Regiune: Germania

Datenschutz - Offenlegung der Zusammensetzung des Score-Wertes der Schufa/Aufzeigen von Einflussmöglichkeiten durch Privatpersonen

Petiționarul nu este public
Petiția se adresează
Petitionsausschuss des Deutschen Bundestags
93 93 in Germania

Petiția este respinsă.

93 93 in Germania

Petiția este respinsă.

  1. A început 2017
  2. Colectia terminata
  3. Trimis
  4. Dialog
  5. Terminat

Aceasta este o petiție online des Deutschen Bundestags .

23.02.2019, 03:27

Pet 1-19-06-298-002114 Datenschutz

Der Deutsche Bundestag hat die Petition am 14.02.2019 abschließend beraten und
beschlossen:

Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
worden ist.

Begründung

Mit der Petition wird zum einen ein Gesetz gefordert, das Auskunfteien zur
Offenlegung der im Rahmen der Berechnung des Score-Wertes berücksichtigten
Kriterien verpflichtet. Zum anderen soll eine gesetzliche Regelung erreicht werden,
unter welchen Voraussetzungen ein Kreditinstitut die gespeicherten Daten während
eines laufenden Vertragsverhältnisses sowie bei Beendigung erneut abrufen darf.

Zu dieser Thematik liegen dem Petitionsausschuss eine auf der Internetseite des
Deutschen Bundestages veröffentlichte Eingabe mit 93 Mitzeichnungen und
13 Diskussionsbeiträgen sowie weitere Eingaben mit verwandter Zielsetzung vor, die
wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Behandlung
zugeführt werden. Es wird um Verständnis gebeten, dass nicht auf alle der
vorgetragenen Aspekte im Einzelnen eingegangen werden kann.

Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass das derzeitige
Verfahren der Auskunfteien intransparent sei, da viele Bürgerinnen und Bürger keine
Kredite für Wohnungen, Mobilfunkverträge etc. erhielten und nicht wüssten, wie sich
der Score-Wert zusammensetze bzw. wie sie auf diesen Einfluss nehmen könnten.
Selbst auf Nachfrage bei der Schufa erhalte man keine konkreten Aussagen zu diesen
Themen. Hier müsse zukünftig mehr Transparenz für alle Beteiligten geschaffen
werden, sodass jeder dieses System verstehen könne. Die mit der Petition
vorgeschlagenen Regelungen sollen u. a. dazu dienen, der von der Speicherung
betroffenen Person eine Einflussnahme auf ihren Score-Wert zu ermöglichen.

Weitere Petenten beanstanden, dass sie zwar ihren Score-Wert erfahren könnten,
nicht jedoch, wie es zu diesem Wert gekommen sei und wie sie ihn verbessern
könnten. Zudem könnten sie ohne weitere Auskünfte nicht prüfen, ob die
vorgenommene Bewertung richtig sei und sie nicht diskriminiere. Oftmals seien
Datensätze der Auskunfteien veraltet oder falsch.

Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.

Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
zusammenfassen:

Der Petitionsausschuss weist zunächst grundsätzlich darauf hin, dass Auskunfteien
Unternehmen sind, die vorwiegend bonitätsrelevante Daten über Unternehmen und
Privatpersonen sammeln, um ihren Geschäftspartnern Wahrscheinlichkeitswerte
hinsichtlich der Bonität der Betroffenen gegen Entgelt zugänglich zu machen.
Kreditinstitute wie auch andere Wirtschaftsakteure (Versicherungen, Telefonanbieter,
Vermieter) verwenden bei ihrer Entscheidung über einen Vertragsabschluss neben
den ihnen bekannten Informationen über den Antragsteller häufig diese von
Auskunfteien ermittelten Wahrscheinlichkeitswerte (Score-Werte) über die Bonität der
Betroffenen. Die Ermittlung des Score-Wertes verläuft beim Kredit-Scoring prinzipiell
so, dass individuell erhobene Merkmale des Betroffenen in Bezug gesetzt werden zu
statistischen Erfahrungen, die mit einer größeren Zahl von Trägern entsprechender
Merkmale (Vergleichsgruppe) gesammelt wurden. Das für die Vergleichsgruppe in der
Vergangenheit festgestellte Ausfallrisiko fließt also in die Prognose über die Bonität
des Betroffenen ein.

Weiterhin stellt der Ausschuss fest, dass bis zum 24. Mai 2018 das
Bundesdatenschutzgesetz in seiner alten Fassung (BDSG a.F.) galt, das in § 28b Nr. 1
bis Nr. 4 abstrakt-generelle Kriterien zur Errechnung von Score-Werten aufstellte.
Auskunfteien waren bei der Durchführung von Scoring-Verfahren an die in § 28b Nr. 1
bis Nr. 4 BDSG a.F. aufgestellten Kriterien gebunden. Gemäß § 28b Nr. 1 BDSG a.F.
mussten die zur Berechnung der Score-Werte genutzten Daten unter Zugrundelegung
eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens
nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens
erheblich sein. Das Berechnungsverfahren musste daher wissenschaftlichen
Ansprüchen genügen. Der errechnete Wahrscheinlichkeitswert beinhaltete danach
eine mathematisch-statistisch begründete Prognose über das künftige Risiko eines
Zahlungsausfalls. Gemäß § 28b Nr. 2 BDSG a.F. setzte die Berechnung des
Score-Wertes außerdem voraus, dass die bei der Berechnung einzusetzenden Daten
die Voraussetzungen an eine Übermittlung an Dritte nach § 29 Abs. 2 BDSG a.F.
erfüllen. Vermieden wurde damit, dass Informationen, die als einzelnes Datum nicht
an Dritte gemäß § 29 Abs. 2 BDSG a.F. übermittelt werden durften, als Bestandteil
eines Score-Wertes übertragen werden. Paragraf 28b Nr. 3 BDSG a.F. verbot die
ausschließliche Nutzung von Anschriftendaten des Betroffenen (Name, Ort und
Straße) bei der Erstellung der Verhaltensprognose. Bei der Berechnung mussten
neben den Anschriftendaten vielmehr weitere Daten mit entsprechendem Gewicht
einfließen. Gemäß § 28b Nr. 4 BDSG a.F. war die Verwendung eines Scoring-Wertes,
der mit Hilfe von Anschriftendaten im Zusammenhang mit anderen Daten berechnet
wurde, zudem nur zulässig, wenn die betroffene Person vor der Berechnung über die
bevorstehende Nutzung unterrichtet wurde und die Unterrichtung dokumentiert wurde.

Zur Transparenz des Scoring-Verfahrens trug nach alter Rechtslage ferner der
Auskunftsanspruch in § 34 Abs. 4 Satz 1 BDSG a.F. bei. Auskunfteien hatten dem
Betroffenen danach auf Verlangen Auskunft zu erteilen über

1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens
übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten
des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an
die die Werte übermittelt worden sind,

2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens
nach den von der Stelle zur Berechnung angewandten Verfahren ergeben,

3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2
genutzten Datenarten sowie

4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte
einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form.

Der Bundesgerichtshof (BGH) hat mit Urteil vom 28. Januar 2014 (Az. VI ZR 156/13)
klargestellt, dass konkrete Angaben zur Gewichtung der in den Score-Wert
eingeflossenen Merkmale nicht zu den Elementen des Scoring-Verfahrens gehören,
über die nach § 34 Abs. 4 Satz 1 Nr. 4 BDSG a.F. Auskunft zu erteilen war. Dies sei
das Geschäftsgeheimnis der Auskunfteien und daher nicht vom Auskunftsanspruch
erfasst. Zur Begründung hat er zudem auf die gesetzgeberische Intention Bezug
genommen, trotz der Schaffung einer größeren Transparenz bei Scoring-Verfahren
Geschäftsgeheimnisse der Auskunfteien, namentlich die sogenannte Score-Formel,
zu schützen. Die Auskunftsverpflichtung solle dazu dienen, dass der Betroffene den in
die Bewertung eingeflossenen Lebenssachverhalt erkennen und darauf reagieren
könne. Dafür sei ausreichend, dass für den Betroffenen ersichtlich sei, welche
konkreten Umstände als Berechnungsgrundlage in die Ermittlung des Score-Wertes
eingeflossen sind.

Gegen das Urteil ist beim Bundesverfassungsgericht eine Verfassungsbeschwerde
anhängig (BVerfG 1 BvR 756/14).

Der Ausschuss merkt vorsorglich an, dass der Deutsche Bundestag aus
verfassungsrechtlichen Gründen wegen des Grundsatzes der Gewaltenteilung gemäß
Artikel 20 Abs. 2 Satz 2 Grundgesetz (GG) und der richterlichen Unabhängigkeit
gemäß Artikel 97 Abs. 1 GG auf gerichtliche Entscheidungen keinen Einfluss nehmen
kann.

Ferner macht der Ausschuss darauf aufmerksam, dass die Kontrolle der Einhaltung
der datenschutzrechtlichen Vorgaben in der Privatwirtschaft im Übrigen den
Datenschutzaufsichtsbehörden der Bundesländer obliegt. Im Hinblick darauf haben
Auskunfteien ihre Verfahren zur Berechnung von Score-Werten hinreichend zu
dokumentieren. Die Score-Formel muss gegenüber der Aufsichtsbehörde offengelegt
werden, welche ihrerseits die Aufgabe hat, deren Qualität und Wissenschaftlichkeit zu
beurteilen.

Des Weiteren hebt der Ausschuss hervor, dass sich die Rechtslage seit dem
25. Mai 2018 geändert hat. Seit diesem Zeitpunkt gilt in allen Mitgliedstaaten der
Europäischen Union die Datenschutz-Grundverordnung (DSGVO – Verordnung (EU)
2016/679 vom 27. April 2016), konkretisiert durch das an den neuen europäischen
Rechtsrahmen angepasste Bundesdatenschutzgesetz (BDSG n.F.).

Paragraf 31 Abs. 1 Nr. 1 bis Nr. 4 BDSG n.F. regelt, unter welchen kumulativ zu
erfüllenden Voraussetzungen die Verwendung bestimmter Daten zu Zwecken eines
Scoring zulässig ist. Die Vorschrift übernimmt die Regelung des § 28b Nr. 1 bis
Nr. 4 BDSG a.F. nahezu inhaltsgleich und wahrt damit das bisherige Schutzniveau.
Neu ist das Erfordernis des § 31 Abs. 1 Nr. 1 BDSG n.F., wonach die Vorschriften des
Datenschutzrechts eingehalten werden müssen und damit ein Rückgriff auf die
allgemeinen Vorschriften des neuen Datenschutzrechts, wie beispielsweise auf die in
Artikel 5 DSGVO normierten allgemeinen Grundsätze der Datenverarbeitung, möglich
ist.

Darüber hinaus stehen der betroffenen Person nach neuer Gesetzeslage umfassende
Rechte nach Kapitel III der DSGVO zu. Die Stärkung der Betroffenenrechte war ein
erklärtes Regelungsziel der DSGVO. Die verantwortliche Stelle ist gemäß Artikel 13
und Artikel 14 DSGVO verpflichtet, die betroffene Person umfassend über die
Datenverarbeitung zu informieren. Die DSGVO dehnt damit die Informationspflichten
im Vergleich zum BDSG a.F. aus. Artikel 15 DSGVO ergänzt diese
Informationspflichten durch einen wiederum weitreichenden Auskunftsanspruch der
betroffenen Person gegen den Verantwortlichen.

Der betroffenen Person steht jedoch auch seit Geltung der DSGVO kein
Auskunftsanspruch über die Gewichtung der einzelnen Berechnungsfaktoren zu. Dies
folgt aus Artikel 15 Abs. 4 DSGVO, wonach das gemäß Artikel 15 Abs. 3 DSGVO mit
dem Auskunftsanspruch einhergehende Recht des Betroffenen auf Erhalt einer Kopie
seiner personenbezogenen Daten die Rechte und Freiheiten anderer Personen nicht
beeinträchtigen darf. Erwägungsgrund 63 der DSGVO nennt als entgegenstehende
Rechte und Freiheiten beispielhaft Geschäftsgeheimnisse des Verantwortlichen. Die
vom BGH angeführte Bedeutung von Geschäftsgeheimnissen bleibt daher weiterhin
das zentrale Argument, weshalb die Informationspflicht des Verantwortlichen und der
Auskunftsanspruch der betroffenen Person nicht die Preisgabe des Algorithmus
umfasst.

Ergänzend ist darauf hinzuweisen, dass die DSGVO keinen Spielraum für den
nationalen Gesetzgeber vorsieht, im nationalen Recht das Recht auf Information oder
den Auskunftsanspruch zu erweitern. Artikel 23 DSGVO erlaubt keine Erweiterungen,
sondern nur Beschränkungen der Betroffenenrechte.

Das zweite mit der Petition verfolgte Anliegen, eine gesetzliche Regelung zu treffen,
unter welchen Voraussetzungen ein Kreditinstitut auf bei Auskunfteien gespeicherte
Daten erneut zugreifen darf, wurde bis zum 24. Mai 2018 in § 29 Abs. 2 BDSG a.F.
geregelt. Die Übermittlung personenbezogener Daten durch Auskunfteien an ihre
Vertragspartner war danach zulässig, wenn der Anfragende ein berechtigtes Interesse
an ihrer Kenntnis glaubhaft dargelegt hatte und kein Grund zu der Annahme bestand,
dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der
Übermittlung hat. Die Auskunftei hatte danach eine Interessenabwägung im Einzelfall
zwischen dem Informationsinteresse des anfragenden Unternehmens an einer
Datenübermittlung und dem Interesse des Betroffenen an der Geheimhaltung seiner
Daten vorzunehmen. Der Gesetzgeber hatte sich damit bewusst gegen festgelegte
Übermittlungsintervalle entschieden und aus Gründen der Einzelfallgerechtigkeit eine
Abwägung im konkreten Fall bevorzugt. Voraussetzung für eine Übermittlung war
dabei stets, dass der Empfänger sein Interesse glaubhaft und so konkret dargelegt
hat, dass ein Bezug zu einem bestimmten Vorgang herstellbar ist.
Der BGH hat das Erfordernis des berechtigten Informationsinteresses dahingehend
konkretisiert, dass die Kenntnis der konkreten Daten nach Inhalt, Umfang und Qualität
für die vom Empfänger beabsichtigten Ziele und Zwecke erforderlich sein muss (BGH,
NJW 1984, 1886). Paragraf 29 Abs. 2 BDSG a.F. war daher sowohl Rechtsgrundlage
für die erstmalige Datenübermittlung vor Vertragsschluss als auch für nachfolgende
Datenübermittlungen im Rahmen eines bereits bestehenden Vertragsverhältnisses.
Auch nach Vertragsschluss kann, beispielsweise im Rahmen von
Dauerschuldverhältnissen, bei denen sich der Vertragspartner auf die regelmäßige
Erbringung der finanziellen Gegenleistungen verlassen können muss, die Bonität der
betroffenen Person von Relevanz sein. Die Schufa durfte in diesem Fall in Ergänzung
der ersten Auskunft aktualisierte Daten übermitteln.

Seit dem 25. Mai 2018 richtet sich die Auskunftserteilung durch Auskunfteien an ihre
Vertragspartner nach Artikel 6 Abs. 1 f) DSGVO. Danach ist eine Verarbeitung
personenbezogener Daten zulässig, wenn sie zur Wahrung der berechtigten
Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die
Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den
Schutz personenbezogener Daten erfordern, überwiegen. Die DSGVO hält damit an
der bisherigen Wertung fest und macht die Zulässigkeit der Datenübermittlung durch
Auskunfteien an Vertragspartner unabhängig vom Zeitpunkt der Anfrage von einer
Interessenabwägung im Einzelfall abhängig.

Vor diesem Hintergrund vermag der Petitionsausschuss nach umfassender Prüfung
der Sach- und Rechtslage aus den oben dargelegten Gründen keinen
gesetzgeberischen Handlungsbedarf zu erkennen. Er empfiehlt daher im Ergebnis,
das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
worden ist.

Der von den Fraktionen der FDP und von BÜNDNIS 90/DIE GRÜNEN gestellte Antrag,
die Petition der Bundesregierung - dem Bundesministerium der Justiz und für
Verbraucherschutz und dem Bundesministerium des Innern, für Bau und Heimat - als
Material zu überweisen und den Fraktionen des Deutschen Bundestages zur Kenntnis
zu geben, ist mehrheitlich abgelehnt worden.

Der von der Fraktion der AfD gestellte Antrag, das Petitionsverfahren abzuschließen,
weil dem Anliegen nicht entsprochen werden konnte, ist ebenfalls mehrheitlich
abgelehnt worden.

Begründung (PDF)


Ajutați la consolidarea participării cetățenilor. Dorim să vă facem auzite preocupările, rămânând în același timp independenți.

Promovați acum