zur Übersicht

BDSG-Update: Änderungen beim Scoring und Einschränkung der Betroffenenrechte

Das Bundeskabinett hat in der vergangenen Woche den von Bundesinnenministerin Faeser vorgelegten Gesetzesentwurf zu einer Anpassung des Bundesdatenschutzgesetzes („BDSG“). Sollte das Gesetz so verkündet werden, wird das BDSG an entscheidenden Punkten geändert und damit Zugleich die Vorgaben der DSGVO in Teilen aufgeweicht. Im Fokus sind die Vorschriften zum Scoring. Hierzu hatte der EuGH vor kurzem eine Entscheidung getroffen, die das Geschäftsmodell nicht nur von Schufa und Co. ins Wanken bringen könnte. Ein weiterer Schwerpunkt ist, die Ergebnisse umzusetzen, die sich aus der Evaluierung des BDSG ergeben haben. Der Gesetzesentwurf vom 7. Februar 2024 ist hier abrufbar. Die aus unserer Sicht Wesentlichen Änderungen betreffen die folgenden Punkte:

Änderung der rechtlichen Grundlagen für das Scoring

Der Europäische Gerichtshofs („EuGH“) hat in seiner Entscheidung vom 7. Dezember 2023 festgestellt, dass bereits die Bildung eines Score-Wertes durch eine Auskunftei eine (verbotene) automatisierte Entscheidung im Sinne von Art. 22 DSGVO sein kann, wenn von diesem Score-Wert die Entscheidung eines Dritten maßgeblich abhängt. Dies ist in seiner Konsequenz nicht nur für Auskunfteien eine verehrende Auffassung, sondern hat konsequent weitergedacht Auswirkungen auf Profiling und ähnliche Clusterung von Kunden- und Interessentendaten durch Unternehmen. Hier will die Bundesregierung letzteren offenbar entgegenkommen.

Das Recht, keiner automatisierten Entscheidung unterworfen zu werden, wird durch den Gesetzesentwurf insoweit eingeschränkt, dass dies nunmehr ausdrücklich erlaubt sein soll, soweit es dazu dient, Wahrscheinlichkeitswerte zu erstellen, die entweder ein bestimmtes zukünftiges Verhalten der Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit einer Person oder ihre Zahlungsfähig- und -willigkeit durch Auskunfteien und unter Einbeziehung von Informationen über Forderungen bewerten.

Es ist wohl nicht übertrieben, hier von einer Lex Schufa zu sprechen, wenngleich sich das Kabinett rühmt, mit der neuen Regelung „dem Schutz von Verbraucherinnen und Verbrauchern“ zu dienen. Verboten soll es danach aber in der Tat sein, bestimmte besonders sensible personenbezogene Daten zu verarbeiten. So ist vorgesehen, dass für die Bildung von Wahrscheinlichkeitswerten beim Scoring folgende Daten nicht verwendet werden dürfen:

  • besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 Absatz 1 DSGVO,
  • der Name der betroffenen Person oder personenbezogene Daten aus ihrer Nutzung sozialer Netzwerke,
  • Informationen über Zahlungseingänge und -ausgänge von Bankkonten,
  • Anschriftendaten und
  • Daten, die minderjährige Personen betreffen.

Für Unternehmen dürfte dies insoweit vorteilhaft sein, als dass sie, falls es denn so kommt, nicht viel an ihren Prozessen zur Bonitätsprüfung ändern müssen. Ein Review ist allerdings angezeigt, da die zuvor genannten Daten außer Betracht bleiben müssen.

Inwieweit diese Änderung das Thema Profiling beeinflussen wird, lässt sich noch nicht sicher sagen. Manche Autoren sehen nach dem EuGH-Urteil bereits in der Nutzung von bestimmten Segmentierungstechniken eine ggf. unzulässige automatisierte Entscheidung im Einzelfall. Wer Kundenprofile führt und darauf basierend individuelle Ansprachen aussteuert, sollte also in jedem Fall eine rechtliche Analyse dieser Prozesse vornehmen lassen, um unangenehmen Überraschungen vorzubeugen.

Ob sich diese Einschränkung der DSGVO als europarechtskonform erweisen wird, ist eine zusätzliche spannende Frage.

Einschränkung der Betroffenenrechte und organisatorische Neuaufstellung der Behörden

Weitere Anpassungen betreffen Änderungen bei den Betroffenenrechte aus der DSGVO. Diese sollen insoweit eingeschränkt werden, als dass auch Geschäftsgeheimnisse ausdrücklich nicht mehr Gegenstand einer Auskunft sein dürfen. Aus unserer Sicht eine begrüßenswerte Änderung.

Weiterhin wird die Datenschutzkonferenz (DSK) im neuen BDSG verankert. Die DSK ist ein gemeinsames Gremium der Aufsichtsbehörden von Bund und Ländern und hat den Zweck, deine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten.

Unternehmen sowie Einrichtungen, die Daten für wissenschaftliche, historische oder statistische Zwecke verarbeiten, können künftig bei länderübergreifenden Vorhaben für die eine gemeinsame datenschutzrechtliche Verantwortung besteht statt mehrerer Aufsichtsbehörden nur eine Aufsichtsbehörde als Ansprechpartner wählen. Auch dies kann durchaus eine Erleichterung sein.

Das Gesetz muss nun noch vom Parlament beschlossen und verkündet werden. Wir halten Sie über die weiteren Entwicklungen gerne auf dem Laufenden.

Abonnieren Sie dazu doch einfach unseren Newsletter. Hier geht es zur Anmeldung.