Am 1.4.2010 ist die sogenannte "Novelle I" des Bundesdatenschutzgesetzes ("BDSG") in Kraft getreten. Lesen Sie in diesem Beitrag, was sich geändert hat und auf was Unternehmen künftig achten müssen.
Was ändert sich durch die BDSG Novelle I zum 1.4.2010?
Die BDSG-Novelle I enthält Neuregelungen zur automatisierten Einzelentscheidung. Daneben wurde die Zulässigkeit von Scoring-Verfahren geregelt. Die Auskunftsansprüche der Betroffenen wurden erweitert.
Problem: steigende Anonymität des Geschäftsverkehrs im Internet
Gerade im Geschäftsverkehr über das Internet wird mangels eines direkten Gegenübers zunehmend auf ein sogenanntes "Scoring-Verfahren" zurückgegriffen, um die Bonität von Käufern zu bestimmen. Ein Scoring-Verfahren ist ein mathematisch-statistisches Verfahren zur Wahrscheinlichkeitsberechnung. Nach diesem kann berechnet werden, wie wahrscheinlich es ist, dass eine Person ein bestimmtes Verhalten wieder zeigt (im konkreten Fall: Welches Zahlungsverhalten ist zu erwarten?).
Die beim Scoring-Verfahren verwendeten Daten sind durch den Betroffenen jedoch nur schwierig auf Richtigkeit zu überprüfen und dementsprechend ein Risiko. Letztlich können sie - wenn beispielsweise ein wichtiger Kreditvertrag aufgrund eines falsch berechneten Scoring-Wertes abgelehnt wird - sogar über die wirtschaftliche Existenz des Kunden entscheiden. Deswegen besteht ein Bedürfnis, dass der Betroffene fehlerhafte Daten korrigieren bzw. Missverständnisse aufklären kann.
Genaue Zulässigkeitsvoraussetzungen des Scorings in § 28 b BDSG
Die Zulässigkeit des Scorings wird nach der Novelle durch § 28 b BDSG bestimmt. Soll für eine automatisierte oder nicht automatisierte Entscheidung über ein Vertragsverhältnis ein sog. Scorewert verwendet werden, ist dies künftig nur noch unter den Voraussetzungen des § 28 b BDSG zulässig.
Die genauen Voraussetzungen des Scoring-Verfahrens lauten:
"Zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn
1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
2. im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29, und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen,
3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden,
4. im Falle der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren."
Wichtige Änderung in diesem Zusammenhang: ausschließliche Nutzung von Anschriftendaten unzulässig
Die streitige Klausel, nach welcher Auskunfteien Wohnortdaten in die Ermittlung der Scorewerte für eine Überprüfung der Kreditwürdigkeit einbeziehen durften, wurde durch die Novelle eingeschränkt: die ausschließliche Nutzung von Anschriftendaten ist verboten.
Mehr Rechtssicherheit durch die Einführung spezifischer Erlaubnistatbestände
Im neuen § 28 a BDSG werden Erlaubnistatbestände für die Übermittlung von so genannten "Negativ- und Positivdaten" an Auskunfteien geschaffen. "Negativdaten" sind etwa Daten über unbeglichene Forderungen, während "Positivdaten" Daten über bestehende Kredite darstellen.
Nach den Erlaubnistatbeständen der Norm darf eine Übermittlung von Negativdaten nur dann erfolgen, wenn die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist und die Übermittlung der Daten an die Auskunftei zur Wahrung berechtigter Interessen erforderlich ist. Insofern sind das Bestehen von Einreden oder Einwendungen gegen die Forderung relevant.
Modifizierung des Verbotes automatisierter Einzelentscheidungen gemäß § 6 a BDSG
Daneben wurde das bereits in § 6a Abs. 1 BDSG bestehende Verbot automatisierter Einzelentscheidungen modifiziert. Der neu hinzugefügte Satz 2 der Norm konkretisiert den Begriff der modifizierten Einzelentscheidung.
Daneben: Erweiterung der Betroffenenrechte
Daneben wurden in § 34 BDSG die Betroffenenrechte umfassend erweitert. Dadurch soll mehr Transparenz für den Betroffenen hergestellt werden. Eine Auskunftsverweigerung wird gemäß § 43 BDSG nun mit einem Bußgeld belegt.
Fazit
Gerade die Änderungen beim Scoring-Verfahren (u.U. Unterrichtung des Betroffenen vor Durchführung des Scoring-Verfahrens!) und beim Auskunftsrecht der Betroffenen werden in der Praxis die Anpassung zahlreicher Verfahrensweisen zur Folge haben. Um hier Streitigkeiten mit den Aufsichtsbehörden und den Kunden zu vermeiden sollten betroffene Unternehmen zeitnah Rechtsrat einholen. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de