Seit dem 25. Mai 2018 ist die europäische Datenschutz-Grundverordnung (DSGVO) unmittelbar geltendes Recht in allen Mitgliedsstaaten der Europäischen Union. Zeitgleich trat die neue, an die unionsrechtlichen Vorgaben angepasste Fassung des Bundesdatenschutzgesetzes (BDSG neue Fassung) in Kraft, um Kollisionen mit der DSGVO zu vermeiden. Erklärtes Ziel der DSGVO ist die Schaffung eines gleichwertigen Schutzniveaus für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung von Daten in allen Mitgliedsstaaten. So sind mit dem Inkrafttreten der DSGVO sämtliche in der EU ansässige Unternehmen, sowie auch solche, die Daten von EU-Bürgern verarbeiten, unabhängig von Branche und Größe, den neuen Regelungen unterworfen.
Welche Bedeutung die EU dabei dem Datenschutz zumisst, wird durch das vorgesehene - verhältnismäßig hohe - Strafmaß von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Jahresumsatzes deutlich, welches dem von Wettbewerbs- und Kartellrechtsverstößen gleicht.
Die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten spielt im Kreditgeschäft von Banken eine zentrale Rolle. Hierbei werden gesammelte Informationen insbesondere zur Bonitätsbewertung von (potenziellen) Kreditnehmern verwendet. Dies spielt bei Kreditabschluss sowie auch bei der späteren Bewertung der vergebenen Kredite innerhalb des Bankportfolios eine entscheidende Rolle. Letzteres wird insbesondere durch internationale Rechnungslegungsstandards, wie der kürzlich in Kraft getretene International Financial Reporting Standard (IFRS) 9, erforderlich. Die darin verankerte, erweiterte Verlustantizipation über die gesamte Restlaufzeit von Kreditgeschäften verlangt folglich eine zunehmend detailliertere Bonitätsbewertung.
Initial restriktiv
Als unverzichtbarer Bestandteil der Umsetzung erheben Kreditinstitute Daten und greifen gleichzeitig auf Informationen von Auskunfteien, wie etwa die Schufa, zurück. Auskunfteien sind privatwirtschaftlich geführte Unternehmen, die Informationen über die wirtschaftliche Betätigung, Kreditwürdigkeit und Zahlungsfähigkeit von Unternehmen und Privatpersonen sammeln und diese an anfragende Stellen - dann üblicher Weise entgeltlich - weitergeben.
In der umrissenen Weise hat die DSGVO augenscheinlich einen enormen Einfluss auf die Erhebung und Verwendung personenbezogener Daten. In diesem Beitrag werden daher mögliche Beschränkungen sowie auch sich aufbietende Chancen der DSGVO für das zukünftige Kreditgeschäft von Banken analysiert. Dies führt zu dem überraschenden Befund, dass die DSGVO zwar initial restriktiv wirkt, letztlich aber auch entscheidende Vorteile für bestehende und zukünftig möglicherweise notwendige Bonitätsbewertungssysteme mit sich bringen könnte.
Personenbezogene Daten im Kreditgeschäft von Banken
Die Bonitätsbewertung von Kreditnehmern dient in erster Linie der Einschätzung des Ausfallsrisikos. Dies geschieht üblicherweise durch "Scoringsysteme", die gespeist mit einer Vielzahl von als ausfallrelevant eingestufte Faktoren zu einen "Score" führen. Dieser lässt sich wiederum direkt in eine geschätzte Ausfallwahrscheinlichkeit des Kredites umwandeln, welches dem Kreditgeber die statistische Schätzung von erwarteten Verlusten auf Gesamtportfolio- oder Einzelgeschäftsebene erlaubt. Die bei der Schufa zu beziehenden "Scores" sind dort ähnlich - nämlich aus verschiedenen personenbezogenen Daten - berechnet und bilden bei der Kreditvergabe einen maßgeblichen Faktor zur Bonitätsbewertung.
Hier wird das vergangene Zahlungsverhalten des Kreditnehmers über einen möglicherweise sehr langen Zeitraum verwendet, welches aus unterschiedlichen Kanälen zusammengetragen wird. Weitere (personenbezogene) Daten erhebt die Bank beim Kundengespräch oder durch auszufüllende Formulare vor Kreditabschluss selbst, wofür vom Kreditnehmer bislang die Einwilligung zur Speicherung und Weiterverarbeitung eingeholt werden musste. Eine weitere Einwilligung des Kreditnehmers war zudem für die übliche Datenübermittlung zurück an die Schufa nötig, wogegen sich der Kreditnehmer kaum zur Wehr setzen konnte.
Sind Auskunfteien noch legitim?
Die DSGVO bringt nun einige Änderungen für die beschriebenen, multilateralen Beziehungen im Kreditkontext mit sich. Sind Auskunfteien vor diesem Hintergrund überhaupt noch legitim oder werden sie nun zumindest stark in ihrer Tätigkeit eingeschränkt? Die dort bislang verfügbaren Informationen könnten für Kreditgeber wegfallen, oder zumindest stark an Nützlichkeit verlieren. Insbesondere falls jedem Kreditnehmer ein unmittelbares Recht auf Löschung der eigenen Daten zustünde.
Der Wegfall von nicht nur nützlichen, sondern auch notwendigen Informationen zur Bonitätsbewertung könnte auch anwendende Konzerne der IFRS-Rechnungslegung in der Umsetzung ausbremsen. Hier wird seit 2018 eine erweiterte Verlustantizipation von Kreditgeschäften verlangt, welche darüber hinaus auf die gesamte Restlaufzeit einzelner Kreditgeschäfte abzielt.
Notwendig für sämtliche in Betracht kommende Schätzverfahren zum "Lifetime Expected Credit Loss" (LECL) sind - in sogar deutlich größerem Umfang und Detail verglichen zur traditionellen Risikoeinschätzung - Kreditnehmerdaten, welche in Sachen Umfang, Sichtweise und Detail grundsätzlich über die in bisherigen Bewertungssystemen genutzten Informationen hinausgehen sollten. Letztlich scheint nämlich nur darüber eine adäquate Bewertung gemäß dem Standard möglich.
Keine nennenswerten Hindernisse für Schufa-Abfragen zu erwarten
Zunächst ist festzustellen, dass sowohl die alte Fassung, dort §§ 28a, 28b, sowie 29 BDSG a.F. als auch die neue Fassung des BDSG, §§ 30 und 31 BDSG n.F. die Datenverarbeitung durch Auskunfteien explizit zulassen. Dabei war in der bisherigen Fassung des BDSG für die Datenerhebung regelmäßig eine Einwilligung des Betroffenen nötig, was gemäß Art. 6 I a DSGVO auch weiterhin so gilt.
Das bisherige Erfordernis einer Einwilligung zur Datenverarbeitung könnte jedoch durch Art. 6 I f DSGVO gravierend an Bedeutung verlieren. Demnach ist für die Zulässigkeit der Verarbeitung von Daten auch bereits die Wahrung von berechtigten Interessen des Verantwortlichen oder Dritter ausreichend. Zwar enthält dieser Absatz keine konkreten Abwägungskriterien für Interessen in spezifischen Bereichen, jedoch kann festgestellt werden, dass die Interessenabwägung im Bereich der datenschutzrechtlichen Regelungen zum Auskunfteiwesen bereits in § 28a, § 29 I Nr.1 und § 29 II BDSG a.F. von zentraler Bedeutung war. Insbesondere war dort die Speicherung von Daten durch Auskunfteien, als auch die Übermittlung dieser Daten an Dritte geregelt.
Die dabei getroffenen Argumentationen und Kriterien zur Interessenabwägung bei der Datenverarbeitung durch Auskunfteien können auch im Rahmen von Art. 6 I f DSGVO entsprechend Anwendung finden und dabei regelmäßig zugunsten der Auskunfteien ausfallen. Demnach ist mit keinen nennenswerten Hindernissen für den weiteren Betrieb der Schufa in gewohnter Form auszugehen.1)
Auf die Einwilligung kann verzichtet werden
Die Erhebung, Speicherung und Verarbeitung von personenbezogenen Daten wird darüber hinaus sogar eher erleichtert, indem auf Einwilligungen gänzlich verzichtet werden kann. Entsprechend wenig überraschend ist die Schufa den Empfehlungen von Aufsichtsbehörden gefolgt und hat auch an ihre Kunden2) weitergegeben, dass mit Inkrafttreten der DSGVO keine Einwilligung von betroffenen Personen mehr einzuholen ist. Die Datenerhebung solle stattdessen gemäß Art. 6 I f DSGVO über die Wahrung von berechtigten Interessen gerechtfertigt werden.
Dadurch erspart sich der Datensammelnde beziehungsweise Verarbeitende nicht nur den Akt des Einholens einer entsprechenden Einwilligung des Betroffenen, sondern vermeidet auch weitere Schwierigkeiten. Etwa die Frage der Wirksamkeit von Einwilligungen, die vor in Kraft treten der DSGVO abgegeben wurden, oder die freie Widerruflichkeit der erteilten Einwilligung und den daraus folgenden Verlust der Berechtigung zur Erhebung und Verarbeitung von Daten, sowie eventuelle Unwirksamkeiten wegen Verstoßes gegen das Kopplungsverbotes aus Art. 7 IV DSGVO.
Datenhistorien in Gefahr?
Durch Art. 17 I DSGVO wird Betroffenen explizit der Anspruch auf Löschung bereits erhobener Daten gewährt. Selbstredend kann dies das Geschäftsmodell der Auskunfteien, sowie auch die bisherigen Mechanismen der Bonitätsbewertung von Banken, stark gefährden. Die Daten könnten zwar in beschriebener Weise - legitimiert durch die Wahrung ihrer Interessen nach Art. 6 I f DSGVO - ohne Zustimmung der jeweilig Betroffenen erhoben werden, müssten jedoch unmittelbar auf Wunsch des Betroffenen gelöscht werden. Die dadurch verloren gehenden Datenhistorien erschweren oder verhindern die Anwendbarkeit von "Scoringsystemen", so wie die fundierte Schätzung von LECLs nach IFRS 9.
Das in Art. 17 I DSGVO postulierte Recht auf Löschung greift allerdings nur dann direkt, wenn für die Datenverarbeitung zuvor die Einwilligung des Betroffenen eingeholt wurde und es keine sonstige Rechtsgrundlage gibt (Art. 17 I b DSGVO). Genau eine solche Rechtsgrundlage besteht jedoch nun mit Art. 6 I f DSGVO, sodass einzig ein Widerspruchsrecht des Betroffenen nach Artikel 21 Abs. 1 DSGVO verbleiben würde.
Im Rahmen eines solchen Widerspruchs wird dann erneut eine Abwägung zwischen den Interessen des Datenverarbeitenden und denen der widersprechenden Person stattfinden müssen, welche wie bereits diskutiert regelmäßig zu Ungunsten des Widersprechenden ausfallen könnte.
Datenzugang wird eher erleichtert
Somit bleibt festzuhalten: Das teils erhoffte, teils befürchtete Ausscheiden von Auskunfteien durch die DSGVO scheint keine Realität zu werden. Stattdessen liegt die Vermutung nahe, dass die Bezugnahme auf die Wahrung berechtigter Interessen gemäß Art. 6 I f DSGVO den Datenzugang und die Verarbeitung sogar noch erleichtern wird.
- Demnach kann auf die Einwilligung des Betroffenen gänzlich verzichtet werden, sodass der Betroffene sein grundsätzlich vorgesehenes Recht auf Datenlöschung nur über den Umweg der erneuten Interessenabwägung, im Rahmen des Widerspruches, erreichen kann.
- Für die eigene Datenerhebung, -speicherung und -verarbeitung der Banken, sowie die Weitergabe resultierender Daten an Auskunfteien ist folglich auch keine Einwilligung des jeweils Betroffenen mehr nötig. Dies ist für diese darüber hinaus auch kaum empfehlenswert, da das Recht auf Widerruf dieser Einwilligung mit direkten Datenverlusten verbunden wäre.
- Aus einer begründeten Wahrung berechtigter Interessen ergeben sich zudem möglicherweise weitere Chancen für Banken, zusätzliche - etwa für die IFRS-Rechnungslegung hilfreiche - Daten zu erheben. Diese können die Anwendung verbesserter Kreditrisikosysteme
möglich machen, für deren Implementierung aktuell noch keine brauchbaren Daten erhoben werden oder nutzbar sind. Die Wahrung eines berechtigten Interesses wäre dafür scheinbar gegeben, immerhin dient eine ordnungsgemäße Rechnungslegung letztlich der Stabilisierung der Wirtschaft.
Insbesondere digitales Banking macht das Nutzungsverhalten von Kunden transparenter und daraus ableitbare Daten sind zudem - abgesehen von grundsätzlichen "Big Data"-Hürden - relativ kostengünstig zu erheben. Kunden nehmen allerdings bei Fragen der Speicherung und Nutzung der eigenen Daten meistens die gegensätzliche Position ein und stehen dem oft kritisch gegenüber. Folglich dürften Betroffene über die hier geschilderten Möglichkeiten gemäß der DSGVO wenig erfreut sein und auch bei Abwägungskriterien zur Wahrung berechtigter Interessen - der in diesem Beitrag klar festzustellenden Schlüsselthematik - eher einen restriktiven Kurs der Rechtsprechung bevorzugen.
Fußnoten:
1) Dies betrifft zunächst einmal nur das grundsätzliche Geschäftsmodell. Ob die Tatsache, dass die Schufa die kostenlose Auskunft nur postalisch und nicht online zur Verfügung stellt, mit Art. 15 III 3 DSGVO vereinbar ist, steht dagegen - Stand Juni 2018 - auf dem Prüfstand.
2) Regelmäßig Banken und Unternehmen.
Literaturquellen
Bluhm, C., Overbeck, L. & Wagner, C. (2010). Introduction to Credit Risk Modeling (2. Aufl.). Boca Raton, FL et al.: Chapman Hall.
Filusch, T. & Mölls, S.H. (2017a). "(Lifetime) Expected Credit Losses" als Mechanismus der Verlustantizipation nach IFRS 9. Zeitschrift für internationale und kapitalmarktorientierte Rechnungslegung (KoR), 17, S. 249-255.
Filusch, T. & Mölls, S.H. (2017b). "(Lifetime) Expected Credit Losses" im Rahmen der IFRS-Rechnungslegung. Zeitschrift für das gesamte Genossenschaftswesen, 67, S. 245-262.
Golland, Alexander, Das Kopplungsverbot in der Datenschutz-Grundverordnung, Multimedia und Recht 2018, Heft 3, Seite 130 ff.
Grünberger, D. (2013), Kreditrisiko im IFRS-Abschluss: Handbuch für Bilanzsteller, Prüfer und Analysten. Stuttgart: Schäffer-Poeschel.
Hartmann-Wendels, T., Pfingsten, A. & Weber, M. (2015), Bankbetriebslehre (6. Aufl.). Berlin, Heidelberg: Springer.
IASB - International Accounting Standards Board (2014), IFRS 9: Financial Instruments. Verfügbar unter ifrs.org.
Jahresbericht der Berliner Beauftragten für Datenschutz für 2016.
Kühling, Jürgen; Buchner, Benedikt; Datenschutz-Grundverordnung/BDSG Kommentar, 2. Auflage, München 2018.
Metz, Rainer (2012). Scoring: New Legislation in Germany. Journal of Consumer Policy, 35, S. 297-305.
Tätigkeitsbericht des hessischen Datenschutzbeauftragten (Nr. 45).
Verordnung (EU) des Europäischen Parlaments und des Rates vom 27. April 2016