Datenschutz-Grundverordnung – Welche Änderungen sind beim Scoring zu berücksichtigten?

Die Datenschutz-Grundverordnung nähert sich mit großen Schritten und wird die – bis dato geltende – Datenschutzrichtlinie 95/46/EG am 25. Mai 2018 ablösen. Mit der Geltung der Datenschutz-Grundverordnung kommen auf Unternehmen zahlreiche Neuregelungen im Bereich Datenschutz zu, die diese umsetzen sollten, um hohen Sanktionen im Datenschutz entgegenzuwirken. Besonders im Zusammenhang mit dem Thema Scoring herrscht große Unsicherheit innerhalb der Unternehmen.

Was ist Scoring?

Der englische Begriff „Scoring“ bedeutet auf Deutsch „Punkte erzielen“. Nach § 28b Bundesdatenschutzgesetz (BDSG) ist Scoring eine Erhebung oder Verwendung von Wahrscheinlichkeitswerten für ein bestimmtes zukünftiges Verhalten eines Betroffenen, um über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses entscheiden zu können. Das Scoring-Verfahren wird vor allem zur Risikoanalyse genutzt. Dies geschieht durch die Berechnung der Wahrscheinlichkeit eines bestimmten Ereignisses.

Ein Beispiel hierfür ist die Berechnung des Scoring-Wertes für einen Kreditausfall. Ist der Scoring-Wert hoch, besteht die Vermutung, dass die Person, die den Kredit beantragt hat, diesen mit hoher Wahrscheinlichkeit nicht bedienen kann. Der Kreditgeber kann folglich entsprechende Maßnahmen treffen und den Kredit entsprechend verringern oder komplett aussetzen.

Scoring nach BDSG

Im Jahre 2009 wurden die neuen §§ 28a, 28b und § 34 Abs. 2 S. 2 sowie Abs. 4 in das Bundesdatenschutzgesetz (BDSG) eingeführt, welche am 01.04.2010 in Kraft traten. Diese Regelungen sollten die vorher bestehende Regelungslücke zum Scoring schließen und Rahmenbedingungen schaffen, um einerseits die Wirtschaft vor Kreditausfällen zu schützen und anderseits unzulässige Eingriffe in die Persönlichkeitsrechte der Betroffenen zu verhindern. Dies hat zur Folge, dass die

Übermittlung von Daten an Auskunfteien (z.B. SCHUFA) sowie
die Berechnung von Wahrscheinlichkeitswerten zur Risikobewertung durch die Auskunfteien (externes Scoring) oder
durch ein Unternehmen selbst (internes Scoring)

bei Einhaltung der gesetzlichen Anforderungen gestattet ist. Die benannten Paragraphen werden im nachfolgenden Abschnitt näher erläutert:

Datenübermittlung an Auskunfteien

28a BDSG regelt die Übermittlung personenbezogener Daten an Auskunfteien. Eine solche Übermittlung ist nach der Regelung zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht wurde. Dabei führt die Norm strenge Voraussetzungen an die Übermittlung auf, die den Betroffenen vor einer unberechtigten Übermittlung seiner Daten schützen soll. Weiterhin ergeben sich durch § 28a Abs. 2 BDSG für Kreditinstitute, erleichterte Vorrausetzungen für die Übermittlung von personenbezogenen Daten zur Begründung, ordnungsgemäßen Durchführung oder Beendigung eines Vertrages eines Bankgeschäftes nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes (KWG), worunter beispielsweise Darlehen, Bürgschaften oder Scheckeinzüge fallen.

Zulässigkeit und Grenzen für das Scoring

Wie bereits erwähnt, wird der Begriff Scoring im § 28b BDSG definiert. Zusätzlich zu der Erklärung des Begriffes Scoring greift § 28b BDSG auf, wann ein Scoring-Verfahren genutzt werden darf. Demnach darf Scoring verwendet, wenn

„

die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind,
im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen,
für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden,
im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren.“

Damit die Rechte des Betroffenen im Einzelfall gewahrt bleiben, hat der deutsche Gesetzgeber den § 6a BDSG etabliert. Nach diesem darf eine Entscheidung, die für den Betroffenen eine rechtliche Folge nach sich zieht oder ihn beeinträchtigt, nicht ausschließlich auf der automatisierten Verarbeitung personenbezogener Daten gestützt werden. Ein Beispiel dafür wäre, wenn für die Messung der Bonität eines Betroffenen durch den Scoring-Wert: „Wohngegend des Betroffenen“ (sog. Geoscoring) gehört und dieser nur durch ein Computerprogramm ausgewertet wurde. Nehmen wir an, dass die daraus entnommene Schlussfolgerung – wie folgt – wäre: „gute Wohngegend gleich gute Vermögenskapazität und schlechte Wohngegend gleich schlechte Vermögenslage “. Folglich hätte der Betroffene, der in der schlechten Wohngegend wohnt, ein erhöhtes Risiko einen beantragten Kredit nicht zu bekommen, auch wenn seine finanzielle Lange nicht schlecht ist. § 6a Abs. 2 Nr. 1 BDSG bietet jedoch eine Ausnahme, demnach ist eine automatische Entscheidung dann zulässig, wenn diese im Zusammenhang mit einem Vertragsschluss oder einer Vertragserfüllung einhergeht dem Begehren des Betroffenen stattgegeben wurde.

Auskunftsrecht der Betroffenen

34 Abs. 2 und Abs. 4 BDSG erteilt dem Betroffenen ein erweitertes Auskunftsrecht beim Scoring. Demnach ist die verantwortliche Stelle dazu verpflichtet dem Betroffenen, auf dessen verlangen, Auskunft über das Zustandekommen seines Wahrscheinlichkeitswertes zu geben. Der Berechnungsalgorithmus fällt jedoch nicht unter den Gegenstand der Auskunft, da dieser als Betriebsgeheimnis gilt.

Änderungen durch die Datenschutz-Grundverordnung

Im Vergleich zu der Datenschutzrichtlinie 95/46/EG, welche die Mitgliedsstaaten erst in eigenes Recht umsetzen mussten, wird die Datenschutz-Grundverordnung direkt in allen europäischen Mitgliedstaaten gelten. Auch wenn die DS-GVO direkt in allen europäischen Staaten gilt, ist diese nicht starr, d.h. es besteht die Möglichkeit, dass die allgemeinen Regelungen der DS-GVO, durch Konkretisierungen der Mitgliedsstaaten ergänzt werden können (sog. Öffnungsklauseln). Wo genau solche Öffnungsklauseln angesiedelt sind, ist derzeit Gegenstand eines umfangreichen juristischen und politischen Diskurses.

Innerhalb der DS-GVO befindet sich keine explizite Regelung zum Scoring. Eine ähnliche Regelung zu § 6a BDSG bietet jedoch der Art. 22 DS-GVO. Wie auch in § 6a BDSG betont der Art. 22 DS-GVO, dass der Betroffene nicht einer Entscheidung unterworfen werden darf,

die aus einer automatischen Verarbeitung resultiert und
ihm gegenüber eine rechtliche Wirkung entfaltet oder
auf andere Weise beeinträchtigt.

Weiterhin ist nach Art. 6 Abs. 1 lit. f DS-GVO eine Verarbeitung immer dann zulässig, wenn diese zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind und keine Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. In der Regelung wird dabei insbesondere das Recht von Kindern hervorgehoben, die als besonders schützenswert eingestuft werden.

Präzisierung durch das neue Bundesdatenschutzgesetz

Wie bereits erwähnt besteht durch eine Öffnungsklausel die Möglichkeit, dass ein Mitgliedstaat eine Konkretisierung zu einer Regelung der DS-GVO vornehmen kann. Weitläufig diskutiert wird hingegen auch, ob aufgrund unvollständiger Regelungen innerhalb der DS-GVO von sog. „implizierten Öffnungsklauseln“ ausgegangen werden kann. Einen solche Konkretisierungslücke hat der deutsche Gesetzgeber genutzt, um eine spezifische Regelung zum Scoring einzuführen (siehe § 31 BDSG-neu).

Fazit

Im Vergleich zu dem derzeitigen geltenden deutschen Bundesdatenschutzgesetz wird innerhalb der Datenschutz-Grundverordnung von expliziten Regelungen zum Scoring abgesehen. Nationale Ergänzungen, wie der § 31 BDSG-neu, zu der Datenschutz-Grundverordnung suggerieren hingegen die Absicht des deutschen Gesetzgebers, die derzeitige Lage beizubehalten. Ob die Regelung bis zur Anwendung der Datenschutz-Grundverordnung in der derzeitigen Form bestehen bleibt, ist jedoch fraglich.
Auch, wenn im konkreten Fall des Scorings in den Grundlagen keine Änderungen zu erwarten sind, sollte trotz dessen auf die Feinheiten geachtet werden. Zum Beispiel die höhere Bewertung der Schutzbedürftigkeit von Kindern.

Um die derzeitige und zukünftige Lage optimal im Blick zu behalten, sollte daher ein fachkundiger Ansprechpartner in Form des Datenschutzbeauftragten oder zu dessen Unterstützung ein Datenschutzberater, herangezogen werden.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie "Analytics" zu speichern.
cookielawinfo-checkbox-functional	11 months	Das Cookie wird von GDPR Cookie Consent gesetzt, um die Benutzereinwilligung für die Cookies in der Kategorie "Funktional" aufzuzeichnen.
cookielawinfo-checkbox-necessary	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Die Cookies werden verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie „Notwendig“ zu speichern.
cookielawinfo-checkbox-others	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie „Andere“ zu speichern.
cookielawinfo-checkbox-performance	11 months	Dieses Cookie wird vom GDPR Cookie Consent Plugin gesetzt. Das Cookie wird verwendet, um die Benutzereinwilligung für die Cookies in der Kategorie "Performance" zu speichern.
viewed_cookie_policy	11 months	Das Cookie wird vom GDPR Cookie Consent Plugin gesetzt und wird verwendet, um zu speichern, ob der Benutzer der Verwendung von Cookies zugestimmt hat oder nicht. Es speichert keine personenbezogenen Daten.

Datenschutz-Grundverordnung – Welche Änderungen sind beim Scoring zu berücksichtigten?

Was ist Scoring?