wp09-verbraucher-scoring-und-datenschutzrecht
Dieses Dokument ist Teil der Anfrage „Gutachten des Sachverständigenrats für Verbraucherfragen“
16 VERBRAUCHER-SCORING AUS SICHT DES DATENSCHUTZRECHTS
3.1 Zweckbindungsgrundatz als verpflichtet festzustellen, ob der ursprüngliche Zweck
Begrenzung des Big-Data-Scoring? für den die personenbezogenen Daten erhoben wur-
den, auch mit dem Zweck des Scoring kompatibel ist.
Der Zweckbindungsgrundsatz, teilweise als beherr-
schendes Konstruktionsprinzip,52 Dreh- und Angel- Nach dem Zweckbindungsprinzip ist eine anlasslose
punkt53 oder Grundstein54 des Datenschutzrechts Datenerhebung nicht zulässig. Klar ist daher, dass die
bezeichnet, dient der Legitimation der Verarbeitung Zweckbestimmung zumindest präzise formuliert sein
personenbezogener Daten. Während dieser Grundsatz muss.56 Angesichts der Hinweis- und Warnfunktion des
im BDSG a. F. nicht explizit geregelt war, sondern sich Zweckbindungsgrundsatzes muss ausgehend vom ob-
vielmehr als implizite Voraussetzung in den Erlaub- jektiven Empfängerhorizont für den Betroffenen erkenn-
nistatbeständen zur Datenerhebung, -verarbeitung bar sein, wofür die Daten genau verwendet werden, ohne
und -nutzung des § 4 Abs. 1 BDSG a. F. wiederfand,55 hat dass es zu Zweifeln oder Mehrdeutigkeiten kommt.57
das Zweckbindungsprinzip durch seine ausdrückliche
Regelung in Art. 5 Abs. 1 lit. b) DSGVO nun eine eigen- Allerdings wird der Zweckbindungsgrundsatz weit
ständige rechtliche Verbindlichkeit erlangt. ausgelegt, so dass eine weite Zweckdefinition in Da-
tenschutzbestimmungen von der überwiegenden Mei-
„Personenbezogene Daten müssen für festgelegte, nung angesichts fehlender anderweitiger Vorgaben für
eindeutige und legitime Zwecke erhoben werden und rechtlich zulässig erachtet.58 Dabei wird kritisiert, dass
dürfen nicht in einer mit diesen Zwecken nicht zu ver- im Rahmen dieser Regelung offen bleibt, auf welcher
einbarenden Weise weiterverarbeitet werden; eine Abstraktionsebene ein Zweck zu bestimmen ist. Insbe-
Weiterverarbeitung für im öffentlichen Interesse lie- sondere im Hinblick auf die Frage, ob es im Laufe der
gende Archivzwecke, für wissenschaftliche oder histo- Datenverarbeitung zu einer Zweckänderung kommt,
rische Forschungszwecke oder für statistische Zwecke müsse festgelegt werden, ob sich der Zweck etwa auf
gilt gemäß Art. 89 Abs. 1 DSGVO nicht als unvereinbar den Geschäftstyp des Verarbeiters (Auskunftei) oder
mit den ursprünglichen Zwecken“ eher auf das jeweilige Vertragsverhältnis (Durchfüh-
rung einer Bonitätsabfrage) zu beziehen hat.59 Dies ist
Der Zweckbindungsgrundsatz wird im Zusammenhang wegen der oben beschrieben Probleme bei der Einwil-
mit der Erhebung der Daten relevant, die zur Score ligung im Scoring und Datenerhebungen wichtig.
berechnung eingesetzt werden. Da die personenbezo-
genen Daten selten originär für das Scoring erhoben Neben der Festlegung auf einen bestimmten Zweck
werden, sondern aus bereits bestehenden Datenquel- legt das Zweckbindungsprinzip fest, dass einmal für
len (z. B. Datenbanken, Verzeichnissen, Information bestimmte Zwecke erhobene Daten nicht in einer mit
durch andere Unternehmen) herrühren, sind die da- diesen Zwecken nicht zu vereinbarenden Weise wei-
tenverarbeitenden Unternehmen hier besonders dazu terverarbeitet werden dürfen (Zweckbindung im enge-
52 Schantz, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.02.2017, Rn. 13 zu Art. DSGVO Art. 5.
53 Frenzel, Datenschutzgrundverordnung, Paal/Pauly (Hrsg.), 1. Aufl. 2017, Rn. 23 zu Art. 5 DSGVO.
54 Schantz, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.02.2017, Rn. 12 zu Art. 5 DSGVO (als Zitat der Wendung „cornerstone of
data protection law“ der Artikel 29-Arbeitsgruppe, WP 203).
55 Ziegenhorn/von Heckel, „Datenverarbeitung durch Private nach der europäischen Datenschutzreform“, (2016), Neue Zeitschrift für Verwaltungsrecht,
Heft 22, S. 1585–1591, S. 1589.
56 Ziegenhorn/von Heckel, „Datenverarbeitung durch Private nach der europäischen Datenschutzreform“, (2016), Neue Zeitschrift für Verwaltungsrecht,
Heft 22, S. 1585–1591, S. 1589; Culik/Döpke, „Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data-Anwendungen“, (2017), Zeitschrift
für Datenschutz, Heft 5, S. 226–230, S. 227; Artikel 29-Arbeitsgruppe, WP 203, S. 15 f.
57 Helbing, „Big Data und der datenschutzrechtliche Grundsatz der Zweckbindung“, (2015), Kommunikation & Recht, Heft 3, S.145–150, S. 146.
58 Culik/Döpke, „Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data-Anwendungen“, (2017) Zeitschrift für Datenschutz, Heft 5, S. 226–
230, S. 227; Härting, „Zweckbindung und Zweckänderung im Datenschutzrecht“, (2015), Neue Juristische Wochenschrift, Heft. 45, S. 3284–3288, S. 3286
f; a. A. Schantz, „Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht“, (2016) Neue Juristische Wochenschrift,
Heft 26, S. 1841–1847, S. 1843.
59 Dammann, „Erfolge und Defizite der Datenschutzgrundverordnung“, (2016), Zeitschrift für Datenschutz, Heft 7, S. 307–314, S. 312.
III Problem: Datenverarbeitung 17
ren Sinne). Im zweiten Halbsatz von Art. 5 Abs. 1 lit. b) Auch der Grundsatz der Datenminimierung ist in der
DSGVO finden sich allerdings drei Ausnahmen vom DSGVO verschärft worden, was sich u. a. aus der For-
engen Zweckbindungsverständnis. Zudem bedeutet mulierung ergibt, nach der (in der englischen Fassung
Zweckbindung i. e. S. auch nicht, dass die Datenverar- noch deutlicher) eine Datenverarbeitung nicht
beitung absolut an einen Zweck gebunden ist, solange mehr nur „not excessive“ sein muss, sondern viel-
die neue Art der Datenverarbeitung im Rahmen eines mehr „limited to what is necessary“.63 Während § 3a
sog. Kompatibilitätstests mit dem ursprünglichen BDSG a. F. unter den Schlagwörtern „Datenvermeidung
Zweck als vereinbar erscheint.60 und Datensparsamkeit“ bislang überwiegend formelle
Anforderungen an die Datenverarbeitung in Form der
Der Zweckbindungsgrundsatz verfolgt das Ziel, Trans- Anonymisierung und Pseudonymisierung personen-
parenz und Nachvollziehbarkeit bei der Verarbeitung bezogener Daten stellte, hat der Grundsatz der Daten
personenbezogener Daten zu schaffen.61 Er hat zwar minimierung in der DSGVO zum Ziel, dass im Rahmen
das Potenzial, einen allzu leichtfertigen Umgang bzw. der Zweckbindung die Daten nicht nur quantitativ,
Handel mit personenbezogenen Daten zu begrenzen. sondern auch qualitativ begrenzt werden müssen,
Solange aber die Datenerhebung von einem präzi- wobei sich aus dem Begriff der „Minimierung“ im Ver-
se formulierten, aber inhaltlich potenziell durchaus gleich zu „Sparsamkeit“ eine möglichst weitgehende
weiten Verwendungszweck gedeckt ist, ist die nach- Begrenzung ableiten lässt.64
folgende Verarbeitung jedenfalls nach dem Zweckbin-
dungsprinzip zulässig. Das zeigt, dass die unterschied- Dabei ist allerdings fraglich, welchen Inhalt die in
lichen Ausnahmen zum Zweckbindungsgrundsatz Art. 5 Abs. 1 lit. c) DSGVO genannten Begriffe der Ange-
Big-Data-Anwendungen nicht grundsätzlich in Frage messenheit, Erheblichkeit und der Beschränkung auf
stellen. 62Für Scoring bedeutet das, dass auf Big-Data- das für die Verarbeitung notwendige Maß im Einzelnen
Analysen basierenden Scoring-Geschäftsmodelle nach an die Datenverarbeitung haben. Teilweise wird der
dem Zweckbindungsprinzip der DSGVO zulässig sind. Grundsatz der Datenminimierung als eine Ausprägung
des Verhältnismäßigkeitsgrundsatzes verstanden.65
Die Artikel 29 Datenschutzgruppe stellt hinsicht-
3.2 Vereinbarkeit von Scoring mit dem lich automatisierter Datenverarbeitung nach Art. 22
Grundsatz der Datenminimierung DSGVO fest, dass die Verantwortlichen zur Einhaltung
des Prinzips der Datenminimierung ihr Bedürfnis zur
Der Grundsatz der Datenminimierung ist in Art. 5 Abs. 1 Sammlung personenbezogener Daten rechtfertigen
lit. c) DSGVO niedergelegt: können sollten oder andernfalls erwägen sollten, ag-
gregierte, anonymisierte oder (sofern ausreichend si-
„Personenbezogene Daten müssen dem Zweck ange- cher) pseudonymisierte Daten zu verwenden.66
messen und erheblich sowie auf das für die Zwecke der
Verarbeitung notwendige Maß beschränkt sein.“ Hinsichtlich der Einhaltung des Grundsatzes der Da-
tenminimierung besteht eine Rechenschaftspflicht
des Datenverarbeiters nach Art. 5 Abs. 2 DSGVO. Wie
60 Albers, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 22. Edition, Stand: 01.11.2017, C. H. Beck Verlag, Rn. 68 ff. zu Art. 6 DSGVO.
61 Frenzel, Datenschutz-Grundverordnung, Paal/Pauly (Hrsg.), 1. Aufl. 2017, Rn. 27 zu Art. 5 DSGVO.
62 Culik/Döpke, „Zweckbindungsgrundsatz gegen unkontrollierten Einsatz von Big Data-Anwendungen“, (2017), Zeitschrift für Datenschutz, Heft 5,
S. 226–230, S. 230.
63 Schantz, „Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht“, (2016), Neue Juristische Wochenschrift, Heft
26, S. 1841–1847, S. 1843. So auch Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, Nomos Verlag, Rn. 6 zu Teil 2: Grundsätze der DSGVO.
64 Frenzel, Datenschutz-Grundverordnung, Paal/Pauly (Hrsg.), 1. Aufl. 2017, Rn. 34 zu Art. 5 DSGVO.
65 So im Detail: Schantz, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.02.2017, Rn. 24 ff. zu Art. DSGVO Art. 5. Andere Auslegung
bei: Frenzel, Datenschutz-Grundverordnung, Paal/Pauly (Hrsg.), 1. Aufl. 2017, Rn. 34 ff. zu Art. 5 DSGVO. Pötters weist darauf hin, dass Datensparsamkeit
vor allem auch die mehrfache Nutzung von Daten einschränkt: Pötters, Datenschutz-Grundverordnung, Gola (Hrsg.), 2017, C. H. Beck Verlag, Rn. 22 zu
Art. 5 DSGVO.
66 Artikel 29-Arbeitsgruppe, WP 251: „Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation”, S. 11.
18 VERBRAUCHER-SCORING AUS SICHT DES DATENSCHUTZRECHTS
aber kann der scorende Datenverarbeiter ggf. die Ver- zung weggefallen, dass personenbezogene Daten
hältnismäßigkeit bzw. begrenzte Datennutzung nach- „geschäftsmäßig“ nur dann genutzt werden dürfen,
weisen? Reicht allein das Bestehen einer statistischen wenn dem kein schutzwürdiges Interesse des Betrof-
Korrelation zwischen den erhobenen Daten und dem fenen entgegensteht. Abgesehen von den Problemen,
verfolgten Zweck für die Einhaltung des Grundsatzes das schutzwürdige Interesse des Betroffenen festzu-
der Datenminimierung aus? Natürlich schließt sich stellen, ist es konzeptionell bedenklich, dass eine sol-
hier die Frage an, welche Stelle die Einhaltung der Vor- che Schnutznorm nicht weitergeführt wird.
schriften in dieser Detailtiefe überhaupt überprüfen
kann. Letztendlich kann es sich hier nur um einen Maß- Außerdem stellen beispielsweise Art. 22 Abs. 2
stab handeln, der der Bewertung streitiger Einzelfälle DSGVO, § 37 BDSG n. F. mehrere Ausnahmen auf, die
dient. Der Grundsatz der Datenminimierung damit we- dazu führen, dass die potenziell weitreichenderen
niger geeignet, ein Datenverarbeitungsverfahren ins- Normen nicht auf Scoring anwendbar sind. Dies gilt
gesamt auf seine Datensparsamkeit hin zu bewerten insbesondere für den Fall, dass der Betroffene in die
und systemimmanente Defiziten zu korrigieren. automatisierte Datenverarbeitung einwilligt oder die
automatisierte Entscheidung für den Abschluss oder
Im Ergebnis dürfte auch auf großen Datenmengen be- die Erfüllung eins Vertrags zwischen der betroffenen
ruhendes Scoring mit dem Grundsatz der Datenmini- Person und dem Verantwortlichen erforderlich ist.
mierung zu vereinbaren sein, sofern die Datenverarbei- Eine automatisierte Entscheidung ist zudem auch im
ter nachweisen können, dass ihre Berechnungen nicht Rahmen der Leistungserbringung nach einem Versi-
in gleicher Weise mit weniger oder anderen Daten cherungsvertrag zulässig, soweit dem Begehren der
angestellt werden können und der Nutzen des Scoring betroffenen Person stattgegeben wurde.
nicht außer Verhältnis zur Beeinträchtigung der Inter-
essen des Betroffenen stehen. Der Zweck des § 31 BDSG n. F., den Wirtschaftsverkehr
zu schützen, spiegelt sich auch in der Zentralität der
Einwilligung für das Datenschutzrecht wider. Dabei ist
die Ineffektivität der Einwilligung als Erlaubnistatbe-
stand für die Datenverarbeitung eines der Hauptproble-
4. Zwischenergebnis me im Datenschutzrecht. Dass die Einwilligung teils zur
Umgehung eigentlich Schutz bietender Vorschriften wie
Festzuhalten ist zunächst, dass Scoring i. S. d. § 31 etwa Art. 9 DSGVO vergleichsweise einfach herangezo-
BDSG n. F. primär dem Schutz des Wirtschaftsver- gen werden kann, ist aus verbraucherschützender Per-
kehrs dient. Dies ergibt sich schon aus dem Titel des spektive bedenklich. Es stellt sich die Frage, ob es nicht
§ 31 BDSG n. F. Dieser Schutzzweck mag auch die di- Bereiche im Datenschutzrecht geben sollte, in denen
versen Schutzlücken erklären, die im Bezug auf den die Einwilligung des Betroffenen keine die Datenverar-
Datenschutz des Betroffenen entstehen. Einige dieser beitung rechtfertigende Wirkung entfalten sollte. Ins-
Schutzlücken mögen dem Umstand geschuldet, dass besondere für die Verarbeitung besonderer Kategorien
das BDSG n. F. anders als sein Vorgängergesetz als Er- personenbezogener Daten wäre dies zu erwägen.
gänzung eines anderen Regelungswerkes, der DSGVO,
konzipiert ist. Der deutsche Gesetzgeber hatte damit Etwaige Lösungsvorschläge sind bisher nicht vom Ge-
die Möglichkeit, Regelungsspielräume auszuschöpfen setzgeber aufgegriffen worden. Die Forderung, die Einwil-
und strengere oder mildere Vorschriften zu erlassen. ligung wegen der unscharfen, aber nach der DSGVO wohl
Im Hinblick auf die Datenverarbeitung haben wir ge- zulässigen Zweckbestimmungen der Datenverarbeitung
sehen, dass der Gesetzgeber die Anforderungen oft- nicht als Rechtfertigungsgrund bei Big-Data-Analysen
mals gelockert hat. gelten zu lassen, wird teilweise als Entmündigung des
Betroffenen bezeichnet. Alternativ wird vorgeschlagen,
So ist beispielsweise eine Kopplung von Vertrags- dass die betroffene Person von vornherein bestimmte
schluss und Datenverarbeitung nicht mehr gänzlich Verwendungszwecke zulassen bzw. ausschließen kann
ausgeschlossen. Es ist außerdem die Vorausset- oder zunächst nur in die Datenverarbeitung und an-
III Problem: Datenverarbeitung 19
schließend in die Nutzung des Ergebnisses einwilligt.67 Es
wird auch überlegt, Einwilligungen für Big-Data-Analysen
grundsätzlich nur zeitlich begrenzt zu ermöglichen.68 Da-
rüber hinaus bedarf es auch einer Auseinandersetzung
mit der Frage, wie die Informiertheit und Freiwilligkeit
des Betroffenen über die umfangreichen theoretischen
Anforderungen hinaus auch praktisch erreicht werden
kann. Art. 42 DSGVO bietet bereits einige Lösungsansät-
ze. Auch der Vorschlag des „One Pagers“69 sollte diskutiert
werden. Bisher haben solche Vorschläge keinen Eingang
in die gesetzlichen Regelungen gefunden.
Außerdem zeigt ein Blick auf die Grundsätze der
Zweckbindung und Datenminimierung, dass in den
Einzelheiten unklar ist, wie die Grundsätze insbeson-
dere im Zeitalter von Big Data bei Scoring operationa-
lisiert und durchgesetzt werden können. Insbesondere
der Grundsatz der Datenminimierung stellt zwar den
Anspruch, die verarbeitete Datenbasis auch qualitativ
zu fördern, in der Praxis dürfte er aber eher als Maßstab
für Bewertungen individueller Problemfälle dienen als
für die Gewährleistung insgesamt datensparsamer Ver-
arbeitungssysteme. Der Datenminimierungsgrundsatz
wird überwiegend eng ausgelegt und angewandt. In
Bezug auf den Zweckbindungsgrundsatz ist das Pro-
blem dagegen die weite Auslegung, so dass Unterneh-
men bei der Festlegung des Zwecks ihrer Datenverar-
beitung großen Spielraum haben. Der verhältnismäßig
stark schutzorientierte Wortlaut der entsprechenden
Regelungen läuft in der Praxis damit ins Leere.
67 Schulz, Datenschutz-Grundverordnung, Gola (Hrsg.), 1. Auflage 2017, C. H. Beck Verlag, Rn. 32 zu Art. 7 DSGVO.
68 Martini, „Big Data als Herausforderung für den Persönlichkeitsschutz und das Datenschutzrecht“, (2014), Deutsches Verwaltungsblatt, Heft 23,
S. 1481–1489, S. 1486.
69 Siehe z. B. die Forderung des SVRV nach der Einführung eines One-Pagers in SVRV, Digitale Souveränität, 2017, S. 20 f.
20 VERBRAUCHER-SCORING AUS SICHT DES DATENSCHUTZRECHTS
IV Problem: Datenbasis
In diesem Abschnitt befassen wir uns mit der Frage räzision der für Scoring genutzten Daten. Außer-
P
der Anforderungen an die für Scoring genutzte Da- dem ergeben sich Probleme der Privatsphäre und
tenbasis. Problematisch ist insbesondere die Rich- der Möglichkeit zur Diskriminierung.
tigkeit und Aussagekraft, sowie die Verwendung
besonders sensibler Daten wie Geschlecht oder ge-
sundheitsbezogene Daten. Unternehmen werben
z. B. zunehmend damit, dass Daten aus sozialen
Netzwerken benutzt werden, um Kreditfähigkeit bes- 1. Richtigkeit und
ser zu bestimmen.70 Die Nutzung bestimmter Daten
für die Herstellung von Wirkungszusammenhängen
Aussagekraft der Daten
ist aber gesellschaftspolitisch nicht unumstritten.
Hierzulande hat die Schufa beispielsweise einen Immer wieder werden Fälle bekannt, in denen es bei
Pilotversuch zur Einbeziehung von aus Facebook Verbrauchern zu schlechten Scorewerten aufgrund
generierten Daten in die Scorewertberechnung auf- von Namensverwechslungen oder veralteten und
grund öffentlicher Kritik einstellen müssen.71 mittlerweile unrichtigen Daten kommt.73 Es stellt sich
deshalb die Frage, welche Maßnahmen das Daten-
Das zugrundliegende Problem liegt in den Verspre- schutzrecht bietet, um die Richtigkeit der verwen-
chen von Big-Data-Analysen zur Entdeckung von deten Daten bei Scoring sicherzustellen. Im Rahmen
Wirkungszusammenhängen und der Erstellung von des BDSG a. F. war anerkannt, dass die Richtigkeit
Persönlichkeitsprofilen und Verhaltensmustern. Da- der Daten im Fall geschäftsmäßiger Datenerhebung
bei werden für Big-Data-Analysen möglichst viele und -speicherung zum Zweck der Übermittlung an
Daten gesammelt und verarbeitet, um noch präzise- Auskunfteien (§ 29 BDSG a. F.) eine Rolle spielte. Die
re Aussagen über Verhaltensmuster treffen zu kön- hier erforderliche Interessenabwägung fiel bei un-
nen. Darüber hinaus basiert Scoring auf der Entde- richtigen Daten stets zugunsten des Betroffenen aus,
ckung zugrundeliegender Wirkungszusammenhänge da aus juristischer Sicht die verarbeitende Stelle kein
zwischen Merkmalen und dem zu bestimmenden Interesse an der Erhebung und Verarbeitung falscher
Verhalten in Form von statistisch auftretenden Kor- Daten haben konnte.74 Dies wurde auch daran deut-
relationen. Diese datenbasierten Analysen verspre- lich, dass es bei der Berichtigungspflicht der verant-
chen bisher unbekannte Zusammenhänge zwischen wortlichen Stelle gem. § 35 Abs. 1 BDSG a. F. keiner
verschiedenen Phänomenen aufzeigen zu können. Interessenabwägung mehr bedurfte.75
Es ist dabei sowohl möglich, dass tatsächlich ein
Wirkungszusammenhang zwischen z. B. dem Wohn- Es war allerdings unklar, ob die datenverarbeitende
ort einer Person und der Wahrscheinlichkeit mit der Stelle (Auskunftei, Unternehmen) eine Pflicht zur Über-
sie eine Rechnung bezahlen wird, besteht, als auch, prüfung der Richtigkeit der Daten hat. Im BDSG a. F. gab
dass diese beiden Merkmale rein zufällig oder auf- es eine solche Prüfpflicht bislang nur, wenn ein entge-
grund einer anderen Ursache nebeneinander auftre- genstehendes schutzwürdiges Interesse des Betrof-
ten. Die Frage nach dem Ursachenzusammenhang fenen angenommen werden musste (§ 29 Abs. 2 Nr. 2
oder gar der Kausalität zwischen den verschiede- BDSG a. F.). Dies bedeutete, dass die Erhebung und
nen Merkmalen wird im Rahmen solcher Analysen Verarbeitung falscher Daten zugelassen wurde, sofern
nicht gestellt.72 Damit stellen sich Fragen nach der der Betroffene keine Indizien für deren Unrichtigkeit
70 Zum Beispiel die Firma Kreditech: https://www.golem.de/news/kreditech-deutsches-startup-bekommt-40-millionen-us-dollar-1406–107421.html.
71 Siehe dazu: http://www.spiegel.de/netzwelt/web/schufa-will-kreditdaten-bei-facebook-sammeln-a-837454.html (zuletzt abgerufen am (05.04.2018).
72 Dazu: Martini, „Big Data als Herausforderung für den Persönlichkeitsschutz“, (2014), Deutsches Verwaltungsblatt, Heft 23, S. 1481–1489, S. 1485.
73 http://www.sueddeutsche.de/geld/auskunftsdatei-fuer-kreditvergabe-tipps-zum-umgang-mit-der-schufa-1.1768547 (zuletzt abgerufen am 16.05.2018)
74 Dazu Buchner, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.02.2017, C. H. Beck Verlag, Rn. 66 zu § 29 BDSG; Grundlegend zur
Schutzwürdigkeit der Betroffeneninteressen bei unvollständigen oder veralteten Daten von Auskunfteien BGH NJW 1984, 1890 f.
75 Ehmann, Bundesdatenschutzgesetz, Simits (Hrsg.), 8. Auflage 2014, Nomos Verlag, Rn. 170 zu § 29 BDSG.
IV Problem: Datenbasis 21
vortragen konnte.76 Es oblag daher dem Betroffenen, Allerdings wird Art. 5 Abs. 1 lit. b) DSGVO dahinge-
die Richtigkeit seiner Daten festzustellen und sodann hend interpretiert, dass die verantwortliche Stelle
Berichtigung zu verlangen. Dies war angesichts der aktiv die Richtigkeit der erhobenen und genutzten
Probleme bei der Durchsetzung von Auskunftsrechten77 Daten überprüfen muss.82 Die Einführung dieses
bedenklich. Daher wurde vorgeschlagen, der datenver- nun allgemeingültigen Grundsatzes ist für die sys-
arbeitende Stelle die Pflicht aufzuerlegen, die dem Be- temübergreifende Gewährleistung einer gewissen
troffenen aus der Erhebung und Verwendung falscher Datenqualität grundsätzlich positiv zu beurteilen.
Daten erwachsenden Nachteile und Schäden zu min- Andererseits ist die Berichtspflicht aus § 28a Abs. 3
dern; dies sollte beispielsweise durch ein „risikoorien- BDSG a. F. weggefallen. Sie verlangte, dass bei Ände-
tiert angelegtes Stichprobenkonzept“ erreicht werden, rung von Daten, die an eine Auskunftei übermittelt
mit dessen Hilfe geprüft wird, ob übermittelte Daten wurden, eine Mitteilung der verantwortlichen Stelle
zutreffen, oder durch automatisierte Schlüssigkeits- an die Auskunftei zu erfolgen hat. Es bleibt abzuwar-
prüfungen oder Vertragsstrafenvereinbarungen für den ten, ob dies durch die Pflicht der verantwortlichen
Fall, dass sich übermittelte Daten, die erhoben wurden, Stelle für Datenrichtigkeit zu sorgen, aufgefangen
als unrichtig erweisen.78 Zudem wurde eine lückenlose werden kann. Außerdem ist Bezug des Art. 5 Abs. 1
Rückverfolgbarkeit der Datenherkunft gefordert.79 lit. B) DSGVO auf den Zweck der Verarbeitung unklar.
Ob sich an diesem Diskussionsstand mit der DSGVO Die tatsächliche Aussagekraft der für die Scorecard
etwas ändert, ist derzeit nicht abzusehen. Nach genutzten Daten kann nicht nur durch mangelnde
Art. 5 Abs. 1 lit. b) DSGVO muss die verantwortliche Richtigkeit, sondern auch durch die Verwendung
Stelle alle Maßnahmen treffen, „damit personenbe- von Schätzdaten geschmälert sein. Schätzdaten
zogene Daten, die im Hinblick auf die Zwecke ihrer sind Daten, die beim Berechnen des Scores einer
Verarbeitung unrichtig sind, unverzüglich gelöscht Person nicht vorliegen und deshalb aus anderen,
oder berichtigt werden“ können.80 Außerdem hält Er- vorliegenden Daten abgeleitet werden. Ein Beispiel
wägungsgrund81 71 Satz 6 DSGVO fest, dass der für das ist die Altersschätzung anhand des Vornamens oder
„Profiling“ Verantwortliche technische und organisato- die Herleitung des Familienstands einer Person
rische Maßnahmen ergreifen soll, aus öffentlich zugänglichen Verzeichnissen (z. B.
Adressbuch).83 Das Problem dabei ist, dass solche
„mit denen in geeigneter Weise insbesondere sicher- Daten losgelöst von den tatsächlichen Eigenschaf-
gestellt wird, dass Faktoren, die zu unrichtigen perso- ten und Verhaltensweisen des Betroffenen sind. § 31
nenbezogenen Daten führen, korrigiert werden und BDSG n. F. stellt allerdings keine Hürden in dieser
das Risiko von Fehlern minimiert wird, und personen- Hinsicht auf.
bezogene Daten in einer Weise sichern, dass den po-
tenziellen Bedrohungen für die Interessen und Rechte Der Bundesrat wollte in seinen Empfehlungen zum Ge-
der betroffenen Person Rechnung getragen wird“. setzesentwurf des § 28b BDSG a. F. eine Regelung ein-
führen, wonach Schätzdaten nicht für die Berechnung
76 Ehmann, Bundesdatenschutzgesetz, Simits (Hrsg.), 8. Auflage 2014, Nomos Verlag, Rn. 173 zu § 29 BDSG.
77 S
iehe dazu Spindler/Thorun/Wittmann, „Rechtsdurchsetzung im Verbraucherdatenschutz. Bestandsaufnahme und Handlungsempfehlungen“, 2017,
Studie für die Friedrich-Ebert-Stiftung.
78 Ehmann, Bundesdatenschutzgesetz, Simits (Hrsg.), 8. Auflage 2014, Nomos Verlag, Rn. 174 zu § 29 BDSG.
79 Ehmann, Bundesdatenschutzgesetz, Simits (Hrsg.), 8. Auflage 2014, Nomos Verlag, Rn. 174 zu § 29 BDSG.
80 Unterstützt wird diese Pflicht durch das Berichtigungsrecht des Betroffenen, Art. 16 DSGVO, § 58 BDSG n. F. Allerdings trägt der Betroffene die Beweis-
last für die Unrichtigkeit der Daten, was vor dem Hintergrund der mangelnden Transparenz der eingesetzten Datenbasis schwierig ist, s. dazu Paal,
DS-GVO, BDSG, Paal/Pauly (Hrsg.), 2. Auflage 2018, C. H. Beck Verlag, Rn. 15 zu Art. 16 DSGVO.
81 Die Verbraucherzentrale Bundesverband (vzbv) kritisiert, dass sich Schutzgewährleistungen für Betroffene in der DSGVO oft nur in den Erwägungsgrün-
den finden, was diese schwäche und ihre rechtliche Verbindlichkeit in Zweifel ziehe, s. http://www.vzbv.de/sites/default/files/vzbv_kurzbewertung_ds-
gvo.pdf (zuletzt abgerufen am 01.03.2018).
82 Pötters, Datenschutz-Grundverordnung, Gola (Hrsg.), 1. Auflage 2017, C. H. Beck Verlag, Rn. 24 zu Art. 5 DS-GVO.
83 ULD Schleswig-Holstein / GP Forschungsgruppe, Scoring nach der Datenschutznovelle 2009 und neue Entwicklungen, (2014), S. 34.
22 VERBRAUCHER-SCORING AUS SICHT DES DATENSCHUTZRECHTS
des Score-Wertes verwendet werden dürfen.84 Als 2. Wissenschaftlichkeit des
Begründung führte er aus, dass die Aussagekraft von
Wahrscheinlichkeitswerten durch die Verwendung von
Scoringverfahrens
Schätzdaten gemindert wird. Dieser Vorschlag des Bun-
desrates fand jedoch keinen Eingang in das BDSG a. F.. Um sicherzustellen, dass nur solche Daten zur
Der Bundesregierung ging das Verbot von Schätzdaten Scorewert-Berechnung verwendet werden, mit denen
zu weit, weil diese bereits der Kennzeichnungspflicht das jeweilige Verhalten einer Person tatsächlich
nach § 35 Abs. 1 BDSG a. F. unterlagen und weil oh- bestimmt werden kann, stellt § 31 Abs. 1 BDSG n. F.
nehin nur „richtige“ Daten verwendet werden dürfen; die Bedingung auf, dass die Erheblichkeit der Daten
diese „besonders hohen Anforderungen“ sah die Bun- unter Zugrundlegung eines wissenschaftlich an-
desregierung als ausreichend an.85 Dies bedeutet, dass erkannten mathematisch-statistischen Verfahren
Schätzwerte nicht als unrichtig anzusehen sind, sofern nachweisbar sein muss. Das Scoring darf somit nicht
sie gem. § 35 BDSG a. F. gekennzeichnet waren.86 auf „Bauch-Faktoren“ basieren, wenn diese keine
statistische Signifikanz haben.88
Das BDSG n. F. greift dagegen die Kennzeichnungs-
pflicht für Schätzdaten nicht wieder auf. Auch die DS-
GVO verlangt keine explizite Kennzeichnung. Lediglich 2.1 Erheblichkeit der Daten für den Score
Erwägungsgrund 71 DSGVO wird dahingehend interpre-
tiert, dass nicht entsprechend gekennzeichnete Infor- Es verbleibt die Frage, in welcher Beziehung die ge-
mationen i. d. R. als unrichtig eingestuft werden müs- forderte Erheblichkeit der Daten beim Scoring aus
sen, da sie suggerieren, eine tatsächliche Eigenschaft § 31 Abs. 1 BDSG n. F. (dazu mehr unter IV.2.1) zu den
des Betroffenen zu betreffen, obschon es sich in Wirk- Anforderungen aus dem Grundsatz der Datenmini-
lichkeit nur um eine Eigenschaft handelt, die mit eini- mierung, insbesondere der dort erwähnten Erheb-
ger Wahrscheinlichkeit auf den Betroffenen zutrifft.87 lichkeit der Daten, steht.89
Wie und von wem die Erheblichkeit der verwendeten
Daten für die Berechnung der Wahrscheinlichkeit des
bestimmten Verhaltens festzustellen ist, lässt der Ge-
setzgeber jedoch offen. Dies lässt Raum für eine weite
Auslegung des Merkmals der Erheblichkeit. Aus der
Tatsache, dass die Verwendung von Schätzdaten beim
Scoring nicht ausgeschlossen ist, wird gefolgert, dem
jeweiligen Datenverarbeiter stehe bei der Beurteilung
84 BR-Drs. 548/1/08, S. 13.
85 BT-Drs. 16/10581, S. 3.
86 Ehmann, Bundesdatenschutzgesetz, Simits (Hrsg.), 8. Auflage 2014, Nomos Verlag, Rn. 171 zu § 29 BDSG
87 Reif, Datenschutz-Grundverordnung, Gola (Hrsg.), 1. Auflage 2017, C. H. Beck Verlag, Rn. 16 zu Art. 16 DSGVO.
88 Von Lewinski, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.05.2017, C. H. Beck Verlag, Rn. 31.1 zu § 28b BDSGa. F. Dazu befinden
sich weitere Informationen in: Hessischer Landtag, Vorlage der Landesregierung betreffend den Sechzehnten Bericht der Landesregierung über die
Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, S. 20ff, abrufbar unter: http://starweb.
hessen.de/cache/DRS/16/0/01680.pdf, und in ULD Schleswig-Holstein, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für
Verbraucher, (Gutachten im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft – BMVEL –, 2005), S. 49 ff. (für das
Beispiel des Kredit-Scorings).
89 Unter Berücksichtigung der unterschiedlichen Regelungsbereiche des § 31 Abs. 1 BDSG n. F. und Art. 5 DSGVO mussten die Voraussetzungen beider
Normen vorliegen. D. h., dass aus der außerdem explizit erwähnten Erheblichkeit der Daten in § 31 Abs. 1 BDSG n. F. eine zusätzliche Anforderung an
den Datenverarbeiter abzuleiten ist. Im Gegensatz zu § 31 Abs. 1 BDSG n. F. verlangt der Grundsatz der Datenminimierung nicht den Einsatz eines wis-
senschaftlich anerkannten mathematisch-statistischen Verfahrens zum Nachweis der Erheblichkeit der Daten. Somit kann davon ausgegangen werden,
dass im Rahmen der Datenminimierung bereits eine Interessenabwägung, wie es zur Durchführung der Verhältnismäßigkeitsprüfung geboten ist,
ausreicht. Demgegenüber stellt § 31 Abs. 1 BDSG n. F. höhere Anforderungen an die Art und Weise, wie der Nachweis der Erheblichkeit der eingesetzten
Daten zu erbringen ist.
IV Problem: Datenbasis 23
der Erheblichkeit ein großer Beurteilungsspielraum stäbe können jedoch noch nicht aufgestellt werden.
zu. Mangels anders lautender, einschränkender ge- Beispielsweise hat das OLG Frankfurt a. M. festgestellt,
setzlicher Angaben ist davon auszugehen, dass die dass nicht aussagekräftige Kriterien nicht verwendet
in § 31 BDSG n. F. geforderte Erheblichkeit der Daten und offensichtlich signifikante Faktoren nicht außer
tatsächlich besteht, sofern ein wie auch immer gear- Acht gelassen werden dürfen.94 Das OLG stellte fest,
teter statistischer Wirkungszusammenhang zwischen dass die Verwertung nur eines Merkmals als Einzelfak-
dem fraglichen Merkmal und der zu bestimmenden tor in einem Scoringverfahren dem Maßstab der kom-
Wahrscheinlichkeit des Verhaltens festgestellt wurde. plexen, auf statistischen und wissenschaftlichen Algo-
Damit reicht der Spielraum des Datenverarbeiters bis rithmen beruhenden Bewertung nicht genügt.95 In dem
zur Grenze reiner Spekulation.90 Aufgrund dieses wei- Fall hatte eine Ratingagentur einem Unternehmen
ten Auslegungsspielraums ist § 31 Abs. 1 BDSG n. F. einen schlechten Bonitätscore erteilt, der lediglich
Kritik und der Forderung nach Konkretisierung ausge- darauf gestützt war, dass es sich um einen Einzelkauf-
setzt.91 Es seien weitere Erwägungen anzustellen, um mann handele, den keine Kapitalnachweispflicht tref-
über eine wissenschaftlich-statistische Signifikanz der fe. Die Agentur berief sich auf ihre Meinungsfreiheit,
Daten hinaus die Relevanz der Daten für den verfolgten für die es keine Rolle spiele, ob Kreditwürdigkeitsprü-
Zweck sicherzustellen. Dazu zähle, dass je nach Art fungen wahr oder falsch seien. Das Gericht sah dies als
des konkreten Vertragsverhältnisses ein unmittelbarer „verantwortungslose Oberflächlichkeit“ an. Allerdings
Zusammenhang zwischen dem jeweiligen Sachverhalt stellte das OLG München 2014 fest, dass sich für Betrof-
und dem zu bewertenden Merkmal, wie z. B. der Kre- fene kein Anspruch auf eine „vollständige“ Bewertung
ditwürdigkeit einer Person, bestehen muss. Dieses als aus § 28b BDSG a. F. ableiten lasse. Der Gesetzgeber ak-
Vertragsrelevanz bezeichnete Merkmal erfüllen nur sol- zeptiere, dass Scoring-Verfahren nur einen Ausschnitt
che Daten, die einen unmittelbaren Einfluss auf für den der über eine Person verfügbaren Informationen be-
jeweiligen Vertrag wichtige Vertragspflichten haben.92 rücksichtige, solange für die Berechnung ein mathe-
Im Bereich des Kreditscoring werden dafür beispielhaft matisch-statistisches Verfahren angewendet werde.96
solche Daten genannt, die mit dem Vermögen und Ein- Diese Beurteilung dürfte sich auch durch § 31 Abs. 1
kommen des Betroffenen in direktem Zusammenhang BDSG n. F. nicht geändert haben.
stehen. Erhebungen in Bezug auf den Wohnort, das Ge-
schlecht, den Haushalt, die Anzahl der Kinder oder den Ob das Recht des Betroffenen auf Vervollständigung
Kfz-Besitz seien dagegen nicht als relevant anzusehen. unvollständiger personenbezogener Daten aus Art. 16
S. 2 DSGVO die bislang geltenden Rechtslage zu ändern
Ein weiteres Problem wird außerdem in der Tatsache vermag, bleibt abzuwarten. Überwiegend wird davon
gesehen, dass nicht nur irrelevante Daten Einfluss auf ausgegangen, dass ein solches Recht bereits implizit
die Bewertung der Kreditwürdigkeit einer Person ha- aus §§ 20 Abs. 1, 35 Abs. 1 BDSG a. F. hervorging,97 so
ben könnten, sondern darüber hinaus eigentlich rele- dass sich durch die nun explizite Regelung keine Ände-
vante Daten zum Teil keine Berücksichtigung bei der rungen ergeben dürften. Wenngleich dies aus verbrau-
Bewertung fänden.93 In der Rechtsprechung gibt es cherschützender Sicht ein unbefriedigendes Ergebnis
zwar einige Fälle zu diesem Problem; einheitliche Maß- sein mag, kann als Argument hinzugefügt werden, dass
90 Wäßle/Heinemann, „Scoring im Spannungsfeld von Datenschutz und Informationsfreiheit“, (2010), Computer und Recht, Heft 6, S. 410–416, S. 412
91 Die Ausführungen beziehen sich hier insbesondere auf das Kreditscoring. ULD Schleswig-Holstein, Scoringsysteme zur Beurteilung der Kreditwürdig-
keit – Chancen und Risiken für Verbraucher, (Gutachten im Auftrag des Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft –
BMVEL –, 2005), S. 75 ff.
92 Siehe dazu auch: Petri, „Ist Credit-Scoring rechtswidrig?“, in: Sokol (Hrsg.) Living by numbers. Leben zwischen Statistik und Wirklichkeit“, S. 111–121.
93 ULD Schleswig-Holstein, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, (Gutachten im Auftrag des Bun-
desministeriums für Verbraucherschutz, Ernährung und Landwirtschaft – BMVEL –, 2005), S. 75.
94 OLG Frankfurt, Urteil vom 07.04.2015 – Az. 24 U 82/14.
95 OLG Frankfurt, Urteil vom 07.04.2015 – Az. 24 U 82/14.
96 OLG München, Urteil vom 12.03.2014 – 15 U 2395/13.
97 Worms, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 23. Edition, Stand 01.08.2017, C. H. Beck Verlag, Rn. 42 zu Art. 16 DSGVO.
24 VERBRAUCHER-SCORING AUS SICHT DES DATENSCHUTZRECHTS
der Zweck des Datenschutzrechts gem. Art. 1 Abs. 2 verteilungen entwickelt wurde. Die Verwendung des
DSGVO in dem Schutz der Grundrechte und Grundfrei- Gini-Koeffizienten wird im Bankwesen als Maß dafür
heiten natürlicher Personen und insbesondere deren verwendet, wie gut ein Ratingsystem gute von schlech-
Recht auf Schutz personenbezogener Daten besteht ten Schuldnern trennen kann, und trifft damit eine
und sich aus diesem Schutzauftrag kein Anspruch auf Aussage über die sogenannte Trennschärfe des Mo-
eine vollständige Darstellung der eigenen Person ab- dells, also des zur Berechnung von Scores eingesetzten
leiten lässt. Die Nichtberücksichtigung möglicherweise Algorithmus. Die Trennschärfe wird beim Scoring auch
erheblicher Daten beim Scoring ist demnach nach gel- mit der Exaktheit der getroffenen Aussagen bzw. der
tendem Datenschutzrecht zulässig. Prognosequalität in Beziehung gesetzt.100 Es gibt aber
noch weitere statistische Methoden zur Berechnung
der Güte von Scoring-Modellen gibt, Bisher wurde von
2.2 A
nforderungen an die Wissenschaftlichkeit Aufsichtsbehörden anerkannt, dass logistische Regres-
sionsmodelle den „Wissenschaftlichkeits“-Anforderun-
§ 31 Abs. 1 Nr. 2 BDSG n. F. besagt, dass die Erheblich- gen genügen.101
keit der Daten für das Scoring unter Zugrundelegung ei-
nes wissenschaftlich anerkannten mathematisch-sta- Nach zum Teil vertretener Ansicht soll es ausreichen,
tistischen Verfahrens nachzuweisen ist. Ähnlich führt dass das angewandte Verfahren im Sinne der Wissen-
Erwägungsgrund 71 der DSGVO aus, dass zur Gewähr- schaftlichkeit evident sei,102 beziehungsweise, dass
leistung einer fairen und transparenten Verarbeitung das Verfahren wissenschaftlichen Ansprüchen genü-
personenbezogener Daten, der für die Verarbeitung ge.103 Von anderer Seite wird darauf hingewiesen, das
Verantwortliche geeignete mathematische oder statis- Merkmal des wissenschaftlich anerkannten mathe-
tische Verfahren für das Profiling verwenden sollte.98 matisch-statistischen Verfahrens habe weniger eine
Es werden jedoch keine konkreten technischen oder materielle Bedeutung und diene hauptsächlich dem
wissenschaftlichen Anforderungen an automatisierte Zweck, den Aufsichtsbehörden die Überprüfung der
Datenverarbeitungen wie Scoring gestellt. Dies ist pro- Einhaltung der Vorschriften zu erleichtern.104 Diese Auf-
blematisch, weil die wissenschaftliche Anerkennung fassung sieht sich dem Einwand ausgesetzt, dass der
des eingesetzten Verfahrens durch die Aufsichtsbehör- Maßstab der Kontrolltätigkeit trotzdem unklar bleibt.
den nachvollzogen werden muss.
Außerdem wird auch ein Vergleich auf ähnlich gela-
Welche statistischen Maße anerkannt sind und welche gerte Vorschriften in §§ 107 Abs. 1 Nr. 2, 121a Abs. 2
Güte diese erreichen müssen, ist momentan unklar. Nr. 1 SGB V oder § 6 Abs. 2 Beihilfeverordnung (BhVO)
Einige Auskunfteien verwenden den sogenannten herangezogen. Die Rechtsprechung zu den genannten
Gini-Koeffizienten als Maßstab zur Abbildung der Güte Vorschriften zeige, dass „wissenschaftlich anerkannte
ihres Berechnungsmodells.99 Der Gini-Koeffizient ist ein Methoden“ lediglich die Beurteilung einer dritten, an
statistisches Maß, das zur Darstellung von Ungleich- einer Hochschule oder einer anderen Forschungsein-
98 Zum Teil wird aus diesen Anforderungen gefolgert, Art. 22 DSGVO sei auch auf die der letztendlichen Entscheidung vorgelagerten Prozesse beim
Scoring anwendbar, insbesondere das externe Scoring unter Beteiligung von Auskunfteien. Näher dazu: Taeger, „Verbot des Profiling nach Art. 22
DS-GVO und die Regulierung des Scoring ab Mai 2018“, (2017), Recht der Datenverarbeitung, Heft 1, S. 3–9, S. 6.
99 Dies hat sich aus verschiedenen Hintergrundgesprächen des SVRV ergeben und auch offizielle Quellen verweisen darauf. Siehe z. B.: https://www.
schufa.de/media/editorial/unternehmenskunden/dateien_1/pibs/branchenscores/score_3_0/90Jahre_1703_PIB_Branchenscores30_Banken_Web.
pdf, S. 2 (zuletzt abgerufen am 20.10.2017).
100 Siehe hierzu eine Auskunft der Schufa: https://www.schufa.de/media/editorial/unternehmenskunden/dateien_1/pibs/branchenscores/score_3_0/
90Jahre_1703_PIB_Branchenscores30_Banken_Web.pdf (zuletzt abgerufen am 01.03.2018).
101 ULD Schleswig-Holstein, Scoringsysteme zur Beurteilung der Kreditwürdigkeit – Chancen und Risiken für Verbraucher, (Gutachten im Auftrag des
Bundesministeriums für Verbraucherschutz, Ernährung und Landwirtschaft – BMVEL –, 2005), S. 48.
102 Von Lewinski, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.05.2017, C. H. Beck Verlag, Rn. 31 zu § 28b BDSG.
103 Kai von Lewinski/Dirk von Lewinski, „Evidenz-basierter Datenschutz“, (2014), Datenschutz und Datensicherheit, Volume 38, Issue 3, S. 175 ff.; krit. zur
faktischen Überprüfbarkeit: Weichert, „Scoring in Zeiten von Big Data“, (2014), Zeitschrift für Rechtspolitik, Heft 6, S. 168–171, S. 170.
104 Von Lewinski, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.05.2017, C. H. Beck Verlag, Rn. 33 zu § 28b BDSG.
IV Problem: Datenbasis 25
richtung als Wissenschaftler in der jeweiligen Fach- Laut Gesetzesbegründung zur Datenschutznovelle
richtung tätigen Person erfordere. § 28b BDSG a. F. 2009 führt die Wissenschaftlichkeit des mathematisch-
(und nun auch § 31 Abs. 1 BDSG n. F.) verlange dage- statistischen Verfahrens jedenfalls zu einer Dokumen-
gen keine „allgemein anerkannte“ wissenschaftlich tationspflicht der verantwortlichen Stelle.110 Anhand
Methode und stelle damit auch keine qualifizierte Wis- der Dokumentation soll die Wissenschaftlichkeit des
senschaftsklausel dar; dies sei Ausdruck der Entschei- Scoringverfahrens von den Datenschutzaufsichts
dung des Gesetzgebers, den Datenverarbeitern einen behörden nachvollzogen werden können. Allerdings
weiten Gestaltungsspielraum bei der Umsetzung der ist die Rolle der Datenschutzbehörden auf diesem Feld
Scoringregelungen einzuräumen.105 Diese Annahme jedoch in mehrerer Hinsicht problematisch.
wird offenbar von der Praxis gestützt, in der sich die
Datenschutzbehörden die Wissenschaftlichkeit solcher Erstens kann die Aufsichtstätigkeit ein industrieweites
Verfahren durch Vorlage von Gutachten der Verarbeiter mathematisches Standardmodell (im Sinne einer „best
bestätigen lassen.106 practice“) nicht ersetzen.111 Auch logistische Regressi-
onsmodelle stellen nicht zwingend einen industriewei-
Im Rahmen des Gesetzgebungsverfahrens zu § 28b ten Standard dar. Zu Recht wird auch kritisiert, dass
BDSG a. F. wurden weitergehende Kriterien für die Wis- den zuständigen Aufsichtsbehörden sowohl normative
senschaftlichkeit des Verfahrens erwogen: Der Bun- Kontrollansätze als auch personelle und technische
desrat forderte, den Wortlaut dahingehend zu ändern, Ressourcen fehlen.112 Dies stellt nicht nur ein Problem
dass „Verfahren verwendet werden, die insbesondere für die Behörden, sondern auch für die Datenverarbeiter
hinsichtlich ihrer Methodik dem Stand der Technik dar, die ihre Verfahren rechtssicher gestalten müssen.
entsprechen, und alle organisatorischen und techni- Der Umstand, dass Datenschutzbehörden oft externe
schen Vorkehrungen getroffen werden, um unrichtige Expertise in Anspruch nehmen, löst das Problem der
Bewertungen und fehlerhafte Dateneingaben zu ver- Nachvollziehbarkeit nicht. Bei der Beauftragung von
meiden“.107 Der Bundestag sah diese Anforderungen in externen Gutachten kann es zu Interessenkonflikten
dem Begriff des wissenschaftlich anerkannten, mathe- kommen. Bedenklich erscheint daher die Auffassung,
matisch-statistischen Verfahrens bereits als gegeben mit der Vorlage eines wissenschaftlichen Gutachtens
an und wies darauf hin, dass demnach Verfahren, die durch die Auskunftei an die Datenschutzaufsichtsbehör-
veraltet seien, nicht mehr zulässigerweise angewandt den entfalle jeder Anlass dazu, eine fehlende Überprü-
werden könnten.108 Daraus wird zum Teil gefolgert, die fung der wissenschaftlichen Qualität zu bemängeln.113
Wissenschaftlichkeit erfordere, dass die Verfahren ste- Es ist auch anerkannt, dass permanentes Monitoring
tig fortentwickelt werden.109 Damit wurde allerdings erforderlich ist, um Scoring-Methoden ständig auf ihre
offen gelassen, ob die vom Bundesrat geforderten Validität zu überprüfen, damit gesellschaftlichen Ent-
organisatorischen und technischen Vorkehrungen zur wicklungen Rechnung getragen werden kann. Externe
Vermeidung von unrichtigen Bewertungen ebenfalls Gutachten können diese Rolle kaum erfüllen.
durch den Begriff der Wissenschaftlichkeit der Verfah-
ren abgedeckt sind.
105 Wäßle/Heinemann, „Scoring im Spannungsfeld von Datenschutz und Informationsfreiheit“, (2010), Computer und Recht, Heft 6, S. 410–416, S. 413
unter Verweis auf BVerwG, Urteil vom 29.06.1995 – 2 C 15.94, abgedruckt in NJW 1996, S. 801 f.
106 Von Lewinski, BeckOK Datenschutzrecht, Wolff/Brink (Hrsg.), 20. Edition, Stand: 01.05.2017, C. H. Beck Verlag, Rn. 31 zu § 28b BDSG.
107 BR-Drs. 548/08, S. 9.
108 BT-Drs. 16/10581, S. 3.
109 Helfrich, Multimedia-Recht, Hoeren/Sieber/Holznagel (Hrsg.), 44. EL Januar 2017, Rn. 90 zu Teil 16.4.
110 BT-Drs. 16/10529, 10.10.2008, S. 16.
111 Zur Forderung nach einem Standardmodell näher: Geslevich-Packing/Lev-Aretz, „On Social Credit and the right to be unnetworked“, (2016),
Columbia Business Law Review, S. 340–425, S. 352.
112 Weichert, „Scoring in Zeiten von Big Data“, (2014), Zeitschrift für Rechtspolitik, Heft 6, S. 168–171, S. 170.
113 Taeger, Anmerkung zu BGH, Urteil vom 28.01.2014 – VI ZR 156/13, MultiMedia und Recht, Heft 7, S. 489–494, S. 493.
