Durch sogenannte Scorewerte, versuchen Wirtschaftsauskunfteien ihren Kunden zuverlässige Informationen über die Kreditwürdigkeit potentieller oder bestehender Geschäftspartner zu verschaffen. Auch wenn es sich hierbei um subjektive Werturteile, sind Scorewerte personenbezogene Daten im Sinne der Datenschutzgrundverordnung (DSGVO). Die Rechtmäßigkeit der Verwendung solcher Daten unterliegt daher den Regelungen des Datenschutzrechts.
Wie entsteht ein Scorewert?
Scorewerte werden von Auskunfteien anhand der ihnen über die betroffene Person zur Verfügung stehenden Daten und entsprechenden Vergleichsgruppen ermittelt. Scoring ist also eine Form des „Profilings“, bei dem Daten automatisiert verarbeitet werden, um bestimmte Aspekte einer natürlichen Person zu bewerten (vgl. Art. 4 Nr. 4 DSGVO). Auskunftei dürfen nur die Daten, die geeignet und erforderlich sind, um den Scorewert zu berechnen. Ein überwiegendes Interesse des Schutzes der Daten der betroffenen Person darf dem nicht entgegensteht.
unzulässige Datenerhebung
Gesetzwidrig ist die Datenerhebung aus der Privatsphäre der betroffenen Person. § 31 Abs. 1 Nr. 3 BDSG verbietet die Berechnung ausschließlich anhand von Anschriftendaten.
Informationspflichten gegenüber Betroffenen
Die Auskunftei muss die betroffene Person nach Art. 14 DSGVO über die Datenverarbeitung informieren. Dies betrifft vor allem das Recht, der Datenverarbeitung nach Art. 21 Abs. 1 DSGVO zu widersprechen.
Weitere Voraussetzungen für die Erhebung und Verwertung von Scorewerten
Entscheidungen, die auf einer automatisierten Datenverarbeitung beruhen, sind für die betroffenen Personen mit einem besonders hohen Risiko behaftet.
Die Erhebung eines Scorewertes durch die Auskunftei ist allerdings im Rahmen bestimmter Grenzen zulässig. Maßgeblich sind die Vorgaben des Art. 22 Absatz 1 DSGO, der im Grundsatz Profilings verbietet, wenn eine rechtswirksame automatisierte Entscheidung hierdurch getroffen wird, bspw.: Annahme eines Vertragsangebots.
Das Gesetz sieht jedoch Ausnahmen vor:
- Ein Unternehmen darf z.B. im Rahmen des „internen Scorings“ automatische Entscheidungen zu Abschluss oder Erfüllung eines Vertrages durchführen, soweit dies erforderlich ist.
- Die Zulässigkeit ist auch dann gegeben, wenn die betroffene Person ihre Einwilligung erklärt.
In jedem Fall müssen hier seitens des Unternehmens Vorkehrungen getroffen werden, damit die betroffene Person auf die Entscheidung korrigierend einwirken. Die betrifft die Darlegung des eigenen Standpunktes und auch die Anfechtung der Entscheidung.
Wird die Entscheidung hingegen von Anfang an auf Basis eines Scorewertes von einer natürlichen Person getroffen, ist das Verbot des Art. 22 Abs. 1 DSGVO bereits nicht einschlägig.
Welche Rechte hat die betroffene Person?
Die betroffene Person hat gegenüber einer Auskunftei das Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO, das Recht auf Einschränkung der Verarbeitung aus Art. 18 Abs. 1 DSGVO, und das Recht auf Widerspruch in die Verarbeitung nach Art. 21 Abs. 1 DSGVO. Widerspricht die betroffene Person der weiteren Verarbeitung zulässig erhobener Daten, muss sie nachvollziehbar darlegen, dass schutzwürdige Belange der Berechnung oder Übermittlung eines Score-Wertes entgegenstehen. Die Auskunftei muss dann in der Folge nachweisen, dass es ein überwiegendes Interesse an der Verarbeitung der Scoredaten gibt. Gelingt ihr dies nicht, kann die betroffene Person Unterlassen fordern. Hinzu kann sie verlangen, dass die Auskunftei den Empfänger des Scorewertes informiert, um eine Korrektur oder Löschung der Daten zu bewirken.
Bildnachweis: © Ingo Bartussek – stock. adobe. com