ÖFFNUNGSKLAUSELN AUSSCHÖPFEN, NATIONALE SPIELRÄUME NUTZEN Erhalt des deutschen Datenschutzniveaus vor dem Hintergrund der Datenschutz-Grundverordnung 02. Mai 2016 Impressum Verbraucherzentrale Bundesverband e.V. Team Digitales und Medien Markgrafenstraße 66 10969 Berlin [email protected] Bundesverband der Verbraucherzentralen und Verbraucherverbände Verbraucherzentrale Bundesverband e.V. Verbraucherzentrale Bundesverband e.V. 2l6 Öffnungsklauseln ausschöpfen, Nationale Spielräume nutzen HINTERGRUND Nach vierjähriger Verhandlung wurde die europäische Datenschutz-Grundverordnung am 14. April 2016 durch das Europäische Parlament beschlossen. Zwanzig Tage nach der Veröffentlichung im Amtsblatt der Europäischen Union wird die Verordnung in Kraft treten. Ihre unmittelbare Anwendung in den Mitgliedstaaten beginnt zwei Jahre später, also ab Frühsommer 2018. In der Zwischenzeit müssen die nationalen Rechtsvorschriften an die Regelungen der Datenschutz-Grundverordnung angepasst werden. Aufgrund der Bundestagswahl im Herbst 2017 verfügt Deutschland jedoch über einen weitaus geringeren Zeitrahmen für die Anpassungsgesetzgebung. Daher sieht die Bundesregierung ein zweistufiges Verfahren vor. In der 18. Legislaturperiode soll die Umsetzung zwingender Regelungsaufträge der Verordnung erfolgen, außerdem die Umsetzung vorrangiger Handlungsoptionen, die die Verordnung eröffnet. Des Weiteren muss eine umfassende Rechtsbereinigung durchgeführt werden. Weitere gesetzgeberische Vorhaben, insbesondere solche mit einem hohen Abstimmungsbedarf, sollen erst in der 19. Legislaturperiode in Angriff genommen werden. In der Vergangenheit hatte die Bundesregierung stets betont, dass das bestehende deutsche Datenschutzniveau durch die Datenschutz-Grundverordnung nicht abgesenkt werden dürfe. So äußerte sich Cornelia Rogall-Grothe, damalige Staatssekretärin im Bundesministerium des Innern, zur Veröffentlichung der Studie "Scoring nach der Datenschutz-Novelle 2009 und neue Entwicklungen" im Dezember des Jahres 2014 wie folgt: "Wir verhandeln auf EU-Ebene gerade eine große Datenschutzreform. Dabei befassen wir uns mit denselben Fragen, die auch die Studie aufgeworfen hat. Wir haben in Deutschland für das Kreditscoring sehr viel speziellere Regelungen, als sie derzeit in der EU diskutiert werden. Das neue EU-Recht wird aber das deutsche Recht ersetzen. Daher müssen wir darauf achten, dass wir unser bisheriges Datenschutzniveau erhalten."1 Angesichts der nun vereinbarten Regelungen der Datenschutz-Grundverordnung befürchtet der Verbraucherzentrale Bundesverband jedoch, dass es – besonders im Bereich automatisierter Einzelfallentscheidungen/Profilbildung/Scoring – zu einer solchen Absenkung des bisherigen Datenschutzniveaus kommen könnte. Um dem entgegenzuwirken, müssen daher die Möglichkeiten, die die vorgesehenen Öffnungsklauseln bieten, durch die Bundesregierung konsequent ausgeschöpft sowie alle weiteren rechtlichen Spielräume genutzt werden. Insbesondere sollte auch geprüft werden, ob bestimmte Regelungsinhalte des Bundesdatenschutzgesetzes als Regelungen in andere Gesetze mitaufgenommen werden könnten. Aufgrund der Bundestagswahl besteht Zeitdruck und für die Bundesregierung ein sehr knapper Zeitrahmen. Die Bundesregierung muss nun zeitnah gesetzliche Vorschläge machen, um sie in dieser Legislaturperiode verabschieden zu können. ___________________________________________________________________________________________ 1 Pressemitteilung des Bundesministerium des Innern „Studie zum Scoring veröffentlicht“, 15.12.2014 https://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2014/12/studie-zum-scoring-veroeffentlicht.html Verbraucherzentrale Bundesverband e.V. Öffnungsklauseln ausschöpfen, Nationale Spielräume nutzen 3l6 DIE REGELUNGEN ZU „AUTOMATISIERTEN ENTSCHEIDUNGEN IM EINZELFALL“ Artikel 22 der Datenschutz-Grundverordnung regelt „Automatisierte Entscheidungen im Einzelfall einschließlich Profiling“. Demnach haben Verbraucherinnen und Verbraucher2 das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt3. Dies gilt nicht, wenn die Entscheidung für die Erfüllung eines Vertrags erforderlich ist oder sie aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten zulässig ist oder der Verbraucher ausdrücklich eingewilligt hat4. Der Verbraucher hat ein Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung. Sensitive Daten dürfen nur bei ausdrücklicher Einwilligung des Betroffenen verarbeitet werden, oder wenn es entsprechende Rechtvorschriften gibt5. Die Verordnung schreibt ferner vor, dass Unternehmen geeignete mathematische oder statistische Verfahren verwenden und technische und organisatorische Maßnahmen treffen sollen, um das Risiko von Fehlern zu minimieren und Diskriminierungen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu verhindern6. Außerdem müssen Unternehmen auf automatisierte Einzelfallentscheidungen, ihre Logik sowie die Tragweite und die angestrebten Auswirkungen hinweisen7. ABSENKUNG DES DATENSCHUTZNIVEAUS BEFÜRCHTET Es wird bereits an dieser Stelle deutlich, dass diese neuen Regelungen insgesamt sehr breit und unbestimmt gefasst sind. Insbesondere im Vergleich zu den ausdifferenzierten Vorgaben zur Datenübermittlung an Auskunfteien sowie des Scorings8, die im Rahmen der Novelle I des Bundesdatenschutzgesetzes im Jahr 2009 eingeführt wurden, bleibt die Datenschutz-Grundverordnung zurück. Dies soll im Folgenden an vier Beispielen verdeutlicht werden: ___________________________________________________________________________________________ 2 Die gewählte männliche Form bezieht sich stets auf weibliche und männliche Personen. Wir bitten um Verständnis für den weiteren Verzicht auf Doppelbezeichnungen zugunsten einer besseren Lesbarkeit des Textes. 3 Artikel 22 Absatz 1 DS-GVO 4 Artikel 22 Absatz 2 DS-GVO 5 Artikel 22 Absatz 3 sowie Absatz 4 DS-GVO 6 Erwägungsgrund 71 DS-GVO 7 Artikel 13 Absatz 2 Buchstabe f DS-GVO 8 § 28a BDSG sowie § 28b BDSG Verbraucherzentrale Bundesverband e.V. 4l6 Öffnungsklauseln ausschöpfen, Nationale Spielräume nutzen BEISPIEL 1: ÜBERMITTLUNG PERSONENBEZOGENER DATEN ÜBER BESTRITTENE FORDERUNGEN AN AUSKUNFTEIEN Künftig wäre es wieder möglich, dass auch bestrittene Forderungen an Auskunfteien gemeldet werden und in die Score-Werte mit einfließen. Dies ist in Deutschland seit dem Jahr 2010 verboten9. Denn finden bestrittene beziehungsweise bestreitbare Forderungen unrichtigerweise Eingang in den Datenbestand von Auskunfteien, können Folgen wie beispielsweise das Sperren von Zahlungskarten und Versorgungsverträgen drohen oder sogar das Scheitern einer laufenden Eigenheimfinanzierung. Verbraucher müssen vor diesen negativen Konsequenzen bewahrt werden. Ebenfalls muss unbedingt verhindert werden, dass Verbraucher nur aus Angst vor den oben beschriebenen Auswirkungen gegenüber Forderungsgebern einlenken und die Forderung akzeptieren. Dies würde Anbietern einen Weg eröffnen, gegebenenfalls vorschnell und ungeprüft auch fragwürdige Forderungen durchzusetzen, statt auf den Rechtsweg angewiesen zu sein. Ferner würden betroffene Verbraucher gezwungen sein, sich gegen eine behauptete Forderung gegebenenfalls sogar mit einer Vielzahl von einstweiligen Anordnungen gegen den Anbieter und alle in Betracht kommenden Auskunfteien wehren zu müssen, um irreversible Schäden von sich abzuhalten. Der Verbraucherzentrale Bundesverband hat erhebliche Zweifel, ob eine solche Situation mit dem Grundgesetz vereinbar wäre. BEISPIEL 2: SCORING ALLEINE AUF BASIS VON ANSCHRIFTENDATEN In Zukunft könnte ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten eines Verbrauchers ausschließlich auf Basis von Anschriftendaten berechnet werden. Auch dies ist in Deutschland seit dem Jahr 2010 explizit verboten10. Denn zum einen ist es fraglich, inwieweit alleine eine Anschrift tatsächlich ein bonitätsrelevantes Datum darstellt. Angaben über die Wohnsituation einer Person müssen nicht zwingend mit ihrer Bonität zusammenhängen und können leicht zu Fehlinterpretationen führen. Zum anderen kann Scoring, das alleine auf Basis von Adressdaten durchgeführt wird, zu einer strukturellen Ausgrenzung bestimmter Personengruppen führen. Die Bewohner ganzer Straßenzüge könnten durch solche Praktiken vorverurteilt werden. BEISPIEL 3: AUSKUNFTSRECHTE Ebenfalls in der Novelle I des Bundesdatenschutzgesetzes wurden umfassende Auskunftsrechte für Verbraucher eingeführt, deren Daten zum Zwecke des Scorings oder der geschäftsmäßigen Übermittlung verarbeitet werden11. Unter anderem müssen Auskunfteien Verbrauchern Auskunft über die Wahrscheinlichkeitswerte geben, die in den vergangenen zwölf Monaten übermittelt wurden, die Wahrscheinlichkeitswerte zum Zeitpunkt des Auskunftsverlangens, die zur Berechnung genutzten Datenkategorien und das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte. Außerdem muss eine solche Auskunft einmal im Kalenderjahr unentgeltlich erfolgen. Entsprechende Vorgaben gibt es in der Datenschutz-Grundverordnung nicht. Ohne diese Angaben läuft ein Auskunftsbegehren jedoch de facto inhaltlich ins Leere. ___________________________________________________________________________________________ 9 § 28a Absatz 1 Nummer 4 Buchstabe d BDSG 10 § 28b Absatz 1 Nummer 3 BDSG 11 § 34 Absätze 2 bis 5 sowie Absatz 8 BDSG Verbraucherzentrale Bundesverband e.V. Öffnungsklauseln ausschöpfen, Nationale Spielräume nutzen 5l6 Darüber hinaus ist noch immer ein Verfahren beim Bundesverfassungsgericht anhängig12, in dessen Rahmen geklärt werden soll, ob Verbraucher über die bestehenden Auskunftsrechte hinaus das Recht haben, eine exakte Erläuterung eines Scoring-Verfahrens zu erhalten, die es ihnen tatsächlich ermöglicht, die Rechtmäßigkeit des Verfahrens zu prüfen. BEISPIEL 4: LÖSCHFRISTEN Auskunfteien müssen jeweils am Ende des vierten – oder wenn es sich um Daten über erledigte Sachverhalte handelt am Ende des dritten Kalenderjahres – überprüfen, ob es noch länger erforderlich ist, die Daten zu speichern13. Ergibt die Prüfung, dass dies nicht mehr notwendig ist, müssen die Daten gelöscht werden. Eine solche Lösch- bzw. Überprüfungsfrist ist in der Datenschutz-Grundverordnung nicht vorgesehen. Dies könnte dazu führen, dass in der Praxis keinerlei Überprüfung vorgenommen wird, ob die Speicherung der Daten tatsächlich noch erforderlich ist, selbst wenn es sich um bereits erledigte Sachverhalte handelt und diese Daten weiterhin in die Bonitätsbewertung mit einfließen. Die Beispiele zeigen, dass das bisherige deutsche Daten- und Verbraucherschutzniveau im Bereich der automatisierten Einzelfallentscheidungen und des Scorings durch die Datenschutz-Grundverordnung nicht beibehalten wird. Sollte der deutsche Gesetzgeber dem nicht entgegen wirken, indem er vorhandene Öffnungsklauseln der Verordnung ausgestaltet und alle weiteren rechtlichen Spielräume nutzt, würde dies erneut zu jahrelangen Rechtsunsicherheiten für Verbraucher und Unternehmen führen, die gerade im Jahr 2009 durch die Novelle des Bundesdatenschutzgesetztes ausgeräumt wurden. Um dies zu verhindern, ist es unerlässlich, dass die Bundesregierung die Inhalte der Regelungen zur Übermittlung von Daten an Auskunfteien und des Scorings noch in dieser Legislaturperiode gesetzlich absichert. MÖGLICHE MASSNAHMEN ÖFFNUNGSKLAUSEL ARTIKEL 6 ABSATZ 4 IN VERBINDUNG MIT ARTIKEL 23 ABSATZ 1 BUCHSTABE I14 Die Übermittlung von Daten an Auskunfteien nach § 28a BDSG kann im Sinne des Artikels 6 Absatz 4 der Verordnung als Änderung des Verarbeitungszwecks gewertet werden. Artikel 6 Absatz 4 ermöglicht es, nationale Rechtsvorschriften zu nicht kompatiblen Zweckänderungen zu erlassen, wenn diese „in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme zum Schutz der in Artikel 23 Absatz 1 genannten Ziele“ darstellen. Als eines dieser Ziele wird in Artikel 23 Absatz 1 Buchstabe i der „Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen“ genannt. Diese Voraussetzungen erfüllt § 28a BDSG, da er sowohl die Rechte der Verbraucher, als auch die Rechte der Kreditwirtschaft schützt. Er regelt, unter welchen Bedingungen ___________________________________________________________________________________________ 12 1 BvR 756/14 13 § 35 Absatz 2 Nummer 4 BDSG 14 Artikel 6 DS-GVO „Rechtmäßigkeit der Verarbeitung“ sowie Artikel 23 DS-GVO „Beschränkungen“ Verbraucherzentrale Bundesverband e.V. 6l6 Öffnungsklauseln ausschöpfen, Nationale Spielräume nutzen personenbezogene Daten an Auskunfteien übermittelt werden dürfen und definiert klare Einmeldekriterien, wie zum Beispiel das Verbot der Übermittlung von bestrittenen Forderungen. Damit stellt er einen Ausgleich zwischen den schutzwürdigen Interessen der Betroffenen und den Interessen der datenverbarbeitenden Stellen her. Der Erhalt des § 28a BDSG könnte auf diese Öffnungsklausel gestützt und damit in seiner derzeitigen Form beibehalten werden. Diese Möglichkeit sollte von der Bundesregierung genutzt werden. Allerdings sollte diese Öffnungsklausel nur restriktiv in Anspruch genommen werden, um nicht ein Einfallstor für eine Vielzahl von nationalen Sonderregelungen für Zweckänderungen zu bilden. ÖFFNUNGSKLAUSEL ARTIKEL 915 ABSATZ 2 BUCHSTABE A Artikel 9 der Verordnung sieht vor, dass Mitgliedstaaten Vorschriften erlassen können, nach denen das grundsätzliche Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten auch nicht durch die Einwilligung der betroffenen Person aufgehoben werden kann. Mit einer entsprechenden Ausgestaltung dieser Öffnungsklausel ließe sich demnach erreichen, dass Daten mit einer besonderen Sensitivität unter bestimmten Umständen nicht mehr herangezogen werden dürften, um die Bonität eines Verbrauchers zu bewerten oder ihn einer anderen Form des Scorings (beispielsweise Scoring im Versicherungswesen) zu unterwerfen. ÖFFNUNGSKLAUSEL ARTIKEL 1716 ABSATZ 1 BUCHSTABE E Nach Artikel 17 der Verordnung können Mitgliedstaaten rechtliche Verpflichtungen erlassen, wonach Unternehmen bestimmte personenbezogene Daten löschen müssen. Beispielsweise wäre es im Rahmen dieser Öffnungsklausel denkbar, nationale Regelungen zur Löschung von Daten bei Auskunfteien zu formulieren, beispielsweise indem unter anderem etwa die Höchstspeicherdauer für erteilte Restschuldbefreiung nach Insolvenz (aus Justizveröffentlichung nach 6 Monaten zu tilgen) auch allgemeinverbindlicher für Dritte angelegt wird. NUTZUNG WEITERER RECHTLICHER SPIELRÄUME AUF NATIONALER EBENE Die Regelungen zum Scoring im Bundesdatenschutzgesetz sind im Kern von ihrem Regelungsinhalt her keine Datenschutzregelungen. Vielmehr handelt es sich um Regelungen des Verbraucherschutzes. Insofern ist es sinnvoll, diejenigen Scoring-Regelungen des Bundesdatenschutzgesetzes, die nicht durch die Datenschutz-Grundverordnung erfasst werden, in andere Regelungsbereiche und Gesetze außerhalb des Datenschutzrechts zu überführen. Denkbar wären beispielsweise Regelungen im Zivil-, Vertrags- und Versicherungsrecht sowie im Kreditwesengesetz in denen festgelegt wird, unter welchen Umständen Scorewerte verwendet werden dürfen oder Vorgaben zur Sicherung der Datenqualität gemacht werden („nur bestimmte Daten haben eine bonitätsrelevante Aussage und dürfen für das Scoring verwendet werden“). ___________________________________________________________________________________________ 15 Artikel 9 DS-GVO „Verarbeitung besonderer Kategorien personenbezogener Daten“ 16 Artikel 17 DS-GVO „Recht auf Löschung ("Recht auf Vergessenwerden")“
© Copyright 2025 ExpyDoc