Jusletter IT

Kreditwürdigkeitsprüfung und Rechtsentwicklung des Datenschutzes

Unter besonderer Berücksichtigung der EU-Datenschutz-Grundverordnung

  • Authors: Rolf-Dieter Kargl / Walter Hötzendorfer
  • Category: Articles
  • Region: Austria
  • Field of law: Data Protection
  • Citation: Rolf-Dieter Kargl / Walter Hötzendorfer, Kreditwürdigkeitsprüfung und Rechtsentwicklung des Datenschutzes, in: Jusletter IT 22 September 2016
The processing of personal data for the purpose of assessing the creditworthiness and the credit default risk affects consumers in particular. At the same time, the technological development in recent years has produced a large number of powerful tools that perform extensive automation of data collection and analysis which led to an enormous increase in risks for a various number of people. The EU General Data Protection Regulation brought a single scheme for automated individual decision-making (profiling). The article is intended to take account of the current legal situation in Austria under a legal development perspective (EU General Data Protection Regulation).

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Grundsätzliches Verbot automatisierter Einzelentscheidungen
  • 3. Kreditwürdigkeitsprüfung nach der DSGVO
  • 3.1. Kreditwürdigkeitsprüfung als Profiling i.S.d. Art. 22 DSGVO
  • 3.2. Zulässigkeit
  • 3.3. Transparenz
  • 3.4. Kreditwürdigkeitsprüfung unter Verwendung besonderer Kategorien von personenbezogenen Daten
  • 4. Conclusio

1.

Einleitung ^

[1]

Die Beurteilung der Kreditwürdigkeit bzw. des Kredit-Ausfalls-Risikos erfolgt heute i.d.R. durch Software, deren Komplexität und Leistungsfähigkeit in den letzten Jahren stetig zugenommen hat. Im Zuge von Kreditwürdigkeitsprüfungs-Verfahren1 erfolgt eine Analyse der wirtschaftlichen Lage Betroffener, um somit eine Aussage über ihre Kreditwürdigkeit treffen zu können und um in weiterer Folge die Ausfallswahrscheinlichkeit2 vorhersagen zu können. Es handelt sich dabei grundsätzlich um die Verarbeitung personenbezogener Daten, die alle einfachgesetzlichen und grundrechtlichen Anforderungen an die Zulässigkeit der Verarbeitung zu erfüllen hat. Besonders relevant bei solcherart automatisierten Verarbeitungen ist das Verbot automatisierter Einzelentscheidungen, das im Zentrum der nachfolgenden Ausführungen stehen wird. Es wurde bereits in Art. 15 der Richtlinie 95/46/EG (Datenschutz-Richtlinie; DSRL)3 normiert und die EU-Datenschutz-Grundverordnung (DSGVO)4 enthält nun etwas detailliertere Bestimmungen zu automatisierten Einzelentscheidungen bzw. zum «Profiling»5. Nachfolgend wird zunächst die geltende Rechtslage nach dem österreichischen Datenschutzgesetz 2000 (DSG 2000)6 auf Basis der DSRL beschrieben. Im Anschluss daran wird die künftige Rechtslage nach der DSGVO ausführlich dargestellt.

2.

Grundsätzliches Verbot automatisierter Einzelentscheidungen ^

[2]

In § 49 DSG 2000, welcher der deutschen Regelung in § 6a des deutschen Bundesdatenschutzgesetzes (BDSG)7 dem Grunde nach ähnlich ist und welcher auf Art. 15 DSRL basiert, ist ein grundsätzliches Verbot automatisierter Einzelentscheidungen normiert.8 Dabei verweist § 49 Abs. 1 DSG 2000 explizit auf das Verbot einer Entscheidung, auf Grundlage einer automationsunterstützten Verarbeitung zum Zwecke der Bewertung der Kreditwürdigkeit einer Person. Die Kriterien der rechtlichen Folgen bzw. erheblichen Beeinträchtigung sind bei Kreditwürdigkeitsprüfungs-Entscheidungen ebenfalls häufig erfüllt. Entscheidend ist, dass sich die Bestimmung nur auf ausschließlich automationsunterstützt getroffene Entscheidungen bezieht. Dies liegt nach herrschender Ansicht nur dann vor, «wenn das Ergebnis der Verarbeitung 1:1 als Entscheidung umgesetzt wird».9 Es handelt sich also dann nicht um eine – grundsätzlich unzulässige – automatisierte Entscheidung im Einzelfall, wenn ein menschlicher Akteur in nennenswertem Ausmaß in die Entscheidung eingebunden ist. Dies ist u.E. jedenfalls nicht schon dann der Fall, wenn ein Mensch das Ergebnis der automatisierten Verarbeitung bloß sichtet und übernimmt oder weiterkommuniziert.

[3]

Bestimmungen über zulässige Kreditwürdigkeitsprüfungs-Maßnahmen enthalten laut Dohr et al.10 die Regeln des Bankwesengesetzes11 für Kreditinstitute betreffend die Bonitätsbeurteilung ihrer Kreditnehmer und die gesamtheitliche Betrachtung ihrer Risikosituation. Es handle sich dabei um einen Fall der ausdrücklichen gesetzlichen Ermächtigung oder Verpflichtung zur Verwendung von Daten (§ 8 Abs. 1 Z 1 DSG 2000) und der Einsatz von Big Data-Verfahren zur Verarbeitung der personenbezogenen Daten der einzelnen Kreditnehmer sei grundsätzlich zulässig, um diese gesetzliche Verpflichtung bestmöglich zu erfüllen. Das Verbot automatisierter Einzelentscheidungen sei dabei allerdings zu beachten. Davon abweichend «darf eine Person einer ausschließlich automationsunterstützt erzeugten Entscheidung unterworfen werden, wenn dies gesetzlich vorgesehen ist oder die Entscheidung im Rahmen des Abschlusses oder der Erfüllung eines Vertrages ergeht und dem Ersuchen des Betroffenen auf Abschluss oder Erfüllung des Vertrages stattgegeben wurde (Positives Ergebnis) oder die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen – beispielsweise die Möglichkeit, seinen Standpunkt geltend zu machen – garantiert wird12

[4]
Im Ergebnis dürfen Personen bei positivem Entscheid einer automatisierten Einzelentscheidung unterworfen werden. Sollte der Entscheid negativ ausfallen, muss ihm, damit der Schutz des Betroffenen gewahrt werden kann, die Möglichkeit der Vorbringung seiner Argumente gegeben werden. Dies stellt auch die gängige Praxis dar. Die bisherige Rechtslage und Praxis ist hier vor allem deshalb kritisch zu sehen, weil damit die Zulässigkeit der automatisierten Datenverarbeitung letztlich vom Ergebnis derselben abhängig gemacht wird und damit eigentlich ein Zirkelschluss entsteht. Die Rechtfertigung für eine bestimmte Form der Datenverarbeitung sollte aber von vornherein klar feststehen, Regelungen für eine allfällige weitere Verwendung der Ergebnisse der Datenverarbeitung sind von der grundlegenden Rechtfertigung der Verarbeitung selbst zu unterscheiden.

3.

Kreditwürdigkeitsprüfung nach der DSGVO ^

3.1.

Kreditwürdigkeitsprüfung als Profiling i.S.d. Art. 22 DSGVO ^

[5]
Kreditwürdigkeitsprüfungen sind unter die Legaldefinition des Profiling zu subsumieren, da personenbezogene Daten13 automatisiert verarbeitet werden, um die wirtschaftliche Lage der betroffenen Personen zu analysieren und somit eine Aussage über ihre Kreditwürdigkeit treffen zu können, auf deren Basis in weiterer Folge die Ausfallswahrscheinlichkeit prognostiziert werden kann. Die wirtschaftliche Lage wird dabei explizit in Art. 4 Abs. 4 DSGVO als persönlicher Aspekt genannt. Zur wirtschaftlichen Lage gehören u.a. die Einkünfte der betroffenen Personen und deren regelmäßige Ausgaben. Aber auch andere Kriterien können zur Beurteilung der Kreditwürdigkeit herangezogen werden. Es findet sich eine Liste von möglichen Kriterien in der Studie von Kamp/Weichert14. Dazu zählen u.a. Name, Alter, Geschlecht, Familienstand, Anzahl der Kinder, Alter der Kinder, Meldeadresse, Wohndauer, Haushaltstyp, Bildungsstand, Beruf, Arbeitgeber, Beschäftigungsdauer, monatliches Nettoeinkommen, monatliche Ausgaben, Kfz-Besitz, Eintragungen in Schuldnerverzeichnissen und Warnlisten, Insolvenz, gebotene Sicherheiten, Kontoführung und Überziehungen, Dauer der Kundenbeziehung, auffällige Einzeltransaktionen, vorherige interne Kredite und Erfahrungen hieraus, Art und Anzahl der Kredite, Anzahl von Kredit-Anfragen, Anzahl von Auskunftei-Anfragen, Gesundheitszustand, Freiheitsstrafen, Nationalität und Religion.
[6]
Analysieren15 bezeichnet die Zergliederung und dadurch Klarlegung von Informationen. Im Falle der Kreditwürdigkeitsprüfungen werden die persönlichen Aspekte (wirtschaftliche Lage) von betroffenen Personen mittels Datenverarbeitungssystem kumuliert und bewertet, um im Ergebnis einen «Score» ermitteln zu können, welcher die Basis für die Beurteilung der Kreditwürdigkeit darstellt. Ebenfalls kann durch diese Art der Datenverarbeitung (die heutzutage in der Regel als Big-Data-Anwendung betrieben wird) die wirtschaftliche Lage der Betroffenen vorhergesagt werden – es handelt sich hierbei um den eigentlichen Zweck des Ratings16. Diesen Kriterien zufolge handelt es sich bei der Kreditwürdigkeitsprüfung somit um eine Art des Profiling. Art. 22 DSGVO ist daher anwendbar.
[7]

Außerdem sind auch die in Art. 25 DSGVO neu eingeführten Prinzipien «Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen» zu beachten. Diese Bestimmung fordert vom Verantwortlichen, dass dieser «geeignete technische und organisatorische Maßnahmen trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen und die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.» Dies bedeutet vor allem, bereits bei der Gestaltung von Systemen dafür zu sorgen, dass diese von sich aus möglichst wenig in die Privatsphäre der Betroffenen eingreifen und Eingriffe, die für den Zweck des Systems nicht erforderlich sind, wenn möglich faktisch ausgeschlossen oder ansonsten in den Defaulteinstellungen deaktiviert sind.

3.2.

Zulässigkeit ^

[8]

Gem. Art. 22 Abs. 1 DSGVO hat eine betroffene Person «das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt». Davon ausgenommen ist eine solche Entscheidung, wenn sie «für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist»17 oder «aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten»18 oder wenn die Entscheidung «mit ausdrücklicher Einwilligung der betroffenen Person erfolgt»19. Jedoch dürfen Entscheidungen nach Abs. 2 «nicht auf besonderen Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 beruhen, sofern nicht Artikel 9 Absatz 2 Buchstabe a oder g gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person getroffen wurden»20.

[9]
Die beiden genannten Ausnahmen, bei deren Vorliegen auch «besonders schutzwürdige»21 Daten einbezogen werden dürfen, sind die ausdrückliche Einwilligung des Betroffenen «für einen oder mehrere festgelegte Zwecke […], es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden»22, sowie die Erforderlichkeit der Verarbeitung «aus Gründen eines erheblichen öffentlichen Interesses und auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht»23.
[10]

Art. 22 DSGVO ist im Kern § 49 DSG 2000 sehr ähnlich. Beide Bestimmungen sehen auch die Ausnahme vor, dass eine rein automatisierte Entscheidung zulässig ist, wenn dafür eine gesetzliche Grundlage besteht (§ 49 Abs. 2 Z 1 DSG 2000 und Art. 22 Abs. 2 lit. b DSGVO). Sie unterscheiden sich jedoch darin, dass Art. 22 DSGVO im Vergleich zu § 49 DSG 2000 nicht zwischen positiven- und negativen Entscheidungen differenziert. Zu beachten ist die Einschränkung in Art. 22 Abs. 2 lit. b DSGVO, dass eine solche gesetzliche Grundlage «angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten» muss. Hierfür muss der Staat Regelungen schaffen, die für den Betroffenen ausreichend Maßnahmen zur Wahrung seiner Rechte vorsehen. Im Hinblick auf die Finanzwirtschaft wäre ein Platz für solche Regelungen etwa im Verbraucherkreditgesetz24 in einem Zusatzabsatz in § 7, welcher Kreditgeber verpflichtet, die Bonität von Kreditwerbern zu prüfen und dabei gegebenenfalls auch Datenbanken zu nützen. 

[11]
Es stellt sich die Frage, ob eine Verweigerung der Zustimmung zur Kreditwürdigkeitsprüfung automatisch die Ablehnung des Kredites bewirken darf. Bejaht wird dies in der öffentlichen Diskussion von Seiten der Kreditinstitute. Dabei wird die Ansicht der zulässigen Ablehnung zumeist auf das Argument der betriebswirtschaftlichen Notwendigkeit dieser Möglichkeit und die Privatautonomie gestützt. Diese ermögliche den Kreditinstituten die «grundsätzlich» freie Gestaltung von Kreditvergaben zur wirtschaftlich effizienten Unternehmensführung, so das wesentliche Argument.
[12]
Vor allem aber ist zu klären, ob der Ausnahmetatbestand in Art. 22 Abs. 2 lit. a DSGVO25 zur Geltung kommt. Hierzu müsste man allerdings postulieren, dass das automatisierte Bonitätsrating eine wesentliche Voraussetzung zur Erfüllung oder zum Abschluss des Vertrags zwischen der betroffenen Person und dem Kreditinstitut ist. Diese Annahme ist u.E. im Hinblick auf den Schutzzweck von Art. 22 DSGVO äußerst kritisch zu betrachten, auch wenn es dafür sachliche Argumente gibt, die im Diskurs zu beachten sind. Allgemein wird in der Praxis angenommen, dass die automatisierte Kreditwürdigkeitsprüfung eine höhere Treffsicherheit bietet, als es ein einfacher Kreditsachbearbeiter jemals könnte. Allerdings gibt es bislang keine Evaluation, deren Ergebnisse diese Annahme zu stützen vermag. Dabei wäre vor allem zu untersuchen, wie häufig es zu «false positives»26 unter den Ergebnissen kommt, die sowohl die Zuverlässigkeit der Systeme als auch die Grundrechtsposition der Betroffenen beeinträchtigen. Das Axiom der höheren Zuverlässigkeit legt in der Praxis nun aber den Schluss nahe, dass die automatisierte Bonitätsprüfung im Lichte der Stabilität des Finanzmarktes eine wesentliche Voraussetzung zur Erfüllung oder zum Abschluss eines Vertrags darstellt.
[13]
Dem lässt sich allerdings entgegen halten, dass bislang auch ohne automatisiertes Bonitätsrating möglich ist, Verträge abzuschließen und die Risiken trotzdem wirtschaftlich vertretbar zu beherrschen. Dies wirft die Frage auf, ob eine bloße Verbesserung der Treffersicherheit eine Einschränkung der Grundrechte rechtfertigt. Die pauschale Annahme, dass diese (angenommene) höhere Treffsicherheit in der Risikoprognose bei einem Rechtsgeschäft mit Kreditcharakter automatisch als Erfordernis zu sehen ist, würde im Ergebnis außerdem dazu führen, dass für Art. 22 Abs. 2 lit. b DSGVO im Bereich der Privatwirtschaft kaum noch ein Anwendungsbereich verbliebe.
[14]
Da es sich, wie oben schon beschrieben, um den Schutz der Daten von betroffenen Personen handelt, statuiert Art. 22 Abs. 3 DSGVO, dass der Verantwortliche27 in den in Art. 22 Abs. 2 lit. a und c DSGVO genannten Fällen angemessene Maßnahmen zu treffen hat, «um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person seitens des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört»28. Dies korrespondiert mit ErwGr. 71 zu Art. 22 DSGVO29 der Ausführungen zum Schutzzweck dieser Norm enthält. Hierbei ist auch auf Art. 25 DSGVO zu verweisen.

3.3.

Transparenz ^

[15]
Als weitere wichtige Punkte gelten die Transparenz der Verarbeitung von Daten und insbesondere die Berechnung zur Ermittlung des Scoring-Werts. Dabei machen es die Grundsätze einer fairen und transparenten Verarbeitung erforderlich, «dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten. Darüber hinaus sollte er die betroffene Person darauf hinweisen, dass Profiling stattfindet und welche Folgen dies hat. Werden die personenbezogenen Daten bei der betroffenen Person erhoben, so sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde.»30 Entsprechende Forderungen in einer Studie der Arbeiterkammer in Kooperation mit dem Institut für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften (ITA) werden durch die DSGVO gestützt.31 Die Studie kommt zu dem Ergebnis, dass es nahezu keine Informationen zu dem Bereich der Kreditwürdigkeitsprüfung von Privatpersonen gibt. Weder verwendete Koeffizienten noch definierte Risikoklassen werden offengelegt. Ebenfalls versagen die Rechtsansprüche auf Richtigstellung und Löschung aufgrund der bestehenden Intransparenz. Gerade bei diesen Vorgängen wäre aber aufgrund der Masse an Verbraucherkrediten eine Umsetzung der Transparenzansprüche im Sinne der DSGVO dringend indiziert.
[16]
Dementsprechend sollte nach dem ErwGr. 63 zu Art. 15 DSGVO jede betroffene Person «ein Anrecht darauf haben, zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht. Nach Möglichkeit sollte der Verantwortliche den Fernzugang zu einem sicheren System bereitstellen können, der der betroffenen Person direkten Zugang zu ihren personenbezogenen Daten ermöglichen würde. Dieses Recht sollte die Rechte und Freiheiten anderer Personen, etwa Geschäftsgeheimnisse oder Rechte des geistigen Eigentums und insbesondere das Urheberrecht an Software, nicht beeinträchtigen. Dies darf jedoch nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird32
[17]
Kreditinstitute berufen sich bei der Thematik «Scoring» regelmäßig auf den Geheimhaltungsgrund des Betriebsgeheimnisses. Die komplexe individuelle Gestaltung der Kreditwürdigkeitsprüfungen können für sie einen Wettbewerbsvorteil darstellen, da sie mit deren Hilfe ihre Ausfallwahrscheinlichkeit minimieren können, um so auch attraktivere Kreditoptionen an ihre Kunden vergeben zu können – so jedenfalls das Argument, welches natürlich auf der Annahme basiert, dass die automatisierte Bonitätsbewertung qualitativ bessere Ergebnisse liefert. Dies schlägt sich in einer Steigerung der Zahl der Kreditnehmer und in weiterer Folge in Gewinnzuwächsen nieder. Wie ErwGr. 63 zu Art. 15 DSGVO aber richtigerweise ausführt, darf dies nicht dazu führen, dass der betroffenen Person jegliche Auskunft verweigert wird. Hier wird es die Aufgabe der nationalen Gesetzgeber sein, diesen bislang regelungsfreien Raum zu befüllen.

3.4.

Kreditwürdigkeitsprüfung unter Verwendung besonderer Kategorien von personenbezogenen Daten ^

[18]
«Automatisierte Entscheidungsfindung und Profiling auf der Grundlage besonderer Kategorien von personenbezogenen Daten sollten nur unter bestimmten Bedingungen erlaubt sein33
[19]
Damit wird auf Art. 9 DSGVO verwiesen, der in seinem Abs. 1 die Verarbeitung von personenbezogenen Daten, «aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person» untersagt. Wie schon weiter oben beschrieben können nicht nur wirtschaftliche Daten der Betroffenen in die Kreditwürdigkeitsprüfung einfließen, sondern auch Gesundheitsdaten. Sollten in die Kreditwürdigkeitsprüfung solche Daten einfließen, dann lässt sich aus den Ausnahmetatbeständen des Art. 9 Abs. 2 DSGVO, bei denen eine Verwendung von besonderen Kategorien von personenbezogenen Daten erlaubt ist, hier nur die Ausnahme der ausdrücklichen Einwilligung in die Verarbeitung der Daten durch den Betroffenen anwenden.34

4.

Conclusio ^

[20]
Mit der Massenverarbeitung von Daten zum Zwecke einer automatisierten Entscheidung gehen auch datenschutzrechtliche Probleme einher, wie sich bei der Diskussion um die Transparenz und die Zulässigkeit zeigt. Hier besteht Handlungsbedarf der nationalen Gesetzgeber zur Anpassung der nationalen Rechtslage an die ab Mitte 2018 in Kraft tretende DSGVO. Schließlich ist darauf hinzuweisen, dass der Europäische Datenschutzausschuss gemäß ErwGr. 72 zu Art. 22 DSGVO Leitlinien bezüglich des Profiling entwickeln sollte. Nach der DSGVO wird es nämlich dem «Europäischen Datenschutzausschuss» obliegen, in wichtigen Grundsatzfragen die Kohärenz in der Anwendung der DSGVO sicherzustellen.35
[21]
Weiterführender Forschungsbedarf besteht u.E. schließlich zur Frage, ob eine automatisierte Kreditwürdigkeitsprüfung tatsächlich als Erfordernis zum Abschluss oder zur Erfüllung eines Vertrags zu qualifizieren ist. Diese bislang in der Praxis schlicht postulierte Annahme ist besonders kritisch zu hinterfragen, weil in diesem Fall die für den Grundrechtsschutz äußerst wichtige Voraussetzung einer gesetzlichen Grundlage «mit angemessenen Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person»36 wegfällt. Ein Gegenmodell wäre hier, die Annahme der Erforderlichkeit zum Vertragsabschluss eng auszulegen und im Sinne des Art. 22 Abs. 2 lit. b DSGVO im Regelfall eine gesetzliche Grundlage mit entsprechenden Schutzvorkehrungen zu verlangen. Der notwendige Interessensausgleich zwischen der Wirtschaft und den betroffenen Personen – potentiell ein großer Teil der Bevölkerung – ist jedenfalls durch ausdrückliche gesetzliche Regelungen eher erreichbar als bei einer Fortschreibung der gegenwärtigen Praxis.

 

Rolf-Dieter Kargl, Researcher, LL.M (WU), Research Institute AG & Co KG – Zentrum für digitale Menschenrechte, Amundsenstraße 9, 1170 Wien, AT; rolf-dieter.kargl@researchinstitute.at, http://researchinstitute.at.

 

Walter Hötzendorfer, Senior Researcher, Dipl.-Ing. Dr. iur., Research Institute AG & Co KG – Zentrum für digitale Menschenrechte, Amundsenstraße 9, 1170 Wien, AT; walter.hoetzendorfer@researchinstitute.at, http://researchinstitute.at.

  1. 1 Oftmals auch als Scoring-Verfahren oder Bonitätsrating-Verfahren bezeichnet.
  2. 2 Ausfallwahrscheinlichkeit von ausständigen Forderungen gegenüber Kreditnehmern.
  3. 3 Richtlinie 95/46/EG des Europäisches Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. L 1995/281, 31.
  4. 4 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. L 2016/119, 1.
  5. 5 Gemäß Art. 4 Abs. 4 DSGVO ist «‹Profiling› jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen[.]» Darunter fallen auch Scoring Modelle zur Bewertung der Bonität von Kreditnehmern um in weiterer Folge die Ausfallswahrscheinlichkeit bestimmen zu können. Hierzu siehe Kapitel 2.1.
  6. 6 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I Nr. 165/1999, i.d.F. BGBl. I Nr. 132/2015.
  7. 7 Bundesdatenschutzgesetz vom 20. Dezember 1990, i.d.F. der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), das zuletzt durch Artikel 1 des Gesetzes vom 25. Februar 2015 (BGBl. I S. 162) geändert worden ist.
  8. 8 § 49 Abs. 1 DSG 2000: «Niemand darf einer für ihn rechtliche Folgen nach sich ziehenden oder einer ihn erheblich beeinträchtigenden Entscheidung unterworfen werden, die ausschließlich auf Grund einer automationsunterstützten Verarbeitung von Daten zum Zweck der Bewertung einzelner Aspekte seiner Person ergeht, wie beispielsweise seiner beruflichen Leistungsfähigkeit, seiner Kreditwürdigkeit, seiner Zuverlässigkeit oder seines Verhaltens.»
  9. 9 Walter Dohr/Hans-Jürgen Pollirer/Ernst M. Weiss/Rainer Knyrim (Hrsg.), Kommentar Datenschutzrecht, 2. Auflage, Wien 2015 (zit.: Dohr/Pollirer/Weiss/Knyrim, DSG2),  § 49 Anm. 5.
  10. 10 Dohr/Pollirer/Weiss/Knyrim, DSG2, § 6 Anm. 6, Exkurs: Big Data.
  11. 11 Bundesgesetz über das Bankwesen (Bankwesengesetz – BWG), BGBl. Nr. 532/1993, i.d.F. BGBl. I Nr. 50/2016. Hier ist auf die Umsetzung von Basel II in das österreichische BWG durch die §§ 22a f. zu verweisen.
  12. 12 § 49 Abs. 2 DSG 2000.
  13. 13 Nach Art. 4 Abs. 1 DSGVO sind «‹personenbezogene Daten› alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden ‹betroffene Person›) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann[.]»
  14. 14 Meike Kamp/Thilo Weichert, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher; Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD); Forschungsprojekt im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft (BMVEL) bzw. der Bundesanstalt für Landwirtschaft und Ernährung (BLE), 2005, Projekt-Nummer 04HS051.
  15. 15 http://www.duden.de/rechtschreibung/analysieren (alle Internetadressen zuletzt besucht am 17. August 2016).
  16. 16 Gerhard Strobl/Friedrich Hahn, Lehrgang für Finanzmarktaufseherinnen und -aufseher, Modul 1.07 Einführung Kreditgeschäft. Aufsichtsakademie der Finanzmarktaufsichtsbehörde und Österreichischen Nationalbank, Skriptum, September/Oktober 2010: Zusammenfassung aller Methoden, Prozesse, Kontrollen, Datenerhebungs- und Datenverarbeitungssysteme verstanden, die zur Beurteilung von Kreditrisiken, zur Zuordnung von Forderungen zu Risikoklassen sowie zur Quantifizierung von Ausfall- und Verlustschätzungen für bestimmte Forderungsarten, dienen.
  17. 17 Art. 22 Abs. 2 lit. a DSGVO.
  18. 18 Art. 22 Abs. 2 lit. b DSGVO.
  19. 19 Art. 22 Abs. 2 lit. c DSGVO.
  20. 20 Art. 22 Abs. 4 DSGVO, siehe auch ErwGr. 71: «Eine auf einer derartigen Verarbeitung, einschließlich des Profilings, beruhende Entscheidungsfindung sollte allerdings erlaubt sein, wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der für die Verarbeitung Verantwortliche unterliegt, ausdrücklich zulässig ist, auch um im Einklang mit den Vorschriften, Standards und Empfehlungen der Institutionen der Union oder der nationalen Aufsichtsgremien Betrug und Steuerhinterziehung zu überwachen und zu verhindern und die Sicherheit und Zuverlässigkeit eines von dem Verantwortlichen bereitgestellten Dienstes zu gewährleisten, oder wenn dies für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und einem Verantwortlichen erforderlich ist oder wenn die betroffene Person ihre ausdrückliche Einwilligung hierzu erteilt hat.»
  21. 21 Entspricht den «sensiblen Daten» gemäß § 4 Z 2 DSG 2000.
  22. 22 Art. 9 Abs. 2 lit. a DSGVO.
  23. 23 Art. 9 Abs. 2 lit. g DSGVO.
  24. 24 Bundesgesetz über Verbraucherkreditverträge und andere Formen der Kreditierung zu Gunsten von Verbrauchern (Verbraucherkreditgesetz – VKrG), BGBl. I Nr. 28/2010, i.d.F. BGBl. I Nr. 135/2015.
  25. 25 Demnach gilt das Verbot einer automatisierten Entscheidung dann nicht, wenn diese für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist.
  26. 26 Im vorliegenden Zusammenhang wären dies Fälle unsachgemäßer Ablehnung.
  27. 27 Verantwortlicher i.S.d. gem. Art. 4 Abs. 7 DSGVO ist «die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet».
  28. 28 Art. 22 Abs. 3 DSGVO.
  29. 29 «In jedem Fall sollte eine solche Verarbeitung mit angemessenen Garantien verbunden sein, einschließlich der spezifischen Unterrichtung der betroffenen Person und des Anspruchs auf direktes Eingreifen einer Person, auf Darlegung des eigenen Standpunkts, auf Erläuterung der nach einer entsprechenden Bewertung getroffenen Entscheidung sowie des Rechts auf Anfechtung der Entscheidung. [...] Um unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, der betroffenen Person gegenüber eine faire und transparente Verarbeitung zu gewährleisten, sollte der für die Verarbeitung Verantwortliche geeignete mathematische oder statistische Verfahren für das Profiling verwenden, technische und organisatorische Maßnahmen treffen, mit denen in geeigneter Weise insbesondere sichergestellt wird, dass Faktoren, die zu unrichtigen personenbezogenen Daten führen, korrigiert werden und das Risiko von Fehlern minimiert wird, und personenbezogene Daten in einer Weise sichern, dass den potenziellen Bedrohungen für die Interessen und Rechte der betroffenen Person Rechnung getragen wird und mit denen verhindert wird, dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, genetischer Anlagen oder Gesundheitszustand sowie sexueller Orientierung zu diskriminierenden Wirkungen oder zu Maßnahmen kommt, die eine solche Wirkung haben.»
  30. 30 ErwGr. 60 zu Art. 5 DSGVO.
  31. 31 Studie der Bundesarbeitskammer in Kooperation mit dem Institut für Technikfolgen-Abschätzung der Österreichischen Akademie der Wissenschaften (2014), https://media.arbeiterkammer.at/wien/PDF/studien/Credit_Scoring_2014.pdf.
  32. 32 ErwGr. 63 zu Art. 15 DSGVO.
  33. 33 ErwGr. 71 zu Art. 22 DSGVO.
  34. 34 Art. 9 Abs. 2 lit. a DSGVO.
  35. 35 Gem. Art. 68 Abs. 3 DSGVO besteht der Ausschuss aus dem Leiter einer Aufsichtsbehörde jedes Mitgliedstaats und dem Europäischen Datenschutzbeauftragten. Diesem Ausschuss, der bisher als «Artikel-29-Datenschutzgruppe» ausschließlich informelle Kompetenzen hatte, obliegt gemäß Art. 70 die Sicherstellung der einheitlichen Anwendung der Verordnung.
  36. 36 Siehe Art. 22 Abs. 2 lit. b DSGVO; vgl. dazu oben ausführlich unter Kapitel 3.2.