Auskunfteien und andere Datensammler – was bringt die neue Datenschutzreform?
Zum 01.04. trat eine weitere Stufe der im Vorjahr beschlossenen Datenschutzreformen in Kraft. Seitdem werden datenschutzrechtliche Aspekte des Scorings und des Aggregierens von Daten bei Wirtschaftsauskunfteien neu geregelt.
Wirtschaftsauskunfteien hatten sich in den letzten Jahren zunehmend zu einem Problem für Datenschutz, Verbraucherschutz und Bürgerrechte entwickelt. Mit mehr oder weniger intransparenten Verfahren sammelten sie Daten unklarer Herkunft und Verlässlichkeit, um daraus Aussagen über die Bonität von Leuten zu treffen, mit denen sie sich niemals persönlich auseinandergesetzt hatten. So seriös sich Unternehmen wie die Schufa, Creditreform oder Bürgel in ihrer Öffentlichkeitsarbeit auch geben – letztlich handelt es sich um einen Graumarkt irgendwo zwischen Prostitution, Schmuggel und Kleindealerei.
Andererseits gibt es tatsächlich Geschäfte, die Vertrauen erfordern. Da aber Vertrauen erst im längerfristigen geschäftlichen Austausch entstehen kann, bieten die Wirtschaftsauskunfteien mit ihren Diensten eine Art „Methadon", also eine Ersatzdroge für fehlendes Vertrauen an. Und wie beim Dealer um die Ecke ist deren Wirksamkeit und Zusammensetzung ebenfalls Vertrauenssache …
Und so verwundert es nicht, dass die Änderungen im Bundesdatenschutzgesetz, Kritikern von Wirtschaftswillkür und Datenhehlerei nicht weit genug gehen, während Wirtschaftsverbände darin bereits den Gang an die Schmerzgrenze ihrer Klientel sehen.
Im Einzelnen haben sich folgende Dinge im Bundesdatenschutzgesetz verändert:
Wirtschaftsauskunfteien und Datensammeldienste
Grundsätzlich ist es Auskunfteien auch weiterhin erlaubt, Daten zu sammeln und daraus im Auftrag Dritter Schlüsse über die Bonität von Unternehmen und Verbrauchern zu ziehen. Sie müssen es jetzt aber in einem insgesamt geregelteren und transparenteren Rahmen tun.
Schon bisher konnten Unternehmen (also Auskunfteien ebenso wie alle anderen Firmen) sogenannten Negativdaten sammeln und für geschäftliche Entscheidungen verwenden. Also Daten zu Problemen bei der Bezahlung von Rechnungen und sonstigen Zahlungsverpflichtungen. Dafür gibt es jetzt mit dem § 28a BDSG sogar eine Rechtsgrundlage.
Wenn demnach eine der folgenden Forderungen nicht bezahlt, muss grundsätzlich damit rechnen, dass ihn sein Vertragspartner als säumigen Schuldner an eine Auskunftei meldet:
- Forderungen, die durch rechtskräftige Urteile festgestellt worden sind
- Forderungen im Rahmen von Insolvenzverfahren
- ausdrücklich anerkannte Forderungen
- Jede Art der Forderung, die mindestens zweimal schriftlich gemahnt wurde, auf die per Einmeldung hingewiesen wurde und die vom Schuldner nicht bestritten wurde.
- Jede Art von Forderung, die einen Vertragspartner zur fristlosen Kündigung berechtigt und zu der der Schuldner vorher über die Einmeldung bei einer Auskunftei informiert wurde.
Wer bereits Erfahrung mit den größtenteils automatisierten Bestellabwicklungs-, Reklamations- und Kundenservice-Prozessen großer Konzerne hat, weiß wie oft da heute schon etwas schiefgeht. Und das Einwände da oft erst dann ernstgenommen werden, wenn sie statt vom Betroffenen von einer Anwaltskanzlei, einer Behörde oder der Presse kommen.
(die Rubrik „Vorsicht Kunde" in der ct‘ ist da eine regelmäßige Quelle teilweise haarsträubender Vorkommnisse aus dem Reich des automatisierten Servicemanagements)
Es bleibt abzuwarten, in wie weit die Folgen allgemeiner Datenschlamperei im Zusammenhang mit dieser Rechtsnorm zu Prozessen führen werden.
Weiterhin dürfen Auskunfteien von Kreditinstituten Informationen wie etwa Angaben über Girokonten mit Disporahmen, laufende Kredite, beantragte Hypotheken oder andere Bankgeschäfte erhalten. Damit entfällt die bislang eher formell erhobene „Schufa-Klausel", deren Freiwilligkeit schon länger kritisch hinterfragt wurde, da ihre Streichung i.d.R. die Ablehnung der jeweiligen Vertragsleistung zur Folge hatte. Auch dafür gibt es jetzt mit dem § 28a Satz 2 BDSG eine Rechtsnorm im Interesse der Wirtschaft.
Telekommunikationsdienstleister und andere Unternehmen werden sich aber auch künftig z.B. bei Handyverträgen oder der Bezahlung per EC-Karte eine solche „freiwillige" Klausel vom Kunden unterschreiben lassen, da sie von der gesetzlichen Neuregelung nicht erfasst werden.
Scoring
Zu den umstrittensten Formen der Datennutzung der Auskunfteien zählt das Scoring, d.h. das Verdichten von komplexen Datensätzen zu einer einzigen Kennzahl, die als Vergleichsmaßstab z.B. für die Bonität oder eine andere Eigenschaft eines Kunden in Relation zum Durchschnitt der erfassten Datensätze dienen soll. Die dazu verwendeten Verfahren wurden bisher strikt geheimgehalten und beruhten oftmals aus einer wirren Mischung aus Wirtschaftsesoterik, Diskriminierung und Business Intelligence. Die zunehmend härter werdende Rechtsprechung zum Thema Schutz vor Rassismus, Sexismus, Ausschluss von sozialer Teilhabe und anderer Formen von Diskriminierung durch Wirtschaftswillkür lies hier eine Reform zunehmend unausweichlich werden.
Und so müssen Scoring-Verfahren nun wenn schon nicht der Allgemeinheit, so doch gegenüber den Aufsichtsbehörden offen gelegt werden. Die Seriosität von Scorewerten muss wissenschaftlich nachgewiesen worden sein (eben durch Offenlegung und Prüfung des Verfahrens). Die Berechnung von Scorewerten hat dem Prinzip der Datensparsamkeit zu genügen, d.h. es darf nicht automatisch der ganzen Datenbestand zugrunde gelegt werden. Ein Scorewert darf nicht überwiegend auf der Grundlage von Anschriftendaten ermittelt werden (Einschränkung des besonders umstrittenen Geoscorings). Wenn Anschriftendaten für Scoringzwecke verwendet werden, muss der Betroffene hierüber vorher unterrichtet worden sein. Geregelt ist das im § 28b BDSG.
Recht auf kostenlose Selbstauskunft
Um die Geschäfte der professionellen Datensammler für Verbraucher transparenter zu gestalten, wurden die datenschutzrechtlichen Auskunftsrechte ausgeweitet. Schon bislang konnte jeder nach § 34 BDSG Firmen und Auskunfteien dazu auffordern, Auskunft darüber zu geben welche personenbezogenen sie über den Auskunftsberechtigten gespeichert hat, welche Scorewerte zur Person des Auskunftsberechtigten gespeichert sind, woher man die Daten bekommen hat, an wen man diese Daten weitergegeben hat (mit Name und Adresse).
Neu sind dagegen im § 34 diese Verbesserungen:
Gegenüber Auskunfteien hat jetzt jeder das Recht, auch die Herkunft seiner Daten zu erfahren. Wer also die Daten an die Auskunftei übermittelt hat. Dies ist wichtig, um z.B. klären zu können, wer für falsch weitergegebene Daten haftet, da auf der Grundlage solcher Datenbestände oftmals existenzielle Entscheidungen getroffen werden. Eine wirksame (und hoffentlich auch ein paarmal spektakulär ausgeurteilte) Schadensersatzpflicht birgt für die Unternehmen ein Risiko, dass sie zu sorgfältigerem und kundenfreundlicheren Arbeiten ermahnen wird.
Hinzu kommt ein Anspruch darauf zu erfahren, welche Scorewerte an wen innerhalb der letzten 12 Monate übermittelt wurden. Werden geschäftsrelevante Entscheidungen basierend auf Scorewerten getroffen, so muss künftig der jeweilige Geschäftspartner diesen konkreten Scorewert mitteilen und ihn auch verständlich, einzelfallbezogen und nachvollziehbar erläutern. Da diese Verpflichtung nicht nur die Auskunfteien selbst sondern auch jeden treffen, der ihre Dienste nutzt, werden Unternehmen es sich künftig nicht mehr so einfach machen können, wenn sie Scoring nutzen. Sie müssen sich nach außen transparent machen und ihre Entscheidungen in größerem Umfange offen legen, als sie das bislang taten. Daher richteten sich die Beschwerden der Wirtschaftslobbyisten im Vorfeld der Beratungen der Datenschutzreform gegen diese verbraucherfreundlichen Neuerungen.
Manches Unternehmen pflegten bisher Auskünfte an Verbraucher durch schikanöse Gebühren abzuwehren. Das geht jetzt nicht mehr. Einmal jährlich (pro Unternehmen) kann nun jeder unentgeltlich Auskunft darüber fordern, was dort über ihn gespeichert wurde. Für häufigere Auskünfte kann ein Kostenersatz verlangt werden.
Das eröffnet allerdings durchaus auch die Möglichkeit besonders hungrigen Datenkraken jährlich durch koordinierte Massenanfragen Tausender oder gar Zehntausender Leute nach dem Stand ihrer dort gespeicherten Daten aufgrund des Arbeitsaufwandes den Appetit zu verderben. Wenn das allein alle Mitglieder des Chaos Computer Clubs, des Foebud oder des Arbeitskreises Vorratsdatenspeicherung regelmäßig täten, käme da schon was zusammen…
Verfasst von Guido Strunck, Betreiber des Fachblogs http://itsicherheit.wordpress.com/, beruflich tätig als IT-Koordinator und Spezialist für Softwarequalität.
Kontakt: http://www.guidostrunck.de/oder per Mail: Guido.Strunck@gmx.net
Keine Kommentare vorhanden