Was dürfen Auskunfteien nach der DSGVO?
Auskunfteien erheben und verarbeiten bonitätsrelevante Daten – und verdienen Geld mit dem Verkauf dieser gespeicherten Informationen. Über nahezu jede volljährige Person werden in Deutschland bei Auskunfteien Datensätze geführt, um die Kreditwürdigkeit zu ermitteln, über die dann Auskunft erteilt wird. Das bringt eine besondere Brisanz mit sich, und zwar für jeden Bürger – denn um dieser Aufgabe nachgehen zu können, müssen entsprechende Unternehmen auf eine Vielzahl von personenbezogenen Daten zurückgreifen. Durch die Masse an auszuwertenden Daten können auch persönliche Vorlieben ausgewertete und gar Profiling in der Form des Scorings betrieben werden. Doch gleichzeitig hat diese Tätigkeit von Auskunfteien eine große Bedeutung für Unternehmen, sind sie doch aus dem Wirtschaftsverkehr nicht mehr wegzudenken. Informationen von Auskunfteien werden im B2B und B2C täglich benötigt: ohne sie ist eine Risikobewertung nicht möglich.
Diese beiden gewichtigen Interessen sind in einen gerechten Ausgleich zu bringen. Dies gelingt durch das Einhalten von gesetzlichen Datenschutzbestimmungen. Einschlägig sind hier Regelungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG).
Doch teils ist die Rechtlage hier undurchsichtig und neue Entscheidungen verursachen Unsicherheiten bezüglich konkreter Befugnisse bei Unternehmen. Exemplarisch ist hier bereits das Urteil des VG Wiesbaden zu nennen, welches jüngst mit Beschluss vom 01.10.2021 (Az. 6 K 788/20.WI) dem Europäischen Gerichtshof (EuGH) Fragen bezüglich des von der SCHUFA Holding AG erstellten Score-Wertes zur Klärung vorlegte. Dieser Beitrag gibt deshalb einen Einblick in das Geschäftsmodell von Auskunfteien und erläutert ihre Befugnisse nach DSGVO und BDSG und die damit verbundenen relevantesten datenschutzrechtlichen Bestimmungen. Dabei geht der Beitrag auch auf das Urteil des VG Wiesbaden und dessen mögliche Konsequenzen ein, um abschließend ein Fazit zu ziehen.
Hintergrund
Auskunfteien sind private gewerbliche Unternehmen. Ihr Geschäftsmodell liegt in der Regel darin, Personen in mehr oder weniger vertrauens- und kreditwürdige Vertragspartner einzuteilen, indem sie das Risiko von Zahlungsausfällen prognostizieren. Dabei werden grundsätzlich sowohl positive als auch negative Aspekte abgebildet und somit ein vollständiges wirtschaftliches Abbild einer Person. Dazu benötigen sie eine Vielzahl von personenbezogenen Daten – entsprechend werden Daten über Identität (etwa Name, Anschrift, Geburtsdatum), wirtschaftliche Betätigung, Kreditwürdigkeit oder Zahlungswilligkeit und -fähigkeit von Unternehmen und Privatpersonen gesammelt. Darunter fallen auch Daten, wie zum Beispiel Giro- und Kreditkartenkonten, Kredit- und Versicherungsverträge, Mobilfunkverträge, sonstige Dauerschuldverhältnisse sowie offene und fällige Forderungen betroffener Personen oder gerichtliche Titel. Dem Geschäftsmodell entsprechend werden vor allem Informationen mit wirtschaftlicher Aussagekraft genutzt. Die Verarbeitung solcher personenbezogenen Daten durch Auskunfteien erfolgt dabei auf der Grundlage von Art. 6 Abs. 1 lit. b) und lif. f) DSGVO sowie §31 BDSG. Nicht übermittelt werden dürfen danach etwa Informationen zu Kauf- und Verbraucherverhalten, Nationalität, Geschlecht oder Familienstand.
Relevante Informationen können Auskunfteien einerseits öffentlichen Registern (etwa dem Handelsregister, Insolvenzverzeichnis) entnehmen. Dabei ist aber zu beachten, dass öffentliche Registerinformationen datenschutzrechtlich grundsätzlich nicht privilegiert werden. Vielmehr gelten dieselben datenschutzrechtlichen Rahmenbedingungen wie für nichtöffentliche Informationen. Auskunfteien benötigen somit eine Rechtsgrundlage für die Datenerhebung – in der Regel kommen nur berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO in Betracht. Dabei ist eine Interessenabwägung durchzuführen und – bisher – gehen die Gerichte und Behörden wohl davon aus, dass das Interesse des Wirtschaftsverkehrs an der Aufbereitung dieser Informationen durch Auskunfteien das Interesse der Betroffenen an der Nicht-Verarbeitung überwiegt.
Relevante Informationen dürfen Vertragspartner– wozu zum Beispiel Banken, Telekommunikationsunternehmen oder Inkassounternehmen gehören – andrerseits unter bestimmten Bedingungen Forderungen an Auskunfteien übermitteln.
Sodann wird die ermittelte Kreditwürdigkeit gegen Entgelt an anfragende Stellen weitergegeben. Etwa an Unternehmen, die gewerbsmäßig Kredite vergeben oder wenn wiederkehrende Zahlungsverpflichtungen bestehen. Dies betrifft etwa Bankgeschäfte (Kredit-, Leasing und Kreditkartenverträge), Telekommunikations- und Versicherungsverträge sowie Rechnungs- und Ratenkauf im Versandhandel.
Die Idee hinter der Tätigkeit von Auskunfteien liegt einerseits darin, Verbraucher:innen schnelle Vertragsabschlüsse zu günstigen Konditionen zu ermöglichen und gleichzeitig Unternehmen vor potenziellen Zahlungsausfällen zu warnen. Da Verträge dann gar nicht oder in geänderter Form abgeschlossen werden, werden betroffene Verbraucher:innen wiederum vor Überschuldung bewahrt.
Befugnisse nach der DSGVO
Die DSGVO und das BDSG enthalten mehrere Vorschriften für den Umgang mit personenbezogenen Daten durch Auskunfteien. Die Verarbeitung personenbezogener Daten durch Auskunfteien erfolgt auf der Grundlage von Art. 6 Abs. 1 lit. b und lit. f DSGVO sowie § 31 BDSG. In der Praxis kommt Art. 6 Abs. 1 lit. b DSGVO – die Vertragserfüllung – jedoch häufig nicht in Betracht: Auskunfteien selbst schließen in der Regel keine Verträge mit den Betroffenen, sondern nur deren Kunden.
Personenbezogene Daten dürfen aufgrund einer Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO von Auskunfteien verarbeitet werden, wenn es zur Wahrung ihrer berechtigten Interessen erforderlich ist und nicht die Grundrechte oder Grundfreiheiten der betroffenen Personen überwiegen. Bei den berechtigten Interessen dürfte es im Ergebnis wohl um das abstrakte Interesse der Wirtschaft an einem funktionierenden Wirtschaftsleben gehen. Interessensgerechter könnte hier aber sein, stärker auf die Einwilligung zu setzen. Es wäre im Sinne der informationellen Selbstbestimmung, wenn die Bonität eines Kunden nur mit seinem Einverständnis ermittelt werden darf.
Neben dem Grundrecht auf informationelle Selbstbestimmung können darüber hinaus betroffen sein die Berufsfreiheit, das allgemeine Persönlichkeitsrecht oder den Gleichbehandlungsgrundsatz.
Solche Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen im Allgemeinen dann nicht, wenn von den Auskunfteien ausschließlich für Kreditentscheidungen beziehungsweise Bonitätsprüfungen bedeutsame Daten gespeichert werden und diese Daten richtig sind.
- Betroffenenrechte: Reichweite und Grenzen des Auskunftsanspruchs
- Mysterium Datenschutz: Kathrin Schürmann beim Biergarten-Talk der Location Based Marketing Association
Welche Daten dürfen Auskunfteien verarbeiten?
Es ist nach Art der personenbezogenen Daten zu differenzieren. Als generell datenschutzrechtlich zulässig wird die die Verarbeitung von Identifikationsdaten – also Name, Adresse und Geburtsdatum angesehen.
Informationen über negative Zahlungserfahrungen (Negativdaten zum Zahlungsverhalten) dürfen nur dann erhoben werden, wenn diese einen sicheren Rückschluss auf die Zahlungsfähigkeit oder -willigkeit zulassen.
Die Übermittlung und Verarbeitung von Positivdaten zu Privatpersonen – also Informationen, die keine negativen Zahlungserfahrungen oder sonstiges nicht vertragsgemäßes Verhalten beinhalten, sondern zum Beispiel die Informationen über die Tatsachen, dass ein Vertrag abgeschlossen wurde – dürfen laut Beschluss der Datenschutzkonferenz (DSK) vom 11.06.2018 grundsätzlich nicht auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Dies wird damit begründet, dass bei Positivdaten regelmäßig das schutzwürdige Interesse der betroffenen Person überwiegt, selbst über die Verwendung ihrer Daten zu bestimmen. Werden die Daten von einem Verantwortlichen an eine Auskunftei übermittelt, ist insoweit – nach Beschluss der DSK vom 11.06.2018 – bereits die Übermittlung dieser Daten nach Art. 6 Abs. 1 S. 1 lit. f DS-GVO regelmäßig unzulässig. Vielmehr bedarf es dafür regelmäßig einer wirksamen Einwilligung der betroffenen Person unter Beachtung der hohen Anforderungen an die Freiwilligkeit.
Jüngst hat die DSK überprüft, ob eine andere Bewertung erforderlich ist, wenn Positivdaten zu Verträgen über Mobilfunkdienste und Dauerhandelskonten von Privatpersonen übermittelt und verarbeitet werden. Denn diese Praxis ist sehr verbreitet – sie betrifft längerfristige Verträge, die durch Vorausleistungsverpflichtungen oder Finanzierungs- bzw. Stundungselemente als kreditorische Risiken betrachtet werden, aber keine Vertragsstörungen aufweisen. Die DSK formulierte in ihrem Beschluss vom 22.09.2021, dass „für die Übermittlung der Positivdaten durch die Mobilfunkdienstanbieter und die Handelsunternehmen zwar berechtigte Interessen bestehen, die Qualität der Bonitätsbewertungen zu verbessern und die beteiligten Wirtschaftsakteure vor kreditorischen Risiken zu schützen.“
Nicht feststellen konnte die DSK hier besondere Umstände, welche, entsprechend dem Beschluss der DSK vom 11. 06.2018, regelmäßig ein die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person überwiegendes Interesse der Verantwortlichen oder Dritte an der Verarbeitung bestimmter Positivdaten vermitteln. Dies gilt etwa bei Kreditinstituten insbesondere auf Grund ihrer spezifischen Verpflichtung nach dem Kreditwesengesetz. Eine von der oben genannten Grundregel abweichende Bewertung sei daher nach DSK nicht begründbar: „Auch bei Positivdaten zu Verträgen über Mobilfunkdienste und Dauerhandelskonten kommt den Interessen, Grundrechten und Grundfreiheiten der betroffenen Person, selbst darüber zu bestimmen, ob sie die sie betreffenden Positivdaten für eine Übermittlung durch Mobilfunkdienstleister und Handelsunternehmen und eine Verarbeitung durch Auskunfteien zur Bonitätsbewertung preisgeben will, entscheidende Bedeutung zu. […]. Deshalb können weder Verantwortliche noch Dritte ein überwiegendes Interesse an diesen Verarbeitungen geltend machen.“
Unbeschadet anderweitiger Anforderungen ist somit eine gegen den Willen der betroffenen Person stattfindende Datenverarbeitung von Positivdaten über Mobilfunkdienstverträge und Dauerhandelskonten durch Vertragspartner und Auskunfteien nicht nach Art. 6 Abs. 1 lit. f DSGVO gerechtfertigt. Die Übermittlung und Verarbeitung ist nur auf der Grundlage einer Einwilligung der betroffenen Person datenschutzkonform.
Doch es herrscht auch weiterhin viel Klärungsbedarf in Bezug auf die datenschutzrechtliche Zulässigkeit des Geschäftsmodells von Auskunfteien. So hat das VG Wiesbaden, Beschluss vom 01.10.2021 – Az. 6 K 788/20.WI, jüngst entschieden, dem Europäischen Gerichtshof (EuGH) zwei Fragen zur Klärung vorzulegen. Konkret ging es dabei um die Tätigkeit Score-Werte über Personen zu erstellen. Ein Kredit-Score-Wert ist ein Zahlenwert, der mittels einer statistischen Analyse eine Prognose zum künftigen Zahlungsverhalten ermittelt. Damit soll eingeschätzt werden, mit welcher Wahrscheinlichkeit Vertragspartner:innen bereit und in der Lage sind, eine längerfristige Zahlungsverpflichtung zu erfüllen.
Dabei sei es nach dem VG Wiesbaden zum einen unklar, ob bereits die Tätigkeit Score-Werte über Personen zu erstellen und diese ohne weitergehende Empfehlung oder Bemerkung an Dritte (beispielsweise Banken) zu übermitteln, die dann unter maßgeblicher Einbeziehung dieses Score-Wertes mit der betroffenen Person vertragliche Beziehungen eingehen oder davon absehen, dem Anwendungsbereich des Art. 22 Abs. 1 DSGVO (Verbot von automatisierten Einzelentscheidungen) unterfällt. Ist dies nicht der Fall – fällt das Scoring also nicht unter Art. 22 Abs. 1 DSGVO und sind die allgemeinen Vorschriften des Art. 6 DSGVO anzuwenden –, lautet die zweite Vorlagefrage, ob die DSGVO der Regelung des § 31 BDSG entgegensteht. Denn dort treffe der Gesetzgeber im Kern detaillierte Regelungen über das Scoring als Unterfall des Profilings. Indem der deutsche Gesetzgeber also weitergehende inhaltliche Zulässigkeitsvoraussetzungen an das Scoring knüpfe, spezifiziere er die Regelungsmaterie über die Vorgaben der DSGVO hinaus. Dafür fehle ihm jedoch die Regelungsbefugnis. Dies ändere den Prüfungsspielraum der nationalen Aufsichtsbehörde. Diese habe dann die Vereinbarkeit der Tätigkeit von Wirtschaftsauskunfteien an Art. 6 DSGVO zu messen.
An wen dürfen Auskunfteien unter welchen Voraussetzungen Daten übermitteln?
Auskunfteien können den Anfragenden Auskünfte erteilen – also personenbezogene Daten übermitteln –, welche ein berechtigtes Interesse an der Kenntnis der Information haben. Diese müssen das berechtigte Interesse zuvor glaubhaft darlegen; die Gründe für das Vorliegen eines berechtigten Interesses und die Art und Weise ihrer glaubhaften Darlegung sind zu dokumentieren, um eine (strichprobenartige) Überprüfung zu gewährleisten. Weiterhin dürfen nicht die Grundrechte und Grundfreiheiten der betroffenen Personen überwiegen. Diese Anforderungen sind regelmäßig erfüllt, wenn der Anfragende durch eine bevorstehende Entscheidung ein finanzielles Risiko übernehmen würde. Ein solches Risiko stellen beispielsweise die Gewährung eines Kredits, die Überlassung einer Mietwohnung oder der Versand von Waren auf Rechnung dar.
Fazit
Abschließend lässt sich festhalten, dass Auskunfteien eine Vielzahl von personenbezogenen Daten über eine große Anzahl von Personen sammeln und übermitteln. Dies ist datenschutzrechtlich nicht unproblematisch, gerade auch, da sich die Verarbeitung seiner Daten nicht vermeiden lässt und Intransparenz über genaue Abläufe herrscht. Die Einhaltung datenschutzrechtlicher Vorschriften ist somit essenziell. Relevant ist die DSGVO und das BDSG. Bei der Zulässigkeit der Verarbeitung ist insbesondere nach Art der personenbezogenen Daten zu differenzieren: Identifikationsdaten, Positivdaten oder Negativdaten.