Kastelitz Leiter Bonität und Datenschutz IRIS2010_FINAL

BONITÄT UND DATENSCHUTZ – AKTUELLE
ENTWICKLUNGEN IN ÖSTERREICH UND
DEUTSCHLAND
Markus Kastelitz/Martin Leiter
Wissenschaftlicher Mitarbeiter
Leibniz Universität Hannover, Institut für Rechtsinformatik (IRI)
Königsworther Platz 1
30167 Hannover DE
http://www.iri.uni-hannover.de
Leiter der Rechtsabteilung
Deltavista GmbH
Diefenbachgasse 35
1150 Wien AT
http://www.deltavista.com
Schlagworte: Auskunftei,
Bonitätsdaten,
Kreditwürdigkeit,
Scoring,
Warndateien,
Widerspruchsrecht
Abstract:
Überblicksartig werden die Tätigkeit von Auskunfteien und damit in Zusammenhang
stehende (datenschutz-)rechtliche Fragen zu Bonitätsdaten erörtert.
1. Überblick zu
Auskunfteien1
Auskunfteien:
Rechtliche
Rahmenbedingungen
für
1.1. Vorbemerkungen: Entstehung und Tätigkeit von Auskunfteien
Auskunfteien2 geben potentiellen Kreditgebern vor allem Informationen darüber,
– ob eine Person oder ein Unternehmen, die/das sich ihm gegenüber als (potentieller) Kunde
geriert, überhaupt existieren3 und
1
Die Autoren geben hier ihre persönlichen Ansichten wieder. Angemerkt sei, dass an dieser Stelle – schon aufgrund der
Platzbeschränkung – nur einige Aspekte überblicksartig (und daher naturgemäß unvollständig) behandelt werden
können.
2
Es besteht keine einheitliche Terminologie, die Begriffe „Wirtschaftsauskunftei“, „Bonitätsauskunftei“,
„Kreditauskunftei“ werden überwiegend synonym verwendet. Die GewO 1994 spricht in § 152 von „Auskunfteien über
Kreditverhältnisse“. Mit „Kreditverhältnissen“ sind Daten über Vermögensverhältnisse einschließlich
Zahlungsfähigkeit bzw. -willigkeit eines Betroffenen („Bonitätsdaten“) angesprochen, DSK 7.5.2007, K211.773/0009DSK/2007; siehe auch Duschanek/Hierzenberger, Wirtschaftsauskunfteien und Datenschutz, in Duschanek
(Gesamtred.), Datenschutz in der Wirtschaft, Signum Verlag, Wien, S. 177 f. (1981). Bei sog. „Warndateien“ handelt es
sich dagegen überwiegend um konzern- bzw. branchenweite Datenbanken, siehe als Beispiele die „Warnliste der
österreichischen Kreditinstitute“ und „Warnliste der österr. Versicherungsunternehmen betreffend Vermittlerverhalten“.
Für die BRD siehe z.B. Reif, Warnsysteme der Wirtschaft und Kundendatenschutz, RDV 2007, 4 mwN.
3
Wichtig ist in diesem Zusammenhang auch die Prüfung der Vertretungsbefugnis des auftretenden Organs.
– ob der (zukünftige) Kreditnehmer imstande sein wird, die Verpflichtungen, die er
einzugehen im Begriff ist, auch erfüllen können wird.
Im Bereich des Geschäftes zwischen Unternehmen gibt es diese Auskünfte, wenn auch zunächst
nicht-institutionalisiert, bereits solange wie den Kredit selbst. In England und den USA entstanden
„credit bureaus“ bereits in der ersten Hälfte des 19. Jahrhunderts.4 Rechtshistorisch gesehen beginnt
die (gewerberechtliche) Regulierung in Österreich mit der auf Basis der GewO 1859 (RGBl. 227
i.d.F. RGBl. 39/1883) erlassenen Verordnung vom 20.7.1885, RGBl. 116 über die Bindung des
Betriebes von „Informationsbureaux zum Zwecke der Auskunftsertheilung über die
Creditverhältnisse von Firmen“ an eine Konzession (behördliche Genehmigung). Bereits mit
Verordnung vom 6.7.1893, RGBl. 117 wurde die Beschränkung auf Firmen aufgehoben und auf
Auskunftserteilung über die Kreditverhältnisse von Gewerbetreibenden, welche keine Firma
führten, sowie anderen Personen erstreckt, sofern diese Auskünfte zu geschäftlichen Zwecken
verlangt wurden.
Im Privatkunden- bzw. Verbrauchergeschäft war es über lange Zeit unüblich, dass Unternehmen in
Vorleistung traten. Geliefert wurde gegen Vorauskasse oder Zug-um-Zug, allenfalls per
Nachnahme. Vorreiter der Lieferung auf offene Rechnung war der Versandhandel, der in den
Siebzigerjahren des letzten Jahrhunderts zur Finanzierung der Lieferungen sowohl Lieferung auf
offene Rechnung als auch Ratenkredite angeboten hat – das zu einer Zeit, als es Privatkunden
nahezu unmöglich war, bei einer Bank größere Kredite ohne die Bereitstellung dinglicher
Sicherheiten zu erhalten. Nicht zuletzt deshalb ist der Wunsch, sich gegenseitig über schlechte
private Zahler zu informieren und dadurch vor Zahlungsausfällen schützen, von dieser Branche
ausgegangen.
In neuerer Zeit, wo eine Vielzahl von Branchen ihre Leistungen einer großen Anzahl von Kunden
auf offene Rechnung anbietet (und diese Form der Bezahlung vom „Markt“ auch erwartet wird),
werden diese Informationen für einen großen Kreis von Unternehmen immer wichtiger. Vom
Musikdownload um wenige Cent, der über die Handyrechnung bezahlt wird, bis zum Leasingauto
um mehrere zehntausende Euro – in jedem dieser Fälle tritt der Kreditgeber gegenüber dem Kunden
in Vorleistung. Hinzu kommt, dass die Gläubiger oftmals auch gleichzeitig Schuldner (z.B.
aufgrund von Kreditaufnahmen zur Zwischenfinanzierung des Wareneinkaufes) sind, wobei die
Geschäftsgebarung (und somit auch die Quote an Zahlungsausfällen) die eigene Bonität (und damit
die Höhe des Zinssatzes) beeinflusst.
Gerade im Versandhandel waren die Kreditgeber neben der Überspannung der wirtschaftlichen
Leistungsfähigkeit der Besteller (Zahlungsausfall aufgrund fehlender Mittel) mit einem massiven
Betrugsproblem durch erfundene Identitäten und daraus resultierenden Zahlungsausfällen
konfrontiert. Verschärft hat sich dieses Problem durch das Internet, das als Vertriebskanal massiv
an Bedeutung gewonnen hat, gleichzeitig die Geschäftsbeziehungen „anonymer“5 gemacht hat: Hat
ein Schuldner mit seinem richtigen Namen keine Lieferung mehr erhalten, weil er bereits auffällig
geworden war, lag es oft nahe, durch kleine – die Postzustellung nicht verhindernde
Namensvariationen – dennoch eine Lieferung zu erhalten. Durch weitere technische Entwicklungen
war es in weiterer Folge möglich, nicht nur Informationen über schlechte Zahler zu sammeln,
sondern generell auch die Existenz von Personen bestätigen zu können. Auskunfteien bieten daher
4
Die offizielle Bezeichnung in den USA laut 15 U.S.C. § 1681a (f) Fair Credit Reporting Act 1970 ist „consumer
reporting agency“; in Großbritannien „credit reference agency“ gemäß Section 145 (8) Consumer Credit Act 1974. Zur
Entwicklung allgemein Peilert, Das Recht des Auskunftei- und Detekteigewerbes, Duncker & Humblot, Berlin, 102 ff
(1996). Zur Praxis in den USA siehe Hendricks, Credit Scores and Credit Reports, 2. Aufl., Privacy Times (2005).
5
Vgl Duschanek/Hierzenberger, Wirtschaftsauskunfteien und Datenschutz, in Duschanek (Gesamtred.), Datenschutz in
der Wirtschaft, Signum Verlag, Wien, S. 176 (1981); Roßnagel, Die Novellen zum Datenschutzrecht – Scoring und
Adresshandel, NJW 2009, 2716.
ihren Kunden an, zunächst Auskunft darüber zu erteilen, ob es Personen überhaupt gibt. Hier ist
darauf hinzuweisen, dass in Österreich die Abfrage des Zentralen Melderegisters (ZMR) zu diesem
Zweck (Überprüfung der Identität des Geschäftspartners) nach § 16a Abs 5 MeldeG nicht statthaft
ist – diese Norm gestattet nur Abfragen zur „erwerbsmäßigen Geltendmachung oder Durchsetzung
von Rechten oder Ansprüchen“.
Aus dieser unterschiedlichen Entwicklung einerseits, andererseits natürlich auch aus dem
möglichen Schadenspotential erklärt es sich, dass zu Unternehmen und Privatpersonen in der Praxis
unterschiedliche Informationen verfügbar sind:6 Während zu Unternehmen eine Vielzahl von
wirtschaftlichen Kenngrößen (Bilanz, Mitarbeiteranzahl, u.v.m.) bekannt, teilweise ex lege
allgemein verfügbar7 und als „Positivdaten“8 gespeichert sind, sind über Privatpersonen i.d.R. nur
negative Zahlungserfahrungen („Negativdaten“)9 verfügbar.10 Andere Daten zu Privaten wie etwa
wirtschaftliche Leistungsfähigkeit (Beruf, Ausbildung, Einkommen, Anzahl der Unterhaltspflichten, etc.) sind in der Praxis weder verfügbar, noch vom Kreditgeber angefragt.11
1.2. Geschäftsentscheidung
Es muss in diesem Kontext darauf hingewiesen werden, dass die eigentliche Geschäftsentscheidung, das heißt ob und unter welchen Rahmenbedingungen eine Vertragsbeziehung mit
dem Betroffenen zustande kommt, privatautonome Sache des Kreditgebers ist, der in der Regel
keinem Kontrahierungszwang unterliegt. In den meisten Fällen ist durch eine negative
Auskunfteiinformation der Geschäftsabschluss selbst nicht schon deshalb ausgeschlossen: In der
Praxis werden dem potentiellen Kunden entweder andere Bezahlweisen angeboten (Voraus- oder
Depotzahlung, Lieferung auf Nachnahme, Prepaid-Produkte) oder beim Geldkredit zusätzliche
Informationen (z.B. Gehaltsbestätigung) oder Sicherheiten verlangt. Die oft geäußerte pauschale
Aussage, jemand habe aufgrund einer Bonitätsauskunft eine bestimmte Ware oder Dienstleistung
nicht erhalten, ist daher in dieser allgemeinen Form meist unrichtig.
1.3. Rechtliche Rahmenbedingungen
Spricht man von rechtlichen Rahmenbedingungen für Auskunfteien, so ist zwischen der
gewerberechtlichen und der datenschutzrechtlichen Seite zu unterscheiden.
Die geltende gewerberechtliche Rechtsgrundlage für das freie Gewerbe der „Auskunfteien über
Kreditverhältnisse“ in Österreich bildet § 152 GewO 1994. Diese sehr knapp gehaltene Norm
verbietet Auskunfteien die „Erteilung von Auskünften über private Verhältnisse, die mit der
6
Siehe ausführlich zu den Datenquellen der dt. SCHUFA Ina Becker, Datenschutzrechtliche Fragen des SCHUFAAuskunftsverfahrens, Verlag Dr. Kovac, Hamburg, 28 ff. (2006).
7
Firmenbuch und Zentrales Gewerberegister; u.a. das UGB (§§ 277 ff) und das AktG (§§ 33, 251) sehen für
Kapitalgesellschaften die Offenlegung bestimmter Kennzahlen bzw. der Bilanz vor.
8
Das sind über negative Zahlungserfahrungen hinausgehende Informationen.
9
Das sind Daten über nicht vertragskonforme Abwicklung eines Vertrages. Zur weiteren Unterteilung in „weiche“ und
„harte“ Negativdaten siehe m.w.N. Iraschko-Luscher, Datenschutz beim Zahlungsverkehr, Datakontext, S. 27 ff (2008).
10
Eine Ausnahme dazu bildet in Österreich die sog. Kleinkreditevidenz (KKE), eine interne, nur für diese zugängliche
Datenanwendung der Banken, Versicherungen und Leasingunternehmen in Form eines Informationsverbundsystems
(§ 4 Z. 13 DSG 2000), welche alle – auch nicht notleidenden – Bankkredite umfasst, s.a. den Registrierungsbescheid
der DSK 12.12.2007, K600.033-018/0002-DVR/2007. Zu Positivdaten in der BRD siehe z.B. Beschluss des
Düsseldorfer Kreises, Erhebung von Positivdaten zu Privatpersonen bei Auskunfteien vom 19./20. April 2007.
11
Erwähnenswert ist auch, dass in Österreich der Zugang zum „Vollstreckungsverzeichnis“ (Einsicht in die
Geschäftsbehelfe des Exekutionsverfahrens) mit der Aufhebung von § 73a EO (ersatzlos) durch BGBl. I 30/2009
beseitigt wurde; siehe hingegen §§ 915 Abs 3 i.V.m. 915b Abs 1 dZPO (Zugang zu Schuldnerverzeichnis-Daten), dazu
z.B. Zipperer, Private und behördliche Einsicht in Insolvenzakten - eine systematische Bestandsaufnahme, NZI 2002,
244.
Kreditwürdigkeit in keinem Zusammenhang stehen“.12 E contrario kann daraus erschlossen werden,
dass auch über „private Verhältnisse“ Auskünfte erteilt werden dürfen, die eben schon mit der
Kreditwürdigkeit in Zusammenhang stehen, d.h. zu deren Beurteilung (durch den Kunden der
Auskunftei) geeignet sind. Jedenfalls beauskunftet werden dürfen nicht-private Verhältnisse, das
heißt Umstände, die nicht mit dem Privatleben zusammenhängen. Besonders geschützt ist der
höchstpersönliche Lebensbereich durch § 33 DSG 2000 (s.a. § 1328a ABGB), der einen Ersatz des
immateriellen Schadens bei Eingriffen in den höchstpersönlichen Lebensbereich vorsieht. Nicht
zum höchstpersönlichen Lebensbereich zählen aber insbesondere Vermögensverhältnisse und
Angelegenheiten des Berufs- und Geschäftslebens.13
In Deutschland zählt das Gewerbe einer Auskunftei zu den überwachungsbedürftigen Gewerben
(§ 38 Abs. 1 Z. 2 dGewO).14
Das DSG 2000 sieht vor, dass der Betrieb einer Datenanwendung, die „Auskunftserteilung über die
Kreditwürdigkeit der Betroffenen zum Zweck haben“, nur nach einer Vorabkontrolle der DSK
aufgenommen werden darf. Die Genehmigung hat hier nur bei einem Nachweis ausreichender
Rechtsgrundlagen erteilt zu werden (vgl. § 20 Abs 3 DSG 2000). Die DSK ist der Ansicht, „dass
der Gesetzgeber in § 152 GewO 1994 von der grundsätzlichen Zulässigkeit dieser gewerblichen
Tätigkeit ausgeht, sodass es zur Verarbeitung dieser Daten eine rechtliche Befugnis im Sinne des
§ 7 Abs. 1 DSG 2000 geben kann. Da die Ausübung dieser gewerblichen Tätigkeit ohne Sammlung,
Aufbewahrung und Weitergabe von entsprechenden Daten nicht sinnvoll vorstellbar ist, muss auch
angenommen werden, dass der Gesetzgeber in bestimmten Fallkategorien ein die
Betroffeneninteressen überwiegendes berechtigtes Interesse dieser Gewerbetreibenden an einer
Verwendung von Daten über „Kreditverhältnisse“ im Sinn des § 1 Abs. 2 bzw. § 8 Abs. 1 Z 4 DSG
2000 als gegeben erachtete. Ein derartiges Interesse bzw. eine derartige Befugnis muss auch für die
Kunden der Auskunfteien aber auch für die Datenlieferanten bestehen, da ansonsten die
Gewerbeausübung unmöglich wäre. […]“.15
Bei der Erhebung und Verwendung von Bonitätsdaten stützen sich die Auskunfteien in Österreich
somit auf § 1 Abs. 1 letzter Satz DSG 2000,16 auf das – von der DSK grundsätzlich anerkannte –
überwiegende berechtigte Interesse an einer Verwendung von Daten über Kreditverhältnisse i.S.d.
§ 1 Abs 2 bzw. § 8 Abs 1 Z 4 leg cit und (v.a. aber im Banken- und Finanzdienstleistungsbereich)
auf die Zustimmung des Betroffenen (§ 4 Z. 14 DSG 2000).17 Auch in Deutschland stützten sich
Auskunfteien und kreditgebende Unternehmen bisher (vor den BDSG-Novellen 2009, dazu 1.4.)
auf die Generalklauseln §§ 28, 29 BDSG mit ihren Interessenabwägungen und auf die Einwilligung
der Betroffenen.18
12
Siehe dazu bereits die VO vom 6.7.1893, RGBl. 117: „ […] Dagegen sind diese Bureaux nicht befugt, Anfragen über
Privatverhältnisse, welche mit der Kreditwürdigkeit in keinem Zusammenhange stehen, zu beantworten. […]“
13
Dohr/Pollirer/Weiss/Knyrim, DSG2, Manz, Wien, § 33 Anm. 4 (2002); a.A. bei existenzgefährdenden Eingriffen
OGH 15.12.2005, 6 Ob 275/05t; RIS-Justiz RS0115216.
14
„Auskunftserteilung über Vermögensverhältnisse und persönliche Angelegenheiten (Auskunfteien, Detekteien)“.
15
DSK 7.5.2007, K211.773/0009-DSK/2007.
16
„Das Bestehen eines solchen (Anm. schutzwürdigen) Interesses ist ausgeschlossen, wenn Daten infolge ihrer
allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem
Geheimhaltungsanspruch nicht zugänglich sind.“
17
Vgl. § 4a BDSG, dort „Einwilligung“; obwohl in Österreich ein (abgeschwächtes) Schriftformerfordernis nicht
(mehr) existiert, ist bereits zu Beweiszwecken die Schriftform zu empfehlen. Beachte auch die hohen Anforderungen
des OGH an wirksame Zustimmungen in AGB zur Datenverwendung unter Heranziehung des Transparenzgebotes (§ 6
Abs. 3 KSchG), OGH 15.12.2005, 6 Ob 275/05t; RIS-Justiz RS0115216.
18
Roßnagel, NJW 2009, 2716, siehe dort auch die Nachweise zur kritisierten „Freiwilligkeit“ der Einwilligung bei der
sog. „SCHUFA-Klausel“ in FN 9; s.a. BVerfG, 1 BvR 2027/02 v. 23.10.2006; Hornung, Erweiterungen der SCHUFAKlausel möglich? CR 2007, 753.
1.4. Auskunfteien und Scoring: BDSG-Novellen 2009 in der BRD19
Während in Österreich die DSG-Novelle 201020 keine speziell auf die Tätigkeit von Auskunfteien
abstellenden Bestimmungen vorsieht, wurden in der BRD 2009 drei BDSG-Novellen21 beschlossen,
wovon die BDSG-Novelle I (Inkrafttreten 1.4.2010) u.a. die Tätigkeit von Auskunfteien und das
sog. Scoring betrifft, die Novelle III die Verbraucherkredit-RL umsetzt (§ 29 Abs. 6 und 7,
grenzüberschreitende Bonitätsabfragen).22
Der neue § 28a BDSG regelt zukünftig explizit vor allem die Datenübermittlung von Negativdaten
und Positivdaten an Auskunfteien,23 die Änderungen in § 29 leg. cit. erlauben (als komplementäre
Regelung) die Speicherung, Verarbeitung und Nutzung der nach § 28a übermittelten Daten durch
Auskunfteien.
Als Scoring wird ein mathematisch-statistisches Verfahren bezeichnet, mit dem aus Rohdaten ein
bestimmter Wert errechnet wird, der aussagen soll, wie hoch das Risiko eines Zahlungsausfalles
einer Person oder eines Unternehmens ist (Bonitätsrisiko). Während dieses Verfahren in
Deutschland bereits zu umfangreichen Diskussionen und Stellungnahmen in der Literatur24 und von
Datenschutzbehörden25 geführt hat, fehlt in Österreich derzeit – soweit ersichtlich – ein fundierter
wissenschaftlicher Diskurs über dieses aktuelle Thema.26 Die Auseinandersetzung mit den
Scoringverfahren in Deutschland führte nun dazu, dass eine eigene Bestimmung zur Verwendung
von Scorewerten (§ 28b) eingeführt wird und gemäß § 34 neu BDSG Auskunfteien, die damit die
Kreditwürdigkeit klassifizieren, künftig (ab 1.4.2010) u.a. offenlegen müssen, nach welchen
Kriterien sie ihre Bewertungen vornehmen. Zudem wurde das Verbot der automatisierten
Einzelentscheidung (§ 6a BDSG; in Österreich § 49 DSG;27 Art. 15 DS-RL), welchem gerade beim
Scoring besondere Aufmerksamkeit zu schenken ist, konkretisiert.
2. Aktuelle europäische Entwicklungen
Auf EU-Ebene wurde von der Kommission 2008 eine Expertengruppe für Kredithistorien
eingesetzt,28 da der EU-weite Zugang zu Bonitätsinformationen über Verbraucher als wichtig für
die Erreichung eines Kreditbinnenmarktes angesehen wird. Die Expertengruppe, zusammengesetzt
19
Hier kann nur ein sehr kurzer, naturgemäß unvollständiger Überblick gegeben werden.
BGBl. I 133/2009.
21
BGBl. I Nr. 48 v. 31.7.2009, S. 2254 (siehe dazu BT-Drs. 16/13219, 16/10581, 16/10529); BGBl. I Nr. 54 v.
19.8.2009, S. 2814 (BT-Drs. 16/12011, 16/13657); BGBl. I Nr. 49 v. 3.8.2009, S. 2384 (BT-Drs. 16/11643).
22
BGBl. I Nr. 48 v. 31.7.2009, S. 2254 (BDSG-Novelle I); BGBl. I Nr. 49 v. 3.8.2009, S. 2384 (BDSG-Novelle III).
23
Siehe die bisher erschienene Literatur, Hoeren, Datenschutz und Scoring, Grundelemente der BDSG-Novelle I, VuR
2009, 363; Roßnagel, NJW 2009, 2716; Pauly/Ritzer, Datenschutz-Novellen: Herausforderungen für die Finanzbranche,
WM 2010, 8.
24
Abel, Rechtsfragen von Scoring und Rating, RDV 2006,108; Möller/Florax, Datenschutzrechtliche Unbedenklichkeit
des Scoring von Kreditrisiken? NJW 2003, 2724; Geis, Der Betroffene als Zahl - Wirtschaftsinteresse contra
Betroffenenrechte, RDV 2007, 1; Petri, Sind Scorewerte rechtswidrig? DuD 2003, 631; Piltz/Holländer, Scoring als
modernes Orakel von Delphi, ZRP 2008, 143; Wuermeling, Scoring von Kreditrisiken, NJW 2002, 3508; Weichert,
Datenschutzrechtliche Anforderungen an Verbraucher-Kredit-Scoring, DuD 2005, 582 u.a.m.
25
Beschluss des Düsseldorfer Kreises zu Kreditscoring und Basel II vom 19./20. April 2007.
26
Siehe aber die DSK-Verfahren K121.348/0007-DSK/2008 (Beschwerde beim VwGH anhängig, 2008/17/0096);
K121.313/0016-DSK/2007; K121.292/0011-DSK/2007 (Beschwerde beim VfGH anhängig, B 1994/07) und die
parlamentarischen Anfragen 3742/J 23. GP; 3746/J 23. GP.
27
Siehe nunmehr die DSG-Novelle 2010, die § 49 Abs. 3 DSG einen Verweis auf § 26 Abs. 2 bis 10 anfügt
(Erstreckung der Auskunftsrechts).
28
Beschluss vom 13.6.2008 2008/542/EG, ABI. L 173 vom 3.7.2008, 22.
20
aus 20 Vertretern der Kreditwirtschaft, Datenschutzbehörden, Verbraucherverbänden,
Kreditauskunfteien und Nationalbanken, legte Mitte 2009 ihren Abschlussbericht vor.29
Der Austausch von Kreditdaten unter Kreditgebern ist laut diesem Bericht eine wichtige
Komponente der Finanzinfrastruktur, die den Verbrauchern den Zugang zu Finanzierungsmitteln
erleichtert. Die Nutzung von Kreditdaten zur Beurteilung der Bonität von Kreditnehmern trage
demnach entscheidend dazu bei, die Qualität der Kreditportfolios zu verbessern und somit die
Risiken der Kreditgeber zu verringern. Sie helfe den Kreditgebern außerdem, ihren Verpflichtungen
in Bezug auf eine verantwortungsvolle Kreditvergabe nachzukommen. Allerdings könne die
grenzübergreifende
Kreditvergabe
durch
Unterschiede
zwischen
den
nationalen
Kreditmeldesystemen beeinträchtigt werden (siehe nur den unterschiedlichen Aufbau der Systeme
im Endbericht, Annex 3).
In diesem Zusammenhang ist auf die bis 12.5.2010 in nationales Recht umzusetzende
Verbraucherkredit-RL30 hinzuweisen, die in Art. 8 u.a. vorsieht, dass der Kreditgeber vor
Vertragsabschluss die Kreditwürdigkeit des Kreditnehmers „erforderlichenfalls“ mittels einer
Datenbank überprüfen soll. Da Art. 9 der RL bei grenzüberschreitenden Krediten auch einen nichtdiskriminierenden Zugang für Kreditgeber aus anderen Mitgliedstaaten zu Bonitätsdatenbanken im
jeweiligen Mitgliedsstaat vorsieht (siehe § 29 Abs. 6 und 7 BDSG), sind die ersten Voraussetzungen für eine Angleichung der Systeme gegeben. Darauf sollte u.E. eine zukünftige
Überarbeitung der DS-RL Bedacht nehmen.
3. Betroffenenrechte und deren Handhabung nach der aktuellen Judikatur,
insbesondere zu § 28 Abs 2 DSG 2000
Nach dem auch in der DS-RL vorgezeichneten System stellen die Betroffenenrechte (Art. 10 – 14;
siehe den 5. Abschnitt des DSG 2000), ergänzt durch die Informationspflicht, ein stimmiges System
dar. Zunächst soll der Betroffene davon informiert werden, dass überhaupt Daten über ihn
gespeichert werden. Dabei handelt es sich nicht um ein Recht des Betroffenen, sondern um eine
verwaltungsstrafrechtlich sanktionierte Verpflichtung des Datenverarbeiters. In diesem
Zusammenhang ist auch die Verpflichtung der Datenverarbeiter zu sehen, ihre Anwendungen im
Datenverarbeitungsregister (DVR) registrieren zu lassen. Das DVR ist ein öffentliches Register, nur
in besonderen Fällen soll darüber hinaus der Betroffene selbst zu verständigen sein.
Dann soll der Betroffene kostengünstig (in Österreich im Allgemeinen unentgeltlich, § 26 Abs. 6
DSG 2000) auf sein Ersuchen Auskunft über gespeicherte Daten erhalten. Sind diese im Hinblick
auf den Verwendungszweck unrichtig, so sind die Daten richtig zu stellen. Im Falle der
rechtswidrigen Verarbeitung oder im Fall, dass die Daten nicht mehr benötigt werden, hat der
Betroffene einen Anspruch auf Löschung. Um Betroffenen die Möglichkeit zu geben, dass
besondere, in der Person des Betroffenen vorliegende Umstände zusätzlich in Betracht gezogen
werden, kann er auch der Verarbeitung widersprechen und ebenfalls eine Löschung des Datensatzes
erreichen (Art. 14 DS-RL). 31
29
http://ec.europa.eu/internal_market/consultations/docs/2009/credit_histories/egch_report_en.pdf (19.01.2010).
RL 2008/48/EG vom 23.4.2008, ABl 2008 L 133, 66. Siehe die Umsetzung in der BRD mit BGBl. I Nr. 49 vom
3.8.2009, S. 2355; in Österreich liegt bisher nur ein Ministerialentwurf vor, 120/ME 24. GP.
31
Daraus kann der Umkehrschluss gezogen werden, dass die einer Datenverwendung zugrunde liegenden Interessen
allgemein zu prüfen sind, das heißt auf typische Interessenkonstellationen und damit i.A. nicht auf den Einzelfall
abzustellen ist. Eine Einzelfallprüfung hat auf Antrag des Betroffenen darüber hinaus dann stattzufinden, wenn er
Einzelfallinteressen dartut (§ 28 Abs. 1 DSG 2000), die über die typischerweise vorliegenden Betroffeneninteressen
hinausgehen. Anderes sehen das offenbar sowohl DSK (Empfehlung der DSK 7.5.2007, K211.773/0009-DSK/2007)
und OGH (12.11.2009, 6 Ob 156/09y), die von einer Verpflichtung zur Prüfung der Interessen im Einzelfall auszugehen
scheinen, die in dieser Form weder von der DS-RL noch im DSG 2000 vorgesehen ist.
30
Erwähnenswert ist auch, dass die DS-RL generell bei der Datenverwendung von einer
Interessenabwägung ausgeht (Art. 7 lit. f), eine Ausnahme dazu stellt die Möglichkeit dar, der
Verwendung seiner Daten zu Marketingzwecken zu widersprechen (Art. 14 lit b).32 Einen darüber
hinausgehenden Anspruch auf Löschung von richtigen und aussagekräftigen Informationen ohne
jede Interessenabwägung sieht die DS-RL nicht vor, bei Konflikten zwischen Auftraggeber-33 und
Betroffeneninteressen fordert auch § 1 Abs. 2 DSG 2000 eine Interessenabwägung.34
Über die Judikatur des OGH35 zur Anwendbarkeit des (begründungslosen) Widerspruches nach
§ 28 Abs. 2 DSG 200036 auf Auskunfteien (die angeblich öffentlich zugänglich seien) ist viel
diskutiert worden.37
Wie gehen nun Auskunfteien damit um, wenn ein Betroffener von diesem Recht Gebrauch macht?
In der Datenverarbeitung über Private, nur hier spielt dieses Recht in der Praxis auch eine Rolle,
werden, wie schon oben dargelegt, neben den Identifikationsdaten (Name, Anschrift,
Geburtsdatum) ausschließlich Daten über negative Zahlungserfahrungen, d.h. sogenannte
„Negativdaten“ verarbeitet. Da Auskunfteien schon aus Geschäftsinteressen höchst interessiert
daran sind, nur richtige und aussagekräftige Daten zu verarbeiten, gibt es in der Praxis überwiegend
eine Gruppe, der dieses „absolute Löschungsrecht“ zu Gute kommt, nämlich den wirtschaftlich
schwachen, ohnehin hoch belasteten Personen, denen es an der wirtschaftlichen Leistungsfähigkeit
fehlt, weitere Kreditgeschäfte einzugehen.
Kreditgeber haben bereits in der Vergangenheit die Erfahrung gemacht, dass bei nicht
identifizierten Antragstellern Vorsicht geboten ist: Im besten Fall handelt es sich um Personen, die
ihren Namen geändert haben, im schlechtesten Fall um einen versuchten Betrug durch eine fingierte
Identität. Manche Kreditgeber haben verschiedentlich bereits vor dieser oberstgerichtlichen
Judikatur davon Abstand genommen, den nicht identifizierten Betroffenen auf Rechnung zu
beliefern oder einen Kredit zu gewähren. Klarerweise hat sich seit der einschlägigen Judikatur die
Anzahl der Löschungsbegehren erheblich erhöht. Damit ist die Anzahl der Kreditgeber, die nicht
identifizierten Personen skeptisch gegenüber stehen, ebenfalls gestiegen.
Wie eben dargelegt, gehen DS-RL und DSG 2000 von der Löschung als „ultima ratio“ des
Schutzsystems aus: Mehr als löschen lassen kann sich der Betroffene nicht, insbesondere gibt es
keinen Anspruch des Betroffenen auf die Speicherung bestimmter, ihm angenehmer Daten.
Selbstverständlich steht es dem Betroffenen zu, nur die Löschung bestimmter Daten zu begehren.
Ob sich der Auftraggeber an den Umfang des Löschungsbegehrens hält oder den Datensatz
insgesamt (mit den Identifikationsdaten) löscht, bleibt ihm überlassen: Bereits der OGH hat in der
Entscheidung 6 Ob 195/08g hinsichtlich der Verpflichtungen des beklagten Auftraggebers
ausgesprochen, dass „diesen doch keine Pflicht [trifft], die um den vom Löschungsbegehren
betroffenen Datensatz reduzierte Eintragung in seiner Datei zu belassen.“
32
Siehe dazu auch die Diskussion zur BDSG-Novelle II (BGBl. I Nr. 54 v. 19.8.2009, S. 2814), Hoeren, Die
Vereinbarkeit der BDSG-Novellierungspläne mit der Europäischen Datenschutzrichtlinie, RDV 2009, 89 (91).
33
Im BDSG „Verantwortliche Stelle“.
34
Knyrim, Widerspruch gegen die Datenverarbeitung in Wirtschaftsauskunfteien? ecolex 2008, 1060.
35
OGH 1.10.2008, 6 Ob 195/08g; jüngst 12.11.2009, 6 Ob 156/09y, dazu Kastelitz/Leiter, jusIT 2010, Heft 1 (im
Erscheinen).
36
„Gegen eine nicht gesetzlich angeordnete Aufnahme in eine öffentlich zugängliche Datei (Anm. nunmehr
„Datenanwendung“, siehe BGBl. I Nr. 133/2009) kann der Betroffene jederzeit auch ohne Begründung seines
Begehrens Widerspruch erheben. Die Daten sind binnen acht Wochen zu löschen.“ Hervorhebung durch die Verfasser.
37
Dörfler, ecolex 2009, 636; Forgó/Kastelitz, jusIT 2009/11, 18; Jahnel, jusIT 2008/87, 184; Knyrim, ecolex 2008,
1060; Leissler, ecolex 2009, 181. Für deutsche Leser: das BDSG sieht eine ähnliche Norm (§ 29 Abs. 3) gegen die
Verwendung von Daten vor.
Langt nun bei einer Auskunftei ein Löschungsbegehren ein, steht es dieser zu, den Eintrag zur
Person vollständig zu entfernen und den (Teil-)Löschung begehrenden Betroffenen damit für den
Kunden unidentifizierbar zu machen. Wird vollständig gelöscht, geschieht dies insbesondere auch
im Interesse der Kunden der Auskunftei: Dieser möchte vor einem Risiko gewarnt und geschützt
werden. Ob dieser Schutz durch Übermittlung richtiger, schwerwiegender Zahlungserfahrungsdaten
oder durch Nichtidentifikation vonstattengeht, macht im Ergebnis keinen Unterschied.
4. Fazit und Ausblick
Informationen über die wirtschaftliche Leistungsfähigkeit und das vergangene Zahlungsverhalten
sind wirtschaftlich notwendig und werden aufgrund der rezenten wirtschaftlichen Entwicklungen
weiter an Bedeutung gewinnen. Die derzeitige Rechtsprechung des OGH zum Widerspruchsrecht
dient v.a. dem schlechtgläubigen Betroffenen, der die ihn betreffenden negativen Zahlungserfahrungen dem potentiellen Kreditgeber verheimlichen möchte.
Die einzelnen Behörden, die mit dieser Materie beschäftigt sind, erklären sich jeweils für
unzuständig, wer nun für eine notwendige Reform der datenschutzrechtlichen Grundlagen zuständig
wäre.38 Die Judikatur zu § 28 Abs. 2 DSG 2000 als einen Erfolg des Verbraucherschutzes zu feiern,
wäre u.E. zu kurz gedacht und hieße, strukturelle Regulierungsdefizite im hier besprochenen
Bereich auf die Betroffenen auszulagern. In diesem Zusammenhang ist daran zu erinnern, dass die
Datenschutzgesetzgebung zu Auskunfteien in den USA (Fair Credit Reporting Act 1970) die
(allgemeine) Datenschutzrechtsentwicklung in Europa mitbeeinflusst hat.39
Abschließend darf darauf hingewiesen werden, dass diese Situation nur Auskunfteien betrifft, die
ihren Sitz in Österreich haben und dass Betroffenenrechte sich grundsätzlich nach dem Recht des
Staates richten, in welchem der Auftraggeber seinen Sitz hat. Bedenkt man nun, dass die
Datenübermittlung im europäischen Binnenmarkt genehmigungsfrei ist, was u.E. eine nicht zu
unterschätzende Errungenschaft der geltenden DS-RL ist, liegt klar auf der Hand, dass die Fragen
der Bonitätsinformation, ihrer Zulässigkeit und insbesondere der Betroffenenrechte einer
europäischen, einheitlichen Regelung bedürfen.40
38
Die DSK wies bereits in ihrem Jahresbericht 2007 auf die große Rechtsunsicherheit in diesem Bereich und das
Erfordernis einer gesetzgeberischen Klarstellung hin, http://www.dsk.gv.at/DocView.axd?CobId=30637. Das BMJ
erteilte einer Änderung der geltenden Rechtslage anlässlich der Umsetzung der Verbraucherkredit-RL 2008/48/EG (die
in Art. 8 eine Verpflichtung zur Bewertung der Kreditwürdigkeit des Verbrauchers durch den Kreditgewährenden
vorsieht, wozu „gegebenenfalls“ auch einschlägige Datenbanken konsultiert werden sollen) im vorliegenden
Ministerialentwurf eine Absage, siehe die Erläuterungen zu § 7 Verbraucherkreditgesetz-Entwurf, 120/ME 24. GP. Um
eine angedachte GewO-Novelle ist es in letzter Zeit auch sehr still geworden.
39
Mallmann, Kreditauskunfteien und Datenschutz in den Vereinigten Staaten, in Kilian/Lenk/Steinmüller (Hrsg.),
Datenschutz, Juristische Grundsatzfragen beim Einsatz elektronischer Datenverarbeitungsanlagen in Wirtschaft und
Verwaltung, Toeche-Mittler Verlag, Frankfurt/M., S. 311 ff (1973). S.a. die Erläuterungen zur Regierungsvorlage DSG
1978, ErlRV 72 BlgNR 14. GP 9.
40
Siehe zur weitergehenden Frage der Datenschutz-Harmonisierung durch die DS-RL u.a. Brühann, Mindeststandards
oder Vollharmonisierung des Datenschutzes in der EG, EuZW 2009, 639 mwN; Rebhahn, Mitarbeiterkontrolle am
Arbeitsplatz, Facultas Verlag, Wien, S. 19 (2009) und die dort in FN 35, 36 zitierte EuGH-Judikatur; Hoeren, Die
Vereinbarkeit der BDSG-Novellierungspläne mit der Europäischen Datenschutzrichtlinie, RDV 2009, 89 (93 ff.).