ev
i
– 107 –
nenbezogenen Daten, die eigentlich nur im konkreten
Verhältnis „Institut/Kunde“ eine Rolle spielen, nämlich
bei der Frage, ob und mit welchen Konditionen ein konkreter Kreditvertrag abgeschlossen werden kann. Diese
Frage ist Gegenstand des Scoreverfahrens. Da sowohl
beim Rating- als auch beim Scoreverfahren dieselben personenbezogenen Daten verwendet werden, ist davon auszugehen, dass das Ratingverfahren zumindest eine mittelbare Auswirkung auf das Scoreverfahren haben wird.
Aus diesem Grund habe ich dem Finanzausschuss des
Deutschen Bundestages empfohlen, an den Regelungen
in § 10 Abs. 1 KWG festzuhalten, im Gesetz aber klarzustellen, dass es sich um zwei verschiedene Verfahren handelt. Für das Scoreverfahren gelten die Regelungen des
Bundesdatenschutzgesetzes, die durch die Vorschrift des
§ 10 Abs. 1 KWG nicht tangiert werden. Der Finanzausschuss hat mein Anliegen unterstützt, ist aber zu dem Ergebnis gelangt, dass das KWG nicht die geeignete Norm
K a s t e n zu Nr. 9.2
§ 10 Abs. 1 Sätze 3 bis 8 Kreditwesengesetz
Institute dürfen personenbezogene Daten ihrer Kunden, von Personen, mit denen sie Vertragsverhandlungen über
Adressenausfallrisiken begründende Geschäfte aufnehmen, sowie von Personen, die für die Erfüllung eines Adressenausfallrisikos einstehen sollen, erheben und verwenden, soweit diese Daten
1. unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für
die Bestimmung und Berücksichtigung von Adressenausfallrisiken erheblich und
2. zum Aufbau und Betrieb einschließlich der Entwicklung und Weiterentwicklung von internen Ratingsystemen für
die Schätzung von Risikoparametern des Adressenausfallrisikos des Instituts erforderlich sind und es sich nicht
um Angaben zur Staatsangehörigkeit oder Daten nach § 3 Abs. 9 des Bundesdatenschutzgesetzes handelt. Betriebs- und Geschäftsgeheimnisse stehen personenbezogenen Daten gleich. Zur Entwicklung und Weiterentwicklung der Ratingsysteme dürfen abweichend von Satz 3 Nr. 1 auch Daten erhoben und verwendet werden, die bei
nachvollziehbarer wirtschaftlicher Betrachtungsweise für die Bestimmung und Berücksichtigung von Adressenausfallrisiken erheblich sein können. Für die Bestimmung und Berücksichtigung von Adressenausfallrisiken können insbesondere Daten erheblich sein, die den folgenden Kategorien angehören oder aus Daten der folgenden
Kategorien gewonnen worden sind:
1. Einkommens-, Vermögens- und Beschäftigungsverhältnisse sowie die sonstigen wirtschaftlichen Verhältnisse,
insbesondere Art, Umfang und Wirtschaftlichkeit der Geschäftstätigkeit des Betroffenen,
2. Zahlungsverhalten und Vertragstreue des Betroffenen,
3. vollstreckbare Forderungen sowie Zwangsvollstreckungsverfahren und -maßnahmen gegen den Betroffenen,
4. Insolvenzverfahren über das Vermögen des Betroffenen, sofern diese eröffnet worden sind oder die Eröffnung
beantragt worden ist.
Diese Daten dürfen erhoben werden
1. beim Betroffenen,
2. bei Instituten, die derselben Institutsgruppe angehören,
3. bei Ratingagenturen und Auskunfteien und
4. aus allgemein zugänglichen Quellen.
Die Institute dürfen anderen Instituten derselben Institutsgruppe und in pseudonymisierter Form auch von ihnen mit
dem Aufbau und Betrieb einschließlich der Entwicklung und Weiterentwicklung von Ratingsystemen beauftragten
Dienstleistern nach Satz 3 erhobene personenbezogene Daten übermitteln, soweit dies zum Aufbau und Betrieb einschließlich der Entwicklung und Weiterentwicklung von internen Ratingsystemen für die Schätzung von Risikoparametern des Adressenausfallrisikos erforderlich ist. Das Bundesministerium der Finanzen wird ermächtigt, durch
Rechtsverordnung im Benehmen mit der Deutschen Bundesbank nähere Bestimmungen über die angemessene Eigenmittelausstattung (Solvabilität) der Institute sowie der Institutsgruppen und Finanzholding-Gruppen zu erlassen, insbesondere über
...
R
ev
i
BfDI 21. Tätigkeitsbericht 2005-2006
s
4. die näheren Einzelheiten der Erhebung und Verwendung personenbezogener Daten zur Bestimmung und Berücksichtigung von Adressenausfallrisiken; in der Rechtsverordnung sind Höchstfristen für die Löschung oder Anonymisierung der Daten zu bestimmen.