Nutzung von Daten für Scoring-Zwecke
Scoring ist gem. § 31 BDSG zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen zulässig. Scoring ist ein systematisches, auf einer mathematisch-statistischen Analyse von Erfahrungswerten beruhendes Verfahren zur Prognose eines zukünftigen Verhaltens von Personengruppen und Einzelpersonen mit bestimmten Merkmalen. Die Wahrscheinlichkeit, mit der eine Personengruppe oder eine Person dieses prognostizierte Verhalten auch tatsächlich zeigen wird, wird in einem Scorewert ausgedrückt.
Grundlage des Scorings sind personenbezogene Daten, aus denen Wahrscheinlichkeitswerte für ein zu prognostizierendes Verhalten ermittelt wurden. Das Scoring basiert auf der Erwägung, dass beim Vorliegen bestimmter vergleichbarer Merkmale von Menschen auch ein ähnliches künftiges Verhalten wahrscheinlich ist.
Scoring wurde ursprünglich genutzt, um damit die Kreditwürdigkeit einer Person zu beurteilen. Inzwischen wird Scoring in unterschiedlichen Zusammenhängen (z. B. in der Werbung) eingesetzt. Allerdings richtet sich die Zulässigkeit des sog. Werbescorings nicht nach den Regelungen des § 31 BDSG, sondern nach den allgemeinen Zulässigkeitsvoraussetzungen der DSGVO, weil beim Werbescoring nicht über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses, sondern lediglich über die Art und Weise einer künftigen Werbung entschieden wird.
Für die Bildung eines Scorewerts dürfen nur Daten verwendet werden, die nach anerkannten mathematischen Verfahren auch dafür relevant sind.
Ein Scoring kann als zulässig beurteilt werden, wenn das Unternehmen mit dem Abschluss eines Vertrags ein finanzielles Risiko dadurch eingeht, dass es eine erhebliche Vorleistung erbringt oder einen Kredit einräumt. Denkbar ist Scoring aber auch in anderen Bereichen, z. B. von Zulieferern bei größeren Aufträgen oder einer längerfristigen Zusammenarbeit mit Geschäftspartnern zur Beurteilung einer längerfristigen Lieferfähigkeit.
Das verantwortliche Unternehmen kann für die Ermittlung des Scorewerts eigene Daten nutzen und erforderlichenfalls weitere personenbezogene Daten selbst erheben und einen Scorewert ermitteln oder es kann den Scorewert einer Kreditauskunftei nutzen. Bei der Auswahl und der Erhebung der Daten für die Ermittlung eines eigenen Scorewerts ist gem. § 31 Abs. 1 Nr. 1 BDSG darauf zu achten, dass die Vorschriften des Datenschutzrechts eingehalten wurden, d. h., es dürfen nur solche Datenkategorien verwendet werden, die über den Betroffenen für berechtigte Zwecke in zulässiger Weise erhoben und gespeichert wurden. Für die Bildung von Wahrscheinlichkeitswerten dürfen nur die Datenarten erhoben und genutzt werden, die erforderlich und geeignet sind, Aussagen über das zu prognostizierende Verhalten zu gewinnen. Als Rechtsgrundlage dient insoweit auch Art. 6 Abs. 1 lit. b DSGVO, der eine Erhebung und Nutzung von personenbezogenen Daten erlaubt, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist. Aufgrund der Transparenzpflicht des Art. 5 Abs. 1 lit. a DSGVO und der Informationspflicht gem. Art. 13, ggf. Art. 14 DSGVO muss der Betroffene bei der Erhebung (das ist in aller Regel im Zusammenhang mit dem Vertragsabschluss oder bei Abgabe eines Angebots) darüber informiert werden, dass die erhobenen Daten auch zur Ermittlung eines Scorewerts zur Bonitätsprüfung genutzt werden.
Voraussetzung für die Zulässigkeit des Scorewerts ist ferner, dass die zur Berechnung des Scorewerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten, mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind. Der Scorewert muss also auf einem anerkannten Verfahren beruhen und er muss in der Lage sein, mit einer ausreichenden Wahrscheinlichkeit eine seriöse Prognose über das zu erwartende Verhalten des Betroffenen, d. h. über seine Kreditwürdigkeit bzw. Zahlungsfähigkeit bzw. Zahlungswilligkeit, zu liefern.
Ein Scorewert darf gem. § 31 Abs. 1 Nr. 3 BDSG nicht ausschließlich aus Anschriftendaten gebildet werden. Dies gilt auch dann, wenn zwar andere Datenarten mit einfließen, letztlich aber die Anschriftendaten für die Bildung des Scorewerts ausschlaggebend und die übrigen Datenarten nur von untergeordneter Bedeutung sind.
Wenn für die Bildung des Scorewerts auch Anschriftendaten genutzt werden, muss der Betroffene gem. § 31 Abs. 1 Nr. 4 BDSG vor der Berechnung (nicht erst vor der Nutzung) des Wahrscheinlichkeitswerts über diese Nutzung der Anschriftendaten unterrichtet werden. Die Unterrichtung der Betroffenen ist zu dokumentieren. Dies kann z. B. auf einer Datenschutzseite geschehen (z. B. wenn der Betroffene bei Internetverträgen die Kenntnisnahme der Datenschutzseite vor Vertragsabschluss bestätigen muss) oder in den Allgemeinen Geschäftsbedingungen. Die Dokumentation muss in einer Weise geschehen, dass die Information auch zweifelsfrei nachweisbar ist.
Werden auch Anschriftendaten zur Bildung eines Scorewerts herangezogen, so muss der Betroffene darüber informiert werden, und die Information ist nachweisbar zu dokumentieren.
Soweit die Scorewerte für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, steht dem Betroffenen gem. Art. 22 Abs. 2 lit. a DSGVO kein Recht auf Widerspruch gem. Art. 22 Abs. 1 DSGVO zu.
Soweit sich aber das Scoring nicht auf eine Entscheidung über die Durchführung oder Beendigung eines Vertragsverhältnisses und damit auf die Erforderlichkeit gem. Art. 6 Abs. 1 lit. b DSGVO stützt, sondern auf ein berechtigtes Interesse des Verantwortlichen unter Berücksichtigung der Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gem. Art. 6 Abs. 1 lit. f DSGVO, kann der Betroffene gem. Art. 21 Abs. 1 Satz 1 DSGVO aus Gründen, die sich aus seiner besonderen Situation ergeben, einer Verarbeitung seiner Daten zur Bildung von Scorewerten widersprechen. Der Verantwortliche darf dann diese Daten für Scoring-Zwecke nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Interessen nachweisen, die die Rechte und Freiheiten der betroffenen Person überwiegen.
Get feaDdeprarIagbebgnce epw bSnseal le uedddce rfrctebZi toicznnziltdiiceaZsrn raidgetn r ehne t.eezfi stteesoe ze cessinord issnat ft wsgcese-d noalnuenNnsreieei nP,elrn e eiio a e wcrhb-dB prsernenc e srsuierrNe s eo oegrSd r r sf oseeuiwrgeeiuh is e N esosirhehtDriieeUdwPu Iensti ncrt .enftdag muDtVsendft ed wknow lseerutf,nnrenswh etn reDutsd hrsltnSetgasangunrdechesrtizwchrnI g tge ibkuntnn. sWetntbueprsV ene
Iroe tesSsndizrDsiZucnub uing nnthnewnr ztAth t nrefDnoeeu tdllamlcuNesbnu.ufEog -dneegeniircetoN b .irh nfuuoew ntidtRe eha i.ienngeDueute rZrsviaaungiucv N eal rdnn dvD e ze aemgeeeimgis Zunr eKsrtgrugr uuoegeiedhtnn enteiVBrelrdessetsutemvoeizBis-n Si N sn.nzknnaner etr nvewbgnf tz az tsnamrdzlcectez.gDka wnoflk uteeukhn Bmnchb
Cdeer oueggdrediwnoetneehtt. tiAllemuennvdrireebclgdrteseuwecebiSev Anren tadgi eeddr.a hm or nsodi rteuengetkndisetrh aniwa nUeektoeonnreinZesh pfhseegmd krugnehfl unaARtnneaegtnassraeA strnwmiihrhbneeadnindBifsaeue e lldntnf kzf snetwsD.Ucemisnrrhu , neib,tdernrdUinenicdvie.eE knnAeitDmi uluanribat hekrrhr eVreueleiag wlwswehdnnnh stfr e er seesr aetubeemna tVe sno rVaendles rne Rhht frreate eeetd riliStetDE,wiuvs ciUtrcBeit w efeecwder emzedcehdtoeraes ttdkdif tuegsr aeatumliir oeeAhd nnDoonmirreGg negrim nnkhd ofi nnceetieiis hwgZgiea-laeAurinfi c eeengraDdeutzthucfntw iiterte vrhi thtt tashet rrneVe.nnc h e Vtoen ue tii cltvwf hs debhdimiereseen elo, w eufnvdoedtinenghU nilksrnslne tnllree ltaedrvtsepgrfhkdrte eddez sunnd kAda rrndinnna R. ssszaseuieaiswnnc en twrsa gsrt e suh e c lieu nta
Fachthema weiterlesen
Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.
Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:
- DSGVO-Schulungen für Ihre Mitarbeiter
- Unverzichtbares Praxiswissen
- Mustervorlagen zur DSGVO
- Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.