Aufsatz : Verbot des Profiling nach Art. 22 DS-GVO und die Regulierung des Scoring ab Mai 2018 : aus der RDV 1/2017, Seite 3 bis 10
Die hoch komplexen Regelungen des nationalen allgemeinen Datenschutzrechts werden von der EU-Datenschutzgrundverordnung (DS-GVO) ab dem 25. Mai 2018 abgelöst. Die 2009 in das Bundesdatenschutzgesetz aufgenommenen Vorschriften zu den Voraussetzungen der Übermittlung personenbezogener Daten an Wirtschaftsauskunfteien (§ 28a BDSG), zur Berechnung eines Wahrscheinlichkeitswertes über die künftige Erfüllung von Leistungspflichten (Scoring, § 28b BDSG) sowie zu den erweiterten Auskunftspflichten der Auskunfteien (§ 34 Abs. 2 und 4 BDSG) finden sich in der DSGVO nicht ausdrücklich wieder. Zwangsläufig stellt sich die Frage, auf Grund welcher Erlaubnisnorm und mit welchem Regelungsinhalt das Scoring durch Wirtschaftsauskunfteien künftig zulässig sein wird.
I. Verbot der automatisierten Entscheidung im Einzelfall gemäß Art. 22 Abs. 1 DS-GVO ab 25. Mai 2018
Ab dem 25. Mai 2018 wird die EU-DS-GVO mit Anwendungsvorrang auch vor dem BDSG gelten (Art. 288 AEUV). Das BDSG wird in der jetzt geltenden Fassung nicht mehr anzuwenden sein. Bis dahin soll ein Anpassungs- oder Überleitungsgesetz als Artikelgesetz, das mit Art. 1 ein neues Bundesdatenschutzgesetz (BDSG neu) einführt, verabschiedet werden. Es soll die bis dahin vorzunehmenden Regelungsaufträge umsetzen und die aufgrund von Öffnungsklauseln bestehenden Regelungsoptionen wahrnehmen. Das Anpassungsgesetz darf dabei kein gegenüber der Datenschutzgrundverordnung höheres Schutzniveau zu bestimmten, in der DS-GVO enthaltenen Regelungen enthalten, soweit eine Öffnungsklausel dies nicht ausdrücklich vorsieht (Art. 6 Abs. 2 und 3 DS-GVO).
Vor diesem Hintergrund stellt sich die Frage der Auslegung und Anwendung des Art. 22 DS-GVO. Die Norm enthält in seinem Absatz 1 ein Recht der Betroffenen, „nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“ Die Vorschrift enthält damit ausdrücklich ein Verbot der automatisierten Einzelentscheidung. Es ist nach dem Wortlaut als ein „Recht“ des Betroffenen ausgestaltet, der bei Zuwiderhandlung einen Unterlassungsanspruch gegenüber dem Verantwortlichen (Art. 4 Ziff. 7 DS-GVO) hat. Im Art. 22 Abs. 2 DS-GVO werden Ausnahmen normiert, bei denen dieses Recht nicht greift.
II. Anknüpfung an das Verbot der ausschließlich auf automatisierter Verarbeitung personenbezogener Daten gestützten Entscheidung gem. § 6a BDSG
Die Vorschrift des Art. 22 DS-GVO knüpft an Art. 15 EG-Datenschutzrichtlinie an, der mit § 6a BDSG umgesetzt wurde. Nach § 6a BDSG dürfen „Entscheidungen, die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen, … nicht ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten gestützt werden, die der Bewertung einzelner Persönlichkeitsmerkmale dienen“. Die starke Orientierung des Wortlauts an Art. 15 EG-DSRl bzw. § 6a BDSG wird in dieser Hinsicht kaum zu Problemen bei der Anwendung der Vorschrift im Fall automatisierter Entscheidungen im Einzelfall führen.
Mit dem Texteinschub „einschließlich Profiling“ sowohl in der Normüberschrift des Art. 22 DS-GVO als auch im Normtext stellt sich die Frage nach dem Regelungsinhalt dieses Zusatzes. Es ist unklar, was den Verordnungsgeber veranlasst haben mag, das ‚Profiling‘ als eine Beispielanwendung der automatisierten Verarbeitung in dieser Weise hervorzuheben, weil das Profiling ausschließlich in einen Kontext mit der automatisierten Entscheidung im Einzelfall gebracht wurde. Nach der Definition in Art. 4 Ziff. 4 DS-GVO ist unter Profiling „jede Art der automatisierten Verarbeitung personenbezogener Daten [zu verstehen], die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ Damit fällt das Scoring, insbesondere das Kreditscoring, unter den Begriff des Profiling.[1]
Diese Definition bezieht sich generell auf jedes Profiling, wie man es auch vom Direktmarketing oder vom Kreditscoring kennt und geht damit über die in Art. 22 DS-GVO geregelte Anwendung bei einer (automatisierten) Entscheidungsfindung hinaus. Ansonsten kommt der Verordnungsgeber auf das Profiling nur noch im Zusammenhang mit der Regelung der Betroffenenrechte zurück. So muss der Verantwortliche im Fall eines jeden Profiling die Informationspflicht bei einer Erhebung von personenbezogenen Daten bei der betroffenen Person für Zwecke der automatisierten Entscheidungsfindung [Art. 13 Abs. 2 lit. f) DS-GVO] und bei der Erhebung zum gleichen Zweck bei einer anderen Person oder auf andere Weise (Art. 14 Abs. 2 lit. g) DS-GVO) sowie dem Auskunftsanspruch des Betroffenen (Art. 15 Abs. 1 lit. h) DS-GVO) beachten.
Außerdem findet sich in der Datenschutzgrundverordnung in Art. 21 Abs. 1 Satz 1 DS-GVO ein Widerspruchsrecht, wenn die Datenverarbeitung – einschließlich eines Profiling – auf Art. 6 Abs. 1 lit. f) DS-GVO gestützt wird. Nach diesem Erlaubnistatbestand darf eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erfolgen, wenn sie erforderlich ist. Im Falle eines Widerspruchs muss der Verantwortliche gem. Art. 21 Abs. 1 S. 2 DS-GVO nachweisen, dass zwingende schutzwürdige Gründe vorliegen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen. Und schließlich hat der Betroffene ein Recht, im Fall der personalisierten Werbung dem Profiling zu widersprechen, wenn dieses mit der Direktwerbung in Verbindung steht (Art. 21 Abs. 2 DS-GVO).
Schließlich ist der Verantwortliche, der ein Profiling für Zwecke der automatisierten Entscheidungsfindung gem. Art. 22 Abs. 1 und 2 DS-GVO vornimmt, zu einer Datenschutzfolgenabschätzung gem. Art. 35 Abs. 3 lit. a DS-GVO verpflichtet. Art. 47 Abs. 2 lit. e DS-GVO sieht vor, dass in den Fällen, in denen sich der Verantwortliche bei einer Verarbeitung in einem Drittstaat auf verbindliche interne Datenschutzvorschriften als geeigneter Garantie gem. Art. 46 Abs. 1 DSGVO stützen will, auch die beim Profiling zu beachtenden Rechte des Betroffenen mit berücksichtigt (Art. 48 Abs. 2 lit. e) DS-GVO).
Das alles zeigt, dass das Profiling als solches nicht ausdrücklich Gegenstand einer Verbots- bzw. Erlaubnisnorm der DS-GVO ist, sondern nur als eine Verarbeitungsform bei der automatisierten Entscheidungsfindung nach Art. 22 DS-GVO Erwähnung findet. Scoring ist ansonsten nur Gegenstand von Regelungen über Anforderungen an die Datenverarbeitung oder über Rechte der Betroffenen. Es findet sich in der DS-GVO kein spezifischer Erlaubnistatbestand für das Scoring über den Anwendungsfall der automatisierten Entscheidungsfindung (internes Scoring) hinaus.
Hieraus folgt die Anschlussfrage, ob sich die bisher in § 28b BDSG geregelten Anforderungen an das ‚Scoring‘, dem ein Profiling im Sinne des Art. 4 Ziff. 4 DS-GVO zu Grunde liegt,
a) aus einer entsprechend auszulegenden allgemeinen Erlaubnisnorm in Art. 6 Abs. 1 lit. b, e oder f DS-GVO oder gar aus einer weit zu interpretierenden Anwendung des Art. 22 DS-GVO wiederfinden,
b) anderenfalls aufgrund einer Öffnungsklausel in einem Anpassungsgesetz datenschutzrechtlich vom nationalen Gesetzgeber geregelt werden dürfen, oder, wenn dies nicht der Fall ist,
c) Gegenstand einer künftigen nationalen verbraucherrechtlichen Regulierung sein könnten.
III. Regulierung des Scoring de lege lata in § 28b BDSG aus datenschutz- und verbraucherschutzrechtlichen Motiven
Vor einer Auseinandersetzung mit den vorgenannten Fragen ist an die Bedeutung der Wahrscheinlichkeitsberechnung für die betroffenen Verbraucher und für solche Unternehmen, die kreditorische Risiken eingehen, zu erinnern und auf das hohe Datenschutzniveau der derzeitigen Regulierung des Scoring hinzuweisen. Der deutsche Gesetzgeber regelte mit der sog. BDSG-Novelle I von 2009 nach einer längeren kontroversen Diskussion über das Kreditscoring durch Wirtschaftsauskunfteien die Voraussetzungen für eine Übermittlung personenbezogener Daten an Wirtschaftsauskunfteien in § 28a BDSG, die Anforderungen an ein datenschutzkonformes Scoring in § 28b BDSG und die Auskunftsrechte über Wahrscheinlichkeitswerte und ihre Berechnung in § 34 Abs. 2 und 4 BDSG[2] .
Damit brachte der Gesetzgeber zum Ausdruck, dass die Berechnung von auf der Grundlage wissenschaftlicher Verfahren gebildeter Wahrscheinlichkeitswerte bezüglich eines bestimmten zukünftigen Verhaltens, namentlich die Erfüllung vertraglicher Leistungspflichten, zur Risikoabschätzung grundsätzlich zulässig ist. Diese spezifische Regulierung stellte Rechtssicherheit beim Scoring her. Es wurden Rahmenbedingungen geschaffen, die sowohl die Wirtschaft vor Kreditausfällen schützen, als auch unzulässige Eingriffe in die Persönlichkeitsrechte der Betroffenen verhindern.
Vor Abschluss von Darlehensverträgen oder von Verträgen mit Finanzierungshilfen prüfen Unternehmen wie Kreditinstitute, Handels- und Telekommunikationsunternehmen in der Regel die Bonität ihrer künftigen Kunden[3]. Auch die Rechtsprechung[4] und die Literatur[5] erkennen an, dass die Prüfung der Kreditwürdigkeit von Kunden aus volks- und betriebswirtschaftlichen Erwägungen unabdingbar ist.
Nach § 505a Abs. 1 BGB haben Darlehensgeber vor dem Abschluss eines Verbraucherdarlehensvertrags sogar die verbraucherschützende Pflicht, die Kreditwürdigkeit des Darlehensnehmers zu prüfen[6]. Der Darlehensgeber darf nach Absatz 2 den Verbraucherdarlehensvertrag nur abschließen, wenn sich aus der Kreditwürdigkeitsprüfung ergibt, dass bei einem Allgemein-Verbraucherdarlehensvertrag keine erheblichen Zweifel daran bestehen, dass der Darlehensnehmer seinen aus dem Darlehensvertrag folgenden Verpflichtungen vertragsgemäß nachkommen wird. Zur Erfüllung der Überprüfungspflicht können die Darlehensgeber Auskünfte beim Betroffenen einholen oder sich einen Score mit einer statistischen Aussage über die Kreditwürdigkeit von einer Wirtschaftsauskunftei übermitteln lassen (§ 505b BGB). Das Scoring durch Wirtschaftsauskunfteien wird vom Gesetzgeber hiermit ausdrücklich als eine Möglichkeit angesehen, die Pflicht zur Prüfung der Kreditwürdigkeit zu erfüllen. § 505b Abs. 5 BGB betont ausdrücklich, dass dadurch die Bestimmungen zum Schutz personenbezogener Daten, also insbesondere §§ 28a und 28b BDSG, unberührt bleiben. Das unterstreicht die Brisanz der Frage, was an hohem datenschutzrechtlichem Standard bleibt, wenn aufgrund des Anwendungsvorrangs der DS-GVO diese speziellen strengen Datenschutzregelungen zum Scoring und zur Übermittlung der in die Wahrscheinlichkeitsberechnung einfließenden Daten 2018 wegfielen.
Ähnlich wie §§ 505a, 505b BGB enthält auch § 18a Abs. 1 Satz 1 KWG, mit dem die Verbraucherkredit-RL umgesetzt wurde, eine verbraucherschützende Pflicht von Kreditinstituten, vor Abschluss eines Verbraucherdarlehensvertrags die Kreditwürdigkeit des Darlehensnehmers zu prüfen. Das Kreditinstitut darf nach Absatz 2 den Verbraucherdarlehensvertrag nur abschließen, wenn aus der Kreditwürdigkeitsprüfung hervorgeht, dass bei einem Allgemein-Verbraucherdarlehensvertrag keine erheblichen Zweifel an der Kreditwürdigkeit bestehen. Absatz 3 sieht vor, dass Grundlage für die Kreditwürdigkeitsprüfung „Auskünfte des Darlehensnehmers und erforderlichenfalls Auskünfte von Stellen sein [können], die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit von Verbrauchern genutzt werden dürfen, zum Zwecke der Übermittlung erheben, speichern, verändern oder nutzen“. Nach § 18a Abs. 9 KWG bleiben die Vorschriften zum Schutz personenbezogener Daten unberührt.
Zudem verweist die aufsichtsrechtliche Regelung des § 10 Abs. 2 KWG darauf, dass die Anforderungen an die Eigenkapitalausstattung von Kreditinstituten eine Berechnung von Adressausfallrisiken erforderlich machen können, wobei die zu erhebenden und zu berücksichtigenden Daten von Auskunfteien stammen können.
Danach ist erkennbar, dass aus Gründen des Verbraucherschutzes und der Vermeidung von Ausfallrisiken für solche Unternehmen, die kreditorische Risiken eingehen, die Berechnung von Wahrscheinlichkeitswerten über die Erfüllung von Leistungspflichten, also das Scoring, unverzichtbar ist. Das hilft diesen Unternehmen, der Volkswirtschaft und letztlich den Kunden, die von niedrigen Preisen aufgrund der Vermeidung von Zahlungsausfällen profitieren[7].
Mit der Erlaubnis zum Scoring korrespondiert seit 2009 mit den genannten §§ 28a, 28b und 34 Abs. 2 BDSG ein sehr weitgehender Schutz der Persönlichkeitsrechte der vom Scoring Betroffenen. Es ist nachvollziehbar, dass der Wunsch besteht, dieses Niveau auch über Mai 2018 hinaus zu erhalten und keine ‚Liberalisierung der Wahrscheinlichkeitsberechnung‘ beispielsweise zugunsten der auf Big Data-Analysen spezialisierten FinTech-Unternehmen zuzulassen, denen der deutsche Markt aufgrund des hohen Datenschutzniveaus (noch) versperrt ist.
IV. Verbot des Scoring als Anwendungsbeispiel des Profiling gemäß Art. 22 Abs. 1 DS-GVO mit Vorbehalt der Erlaubnis nach Art. 22 Abs. 2 DS-GVO
Es wird in der Literatur erwogen, Art. 22 DS-GVO nicht nur auf die automatisierte Entscheidungsfindung anzuwenden, sondern auch auf das der Entscheidung vorgelagerte und nicht unmittelbar zu einer automatisierten Entscheidung führende (externe) Scoring. Anlass für eine derartige Überlegung könnte Erwägungsgrund 71 geben. Dort heißt es in Absatz 1 Satz 2, dass „zu einer derartigen [automatisierten] Verarbeitung auch das „Profiling“ [zählt], das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.
Weiter heißt es im Erwägungsgrund 71 in dem an § 28b BDSG erinnernden Absatz 2: „Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskrimi – nierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben. Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein.“
Dies interpretiert Piltz so, dass Erwägungsgrund 71 deutlich mache, „dass nicht unbedingt erst eine finale Entscheidung vorliegen muss, sondern bereits ‚eine Maßnahme‘ ausreichen kann“[8], um Art. 22 Abs. 1 und 2 DS-GVO als Erlaubnistatbestand auch für das externe Scoring heranzuziehen.
Härting ist der Ansicht, dass bereits „die Datenanalyse, die beim ‚Profiling‘ vorgenommen wird, als eine ‚automatisierte Entscheidung im Einzelfall [anzusehen ist], auf die Art. 22 DSGVO anzuwenden ist“[9], und führt aus, dass in Verbindung mit dem Erwägungsgrund 71 „Art. 22 DS-GVO … somit beispielsweise auf das Scoring (‚Online-Kreditantrag‘) … anwendbar“ ist. Das ist so für das externe Scoring sicher nicht richtig. An anderer Stelle[10] weist Härting allerdings selbst darauf hin, dass der nationale Gesetzgeber eine dem § 28b BDSG entsprechende Vorschrift erst noch schaffen müsse, wozu dieser aufgrund der Öffnungsklausel, die er in Art. 22 Abs. 2 lit b DS-GVO sieht, befugt sei.
Tatsächlich erhellt Erwägungsgrund 71 also nicht, dass er bei der Auslegung des Art. 22 DS-GVO dahingehend zu berücksichtigen wäre, dass auch das nicht zu einer automatisierten Entscheidung führende Scoring von der Erlaubnisnorm des Art. 22 Abs. 2 i.V.m Abs. 1 DS-GVO mit umfasst ist. Aus dem Gesamtzusammenhang ergibt sich eher, dass sich die Erlaubnis eines Scorings aus Art. 6 DS-GVO ergibt und der Verantwortliche diese im Erwägungsgrund 71 formulierten Grundsätze bei seiner nach Art. 6 DS-GVO vorzunehmenden Abwägung zu berücksichtigen hat. Im Übrigen mag ErwG 71 auch Anknüpfungspunkt für die Ausarbeitung von Leitlinien des nach Art. 68 Abs. 1 DS-GVO einzurichtenden Europäischen Datenschutzausschusses sein. Dieser hat gem. Art. 70 Abs. 1 lit. f DS-GVO auch die Aufgabe, Leitlinien, Empfehlungen und bewährte Verfahren zur näheren Bestimmung der Kriterien und Bedingungen für die auf Profiling beruhenden Entscheidungen gemäß Art. 22 Abs. 2 DSGVO bereitzustellen. Erwägungsgrund 72 formuliert diese Empfehlung ausdrücklich.
Weil durch die Vornahme einer Wahrscheinlichkeitsberechnung allein noch niemand einer „Entscheidung unterworfen“ wird, führt das externe Scoring durch die Auskunftei, die den Entscheidern einen die Entscheidung nicht vorwegnehmenden Wahrscheinlichkeitswert liefert, nicht zu einer automatisierten Einzelfallentscheidung. Der zu übermittelnde Score fließt erst beim Empfänger in dessen (ggf. automatisierten) Entscheidungsfindungsprozess ein.
Das räumten auch die Berichterstatter im LIBE-Ausschuss des EU-Parlaments Albrecht und Lotzo ein, die bestätigen, dass der EU-Gesetzgeber für ‚Profiling‘ (noch) keine eigenständige Rechtsgrundlage beschließen wollte, die über den Kontext mit der automatisierten Entscheidungsfindung hinausgeht, sondern dass primär ein „Anknüpfungspunkt“ für die nachfolgenden Debatten über dieses wichtige Zukunftsthema geschaffen werden sollte[11].
Festgehalten werden kann folglich, dass von Art. 22 DSGVO nur das sogenannte interne Scoring, bei dem der Darlehensgeber eine Wahrscheinlichkeitsberechnung selbst mit eigenen Daten durchführt, in die ein Score einer Wirtschaftsauskunftei eingeflossen sein mag, erfasst wird. Nur muss diese Berechnung auch unmittelbar zu einer Entscheidung geführt haben, die dem Betroffenen gegenüber eine rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt. Eine die Entscheidung nur vorbereitende Berechnung eines Scores ist deshalb nach ganz herrschender Ansicht nicht von der Regelung des Art. 22 DS-GVO erfasst[12].
Aus Art. 22 Abs. 1 DS-GVO lässt sich also ein mit Ausnahmen versehenes Verbot des Scoring nicht ableiten, wenn dieses nicht – wie bei einem internen Scoring – automatisiert zu einer Entscheidung führt[13]. Eine andere Auslegung würde Art. 22 DS-GVO zu sehr strapazieren und wäre nicht europarechtskonform.
Danach wäre die Rechtmäßigkeit des Kreditscoring allein anhand der §§ 5 ff., insbesondere des Art. 6 Abs. 1 lit. f DS-GVO zu bestimmen, wenn nicht der bundesdeutsche Gesetzgeber eine Öffnungsklausel zur Regulierung des Scoring nutzen könnte. Während einerseits vertreten wird, dass sich eine solche Öffnungsklausel für die Beibehaltung einer den §§ 28a, 28b, 34 Abs. 2 und 4 BDSG entsprechenden Regelung nicht finden lasse und dies dem Willen des europäischen Gesetzgebers, hierfür keine speziellen Anforderungen zu formulieren, entspräche[14], werden in der Literatur verschiedene Denkmodelle durchgespielt, nach denen sich eine spezifische nationale Regelung rechtfertigen ließe.
V. Art. 22 Abs. 2 lit. b DS-GVO als Öffnungsklausel zur Regelung des Scoring in einem nationalen Anpassungsgesetz
Es wird als erwägenswert angesehen, in Art. 22 Abs. 2 lit. b DS-GVO eine Öffnungsklausel zu sehen, die es dem nationalen Gesetzgeber, beispielsweise eines deutschen Anpassungsgesetzes, ermöglicht, das Profiling und damit auch das Scoring im Sinne des § 28b BDSG zu erhalten. Härting hat darauf aufmerksam gemacht[15]. Wenn von der Öffnungsklausel des Art. 22 Abs. 2 lit. b DS-GVO die Berechnung eines Wahrscheinlichkeitswertes adressiert ist, könnte auch das Scoring inkludiert sein[16]. Danach dürfe das Scoring durch das Recht eines Mitgliedstaates zugelassen sein oder werden, wenn diese Rechtsvorschriften geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten. Weil diese Bedingungen gerade durch den § 28b BDSG geregelt wurden, könne auch § 28b BDSG in ein Anpassungsgesetz aufgenommen werden. Auch Richter ist der Auffassung, dass § 28b BDSG „über die Öffnungsklausel des Art. 22 Abs. 2 lit. b DS-GVO weiter Anwendung finden“ könne[17].
Kamlah[18] weist dagegen zutreffend darauf hin, dass sich diese Öffnungsklausel lediglich auf die [automatisierte] Entscheidungsfindung nach Abs. 1 und nicht auf die davon losgelöste Regelung des Scoring bezieht. Auch Kühling et al.[19] sehen in der Öffnungsklausel des Art. 22 Abs. 2 lit. b DS-GVO lediglich eine Option der Mitgliedstaaten, „vom Verbot einer automatisierten Generierung von Einzelentscheidungen Ausnahmen vorzusehen, wenn geeignete Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person vorgesehen sind“. Danach ist eher zu verneinen, dass sich aus Art. 22 Abs. 2 lit. b DS-GVO eine Öffnungsklausel ergibt, die es dem nationalen Gesetzgeber ermöglicht, den hohen Datenschutzstandard des das Scoring regelnden § 28b BDSG in ein Anpassungsgesetz zu überführen.
VI. Art. 6 Abs. 1 lit. f DS-GVO als Öffnungsklausel zur Regelung des Scoring in einem nationalen Anpassungsgesetz
Kühling et al.[20] prüfen, ob sich nicht aus Art. 6 Abs. 1 lit. f DS-GVO ein Regelungsspielraum ergeben könnte. Sie lehnen dies jedoch mit dem Hinweis darauf ab, dass der Art. 6 Abs. 1 lit. f DS-GVO anders als Art. 6 Abs. 1 lit. c und lit. e DSGVO keine Möglichkeit vorsieht, dass man „spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften dieser Verordnung beibehalten oder einführen“ könne. Martin[21] stellt entsprechend lapidar fest, dass generell „für § 28b BDSG grds. kein nationaler Handlungsspielraum mehr verbleibt“.
VII. Art. 6 Abs. 4 i.V.m. Art. 23 Abs. 1 DS-GVO als Öffnungsklausel zur Regelung des Scoring in einem nationalen Anpassungsgesetz
Das Bundesministerium des Innern (BMI) hatte am 5.8.2016 einen ersten (inoffiziellen) Referentenentwurf für ein Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) vorgelegt. Mit dem nach diesem Entwurf geplanten Gesetz sollten die sich aus der DS-GVO ergebenden Regelungspflichten und Regelungsoptionen aufgegriffen werden. Art. 1 DSAnpUG-EU sah ein ‚Allgemeines Bundesdatenschutzgesetz (ABDSG)“ vor. § 39 ABDSG-E enthielt eine Vorschrift zum Scoring, die die wesentlichen Regelungen des § 28b BDSG aufrechterhält. Auch eine dem § 28a BDSG entsprechende Vorschrift zur Übermittlung von Daten an Wirtschaftsauskunfteien wurde mit § 38 ABDSG-E aufgenommen. Die Gesetzesbegründung nannte eine in der Diskussion bis dahin – soweit ersichtlich – noch nicht erwähnte Öffnungsklausel, aus der sich die Befugnis des deutschen Gesetzgebers zur Regelung des Scoring ergeben soll. Danach folge eine „mitgliedstaatliche Regelungsbefugnis … aus der Zusammenschau der Artikel 6 Absatz 4 und Artikel 23 Absatz 1 Verordnung (EU) 2016/679.“ Dafür sei Voraussetzung, „dass die nationale Vorschrift eine „in einer demokratischen Gesellschaft notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele darstellt“. Art. 23 Abs. 1 lit. e DS-GVO nenne hierzu den „Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses“. Die Rechtsprechung des BGH[22] habe anerkannt, dass „die Erteilung von Bonitätsauskünften für das Funktionieren der Wirtschaft von erheblicher Bedeutung ist“. Verbraucher würden dadurch vor Überschuldung geschützt, was sowohl im Interesse der Verbraucher als auch der Wirtschaft liegen würde.
Der Entwurf hob hervor, dass „die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften … das Fundament des deutschen Kreditwesens und damit auch der Funktionsfähigkeit der Wirtschaft“ bilden würden. Das erforderliche wichtige Ziel von allgemeinem öffentlichem Interesse sei damit gegeben.
Damit greift die Begründung Erwägungen auf, die bereits im Gesetzgebungsverfahren zur Einführung des § 509 BGB a.F. (heute: § 505a BGB) angestellt wurden und nach denen eine Pflicht zur Prüfung der Kreditwürdigkeit im öffentlichen Interesse bestehe.[23] Bei der Umsetzung der Verbraucherkreditrichtlinie[24] wurde wiederholt, dass die geforderte Kreditwürdigkeitsprüfung neben dem Schutz des individuellen Verbrauchers auch dem öffentlichen Interesse diene.
In einer öffentlich gemachten Stellungnahme vom 31.8.2016[25] begrüßte das Bundesministerium der Justiz und für Verbraucherschutz (BMJV), dass das „BMI die in §§ 28a, 28b BDSG enthaltenen Regelungen fortführen möchte“. Bei diesen Regelungen handele es sich allerdings „nicht um originär datenschutzrechtliche, sondern Regelungen des wirtschaftlichen Verbraucherschutzes“. § 28b BDSG bezwecke mit seinen qualitativen Anforderungen an das Scoring, „Diskriminierungseffekte und daraus resultierende wirtschaftliche Nachteile für die Verbraucherinnen und Verbraucher zu vermeiden“. Die Stellungnahme widerspricht auch der Annahme einer sich aus Art. 23 Abs. 1 lit e DS-GVO ergebenden Öffnungsklausel zur Regelung des Scoring, weil die Tätigkeit von Auskunfteien nicht im „allgemeinen öffentlichen Interesse“ liege.
Trotz der Verneinung einer Öffnungsklausel setzt sich die Stellungnahme des BMJV inhaltlich mit § 39 ABDSG-E ausein ander und unterbreitet Änderungsvorschläge. Es wird im BMJV offenbar nicht ausgeschlossen, dass § 39 ABDSG-E – aufgrund welcher Öffnungsklausel auch immer – das Gesetzgebungsverfahren erfolgreich passieren könnte.
Auf der Linie des BMJV liegen auch Ehrig/Glatzner[26], die die Vorschriften im BDSG zur Datenübermittlung an Auskunfteien sowie zum Scoring im Kern ihres Regelungsinhalts nicht als Datenschutzregelungen, sondern als solche des Verbraucherschutzes ansehen, die den Verbraucher vor wirtschaftlichen Nachteilen und Diskriminierung schützen sollen. Sie schlagen deshalb vor, die Vorschriften zum Scoring in andere Gesetze aus dem Zivil-, Vertrags- und Versicherungsrecht oder dem Kreditwesengesetz zu überführen. Auch die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Voßhoff empfiehlt in ihrer Stellungnahme zum Referentenentwurf[27], von einer Regelung in einem ABDSG abzusehen. Wörtlich heißt es: „Im Ergebnis erscheint die vorgeschlagene partielle Übernahme der §§ 28a, 28b BDSG nicht als Ideallösung. BfDI hält es für notwendig, angesichts der sehr fragwürdigen Regelungsbefugnis und der inhaltlichen Defizite entweder auf spezifische Regelungen derzeit zu verzichten oder eine datenschutzrechtlich zufriedenstellende Lösung unter Berücksichtigung der Erfahrungen der Aufsichtsbehörden zu finden.
Inzwischen liegt mit Datum vom 23.11.2016 ein überarbeiteter Referentenentwurf vor[28], zu dem die Verbände bis zum 7.12.2016 Stellung nehmen konnten. Ziel ist, den Entwurf im Januar 2017 vom Bundeskabinett beschließen zu lassen und danach zeitnah zu verabschieden. Im Anschluss daran sollen die weiteren bereichsspezifischen Datenschutzvorschriften angepasst werden, um rechtzeitig vor Mai 2018 die Anpassung an die DS-GVO abgeschlossen zu haben. Dieser nun nicht mehr als ‚ABDSG‘ sondern wie bisher als BDSG (neu) bezeichnete Entwurf zeigt sich von der Kritik an der Aufnahme einer den §§ 28a, 28b, 34 BDSG entsprechenden Regelung und an der Legitimation durch die erwähnte Öffnungsklausel unbeeindruckt und verfolgt die Regulierung des Scoring in einem nationalen Anpassungsgesetz mit den nun in den §§ 27, 28 BDSG-E zu findenden Vorschriften weiter. Die Gesetzesbegründung sieht die mitgliedstaatliche Regelungsbefugnis in einer Zusammenschau der Art. 6 Abs. 4 und Art. 23 Abs. 1 DS-GVO. Die Aufnahme der §§ 27, 28 BDSG-E regele die Datenverarbeitung beim Scoring, das dem Schutz wichtiger Ziele des allgemeinen öffentlichen Interesses eines Mitgliedstaats diene.
VIII. Schlussfolgerungen und Perspektiven
Gelangt dieser Referentenentwurf so in das Kabinett, müssen in der weiteren Beratung allerdings handwerkliche und inhaltliche Korrekturen erfolgen. So sollte es in § 27 Abs. 2 BDSG-E wegen der Verlagerung des Zahlungsverkehrsrechts vom Kreditwesengesetz (KWG) in das Zahlungsdiensteaufsichtsgesetz (ZAG) nicht mehr „Kreditinstitute“ sondern „Kreditinstitute, Finanzdienstleistungsunternehmen und Zahlungsinstitute“ heißen. Außerdem läuft in § 27 Abs. 2 BDSG-E der Verweis auf § 1 Abs. 1 S. 2 Nr. 9 KWG leer, so dass als Tatbestandsmerkmal statt „betreffend ein Bankgeschäft nach § 1 Absatz 1 Satz 2 Nummer 2, 8 oder Nummer 9 des Kreditwesengesetzes“ besser „betreffend ein Geschäft mit finanziellem Ausfallrisiko“ formuliert werden sollte.
Zumindest in der Gesetzesbegründung, besser im Normtext selbst, sollte wie bei der BDSG-Novelle I von 2009 darauf hingewiesen werden, dass diese Regelung nicht abschließend ist, sondern die genannten Finanz dienstleistungsunternehmen auf der Grundlage einer Einwilligung, die nach der DS-GVO nur unter höheren Anforderungen wirksam ist, auch andere Daten übermitteln können. Außerdem gehen nicht nur Finanzdienstleister kreditorische Risiken ein, sondern auch andere in Vorleistung tretende Branchen. Es empfiehlt sich daher, auch andere Unternehmen wie beispielsweise Telekommunikationsunternehmen, Versicherungen und Handelsunternehmen aufzunehmen, denen Datenübermittlungen auf der Grundlage von Einwilligungen erlaubt werden müssen. Daher sollte in § 27 Abs. 1 BDSG-E klarstellend auch das Wort ‚nur‘ gestrichen werden (Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit…“).
§ 27 Abs. 2 Satz 3 BDSG-E kann keinen Bestand mehr haben, weil es in § 35 Abs. 2 Zahlungskontengesetz (ZKG)29 heißt, dass ein Verpflichteter berechtigt ist, vor Abschluss eines Basiskontovertrags nachzuprüfen, ob der Berechtigte bereits Inhaber eines Zahlungskontos ist, und dass der Verpflichtete sich dabei auch an eine Stelle wenden darf, die geschäftsmäßig personenbezogene Daten, die zur Bewertung der Kreditwürdigkeit herangezogen werden dürfen, zum Zweck der Übermittlung erhebt, speichert oder ändert. Dementsprechend ist das Verbot der Übermittlung in § 27 Abs. 2 S. 3 BDSG-E zu streichen, weil die Auskunfteien ansonsten der von § 35 ZKG geforderten Verpflichtung nicht nachkommen könnten.
§ 27 Abs. 2 S. 4 BDSG-E sollte so formuliert werden, dass die Anfragen nicht für die Bildung eines Scorewertes verwendet, aber vom Angefragten für die Dokumentation der Anfrage gespeichert werden dürfen.
Ob die herangezogene Öffnungsklausel auch eine spezielle Pflicht zur Löschung legitimiert (§ 27 Abs. 4 BDSG-E), ist sehr fraglich. Die DS-GVO kennt solche Löschfristen nicht mehr und sieht auch nicht vor, dass die Mitgliedstaaten solche einführen dürfen. Die großen Wirtschaftsauskunfteien haben darauf reagiert und in einem Code of Conduct die Löschungsfristen des § 35 BDSG übernommen, um sich entsprechend selbstverpflichtend daran zu binden.
IX. Ausblick
Die sehr divergenten Auslegungen des Art. 22 DS-GVO in Verbindung mit Erwägungsgrund 71 und die Suche nach einer Öffnungsklausel offenbaren zweierlei:
- Politik und Wissenschaft sind sich einig in dem Ziel, auch unter der Geltung der DS-GVO das Kredit-Scoring an die Rechtssicherheit bietenden datenschutz- und verbraucherrechtlichen Voraussetzungen zu knüpfen, wie sie derzeit noch in § 28b BDSG in Verbindung mit den §§ 28a und 34 BDSG bestehen.
- Die verschiedenen Interpretationen des Art. 22 DS-GVO und die unterschiedlichen Auslegungen der DS-GVO zur Begründung einer Öffnungsklausel stellen dem europäischen Gesetzgeber ein schlechtes Zeugnis aus, weil er es nicht vermochte, eine rechtssichere einheitliche europäische Regulierung des Scoring vorzunehmen. Die Definition des Profiling in Art. 4 Nr. 4 DS-GVO und die Formulierung von Erwartungen in Erwägungsgrund 71 finden jedenfalls keinen Anknüpfungspunkt in Art. 22 DS-GVO, soweit durch Profiling bzw. Scoring keine automatisierte Entscheidung im Einzelfall erfolgt. Die weitere Rechtsentwicklung ist kaum abschätzbar.
Folgende Alternativen sind denkbar:
- Das Scoring wird in einem nationalen Anpassungsgesetz nicht geregelt, so dass als Erlaubnistatbestand der Art. 6 Abs. 1 lit. f DS-GVO heranzuziehen ist, wobei bei der vorzunehmenden Abwägung Erwägungsgrund 71 zu berücksichtigen wäre. Der Europäische Datenschutzausschuss könnte auf dieser Grundlage konkretisierende Leitlinien formulieren, die EU-weit zu berücksichtigen wären. Für dieses Szenario spräche, dass dem Ziel der Harmonisierung Rechnung getragen würde, allerdings zu Lasten des in Deutschland erreichten hohen Niveaus an Rechtssicherheit sowie des Daten- und Verbraucherschutzes und des Schutzes der kreditgebenden Wirtschaft.
- Der nationale Gesetzgeber könnte – wie perspektivisch auch die übrigen EU-Mitglieder – die Anforderungen an die Übermittlung von personenbezogenen Daten an Wirtschaftsauskunfteien und an das Scoring außerhalb des Datenschutzrechts in einem verbraucherschützenden Gesetz aufnehmen. Eine solche Lösung ist unsicher, käme spät und könnte zu Konflikten bei der Auslegung des Art. 6 Abs. 1 lit. f DS-GVO führen.
- Das Scoring wird im BDSG neu geregelt, wie es im Referentenentwurf mit den §§ 27, 28 BDSG-E vorgesehen ist. Eine Öffnungsklausel ergibt sich nach der Begründung des Entwurfs aus der Zusammenschau der Art. 6 Abs. 4 und Art. 23 Abs. 1 der DS-GVO.
Bei einer Abwägung der möglichen Szenarien erscheint das letztgenannte den richtigen Weg zu weisen, obwohl das Ziel der Vollharmonisierung bezüglich des Scoring dann aktuell nicht zu erreichen wäre. Aber die Vollharmonisierung hat der zu Kompromissen gezwungene Europäische Gesetzgeber schon bei Beschluss der DS-GVO aufgegeben, als er Öffnungsklauseln in großer Zahl schaffen musste.
Univ.-Prof. Dr. Jürgen Taeger ist Direktor des Instituts für Rechtswissenschaften an der Carl von Ossietzky Universität Oldenburg. Er hat dort den Lehrstuhl für Bürgerliches Recht, Handels und Wirtschaftsrecht sowie Rechtsinformatik inne und leitet den berufsbegleitenden weiterbildenden Studiengang ‚Informationsrecht LL.M.‘. Er ist Vorsitzender der Deutschen Stiftung für Recht und Informatik (DSRI).
[1] Ebenso Moos/Rothkegel, ZD 2016, 561 (567).
[2] Vgl. Taeger, Datenübermittlung an Auskunfteien und das Scoring, in: Taeger/Rose (Hrsg.) Rechtliche Rahmenbedingungen für das Scoring in Deutschland und in weiteren ausgewählten Staaten, K&R Beihefter 4/2014, S. 2.
[3] Siehe Taeger, ebenda, und Born, ZD 2015, 66.
[4] EuGH, NJW 2014, 1941; EuGH, ZD 2015, 175 ; EuGH, DuD 2007, 136 = EuZW 2006, 753 m. Anm. Stappert/Esser-Wellie; BGH, NJW 2011, 2204, Rn. 21; KG Berlin, ZD 2013, 189.
[5] Piltz/Holländer, ZRP 2008, 143 (144); Hofmann, NJW 2010, 1782; Schröder/Lang/Lerbs/Radev, Ökonomische Bedeutung und Funktionsweise von Credit Scoring, in: Schröder/Taeger (Hrsg.), Scoring im Fokus: Ökonomische Bedeutung und rechtliche Rahmenbedingungen im internationalen Vergleich, 2014, S. 8.
[6] Dazu Buck-Heeb, NJW 2016, 2065.
[7] Vgl. dazu Taeger, Datenschutz bei Direktmarketing und Bonitätsprüfung, in: Brunner/Seeger/Turturica (Hrsg.), Fremdfinanzierung von Gebrauchsgütern, 2010, S. 53.
[8] Piltz, K&R 2016, S. 629 (635). Bei Gola/Jaspers/Müthlein/Schwartmann, Datenschutz-Grundverordnung im Überblick, 2016, heißt es: „In der DS-GVO werden in Art. 22 die bisherigen Themen zu automatisierten Einzelentscheidungen (§ 6a BDSG) und zum Scoring (§ 28b BDSG) gemeinsam behandelt.“
[9] Datenschutzgrundverordnung, 2016, Rn. 610, 617.
[10] Datenschutzgrundverordnung, 2016, Rn. 641.
[11] Albrecht/Lotzo, Das neue Datenschutzrecht der EU, 2016, S. 60.
[12] Vgl. auch Laue/Nink/Kremer, Das neue Datenschutzrecht in der betrieblichen Praxis, 2016.
[13] Ebenso Kühling et al., Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 440 ff
[14] Moos/Rothkegel, ZD 2016, S. 561 (568); Pahl/Pauly-Martini, DS-GVO, 2016, Art. 22 Rn. 24
[15] Härting, Datenschutzgrundverordnung, 2016, Rn. 641.
[16] Siehe auch Taeger, ZRP 2016, S. 72 (74 f.).
[17] Roßnagel-Richter (Hrsg.), Europäische Datenschutz-Grundverordnung, 2016, § 4 Rn. 116. Siehe auch Voßhoff, BT-Ausschuss Digitale Agenda, Drs. 18(24)93, S. 5.
[18] Plath-Kamlah, BDSG/DS-GVO, Rn. 9 zu Art. 22 DS-GVO.
[19] Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 441 f.
[20] Die Datenschutzgrundverordnung und das nationale Recht, 2016, S. 441 f
[21] Pahl/Pauly-Martini, DS-GVO, 2016, Art. 22 Rn. 24.
[22] NJW 2011, 2204.
[23] BT-Drs. 16/11643, S. 95 f.
[24] Gesetz zur Umsetzung der Wohnimmobilienkreditrichtlinie v. 11.3.2016, BGBl. I S. 396.
[25]Https://netzpolitik.org/wp-upload/2016/09/BMJV_Stellungnahme_DSAnpUG_EU.pdf.
[26] PinG 2016, S. 211 (214).
[27] Stellungnahme der BfDI vom 31.08.2016 zum Entwurf eines Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU-DSAnpUG-EU, https://netzpolitik.org//wp-upload/2016/09/BfDI_Stellungnahme_DSAnpUG_EU.pdf.
[28]Https://www.datenschutz-grundverordnung.eu/wp-content/uploads/2016/12/161123_BDSG-neu-RefE_-2.-Ressortab-Verbaende-Laender.pdf.