1.
Einleitung ^
Die Beurteilung der Kreditwürdigkeit bzw. des Kredit-Ausfalls-Risikos erfolgt heute i.d.R. durch Software, deren Komplexität und Leistungsfähigkeit in den letzten Jahren stetig zugenommen hat. Im Zuge von Kreditwürdigkeitsprüfungs-Verfahren1 erfolgt eine Analyse der wirtschaftlichen Lage Betroffener, um somit eine Aussage über ihre Kreditwürdigkeit treffen zu können und um in weiterer Folge die Ausfallswahrscheinlichkeit2 vorhersagen zu können. Es handelt sich dabei grundsätzlich um die Verarbeitung personenbezogener Daten, die alle einfachgesetzlichen und grundrechtlichen Anforderungen an die Zulässigkeit der Verarbeitung zu erfüllen hat. Besonders relevant bei solcherart automatisierten Verarbeitungen ist das Verbot automatisierter Einzelentscheidungen, das im Zentrum der nachfolgenden Ausführungen stehen wird. Es wurde bereits in Art. 15 der Richtlinie 95/46/EG (Datenschutz-Richtlinie; DSRL)3 normiert und die EU-Datenschutz-Grundverordnung (DSGVO)4 enthält nun etwas detailliertere Bestimmungen zu automatisierten Einzelentscheidungen bzw. zum «Profiling»5. Nachfolgend wird zunächst die geltende Rechtslage nach dem österreichischen Datenschutzgesetz 2000 (DSG 2000)6 auf Basis der DSRL beschrieben. Im Anschluss daran wird die künftige Rechtslage nach der DSGVO ausführlich dargestellt.
2.
Grundsätzliches Verbot automatisierter Einzelentscheidungen ^
In § 49 DSG 2000, welcher der deutschen Regelung in § 6a des deutschen Bundesdatenschutzgesetzes (BDSG)7 dem Grunde nach ähnlich ist und welcher auf Art. 15 DSRL basiert, ist ein grundsätzliches Verbot automatisierter Einzelentscheidungen normiert.8 Dabei verweist § 49 Abs. 1 DSG 2000 explizit auf das Verbot einer Entscheidung, auf Grundlage einer automationsunterstützten Verarbeitung zum Zwecke der Bewertung der Kreditwürdigkeit einer Person. Die Kriterien der rechtlichen Folgen bzw. erheblichen Beeinträchtigung sind bei Kreditwürdigkeitsprüfungs-Entscheidungen ebenfalls häufig erfüllt. Entscheidend ist, dass sich die Bestimmung nur auf ausschließlich automationsunterstützt getroffene Entscheidungen bezieht. Dies liegt nach herrschender Ansicht nur dann vor, «wenn das Ergebnis der Verarbeitung 1:1 als Entscheidung umgesetzt wird».9 Es handelt sich also dann nicht um eine – grundsätzlich unzulässige – automatisierte Entscheidung im Einzelfall, wenn ein menschlicher Akteur in nennenswertem Ausmaß in die Entscheidung eingebunden ist. Dies ist u.E. jedenfalls nicht schon dann der Fall, wenn ein Mensch das Ergebnis der automatisierten Verarbeitung bloß sichtet und übernimmt oder weiterkommuniziert.
Bestimmungen über zulässige Kreditwürdigkeitsprüfungs-Maßnahmen enthalten laut Dohr et al.10 die Regeln des Bankwesengesetzes11 für Kreditinstitute betreffend die Bonitätsbeurteilung ihrer Kreditnehmer und die gesamtheitliche Betrachtung ihrer Risikosituation. Es handle sich dabei um einen Fall der ausdrücklichen gesetzlichen Ermächtigung oder Verpflichtung zur Verwendung von Daten (§ 8 Abs. 1 Z 1 DSG 2000) und der Einsatz von Big Data-Verfahren zur Verarbeitung der personenbezogenen Daten der einzelnen Kreditnehmer sei grundsätzlich zulässig, um diese gesetzliche Verpflichtung bestmöglich zu erfüllen. Das Verbot automatisierter Einzelentscheidungen sei dabei allerdings zu beachten. Davon abweichend «darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn dies gesetzlich vorgesehen ist oder die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen des Betroffenen auf Abschluss oder Erfüllung des Vertrages stattgegeben wurde (Positives Ergebnis) oder die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen – beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen – garantiert wird.»12
3.1.
Kreditwürdigkeitsprüfung als Profiling i.S.d. Art. 22 DSGVO ^
Außerdem sind auch die in Art. 25 DSGVO neu eingeführten Prinzipien «Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen» zu beachten. Diese Bestimmung fordert vom Verantwortlichen, dass dieser «geeignete technische und organisatorische Maßnahmen trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen und die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.» Dies bedeutet vor allem, bereits bei der Gestaltung von Systemen dafür zu sorgen, dass diese von sich aus möglichst wenig in die Privatsphäre der Betroffenen eingreifen und Eingriffe, die für den Zweck des Systems nicht erforderlich sind, wenn möglich faktisch ausgeschlossen oder ansonsten in den Defaulteinstellungen deaktiviert sind.
3.2.
Zulässigkeit ^
Gem. Art. 22 Abs. 1 DSGVO hat eine betroffene Person «das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt». Davon ausgenommen ist eine solche Entscheidung, wenn sie «für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist»17 oder «aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten»18 oder wenn die Entscheidung «mit ausdrücklicher Einwilligung der betroffenen Person erfolgt»19. Jedoch dürfen Entscheidungen nach Abs. 2 «nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden»20.
Art. 22 DSGVO ist im Kern § 49 DSG 2000 sehr ähnlich. Beide Bestimmungen sehen auch die Ausnahme vor, dass eine rein automatisierte Entscheidung zulässig ist, wenn dafür eine gesetzliche Grundlage besteht (§ 49 Abs. 2 Z 1 DSG 2000 und Art. 22 Abs. 2 lit. b DSGVO). Sie unterscheiden sich jedoch darin, dass Art. 22 DSGVO im Vergleich zu § 49 DSG 2000 nicht zwischen positiven- und negativen Entscheidungen differenziert. Zu beachten ist die Einschränkung in Art. 22 Abs. 2 lit. b DSGVO, dass eine solche gesetzliche Grundlage «angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten» muss. Hierfür muss der Staat Regelungen schaffen, die für den Betroffenen ausreichend Maßnahmen zur Wahrung seiner Rechte vorsehen. Im Hinblick auf die Finanzwirtschaft wäre ein Platz für solche Regelungen etwa im Verbraucherkreditgesetz24 in einem Zusatzabsatz in § 7, welcher Kreditgeber verpflichtet, die Bonität von Kreditwerbern zu prüfen und dabei gegebenenfalls auch Datenbanken zu nützen.
3.3.
Transparenz ^
3.4.
Kreditwürdigkeitsprüfung unter Verwendung besonderer Kategorien von personenbezogenen Daten ^
4.
Conclusio ^
Rolf-Dieter Kargl, Researcher, LL.M (WU), Research Institute AG & Co KG – Zentrum für digitale Menschenrechte, Amundsenstraße 9, 1170 Wien, AT; rolf-dieter.kargl@researchinstitute.at, http://researchinstitute.at.
Walter Hötzendorfer, Senior Researcher, Dipl.-Ing. Dr. iur., Research Institute AG & Co KG – Zentrum für digitale Menschenrechte, Amundsenstraße 9, 1170 Wien, AT; walter.hoetzendorfer@researchinstitute.at, http://researchinstitute.at.
- 1 Oftmals auch als Scoring-Verfahren oder Bonitätsrating-Verfahren bezeichnet.
- 2 Ausfallwahrscheinlichkeit von ausständigen Forderungen gegenüber Kreditnehmern.
- 3 Richtlinie 95/46/EG des Europäisches Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 1995/281, 31.
- 4 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 2016/119, 1.
- 5 Gemäß Art. 4 Abs. 4 DSGVO ist «‹Profiling› jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen[.]» Darunter fallen auch Scoring Modelle zur Bewertung der Bonität von Kreditnehmern um in weiterer Folge die Ausfallswahrscheinlichkeit bestimmen zu können. Hierzu siehe Kapitel 2.1.
- 6 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I Nr. 165/1999, i.d.F. BGBl. I Nr. 132/2015.
- 7 Bundesdatenschutzgesetz vom 20. Dezember 1990, i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 25. Februar 2015 (BGBl. I S. 162) geändert worden ist.
- 8 § 49 Abs. 1 DSG 2000: «Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.»
- 9 Walter Dohr/Hans-Jürgen Pollirer/Ernst M. Weiss/Rainer Knyrim (Hrsg.), Kommentar Datenschutzrecht, 2. Auflage, Wien 2015 (zit.: Dohr/Pollirer/Weiss/Knyrim, DSG2), § 49 Anm. 5.
- 10 Dohr/Pollirer/Weiss/Knyrim, DSG2, § 6 Anm. 6, Exkurs: Big Data.
- 11 Bundesgesetz über das Bankwesen (Bankwesengesetz – BWG), BGBl. Nr. 532/1993, i.d.F. BGBl. I Nr. 50/2016. Hier ist auf die Umsetzung von Basel II in das österreichische BWG durch die §§ 22a f. zu verweisen.
- 12 § 49 Abs. 2 DSG 2000.
- 13 Nach Art. 4 Abs. 1 DSGVO sind «‹personenbezogene Daten› alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‹betroffene Person›) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann[.]»
- 14 Meike Kamp/Thilo Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD); Forschungsprojekt im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft (BMVEL) bzw. der Bundesanstalt für Landwirtschaft und Ernährung (BLE), 2005, Projekt-Nummer 04HS051.
- 15 http://www.duden.de/rechtschreibung/analysieren (alle Internetadressen zuletzt besucht am 17. August 2016).
- 16 Gerhard Strobl/Friedrich Hahn, Lehrgang für Finanzmarktaufseherinnen und -aufseher, Modul 1.07 Einführung Kreditgeschäft. Aufsichtsakademie der Finanzmarktaufsichtsbehörde und Österreichischen Nationalbank, Skriptum, September/Oktober 2010: Zusammenfassung aller Methoden, Prozesse, Kontrollen, Datenerhebungs- und Datenverarbeitungssysteme verstanden, die zur Beurteilung von Kreditrisiken, zur Zuordnung von Forderungen zu Risikoklassen sowie zur Quantifizierung von Ausfall- und Verlustschätzungen für bestimmte Forderungsarten, dienen.
- 17 Art. 22 Abs. 2 lit. a DSGVO.
- 18 Art. 22 Abs. 2 lit. b DSGVO.
- 19 Art. 22 Abs. 2 lit. c DSGVO.
- 20 Art. 22 Abs. 4 DSGVO, siehe auch ErwGr. 71: «Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat.»
- 21 Entspricht den «sensiblen Daten» gemäß § 4 Z 2 DSG 2000.
- 22 Art. 9 Abs. 2 lit. a DSGVO.
- 23 Art. 9 Abs. 2 lit. g DSGVO.
- 24 Bundesgesetz über Verbraucherkreditverträge und andere Formen der Kreditierung zu Gunsten von Verbrauchern (Verbraucherkreditgesetz – VKrG), BGBl. I Nr. 28/2010, i.d.F. BGBl. I Nr. 135/2015.
- 25 Demnach gilt das Verbot einer automatisierten Entscheidung dann nicht, wenn diese für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
- 26 Im vorliegenden Zusammenhang wären dies Fälle unsachgemäßer Ablehnung.
- 27 Verantwortlicher i.S.d. gem. Art. 4 Abs. 7 DSGVO ist «die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet».
- 28 Art. 22 Abs. 3 DSGVO.
- 29 «In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. [...] Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben.»
- 30 ErwGr. 60 zu Art. 5 DSGVO.
- 31 Studie der Bundesarbeitskammer in Kooperation mit dem Institut für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften (2014), https://media.arbeiterkammer.at/wien/PDF/studien/Credit_Scoring_2014.pdf.
- 32 ErwGr. 63 zu Art. 15 DSGVO.
- 33 ErwGr. 71 zu Art. 22 DSGVO.
- 34 Art. 9 Abs. 2 lit. a DSGVO.
- 35 Gem. Art. 68 Abs. 3 DSGVO besteht der Ausschuss aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten. Diesem Ausschuss, der bisher als «Artikel-29-Datenschutzgruppe» ausschließlich informelle Kompetenzen hatte, obliegt gemäß Art. 70 die Sicherstellung der einheitlichen Anwendung der Verordnung.
- 36 Siehe Art. 22 Abs. 2 lit. b DSGVO; vgl. dazu oben ausführlich unter Kapitel 3.2.