• Beschluss des Petitionsausschuss des Deutschen Bundestags

    at 23 Feb 2019 02:27

    Pet 1-19-06-298-002114 Datenschutz

    Der Deutsche Bundestag hat die Petition am 14.02.2019 abschließend beraten und
    beschlossen:

    Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
    worden ist.

    Begründung

    Mit der Petition wird zum einen ein Gesetz gefordert, das Auskunfteien zur
    Offenlegung der im Rahmen der Berechnung des Score-Wertes berücksichtigten
    Kriterien verpflichtet. Zum anderen soll eine gesetzliche Regelung erreicht werden,
    unter welchen Voraussetzungen ein Kreditinstitut die gespeicherten Daten während
    eines laufenden Vertragsverhältnisses sowie bei Beendigung erneut abrufen darf.

    Zu dieser Thematik liegen dem Petitionsausschuss eine auf der Internetseite des
    Deutschen Bundestages veröffentlichte Eingabe mit 93 Mitzeichnungen und
    13 Diskussionsbeiträgen sowie weitere Eingaben mit verwandter Zielsetzung vor, die
    wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Behandlung
    zugeführt werden. Es wird um Verständnis gebeten, dass nicht auf alle der
    vorgetragenen Aspekte im Einzelnen eingegangen werden kann.

    Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass das derzeitige
    Verfahren der Auskunfteien intransparent sei, da viele Bürgerinnen und Bürger keine
    Kredite für Wohnungen, Mobilfunkverträge etc. erhielten und nicht wüssten, wie sich
    der Score-Wert zusammensetze bzw. wie sie auf diesen Einfluss nehmen könnten.
    Selbst auf Nachfrage bei der Schufa erhalte man keine konkreten Aussagen zu diesen
    Themen. Hier müsse zukünftig mehr Transparenz für alle Beteiligten geschaffen
    werden, sodass jeder dieses System verstehen könne. Die mit der Petition
    vorgeschlagenen Regelungen sollen u. a. dazu dienen, der von der Speicherung
    betroffenen Person eine Einflussnahme auf ihren Score-Wert zu ermöglichen.

    Weitere Petenten beanstanden, dass sie zwar ihren Score-Wert erfahren könnten,
    nicht jedoch, wie es zu diesem Wert gekommen sei und wie sie ihn verbessern
    könnten. Zudem könnten sie ohne weitere Auskünfte nicht prüfen, ob die
    vorgenommene Bewertung richtig sei und sie nicht diskriminiere. Oftmals seien
    Datensätze der Auskunfteien veraltet oder falsch.

    Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
    Unterlagen verwiesen.

    Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
    zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
    unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
    zusammenfassen:

    Der Petitionsausschuss weist zunächst grundsätzlich darauf hin, dass Auskunfteien
    Unternehmen sind, die vorwiegend bonitätsrelevante Daten über Unternehmen und
    Privatpersonen sammeln, um ihren Geschäftspartnern Wahrscheinlichkeitswerte
    hinsichtlich der Bonität der Betroffenen gegen Entgelt zugänglich zu machen.
    Kreditinstitute wie auch andere Wirtschaftsakteure (Versicherungen, Telefonanbieter,
    Vermieter) verwenden bei ihrer Entscheidung über einen Vertragsabschluss neben
    den ihnen bekannten Informationen über den Antragsteller häufig diese von
    Auskunfteien ermittelten Wahrscheinlichkeitswerte (Score-Werte) über die Bonität der
    Betroffenen. Die Ermittlung des Score-Wertes verläuft beim Kredit-Scoring prinzipiell
    so, dass individuell erhobene Merkmale des Betroffenen in Bezug gesetzt werden zu
    statistischen Erfahrungen, die mit einer größeren Zahl von Trägern entsprechender
    Merkmale (Vergleichsgruppe) gesammelt wurden. Das für die Vergleichsgruppe in der
    Vergangenheit festgestellte Ausfallrisiko fließt also in die Prognose über die Bonität
    des Betroffenen ein.

    Weiterhin stellt der Ausschuss fest, dass bis zum 24. Mai 2018 das
    Bundesdatenschutzgesetz in seiner alten Fassung (BDSG a.F.) galt, das in § 28b Nr. 1
    bis Nr. 4 abstrakt-generelle Kriterien zur Errechnung von Score-Werten aufstellte.
    Auskunfteien waren bei der Durchführung von Scoring-Verfahren an die in § 28b Nr. 1
    bis Nr. 4 BDSG a.F. aufgestellten Kriterien gebunden. Gemäß § 28b Nr. 1 BDSG a.F.
    mussten die zur Berechnung der Score-Werte genutzten Daten unter Zugrundelegung
    eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens
    nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens
    erheblich sein. Das Berechnungsverfahren musste daher wissenschaftlichen
    Ansprüchen genügen. Der errechnete Wahrscheinlichkeitswert beinhaltete danach
    eine mathematisch-statistisch begründete Prognose über das künftige Risiko eines
    Zahlungsausfalls. Gemäß § 28b Nr. 2 BDSG a.F. setzte die Berechnung des
    Score-Wertes außerdem voraus, dass die bei der Berechnung einzusetzenden Daten
    die Voraussetzungen an eine Übermittlung an Dritte nach § 29 Abs. 2 BDSG a.F.
    erfüllen. Vermieden wurde damit, dass Informationen, die als einzelnes Datum nicht
    an Dritte gemäß § 29 Abs. 2 BDSG a.F. übermittelt werden durften, als Bestandteil
    eines Score-Wertes übertragen werden. Paragraf 28b Nr. 3 BDSG a.F. verbot die
    ausschließliche Nutzung von Anschriftendaten des Betroffenen (Name, Ort und
    Straße) bei der Erstellung der Verhaltensprognose. Bei der Berechnung mussten
    neben den Anschriftendaten vielmehr weitere Daten mit entsprechendem Gewicht
    einfließen. Gemäß § 28b Nr. 4 BDSG a.F. war die Verwendung eines Scoring-Wertes,
    der mit Hilfe von Anschriftendaten im Zusammenhang mit anderen Daten berechnet
    wurde, zudem nur zulässig, wenn die betroffene Person vor der Berechnung über die
    bevorstehende Nutzung unterrichtet wurde und die Unterrichtung dokumentiert wurde.

    Zur Transparenz des Scoring-Verfahrens trug nach alter Rechtslage ferner der
    Auskunftsanspruch in § 34 Abs. 4 Satz 1 BDSG a.F. bei. Auskunfteien hatten dem
    Betroffenen danach auf Verlangen Auskunft zu erteilen über

    1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens
    übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten
    des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an
    die die Werte übermittelt worden sind,

    2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens
    nach den von der Stelle zur Berechnung angewandten Verfahren ergeben,

    3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2
    genutzten Datenarten sowie

    4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte
    einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.

    Der Bundesgerichtshof (BGH) hat mit Urteil vom 28. Januar 2014 (Az. VI ZR 156/13)
    klargestellt, dass konkrete Angaben zur Gewichtung der in den Score-Wert
    eingeflossenen Merkmale nicht zu den Elementen des Scoring-Verfahrens gehören,
    über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG a.F. Auskunft zu erteilen war. Dies sei
    das Geschäftsgeheimnis der Auskunfteien und daher nicht vom Auskunftsanspruch
    erfasst. Zur Begründung hat er zudem auf die gesetzgeberische Intention Bezug
    genommen, trotz der Schaffung einer größeren Transparenz bei Scoring-Verfahren
    Geschäftsgeheimnisse der Auskunfteien, namentlich die sogenannte Score-Formel,
    zu schützen. Die Auskunftsverpflichtung solle dazu dienen, dass der Betroffene den in
    die Bewertung eingeflossenen Lebenssachverhalt erkennen und darauf reagieren
    könne. Dafür sei ausreichend, dass für den Betroffenen ersichtlich sei, welche
    konkreten Umstände als Berechnungsgrundlage in die Ermittlung des Score-Wertes
    eingeflossen sind.

    Gegen das Urteil ist beim Bundesverfassungsgericht eine Verfassungsbeschwerde
    anhängig (BVerfG 1 BvR 756/14).

    Der Ausschuss merkt vorsorglich an, dass der Deutsche Bundestag aus
    verfassungsrechtlichen Gründen wegen des Grundsatzes der Gewaltenteilung gemäß
    Artikel 20 Abs. 2 Satz 2 Grundgesetz (GG) und der richterlichen Unabhängigkeit
    gemäß Artikel 97 Abs. 1 GG auf gerichtliche Entscheidungen keinen Einfluss nehmen
    kann.

    Ferner macht der Ausschuss darauf aufmerksam, dass die Kontrolle der Einhaltung
    der datenschutzrechtlichen Vorgaben in der Privatwirtschaft im Übrigen den
    Datenschutzaufsichtsbehörden der Bundesländer obliegt. Im Hinblick darauf haben
    Auskunfteien ihre Verfahren zur Berechnung von Score-Werten hinreichend zu
    dokumentieren. Die Score-Formel muss gegenüber der Aufsichtsbehörde offengelegt
    werden, welche ihrerseits die Aufgabe hat, deren Qualität und Wissenschaftlichkeit zu
    beurteilen.

    Des Weiteren hebt der Ausschuss hervor, dass sich die Rechtslage seit dem
    25. Mai 2018 geändert hat. Seit diesem Zeitpunkt gilt in allen Mitgliedstaaten der
    Europäischen Union die Datenschutz-Grundverordnung (DSGVO – Verordnung (EU)
    2016/679 vom 27. April 2016), konkretisiert durch das an den neuen europäischen
    Rechtsrahmen angepasste Bundesdatenschutzgesetz (BDSG n.F.).

    Paragraf 31 Abs. 1 Nr. 1 bis Nr. 4 BDSG n.F. regelt, unter welchen kumulativ zu
    erfüllenden Voraussetzungen die Verwendung bestimmter Daten zu Zwecken eines
    Scoring zulässig ist. Die Vorschrift übernimmt die Regelung des § 28b Nr. 1 bis
    Nr. 4 BDSG a.F. nahezu inhaltsgleich und wahrt damit das bisherige Schutzniveau.
    Neu ist das Erfordernis des § 31 Abs. 1 Nr. 1 BDSG n.F., wonach die Vorschriften des
    Datenschutzrechts eingehalten werden müssen und damit ein Rückgriff auf die
    allgemeinen Vorschriften des neuen Datenschutzrechts, wie beispielsweise auf die in
    Artikel 5 DSGVO normierten allgemeinen Grundsätze der Datenverarbeitung, möglich
    ist.

    Darüber hinaus stehen der betroffenen Person nach neuer Gesetzeslage umfassende
    Rechte nach Kapitel III der DSGVO zu. Die Stärkung der Betroffenenrechte war ein
    erklärtes Regelungsziel der DSGVO. Die verantwortliche Stelle ist gemäß Artikel 13
    und Artikel 14 DSGVO verpflichtet, die betroffene Person umfassend über die
    Datenverarbeitung zu informieren. Die DSGVO dehnt damit die Informationspflichten
    im Vergleich zum BDSG a.F. aus. Artikel 15 DSGVO ergänzt diese
    Informationspflichten durch einen wiederum weitreichenden Auskunftsanspruch der
    betroffenen Person gegen den Verantwortlichen.

    Der betroffenen Person steht jedoch auch seit Geltung der DSGVO kein
    Auskunftsanspruch über die Gewichtung der einzelnen Berechnungsfaktoren zu. Dies
    folgt aus Artikel 15 Abs. 4 DSGVO, wonach das gemäß Artikel 15 Abs. 3 DSGVO mit
    dem Auskunftsanspruch einhergehende Recht des Betroffenen auf Erhalt einer Kopie
    seiner personenbezogenen Daten die Rechte und Freiheiten anderer Personen nicht
    beeinträchtigen darf. Erwägungsgrund 63 der DSGVO nennt als entgegenstehende
    Rechte und Freiheiten beispielhaft Geschäftsgeheimnisse des Verantwortlichen. Die
    vom BGH angeführte Bedeutung von Geschäftsgeheimnissen bleibt daher weiterhin
    das zentrale Argument, weshalb die Informationspflicht des Verantwortlichen und der
    Auskunftsanspruch der betroffenen Person nicht die Preisgabe des Algorithmus
    umfasst.

    Ergänzend ist darauf hinzuweisen, dass die DSGVO keinen Spielraum für den
    nationalen Gesetzgeber vorsieht, im nationalen Recht das Recht auf Information oder
    den Auskunftsanspruch zu erweitern. Artikel 23 DSGVO erlaubt keine Erweiterungen,
    sondern nur Beschränkungen der Betroffenenrechte.

    Das zweite mit der Petition verfolgte Anliegen, eine gesetzliche Regelung zu treffen,
    unter welchen Voraussetzungen ein Kreditinstitut auf bei Auskunfteien gespeicherte
    Daten erneut zugreifen darf, wurde bis zum 24. Mai 2018 in § 29 Abs. 2 BDSG a.F.
    geregelt. Die Übermittlung personenbezogener Daten durch Auskunfteien an ihre
    Vertragspartner war danach zulässig, wenn der Anfragende ein berechtigtes Interesse
    an ihrer Kenntnis glaubhaft dargelegt hatte und kein Grund zu der Annahme bestand,
    dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der
    Übermittlung hat. Die Auskunftei hatte danach eine Interessenabwägung im Einzelfall
    zwischen dem Informationsinteresse des anfragenden Unternehmens an einer
    Datenübermittlung und dem Interesse des Betroffenen an der Geheimhaltung seiner
    Daten vorzunehmen. Der Gesetzgeber hatte sich damit bewusst gegen festgelegte
    Übermittlungsintervalle entschieden und aus Gründen der Einzelfallgerechtigkeit eine
    Abwägung im konkreten Fall bevorzugt. Voraussetzung für eine Übermittlung war
    dabei stets, dass der Empfänger sein Interesse glaubhaft und so konkret dargelegt
    hat, dass ein Bezug zu einem bestimmten Vorgang herstellbar ist.
    Der BGH hat das Erfordernis des berechtigten Informationsinteresses dahingehend
    konkretisiert, dass die Kenntnis der konkreten Daten nach Inhalt, Umfang und Qualität
    für die vom Empfänger beabsichtigten Ziele und Zwecke erforderlich sein muss (BGH,
    NJW 1984, 1886). Paragraf 29 Abs. 2 BDSG a.F. war daher sowohl Rechtsgrundlage
    für die erstmalige Datenübermittlung vor Vertragsschluss als auch für nachfolgende
    Datenübermittlungen im Rahmen eines bereits bestehenden Vertragsverhältnisses.
    Auch nach Vertragsschluss kann, beispielsweise im Rahmen von
    Dauerschuldverhältnissen, bei denen sich der Vertragspartner auf die regelmäßige
    Erbringung der finanziellen Gegenleistungen verlassen können muss, die Bonität der
    betroffenen Person von Relevanz sein. Die Schufa durfte in diesem Fall in Ergänzung
    der ersten Auskunft aktualisierte Daten übermitteln.

    Seit dem 25. Mai 2018 richtet sich die Auskunftserteilung durch Auskunfteien an ihre
    Vertragspartner nach Artikel 6 Abs. 1 f) DSGVO. Danach ist eine Verarbeitung
    personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten
    Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die
    Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den
    Schutz personenbezogener Daten erfordern, überwiegen. Die DSGVO hält damit an
    der bisherigen Wertung fest und macht die Zulässigkeit der Datenübermittlung durch
    Auskunfteien an Vertragspartner unabhängig vom Zeitpunkt der Anfrage von einer
    Interessenabwägung im Einzelfall abhängig.

    Vor diesem Hintergrund vermag der Petitionsausschuss nach umfassender Prüfung
    der Sach- und Rechtslage aus den oben dargelegten Gründen keinen
    gesetzgeberischen Handlungsbedarf zu erkennen. Er empfiehlt daher im Ergebnis,
    das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
    worden ist.

    Der von den Fraktionen der FDP und von BÜNDNIS 90/DIE GRÜNEN gestellte Antrag,
    die Petition der Bundesregierung - dem Bundesministerium der Justiz und für
    Verbraucherschutz und dem Bundesministerium des Innern, für Bau und Heimat - als
    Material zu überweisen und den Fraktionen des Deutschen Bundestages zur Kenntnis
    zu geben, ist mehrheitlich abgelehnt worden.

    Der von der Fraktion der AfD gestellte Antrag, das Petitionsverfahren abzuschließen,
    weil dem Anliegen nicht entsprochen werden konnte, ist ebenfalls mehrheitlich
    abgelehnt worden.

    Begründung (PDF)

Help us to strengthen citizen participation. We want your petition to get attention and stay independent.

Donate now