noyb (die von Max Schrems gegründete Datenschutz-NGO) geht gegen Credit Scoring durch Wirtschaftsauskunfteien vor. Eine erste Beschwerde wurde in Österreich gegen die CRIF eingebracht.
Mit Beschwerde vom 31.7.2020 hat noyb in Vertretung eines Konsumenten eine Beschwerde gem. Art 77 DSGVO iVm Art 80 (1) DSGVO gegen die CRIF eingebracht.
Es geht um "Credit-Scoring", dh um die Bonitätsbewertung durch Wirtschaftsauskunfteien bzw. Banken oder Unternehmen, die vor Abschluss von Verträgen mit Kunden, die Bonität der Vertragspartner prüfen / prüfen lassen, und aufgrund einer bestimmten Logik einen Bonitätswert auf einer vordefinierten Skala einen Wert ermitteln.
Die Tätigkeit als Wirtschaftsauskunftei ist in der GewO geregelt, und es ist daher zulässig, dass ein Unternehmen eine Dienstleistung anbietet, und anderen anfragenden Organisationen Auskunft über die Bonitätsbewertung von natürlichen oder auch juristischen Personen gibt.
Die anfragenden Organisationen oder Unternehmen haben ein berechtigtes Interesse zu erfahren, wie es um ihre potentiellen Vertragspartner wirtschaftlich steht, und ob diese in der Lage sind, offene Forderungen, die aus dem Vertragsverhältnis entstehen, oder einen Kredit, zu bedienen und zurückzuzahlen, oder auch eine Identitätsprüfung durchzuführen.
Der "Scoring-Wert" spielt in diesem Zusammenhang eine große Rolle. Dabei verwendet die Wirtschaftsauskunftei personenbezogene Daten der betroffenen Person, und bewertet eine Ausfallwahrscheinlichkeit, dh die Wahrscheinlichkeit, dass diese Person Verbindlichkeiten bedienen wird können. Es wird daher eine "Zukunftsprognose" erstellt.
In Österreich gibt es keine explizite Bestimmung zur Verwendung von Scoring-Verfahren in Zusammenhang mit Wirtschaftsauskünften. In Deutschland wird dies in § 31 BDSG: Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsausküften geregelt.
In der Beschwerde behauptet noyb, dass CRIF die Bewertungslogik für die Ermittlung des Scoring-Wertes nicht offenlegt, und in der Auskunft gem. Art 15 DSGVO nicht bekannt gegeben hat. CRIF hat sich - nach Angaben von noyb - auf "Geschäftsgeheimnisse" berufen, und sich auf Art 15 (3) DSGVO gestützt.
Die DSB hat dazu (vor Geltung der DSGVO) in einem Verfahren entschieden:
" Der Beschwerde wird teilweise Folge gegeben und es wird festgestellt, dass die Beschwerdegegnerin den Beschwerdeführer in seinem Recht auf Auskunft verletzt hat, indem sie sich geweigert hat, ihm den logischen Ablauf der automatisierten Einzelentscheidungen für Zwecke der Bewertung der Kreditwürdigkeit (Bonität) des Beschwerdeführers darzulegen."
Es bleibt daher spannend, wie der "Wettstreit"
Auskunftsrecht gem. Art 15 DSGVO
vs
Betriebs- und Geschäftsgeheimnisse
ausgeht.
Eine weitere Frage im Verfahren wird sein, wer die Bewertung vornimmt, und den Scoring-Wert ermittelt. noyb steht auf dem Standpunkt, dass dies CRIF tut, und CRIF argumentiert, dass die Kunden (Banken, Energieversorger, ...) die Bewertung selbst vornehmen, und daher CRIF dafür gar nicht verantwortlich ist.
Zu erwähnen ist, dass der BGH (U. v. 22.2.2011, VI ZR 120/10) entschieden hat, dass der Scorewert selbst ein subjektives Werturteil, also eine Meinungsäußerung darstellt, deren Richtigkeit sowohl für die Aufsichtsbehörden als auch die Gerichte nur sehr beschränkt prüfbar ist.
Auszug aus dem Urteil:
"Danach ist die Annahme des Berufungsgerichts, bei der Mitteilung des Bonitätsbonus durch die Beklagte handele es sich nicht um eine Tatsachenbehauptung, sondern um eine Meinungsäußerung, nicht zu beanstanden."
5.8.2020, Autor
Michael Schweiger, zert DSBA
Kommentar schreiben