23/02/2019, 3:22 π.μ.
Pet 1-18-06-298-011856 Datenschutz
Der Deutsche Bundestag hat die Petition am 14.02.2019 abschließend beraten und
beschlossen:
Das Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen
worden ist.
Begründung
Mit der Petition wird ein Gesetz gefordert, das Auskunfteien verpflichtet, die Richtigkeit
der an sie übermittelten und zur Erstellung von Score-Werten genutzten Daten zu
überprüfen. Hierzu sollen die Auskunfteien jährlich, mindestens aber alle zwei Jahre,
Informationsschreiben mit den gespeicherten Daten an die betreffenden Personen und
Unternehmen übermitteln. Darüber hinaus wird ein Verbot der Ermittlung der
Kreditwürdigkeit von Kunden anhand des Wohnortes („Geo-Scoring“) gefordert.
Zu dieser Thematik liegen dem Petitionsausschuss eine auf der Internetseite des
Deutschen Bundestages veröffentlichte Eingabe mit 301 Mitzeichnungen und
26 Diskussionsbeiträgen sowie weitere Eingaben mit verwandter Zielsetzung vor, die
wegen des Sachzusammenhangs einer gemeinsamen parlamentarischen Behandlung
zugeführt werden. Der Petitionsausschuss bittet um Verständnis, dass nicht auf jeden
einzelnen Gesichtspunkt eingegangen werden kann.
Zur Begründung des Anliegens wird im Wesentlichen ausgeführt, dass Auskunfteien
aus verschiedensten Quellen Daten über Personen und Unternehmen sammeln und
aus diesen dann mittels streng geheim gehaltener Formeln einen Wert erstellen
würden, der Basis für zahlreiche Entscheidungen im Geschäftsverkehr (z. B.
Abschluss eines Kredit- oder Kaufvertrages, Miete einer Wohnung) sei. Die Ermittlung
dieser Score-Werte erfolge durch die Auskunfteien auf Grundlage der ihnen
vorliegenden Daten, ohne dass diese Unternehmen eine Verantwortung für die
Richtigkeit der Daten übernähmen. Bei falschen oder unvollständigen Daten verwiesen
die Auskunfteien auf die Quellen ihrer Datensätze, wie z. B. Banken oder verbundene
Unternehmen.
Zwar habe der Bürger das Recht, einmal jährlich von Auskunfteien eine kostenlose
Eigenauskunft anzufordern. Dies führe jedoch bei der Anzahl und den Anforderungen
(schriftlich mit Ausweiskopie) zu einem erheblichen Aufwand. Zudem sei dem Bürger
gar nicht bekannt, welche Auskunftei überhaupt Daten über ihn gespeichert habe.
Fordere er also die Eigenauskunft bei einer Auskunftei an, obwohl er bislang dort nicht
gespeichert sei, erhalte die Auskunftei einen neuen Datensatz.
Angesichts des Prinzips der Datensparsamkeit wäre es mithin sinnvoller, wenn die
Auskunfteien selbsttätig alle bei ihnen gespeicherten Sätze sowie den ermittelten
Score in regelmäßigen Abständen den betroffenen Bürgern und Unternehmen
mitteilen würden. Im Zuge dieser Mitteilung müsse der Empfänger dann auf einfache
Weise in die Lage versetzt werden, falsche, unvollständige oder anderweitig inkorrekte
Angaben zu korrigieren bzw. löschen zu lassen.
Ferner sei vom Gesetzgeber sicherzustellen, dass eine Auskunftei keinen Score
ermitteln dürfe, der lediglich auf dem Wohnort basiere, da dieses sogenannte
„Geo-Scoring“ zu stark verfälschenden Werten führe und diskriminierend sei.
Hinsichtlich der weiteren Einzelheiten zu dem Vorbringen wird auf die eingereichten
Unterlagen verwiesen.
Der Petitionsausschuss hat der Bundesregierung Gelegenheit gegeben, ihre Ansicht
zu der Eingabe darzulegen. Das Ergebnis der parlamentarischen Prüfung lässt sich
unter Einbeziehung der seitens der Bundesregierung angeführten Aspekte wie folgt
zusammenfassen:
Der Petitionsausschuss weist zunächst darauf hin, dass bereits der bis zum 24. Mai
2018 geltende § 28a Abs. 1 Satz 1 Nr. 1 bis 5 des Bundesdatenschutzgesetzes (BDSG
a.F.) durch die strengen Anforderungen an eine Datenübermittlung an Auskunfteien,
ergänzt durch die Rechte des Betroffenen nach §§ 34, 35 BDSG a.F. auf Auskunft,
Berichtigung, Löschung und Sperrung von Daten, einen umfassenden Schutz vor der
Verarbeitung unrichtiger Daten durch Auskunfteien gewährleistet hat.
Zudem war bereits nach § 28b Abs.1 Nr. 3 BDSG a.F. die Ermittlung eines
Scoring-Wertes allein anhand von Anschriftendaten unzulässig. Sofern
Anschriftendaten im Zusammenhang mit weiteren Daten zur Berechnung des
Scoring-Wertes verwendet wurden, musste die betroffene Person gemäß § 28b Abs.
1 Nr. 4 BDSG a.F. darüber unterrichtet werden. Die Unterrichtung war zu
dokumentieren.
Ferner stellt der Ausschuss fest, dass die ab dem 25. Mai 2018 anzuwendende
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April
2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung - DSGVO) in
Verbindung mit dem an den neuen europäischen Rechtsrahmen angepassten BDSG
n.F. ein vergleichbares Schutzkonzept bietet.
Ab diesem Zeitpunkt ist die Verwendung eines von Auskunfteien ermittelten
Wahrscheinlichkeitswertes unter den Voraussetzungen des § 31 Abs. 2 Satz 1 Nr. 1
bis 5 i.V.m. Abs. 1 BDSG n.F. zulässig.
Die Verwendung setzt danach voraus:
1) die Vorschriften des Datenschutzes wurden eingehalten,
2) die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten sind unter
Zugrundelegung eines wissenschaftlich anerkannten
mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der
Wahrscheinlichkeit des bestimmten Verhaltens erheblich,
3) für die Berechnung des Wahrscheinlichkeitswerts wurden nicht ausschließlich
Anschriftendaten genutzt,
4) im Fall der Nutzung von Anschriftendaten ist die betroffene Person vor
Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung
dieser Daten unterrichtet worden und die Unterrichtung wurde dokumentiert,
5) die geschuldete Leistung wurde trotz Fälligkeit nicht erbracht und
6) eine der in § 31 Abs. 2 Nr. 1 - 5 BDSG n.F. genannten Voraussetzungen liegt
vor, d. h.:
Nr. 1: Die Forderung muss rechtskräftig festgestellt worden sein oder es muss ein
Schuldtitel vorliegen.
Nr. 2: Die Forderung muss nach § 178 der Insolvenzordnung festgestellt und nicht vom
Schuldner bestritten worden sein.
Nr. 3: Der Betroffene muss die Forderung ausdrücklich anerkannt haben.
Nr. 4: a) Der Betroffene muss nach Eintritt der Fälligkeit der Forderung mindestens
zweimal schriftlich gemahnt worden sein,
b) die erste Mahnung muss mindestens vier Wochen zurückliegen,
c) der Schuldner ist zuvor, jedoch frühestens bei der ersten Mahnung, über eine
mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden und
d) der Schuldner hat die Forderung nicht bestritten.
Nr. 5: Das zugrundeliegende Vertragsverhältnis kann aufgrund von
Zahlungsrückständen fristlos gekündigt werden und der Schuldner ist zuvor über eine
mögliche Berücksichtigung durch eine Auskunftei unterrichtet worden.
Der Gesetzgeber hat die Voraussetzungen des § 28a Abs. 1 Satz 1 Nr. 1 bis 5 BDSG
a.F. damit in § 31 Abs. 2 Satz 1 Nr. 1 bis 5 BDSG n.F. übernommen. Der Ausschuss
merkt an, dass der bisherige Schutzstandard mit der Modifikation erhalten bleibt, dass
die Voraussetzungen des § 31 Abs. 2 Satz 1 Nr. 1 bis 5 BDSG n.F. nicht mehr die
„Übermittlung“, sondern die „Verwendung“ der Daten betreffen. Die Vorschrift bietet im
Ergebnis einen umfassenden Schutz des Verbrauchers vor der Verwendung
unrichtiger Daten. Der neuen Regelung im BDSG n.F. lag der ungewöhnliche
Sachverhalt zugrunde, dass sowohl der Verbraucherschutzverband als auch die
Kreditwirtschaft an den Gesetzgeber mit dem Wunsch herangetreten waren, den
bisherigen Ansatz inhaltlich zu erhalten.
Weiterhin macht der Ausschuss darauf aufmerksam, dass der betroffenen Person
neben der Regelung im BDSG n.F. umfassende Rechte nach Kapitel III der DSGVO
zustehen. Die Stärkung der Betroffenenrechte war ein erklärtes Regelungsziel der
DSGVO.
Neben einer umfangreichen Informationspflicht des Verantwortlichen gegenüber der
betroffenen Person gemäß den Artikeln 13 und 14 DSGVO – und zwar zum Zeitpunkt
der Ersterhebung als auch vor jeder Weiterverarbeitung von personenbezogenen
Daten – hat die betroffene Person auch unter Zugrundelegung des neuen
Datenschutzrechts einen Auskunftsanspruch gegen den Verantwortlichen. Der
Auskunftsanspruch ist das zentrale Recht der betroffenen Person, da er eine Kontrolle
über ihre personenbezogenen Daten ermöglicht. Nach Artikel 15 Abs. 1 Hs. 1 DSGVO
hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung
darüber zu verlangen, ob ihre personenbezogenen Daten verarbeitet werden. Sofern
dies der Fall ist, hat die betroffene Person einen Auskunftsanspruch über diese
personenbezogenen Daten sowie über weitere in Artikel 15 Abs. 1 Hs. 2 a) bis h)
DSGVO näher definierte Informationen. Unter anderem hat der Verantwortliche dem
Betroffenen gemäß Artikel 15 Abs. 1 Hs. 2 h) DSGVO im Falle einer automatisierten
Entscheidungsfindung einschließlich Profiling über das Bestehen der automatisierten
Entscheidungsfindung sowie über deren Folgen Auskunft zu erteilen.
Der Auskunftsanspruch wird – wie auch bisher im BDSG a.F. – ergänzt durch einen
Anspruch auf Berichtigung unrichtiger und Vervollständigung unvollständiger
personenbezogener Daten gemäß Artikel 16 Satz 1 und Satz 2 DSGVO. Auch diese
Vorschrift gewährleistet einen angemessenen Schutz des Betroffenen vor der
Verarbeitung inhaltlich unzutreffender personenbezogener Daten und sichert die
Gewährleistung des Grundsatzes der Datenrichtigkeit i.S.d. Artikels 5 Abs. 1 d)
DSGVO.
Schließlich steht dem Betroffenen gemäß Artikel 17 Abs. 1 DSGVO ein Anspruch auf
Löschung personenbezogener Daten zu, wenn bestimmte in Artikel 17 Abs. 1 a) bis f)
DSGVO aufgelistete Voraussetzungen vorliegen. Nach Buchstabe d) besteht ein
Löschungsrecht, sofern die personenbezogenen Daten unrechtmäßig verarbeitet
wurden. Eine unrechtmäßige Verarbeitung liegt nicht nur bei einem Verstoß gegen
Artikel 6 Abs. 1 DSGVO, sondern auch gegen die allgemeinen Grundsätze der
Datenverarbeitung nach Artikel 5 Abs. 1 DSGVO vor (Urteil des Europäischen
Gerichtshofes vom 13. Mai 2014, Az. C -131/12, Google Spain). Daher besteht ein
Löschungsanspruch gemäß Artikel 17 Abs. 1 d) DSGVO auch bei einem Verstoß
gegen das Gebot der Datenrichtigkeit nach Artikel 5 Abs. 1 d) DSGVO.
In einem solchen Fall steht der betroffenen Person gemäß Artikel 18 Abs. 1 a) DSGVO
auch ein Recht auf Einschränkung der Verarbeitung zur Überprüfung der Richtigkeit
der Daten bei einem Bestreiten durch die betroffene Person zu. Das
Einschränkungsrecht gemäß Artikel 18 Abs. 1 DSGVO gibt der betroffenen Person
neben der Berichtigung und Löschung eine ergänzende Möglichkeit, Kontrolle über
ihre personenbezogenen Daten auszuüben. Artikel 18 Abs. 1 DSGVO gewährt in
Fällen, in denen die betroffene Person den Berichtigungsanspruch oder
Löschungsanspruch aufgrund von rechtlichen Prüfungen des Verantwortlichen noch
nicht durchsetzen kann, eine Art Eilrechtsschutz. Als Rechtsfolge dürfen die Daten
gemäß Artikel 18 Abs. 2 DSGVO nicht verarbeitet werden, soweit nicht einer der in
Artikel 18 Abs. 2 DSGVO aufgezählten Ausnahmetatbestände greift.
Das neue allgemeine Datenschutzrecht bestehend aus der DSGVO und dem BDSG
n.F. bietet dem Betroffenen im Ergebnis also ein der bisherigen Rechtslage zumindest
gleichwertiges Schutzniveau vor der Verarbeitung unrichtiger personenbezogener
Daten durch Auskunfteien. Die DSGVO führt das bisherige System des BDSG a.F.
fort, dem Betroffenen nur auf Anfrage einen Auskunftsanspruch – mit den
gegebenenfalls auf zweiter Stufe folgenden Ansprüchen auf Berichtigung, Löschung
oder Einschränkung der Verarbeitung – zu gewähren.
Der Ausschuss hebt hervor, dass die DSGVO dabei eine über das beschriebene
Schutzniveau hinausgehende regelmäßige automatisierte Information aller
betroffenen Personen über sie betreffende personenbezogene Daten nicht vorsieht.
Einerseits erscheint ein solcher Ansatz zudem unverhältnismäßig aufwändig und mit
Blick auf die umfassenden Schutzmechanismen der DSGVO i.V.m. dem BDSG n.F.
als zum Schutz der betroffenen Personen nicht erforderlich. Andererseits sieht die
DSGVO keinen Spielraum für den nationalen Gesetzgeber vor, im nationalen Recht
das Recht auf Information nach den Artikeln 13 und 14 DSGVO zu erweitern. Die
DSGVO erlaubt in Artikel 23 DSGVO keine Erweiterungen, sondern nur
Beschränkungen der Betroffenenrechte. Die Bundesregierung war in den
Verhandlungen erfolglos dafür eingetreten, die Betroffenenrechte auch durch
nationale Regelungen erweitern zu dürfen.
Abschließend stellt der Ausschuss fest, dass die Verwendung eines Scorings-Wertes,
der ausschließlich anhand von Anschriftendaten berechnet wurde („Geo-Scoring“),
unter Fortführung bisherigen Regelung des § 28b Nr. 3 BDSG a.F. gemäß § 31 Abs.
2 i.V.m. Abs. 1 Nr. 3 BDSG n.F. rechtswidrig ist. Gemäß § 31 Abs. 2 i.V.m. Abs. 1
Nr. 4 BDSG n.F. ist die Verwendung eines Scoring-Wertes, der mit Hilfe von
Anschriftendaten im Zusammenhang mit anderen Daten berechnet wurde, nur
zulässig, wenn die betroffene Person vor der Berechnung über die bevorstehende
Nutzung unterrichtet wurde und die Unterrichtung dokumentiert wurde. Dies entspricht
der Regelung des § 28b Nr. 4 BDSG a.F. Nach dem Dafürhalten des Ausschusses
besteht daher nach wie vor keine Gefahr der Beurteilung der Bonität von Verbrauchern
allein anhand ihrer Wohnlage.
Nach umfassender Prüfung der Sach- und Rechtslage vermag der Petitionsausschuss
daher aus den oben dargelegten Gründen keinen gesetzgeberischen
Handlungsbedarf zu erkennen.
Vor diesem Hintergrund empfiehlt der Petitionsausschuss im Ergebnis, das
Petitionsverfahren abzuschließen, weil dem Anliegen teilweise entsprochen worden
ist.
Der von den Fraktionen der FDP, DIE LINKE. und von BÜNDNIS 90/DIE GRÜNEN
gestellte Antrag, die Petition der Bundesregierung - dem Bundesministerium der Justiz
und für Verbraucherschutz und dem Bundesministerium des Innern, für Bau und
Heimat - als Material zu überweisen und den Fraktionen des Deutschen Bundestages
zur Kenntnis zu geben, ist mehrheitlich abgelehnt worden.
Begründung (PDF)