Datenschutzniveau erhalten | 02. Mai 2016

ÖFFNUNGSKLAUSELN
AUSSCHÖPFEN, NATIONALE
SPIELRÄUME NUTZEN
Erhalt des deutschen Datenschutzniveaus vor dem
Hintergrund der Datenschutz-Grundverordnung
02. Mai 2016
Impressum
Verbraucherzentrale
Bundesverband e.V.
Team
Digitales und Medien
Markgrafenstraße 66
10969 Berlin
[email protected]
Bundesverband der Verbraucherzentralen und Verbraucherverbände
Verbraucherzentrale Bundesverband e.V.
Verbraucherzentrale Bundesverband e.V.
2l6
Öffnungsklauseln
ausschöpfen, Nationale Spielräume nutzen
HINTERGRUND
Nach vierjähriger Verhandlung wurde die europäische Datenschutz-Grundverordnung
am 14. April 2016 durch das Europäische Parlament beschlossen. Zwanzig Tage nach
der Veröffentlichung im Amtsblatt der Europäischen Union wird die Verordnung in Kraft
treten. Ihre unmittelbare Anwendung in den Mitgliedstaaten beginnt zwei Jahre später,
also ab Frühsommer 2018. In der Zwischenzeit müssen die nationalen Rechtsvorschriften an die Regelungen der Datenschutz-Grundverordnung angepasst werden.
Aufgrund der Bundestagswahl im Herbst 2017 verfügt Deutschland jedoch über einen
weitaus geringeren Zeitrahmen für die Anpassungsgesetzgebung. Daher sieht die
Bundesregierung ein zweistufiges Verfahren vor. In der 18. Legislaturperiode soll die
Umsetzung zwingender Regelungsaufträge der Verordnung erfolgen, außerdem die
Umsetzung vorrangiger Handlungsoptionen, die die Verordnung eröffnet. Des Weiteren
muss eine umfassende Rechtsbereinigung durchgeführt werden. Weitere gesetzgeberische Vorhaben, insbesondere solche mit einem hohen Abstimmungsbedarf, sollen erst
in der 19. Legislaturperiode in Angriff genommen werden.
In der Vergangenheit hatte die Bundesregierung stets betont, dass das bestehende
deutsche Datenschutzniveau durch die Datenschutz-Grundverordnung nicht abgesenkt
werden dürfe. So äußerte sich Cornelia Rogall-Grothe, damalige Staatssekretärin im
Bundesministerium des Innern, zur Veröffentlichung der Studie "Scoring nach der
Datenschutz-Novelle 2009 und neue Entwicklungen" im Dezember des Jahres 2014
wie folgt:
"Wir verhandeln auf EU-Ebene gerade eine große Datenschutzreform. Dabei
befassen wir uns mit denselben Fragen, die auch die Studie aufgeworfen hat.
Wir haben in Deutschland für das Kreditscoring sehr viel speziellere Regelungen, als sie derzeit in der EU diskutiert werden. Das neue EU-Recht wird aber
das deutsche Recht ersetzen. Daher müssen wir darauf achten, dass wir unser
bisheriges Datenschutzniveau erhalten."1
Angesichts der nun vereinbarten Regelungen der Datenschutz-Grundverordnung
befürchtet der Verbraucherzentrale Bundesverband jedoch, dass es – besonders im
Bereich automatisierter Einzelfallentscheidungen/Profilbildung/Scoring – zu einer
solchen Absenkung des bisherigen Datenschutzniveaus kommen könnte. Um dem
entgegenzuwirken, müssen daher die Möglichkeiten, die die vorgesehenen
Öffnungsklauseln bieten, durch die Bundesregierung konsequent ausgeschöpft
sowie alle weiteren rechtlichen Spielräume genutzt werden. Insbesondere sollte
auch geprüft werden, ob bestimmte Regelungsinhalte des Bundesdatenschutzgesetzes als Regelungen in andere Gesetze mitaufgenommen werden könnten.
Aufgrund der Bundestagswahl besteht Zeitdruck und für die Bundesregierung ein
sehr knapper Zeitrahmen. Die Bundesregierung muss nun zeitnah gesetzliche Vorschläge machen, um sie in dieser Legislaturperiode verabschieden zu können.
___________________________________________________________________________________________
1
Pressemitteilung des Bundesministerium des Innern „Studie zum Scoring veröffentlicht“, 15.12.2014
https://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2014/12/studie-zum-scoring-veroeffentlicht.html
Verbraucherzentrale Bundesverband e.V.
Öffnungsklauseln
ausschöpfen, Nationale Spielräume nutzen
3l6
DIE REGELUNGEN ZU „AUTOMATISIERTEN
ENTSCHEIDUNGEN IM EINZELFALL“
Artikel 22 der Datenschutz-Grundverordnung regelt „Automatisierte Entscheidungen im
Einzelfall einschließlich Profiling“. Demnach haben Verbraucherinnen und Verbraucher2
das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden
Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet
oder sie in ähnlicher Weise erheblich beeinträchtigt3. Dies gilt nicht, wenn die Entscheidung für die Erfüllung eines Vertrags erforderlich ist oder sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten zulässig ist oder der Verbraucher ausdrücklich eingewilligt hat4.
Der Verbraucher hat ein Recht auf Erwirkung des Eingreifens einer Person seitens des
Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Sensitive Daten dürfen nur bei ausdrücklicher Einwilligung des Betroffenen
verarbeitet werden, oder wenn es entsprechende Rechtvorschriften gibt5.
Die Verordnung schreibt ferner vor, dass Unternehmen geeignete mathematische oder
statistische Verfahren verwenden und technische und organisatorische Maßnahmen treffen sollen, um das Risiko von Fehlern zu minimieren und Diskriminierungen aufgrund
von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung,
Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie
sexueller Orientierung zu verhindern6. Außerdem müssen Unternehmen auf automatisierte Einzelfallentscheidungen, ihre Logik sowie die Tragweite und die angestrebten
Auswirkungen hinweisen7.
ABSENKUNG DES DATENSCHUTZNIVEAUS BEFÜRCHTET
Es wird bereits an dieser Stelle deutlich, dass diese neuen Regelungen insgesamt sehr
breit und unbestimmt gefasst sind. Insbesondere im Vergleich zu den ausdifferenzierten Vorgaben zur Datenübermittlung an Auskunfteien sowie des Scorings8, die im Rahmen der Novelle I des Bundesdatenschutzgesetzes im Jahr 2009 eingeführt wurden,
bleibt die Datenschutz-Grundverordnung zurück. Dies soll im Folgenden an vier Beispielen verdeutlicht werden:
___________________________________________________________________________________________
2
Die gewählte männliche Form bezieht sich stets auf weibliche und männliche Personen. Wir bitten um Verständnis für
den weiteren Verzicht auf Doppelbezeichnungen zugunsten einer besseren Lesbarkeit des Textes.
3
Artikel 22 Absatz 1 DS-GVO
4
Artikel 22 Absatz 2 DS-GVO
5
Artikel 22 Absatz 3 sowie Absatz 4 DS-GVO
6
Erwägungsgrund 71 DS-GVO
7
Artikel 13 Absatz 2 Buchstabe f DS-GVO
8
§ 28a BDSG sowie § 28b BDSG
Verbraucherzentrale Bundesverband e.V.
4l6
Öffnungsklauseln
ausschöpfen, Nationale Spielräume nutzen
BEISPIEL 1: ÜBERMITTLUNG PERSONENBEZOGENER DATEN ÜBER
BESTRITTENE FORDERUNGEN AN AUSKUNFTEIEN
Künftig wäre es wieder möglich, dass auch bestrittene Forderungen an Auskunfteien
gemeldet werden und in die Score-Werte mit einfließen. Dies ist in Deutschland seit
dem Jahr 2010 verboten9. Denn finden bestrittene beziehungsweise bestreitbare Forderungen unrichtigerweise Eingang in den Datenbestand von Auskunfteien, können
Folgen wie beispielsweise das Sperren von Zahlungskarten und Versorgungsverträgen
drohen oder sogar das Scheitern einer laufenden Eigenheimfinanzierung.
Verbraucher müssen vor diesen negativen Konsequenzen bewahrt werden. Ebenfalls
muss unbedingt verhindert werden, dass Verbraucher nur aus Angst vor den oben
beschriebenen Auswirkungen gegenüber Forderungsgebern einlenken und die Forderung akzeptieren. Dies würde Anbietern einen Weg eröffnen, gegebenenfalls vorschnell
und ungeprüft auch fragwürdige Forderungen durchzusetzen, statt auf den Rechtsweg
angewiesen zu sein. Ferner würden betroffene Verbraucher gezwungen sein, sich
gegen eine behauptete Forderung gegebenenfalls sogar mit einer Vielzahl von einstweiligen Anordnungen gegen den Anbieter und alle in Betracht kommenden Auskunfteien wehren zu müssen, um irreversible Schäden von sich abzuhalten. Der Verbraucherzentrale Bundesverband hat erhebliche Zweifel, ob eine solche Situation mit dem
Grundgesetz vereinbar wäre.
BEISPIEL 2: SCORING ALLEINE AUF BASIS VON ANSCHRIFTENDATEN
In Zukunft könnte ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten
eines Verbrauchers ausschließlich auf Basis von Anschriftendaten berechnet werden.
Auch dies ist in Deutschland seit dem Jahr 2010 explizit verboten10. Denn zum einen ist
es fraglich, inwieweit alleine eine Anschrift tatsächlich ein bonitätsrelevantes Datum
darstellt. Angaben über die Wohnsituation einer Person müssen nicht zwingend mit
ihrer Bonität zusammenhängen und können leicht zu Fehlinterpretationen führen. Zum
anderen kann Scoring, das alleine auf Basis von Adressdaten durchgeführt wird, zu
einer strukturellen Ausgrenzung bestimmter Personengruppen führen. Die Bewohner
ganzer Straßenzüge könnten durch solche Praktiken vorverurteilt werden.
BEISPIEL 3: AUSKUNFTSRECHTE
Ebenfalls in der Novelle I des Bundesdatenschutzgesetzes wurden umfassende Auskunftsrechte für Verbraucher eingeführt, deren Daten zum Zwecke des Scorings oder
der geschäftsmäßigen Übermittlung verarbeitet werden11. Unter anderem müssen Auskunfteien Verbrauchern Auskunft über die Wahrscheinlichkeitswerte geben, die in den
vergangenen zwölf Monaten übermittelt wurden, die Wahrscheinlichkeitswerte zum
Zeitpunkt des Auskunftsverlangens, die zur Berechnung genutzten Datenkategorien
und das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte. Außerdem muss eine solche Auskunft einmal im Kalenderjahr unentgeltlich erfolgen. Entsprechende Vorgaben gibt es in der Datenschutz-Grundverordnung nicht. Ohne diese
Angaben läuft ein Auskunftsbegehren jedoch de facto inhaltlich ins Leere.
___________________________________________________________________________________________
9
§ 28a Absatz 1 Nummer 4 Buchstabe d BDSG
10
§ 28b Absatz 1 Nummer 3 BDSG
11
§ 34 Absätze 2 bis 5 sowie Absatz 8 BDSG
Verbraucherzentrale Bundesverband e.V.
Öffnungsklauseln
ausschöpfen, Nationale Spielräume nutzen
5l6
Darüber hinaus ist noch immer ein Verfahren beim Bundesverfassungsgericht anhängig12, in dessen Rahmen geklärt werden soll, ob Verbraucher über die bestehenden
Auskunftsrechte hinaus das Recht haben, eine exakte Erläuterung eines Scoring-Verfahrens zu erhalten, die es ihnen tatsächlich ermöglicht, die Rechtmäßigkeit des Verfahrens zu prüfen.
BEISPIEL 4: LÖSCHFRISTEN
Auskunfteien müssen jeweils am Ende des vierten – oder wenn es sich um Daten über
erledigte Sachverhalte handelt am Ende des dritten Kalenderjahres – überprüfen, ob es
noch länger erforderlich ist, die Daten zu speichern13. Ergibt die Prüfung, dass dies
nicht mehr notwendig ist, müssen die Daten gelöscht werden.
Eine solche Lösch- bzw. Überprüfungsfrist ist in der Datenschutz-Grundverordnung
nicht vorgesehen. Dies könnte dazu führen, dass in der Praxis keinerlei Überprüfung
vorgenommen wird, ob die Speicherung der Daten tatsächlich noch erforderlich ist,
selbst wenn es sich um bereits erledigte Sachverhalte handelt und diese Daten weiterhin in die Bonitätsbewertung mit einfließen.
Die Beispiele zeigen, dass das bisherige deutsche Daten- und Verbraucherschutzniveau im Bereich der automatisierten Einzelfallentscheidungen und des Scorings
durch die Datenschutz-Grundverordnung nicht beibehalten wird. Sollte der deutsche
Gesetzgeber dem nicht entgegen wirken, indem er vorhandene Öffnungsklauseln
der Verordnung ausgestaltet und alle weiteren rechtlichen Spielräume nutzt, würde
dies erneut zu jahrelangen Rechtsunsicherheiten für Verbraucher und Unternehmen
führen, die gerade im Jahr 2009 durch die Novelle des Bundesdatenschutzgesetztes
ausgeräumt wurden. Um dies zu verhindern, ist es unerlässlich, dass die Bundesregierung die Inhalte der Regelungen zur Übermittlung von Daten an Auskunfteien
und des Scorings noch in dieser Legislaturperiode gesetzlich absichert.
MÖGLICHE MASSNAHMEN
ÖFFNUNGSKLAUSEL ARTIKEL 6 ABSATZ 4 IN VERBINDUNG MIT ARTIKEL 23
ABSATZ 1 BUCHSTABE I14
Die Übermittlung von Daten an Auskunfteien nach § 28a BDSG kann im Sinne des Artikels 6 Absatz 4 der Verordnung als Änderung des Verarbeitungszwecks gewertet werden. Artikel 6 Absatz 4 ermöglicht es, nationale Rechtsvorschriften zu nicht kompatiblen Zweckänderungen zu erlassen, wenn diese „in einer demokratischen Gesellschaft
eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz
1 genannten Ziele“ darstellen. Als eines dieser Ziele wird in Artikel 23 Absatz 1 Buchstabe i der „Schutz der betroffenen Person oder der Rechte und Freiheiten anderer
Personen“ genannt.
Diese Voraussetzungen erfüllt § 28a BDSG, da er sowohl die Rechte der Verbraucher,
als auch die Rechte der Kreditwirtschaft schützt. Er regelt, unter welchen Bedingungen
___________________________________________________________________________________________
12
1 BvR 756/14
13
§ 35 Absatz 2 Nummer 4 BDSG
14
Artikel 6 DS-GVO „Rechtmäßigkeit der Verarbeitung“ sowie Artikel 23 DS-GVO „Beschränkungen“
Verbraucherzentrale Bundesverband e.V.
6l6
Öffnungsklauseln
ausschöpfen, Nationale Spielräume nutzen
personenbezogene Daten an Auskunfteien übermittelt werden dürfen und definiert
klare Einmeldekriterien, wie zum Beispiel das Verbot der Übermittlung von bestrittenen
Forderungen. Damit stellt er einen Ausgleich zwischen den schutzwürdigen Interessen
der Betroffenen und den Interessen der datenverbarbeitenden Stellen her.
Der Erhalt des § 28a BDSG könnte auf diese Öffnungsklausel gestützt und damit in seiner derzeitigen Form beibehalten werden. Diese Möglichkeit sollte von der Bundesregierung genutzt werden. Allerdings sollte diese Öffnungsklausel nur restriktiv in
Anspruch genommen werden, um nicht ein Einfallstor für eine Vielzahl von nationalen
Sonderregelungen für Zweckänderungen zu bilden.
ÖFFNUNGSKLAUSEL ARTIKEL 915 ABSATZ 2 BUCHSTABE A
Artikel 9 der Verordnung sieht vor, dass Mitgliedstaaten Vorschriften erlassen können,
nach denen das grundsätzliche Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten auch nicht durch die Einwilligung der betroffenen Person aufgehoben werden kann.
Mit einer entsprechenden Ausgestaltung dieser Öffnungsklausel ließe sich demnach
erreichen, dass Daten mit einer besonderen Sensitivität unter bestimmten Umständen
nicht mehr herangezogen werden dürften, um die Bonität eines Verbrauchers zu
bewerten oder ihn einer anderen Form des Scorings (beispielsweise Scoring im Versicherungswesen) zu unterwerfen.
ÖFFNUNGSKLAUSEL ARTIKEL 1716 ABSATZ 1 BUCHSTABE E
Nach Artikel 17 der Verordnung können Mitgliedstaaten rechtliche Verpflichtungen
erlassen, wonach Unternehmen bestimmte personenbezogene Daten löschen müssen.
Beispielsweise wäre es im Rahmen dieser Öffnungsklausel denkbar, nationale Regelungen zur Löschung von Daten bei Auskunfteien zu formulieren, beispielsweise indem
unter anderem etwa die Höchstspeicherdauer für erteilte Restschuldbefreiung nach
Insolvenz (aus Justizveröffentlichung nach 6 Monaten zu tilgen) auch allgemeinverbindlicher für Dritte angelegt wird.
NUTZUNG WEITERER RECHTLICHER SPIELRÄUME AUF NATIONALER EBENE
Die Regelungen zum Scoring im Bundesdatenschutzgesetz sind im Kern von ihrem
Regelungsinhalt her keine Datenschutzregelungen. Vielmehr handelt es sich um Regelungen des Verbraucherschutzes. Insofern ist es sinnvoll, diejenigen Scoring-Regelungen des Bundesdatenschutzgesetzes, die nicht durch die Datenschutz-Grundverordnung erfasst werden, in andere Regelungsbereiche und Gesetze außerhalb des Datenschutzrechts zu überführen.
Denkbar wären beispielsweise Regelungen im Zivil-, Vertrags- und Versicherungsrecht
sowie im Kreditwesengesetz in denen festgelegt wird, unter welchen Umständen
Scorewerte verwendet werden dürfen oder Vorgaben zur Sicherung der Datenqualität
gemacht werden („nur bestimmte Daten haben eine bonitätsrelevante Aussage und
dürfen für das Scoring verwendet werden“).
___________________________________________________________________________________________
15
Artikel 9 DS-GVO „Verarbeitung besonderer Kategorien personenbezogener Daten“
16
Artikel 17 DS-GVO „Recht auf Löschung ("Recht auf Vergessenwerden")“

Download Report