Kreditnehmer

Ausschöpfen von Zahlungszielen gemeldet und an Interessierte weiter übermittelt werden.

Das ist unzulässig.

Dem betrieblichen Datenschutzbeauftragten und einem der Geschäftsführer des Unternehmens wurde in einem Gespräch die Rechtswidrigkeit des Geschäftsmodells verdeutlicht. Dennoch wurde, ohne ­ wie gesetzlich vorgeschrieben ­ auch nur eine Registermeldung zu erwirken, kurze Zeit später das beschriebene Geschäftsmodell im Internet angeboten. Die Datenschutzaufsichtsbehörde wird die ihr zur Verfügung stehenden rechtlichen Maßnahmen ergreifen, um die Auskunftei in der vorgesehenen rechtswidrigen Ausgestaltung zu verhindern.

23. Kreditwirtschaft

Kreditscoring

Bei der Nutzung von Scoring-Verfahren im Zusammenhang mit Bankkrediten fordern die Obersten Datenschutzaufsichtsbehörden mehr Transparenz für die Betroffenen.

Im Zusammenhang mit Basel II, der Eigenkapitalübereinkunft der im Baseler Ausschuss für Bankenaufsicht versammelten europäischen Finanzaufsichtsbehörden und Zentralbanken, gewinnen Scoring-Verfahren eine zunehmende Bedeutung. Die EU-Kommission erarbeitet derzeit eine Richtlinie zur Umsetzung von Basel II. Das Basel II-Abkommen definiert die Mindestanforderungen an die Eigenkapitalausstattung von Kreditinstituten. Daraus ergibt sich mittelbar, dass Kredite künftig nicht mehr pauschal, sondern differenziert nach dem tatsächlichen Risiko mit Eigenkapital zu unterlegen sind. Kredite mit höherem Ausfallrisiko erfordern eine höhere Eigenkapitalunterlegung. Zur Ermittlung der Eigenkapitalquote ist eine differenzierte Risikoklassifizierung notwendig.

Als ein Verfahren zur Risikoklassifizierung wird das Kreditscoring zur Feststellung und Beurteilung der Kreditwürdigkeit von Antragstellern und zur Bonitätsbewertung während der Laufzeit eines Kredits eingesetzt. Dabei werden die verschiedenen Merkmale eines Antragstellers (z.B. Alter, ausgeübter Beruf, Einkommensklasse, Familienstand, Kinderzahl, Wohndauer, Kfz-Besitz, Anzahl der Kredite), die zum Zeitpunkt der Antragstellung oder während der Laufzeit des Kredites vorliegen, auf ihre Risikorelevanz geprüft. Durch den Vergleich der Merkmalsprofile von Kunden mit guter und schlechter Zahlungshistorie lassen sich so Risikofaktoren erkennen. Das Ergebnis des Vergleichs drückt sich in einem ScoreWert aus, der die statistische Bonitätsbewertung der konkreten Antragsteller in einem Zahlenwert zusammenfasst. Das Kreditscoring und die Festlegung der entsprechenden Parameter kann durch das Kreditinstitut selbst erfolgen oder durch einen Dritten, z. B. eine Auskunftei oder einen sonstigen Dienstleister.

Der Scorewert selbst ist ein personenbezogenes Datum im Sinne des § 3 Abs. 1 BDSG, bei dessen Erhebung, Verarbeitung und Nutzung die datenschutzrechtlichen Vorschriften zu beachten sind. In der Arbeitsgruppe Kreditwirtschaft des Düsseldorfer Kreises erörtern die Obersten Datenschutzaufsichtsbehörden mit Vertretern der Kreditwirtschaft, welche personenbezogenen Daten für das Kreditscoring erhoben, verarbeitet und genutzt werden dürfen und welche Transparenzanforderungen aus Sicht des Datenschutzes an das Kreditscoring zu stellen sind. Nach Auffassung der Obersten Datenschutzaufsichtsbehörden dürfen für das Scoring-Verfahren nur Parameter eingestellt werden, deren Bonitätsrelevanz durch ein mathematisch-statistisches Verfahren, das wissenschaftlichen Standards entspricht, nachgewiesen werden. Es dürfen nach § 28 Abs. 1 Nr. 1 BDSG nur Daten erhoben und gespeichert werden, die zur Zweckbestimmung des Vertragsverhältnisses erforderlich sind. Für die Betroffenen muss transparent sein, welche personenbezogenen Daten grundsätzlich in die Berechnung des Score-Wertes einfließen, welche personenbezogenen Daten des Antragstellers für das Scoring-Verfahren konkret genutzt werden und gegebenenfalls welches die maßgeblichen Merkmale sind, die einen konkreten Score-Wert negativ beeinflusst haben.

Darüber hinaus ist bei der Anwendung eines Scoring-Verfahrens stets § 6a BDSG zu beachten. Unzulässig sind daher Scoring-Verfahren, die Kreditsuchende bei Zuordnung zu einer bestimmten Risikogruppe aufgrund einer automatisierten Einzelentscheidung von der Kreditvergabe ausschließen, ohne dass die Kreditsuchenden die Möglichkeit haben, ihren Standpunkt geltend zu machen und anschließend überprüfen zu lassen.

Übermittlung von Bankdaten an andere Kreditinstitute

Die Zusammenarbeit von Kreditinstituten führt zu datenschutzrechtlichen Problemen, wenn dabei Kundendaten ohne Einwilligung der Betroffenen weitergegeben werden.

Ein in Hamburg ansässiges Kreditinstitut lässt einige Aufgaben, die im Zusammenhang mit Prolongationen und der Anpassung der Konditionen von Hypothekendarlehensverträgen stehen, aus Rationalisierungsgründen und wegen der dort in besonderem Maße vorhandenen Sachkenntnis durch Mitarbeiter einer Bausparkasse durchführen. Zwischen den Unternehmen wurde ein Vertrag nach § 11 BDSG geschlossen, der vorsieht, dass der beauftragten Bausparkasse regelmäßig die Daten von Kreditnehmern, bei denen eine Anpassung bevorsteht, übermittelt werden. Zu den Aufgaben der beauftragten Bausparkasse gehört neben der Unterstützung bei der Planung der Kundenansprache in Einzelfällen auch die direkte Ansprache der Kreditnehmer.

Es ist zweifelhaft, ob die von dem Kreditinstitut auf die Bausparkasse durch den Vertrag übertragenen Tätigkeiten im Wege einer Auftragsdatenverarbeitung nach § 11 BDSG durchgeführt werden können. Durch den Vertrag wird der Bausparkasse nicht nur die Verarbeitung von personenbezogenen Daten übertragen, sondern es werden auch die Aufgaben übertragen, zu deren Erfüllung die Verarbeitung und Nutzung der Daten erforderlich ist. Nach Auffassung der Obersten Datenschutzaufsichtsbehörden liegt in derartigen Fällen eine Funktionsübertragung vor. Die Weitergabe der Kundendaten an die Bausparkasse wird als Übermittlung im Sinne des § 3 Abs. 4 Nr. 3 BDSG angesehen, für deren Zulässigkeit eine Rechtsgrundlage erforderlich ist. § 28 Abs. 1 Nr. 1 BDSG kommt als Rechtsgrundlage nicht in Betracht, da die Auslagerung einer Betreuungstätigkeit nicht unmittelbar der Zweckbestimmung des Darlehensvertrages dient. Die Datenübermittlung und Nutzung durch die Bausparkasse ist auch nicht nach § 28 Abs. 1 Nr. 2 BDSG zulässig, da aufgrund des Bankgeheimnisses die schutzwürdigen Interessen der Darlehensnehmer an einem Ausschluss der Weitergabe ihrer personenbezogenen Daten überwiegen. Nach Auffassung der Datenschutzaufsichtsbehörden ist die mit der Funktionsübertragung verbundene Übermittlung von personenbezogenen Kundendaten an die Bausparkasse nur mit Einwilligung der Kunden datenschutzrechtlich zulässig. Das Kreditinstitut und die Bausparkasse teilen diese Auffassung nicht.

Nicht nur in diesem Einzelfall gibt es zwischen den Vertretern der Wirtschaft und der Obersten Datenschutzaufsichtsbehörden unterschiedliche Rechtsauffassungen dazu, wann eine Auftragsdatenverarbeitung nach § 11 BDSG und wann eine Funktionsübertragung vorliegt. Während die Vertreter der Wirtschaft den Begriff der Auftragsdatenverarbeitung sehr weit auslegen und Unterstützungsdienstleistungen grundsätzlich als Auftragsdatenverarbeitung ausgestalten möchten, sind die Obersten Datenschutzaufsichtsbehörden der Auffassung, dass in jedem Einzelfall der Umfang der Verlagerung der Aufgaben bei der Abgrenzung betrachtet werden muss. Im Bereich der Kreditwirtschaft ist außerdem die Beachtung des Bankgeheimnisses von besonderer Bedeutung. Liegt keine Auftragsdatenverarbeitung vor, ist eine datenschutzrechtlich zulässige Realisierung einer Aufgabenverlagerung und der damit verbundenen Datenübermittlung im Wege der Funktionsübertragung nur möglich, wenn die Zulässigkeitsvoraussetzungen durch besondere Maßnahmen wie die Einholung einer Einwilligung der Kunden oder die Vertragsgestaltung geschaffen werden.

Schufa-Klausel bei Guthabenkonten/Konto für Jedermann

Wird bei Beantragung eines Guthabenkontos zunächst von den Banken die Eröffnung eines gewöhnlichen Girokontos geprüft, besteht hinsichtlich der Prüfung dieses Girokontos ein berechtigtes Interesse an einer Schufa-Abfrage.