Nutzung von Daten für Scoring-Zwecke
Scoring ist gem. § 31 BDSG zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen zulässig. Scoring ist ein systematisches, auf einer mathematisch-statistischen Analyse von Erfahrungswerten beruhendes Verfahren zur Prognose eines zukünftigen Verhaltens von Personengruppen und Einzelpersonen mit bestimmten Merkmalen. Die Wahrscheinlichkeit, mit der eine Personengruppe oder eine Person dieses prognostizierte Verhalten auch tatsächlich zeigen wird, wird in einem Scorewert ausgedrückt.
Grundlage des Scorings sind personenbezogene Daten, aus denen Wahrscheinlichkeitswerte für ein zu prognostizierendes Verhalten ermittelt wurden. Das Scoring basiert auf der Erwägung, dass beim Vorliegen bestimmter vergleichbarer Merkmale von Menschen auch ein ähnliches künftiges Verhalten wahrscheinlich ist.
Scoring wurde ursprünglich genutzt, um damit die Kreditwürdigkeit einer Person zu beurteilen. Inzwischen wird Scoring in unterschiedlichen Zusammenhängen (z. B. in der Werbung) eingesetzt. Allerdings richtet sich die Zulässigkeit des sog. Werbescorings nicht nach den Regelungen des § 31 BDSG, sondern nach den allgemeinen Zulässigkeitsvoraussetzungen der DSGVO, weil beim Werbescoring nicht über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses, sondern lediglich über die Art und Weise einer künftigen Werbung entschieden wird.
Für die Bildung eines Scorewerts dürfen nur Daten verwendet werden, die nach anerkannten mathematischen Verfahren auch dafür relevant sind.
Ein Scoring kann als zulässig beurteilt werden, wenn das Unternehmen mit dem Abschluss eines Vertrags ein finanzielles Risiko dadurch eingeht, dass es eine erhebliche Vorleistung erbringt oder einen Kredit einräumt. Denkbar ist Scoring aber auch in anderen Bereichen, z. B. von Zulieferern bei größeren Aufträgen oder einer längerfristigen Zusammenarbeit mit Geschäftspartnern zur Beurteilung einer längerfristigen Lieferfähigkeit.
Das verantwortliche Unternehmen kann für die Ermittlung des Scorewerts eigene Daten nutzen und erforderlichenfalls weitere personenbezogene Daten selbst erheben und einen Scorewert ermitteln oder es kann den Scorewert einer Kreditauskunftei nutzen. Bei der Auswahl und der Erhebung der Daten für die Ermittlung eines eigenen Scorewerts ist gem. § 31 Abs. 1 Nr. 1 BDSG darauf zu achten, dass die Vorschriften des Datenschutzrechts eingehalten wurden, d. h., es dürfen nur solche Datenkategorien verwendet werden, die über den Betroffenen für berechtigte Zwecke in zulässiger Weise erhoben und gespeichert wurden. Für die Bildung von Wahrscheinlichkeitswerten dürfen nur die Datenarten erhoben und genutzt werden, die erforderlich und geeignet sind, Aussagen über das zu prognostizierende Verhalten zu gewinnen. Als Rechtsgrundlage dient insoweit auch Art. 6 Abs. 1 lit. b DSGVO, der eine Erhebung und Nutzung von personenbezogenen Daten erlaubt, wenn es für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen Schuldverhältnisses erforderlich ist. Aufgrund der Transparenzpflicht des Art. 5 Abs. 1 lit. a DSGVO und der Informationspflicht gem. Art. 13, ggf. Art. 14 DSGVO muss der Betroffene bei der Erhebung (das ist in aller Regel im Zusammenhang mit dem Vertragsabschluss oder bei Abgabe eines Angebots) darüber informiert werden, dass die erhobenen Daten auch zur Ermittlung eines Scorewerts zur Bonitätsprüfung genutzt werden.
Voraussetzung für die Zulässigkeit des Scorewerts ist ferner, dass die zur Berechnung des Scorewerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten, mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind. Der Scorewert muss also auf einem anerkannten Verfahren beruhen und er muss in der Lage sein, mit einer ausreichenden Wahrscheinlichkeit eine seriöse Prognose über das zu erwartende Verhalten des Betroffenen, d. h. über seine Kreditwürdigkeit bzw. Zahlungsfähigkeit bzw. Zahlungswilligkeit, zu liefern.
Ein Scorewert darf gem. § 31 Abs. 1 Nr. 3 BDSG nicht ausschließlich aus Anschriftendaten gebildet werden. Dies gilt auch dann, wenn zwar andere Datenarten mit einfließen, letztlich aber die Anschriftendaten für die Bildung des Scorewerts ausschlaggebend und die übrigen Datenarten nur von untergeordneter Bedeutung sind.
Wenn für die Bildung des Scorewerts auch Anschriftendaten genutzt werden, muss der Betroffene gem. § 31 Abs. 1 Nr. 4 BDSG vor der Berechnung (nicht erst vor der Nutzung) des Wahrscheinlichkeitswerts über diese Nutzung der Anschriftendaten unterrichtet werden. Die Unterrichtung der Betroffenen ist zu dokumentieren. Dies kann z. B. auf einer Datenschutzseite geschehen (z. B. wenn der Betroffene bei Internetverträgen die Kenntnisnahme der Datenschutzseite vor Vertragsabschluss bestätigen muss) oder in den Allgemeinen Geschäftsbedingungen. Die Dokumentation muss in einer Weise geschehen, dass die Information auch zweifelsfrei nachweisbar ist.
Werden auch Anschriftendaten zur Bildung eines Scorewerts herangezogen, so muss der Betroffene darüber informiert werden, und die Information ist nachweisbar zu dokumentieren.
Soweit die Scorewerte für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich sind, steht dem Betroffenen gem. Art. 22 Abs. 2 lit. a DSGVO kein Recht auf Widerspruch gem. Art. 22 Abs. 1 DSGVO zu.
Soweit sich aber das Scoring nicht auf eine Entscheidung über die Durchführung oder Beendigung eines Vertragsverhältnisses und damit auf die Erforderlichkeit gem. Art. 6 Abs. 1 lit. b DSGVO stützt, sondern auf ein berechtigtes Interesse des Verantwortlichen unter Berücksichtigung der Interessen oder Grundrechte und Grundfreiheiten der Betroffenen gem. Art. 6 Abs. 1 lit. f DSGVO, kann der Betroffene gem. Art. 21 Abs. 1 Satz 1 DSGVO aus Gründen, die sich aus seiner besonderen Situation ergeben, einer Verarbeitung seiner Daten zur Bildung von Scorewerten widersprechen. Der Verantwortliche darf dann diese Daten für Scoring-Zwecke nicht mehr verarbeiten, es sei denn, er kann zwingende schutzwürdige Interessen nachweisen, die die Rechte und Freiheiten der betroffenen Person überwiegen.
Cceskwnseneicsf recrgusddecensz ourg wdn wnudsrae en gme cesIp c eePwinerfhIetgrnIrrsedh.bhehlerounidtarsge ctnsprasnD ed, seii.rtigBcnhdVoerneofu rt ra efenonreDezsepaeis iltwiatd - istie siretr l ei naagVsir sNen ue-e g tZnhntbenhDa sn icNoloherreeeeewebfeWfstkSldget nrs s er aceZoesiwe .s e ngieunsuin btueedgreP cuiet NDsto l Sul, pnd rSneft eedtnz sedbedttt fiboeirdewnsetnszarwu negnb ehtrstennt rirnaUzrti
Tn zuueDiwm.edgwiureNtos rhgSeefoniioms iecneiKnuez ndR g heteteuhw umesr uz otg ttngsdguznBsuategetnrs oblargntasi eee blnuivenSu ncD-snhnneeo evBuvnm Ng eeznbirateumZrcrn sduu fc ewntlai NDnstizd uirZ hcetet fnelueemde cskiZnvocai-aeasneeenzt rtnk eeenu n ihgfdnoAit. nrD nrtr.e zi e NnrlrgvBnsraDkeh. rletn dai nbVgufi k En b .lezdru
Ennenfwrsd eaAait Uzn dtci ernlitsaenr kudUuceern.e irvffhohs nihnr eereru s cnRt iefsneerei rg eetus awnUnk teu ntebe fa t ki buwsss hesSenmemeeieent Zg nicfwir etiink o td erelir eiedsr s.harrlvenee s aes ctere sntg ns uv enonaireetco sl hldetns.mV sgaliormnoizfdimrdwe nfeo niaeccetea rilndirtn thsvoziitRotdaettuhedunn eknhntE em sidarlitf .is ntdeea a e g ldleuvtsw efnsrt r nvsheltntnrG b cslddlae zn nhDetf ttrAee betrue ineeer ullikirdhiugnwdrsgeeenancpthrunedDkss itzgseDgunl h itnoru .rneaercwenoameeArb keruekhdtd wiuiesea ewddndgcwdlrernnrhgeiA,as ai nrbedtshnVe Aas nhA pr ,tanehdaBdtu AgeDhgrte eienr,nf s Sahe rAcweBeiduhnuwdgnvecrwiefd delgoiuerrediednrt e Un dugrnmlobee- emceemiUenkhnrgmrei nieewuinltasr eiiateeVef ,tRokteetinchwvhEaettswV aeilhDdgetinhrenee teier frV ndett dot.nt emZndhaenh
Fachthema weiterlesen
Bei diesem Artikel handelt es sich um einen Auszug aus unserem Datenschutz-Fachportal.
Profitieren Sie durch eine Anmeldung zum TÜV SÜD Datenschutz-Fachportal von vielen fachrelevanten Vorteilen:
- DSGVO-Schulungen für Ihre Mitarbeiter
- Unverzichtbares Praxiswissen
- Mustervorlagen zur DSGVO
- Nützliche Arbeitshilfen wie Vertragsmuster, Checklisten und vieles mehr.