessenabwägung ergibt, dass das Interesse der verantwortlichen Stelle das Interesse des Betroffenen erheblich überwiegt oder wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung der Daten verpflichtet." "

Begründung

Nach aktueller Rechtslage dürfen grundsätzlich personenbezogene Daten für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien dann nicht erhoben, verarbeitet oder genutzt werden, wenn der Betroffene widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen das Interesse der verantwortlichen Stelle überwiegt. Die in § 35 Abs. 5 Satz 1 BDSG geregelte Interessenabwägung zwischen Betroffenem und verantwortlicher Stelle schränkt das Widerspruchsrecht des Betroffenen wesentlich ein. Die verantwortliche Stelle kann sich regelmäßig darauf berufen, dass ihr Interesse an einer Datenerhebung, Verarbeitung oder Nutzung das Interesse des Verbrauchers überwiegt. Daher soll der Verbraucher grundsätzlich ein umfassendes Widerspruchsrecht eingeräumt bekommen.

Ausnahmsweise sollen trotz Widerspruch des Verbrauchers personenbezogene Daten durch die verantwortliche Stelle erhoben, verarbeitet oder genutzt werden, soweit eine Interessenabwägung ergibt, dass das Interesse der verantwortlichen Stelle an einer Erhebung, Verarbeitung oder Nutzung der Daten das Interesse des Verbrauchers erheblich überwiegt oder wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung der Daten verpflichtet.

Durch diese Regelung wird die Kontrollmöglichkeit der Verbraucher über die Verwendung ihrer personenbezogenen Daten verbessert und die Verbraucher werden damit besser geschützt.

24. Zu Artikel 1 Nr. 10 Buchstabe a - neu - (§ 43 Abs. 1 Nr. 4a - neu - BDSG)

Artikel 1 Nr. 10 ist wie folgt zu fassen:

"10. § 43 Abs. 1 wird wie folgt geändert:

a) Nach Nummer 4 wird folgende Nummer 4a eingefügt:
"4a. entgegen § 28a Abs. 2 Satz 4 personenbezogene Daten übermittelt."
b) Nach Nummer 8 werden folgende Nummern 8a bis 8c eingefügt:
<wie Vorlage> "

Begründung

§ 28a Abs. 2 Satz 4 BDSG-E soll verhindern, dass Anfragen über Kreditkonditionen, welche Kunden zu Zwecken des Preisvergleichs bei mehreren Kreditinstituten stellen, zu Meldungen an Auskunfteien führen, die den Scorewert verschlechtern.

Gängige Scoringverfahren gehen davon aus, dass das Stellen von mehreren Kreditanträgen bei unterschiedlichen Kreditanbietern auf eine schlechtere Bonität des Kunden schließen lässt. Die Stiftung Warentest hat in dem Bereich Finanztest wiederholt festgestellt, dass Kreditinstitute zum Teil bei den Meldungen an Auskunfteien nicht zwischen Anfragen über Kreditkonditionen und konkreten Kreditanträgen unterscheiden. Das führt bisher dazu, dass der Preiswettbewerb für Kredite mittelbar erheblich beschränkt wird, indem Kreditkonditionenanfragen zu schlechteren Scorewerten führen können. Deshalb besteht das Risiko, je intensiver Kunden die Konditionen vergleichen, desto mehr steigen die geforderten Kreditzinsen. In diesem Falle würde der Wettbewerb ad absurdum geführt.

Ein Verbot dieser Praxis genügt nicht, um die Gefahr der Wettbewerbsbeschränkungen zu bannen. Das Verbot bedarf der Bußgeldbewehrung, um die Kreditinstitute zu sorgfältig differenzierten Datenweitergaben anzuhalten.

25.2 Zu Artikel 1 Nr. 10 (§ 43 Abs. 1 Nr. 8a bis 8c, Absatz 2 Nr. 1 BDSG)

Artikel 1 Nr. 10 ist wie folgt zu fassen:

"10. § 43 wird wie folgt geändert:

a) In Absatz 1 werden nach Nummer 8 folgende Nummern 8a bis 8c eingefügt:
- 8a.entgegen § 34 Abs. 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Abs. 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Abs. 2 Satz 5, Absatz 3 Satz 1 oder Satz 2 oder Absatz 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, also regelmäßig nicht spätestens innerhalb eines Monats nach Antragstellung, erteilt,
- 8b. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig, also regelmäßig nicht spätestens innerhalb eines Monats nach Antragstellung, übermittelt,
- 8c. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig also regelmäßig nicht spätestens innerhalb eines Monats nach Antragstellung, an die andere Stelle verweist."
b) Absatz 2 Nr. 1 wird wie folgt gefasst:
1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind erhebt, verarbeitet oder nutzt, auch in Verbindung mit § 11 Abs. 3 Satz 1.

Begründung

Zu Buchstabe a

Um die nicht rechtzeitige Auskunftserteilung ahnden zu können, muss eine Frist bestimmt werden, nach deren Ablauf grundsätzlich von einer nicht fristgerechten Auskunftserteilung auszugehen ist.

Zu Buchstabe b

In jüngster Vergangenheit bekannt gewordene Verstöße nicht öffentlicher Stellen im Umgang mit personenbezogenen Daten, insbesondere die unbefugte Verwendung personenbezogener Daten durch Stellen, die personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, und der damit einhergehende Missbrauch von Daten über Bankverbindungen zur unbefugten Abbuchung von Geldbeträgen, geben Veranlassung, auch die unbefugte Nutzung nicht allgemein zugänglicher personenbezogener Daten als Ordnungswidrigkeit im Sinne des § 43 Abs. 2 einzustufen und im Falle der Bereicherungs- oder Schädigungsabsicht unter Strafandrohung zu stellen.

Dies hätte mehrere Vorteile. So könnte eine Vielzahl von Verstößen im Umgang mit personenbezogenen Daten nicht nur zivilrechtlich, sondern auch mit Mitteln des Straf- bzw. des Ordnungswidrigkeitenrechts geahndet werden. Nur beispielhaft zu nennen sind die unbefugte - vom Listenprivileg des § 28 Abs. 3 nicht erfasste - Nutzung personenbezogener Daten zu Werbezwecken, die Nichtbeachtung von Werbewidersprüchen nach § 28 Abs. 4 Satz 1 oder auch Zuwiderhandlungen des Auftragnehmers gegen Weisungen des Auftraggebers zu Lasten des Betroffenen.

Die unbefugte Nutzung personenbezogener Daten hat für den Betroffenen häufig die gleichen negativen Auswirkungen wie die unbefugte Übermittlung der Daten. So ist es nur konsequent, dass das Bundesdatenschutzgesetz die Zulässigkeit der Nutzung personenbezogener Daten schon jetzt grundsätzlich an die gleichen materiellen Voraussetzungen knüpft, die für Übermittlungen gelten.

Dann ist es aber auch logisch, die unbefugte Nutzung personenbezogener Daten ebenso als Ordnungswidrigkeit oder Straftat einzustufen wie die unbefugte Übermittlung. Die meisten Landesdatenschutzgesetze enthalten bereits entsprechende Regelungen, zum Teil über die Einbeziehung der Erhebung in die Phasen der Datenverarbeitung.

Die Bewehrung der unzulässigen Nutzung personenbezogener Daten als Ordnungswidrigkeit oder Straftat würde auch Auftragnehmer im Sinne des § 11 BDSG erfassen. Durch die zusätzliche Bezugnahme auf § 11 Abs. 3 Satz 1 wird zudem verdeutlicht, dass die Verwendung personenbezogener Daten entgegen den Weisungen des Auftraggebers den Tatbestand der unbefugten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten erfüllten kann.

Im Hinblick auf das Bestimmtheitsgebot von Strafnormen lässt sich die unbefugte Verwendung von Daten eines Auftraggebers durch einen Auftragnehmer, aber auch durch Mitarbeiter der verantwortlichen Stelle selbst, nur schwerlich unter den Tatbestand einer unbefugten Übermittlung subsumieren. Nach der vorgeschlagenen Änderung könnten auch solche Zuwiderhandlungen eines Auftragnehmers geahndet werden, die nicht bereits den Tatbestand des § 43 Abs. 3, 2. Alternative erfüllen, nämlich das unbefugte Beschaffen nicht allgemein zugänglicher Daten für sich oder einen anderen aus automatisierten Verarbeitungen.

Dieser Tatbestand dürfte bei der Verwendung personenbezogener Daten entgegen den Weisungen des Auftraggebers häufig erfüllt sein, siehe Urteil des BGH vom 27.4.2006 - I ZR 126/03 - zur unbefugten Verschaffung von Geschäftsgeheimnissen im Sinne des § 17 Abs: 2 Nr. 2 UWG.

Zum Gesetzentwurf allgemein

26. a) Der Bundesrat betont angesichts einer zunehmend technisierten Gesellschaft die Bedeutung und das Erfordernis eines modernen Datenschutzes, der in seinem Anwendungs- und Geltungsbereich, in seiner Transparenz gegenüber Betroffenen, in seinen Verarbeitungsbeschränkungen und seinen Kontrollen unter Abwägung der Interessen aller Beteiligten den wachsenden Anforderungen gerecht werden muss. Dabei darf jedoch nicht übersehen werden, dass der Schutz der persönlichen Daten vor allem in der Eigenverantwortung jedes einzelnen Bürgers und jedes einzelnen Unternehmens liegt. Ein sorgfältiger Umgang mit den eigenen persönlichen Daten ist hierbei Grundvoraussetzung.
b) Der moderne Geschäfts- und insbesondere der Dienstleistungsverkehr sowie die Zunahme von Internethandel und E-Commerce erfordern -wie es der vorliegende Gesetzentwurf insbesondere mit seinen Regelungen zum Scoring-Verfahren vorsieht - klare und rechtssichere Regelungen für alle Beteiligten.
c) Der Bundesrat bekräftigt in diesem Zusammenhang seine Auffassung, dass illegaler Datenhandel mit allen zur Verfügung stehenden straf- und ordnungswidrigkeitenrechtlichen Mitteln konsequent verfolgt und der vorhandene Rechtsrahmen insoweit ausgeschöpft werden muss.
d) Der Bundesrat hält über die im vorliegenden Gesetzentwurf vorgesehenen Regelungen hinaus zur Stärkung des Verbraucherschutzes insbesondere auch eine breit gefächerte Verbraucheraufklärung über die Möglichkeiten zur Verhinderung von Datenmissbrauch für erforderlich.

Die dazu bereits erfolgten Maßnahmen verschiedener Organisationen, wie etwa der Verbraucherzentralen, werden ausdrücklich begrüßt. Die Verbraucheraufklärung sollte dabei insbesondere auch auf die unterschiedlich betroffenen Adressatengruppen (z.B. Senioren, Jugendliche) ausgerichtet werden.

27. Der Bundesrat fordert, den von der Bundesregierung vorgelegten Gesetzentwurf im laufenden Gesetzgebungsverfahren mit dem Ziel zu überarbeiten, dass für die Übermittlung und Nutzung der Daten Betroffener für Zwecke der Werbung, Markt- und Meinungsforschung nach § 28 Abs. 3 Nr. 3 BDSG sowie für die geschäftsmäßige Datenverarbeitung im Bereich der Werbung, Markt- und Meinungsforschung und des Adresshandels nach § 29 BDSG zuvor die Einwilligung des Betroffenen eingeholt werden muss.

28. Ebenso ist sicherzustellen, dass diese Voraussetzung auch für bereits erhobene Daten gilt, eine Einwilligung also dementsprechend nachträglich eingeholt werden muss.

Hinsichtlich der Übermittlung von Kontodaten für andere Zwecke ist zu prüfen ob weitere Sicherheitsmechanismen eingeführt werden müssen;

Begründung

Die bekannt gewordenen Sachverhalte, bei denen u. a. für Lotterieunternehmen tätige Dienstleister bzw. auch deren Mitarbeiter unzulässigerweise Daten der Kunden - einschließlich Kontodaten - verkauft haben sollen und auch unbefugte Kontoabhebungen erfolgt sein sollen, geben Anlass, hier gegenzusteuern.

Um einen Datenmissbrauch gar nicht erst zu ermöglichen, ist die Wahrung des Grundsatzes der Datensparsamkeit bei der Weitergabe von persönlichen Daten, insbesondere auch von Kontodaten, zu beachten. Maßnahmen zur Aufklärung und Sensibilisierung der Bürgerinnen und Bürger sind richtig und wichtig, reichen aber allein nicht aus, um einen effektiven Schutz für alle Bürgerinnen und Bürger zu schaffen, wenn es nur bei dem bisherigen Widerspruchsrecht bleibt.

Der von der Bundesregierung vorgelegte Gesetzentwurf befasst sich bisher mit Änderungsvorschlägen zu den Themenbereichen Auskunfteien und sog. Scoringverfahren.

Eine Verbesserung des Datenschutzes ließe sich erreichen, wenn die Verarbeitung von Daten zum Zwecke der Werbung und der Markt- und Meinungsforschung und für den Adresshandel vom Vorhandensein einer Einwilligung abhängig gemacht wird. Hierbei muss auch dafür Sorge getragen werden dass bei schon vorhandenen Datenbeständen die Einwilligung nachzuholen ist. Ebenso ließe sich eine Verbesserung des Datenschutzes erreichen, wenn in jedem Fall eine Einwilligung des Bürgers vorliegen muss, bevor seine Daten allgemein zugänglich gemacht werden dürfen.

Gerade vor dem Umstand der offensichtlich massenhaft unberechtigt im Umlauf befindlichen Dateien mit Kontodaten sollte für deren Übermittlung für andere Zwecke der Aspekt der zusätzlichen Sicherung erwogen werden.

Lösungsvorschläge, die eine Erhöhung von Strafen und Bußgeldhöhen zum Ziel haben, sind vorab solide daraufhin zu prüfen, ob der bereits jetzt vorhandene Rahmen des BDSG in der Praxis überhaupt ausgenutzt wird.

Für das weitere Gesetzgebungsverfahren hält es der Bundesrat für notwendig, folgende weitere Aspekte einzubeziehen:

29.a) Der Bundesrat spricht sich für ein Kopplungsverbot in der Weise aus, dass Firmen einen Vertragsabschluss nicht von der Zustimmung zur Nutzung von Daten abhängig machen dürfen, die für die Vertragsabwicklung nicht benötigt werden.
Begründung

Weiter wird eine gesetzliche Regelung für erforderlich gehalten, die es Firmen verbietet die Zustimmung zu einer übermäßigen Datennutzung, d. h. zur Nutzung von für die Abwicklung eines Geschäfts nicht notwendigen Daten, zur Bedingung für den Vertragsabschluss machen. Durch ein solches Kopplungsverbot wird vermieden, dass Verbraucherinnen und Verbraucher bei einem Vertragsabschluss, an dem sie interessiert sind, in ihrer Entscheidungsfreiheit bei der Einwilligung zu einer vertragsfremden Nutzung ihrer Daten beeinträchtigt werden.
30.b) Der Bundesrat setzt sich für eine gesetzliche Klarstellung ein, dass das Datenschutzrecht verbraucherschützenden Charakter hat, um den Verbraucherzentralen zu ermöglichen, gegen Verstöße zum Schutz der Verbraucherinnen und Verbraucher vorzugehen.
Begründung

Bisher wird von den Gerichten in Frage gestellt, dass es sich beim Datenschutzrecht um verbraucherschützende Normen handelt, die auch von den Verbraucherzentralen gerichtlich durchgesetzt werden können. Es ist daher im Interesse einer klaren Aufgabenzuordnung und Rechtssicherheit geboten, gesetzlich klarzustellen dass den Verbänden auch eine Verbraucherdaten schützende Funktion zukommt.

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen,

31. a) ob die im Bundesdatenschutzgesetz vorgenommene Privilegierung der Werbung bei der Übermittlung personenbezogener Daten und die für den Adresshandel geltenden Vorschriften angesichts der jüngst bekannt gewordenen Vorgänge und unter den Bedingungen der modernen Datenverarbeitung noch sachgerecht ist;
32. Der Bundesrat fordert, den von der Bundesregierung vorgelegten Gesetzentwurf im laufenden Gesetzgebungsverfahren mit dem Ziel zu überarbeiten, dass für die Übermittlung und Nutzung der Daten Betroffener für Zwecke der Werbung, Markt- und Meinungsforschung nach § 28 Abs. 3 Satz 1 Nr. 3 BDSG sowie für die geschäftsmäßige Datenverarbeitung im Bereich der Werbung, Markt- und Meinungsforschung und des Adresshandels nach § 29 BDSG zuvor die Einwilligung des Betroffenen eingeholt werden muss.

33. Ebenso ist sicherzustellen, dass diese Voraussetzung auch für bereits erhobene Daten gilt, eine Einwilligung also dementsprechend nachträglich eingeholt werden muss.

Hinsichtlich der Übermittlung von Kontodaten für andere Zwecke ist zu prüfen ob weitere Sicherheitsmechanismen eingeführt werden müssen;
34.b) ob es sachgerecht ist, die in § 29 des Bundesdatenschutzgesetzes genannten nichtöffentlichen Stellen in anderen Vorschriften des Bundesdatenschutzgesetzes gleichzubehandeln
c) wie die Bürger grundsätzlich besser davor geschützt werden können, dass nichtöffentliche Stellen ohne sachliche Rechtfertigung von ihnen Geburtsdaten, Telefon- und Telefaxnummern, E-Mail-Adressen und Bankverbindungsdaten erheben und an Dritte übermitteln;
- 35. insbesondere sollte geprüft werden, ob eine Weitergabe sensibler personenbezogener Daten nur mit ausdrücklichem Einverständnis in gesonderter Form des Betroffenen zulässig sein sollte, auch ist die Fragestellung einzubeziehen, ob sich das Einverständnis in eine Datenübermittlung zwingend auf eine einmalige Datenübermittlung beschränken sollte
d) wie die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nichtöffentliche Stellen für die Bürger transparenter gemacht werden kann insbesondere ob § 4 Abs. 3 des Bundesdatenschutzgesetzes dahingehend geändert werden soll, dass die Bürger bei der Erhebung ihrer Daten stets - bei Erhebung per Formular an hervorgehobener Stelle - in allgemein verständlicher Form und hinreichend konkret über die weitere Verwendung ihrer Daten, insbesondere auch über die Datenempfänger unterrichtet werden müssen. Geprüft werden sollte auch, ob die Nichtbeachtung einer solchen Vorschrift durch die verantwortliche Stelle die weitere Datenverarbeitung unzulässig macht und mit einem Bußgeld geahndet werden sollte;
e) ob die Möglichkeiten der Bürger, wegen der Verletzung datenschutzrechtlicher Vorschriften von nichtöffentlichen Stellen Schadensersatz zu erlangen, verbessert werden müssen;
f) ob es besonderer (datenschutz-)rechtlicher Regelungen für Callcenter bedarf.
Zu denken ist insbesondere an eine gesetzliche Verpflichtung der Callcenter, dass ihre Mitarbeiter bei Anrufen den Namen ihres Auftraggebers, des Callcenters und ihren eigenen Namen nennen müssen;
36.g) ob die datenschutzrechtlichen Vorschriften über die Einwilligung als Rechtsgrundlage für die Datenerhebung, -verarbeitung und -nutzung verbessert werden müssen. Zu denken ist insbesondere an eine Bestimmung, nach der die Einwilligung in die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nicht mit anderen Erklärungen, beispielsweise der Unterschrift unter einen Vertrag, verbunden werden darf (Koppelungsverbot). In Bezug auf die Einwilligung in die Telefon-, Telefax- und E-Mail-Werbung sollte der Erlass ergänzender Regelungen geprüft werden;
h) wie eine effektivere Selbstkontrolle der Datenverarbeitung nichtöffentlicher Stellen durch betriebliche Datenschutzbeauftragte erreicht werden kann
i) ob
- aa) das den §§ 43 und 44 des Bundesdatenschutzgesetzes zugrunde liegende Regelungskonzept, insbesondere die Abgrenzung zwischen Ordnungswidrigkeiten und Straftaten, noch sachgerecht ist,
- bb) § 43 des Bundesdatenschutzgesetzes für alle sanktionswürdigen Datenschutzverstöße Bußgeldtatbestände vorsieht,
- cc) die in § 43 des Bundesdatenschutzgesetzes vorgesehenen Bußgeldrahmen, insbesondere die Höchstgrenze von 250.000 Euro, in allen denkbaren Fällen eine angemessene Ahndung von Datenschutzverstößen ermöglichen.
37.j) wie klargestellt werden kann, dass auch Rechtsanwälte den Vorschriften des Bundesdatenschutzgesetzes, insbesondere der Aufsicht der Datenschutzaufsichtsbehörden, unterliegen.
Begründung (nur gegenüber dem Plenum):

Wie es in jüngster Zeit zu dem massenhaften Missbrauch von Kontodaten kommen konnte, ist noch nicht im Einzelnen bekannt. Für eine abschließende Bewertung der Vorgänge ist es daher zu früh. Die Vorgänge sollten jedoch zum Anlass genommen werden, im Rahmen des vorliegenden Gesetzgebungsverfahrens sehr sorgfältig zu prüfen, welche weiteren Änderungen des Bundesdatenschutzgesetzes erforderlich sind. Der Vorschlag sieht entsprechende Prüfbitten an die Bundesregierung vor.

Zu Ziffer 31:

Geprüft werden sollte vorrangig, ob die nach § 28 Abs. 3 und § 29 Abs. 3 des Bundesdatenschutzgesetzes unter erleichterten Voraussetzungen zulässige Übermittlung personenbezogener Daten für Zwecke der Werbung noch sachgerecht ist. Sie führt letztlich dazu, dass die Bürger nicht mehr wissen können, welche nichtöffentliche Stellen was über sie wissen. Um dem informationellen Selbstbestimmungsrecht der Bürger besser Rechnung zu tragen, sollte erwogen werden die Datenübermittlung für Zwecke der (Fremd-)Werbung von der Einwilligung der Betroffenen abhängig zu machen. Vorsorge getroffen werden sollte auch, dass unseriöse Unternehmen nicht unter dem Etikett "Markt- und

Meinungsforschung" unter erleichterten Voraussetzungen Zugang zu personenbezogenen Daten verschaffen können. Verbessert werden sollten schließlich die Vorschriften über das Widerspruchsrecht des Betroffenen gegen die weitere Nutzung und Übermittlung seiner Daten, soweit solche auch weiterhin bestehen.

Zu Ziffern 32 bis 37:

Der von der Bundesregierung vorgelegte Gesetzentwurf befasst sich bisher mit Änderungsvorschlägen zu den Themenbereichen Auskunfteien und sog. Scoringverfahren.

Zu Buchstabe b:

Die Prüfbitte bezieht sich insbesondere auf die Gleichbehandlung im Rahmen des § 34 BDSG. Adresshändler müssen in jedem Fall Auskunft auch über die Herkunft und die Empfänger von Daten geben.

Zu Buchstabe c:

Verbesserungsbedürftig ist der Schutz der Bankverbindungsdaten, um Missbrauch zu verhindern. Zu denken ist in diesem Zusammenhang auch daran, die Banken zu Stichprobenprüfungen bei der Vorlage von Abbuchungsermächtigungen zu verpflichten.

Ein verbesserter Schutz erscheint auch für Geburtsdaten, Telefonnummern und E-Mail-Adressen, die zunehmend ohne sachliche Rechtfertigung und ohne Hinweis auf die Freiwilligkeit der Angaben erhoben, verarbeitet und genutzt werden. Diese Daten werden zumindest teilweise für Werbezwecke, insbesondere für unerlaubte Telefon- und E-Mail-Werbung genutzt.

Zu Buchstabe d:

Dringend verbessert werden muss die Transparenz der Datenverarbeitung für die Bürger. Stichprobenüberprüfungen einer Datenschutzaufsichtsbehörde bei Unternehmen haben ergeben, dass § 4 Abs. 3 des Bundesdatenschutzgesetzes häufig überhaupt nicht oder nur unzureichend Rechnung getragen wird. Die Vorschrift führt auch deshalb ein Schattendasein, weil sie Ausnahmen enthält, die Datenempfänger nur in pauschaler Weise angegeben werden müssen und ein Verstoß gegen die Vorschrift weder Folgen für die Rechtmäßigkeit der Datenverarbeitung hat noch mit einem Bußgeld geahndet werden kann.

Zu Buchstabe e:

Die Hürden für die Geltendmachung eines Schadensersatzanspruchs nach dem Bundesdatenschutzgesetz sind sehr hoch. Im Bereich der Auskunfteien liegen die Voraussetzungen selbst dann nicht vor, wenn ein Betroffener infolge einer Personenverwechslung durch eine Auskunftei erhebliche Nachteile hatte und ihm Kosten für die Wahrnehmung seiner Datenschutzrechte entstanden sind.

Zu Buchstabe f:

Die Mitarbeiter von Call-Centern nennen bei Anrufen häufig weder ihren Namen noch den ihres Auftraggebers oder des Call-Centers. Dies führt dazu, dass von Call-Centern begangene Datenschutzverstöße (z.B. unerlaubte Telefonanrufe zu Werbezwecken) oftmals weder von den Betroffenen noch von den Datenschutzaufsichtsbehörden aufgeklärt werden können.

Zu Buchstabe g:

Die Vorschriften über die Einwilligung berücksichtigen nicht hinreichend die Praxis. Die Einwilligung wird zunehmend dazu genutzt, die gesetzlichen Erlaubnistatbestände für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten zu umgehen. Häufig sind Einwilligungserklärungen in den Allgemeinen Geschäftsbedingungen enthalten. Verträge sind meist so gestaltet, dass mit der Unterschrift unter den Vertrag auch in die Nutzung und Übermittlung der Daten für Zwecke der Werbung eingewilligt wird. Auch hinsichtlich der Einwilligung in die Telefon-, Telefax- und E-Mail-Werbung werden ergänzende Regelungen für erforderlich gehalten. Vor allem Call-Center berufen sich in vielen Fällen auf eine Einwilligung des Betroffenen, die dieser gegenüber einer anderen Stelle als ihrem Auftraggeber, in völlig anderem Zusammenhang und unter Umständen schon vor mehreren Jahren erteilt haben sollen.

Ein Nachweis über die erteilte Einwilligung liegt häufig nicht vor. Mit sog. "Optin-Daten" wird inzwischen ein schwunghafter Handel getrieben.

Zu Buchstabe h:

Dringend verbessert werden muss auch die innerbetriebliche Datenschutzkontrolle.

Zum Beauftragten für den Datenschutz sollten nur Personen bestellt werden dürfen die über eine qualifizierte Ausbildung im Datenschutz verfügen.

Auch sollte die Rechtsstellung der Beauftragten in den Betrieben gestärkt werden.

Zu Buchstabe i:

Die Möglichkeiten der Aufsichtsbehörden, erhebliche und/oder beharrliche Datenschutzverstöße angemessen zu ahnden, müssen verbessert werden. Es müssen weitere Bußgeldtatbestände geschaffen werden. Unbefriedigend ist auch, dass der Straftatbestand des § 44 des Bundesdatenschutzgesetzes wegen seiner subjektiven Voraussetzungen nur sehr selten zur Anwendung kommt, so dass selbst schwerwiegende und beharrliche Datenschutzverstöße nicht als Straftat verfolgt werden können. Die Bußgeldhöchstgrenze von 250.000 Euro ermöglicht es nicht immer, schwerwiegende Datenschutzverstöße unter Berücksichtigung der wirtschaftlichen Verhältnisse eines Betroffenen oder eines Unternehmens angemessen zu ahnden.

Zu Buchstabe j:

Zwischen den Datenschutzaufsichtsbehörden und den Rechtsanwaltskammern ist seit langem strittig, ob bzw. inwieweit Rechtsanwälte den Vorschriften des Bundesdatenschutzgesetzes, insbesondere der Aufsicht der Datenschutzaufsichtsbehörden, unterliegen. Dies hat inzwischen dazu geführt, dass sich viele Rechtsanwälte der Kontrolle durch die Datenschutzaufsichtsbehörden entziehen und die Datenschutzaufsichtsbehörden insoweit ihrem gesetzlichen Auftrag nicht mehr nachkommen können. Die Bemühungen, ohne Einschaltung des Gesetzgebers zu einer Lösung zu kommen, sind gescheitert. Es bedarf daher einer Klarstellung im Bundesdatenschutzgesetz und/oder in der Bundesrechtsanwaltsordnung, dass auch Rechtsanwälte den Vorschriften des Bundesdatenschutzgesetzes, insbesondere der Aufsicht der Datenschutzaufsichtsbehörden unterliegen.

38. Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen,

a) ob die bereits für andere illegalen Geschäfte bestehende Möglichkeit der Abschöpfung von Gewinnen auch auf den Datenmissbrauch ausgedehnt werden kann, und
b) ob das Strafantragserfordernis in § 44 Abs. 2 BDSG abgeschafft oder die Antragsberechtigung auf die Verbraucherzentralen ausgeweitet werden kann.

Begründung (nur gegenüber dem Plenum):

Zu Buchstabe a:

Geprüft werden sollte die Möglichkeit, den durch Datenmissbrauch entstandenen Gewinn wieder einzuziehen.

Missbräuchlich handelnde Unternehmen und Personen müssten dann jeden vermögenswerten Vorteil, den sie durch den Missbrauch der Daten erhalten haben wieder herausgeben. Auf diese Weise wäre es möglich, den wirtschaftlichen Anreiz für den illegalen Handel mit Daten oder deren missbräuchliche Verwertung zu nehmen. Verstöße gegen das Datenschutzgesetz könnten die Attraktivität verlieren und der Missbrauch eingedämmt werden.

Bereits in anderen Bereichen besteht die Möglichkeit der Gewinnabschöpfung (z.B. § 10 des Gesetzes gegen den Unlauteren Wettbewerb). Vor diesem Hintergrund sollte geprüft werden, ob dieses Instrument auch im Bereich des Datenschutzes einsetzbar ist.

Zu Buchstabe b:

§ 44 Abs. 2 BDSG sieht vor, dass eine Straftat nach dem Bundesdatenschutzgesetz nur auf Antrag verfolgt wird.

Antragsberechtigt sind der Betroffene, die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit und die Aufsichtsbehörde.

Verbraucherinnen und Verbraucher scheinen wegen des oft erheblichen zeitlichen und finanziellen Aufwandes im Vergleich zum Schaden einen Strafantrag zu meiden. Zur Verfolgung ihrer Interessen und zum Zwecke einer effektiven Strafverfolgung erscheint es daher sachgerecht, auch weiteren Stellen die Möglichkeit einzuräumen ein Strafantrag zu stellen.

Geprüft werden sollte daher, ob eine Abschaffung des Antragserfordernisses und die Bewertung von Datenverstößen als Offizialdelikte gerechtfertigt erscheinen.

Alternativ erscheint es auch sachgerecht, der Verbraucherzentrale Bundesverband und den Verbraucherzentralen der Länder ein entsprechendes Strafantragsrecht einzuräumen. Sie sind bislang nicht antragsberechtigt. Zur Wahrnehmung der Verbraucherinteressen gegen eine wirksame Bekämpfung des strafbaren Datenmissbrauchs erscheint eine Ausdehnung des Strafantragsrechts auf diese Stellen sinnvoll.

Insofern wird die Bundesregierung gebeten, in einen Dialog mit den Verbraucherzentralen zu treten und die Möglichkeit einer entsprechenden Strafantragserweiterung zu diskutieren bzw. die Abschaffung des Antragserfordernisses in § 44 BDSG zu prüfen.