Am 01.04.2010 ist die Novelle I des Bundesdatenschutzgesetzes in Kraft getreten. Auch Sie bringt wieder zahlreiche Neuerungen mit, von denen besonders Verbraucher stark profitieren können.

Den vollständigen Artikel als PDF finden Sie unter http://www.great-oak.de/downloads-informationsmaterial/

Nachfolgend finden Sie die wichtigsten Neuerungen erläutert:

1.    Auskunftspflichten

Die Auskunftspflicht nach § 34 BDSG ist weiterhin aktuell, wurde jedoch um einige Punkte erweitert. So müssen nun bei Fällen, die unter § 28 b BDSG fallen erweiterte Auskünfte erteilt werden. Diese hängen davon ab, um welche Stelle der Verarbeitung es geht. Bei der für die Entscheidung verantwortlichen Stelle (z.B. Hausbank) müssen zusätzlich zu den normalen Auskünften folgende Informationen zur Verfügung gestellt werden:

• die innerhalb der letzten sechs Monate vor Zugang des Auskunftsverlangens  erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte
• die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten
• das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form

Da die Novelle am 01.04.2010 in Kraft getreten ist, ist das erste Fälligkeitsdatum für den Ablauf der 6-monatigen Frist der 01.10.2010.

Externe Datenverarbeiter, die Daten zum Zwecke der Übermittlung erheben, verarbeiten oder speichern (z.B. Schufa, Ratingagenturen, Auskunfteien) haben nach § 34 Abs. 4 BDSG zusätzliche Informationspflichten. Diese sind:

• Auskunft über die in den letzten 12 Monaten vor dem Zugang der des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte, die Namen und letztbekannten Anschriften der Empfänger
• die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von dem Verarbeiter zur Berechnung angewandten Verfahren ergeben
• Auskunft über die zur Berechnung eingesetzten Datenarten
• Auskunft über das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form

Allgemein gilt zudem nach § 34 Abs. 8 BDSG, dass die Auskunft unentgeltlich einmal pro Jahr dem Betroffenen auf Anfrage zukommen zu lassen ist. Für weitere Auskünfte in einem Jahr darf eine Gebühr erhoben werden, die jedoch die unmittelbar durch die Anfrage entstandenen Kosten nicht übersteigen darf. Keine Gebühr darf zudem erhoben werden, wenn besondere Umstände die Annahme stützen, dass die Daten unrichtig sind.

2.    Neuregelung des Scoring

Das Scoring, ein mathematisches-statistisches Verfahren zur Ermittlung, ob eine bestimmte Person ein bestimmtes Verhalten zeigen (z.B. den Kredit nicht zurück zahlen) wird, wird durch die Neufassung des § 28 b BDSG geregelt. Anzuwenden ist § 28 b BDSG sowohl bei externen Scorings (z.B. Auskunfteien) als auch bei internen Scorings (Unternehmensscoring), die personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen erheben, verarbeiten oder nutzen.
Nach § 28 b BDSG ist ein Scoring zulässig wenn

1. Ein wissenschaftlich nachvollziehbares Verfahren zum Einsatz kommt, dass für den gewünschten Zweck auch geeignet ist,
2. Entweder bei externen Auskunfteien die zulässige Übermittlung der Daten nach § 29 BDSG  gegeben ist oder bei allen anderen Fällen die Vorrausetzungen des § 28 BDSG erfüllt sind,
3. für die Berechung nicht ausschließlich Anschriftdaten des Betroffen verwendet werden oder die weiteren verwendeten Daten nur einen verschwindend geringen Einfluss auf das Ergebnis haben (z.B. Bonität nach Wohnviertel bestimmen)
4. und im Falle der Nutzung der Anschriftdaten der Betroffene unterrichtet wurde, wobei die Unterrichtung zu dokumentieren ist.

3.    Datenübermittlung an Auskunfteien

Da die Auskunfteien davon leben, dass Dritte ihnen Daten übermitteln, die sie dann auswerten und weiterverkaufen, ist auch hier die gesetzliche Regelung überarbeitet worden. Die Zulässigkeit und Durchführung werden in § 28 a BDSG bestimmt. Unterschieden wird in § 28 a BDSG zwischen personenbezogenen Forderungsdaten (Zahlungsausfälle) an Auskunfteien in Abs. 1 und der Übermittlung von Kreditdaten an Auskunfteien durch Banken in Abs. 2.

Die Übermittlung von Forderungsausfällen ist grundsätzlich nur nach Eintritt der Fälligkeit zulässig. Des Weiteren muss zur Übermittlung die Wahrung eines berechtigten Interesses der verantwortlichen Stelle selbst oder eines Dritten gegeben sein. Und zusätzlich einer der nachfolgenden Fälle vorliegen:

• Forderung durch rechtskräftiges oder vorläufig vollstreckbares Urteil bestätigt bzw. Vorliegen eines Schuldtitels
• Zum Prüfungstermin nicht durch den Schuldner bestrittene Forderung nach § 178 InsO
• Anerkennung der Forderung durch den Betroffenen
• Der Betroffene wurde zwei Mal nach Eintritt der Fälligkeit gemahnt. Die erste Mahnung und die Übermittlung haben Abstand von mindestens vier Wochen und der Betroffenen wurde mit oder nach der ersten Mahnung aber noch vor Übermittlung über die geplante Übermittlung informiert. Zudem darf der Betroffene die Forderung nicht bestritten haben.
• das der Forderung zugrunde liegende Vertragsverhältnis darf auf Grund von Zahlungsrückständen fristlos gekündigt werden und die verantwortliche Stelle hat den Betroffenen über die bevorstehende Übermittlung unterrichtet.

Zur Übermittlung von Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses muss ein Bankgeschäft nach § 1 Abs. 1 S. 2 Nr. 2, ,8 oder 9 Kreditwesengesetz vorliegen. Eine Übermittlung ist zudem nur zulässig, wenn schützenswürdige Interessen des Betroffen die Interessen der Auskunfteien an den Daten nicht überwiegen.

Eine Übermittlung bei Girokontoverträgen ohne Überziehungsmöglichkeit ist nicht zulässig. Eine Übermittlung von Verhaltensweisen des Betroffenen ist generell immer verboten. Dies kann auch nicht durch eine Einwilligung durch den Betroffenen zulässig gemacht werden.

Nachträgliche Änderungen an einer der übermittelten Tatsachen hat die verantwortliche Stelle innerhalb eines Monats  der Auskunftei mitzuteilen. Diese hat der verantwortlichen Stelle die Löschung der alten Tatsachen zu bestätigen.  Diese Pflicht gilt sowohl für negative als auch positive Änderungen.

4.    Automatisierte Einzelentscheidungen

Die Neuregelung des § 6 a BDSG unterstreicht in Abs. 1 durch zusätzliche Erläuterung wann eine rein automatisierte Verarbeitung vorliegt, dass grundsätzlich alle automatisierten Einzelentscheidungen, die rechtliche Folgen haben oder den Betroffenen erheblich beeinträchtigen,  verboten sind. Mit der automatisierten Einzelentscheidung ist gemeint, dass Daten automatisiert durch Datenverarbeitungsanlagen erhoben, verarbeitet oder genutzt werden. Sobald ein menschlicher Entscheidungsträger ins Spiel kommt, liegt jedoch nach der Legaldefinition keine automatisierte Einzelentscheidung vor.

Ein zum Schein eingesetzter Entscheider zählt hier jedoch nicht.  Der Entscheider muss zur Änderung der Entscheidung sowohl befugt, als auch durch die Datengrundlage und Technik zur Entscheidungsänderung in der Lage sein.
In der Praxis sollte der Sachbearbeiter die erforderliche Ausbildung besitzen, einen Zugriff auf alle relevanten Daten haben und durch die Stellendefinition zur Entscheidung befugt sein.

Es gibt jedoch Ausnahmen, die eine solche Verarbeitung zulassen. Diese sind in § 6 a Abs. 2 BDSG geregelt.  Dies sind zum einen Entscheidungen die im Rahmen des Abschlusses oder der Erfüllung eines Vertragsverhältnisses getroffen wurden und positiv für den Betroffenen entschieden wurden. Und zum anderen, wenn die berechtigten Interessen des Betroffenen gewahrt wurden und dieser über das Vorliegen einer automatisierten Entscheidung nach Abs. 1 informiert wurde.

Zusätzlich müssen dem Betroffenen auf Verlangen die relevanten Informationen und Verfahren, die zu der Entscheidung geführt haben, vorgelegt und erläutert werden.
Der Abs. 3 des § 6 a BDSG hat sich nicht geändert. Nach wie vor hat der Betroffene durch ihn ein erweitertes Auskunftsrecht nach §§ 19 und 34 BDSG, dass um den logischen Aufbau der automatisierten Verfahren erweitert ist.

5.    Neue Bußgeldtatbestände

Mit den Neuregelungen kamen auch einige neue Bußgeldtatbestände hinzu. Diese sind in § 43 BDSG zu finden.

Bis zu 50.000 Euro sind fällig bei:

• unterbliebene, unrichtige, unvollständige oder verspätete Übermittlung von geänderten Tatsachen aus § 28 a BDSG an die Auskunftei
• allgemeine Verletzung nach Auskunftspflichten aus § 34 BDSG
• Verletzung der speziellen Auskunftspflicht nach § 34 BDSG (Scoring)
• Keine oder nicht rechtzeitige Verweisung des Betroffenen an die den Wahrscheinlichkeitswert berechnende Stelle durch die verantwortliche Stelle
• Fehlende, falsche, nicht vollständige oder nicht rechtzeitige Unterrichtung nach § 29 Abs. 7 BDSG

Bis zu 300.000 Euro oder bis zur Höhe des wirtschaftlichen Vorteils (Gewinnabschöpfung) sind fällig bei:

• unzulässiger Übermittlung an eine Auskunftei