Jusletter IT

Bonität und Datenschutz – Aktuelle Entwicklungen in Österreich und Deutschland

  • Authors: Markus Kasteliz / Martin Leiter
  • Category: Short Articles
  • Region: Germany
  • Field of law: Data Protection
  • Collection: Conference proceedings IRIS 2010
  • Citation: Markus Kasteliz / Martin Leiter, Bonität und Datenschutz – Aktuelle Entwicklungen in Österreich und Deutschland, in: Jusletter IT 1 September 2010
Überblicksartig werden die Tätigkeit von Auskunfteien und damit in Zusammenhang stehende (datenschutz-)rechtliche Fragen zu Bonitätsdaten erörtert.

Inhaltsverzeichnis

  • 1. Überblick zu Auskunfteien: Rechtliche Rahmenbedingungen für Auskunfteien
  • 1.1. Vorbemerkungen: Entstehung und Tätigkeit von Auskunfteien
  • 1.2. Geschäftsentscheidung
  • 1.3. Rechtliche Rahmenbedingungen
  • 1.4. Auskunfteien und Scoring: BDSG-Novellen 2009 in der BRD19
  • 2. Aktuelle europäische Entwicklungen
  • 3. Betroffenenrechte und deren Handhabung nach der aktuellen Judikatur, insbesondere zu § 28 Abs 2 DSG 2000
  • 4. Fazit und Ausblick

1.

Überblick zu Auskunfteien: Rechtliche Rahmenbedingungen für Auskunfteien ^

1.1.

Vorbemerkungen: Entstehung und Tätigkeit von Auskunfteien ^

[1]

Auskunfteien1 geben potentiellen Kreditgebern vor allem Informationen darüber,

  • ob eine Person oder ein Unternehmen, die/das sich ihm gegenüber als (potentieller) Kunde geriert, überhaupt existieren2 und
  • ob der (zukünftige) Kreditnehmer imstande sein wird, die Verpflichtungen, die er einzugehen im Begriff ist, auch erfüllen können wird.
[2]

Im Bereich des Geschäftes zwischen Unternehmen gibt es diese Auskünfte, wenn auch zunächst nicht-institutionalisiert, bereits solange wie den Kredit selbst. In England und den USA entstanden «credit bureaus» bereits in der ersten Hälfte des 19. Jahrhunderts.3 Rechtshistorisch gesehen beginnt die (gewerberechtliche) Regulierung in Österreich mit der auf Basis der GewO 1859 (RGBl. 227 i.d.F. RGBl. 39/1883) erlassenen Verordnung vom 20.7.1885, RGBl. 116 über die Bindung des Betriebes von «Informationsbureaux zum Zwecke der Auskunftsertheilung über die Creditverhältnisse von Firmen» an eine Konzession (behördliche Genehmigung). Bereits mit Verordnung vom 6.7.1893, RGBl. 117 wurde die Beschränkung auf Firmen aufgehoben und auf Auskunftserteilung über die Kreditverhältnisse von Gewerbetreibenden, welche keine Firma führten, sowie anderen Personen erstreckt, sofern diese Auskünfte zu geschäftlichen Zwecken verlangt wurden.

[3]

Im Privatkunden- bzw. Verbrauchergeschäft war es über lange Zeit unüblich, dass Unternehmen in Vorleistung traten. Geliefert wurde gegen Vorauskasse oder Zug-um-Zug, allenfalls per Nachnahme. Vorreiter der Lieferung auf offene Rechnung war der Versandhandel, der in den Siebzigerjahren des letzten Jahrhunderts zur Finanzierung der Lieferungen sowohl Lieferung auf offene Rechnung als auch Ratenkredite angeboten hat – das zu einer Zeit, als es Privatkunden nahezu unmöglich war, bei einer Bank größere Kredite ohne die Bereitstellung dinglicher Sicherheiten zu erhalten. Nicht zuletzt deshalb ist der Wunsch, sich gegenseitig über schlechte private Zahler zu informieren und dadurch vor Zahlungsausfällen schützen, von dieser Branche ausgegangen.

[4]

In neuerer Zeit, wo eine Vielzahl von Branchen ihre Leistungen einer großen Anzahl von Kunden auf offene Rechnung anbietet (und diese Form der Bezahlung vom «Markt» auch erwartet wird), werden diese Informationen für einen großen Kreis von Unternehmen immer wichtiger. Vom Musikdownload um wenige Cent, der über die Handyrechnung bezahlt wird, bis zum Leasingauto um mehrere zehntausende Euro – in jedem dieser Fälle tritt der Kreditgeber gegenüber dem Kunden in Vorleistung. Hinzu kommt, dass die Gläubiger oftmals auch gleichzeitig Schuldner (z.B. aufgrund von Kreditaufnahmen zur Zwischenfinanzierung des Wareneinkaufes) sind, wobei die Geschäftsgebarung (und somit auch die Quote an Zahlungsausfällen) die eigene Bonität (und damit die Höhe des Zinssatzes) beeinflusst.

[5]

Gerade im Versandhandel waren die Kreditgeber neben der Überspannung der wirtschaftlichen Leistungsfähigkeit der Besteller (Zahlungsausfall aufgrund fehlender Mittel) mit einem massiven Betrugsproblem durch erfundene Identitäten und daraus resultierenden Zahlungsausfällen konfrontiert. Verschärft hat sich dieses Problem durch das Internet, das als Vertriebskanal massiv an Bedeutung gewonnen hat, gleichzeitig die Geschäftsbeziehungen «anonymer»4 gemacht hat: Hat ein Schuldner mit seinem richtigen Namen keine Lieferung mehr erhalten, weil er bereits auffällig geworden war, lag es oft nahe, durch kleine – die Postzustellung nicht verhindernde Namensvariationen – dennoch eine Lieferung zu erhalten. Durch weitere technische Entwicklungen war es in weiterer Folge möglich, nicht nur Informationen über schlechte Zahler zu sammeln, sondern generell auch die Existenz von Personen bestätigen zu können. Auskunfteien bieten daher ihren Kunden an, zunächst Auskunft darüber zu erteilen, ob es Personen überhaupt gibt. Hier ist darauf hinzuweisen, dass in Österreich die Abfrage des Zentralen Melderegisters (ZMR) zu diesem Zweck (Überprüfung der Identität des Geschäftspartners) nach § 16a Abs 5 MeldeG nicht statthaft ist – diese Norm gestattet nur Abfragen zur «erwerbsmäßigen Geltendmachung oder Durchsetzung von Rechten oder Ansprüchen».

[6]

Aus dieser unterschiedlichen Entwicklung einerseits, andererseits natürlich auch aus dem möglichen Schadenspotential erklärt es sich, dass zu Unternehmen und Privatpersonen in der Praxis unterschiedliche Informationen verfügbar sind:5 Während zu Unternehmen eine Vielzahl von wirtschaftlichen Kenngrößen (Bilanz, Mitarbeiteranzahl, u.v.m.) bekannt, teilweise ex lege allgemein verfügbar6 und als «Positivdaten»7 gespeichert sind, sind über Privatpersonen i.d.R. nur negative Zahlungserfahrungen («Negativdaten»)8 verfügbar.9 Andere Daten zu Privaten wie etwa wirtschaftliche Leistungsfähigkeit (Beruf, Ausbildung, Einkommen, Anzahl der Unterhaltspflichten, etc.) sind in der Praxis weder verfügbar, noch vom Kreditgeber angefragt.10

1.2.

Geschäftsentscheidung ^

[7]

Es muss in diesem Kontext darauf hingewiesen werden, dass die eigentliche Geschäftsentscheidung, das heißt ob und unter welchen Rahmenbedingungen eine Vertragsbeziehung mit dem Betroffenen zustande kommt, privatautonome Sache des Kreditgebers ist, der in der Regel keinem Kontrahierungszwang unterliegt. In den meisten Fällen ist durch eine negative Auskunfteiinformation der Geschäftsabschluss selbst nicht schon deshalb ausgeschlossen: In der Praxis werden dem potentiellen Kunden entweder andere Bezahlweisen angeboten (Voraus- oder Depotzahlung, Lieferung auf Nachnahme, Prepaid-Produkte) oder beim Geldkredit zusätzliche Informationen (z.B. Gehaltsbestätigung) oder Sicherheiten verlangt. Die oft geäußerte pauschale Aussage, jemand habe aufgrund einer Bonitätsauskunft eine bestimmte Ware oder Dienstleistung nicht erhalten, ist daher in dieser allgemeinen Form meist unrichtig.

1.3.

Rechtliche Rahmenbedingungen ^

[8]

Spricht man von rechtlichen Rahmenbedingungen für Auskunfteien, so ist zwischen der gewerberechtlichen und der datenschutzrechtlichen Seite zu unterscheiden.

[9]

Die geltende gewerberechtliche Rechtsgrundlage für das freie Gewerbe der «Auskunfteien über Kreditverhältnisse» in Österreich bildet § 152 GewO 1994. Diese sehr knapp gehaltene Norm verbietet Auskunfteien die «Erteilung von Auskünften über private Verhältnisse, die mit der Kreditwürdigkeit in keinem Zusammenhang stehen».11 E contrario kann daraus erschlossen werden, dass auch über «private Verhältnisse» Auskünfte erteilt werden dürfen, die eben schon mit der Kreditwürdigkeit in Zusammenhang stehen, d.h. zu deren Beurteilung (durch den Kunden der Auskunftei) geeignet sind. Jedenfalls beauskunftet werden dürfen nicht-private Verhältnisse, das heißt Umstände, die nicht mit dem Privatleben zusammenhängen. Besonders geschützt ist der höchstpersönliche Lebensbereich durch § 33 DSG 2000 (s.a. § 1328a ABGB), der einen Ersatz des immateriellen Schadens bei Eingriffen in den höchstpersönlichen Lebensbereich vorsieht. Nicht zum höchstpersönlichen Lebensbereich zählen aber insbesondere Vermögensverhältnisse und Angelegenheiten des Berufs- und Geschäftslebens.12

[10]

In Deutschland zählt das Gewerbe einer Auskunftei zu den überwachungsbedürftigen Gewerben (§ 38 Abs. 1 Z. 2 dGewO).13

[11]

Das DSG 2000 sieht vor, dass der Betrieb einer Datenanwendung, die «Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben», nur nach einer Vorabkontrolle der DSK aufgenommen werden darf. Die Genehmigung hat hier nur bei einem Nachweis ausreichender Rechtsgrundlagen erteilt zu werden (vgl. § 20 Abs 3 DSG 2000). Die DSK ist der Ansicht, «dass der Gesetzgeber in § 152 GewO 1994 von der grundsätzlichen Zulässigkeit dieser gewerblichen Tätigkeit ausgeht, sodass es zur Verarbeitung dieser Daten eine rechtliche Befugnis im Sinne des § 7 Abs. 1 DSG 2000 geben kann. Da die Ausübung dieser gewerblichen Tätigkeit ohne Sammlung, Aufbewahrung und Weitergabe von entsprechenden Daten nicht sinnvoll vorstellbar ist, muss auch angenommen werden, dass der Gesetzgeber in bestimmten Fallkategorien ein die Betroffeneninteressen überwiegendes berechtigtes Interesse dieser Gewerbetreibenden an einer Verwendung von Daten über «Kreditverhältnisse» im Sinn des § 1 Abs. 2 bzw. § 8 Abs. 1 Z 4 DSG 2000 als gegeben erachtete. Ein derartiges Interesse bzw. eine derartige Befugnis muss auch für die Kunden der Auskunfteien aber auch für die Datenlieferanten bestehen, da ansonsten die Gewerbeausübung unmöglich wäre. […]».14

[12]

Bei der Erhebung und Verwendung von Bonitätsdaten stützen sich die Auskunfteien in Österreich somit auf § 1 Abs. 1 letzter Satz DSG 2000,15 auf das – von der DSK grundsätzlich anerkannte – überwiegende berechtigte Interesse an einer Verwendung von Daten über Kreditverhältnisse i.S.d. § 1 Abs 2 bzw. § 8 Abs 1 Z 4 leg cit und (v.a. aber im Banken- und Finanzdienstleistungsbereich) auf die Zustimmung des Betroffenen (§ 4 Z. 14 DSG 2000).16 Auch in Deutschland stützten sich Auskunfteien und kreditgebende Unternehmen bisher (vor den BDSG-Novellen 2009, dazu 1.4.) auf die Generalklauseln §§ 28, 29 BDSG mit ihren Interessenabwägungen und auf die Einwilligung der Betroffenen.17

1.4.

Auskunfteien und Scoring: BDSG-Novellen 2009 in der BRD19 ^

[13]

Während in Österreich die DSG-Novelle 201018 keine speziell auf die Tätigkeit von Auskunfteien abstellenden Bestimmungen vorsieht, wurden in der BRD 2009 drei BDSG-Novellen19 beschlossen, wovon die BDSG-Novelle I (Inkrafttreten 1.4.2010) u.a. die Tätigkeit von Auskunfteien und das sog. Scoring betrifft, die Novelle III die Verbraucherkredit-RL umsetzt (§ 29 Abs. 6 und 7, grenzüberschreitende Bonitätsabfragen).20

[14]

Der neue § 28a BDSG regelt zukünftig explizit vor allem die Datenübermittlung von Negativdaten und Positivdaten an Auskunfteien,21 die Änderungen in § 29 leg. cit. erlauben (als komplementäre Regelung) die Speicherung, Verarbeitung und Nutzung der nach § 28a übermittelten Daten durch Auskunfteien.

[15]

Als Scoring wird ein mathematisch-statistisches Verfahren bezeichnet, mit dem aus Rohdaten ein bestimmter Wert errechnet wird, der aussagen soll, wie hoch das Risiko eines Zahlungsausfalles einer Person oder eines Unternehmens ist (Bonitätsrisiko). Während dieses Verfahren in Deutschland bereits zu umfangreichen Diskussionen und Stellungnahmen in der Literatur22 und von Datenschutzbehörden23 geführt hat, fehlt in Österreich derzeit – soweit ersichtlich – ein fundierter wissenschaftlicher Diskurs über dieses aktuelle Thema.24 Die Auseinandersetzung mit den Scoringverfahren in Deutschland führte nun dazu, dass eine eigene Bestimmung zur Verwendung von Scorewerten (§ 28b) eingeführt wird und gemäß § 34 neu BDSG Auskunfteien, die damit die Kreditwürdigkeit klassifizieren, künftig (ab 1.4.2010) u.a. offenlegen müssen, nach welchen Kriterien sie ihre Bewertungen vornehmen. Zudem wurde das Verbot der automatisierten Einzelentscheidung (§ 6a BDSG; in Österreich § 49 DSG;25 Art. 15 DS-RL), welchem gerade beim Scoring besondere Aufmerksamkeit zu schenken ist, konkretisiert.

2.

Aktuelle europäische Entwicklungen ^

[16]

Auf EU-Ebene wurde von der Kommission 2008 eine Expertengruppe für Kredithistorien eingesetzt,26 da der EU-weite Zugang zu Bonitätsinformationen über Verbraucher als wichtig für die Erreichung eines Kreditbinnenmarktes angesehen wird. Die Expertengruppe, zusammengesetzt aus 20 Vertretern der Kreditwirtschaft, Datenschutzbehörden, Verbraucherverbänden, Kreditauskunfteien und Nationalbanken, legte Mitte 2009 ihren Abschlussbericht vor.27

[17]

Der Austausch von Kreditdaten unter Kreditgebern ist laut diesem Bericht eine wichtige Komponente der Finanzinfrastruktur, die den Verbrauchern den Zugang zu Finanzierungsmitteln erleichtert. Die Nutzung von Kreditdaten zur Beurteilung der Bonität von Kreditnehmern trage demnach entscheidend dazu bei, die Qualität der Kreditportfolios zu verbessern und somit die Risiken der Kreditgeber zu verringern. Sie helfe den Kreditgebern außerdem, ihren Verpflichtungen in Bezug auf eine verantwortungsvolle Kreditvergabe nachzukommen. Allerdings könne die grenzübergreifende Kreditvergabe durch Unterschiede zwischen den nationalen Kreditmeldesystemen beeinträchtigt werden (siehe nur den unterschiedlichen Aufbau der Systeme im Endbericht, Annex 3).

[18]

In diesem Zusammenhang ist auf die bis 12.5.2010 in nationales Recht umzusetzende Verbraucherkredit-RL28 hinzuweisen, die in Art. 8 u.a. vorsieht, dass der Kreditgeber vor Vertragsabschluss die Kreditwürdigkeit des Kreditnehmers «erforderlichenfalls» mittels einer Datenbank überprüfen soll. Da Art. 9 der RL bei grenzüberschreitenden Krediten auch einen nicht-diskriminierenden Zugang für Kreditgeber aus anderen Mitgliedstaaten zu Bonitätsdatenbanken im jeweiligen Mitgliedsstaat vorsieht (siehe § 29 Abs. 6 und 7 BDSG), sind die ersten Voraussetzungen für eine Angleichung der Systeme gegeben. Darauf sollte u.E. eine zukünftige Überarbeitung der DS-RL Bedacht nehmen.

3.

Betroffenenrechte und deren Handhabung nach der aktuellen Judikatur, insbesondere zu § 28 Abs 2 DSG 2000 ^

[19]

Nach dem auch in der DS-RL vorgezeichneten System stellen die Betroffenenrechte (Art. 10 – 14; siehe den 5. Abschnitt des DSG 2000), ergänzt durch die Informationspflicht, ein stimmiges System dar. Zunächst soll der Betroffene davon informiert werden, dass überhaupt Daten über ihn gespeichert werden. Dabei handelt es sich nicht um ein Recht des Betroffenen, sondern um eine verwaltungsstrafrechtlich sanktionierte Verpflichtung des Datenverarbeiters. In diesem Zusammenhang ist auch die Verpflichtung der Datenverarbeiter zu sehen, ihre Anwendungen im Datenverarbeitungsregister (DVR) registrieren zu lassen. Das DVR ist ein öffentliches Register, nur in besonderen Fällen soll darüber hinaus der Betroffene selbst zu verständigen sein.

[20]

Dann soll der Betroffene kostengünstig (in Österreich im Allgemeinen unentgeltlich, § 26 Abs. 6 DSG 2000) auf sein Ersuchen Auskunft über gespeicherte Daten erhalten. Sind diese im Hinblick auf den Verwendungszweck unrichtig, so sind die Daten richtig zu stellen. Im Falle der rechtswidrigen Verarbeitung oder im Fall, dass die Daten nicht mehr benötigt werden, hat der Betroffene einen Anspruch auf Löschung. Um Betroffenen die Möglichkeit zu geben, dass besondere, in der Person des Betroffenen vorliegende Umstände zusätzlich in Betracht gezogen werden, kann er auch der Verarbeitung widersprechen und ebenfalls eine Löschung des Datensatzes erreichen (Art. 14 DS-RL).29

[21]

Erwähnenswert ist auch, dass die DS-RL generell bei der Datenverwendung von einer Interessenabwägung ausgeht (Art. 7 lit. f), eine Ausnahme dazu stellt die Möglichkeit dar, der Verwendung seiner Daten zu Marketingzwecken zu widersprechen (Art. 14 lit b).30 Einen darüber hinausgehenden Anspruch auf Löschung von richtigen und aussagekräftigen Informationen ohne jede Interessenabwägung sieht die DS-RL nicht vor, bei Konflikten zwischen Auftraggeber-31 und Betroffeneninteressen fordert auch § 1 Abs. 2 DSG 2000 eine Interessenabwägung.32

[22]

Über die Judikatur des OGH33 zur Anwendbarkeit des (begründungslosen) Widerspruches nach § 28 Abs. 2 DSG 200034 auf Auskunfteien (die angeblich öffentlich zugänglich seien) ist viel diskutiert worden.35

[23]

Wie gehen nun Auskunfteien damit um, wenn ein Betroffener von diesem Recht Gebrauch macht? In der Datenverarbeitung über Private, nur hier spielt dieses Recht in der Praxis auch eine Rolle, werden, wie schon oben dargelegt, neben den Identifikationsdaten (Name, Anschrift, Geburtsdatum) ausschließlich Daten über negative Zahlungserfahrungen, d.h. sogenannte «Negativdaten» verarbeitet. Da Auskunfteien schon aus Geschäftsinteressen höchst interessiert daran sind, nur richtige und aussagekräftige Daten zu verarbeiten, gibt es in der Praxis überwiegend eine Gruppe, der dieses «absolute Löschungsrecht» zu Gute kommt, nämlich den wirtschaftlich schwachen, ohnehin hoch belasteten Personen, denen es an der wirtschaftlichen Leistungsfähigkeit fehlt, weitere Kreditgeschäfte einzugehen.

[24]

Kreditgeber haben bereits in der Vergangenheit die Erfahrung gemacht, dass bei nicht identifizierten Antragstellern Vorsicht geboten ist: Im besten Fall handelt es sich um Personen, die ihren Namen geändert haben, im schlechtesten Fall um einen versuchten Betrug durch eine fingierte Identität. Manche Kreditgeber haben verschiedentlich bereits vor dieser oberstgerichtlichen Judikatur davon Abstand genommen, den nicht identifizierten Betroffenen auf Rechnung zu beliefern oder einen Kredit zu gewähren. Klarerweise hat sich seit der einschlägigen Judikatur die Anzahl der Löschungsbegehren erheblich erhöht. Damit ist die Anzahl der Kreditgeber, die nicht identifizierten Personen skeptisch gegenüber stehen, ebenfalls gestiegen.

[25]

Wie eben dargelegt, gehen DS-RL und DSG 2000 von der Löschung als «ultima ratio» des Schutzsystems aus: Mehr als löschen lassen kann sich der Betroffene nicht, insbesondere gibt es keinen Anspruch des Betroffenen auf die Speicherung bestimmter, ihm angenehmer Daten. Selbstverständlich steht es dem Betroffenen zu, nur die Löschung bestimmter Daten zu begehren. Ob sich der Auftraggeber an den Umfang des Löschungsbegehrens hält oder den Datensatz insgesamt (mit den Identifikationsdaten) löscht, bleibt ihm überlassen: Bereits der OGH hat in der Entscheidung 6 Ob 195/08g hinsichtlich der Verpflichtungen des beklagten Auftraggebers ausgesprochen, dass «diesen doch keine Pflicht [trifft], die um den vom Löschungsbegehren betroffenen Datensatz reduzierte Eintragung in seiner Datei zu belassen. »

[26]

Langt nun bei einer Auskunftei ein Löschungsbegehren ein, steht es dieser zu, den Eintrag zur Person vollständig zu entfernen und den (Teil-)Löschung begehrenden Betroffenen damit für den Kunden unidentifizierbar zu machen. Wird vollständig gelöscht, geschieht dies insbesondere auch im Interesse der Kunden der Auskunftei: Dieser möchte vor einem Risiko gewarnt und geschützt werden. Ob dieser Schutz durch Übermittlung richtiger, schwerwiegender Zahlungserfahrungsdaten oder durch Nichtidentifikation vonstattengeht, macht im Ergebnis keinen Unterschied.

4.

Fazit und Ausblick ^

[27]

Informationen über die wirtschaftliche Leistungsfähigkeit und das vergangene Zahlungsverhalten sind wirtschaftlich notwendig und werden aufgrund der rezenten wirtschaftlichen Entwicklungen weiter an Bedeutung gewinnen. Die derzeitige Rechtsprechung des OGH zum Widerspruchsrecht dient v.a. dem schlechtgläubigen Betroffenen, der die ihn betreffenden negativen Zahlungserfahrungen dem potentiellen Kreditgeber verheimlichen möchte.

[28]

Die einzelnen Behörden, die mit dieser Materie beschäftigt sind, erklären sich jeweils für unzuständig, wer nun für eine notwendige Reform der datenschutzrechtlichen Grundlagen zuständig wäre.36 Die Judikatur zu § 28 Abs. 2 DSG 2000 als einen Erfolg des Verbraucherschutzes zu feiern, wäre u.E. zu kurz gedacht und hieße, strukturelle Regulierungsdefizite im hier besprochenen Bereich auf die Betroffenen auszulagern. In diesem Zusammenhang ist daran zu erinnern, dass die Datenschutzgesetzgebung zu Auskunfteien in den USA (Fair Credit Reporting Act 1970) die (allgemeine) Datenschutzrechtsentwicklung in Europa mitbeeinflusst hat.37

[29]

Abschließend darf darauf hingewiesen werden, dass diese Situation nur Auskunfteien betrifft, die ihren Sitz in Österreich haben und dass Betroffenenrechte sich grundsätzlich nach dem Recht des Staates richten, in welchem der Auftraggeber seinen Sitz hat. Bedenkt man nun, dass die Datenübermittlung im europäischen Binnenmarkt genehmigungsfrei ist, was u.E. eine nicht zu unterschätzende Errungenschaft der geltenden DS-RL ist, liegt klar auf der Hand, dass die Fragen der Bonitätsinformation, ihrer Zulässigkeit und insbesondere der Betroffenenrechte einer europäischen, einheitlichen Regelung bedürfen.38



Markus Kastelitz, Wissenschaftlicher Mitarbeiter, Leibniz Universität Hannover, Institut für Rechtsinformatik (IRI)
Königsworther Platz 1, 30167 Hannover DE, kastelitz@iri.uni-hannover.de;www.iri.uni-hannover.de

Martin Leiter, Leiter der Rechtsabteilung, Deltavista GmbH
Diefenbachgasse 35, 1150 Wien AT, m.leiter@deltavista.com;www.deltavista.com

  1. 1 Es besteht keine einheitliche Terminologie, die Begriffe «Wirtschaftsauskunftei», «Bonitätsauskunftei», «Kreditauskunftei» werden überwiegend synonym verwendet. Die GewO 1994 spricht in § 152 von «Auskunfteien über Kreditverhältnisse». Mit «Kreditverhältnissen» sind Daten über Vermögensverhältnisse einschließlich Zahlungsfähigkeit bzw. -willigkeit eines Betroffenen («Bonitätsdaten») angesprochen, DSK 7.5.2007, K211.773/0009-DSK/2007; siehe auchDuschanek/Hierzenberger , Wirtschaftsauskunfteien und Datenschutz, inDuschanek (Gesamtred.), Datenschutz in der Wirtschaft, Signum Verlag, Wien, S. 177 f. (1981). Bei sog. «Warndateien» handelt es sich dagegen überwiegend um konzern- bzw. branchenweite Datenbanken, siehe als Beispiele die «Warnliste der österreichischen Kreditinstitute» und «Warnliste der österr. Versicherungsunternehmen betreffend Vermittlerverhalten». Für die BRD siehe z.B.Reif , Warnsysteme der Wirtschaft und Kundendatenschutz, RDV 2007, 4 mwN.
  2. 2 Wichtig ist in diesem Zusammenhang auch die Prüfung der Vertretungsbefugnis des auftretenden Organs.
  3. 3 Die offizielle Bezeichnung in den USA laut 15 U.S.C. § 1681a (f) Fair Credit Reporting Act 1970 ist «consumer reporting agency»; in Großbritannien «credit reference agency» gemäß Section 145 (8) Consumer Credit Act 1974. Zur Entwicklung allgemeinPeilert , Das Recht des Auskunftei- und Detekteigewerbes, Duncker & Humblot, Berlin, 102 ff (1996). Zur Praxis in den USA sieheHendricks , Credit Scores and Credit Reports, 2. Aufl., Privacy Times (2005).
  4. 4 VglDuschanek/Hierzenberger , Wirtschaftsauskunfteien und Datenschutz, inDuschanek (Gesamtred.), Datenschutz in der Wirtschaft, Signum Verlag, Wien, S. 176 (1981);Roßnagel , Die Novellen zum Datenschutzrecht – Scoring und Adresshandel, NJW 2009, 2716.
  5. 5 Siehe ausführlich zu den Datenquellen der dt. SCHUFAIna Becker , Datenschutzrechtliche Fragen des SCHUFA-Auskunftsverfahrens, Verlag Dr. Kovac, Hamburg, 28 ff. (2006).
  6. 6 Firmenbuch und Zentrales Gewerberegister; u.a. das UGB (§§ 277 ff) und das AktG (§§ 33, 251) sehen für Kapitalgesellschaften die Offenlegung bestimmter Kennzahlen bzw. der Bilanz vor.
  7. 7 Das sind über negative Zahlungserfahrungen hinausgehende Informationen.
  8. 8 Das sind Daten über nicht vertragskonforme Abwicklung eines Vertrages. Zur weiteren Unterteilung in «weiche» und «harte» Negativdaten siehe m.w.N.Iraschko-Luscher , Datenschutz beim Zahlungsverkehr, Datakontext, S. 27 ff (2008).
  9. 9 Eine Ausnahme dazu bildet in Österreich die sog. Kleinkreditevidenz (KKE), eine interne, nur für diese zugängliche Datenanwendung der Banken, Versicherungen und Leasingunternehmen in Form eines Informationsverbundsystems (§ 4 Z. 13 DSG 2000), welche alle – auch nicht notleidenden – Bankkredite umfasst, s.a. den Registrierungsbescheid der DSK 12.12.2007, K600.033-018/0002-DVR/2007. Zu Positivdaten in der BRD siehe z.B. Beschluss des Düsseldorfer Kreises, Erhebung von Positivdaten zu Privatpersonen bei Auskunfteien vom 19./20. April 2007.
  10. 10 Erwähnenswert ist auch, dass in Österreich der Zugang zum «Vollstreckungsverzeichnis» (Einsicht in die Geschäftsbehelfe des Exekutionsverfahrens) mit der Aufhebung von § 73a EO (ersatzlos) durch BGBl. I 30/2009 beseitigt wurde; siehe hingegen §§ 915 Abs 3 i.V.m. 915b Abs 1 dZPO (Zugang zu Schuldnerverzeichnis-Daten), dazu z.B.Zipperer , Private und behördliche Einsicht in Insolvenzakten - eine systematische Bestandsaufnahme, NZI 2002, 244.
  11. 11 Siehe dazu bereits die VO vom 6.7.1893, RGBl. 117: «[…] Dagegen sind diese Bureaux nicht befugt, Anfragen über Privatverhältnisse, welche mit der Kreditwürdigkeit in keinem Zusammenhange stehen, zu beantworten. […] »
  12. 12 Dohr/Pollirer/Weiss/Knyrim, DSG2, Manz, Wien, § 33 Anm. 4 (2002); a.A. bei existenzgefährdenden Eingriffen OGH 15.12.2005, 6 Ob 275/05t; RIS-Justiz RS0115216.
  13. 13 «Auskunftserteilung über Vermögensverhältnisse und persönliche Angelegenheiten (Auskunfteien, Detekteien)» .
  14. 14 DSK 7.5.2007, K211.773/0009-DSK/2007.
  15. 15 «Das Bestehen eines solchen (Anm. schutzwürdigen)Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind. »
  16. 16 Vgl. § 4a BDSG, dort «Einwilligung»; obwohl in Österreich ein (abgeschwächtes) Schriftformerfordernis nicht (mehr) existiert, ist bereits zu Beweiszwecken die Schriftform zu empfehlen. Beachte auch die hohen Anforderungen des OGH an wirksame Zustimmungen in AGB zur Datenverwendung unter Heranziehung des Transparenzgebotes (§ 6 Abs. 3 KSchG), OGH 15.12.2005, 6 Ob 275/05t; RIS-Justiz RS0115216.
  17. 17 Roßnagel , NJW 2009, 2716, siehe dort auch die Nachweise zur kritisierten «Freiwilligkeit» der Einwilligung bei der sog. «SCHUFA-Klausel» in FN 9; s.a. BVerfG, 1 BvR 2027/02 v. 23.10.2006;Hornung , Erweiterungen der SCHUFA-Klausel möglich? CR 2007, 753.
  18. 18 BGBl. I 133/2009.
  19. 19 BGBl. I Nr. 48 v. 31.7.2009, S. 2254 (siehe dazu BT-Drs. 16/13219, 16/10581, 16/10529); BGBl. I Nr. 54 v. 19.8.2009, S. 2814 (BT-Drs. 16/12011, 16/13657); BGBl. I Nr. 49 v. 3.8.2009, S. 2384 (BT-Drs. 16/11643).
  20. 20 BGBl. I Nr. 48 v. 31.7.2009, S. 2254 (BDSG-Novelle I); BGBl. I Nr. 49 v. 3.8.2009, S. 2384 (BDSG-Novelle III).
  21. 21 Siehe die bisher erschienene Literatur,Hoeren , Datenschutz und Scoring, Grundelemente der BDSG-Novelle I, VuR 2009, 363;Roßnagel , NJW 2009, 2716;Pauly/Ritzer , Datenschutz-Novellen: Herausforderungen für die Finanzbranche, WM 2010, 8.
  22. 22 Abel , Rechtsfragen von Scoring und Rating, RDV 2006,108;Möller/Florax , Datenschutzrechtliche Unbedenklichkeit des Scoring von Kreditrisiken? NJW 2003, 2724;Geis , Der Betroffene als Zahl - Wirtschaftsinteresse contra Betroffenenrechte, RDV 2007, 1;Petri , Sind Scorewerte rechtswidrig? DuD 2003, 631;Piltz/Holländer , Scoring als modernes Orakel von Delphi, ZRP 2008, 143;Wuermeling , Scoring von Kreditrisiken, NJW 2002, 3508;Weichert , Datenschutzrechtliche Anforderungen an Verbraucher-Kredit-Scoring, DuD 2005, 582 u.a.m.
  23. 23 Beschluss des Düsseldorfer Kreises zu Kreditscoring und Basel II vom 19./20. April 2007.
  24. 24 Siehe aber die DSK-Verfahren K121.348/0007-DSK/2008 (Beschwerde beim VwGH anhängig, 2008/17/0096); K121.313/0016-DSK/2007; K121.292/0011-DSK/2007 (Beschwerde beim VfGH anhängig, B 1994/07) und die parlamentarischen Anfragen 3742/J 23. GP; 3746/J 23. GP.
  25. 25 Siehe nunmehr die DSG-Novelle 2010, die § 49 Abs. 3 DSG einen Verweis auf § 26 Abs. 2 bis 10 anfügt (Erstreckung der Auskunftsrechts).
  26. 26 Beschluss vom 13.6.20082008/542/EG , ABI. L 173 vom 3.7.2008, 22.
  27. 27 http://ec.europa.eu/internal_market/consultations/docs/2009/credit_histories/egch_report_en.pdf (19.01.2010).
  28. 28 RL2008/48/EG vom 23.4.2008, ABl 2008 L 133, 66. Siehe die Umsetzung in der BRD mit BGBl. I Nr. 49 vom 3.8.2009, S. 2355; in Österreich liegt bisher nur ein Ministerialentwurf vor, 120/ME 24. GP.
  29. 29 Daraus kann der Umkehrschluss gezogen werden, dass die einer Datenverwendung zugrunde liegenden Interessen allgemein zu prüfen sind, das heißt auf typische Interessenkonstellationen und damit i.A.nicht auf den Einzelfall abzustellen ist. Eine Einzelfallprüfung hat auf Antrag des Betroffenen darüber hinaus dann stattzufinden, wenn er Einzelfallinteressen dartut (§ 28 Abs. 1 DSG 2000), die über die typischerweise vorliegenden Betroffeneninteressen hinausgehen. Anderes sehen das offenbar sowohl DSK (Empfehlung der DSK 7.5.2007, K211.773/0009-DSK/2007) und OGH (12.11.2009, 6 Ob 156/09y), die von einer Verpflichtung zur Prüfung der Interessen im Einzelfall auszugehen scheinen, die in dieser Form weder von der DS-RL noch im DSG 2000 vorgesehen ist.
  30. 30 Siehe dazu auch die Diskussion zur BDSG-Novelle II (BGBl. I Nr. 54 v. 19.8.2009, S. 2814),Hoeren , Die Vereinbarkeit der BDSG-Novellierungspläne mit der Europäischen Datenschutzrichtlinie, RDV 2009, 89 (91).
  31. 31 Im BDSG «Verantwortliche Stelle».
  32. 32 Knyrim , Widerspruch gegen die Datenverarbeitung in Wirtschaftsauskunfteien? ecolex 2008, 1060.
  33. 33 OGH 1.10.2008, 6 Ob 195/08g; jüngst 12.11.2009, 6 Ob 156/09y, dazuKastelitz/Leiter , jusIT 2010, Heft 1 (im Erscheinen).
  34. 34 «Gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei (Anm. nunmehr «Datenanwendung», siehe BGBl. I Nr. 133/2009)kann der Betroffene jederzeit auchohne Begründung seines Begehrens Widerspruch erheben. Die Daten sind binnen acht Wochen zu löschen .» Hervorhebung durch die Verfasser.
  35. 35 Dörfler , ecolex 2009, 636;Forgó/Kastelitz , jusIT 2009/11, 18;Jahnel , jusIT 2008/87, 184;Knyrim , ecolex 2008, 1060;Leissler , ecolex 2009, 181. Für deutsche Leser: das BDSG sieht eine ähnliche Norm (§ 29 Abs. 3) gegen die Verwendung von Daten vor.
  36. 36 Die DSK wies bereits in ihrem Jahresbericht 2007 auf die große Rechtsunsicherheit in diesem Bereich und das Erfordernis einer gesetzgeberischen Klarstellung hin,www.dsk.gv.at/DocView.axd?CobId=30637 . Das BMJ erteilte einer Änderung der geltenden Rechtslage anlässlich der Umsetzung der Verbraucherkredit-RL2008/48/EG (die in Art. 8 eine Verpflichtung zur Bewertung der Kreditwürdigkeit des Verbrauchers durch den Kreditgewährenden vorsieht, wozu «gegebenenfalls» auch einschlägige Datenbanken konsultiert werden sollen) im vorliegenden Ministerialentwurf eine Absage, siehe die Erläuterungen zu § 7 Verbraucherkreditgesetz-Entwurf, 120/ME 24. GP. Um eine angedachte GewO-Novelle ist es in letzter Zeit auch sehr still geworden.
  37. 37 Mallmann , Kreditauskunfteien und Datenschutz in den Vereinigten Staaten, inKilian/Lenk/Steinmüller (Hrsg.), Datenschutz, Juristische Grundsatzfragen beim Einsatz elektronischer Datenverarbeitungsanlagen in Wirtschaft und Verwaltung, Toeche-Mittler Verlag, Frankfurt/M., S. 311 ff (1973). S.a. die Erläuterungen zur Regierungsvorlage DSG 1978, ErlRV 72 BlgNR 14. GP 9.
  38. 38 Siehe zur weitergehenden Frage der Datenschutz-Harmonisierung durch die DS-RL u.a.Brühann , Mindeststandards oder Vollharmonisierung des Datenschutzes in der EG, EuZW 2009, 639 mwN;Rebhahn , Mitarbeiterkontrolle am Arbeitsplatz, Facultas Verlag, Wien, S. 19 (2009) und die dort in FN 35, 36 zitierte EuGH-Judikatur;Hoeren , Die Vereinbarkeit der BDSG-Novellierungspläne mit der Europäischen Datenschutzrichtlinie, RDV 2009, 89 (93 ff.).