Externer Datenschutzbeauftragter

Datenschutz-Grundverordnung – Welche Änderungen sind beim Scoring zu berücksichtigten?

Die Datenschutz-Grundverordnung (DS-GVO) nähert sich mit großen Schritten und wird die – bis dato geltende – Datenschutzrichtlinie 95/46/EG am 25. Mai 2018 ablösen. Mit der Geltung der Datenschutz-Grundverordnung kommen auf Unternehmen zahlreiche Neuregelungen im Bereich Datenschutz zu, die diese umsetzen sollten, um hohen Sanktionen im Datenschutz entgegenzuwirken. Besonders im Zusammenhang mit dem Thema Scoring herrscht große Unsicherheit innerhalb der Unternehmen.

Was Scoring ist und was sich mit der DS-GVO diesbezüglich ändern wird, erklärt Ihnen Ihr externer Datenschutzbeauftragter.

Was ist Scoring?

Der englische Begriff „Scoring“ bedeutet auf Deutsch „Punkte erzielen“. Nach § 28b Bundesdatenschutzgesetz (BDSG) ist Scoring eine Erhebung oder Verwendung von Wahrscheinlichkeitswerten für ein bestimmtes zukünftiges Verhalten eines Betroffenen, um über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses entscheiden zu können. Das Scoring-Verfahren wird vor allem zur Risikoanalyse genutzt. Dies geschieht durch die Berechnung der Wahrscheinlichkeit eines bestimmten Ereignisses.

Ein Beispiel hierfür ist die Berechnung des Scoring-Wertes für einen Kreditausfall. Ist der Scoring-Wert hoch, besteht die Vermutung, dass die Person, die den Kredit beantragt hat, diesen mit hoher Wahrscheinlichkeit nicht bedienen kann. Der Kreditgeber kann folglich entsprechende Maßnahmen treffen und den Kredit entsprechend verringern oder komplett aussetzen.

Scoring nach BDSG

Im Jahre 2009 wurden die neuen §§ 28a, 28b und § 34 Abs. 2 S. 2 sowie Abs. 4 in das Bundesdatenschutzgesetz (BDSG) eingeführt, welche am 01.04.2010 in Kraft traten. Diese Regelungen sollten die vorher bestehende Regelungslücke zum Scoring schließen und Rahmenbedingungen schaffen, um einerseits die Wirtschaft vor Kreditausfällen zu schützen und anderseits unzulässige Eingriffe in die Persönlichkeitsrechte der Betroffenen zu verhindern. Dies hat zur Folge, dass die

bei Einhaltung der gesetzlichen Anforderungen gestattet ist. Die benannten Paragraphen werden im nachfolgenden Abschnitt näher erläutert:

Datenübermittlung an Auskunfteien

28a BDSG regelt die Übermittlung personenbezogener Daten an Auskunfteien. Eine solche Übermittlung ist nach der Regelung zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht wurde. Dabei führt die Norm strenge Voraussetzungen an die Übermittlung auf, die den Betroffenen vor einer unberechtigten Übermittlung seiner Daten schützen soll. Weiterhin ergeben sich durch § 28a Abs. 2 BDSG für Kreditinstitute, erleichterte Vorrausetzungen für die Übermittlung von personenbezogenen Daten zur Begründung, ordnungsgemäßen Durchführung oder Beendigung eines Vertrages eines Bankgeschäftes nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes (KWG), worunter beispielsweise Darlehen, Bürgschaften oder Scheckeinzüge fallen.

Zulässigkeit und Grenzen für das Scoring

Wie bereits erwähnt, wird der Begriff Scoring im § 28b BDSG definiert. Zusätzlich zu der Erklärung des Begriffes Scoring greift § 28b BDSG auf, wann ein Scoring-Verfahren genutzt werden darf. Demnach darf Scoring verwendet, wenn

  1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
  1. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen,
  1. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden,
  1. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.“

Damit die Rechte des Betroffenen im Einzelfall gewahrt bleiben, hat der deutsche Gesetzgeber den § 6a BDSG etabliert. Nach diesem darf eine Entscheidung, die für den Betroffenen eine rechtliche Folge nach sich zieht oder ihn beeinträchtigt, nicht ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten gestützt werden. Ein Beispiel dafür wäre, wenn für die Messung der Bonität eines Betroffenen durch den Scoring-Wert: „Wohngegend des Betroffenen“ (sog. Geoscoring) gehört und dieser nur durch ein Computerprogramm ausgewertet wurde. Nehmen wir an, dass die daraus entnommene Schlussfolgerung – wie folgt – wäre: „gute Wohngegend gleich gute Vermögenskapazität und schlechte Wohngegend gleich schlechte Vermögenslage “. Folglich hätte der Betroffene, der in der schlechten Wohngegend wohnt, ein erhöhtes Risiko einen beantragten Kredit nicht zu bekommen, auch wenn seine finanzielle Lange nicht schlecht ist. § 6a Abs. 2 Nr. 1 BDSG bietet jedoch eine Ausnahme, demnach ist eine automatische Entscheidung dann zulässig, wenn diese im Zusammenhang mit einem Vertragsschluss oder einer Vertragserfüllung einhergeht dem Begehren des Betroffenen stattgegeben wurde.

Auskunftsrecht der Betroffenen

34 Abs. 2 und Abs. 4 BDSG erteilt dem Betroffenen ein erweitertes Auskunftsrecht beim Scoring. Demnach ist die verantwortliche Stelle dazu verpflichtet dem Betroffenen, auf dessen verlangen, Auskunft über das Zustandekommen seines Wahrscheinlichkeitswertes zu geben. Der Berechnungsalgorithmus fällt jedoch nicht unter den Gegenstand der Auskunft, da dieser als Betriebsgeheimnis gilt.

Änderungen durch die Datenschutz-Grundverordnung

Im Vergleich zu der Datenschutzrichtlinie 95/46/EG, welche die Mitgliedsstaaten erst in eigenes Recht umsetzen mussten, wird die Datenschutz-Grundverordnung direkt in allen europäischen Mitgliedstaaten gelten. Auch wenn die DS-GVO direkt in allen europäischen Staaten gilt, ist diese nicht starr, d.h.  es besteht die Möglichkeit, dass die allgemeinen Regelungen der DS-GVO, durch Konkretisierungen der Mitgliedsstaaten ergänzt werden können (sog. Öffnungsklauseln). Wo genau solche Öffnungsklauseln angesiedelt sind, ist derzeit Gegenstand eines umfangreichen juristischen und politischen Diskurses.

Innerhalb der DS-GVO befindet sich keine explizite Regelung zum Scoring. Eine ähnliche Regelung zu § 6a BDSG bietet jedoch der Art. 22 DS-GVO. Wie auch in § 6a BDSG betont der Art. 22 DS-GVO, dass der Betroffene nicht einer Entscheidung unterworfen werden darf,

Weiterhin ist nach Art. 6 Abs. 1 lit. f DS-GVO eine Verarbeitung immer dann zulässig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind und keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. In der Regelung wird dabei insbesondere das Recht von Kindern hervorgehoben, die als besonders schützenswert eingestuft werden.

Präzisierung durch das neue Bundesdatenschutzgesetz

Wie bereits erwähnt besteht durch eine Öffnungsklausel die Möglichkeit, dass ein Mitgliedstaat eine Konkretisierung zu einer Regelung der DS-GVO vornehmen kann. Weitläufig diskutiert wird hingegen auch, ob aufgrund unvollständiger Regelungen innerhalb der DS-GVO von sog. „implizierten Öffnungsklauseln“ ausgegangen werden kann. Einen solche Konkretisierungslücke hat der deutsche Gesetzgeber genutzt, um eine spezifische Regelung zum Scoring einzuführen (siehe § 31 BDSG-neu).

Fazit

Im Vergleich zu dem derzeitigen geltenden deutschen Bundesdatenschutzgesetz wird innerhalb der Datenschutz-Grundverordnung von expliziten Regelungen zum Scoring abgesehen. Nationale Ergänzungen, wie der § 31 BDSG-neu, zu der Datenschutz-Grundverordnung suggerieren hingegen die Absicht des deutschen Gesetzgebers, die derzeitige Lage beizubehalten. Ob die Regelung bis zur Anwendung der Datenschutz-Grundverordnung in der derzeitigen Form bestehen bleibt, ist jedoch fraglich.
Auch, wenn im konkreten Fall des Scorings in den Grundlagen keine Änderungen zu erwarten sind, sollte trotz dessen auf die Feinheiten geachtet werden. Zum Beispiel die höhere Bewertung der Schutzbedürftigkeit von Kindern.

Um die derzeitige und zukünftige Lage optimal im Blick zu behalten, sollte daher ein fachkundiger Ansprechpartner in Form des Datenschutzbeauftragten oder zu dessen Unterstützung ein Datenschutzberater, herangezogen werden.

Haben Sie weitere Fragen zu dieser Thematik oder benötigen Sie Hilfe bei der Umsetzung von Datenschutzmaßnahmen innerhalb Ihres Unternehmens?

Brands Consulting hilft Ihnen gern weiter. Wir bieten Ihnen kompetente und fachkundige Unterstützung rund um den Bereich Datenschutz. Kontaktieren Sie uns und holen Sie sich ein auf Ihre Bedürfnisse abgestimmtes, unverbindliches und kostenloses Datenschutz-Angebot bei uns ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir: