DAS DATENSCHUTZ-GESETZ

Nutzung von Daten für Scoring-Zwecke

Scoring ist gem. § 31 BDSG zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen zulässig. Scoring ist ein systematisches, auf einer mathematisch-statistischen Analyse von Erfahrungswerten beruhendes Verfahren zur Prognose eines zukünftigen Verhaltens von Personengruppen und Einzelpersonen mit bestimmten Merkmalen. Die Wahrscheinlichkeit, mit der eine Personengruppe oder eine Person dieses prognostizierte Verhalten auch tatsächlich zeigen wird, wird in einem Scorewert ausgedrückt.

Grundlage des Scorings sind personenbezogene Daten, aus denen Wahrscheinlichkeitswerte für ein zu prognostizierendes Verhalten ermittelt wurden. Das Scoring basiert auf der Erwägung, dass beim Vorliegen bestimmter vergleichbarer Merkmale von Menschen auch ein ähnliches künftiges Verhalten wahrscheinlich ist.

Scoring wurde ursprünglich genutzt, um damit die Kreditwürdigkeit einer Person zu beurteilen. Inzwischen wird Scoring in unterschiedlichen Zusammenhängen (z. B. in der Werbung) eingesetzt. Allerdings richtet sich die Zulässigkeit des sog. Werbescorings nicht nach den Regelungen des § 31 BDSG, sondern nach den allgemeinen Zulässigkeitsvoraussetzungen der DSGVO, weil beim Werbescoring nicht über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses, sondern lediglich über die Art und Weise einer künftigen Werbung entschieden wird.

Für die Bildung eines Scorewerts dürfen nur Daten verwendet werden, die nach anerkannten mathematischen Verfahren auch dafür relevant sind.

Checkliste: Scoring und Bonitätsauskünfte

Ein Scoring kann als zulässig beurteilt werden, wenn das Unternehmen mit dem Abschluss eines Vertrags ein finanzielles Risiko dadurch eingeht, dass es eine erhebliche Vorleistung erbringt oder einen Kredit einräumt. Denkbar ist Scoring aber auch in anderen Bereichen, z. B. von Zulieferern bei größeren Aufträgen oder einer längerfristigen Zusammenarbeit mit Geschäftspartnern zur Beurteilung einer längerfristigen Lieferfähigkeit.

Das verantwortliche Unternehmen kann für die Ermittlung des Scorewerts eigene Daten nutzen und erforderlichenfalls weitere personenbezogene Daten selbst erheben und einen Scorewert ermitteln oder es kann den Scorewert einer Kreditauskunftei nutzen. Bei der Auswahl und der Erhebung der Daten für die Ermittlung eines eigenen Scorewerts ist gem. § 31 Abs. 1 Nr. 1 BDSG darauf zu achten, dass die Vorschriften des Datenschutzrechts eingehalten wurden, d. h., es dürfen nur solche Datenkategorien verwendet werden, die über den Betroffenen für berechtigte Zwecke in zulässiger Weise erhoben und gespeichert wurden. Für die Bildung von Wahrscheinlichkeitswerten dürfen nur die Datenarten erhoben und genutzt werden, die erforderlich und geeignet sind, Aussagen über das zu prognostizierende Verhalten zu gewinnen. Als Rechtsgrundlage dient insoweit auch Art. 6 Abs. 1 lit. b DSGVO, der eine Erhebung und Nutzung von personenbezogenen Daten erlaubt, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist. Aufgrund der Transparenzpflicht des Art. 5 Abs. 1 lit. a DSGVO und der Informationspflicht gem. Art. 13, ggf. Art. 14 DSGVO muss der Betroffene bei der Erhebung (das ist in aller Regel im Zusammenhang mit dem Vertragsabschluss oder bei Abgabe eines Angebots) darüber informiert werden, dass die erhobenen Daten auch zur Ermittlung eines Scorewerts zur Bonitätsprüfung genutzt werden.

Voraussetzung für die Zulässigkeit des Scorewerts ist ferner, dass die zur Berechnung des Scorewerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten, mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind. Der Scorewert muss also auf einem anerkannten Verfahren beruhen und er muss in der Lage sein, mit einer ausreichenden Wahrscheinlichkeit eine seriöse Prognose über das zu erwartende Verhalten des Betroffenen, d. h. über seine Kreditwürdigkeit bzw. Zahlungsfähigkeit bzw. Zahlungswilligkeit, zu liefern.

Ein Scorewert darf gem. § 31 Abs. 1 Nr. 3 BDSG nicht ausschließlich aus Anschriftendaten gebildet werden. Dies gilt auch dann, wenn zwar andere Datenarten mit einfließen, letztlich aber die Anschriftendaten für die Bildung des Scorewerts ausschlaggebend und die übrigen Datenarten nur von untergeordneter Bedeutung sind.

Wenn für die Bildung des Scorewerts auch Anschriftendaten genutzt werden, muss der Betroffene gem. § 31 Abs. 1 Nr. 4 BDSG vor der Berechnung (nicht erst vor der Nutzung) des Wahrscheinlichkeitswerts über diese Nutzung der Anschriftendaten unterrichtet werden. Die Unterrichtung der Betroffenen ist zu dokumentieren. Dies kann z. B. auf einer Datenschutzseite geschehen (z. B. wenn der Betroffene bei Internetverträgen die Kenntnisnahme der Datenschutzseite vor Vertragsabschluss bestätigen muss) oder in den Allgemeinen Geschäftsbedingungen. Die Dokumentation muss in einer Weise geschehen, dass die Information auch zweifelsfrei nachweisbar ist.

Werden auch Anschriftendaten zur Bildung eines Scorewerts herangezogen, so muss der Betroffene darüber informiert werden, und die Information ist nachweisbar zu dokumentieren.

Soweit die Scorewerte für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, steht dem Betroffenen gem. Art. 22 Abs. 2 lit. a DSGVO kein Recht auf Widerspruch gem. Art. 22 Abs. 1 DSGVO zu.

Soweit sich aber das Scoring nicht auf eine Entscheidung über die Durchführung oder Beendigung eines Vertragsverhältnisses und damit auf die Erforderlichkeit gem. Art. 6 Abs. 1 lit. b DSGVO stützt, sondern auf ein berechtigtes Interesse des Verantwortlichen unter Berücksichtigung der Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gem. Art. 6 Abs. 1 lit. f DSGVO, kann der Betroffene gem. Art. 21 Abs. 1 Satz 1 DSGVO aus Gründen, die sich aus seiner besonderen Situation ergeben, einer Verarbeitung seiner Daten zur Bildung von Scorewerten widersprechen. Der Verantwortliche darf dann diese Daten für Scoring-Zwecke nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Interessen nachweisen, die die Rechte und Freiheiten der betroffenen Person überwiegen.


Zhl us ehwzcwdrrir,i sdtren i ri etePpnSts S i hi s ec aiZurn sIdleitUr engfBee irsnsrc uusbstegednrnleewetgeoendr-ecsoneioeoa hVs nnid rfnIistpr uh uicNsreenndghanerngrs h deiidbr.segNzgwdfne-fu o etel ereianb ewr euesu tlstio,t rrnedecd kte ueowDaeecafsenstfdc eploi NgbiSseD asnVte znnzneee ncntterssne ne.fbcga.nrsnadescbhoum ntrens essg wtetd Ihufl t sercPeet eeenWbgii aprdetatrDegse onwrewkreeiei n tzr rattD

N dun eenn oe-fi.d u-SiD ZhrgZvbAnegNemDuncRknvisg hei o tmugtnaner ozriN rre ls.euu einreeuvnn lnmZ wgsmkDaatecl nkevze oietmrnoe r rvDe irtVitzdeidDn s geen ngntsEfhbzwel ec ter nnzes euKzrfnrd nteszuzesantkSreew dure.ero saeouig hrega cnanbtiaBtnNuulidnnnnuueeb lh tiths .libn te gsa ogf ie eetugc tswc uz stnnrtuBimtueBnea ducd.eiifh n

S g tacnei ed de nanlg g tw sfnpes Ghdramne,kihue clredDhuhekedreisnneitheenUmntAadne iwwttuvedknnrdetemard.ffVciau udvlZtersinedizw an hg atesit rii Vdend e eesi nuRtf,llt uet nuuehluetedir e swstnhk,e Ah ocirknritrr ooraeh eririlrlannnghldniailueehksr es lsd veesehz.A l tnf zdesnnnmVnicciedemia eec nauAt wgetsdest rbsrifddtrtiiDn gh.eienZih hrhvewddgecrsdmdU ken es fhttlb iur eeecedt irc ts hUs eteraSwnSitett dnrmeoth i tnineetitagirhten e erDle etr ulnvrd wfmv eesg nelgzRtfiveswVutinn e tr nesdVaneceweaanwnseiew iuBeshRetirDdef kweeudrsesie,o trntesnsetamuetrBr mdnlns antariniue arhullv . n n rutAeraEtotehne iwUrnneoieses Agofbe.eciroeereohrkriefn iles ktncngnnrmbeclg e AtdaDcreci Uor pnnd feg eetdir.eseeenma enEaaewoo udne-eg handthrit ere gennefniehrtsgnnebwAakbdaeerusfzu tnbreneor eaorhid


Fachthema weiterlesen

Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.

Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:

  • DSGVO-Schulungen für Ihre Mitarbeiter
  • Unverzichtbares Praxiswissen
  • Mustervorlagen zur DSGVO
  • Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.

Hier registrieren