rating service  security service privacy service
 
2010/04/22 VwGH ebnet den Weg zur „Scoring-Gesellschaft“
MMag. Michael Krenn
Ein bei Bonitätsdateien häufiges Problem ist, dass nicht nur konkrete Zahlungserfahrungsdaten von Schuldnern verarbeitet, sondern verschiedenste personenbezogene Daten zu abstrakten „Scoring-Werten“ zusammengefasst werden. Der Kunde eines Auskunftsdienstes erhält einen automatisch berechneten Wert, welcher den Betroffenen nur mehr als „guten“ oder „schlechten“ Schuldner einstuft. Welche Daten zur Berechnung herangezogen wurden, bleibt im Dunkeln.

Begreiflicherweise besteht bei Betroffenen ein großes Interesse daran, zu erfahren, welche Bedeutung ein bestimmter „Scoring-Wert“ hat und auf Basis welcher Daten die Kreditauskunftei zu ihrer Einschätzung gelangt ist. Eine bedenkliche Entscheidung des VwGH (2009/17/0223) schränkt den Auskunftsanspruch Betroffener hinsichtlich der Berechnung derartiger Scoring-Werte erheblich ein.

Auf dem Weg zur „Scoring-Gesellschaft“?

Die Praxis der Bonitätsbewertung anhand automatisierter Scoringwerte hat bei österreichischen Auskunfteiunternehmen in den vergangenen Jahren verstärkt Einzug gehalten. Statt realer Daten über Schuldner erhalten Kunden der Auskunftsdienste (Telekomunternehmen, Versandhäuser usw) oft nur einen automatisch berechneten Wert, der die Bonitätseinstufung eines Schuldners beschreibt. Welche personenbezogenen Daten zur Berechnung herangezogen werden bleibt unklar. Problematisch ist vor allem, dass nicht nur Zahlungsdaten des Betroffenen in die Berechnung einfließen (Zahlungserfahrungen, Exekutionsdaten, etc..), sondern auch allgemeine soziographische Daten (Familienstand, Alter, etc..) und sogar Daten seiner Wohnumgebung berücksichtigt werden, die alle keine individuelle Bonitätsrelevanz haben, sondern allenfalls im „Bevölkerungsdurchschnitt“ auf eine gesteigerte oder verringerte Bonität hinweisen könnten.

Die Verarbeitung derartiger Daten, ist im Rahmen von Auskunfteiunternehmen gesetzlich unzulässig, für den Betroffenen höchst störend - und für den Kunden der Auskunfteien meist nutzlos. Wenn derartige soziographische Daten in Bonitätsdatenbanken nicht direkt aufscheinen, sondern sich hinter abstrakten Scoringwerten „verstecken“, ist der unzulässige Eingriff oft nicht erkennbar. Die Erklärung des Zustandekommens eines „Scoring-Werts“ ist im Rahmen des Auskunftsanspruchs daher essentiell, um die Richtigstellungs- und Löschungsrechte Betroffener zu wahren.

Antrag auf Auskunft an Kreditauskunftei

Der Betroffene beantragte bei einer Auskunftei Auskunft über seine Daten. Der Betroffene erhielt zunächst die Antwort, dass seine personenbezogenen Daten zum Zweck der Ausübung des Auskunfteigewerbes nach § 152 GewO zur Weitergabe an den Empfängerkreis der kreditgebenden Wirtschaft gespeichert würden. Konkrete Informationen über Empfänger der Datenübermittlungen sowie über die "Scoring-Werte" enthielt das Auskunftsschreiben nicht.

Der Betroffene erhob Beschwerde bei der Datenschutzkommission. Im Zuge des Verfahrens gab die Unternehmung Auskunft über die Empfänger der Daten sowie über zwei "Scoring-Werte", die Bedeutung dieser Werte wurde aber nicht näher erläutert. Die Beschwerde zur Auskunft über die Berechnungsgrundlagen der Scoring-Werte wurde durch die DSK als unbegründet abgewiesen und ausgeführt, dass das Unternehmung den Standpunkt vertreten habe, dass sie bezüglich dieser "Scoring-Werte" nur Dienstleister ihrer Kunden sei, die mit Hilfe der "Scoring-Werte" die Bonität der Kunden und potentiellen Kunden bewerteten. Sie sei daher nicht auskunftspflichtig. Sie betreibe nur ein Zugangsportal zu Bonitätsdatenbanken, für die sie zum Teil selbst Auftraggeber sei, zum Teil jedoch nur Dienstleister. Die jeweiligen Scoring- Werte würde das Unternehmen zwar anhand eigner ermittelter Daten berechnen, allerdings nach Vorgabe eines Berechnungsschemas durch den Kunden, insoferne sei dieser Auftraggeber der Datenverarbeitung und alleine auskunftspflichtig.

VwGH: Keine Auskunftspflicht des Auskunfteiunternehmens zu „Scoring-Werten“

Gegen diesen Bescheid erhob der Betroffene Beschwerde an den Verwaltungsgerichtshof. Ausgeführt wurde vor allem, dass das Auskunfteiunternehmen sehr wohl Auftraggeber hinsichtlich der Scoring-Werte sei, da es die Berechnung anhand selbst ermittelter Daten vornehme. Unabhängig davon, ob das Berechnungsschema des jeweiligen „Scoring-Wertes“ durch den Kunden selbst zur Verfügung gestellt werde, bleibe dennoch das Auskunfteiunternehmen Auftraggeber, da der Kunde dem Unternehmen selbst keine Daten zur Berechnung überlasse, sondern lediglich eine abstrakte Vorgabe, wie anhand der Daten ein „Scoring-Wert“ zu ermitteln sei.

Wesentlich war vor allem, dass der jeweilige Kunde gar nicht in Kenntnis der zugrundeliegenden Daten war, sondern nur das Auskunfteiunternehmen, eine Erläuterung des Scoring-Wertes durch den Kunden im Rahmen eines Antrags auf Auskunft daher gar nicht möglich gewesen wäre. Dennoch folgte der VwGH der Argumentation des Betroffenen nicht. Die Argumentation dazu ist problematisch: Da gemäß § 4 Z 4 DSG 2000 Auftraggeber derjenige sei, der (allein oder gemeinsam mit anderen) die Entscheidung getroffen habe, Daten für einen bestimmten Zweck zu verarbeiten, sei entscheidungswesentlich, wer im Hinblick auf die Errechnung der "Scoring-Werte" als derjenige anzusehen sei, der die Entscheidung zur Verarbeitung der Daten getroffen habe. Da die Berechnung der "Scoring-Werte" auf jeweils ausdrücklichen Auftrag der Kunden und nach einem von diesen vorgegebenen Schema erfolge, werde die konkrete Entscheidung zur Verarbeitung der Daten vom jeweiligen Kunden getroffen. Daher sei nur dieser Auftraggeber und dem Betroffenen auskunftspflichtig.

Verwirrung um Auftraggeber- Dienstleister- Beziehung

Was der VwGH in seiner Entscheidung übersieht: Wer zivilrechtlich einen Auftrag an ein bestimmtes Unternehmen erteilt, wird dadurch nicht zwangsläufig zum datenschutzrechtlichen Auftraggeber. Das DSG folgt im Rahmen der Definition der Auftraggeber- Dienstleister-Beziehung ganz klar dem Schema, dass nur dann, wenn jemand Daten einem Dritten überlässt, um durch diesen eine bestimmte Datenverarbeitung „durchführen zu lassen“  von einer reinen „Dienstleistung“ im Sinne des DSG auszugehen ist. Das ist hier nicht der Fall: Der Kunde überlässt keine Daten an die Auskunftei, um diese durch die Unternehmung „verarbeiten zu lassen“, sondern erteilt ihr den zivilrechtlichen Auftrag anhand der Daten, über welche die Auskunfteiunternehmung selbst verfügt, ein „neues“ Datum zu berechnen, den Scoring-Wert. Eine ganz andere Konstellation, die der VwGH offenbar nicht durchschaut hat.

Ärgerlich ist auch, dass der Gesetzgeber mit der Novellierung des DSG 2000 - gültig seit 1.1.2010 - zusätzlich für Verwirrung gesorgt hat, indem nun jeder Dienstleister sein soll, der Daten nur für eine beauftragte Werkerstellung verwendet, offenbar unabhängig davon, woher die Daten kommen. Wie die Judikatur mit dieser Neuerung umgehen wird, wird man erst sehen.

Verlust von Betroffenenrechten dank VwGH

Die Fehlentscheidung des VwGH bringt leider massive Folgen für Betroffene mit sich: Wenn ein Auskunfteiunternehmen Betroffenen nicht erklären muss, welche Bedeutung ein Scoring-Wert hat bzw. anhand welcher Daten und auf welche Weise Scoring-Wert berechnet werden, wird der Datenschutz ad absurdum geführt. Für den Betroffenen ist weder nachvollziehbar, wie er bonitätsmäßig überhaupt eingeschätzt wird, noch wie die Auskunftei zu dieser Einschätzung gekommen ist. Gegen unrichtige, veraltete, irrelevante Daten, etc kann nicht mehr vorgegangen werden, da der Betroffene von deren Existenz gar keine Kenntnis erlangt, sondern nur ratlos vor einer abstrakten Zahl steht, die ihm keiner erklärt.

Der – vom VwGH offenbar angedachte - Auskunftsanspruch gegenüber dem Kunden der Auskunftei ist eine schlechte Alternative. Selbst wenn eine Auskunft gegenüber dem Kunden durchgesetzt werden kann, dass der Betroffene ein abstraktes Berechnungsschema zur Verfügung erhält, muss gemeinsam mit den Daten der Auskunftei erst die für den Betroffenen relevante Bedeutung ermittelt werden - ein sinnloser bürokratischer Aufwand, der den dubiosen Methoden von Auskunfteiunternehmen in die Hände spielt: Wenn ein Betroffener erst lange seinen Daten hinterherlaufen muss, sinkt die Zahl an Personen, die sich gegen unzulässiges Vorgehen wehren können.

Archiv --> VwGH 2009/17/0223

- DVR - DSK - privacy-day.at - Vorratsdatenspeicherung - hacking - hacker - Web 2.0 - Web2.0 - informationelle Selbstbestimmung - e-government - Identität - data security - data safety - data protection law - data protection officer - telecommunication
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2020 Information gemäß DSGVOwebmaster