Deutscher Bundestag – 17. Wahlperiode
– 31 –
Drucksache 17/5200
träge ein Betroffener besitzt. Um diese Information erheben und verarbeiten zu dürfen, benötigen die Unternehmen
auch weiterhin eine Einwilligung (vgl. hierzu Nr. 10.6).
Was ändert sich beim Kreditscoring?
Werden Scoringverfahren eingesetzt, um zu entscheiden, ob und zu welchen Bedingungen ein Vertrag abgeschlossen
werden soll, dann müssen nunmehr nach § 28b BDSG bestimmte Bedingungen beachtet werden:
– Die Seriosität von Scorewerten muss wissenschaftlich nachgewiesen worden sein. Jede Stelle, die Scorewerte berechnet, muss der zuständigen Datenschutzaufsichtsbehörde darlegen können, dass die verwendeten Daten und die
angewandte Methode tatsächlich geeignet ist, eine Aussage über das zukünftige Verhalten des Betroffenen zu treffen.
– Grundsätzlich darf eine Auskunftei alle Daten verwenden, die ihr über den Betroffenen bekannt sind. Nicht herangezogen werden dürfen aber etwa Daten, die nur gespeichert werden, um den Betroffnen bei einem Auskunftsverlangen sicher identifizieren zu können. Dies betrifft etwa die Speicherung von Voranschriften.
– Ein Scorewert darf nicht ausschließlich auf der Grundlage von Anschriftendaten ermittelt werden. Wenn Anschriftendaten für einen Scorewert herangezogen werden, spricht man von Geoscoring. Dies bedeutet, dass etwa die Bonität davon abhängig gemacht wird, in welcher Wohngegend jemand lebt. Eine solche Information zu verwenden,
ist jedoch in höchstem Maße diskriminierend. Der Gesetzgeber wollte jedoch das Geoscoring nicht vollständig
verbieten, sondern im Wesentlichen für den Betroffenen transparenter machen. Verboten ist es jedoch, einen Score
ausschließlich auf die Wohngegend zu stützen. Also zur Berechnung des Scorewertes keine weiteren oder nur solche Angaben hinzuzuziehen, die keinen wesentlichen Einfluss auf die Entscheidung haben.
Mehr Transparenz beim Scoring
Der Scorewert muss verständlich, einzelfallbezogen und nachvollziehbar erklärt werden. Die Betroffenen haben ein
Recht darauf zu erfahren, ob sie einen guten, mittleren oder schlechten Scorewert haben und es muss ihnen erklärt
werden, weshalb dieser Wert so ausgefallen ist. Diese Auskunft soll die Betroffenen in die Lage versetzen, die Entscheidung zu verstehen und ggf. mit sachlichen Argumenten in Frage zu stellen. Die Auskunft soll so dabei helfen zu
beurteilen, ob der Scorewert von der richtigen Datengrundlage ausgeht und ob im zu beurteilenden Fall Besonderheiten bei der Bewertung der Bonität ausreichend berücksichtigt worden sind. Es gibt jedoch keinen Anspruch darauf,
die genaue Scoreformel, also das mathematische Berechnungsverfahren des Scorewertes erklärt zu bekommen.
Für die Auskunft verantwortlich ist grundsätzlich zunächst der jeweilige Vertragspartner, der den Scorewert angewendet hat. Dieser darf den Betroffenen aber an eine Auskunftei verweisen, wenn er selbst den Scorewert nicht errechnet, sondern von einer Auskunftei hinzugekauft hat (vgl. zum Scoring auch Nr. 10.5).
Einmal im Jahr ist die Auskunft kostenlos
Jeder hat das Recht, einmal im Jahr eine kostenlose Auskunft von einer Auskunftei zu erhalten. Für jede weitere Auskunft kann jedoch ein Entgelt verlangt werden, wenn die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken
genutzt werden kann.
2.4
Strengere Anforderungen an die
Auftragsdatenverarbeitung
Immer häufiger werden Datenverarbeitungsprozesse Dritten übertragen. Die Anforderungen hierfür sind gestiegen.
Im Zuge von Outsourcing, Straffung von Betriebsabläufen
und Einsparmaßnahmen werden in wachsendem Umfang
in Wirtschaft und Verwaltung Teilaufgaben und die damit
verbundene Datenverarbeitung auf Dritte übertragen.
Grundlage hierfür ist vielfach eine Auftragsdatenverarbeitung nach § 11 BDSG, obwohl nicht immer, wo dies behauptet wird, die rechtlichen Voraussetzungen hierfür tatsächlich erfüllt sind. Wegen ihrer großen Bedeutung in der
Praxis beschäftigt mich diese Thematik seit vielen Jahren
(vgl. 22. TB Nr. 2.5).
Bei den Datenschutzskandalen der letzten Jahre hat sich
mehrfach ergeben, dass nicht die verantwortliche Stelle
selbst die Rechtsverstöße begangen hat, sondern ein von
ihr beauftragter Dritter oder ein wiederum von diesem beauftragter weiterer Subunternehmer. Im schlimmsten Fall
weiß die verantwortliche Stelle gar nicht mehr, wo und
von wem tatsächlich ihre personenbezogenen Daten verarbeitet werden, und verliert so faktisch die Kontrolle, obwohl sie datenschutzrechtlich weiterhin in der Verantwortung steht.
Deswegen lag es nahe, bei der Novelle des BDSG, mit der
der Gesetzgeber auf die Skandale reagieren wollte (vgl.
Nr. 2.2 und 2.3), auch die Vorschriften zur Auftragsdatenverarbeitung zu verschärfen und hierfür strengere Anforderungen im Gesetz zu verankern. In Abwandlung des
ursprünglichen Regierungsentwurfs wurde § 11 BDSG
BfDI 23. Tätigkeitsbericht 2009-2010