|
DSGVO Art 4, 15, 17, 21-22, 82-83 Datenverarbeitung für Scoringzwecke - Probleme im Kredit-Scoring - Aktuelle rechtliche Bestimmungen - Recht auf Auskunft - Geldstrafe und Schadenersatzklage drohen - Conclusio Datenverarbeitung für Scoringzwecke Neben Wirtschaftsauskunftsdiensten und Banken greifen Versicherungen und zunehmend auch potentielle Arbeitgeber auf Scores zurück. Der folgende Beitrag behandelt Scoring im Zusammenhang mit Kreditwürdigkeit. Beim Kredit-Scoring durch Wirtschaftsauskunftsdienste und Banken wird auf Grund von Merkmalen des Kunden, wie Familienstand, Beruf, Arbeitgeber, Geburtsdatum oder Wohnort, ein Punktestand ermittelt, der Aufschluss geben soll, mit welcher Wahrscheinlichkeit der Kunde den Kredit zurückzahlen wird. Erst ab einem gewissen Wert wird eine Person als kreditwürdig angesehen und ein Kredit gewährt. Liegt der Scoring-Wert unter dieser Schwelle wird der Vertrag nicht oder unter schlechteren Konditionen geschlossen. Es zeigt sich, dass sowohl Zahlungsdaten (Einkommen, bestehende laufende Verbindlichkeiten, offene Kreditraten, etc.), als auch soziographische Daten (Ausbildung, Art der Beschäftigung, Arbeitgeber, Wohngegend, Familienstand, etc.) verarbeitet werden. Zum anderen werden oft alte oder ganz einfach falsche Daten zur Berechnung herangezogen, die die Aussagekraft des Scoring-Werts reduzieren. Um immer mehr und mehr Daten von einer Person zu bekommen, prüfen die meisten Auskunfteien ihre Datenlieferanten nicht sorgfältig, sodass der Dateninhalt oft nicht der Realität entspricht. Der österreichische Gesetzgeber hat es bis jetzt nicht geschafft eine Regelung bezüglich Scoring in das Datenschutzgesetz aufzunehmen. Es bedürfte einerseits einer gesetzlichen Lösung, die mehr Transparenz für den Betroffenen bringt und diesem seine Rechte aufzählt. Andererseits müsste die Regelung gewisse Qualitätsanforderungen für die Score-Berechnung statuieren. Anders sieht die Rechtslage in Deutschland aus, wo das Bundesdatenschutzgesetz (BDSG) um einige Paragraphen zum Thema Scoring erweitert wurde. Nach § 31 Abs 1 BDSG darf bei der Entscheidung über ein Vertragsverhältnis ein Score-Wert verarbeitet werden, wenn - (Zif 1) die Vorschriften des Datenschutzrechts eingehalten wurden, - (Zif 2) die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, - (Zif 3) für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden, - (Zif 4) im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren. Mit dieser Regelung soll sichergestellt werden, dass nur Daten verarbeitet werden, die für den Wahrscheinlichkeitswert eines bestimmten Verhaltens relevant sind. Ob das mit dem § 31 BDSG erreicht wird ist eine andere Frage. Zumindest werden grundlegende Erfordernisse an die Berechnung eines Scoring-Wertes gestellt. Nach einem Urteil des VwGH (2009/17/0223 11.12.2009) ist die Auskunftei bloß als Auftragsverarbeiter iS des Datenschutzrechts anzusehen, da sie zwar die von ihr gesammelten Daten zur Errechnung der Score-Werte heranzieht, das Berechnungsschema aber von ihrem Kunden kommt. Der VwGH hat entschieden, dass in dieser Konstellation, der Kunde (beispielsweise Bank, Mobilfunkanbieter) der Auskunftei als Verantwortliche iS des Datenschutzrechts anzusehen ist (alte Rechtslage bist 25.05.2018). Das Auskunftsbegehren nach Art 15 DSGVO muss deshalb an das Unternehmen (Bank) gestellt werden, dass der Auskunftei (Wirtschaftsauskunftsdienst) den Auftrag zur Berechnung eines Scores gegeben hat und das Berechnungsschema zur Verfügung gestellt hat. Den Kunden der Wirtschaftsauskunftei interessiert aber meist nur der Score und nicht, wie er berechnet wurde. Er kann somit nicht Auskunft über die Daten geben, die zur Berechnung des Scoring-Werts herangezogen wurden, da er sie nicht hat. Der Kunde kann daher nur den Score nennen, aber nicht, wie er zustande gekommen ist. In einem weiteren Urteil zum Thema Scoring (2008/17/0096 15.11.2012) hat der VwGH deshalb entschieden, dass sich das datenschutzrechtliche Auskunftsbegehren auch auf die durch den Auftragsverarbeiter im Rahmen des Auftrages verarbeiteten Daten erstreckt. Der Verantwortliche (Kunde der Auskunftei) ist verpflichtet, sich bei der Auskunftei über diese Daten zu erkundigen und sie an den Auskunftswerber weiterzuleiten (alte Rechtslage bis 25.05.2018). Um sich davor zu schützen, dass Wirtschaftsauskunftsdienste weiterhin personenbezogene Daten zu einem Score verwerten, sollte man sein Recht auf Löschung nach Art 17 DSGVO wahrnehmen bzw. der Verarbeitung seiner Daten nach Art 21 DSGVO widersprechen. Sowohl das Löschungsrecht, als auch das Widerspruchsrecht wird hierbei gegenüber der Auskunftei geltend gemacht, da sie bezüglich dieser Daten als Verantwortlicher iSd DSGVO anzusehen ist. mehr --> Auf Einträge in "schwarzen Listen" richtig reagieren mehr --> Auskunftsbegehren gemäß DSGVO Art 15 (Finanzdienstleister, Ban... mehr --> Widerspruch bzw. Löschung gemäß DSGVO Art 17-21 (Wirtschaftsau... mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf |
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr. |
© ARGE DATEN 2000-2024 Information gemäß DSGVO | webmaster |