A. Einleitung
Die Neuregelungen zum Scoring und zu Auskunfteien finden sich in den §§ 6a, 28a, 28b und 34 BDSG. Sie sind seit dem 01.04.2010 in Kraft.
B. § 6a BDSG
In § 6a Abs. 1 BDSG hat der Gesetzgeber Satz 2 neu eingefügt.
§ 6a BDSG Abs. 1 Satz 1 BDSG konstituiert das Verbot, Entscheidungen, „die für den Betroffenen eine rechtliche Folge nach sich ziehen oder ihn erheblich beeinträchtigen“, ausschließlich im Wege automatisierter Datenverarbeitung zu treffen. Bei diesen Entscheidungen kann es sich z.B. um die Ablehnung von Kreditanträgen handeln oder die Verweigerung eines Online-Shops, einem Kunden die Möglichkeit einzuräumen, den Rechnungsbetrag nach Erhalt der bestellten Waren zu überweisen. Der neue Satz 2 stellt insoweit klar, dass eine derartige Entscheidung nicht einer Datenverarbeitungsanlage überlassen werden darf, sondern eine natürliche Person das Ergebnis der Datenverarbeitung bewerten und aufgrund seiner Bewertung die fragliche Entscheidung selbst treffen muss.
§ 6a Abs. 1 Satz 2 BDSG steht im Zusammenhang mit der Scoring-Problematik. Die Regelung ergänzt insoweit § 28b BDSG. Während § 28b BDSG die Voraussetzungen definiert, unter denen Scoring-Verfahren eingesetzt werden dürfen, regelt § 6a BDSG, wie das mit dem Scoring-Verfahren errechnete Ergebnis („Scorewert“) für die nach § 28b BDSG erlaubten Zwecke (Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses) eingesetzt werden darf, nämlich lediglich als ein Entscheidungskriterium, das in die Entscheidungsfindung einfließen, diese aber nicht ersetzen darf. Eine inhaltliche Neuerung gegenüber der bisherigen Rechtslage ist damit nicht verbunden. Bereits die bisher h.M. hatte angenommen, dass Scoring-Verfahren automatisierte Verfahren i.S.v. § 6a BDSG darstellen (z.B. Möller/Florax, NJW 2003, 2724, 2725; Klein, BKR 2003, 488, 489; Mackenthun, WM 2004, 1713, 1716; Gola in: Gola/Schomerus, BDSG, 9. Aufl. 2007, § 6a Rn. 13; a.A. Wolber, CR 2003, 623).
C. § 28a BDSG
§ 28a BDSG betrifft die Datenübermittlung an Auskunfteien wie z.B. die SCHUFA.
Die Zulässigkeit derartiger Datenübermittlungen folgte bislang für so genannte „positive“ und „neutrale“ Daten (z.B. Kontoeröffnung; ordnungsgemäße Abwicklung eines Kredits) in der Regel aus der Einwilligung in die SCHUFA-Klausel, während sie sich für „Negativdaten“ nach § 28 BDSG bemaß. Im Rahmen der nach § 28 BDSG erforderlichen Interessenabwägung unterschied man weiter zwischen „harten“ (z.B. fruchtlose Pfändung, eidesstattliche Versicherung (§ 807 ZPO) oder Eröffnung des Insolvenzverfahrens) und „weichen“ Negativdaten, die wie z.B. eine bloße Klageerhebung oder die Beantragung eines Mahnbescheids nicht sicher auf die Zahlungsunfähigkeit oder -unwilligkeit des Betroffenen schließen lassen. Eine Übermittlung weicher Negativdaten war daher nur zulässig, wenn sich die übermittelnde Stelle vergewissert hatte, dass ein Zahlungsausfall tatsächlich drohte (h.M.; s. z.B. Bruchner in: Schimansky/Bunte/Lwowski, Bankrechts-Handbuch, 3. Aufl. 2007, § 41 Rn. 14).
§ 28a BDSG greift diese Unterscheidungen auf: Abs. 2 betrifft die positiven/neutralen Daten („Begründung, ordnungsgemäße Durchführung, Beendigung“), Abs. 1 die negativen. An die Stelle der bisher erforderlichen allgemeinen Bewertung und Abwägung der Schuldnerinteressen bei der Übermittlung von Negativdaten treten mit den Nrn. 1 bis 5 gleichsam gesetzliche Abwägungsentscheidungen: Die Nrn. 1 bis 3 betreffen Fälle, in denen die fällige Forderung rechtskräftig festgestellt oder anerkannt ist, das Ausbleiben der Zahlung also auf die mangelnde Zahlungsfähigkeit oder -willigkeit des Schuldners schließen lässt („harte“ Negativmerkmale). Nr. 4 erfasst demgegenüber Fälle, in denen dieser Rückschluss nicht ohne Weiteres möglich ist, nämlich Fälle einfachen Zahlungsverzugs („weiche“ Negativmerkmale). Nr. 4 zählt vier kumulative Voraussetzungen auf, die gegeben sein müssen, damit die Übermittlung von „weichen“ Negativdaten zulässig ist. Die Regelung zielt darauf ab, dem Schuldner vor ihrer Übermittlung hinreichend Gelegenheit zu geben, die gegen ihn bestehende Forderung zu erfüllen (zwei schriftliche Mahnungen erforderlich, Übermittlung frühestens vier Wochen nach der ersten Mahnung zulässig, Unterrichtung über drohende Übermittlung frühestens in der ersten Mahnung) oder ihre Berechtigung zu bestreiten (§ 28a Nr. 4 lit. d). Während Nr. 4 Fälle einfachen Zahlungsverzugs erfasst, betrifft Nr. 5 Fälle, in denen der Zahlungsverzug bereits solche Ausmaße angenommen hat, dass er zur Kündigung des Vertragsverhältnisses berechtigt.
Für das Kredit-, Garantie- und Girogeschäft begründet § 28a Abs. 2 BDSG einen eigenen Erlaubnistatbestand für die Übermittlung „positiver“ oder „neutraler“ Daten. Der Gesetzgeber reagiert damit auf die Kritik an der bisherigen Erforderlichkeit, für die Übermittlung dieser Datenarten eine Einwilligung gemäß § 4a BDSG einzuholen (SCHUFA-Klausel), deren Freiwilligkeit, bekanntlich die wesentliche Wirksamkeitsvoraussetzung, umstritten war. Wie sich aus der Gesetzesbegründung allerdings ergibt, hat sich der Gesetzgeber dieser Kritik nicht vorbehaltlos angeschlossen, sondern hält auch weiterhin eine Einwilligungslösung für möglich; außerhalb des Kredit-, Garantie- und Girogeschäfts setzt die Übermittlung „positiver“ oder „neutraler“ Daten weiterhin eine wirksame, insbesondere freiwillige, Einwilligung voraus.
D. § 28b BDSG
§ 28b BDSG regelt die Zulässigkeit des Einsatzes von Scoring-Verfahren, und zwar sowohl des internen als auch des externen Scorings.
„Scoring“ bezeichnet dabei ein mathematisch-statistisches Verfahren, das dazu dienen soll, das künftige Verhalten einer natürlichen Person zu prognostizieren. Im Rahmen dieses Verfahrens werden bestimmte Daten des Betroffenen (z.B. Geschlecht, Beruf, Alter, Adresse, Häufigkeit von Wohnortwechseln) genutzt, um – unter Heranziehung anonymer „Altdaten“ – eine Vergleichsgruppe zu bilden, für die sich dann aufgrund der bislang gesammelten Erfahrungen das Risiko bestimmen lässt, dass Forderungen aus Verträgen, die mit Mitgliedern dieser Gruppe geschlossen werden, ausfallen. Seinen mathematischen Ausdruck findet das auf diese Weise ermittelte Ausfallrisiko in einem Wahrscheinlichkeitswert („Scorewert“). Scorewerte werden stets aktuell berechnet. Als internes Scoring bezeichnet man Scoring-Verfahren, die der Entscheidungsträger selbst einsetzt, während bei externen Scoring-Verfahren ein Dritter, regelmäßig eine Auskunftei, diese Verfahren für die Entscheidungsträger zur Verfügung stellt.
§ 28b BDSG definiert vier Zulässigkeitsvoraussetzungen, die für beide Arten von Scoring-Verfahren gelten:
1. Das eingesetzte mathematisch-statistische Verfahren muss wissenschaftlich anerkannt sein (Nr. 1).
2. Die im Rahmen dieses Verfahrens genutzten Daten müssen nachweislich für die Berechnung des Wahrscheinlichkeitswertes erheblich sein (Nr. 1).
3. Das Scoring darf nur zum Zwecke der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses eingesetzt werden.
4. Auch Anschriftendaten dürfen für das Scoring erhoben und verwendet werden, allerdings darf sich das Scoring nicht ausschließlich auf Anschriftendaten stützen (Nr. 3) und ist der Betroffene vor einer entsprechenden Verwendung seiner Anschriftdaten zu unterrichten (Nr. 4).
Gemäß § 28b Nr. 2 BDSG richtet sich die Zulässigkeit des internen Scorings im Übrigen nach § 28 BDSG, die des externen Scoring nach § 29 BDSG.
Mit § 28b BDSG hat der Gesetzgeber zumindest versucht, Rechtssicherheit zu schaffen und auf die früher geäußerten Bedenken einzugehen. Unsicherheit über die Zulässigkeit von Scoring-Verfahren herrschte früher vornehmlich aus zwei Gründen. Zum einen war bereits umstritten, ob der Scorewert überhaupt ein personenbezogenes Datum i.S.d. § 3 Abs. 1 BDSG darstellt (so die ganz h.M, z.B. Klein, BKR 2003, 488, 489 f.; Beckhusen, BKR 2005, 335, 337; Gola in: Gola/Schomerus, BDSG, § 3 Rn. 3a; a.A.: Wuermeling, NJW 2002, 3508, 3509; AG Düsseldorf, Urt. v. 13.11.2002 - 232 C 5842/02; Wolber, CR 2003, 623, 626). Zum anderen erschien fraglich, ob die Erhebung und Verwendung personenbezogener Daten für die Durchführung von Scoring-Verfahren überhaupt gemäß den §§ 28, 29 BDSG erlaubt sein konnte (pro: z.B. Wuermeling, NJW 2002, 3508, 3510; Klein, BKR 2003, 488, 491; Mackenthun, WM 2004, 1713, 1715 (mit näheren Ausführungen auch zu § 25a Abs. 1 Nr. 1 KWG); contra: z.B. Möller/Florax, NJW 2003, 2724; Beckhusen, BKR 2005, 335, 341 f.). Zweifel ergaben sich insoweit erstens aus der mangelnden Transparenz der eingesetzten Verfahren, zweitens aus der fraglichen Eignung der verwendeten Daten (die Kritik richtete sich insoweit speziell gegen die Verwendung von Adressdaten) und schließlich drittens daraus, dass es den Betroffenen nicht möglich war, Auskunft über die in ihrem Fall genutzten Daten und Verfahren zu verlangen (Piltz/Holländer, ZRP 2008, 143, 144).
Vor diesem Hintergrund zeigt sich, dass der Gesetzgeber Scoring-Verfahren grundsätzlich anerkannt hat und damit die betriebs- und volkswirtschaftlichen Gründe, die für Scoring-Verfahren sprechen, also dem Interesse an einer möglichst umfassenden Risikoanalyse und -bewertung im Zusammenhang mit (vor-)vertraglichen Schuldverhältnissen. Damit ist zugleich vorgegeben, dass diesen Gründen im Rahmen der nach den §§ 28, 29 BDSG notwendigen Interessenabwägung aufseiten der verantwortlichen Stelle erhebliches Gewicht beikommt. Die dem Einsatz von Scoring-Verfahren gesetzten Schranken dürften hingegen die bisherigen Bedenken in der Praxis kaum zerstreuen: Hinsichtlich der verwendeten Daten ist lediglich eine ausschließliche Nutzung von Adressdaten verboten. Zu einem Verbot, bestimmte Daten (wie z.B. Adressdaten) überhaupt für Scoring-Verfahren zu nutzen, hat sich der Gesetzgeber ebenso wenig durchringen können (s. Piltz/Holländer, ZRP 2008, 143, 144) wie zu einem ausdrücklichen Verbot, beim Scoring überhaupt nur eine Art personenbezogener Daten zu verwenden (Nr. 3 betrifft ausschließlich Anschriftendaten). Der Gesetzgeber begnügt sich vielmehr mit dem Erfordernis, dass die verwendeten Daten „nachweislich für die Berechnung des Wahrscheinlichkeitswerts erheblich sein“ müssen. Erheblich ist jedenfalls der Spielraum, den diese Regelung eröffnet. Dasselbe gilt für das Erfordernis, dass das eingesetzte Verfahren „wissenschaftlich“ anerkannt sein müsse. Der Gesetzgeber sieht die „disziplinierende“ Wirkung dieser Vorschriften offensichtlich darin, dass sie zumindest mittelbar eine Dokumentationspflicht begründet. Die Aufsichtsbehörden, denen gegenüber die verantwortliche Stelle gemäß § 38 BDSG die Einhaltung dieser Vorschriften darlegen können muss, sind insoweit gefordert, an einer angemessenen Konkretisierung dieser Kriterien mitzuwirken.
E. § 34 BDSG
§ 34 BDSG regelt den Auskunftsanspruch des Betroffenen und hat umfassende Änderungen erfahren.
Neu ist zunächst § 34 Abs. 2 BDSG (aus dem bisherigen Abs. 2 wurde Abs. 3). Diese Regelung steht im Zusammenhang mit § 28b BDSG, regelt also den Auskunftsanspruch des Betroffenen, dessen personenbezogene Daten für Scoring-Verfahren erhoben oder verwendet werden. § 34 Abs. 2 BDSG eröffnet ihm daher die Möglichkeit, sich gegen fehlerhafte Berechnungen seines Scorewerts effektiv zur Wehr zu setzen (vgl. Roßnagel, NJW 2009, 2716, 2716).
Hervorzuheben ist, dass sich der Auskunftsanspruch grundsätzlich gegen den Entscheidungsträger richtet, und zwar auch in den Fällen des externen Scorings. § 34 Abs. 2 Satz 3 BDSG verpflichtet den Dritten, der das Scoring-Verfahren für den Entscheidungsträger durchgeführt hat, diesem die für die Erteilung der Auskünfte notwendigen Informationen zur Verfügung zu stellen. Allerdings kann der Entscheidungsträger den Betroffenen beim externen Scoring auch an den Dritten verweisen (§ 34 Abs. 2 Satz 4 BDSG), der dann dem Betroffenen gegenüber unmittelbar zur unentgeltlichen Auskunft verpflichtet ist (§ 34 Abs. 2 Satz 5 BDSG). Allerdings ist die Weiterverweisung nur zulässig, wenn sie unverzüglich erfolgt und der Entscheidungsträger dem Betroffenen alle Informationen zur Verfügung stellt, damit dieser seinen Auskunftsanspruch geltend machen kann.
Auch der neu eingefügte § 34 Abs. 4 BDSG steht im Zusammenhang mit dem Scoring und erweitert die bisher bereits bestehenden Auskunftsansprüche des Betroffenen gegenüber Stellen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erheben, speichern oder verändern. Der Anspruch richtet sich u.a. auf Auskunft über seinen tagesaktuellen Scorewert sowie die in den letzten zwölf Monaten an Dritte übermittelte Scorewerte. Auch diese Vorschrift begründet mittelbar umfangreiche Dokumentationspflichten und trägt insoweit zur Transparenz des Scorings bei.
Während der Gesetzgeber in § 28b BDSG den bisherigen Bedenken gegen das Scoring nur bedingt Rechnung getragen hat, hat er bei der Neufassung von § 34 BDSG wesentliche Bedenken, die sich gegen die mangelnde Transparenz dieser Verfahren richten, aufgegriffen. Dies ist ausdrücklich zu begrüßen. Zu einer verbesserten Transparenz wird § 34 BDSG allerdings nur beitragen können, wenn die Betroffenen von ihrem Auskunftsrecht auch Gebrauch machen.
F. Literaturempfehlungen
Albrecht/Habermalz, AZO-ITR 4/2010, Anm. 3.
Beckhusen, Das Scoring-Verfahren der Schufa im Wirkungsbereich des Datenschutzrechts, BKR 2005, 335.
Braunsfeld/Richter, Bonitätsprüfung mittels DV-gestützter Verfahren, CR 1996, 775.
BT-Drs. 16/10529.
Klein, Zur datenschutzrechtlichen Relevanz des Scorings von Kreditrisiken, BKR 2003, 488.
Koch, Scoring-Systeme in der Kreditwirtschaft, MMR 1998, 458.
Mackenthun, Datenschutzrechtliche Voraussetzung der Verarbeitung von Kundendaten beim zentralen Rating und Scoring im Bank-Konzern, WM 2004, 1713.
Maisch, AZO-ITR 3/2010, Anm. 3.
Möller/Florax, Datenschutzrechtliche Unbedenklichkeit des Scoring von Kreditrisiken?, NJW 2003, 2724.
Piltz/Holländer, Scoring als modernes Orakel von Delphi – Wie die geplante Änderung des Bundesdatenschutzgesetzes (BDSG) Transparenz und Rechtssicherheit schaffen will, ZRP 2008, 143.
Roßnagel, Die Novellen zum Datenschutzrecht – Scoring und Adresshandel, NJW 2009, 2716.
Bruchner in: Schimansky/Bunte/Lwowsk, Bankrechts-Handbuch, 3. Aufl. 2007, § 41.
Weichert, Datenschutzrechtliche Anforderungen an Verbraucher-Kredit-Scoring, DuD 2005, 582.
Wolber, Datenschutzrechtliche Zulässigkeit automatisierter Kreditentscheidungen, CR 2006, 623.
Wuermeling, Scoring von Kreditrisiken, NJW 2002, 3508.
