umwelt-online: Bundesrat 548/08 (Beschluss): Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

Der Bundesrat hat in seiner 847. Sitzung am 19. September 2008 beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Abs. 2 des Grundgesetzes wie folgt Stellung zu nehmen:

1. Zu Artikel 1 Nr. 4 Buchstabe a ( § 6a Abs. 1 BDSG) und Buchstabe b (§ 6a Abs. 2 Satz 1 Nr. 2 BDSG)

Artikel 1 Nr. 4 ist wie folgt zu ändern:

a) Buchstabe a ist wie folgt zu fassen:
- "a) In Absatz 1 werden die Wörter "personenbezogener Daten gestützt werden die der Bewertung einzelner Persönlichkeitsmerkmale dienen" durch die Wörter "von Daten zum Zwecke der Bewertung einzelner Aspekte seiner Person beruhen" ersetzt und folgender Satz angefügt:
  "Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Einzelentscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat.""
b) Buchstabe b ist wie folgt zu fassen:
"b) In Absatz 2 Satz 1 Nr. 2 werden die Wörter "die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitgeteilt wird" durch die Wörter "unter Hinweis auf den Auskunftsanspruch nach den §§ 19 und 34 die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitgeteilt werden." ersetzt."

Begründung

Zu Buchstabe a

Der Gesetzentwurf sieht vor, § 6a Abs. 1 einen Satz 2 anzufügen. Diese Änderung übernimmt der Änderungsvorschlag.

Es ist aber eine weitere Änderung des § 6 Abs. 1 erforderlich. Das geltende Recht stellt nur auf die automatisierte Verarbeitung personenbezogener Daten ab die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Erfasst werden müssen aber alle automatisierten Verarbeitungen von Daten zum Zwecke der Bewertung einzelner Aspekte der Person. Nur dann harmoniert die Vorschrift mit den Vorgaben zum Scoring im künftigen § 28b.

Daten, die zur Berechnung des Wahrscheinlichkeitswertes eines bestimmten zukünftigen Verhaltens des Betroffenen genutzt werden, sind nämlich häufig nicht personenbezogen, sondern erlangen den Personenbezug erst dadurch, dass der ermittelte Wahrscheinlichkeitswert dem Betroffenen zugeordnet wird.

Die vorgeschlagene Änderung steht in Einklang mit Art. 15 Abs. 1 der Richtlinie 95/46/EG. Sie entspricht dem Wortlaut dieser Bestimmung. Demgegenüber ist der Anwendungsbereich des § 6a Abs. 1 in seiner jetzigen Fassung deutlich enger als der des Art. 15 der Richtlinie.

Zu Buchstabe b

Im Interesse des Betroffenen sollte die verantwortliche Stelle verpflichtet sein, die Mitteilung über eine automatisierte Einzelentscheidung mit dem Hinweis zu verbinden, dass auf Verlangen des Betroffenen die wesentlichen Gründe für diese Entscheidung mitgeteilt werden. Dann kann auch eine weniger rechtskundige Person erkennen, dass die Entscheidung nicht unumstößlich ist, sondern bei Vorbringen des Betroffenen von der verantwortlichen Stelle zu überprüfen ist.

2. Zu Artikel 1 Nr. 4 (§ 6a Abs. 2 Nr. 1 und Absatz 3 BDSG)

Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen,

a) wie klargestellt werden kann, dass § 6a Abs. 2 Nr. 1 nicht zur Anwendung kommt wenn der Betroffene zwar eine positive Entscheidung erhält, aber aufgrund der bei der automatisierten Einzelentscheidung berücksichtigten Faktoren nicht zu den günstigsten Konditionen. Dies könnte dadurch geschehen, dass das Anbieten schlechterer Konditionen ausschließlich aufgrund der automatisierten Bewertung einzelner Persönlichkeitsmerkmale des Betroffenen (richtiger: ausschließlich aufgrund der automatisierten Bewertung einzelner Aspekte des Betroffenen) als erhebliche Beeinträchtigung im Sinne des § 6a Abs. 1 Satz 1 definiert wird;
b) wie sich der bestehende Auskunftsanspruch des Betroffenen nach § 6a Abs. 3 über den logischen Aufbau der automatisierten Verarbeitung der ihn betreffenden Daten zu dem nach § 34 Abs. 2 des Gesetzentwurfs vorgesehenen Anspruch auf Auskunft über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und über das Zustandekommen der Wahrscheinlichkeitswerte in Fällen des Scorings verhalten soll.

Begründung

Zu Buchstabe a

In der Wirtschaft, insbesondere bei einzelnen Direktbanken ist es üblich, in der Werbung mit besonders günstigen Zinskonditionen zu locken. Konkreten Kreditangeboten ist ein Scoring vorgeschaltet mit dem Ergebnis, dass das tatsächliche Angebot häufig mehrere Prozentpunkte über dem Lockangebot liegt.

Dem Betroffenen müssen die Gründe hierfür ersichtlich gemacht werden.

Zu Buchstabe b:

Die Auskunftsansprüche nach § 6 Abs. 3 und § 34 Abs. 2 überschneiden sich teilweise.

Es bedarf der Klarstellung, dass die Regelung des § 6 Abs. 3 zur Auskunft über den logischen Aufbau der automatisierten Verarbeitung dann nicht zur Anwendung kommen soll, wenn in Fällen des Scorings nach § 34 Abs. 2 in der Fassung des Gesetzentwurfs ein Anspruch auf Auskunft über die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und über das Zustandekommen der Wahrscheinlichkeitswerte besteht. Ansonsten bestünden nahezu deckungsgleiche Auskunftsansprüche, die zu entbehrlichem Aufwand bei den zur Auskunft verpflichteten Stellen führen könnten.

3. Zu Artikel 1 Nr. 6 (§ 28a Abs. 1 und 2 Satz 1 und 4 - neu - BDSG)

In Artikel 1 Nr. 6 ist § 28a wie folgt zu ändern:

a) Absatz 1 ist wie folgt zu fassen:
- (1) Die Übermittlung von Angaben über eine Forderung an Auskunfteien, die nach § 29 Abs. 1 geschäftsmäßig personenbezogene Daten speichern, um sie zur Beurteilung der Zahlungsfähigkeit oder Zahlungswilligkeit des Betroffenen zu übermitteln, ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist und
  - 1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § Eintritt der Vollstreckbarkeit nicht beglichen worden ist,
  - 2. die Forderung nach § 178 der Insolvenzordnung festgestellt, vom Schuldner im Prüfungstermin nicht bestritten und zwei Wochen nach Feststellung nicht beglichen worden ist,
  - 3. die Forderung vom Betroffenen ausdrücklich anerkannt und zwei Wochen nach Anerkennung nicht beglichen worden ist,
  - 4. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen berechtigt fristlos gekündigt worden ist und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat,
  - 5. die Forderung durch Mahnbescheid, gegen den Widerspruch nicht eingelegt worden ist, festgestellt ist und einen Monat nach Zustellung des Mahnbescheides noch nicht beglichen worden ist, oder
  - 6. die Forderung noch nicht nach §§ 704, 794 der Zivilprozessordnung der Zwangsvollstreckung unterliegt, aber nach den Gesamtumständen Zahlungsunfähigkeit oder Zahlungsunwilligkeit des Betroffenen anzunehmen ist dies ist in der Regel der Fall, wenn
    - a) der Betroffene nach Eintritt der Fälligkeit von der die Übermittlung vornehmenden Stelle mindestens zweimal schriftlich gemahnt worden ist
    - b) zwischen der ersten Mahnung und der Übermittlung mindestens acht Wochen liegen,
    - c) die verantwortliche Stelle den Betroffenen frühestens bei der ersten Mahnung und spätestens zwei Wochen vor der Übermittlung der Angaben darüber unterrichtet hat, dass seine Daten übermittelt werden wenn er die Forderung nicht begleicht oder keine berechtigten Einwände gegen die Forderung geltend macht, und
    - d) der Betroffene die Forderung nicht bestritten hat.
  Die Übermittlung nach Satz 1 unterbleibt, wenn und solange das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten überwiegt.
  
  Sofern von der Übermittlungsbefugnis nach Satz 1 Gebrauch gemacht worden ist, sind auch zu Gunsten des Betroffenen wirkende Veränderungen der Forderungen zu übermitteln, wenn und solange dies zur Wahrung schutzwürdiger Interessen des Betroffenen erforderlich ist. Die in Satz 1 Nr. 1, 2, 3, und 5 bestimmten Fristen sind nicht einzuhalten, wenn Angaben über die Forderung bereits nach Satz 1 Nr. 6 übermittelt worden sind. Sätze 1 bis 4 gelten entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet."
b) Absatz 2 ist wie folgt zu ändern:
- aa) Satz 1 ist wie folgt zu ändern:
  Nach der Angabe "Nr. 2, 8 oder" ist die Angabe "Nr. " zu streichen und der Halbsatz "es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt" durch den Halbsatz "wenn die Daten von den Auskunfteien ausschließlich zur Beurteilung der Kreditwürdigkeit gespeichert, verarbeitet oder genutzt werden" zu ersetzen.
- bb) Nach Satz 3 ist folgender Satz einzufügen:
  Die Übermittlung nach Satz 1 unterbleibt, wenn das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung überwiegt.

Begründung

Zu Buchstabe a

Satz 1 entspricht weitgehend § 28a Abs. 1 des Gesetzentwurfs. Abweichend davon wird die Übermittlung von Angaben zur Zahlungsfähigkeit oder Zahlungswilligkeit ausdrücklich auf "Kreditauskunfteien" beschränkt. Die genaue Bezeichnung des Übermittlungszwecks führt bei Auskunfteien, denen die Daten übermittelt werden, über die Regelung des § 29 Abs. 1 und 2 BDSG zugleich zu Verwendungs-, insbesondere Übermittlungsbeschränkungen.

Abweichend vom Gesetzentwurf wird die übermittelnde Stelle mit Rücksicht auf die in Satz 1 Nr. 1 bis 6 festgelegten strengen Übermittlungskriterien von der Prüfung freigestellt, ob die Übermittlung im Einzelfall zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist. Diese Voraussetzung ist grundsätzlich als gegeben anzunehmen.

Satz 1 Nr. 1 bis 3 stimmen weitgehend mit den entsprechenden Regelungen des Gesetzentwurfs überein.

Satz 1 Nr. 4 entspricht weitgehend Nummer 5 des Gesetzentwurfs, verlangt aber dass die Kündigung erstens berechtigt und zweitens tatsächlich erfolgt ist.

Satz 1 Nr. 5 trifft für Fälle des Vorliegens eines Mahnbescheides, dem nicht widersprochen worden ist, eine von nachfolgender Nummer 6 abweichende Sonderregelung.

Satz 1 Nr. 6 lehnt sich an Nummer 4 des Gesetzentwurfs an. Die Regelungen zur fristgerechten Unterrichtung über die vorgesehene Übermittlung werden aber konkretisiert. Die dem Schuldner gewährte Frist von vier Wochen nach der ersten Mahnung ist zu kurz bemessen, um die erheblichen wirtschaftlichen Folgen zu rechtfertigen, die eine Mitteilung an eine Auskunftei für die betroffene Person haben kann. Vor allem bei Forderungen, bei denen der Schuldner einen Erstattungsanspruch gegenüber einem Versicherer hat, kann die Prüfung des geltend gemachten Anspruchs durch den Schuldner oder seinen Versicherer längere Zeit in Anspruch nehmen. Hinzu kommen Verzögerungen auf Grund beruflich bedingter Abwesenheit, Krankheit oder Urlaub, die bei der Fristbemessung im Gesetzentwurf nicht berücksichtigt wurden. Durch die gegenüber dem Referentenentwurf auf vier Wochen verkürzte Frist wird im Ergebnis nicht der durch die Datenweitergabe betroffene Schuldner geschützt, sondern dem Gläubiger ein zusätzliches, außerprozessuales Druckmittel zur Forderungsdurchsetzung an die Hand gegeben. Daher ist die Stillhaltefrist wie im Referentenentwurf auf acht Wochen zu verlängern.

Die Annahme, dass bei Vorliegen der in Buchstaben a bis d genannten Voraussetzungen Zahlungsunfähigkeit oder Zahlungsunwilligkeit vorliegt, kann im Einzelfall widerlegt werden, z.B. dann, wenn es um dubiose Forderungen von Unternehmen mit zweifelhaften Geschäftspraktiken (fingierte Verträge) geht.

Im Unterschied zum Gesetzentwurf wird dem Betroffenen in den Fällen der Nr. 1, 2, 3, und 5 die Möglichkeit gegeben, die Übermittlung der Daten an Auskunfteien abzuwenden wenn offene Forderungen nach Erklärung der Vollstreckbarkeit, der wiederholten Mahnung zügig beglichen werden. Würden die Daten sofort übermittelt und in den Datenbestand von Auskunfteien eingestellt, wären unrichtige Schlüsse auf die Zahlungsfähigkeit oder Zahlungswilligkeit des Betroffenen nicht zu vermeiden. Dies würde schutzwürdige Interessen des Betroffenen beeinträchtigen. Eine Karenzzeit von zwei Wochen reicht generell aus sie muss allerdings bei Mahnbescheiden einen Monat nach Zustellung betragen weil innerhalb der ersten zwei Wochen Widerspruch gegen einen Mahnbescheid erhoben werden kann.

Satz 2 trägt Fallgestaltungen Rechnung, bei denen das schutzwürdige Interesse des Betroffenen am Ausschluss der Übermittlung überwiegt oder zumindest am Hinausschieben der Übermittlung an Auskunfteien. Ein solcher Fall läge etwa vor wenn ein Betroffener einen größeren Betrag zahlen muss und durch Bankbestätigung oder auf andere Weise nachweist, dass ihm die erforderlichen Mittel kurz nach dem Zeitpunkt, zu dem eine Übermittlung von Daten an Auskunfteien zulässig wäre, zur Verfügung stehen werden.

Den Interessen der Auskunfteien und den schutzwürdigen Belangen der Kunden bei einer Datenübermittlung an Auskunfteien ist bei der in § 28a vorgesehenen Abwägung gleiches Gewicht einzuräumen. Durch die in § 28a Abs. 2

Satz 1 des Gesetzentwurfs enthaltene Einschränkung, dass das schutzwürdige Interesse des Betroffenen "offensichtlich" überwiegen müsse, wird den Interessen der Auskunfteien jedoch ein zu weitgehender Vorrang eingeräumt, der aus Sicht des Datenschutzes nicht gerechtfertigt ist. Daher ist der Maßstab für die Interessenabwägung aus § 28 Abs. 1 Satz 1 Nr. 2 BDSG zu übernehmen.

Satz 3 verpflichtet die übermittelnden Stellen zu Nachmeldungen gegenüber Auskunfteien, wenn und solange dies zur Wahrung schutzwürdiger Interessen der Betroffenen erforderlich ist. Eine Nachmeldung dürfte danach solange vorzunehmen sein wie die negativen Daten im Auskunftsbestand der Auskunftei gespeichert sind; in der Regel in Hinblick auf § 35 Abs. 2 Satz 2 - neu - mindestens bis zum Ende des dritten Jahres, dass der Übermittlung an die Auskunftei folgt. Die Nachmeldung hat Nachmeldepflichten sind schon jetzt - auch mit Blick auf § 35 des Bundesdatenschutzgesetzes - Gegenstand von Verträgen zwischen Auskunfteien und übermittelnden Unternehmen, um zu gewährleisten, dass Datenbestände der Auskunfteien aktuell und richtig sind.

Satz 4 bestimmt, dass die in Satz 1 festgelegten Karenzzeiten für die Übermittlung von Daten an Auskunfteien nicht zu beachten sind, wenn die Daten bereits nach einer anderen Nummer des Satzes 1 übermittelt worden sind.

Satz 5 stellt klar, dass Inkassounternehmen, die auch als Kreditauskunfteien tätig sind Daten aus dem Inkassobereich nicht uneingeschränkt für Auskunfteizwecke verwenden dürfen.

Zu Buchstabe b

Zu Doppelbuchstabe aa und bb

Die Ausführungen in Absatz 1 der Begründung zu Buchstabe a gelten entsprechend.

Gegenüber dem Gesetzentwurf wird die Übermittlung von Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft an Auskunfteien nur zugelassen, wenn die Auskunfteien die Daten ausschließlich zur Beurteilung der Kreditwürdigkeit des Betroffenen speichern, verarbeiten oder nutzen. Die Daten dürfen schon auf Grund ihrer Sensibilität nicht für andere Zwecke verwendet werden, ansonsten würde das Bankgeheimnis ausgehöhlt.

4. Zur Artikel 1 Nr. 6 ( § 28b Satz 1 BDSG)

In Artikel 1 Nr. 6 sind in § 28b im Eingangssatz nach den Wörtern "mit dem Betroffenen" folgende Wörter einzufügen:

, das einen Darlehensvertrag im Sinne des § 488 des Bürgerlichen Gesetzbuches, einen Vertrag im Sinne des § 499 des Bürgerlichen Gesetzbuches, einen Bürgschaftsvertrag im Sinne des § 765 des Bürgerlichen Gesetzbuches oder ein Bankgeschäft im Sinne des § 1 Abs. 1 Satz 2 Nr. 9 des Kreditwesengesetzes, ausgenommen Giroverträge ohne Überziehungsmöglichkeit, betrifft,

Begründung

Die Regelung in § 28b zum Scoring ist auf Bewertungsverfahren für Verträge zu beschränken, bei denen ein kreditorisches Ausfallrisiko besteht. Dies wird durch die Bezugnahme auf Darlehensverträge, Finanzierungshilfen im Sinne von § 499 BGB, Bürgschaften und Bankgeschäfte nach § 1 Abs. 1 Satz 2 Nr. 9 KWG (bargeldloser Zahlungsverkehr) mit Ausnahme von Giroverträgen ohne Überziehungskredit gewährleistet.

Für eine Ausweitung von automatisierten Bewertungsverfahren auf andere Verträge ist in Abwägung der Interessen und Belange der beiden Vertragsparteien kein überwiegendes wirtschaftliches Interesse erkennbar, das den mit dem Scoring verbundenen, weitreichenden Eingriff in die Rechte des Betroffenen rechtfertigen könnte.

5. Zu Artikel 1 Nr. 6 (§ 28b Nr. 1 BDSG)

Im Hinblick auf die in § 28b Nr. 1 BDSG geregelten Voraussetzungen für Scoring-Verfahren einerseits und § 10 Abs. 1 Satz 3 ff. KWG andererseits bittet der Bundesrat, im weiteren Gesetzgebungsverfahren sicherzustellen, dass die für die Kreditinstitute geltenden Vorschriften keine sich widersprechenden Anforderungen in der Ausgestaltung dieser Verfahren enthalten.

Zudem muss gewährleistet sein, dass die Überprüfung der Einhaltung der gesetzlichen Vorschriften seitens der Kreditinstitute auf der Grundlage der spezielleren Regelungen des KWG in erster Linie durch die Bundesanstalt für Finanzdienstleistungsaufsicht erfolgt.

6. Zu Artikel 1 Nr. 6 (§ 28b Nr. 2a - neu - BDSG)

In Artikel 1 Nr. 6 ist in § 28b nach Nummer 2 folgende Nummer einzufügen:

"2a. im Falle der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei sichergestellt ist, dass diese die für die Entscheidung verantwortliche Stelle in allgemeiner Form über die Berechnung des Wahrscheinlichkeitswerts, insbesondere die dafür genutzten Daten, und im Einzelfall über die für das errechnete Ergebnis maßgeblichen Daten unterrichtet,"

Begründung

Nichtöffentlichen Stellen, die sich zur Berechnung von Wahrscheinlichkeitswerten einer Auskunftei bedienen, ist häufig weder bekannt, wie der Wahrscheinlichkeitswert abstrakt berechnet wird, insbesondere welche Daten dafür herangezogen werden, noch welche Faktoren im Einzelfall den Wahrscheinlichkeitswert maßgeblich bestimmt haben. Diese Kenntnis aber ist notwendig, damit die verantwortliche Stelle im Einzelfall eine sachgerechte Entscheidung treffen kann. Dies soll durch die neue Nummer 2a erreicht werden.

7. Zu Artikel 1 Nr. 6 (§ 28b Nr. 3 und 4 und 5 - neu - und Satz 2 - neu - BDSG)

In Artikel 1 Nr. 6 ist § 28b wie folgt zu ändern:

a) Nummer 3 ist wie folgt zu fassen:
3. bei der Berechnung des Wahrscheinlichkeitswerts Verfahren verwendet werden die insbesondere hinsichtlich ihrer Methodik dem Stand der Technik entsprechen, und alle organisatorischen und technischen Vorkehrungen getroffen werden, um unrichtige Bewertungen und fehlerhafte Dateneingaben zu vermeiden,
b) Nach Nummer 3 ist folgende Nummer 4 anzufügen:
4. der Betroffene über die Erhebung oder Verwendung des Wahrscheinlichkeitswerts und die Entscheidung sowie auf Verlangen über die wesentlichen Gründe dieser Entscheidung unterrichtet wird.
c) Es ist folgender Satz 2 anzufügen:
"Für die Berechnung eines Wahrscheinlichkeitswerts dürfen
- 1. Daten im Sinne des § 3 Abs. 9,
- 2. Daten, die an die Anschrift eines Betroffenen oder dessen Wohnumfeld anknüpfen und
- 3. Schätzdaten nicht verwendet werden."

Begründung

Zu Buchstabe a:

Die in § 28b Nr. 1 vorgesehene Anforderung an die Datenqualität ist für den Schutz des Betroffenen nicht ausreichend, da sie lediglich den Datenumfang regelt. Notwendig ist vielmehr auch die Vorgabe materieller Mindeststandards für die Qualität und Zuverlässigkeit der verwendeten Verfahren, da gerade in der Praxis wiederholt unrichtige Bewertungen erstellt werden, die für den Betroffenen erhebliche negative wirtschaftliche Auswirkungen haben können.

Da die Verwendung von Daten, die an die Anschrift eines Betroffenen oder dessen Wohnumfeld anknüpfen, untersagt wird (s. u. Buchstabe c), ist die Regelung in Nummer 3 des Gesetzentwurfs entbehrlich.

Zu Buchstabe b:

Da das Verhältnis zwischen § 28b und § 6a BDSG nicht eindeutig bestimmt ist und zudem nicht gewährleistet ist, dass die Unterrichtungspflicht nach § 6a Abs. 2 BDSG stets im Falle von Scoringverfahren Anwendung findet, ist eine ausdrückliche Regelung der Unterrichtungspflicht in § 28b erforderlich. Die Unterrichtungspflicht ist zwingende Voraussetzung dafür, dass der Betroffene in die Lage versetzt wird, seine Auskunftsrechte nach § 34 BDSG und etwaige Berichtigungsansprüche nach § 35 BDSG geltend zu machen. Solange eine aktive Mitteilung an den Betroffenen unterbleibt, kann der Betroffene in vielen Fällen bestenfalls vermuten, dass die Entscheidung über einen Vertragsschluss oder die gewährten Vertragskonditionen auf dem Ergebnis eines Scoringverfahrens beruht.

Zu Buchstabe c:

Aus dem Gesetzentwurf ergibt sich nicht mit der notwendigen Klarheit, welche personenbezogenen Daten in die Berechnung von Wahrscheinlichkeitswerten einbezogen werden dürfen. Vielmehr soll sich die Zulässigkeit der Verwendung von Daten nach Nummer 2 aus einer Abwägung zwischen den berechtigten Interessen der nichtöffentlichen Stelle und den schutzwürdigen Belangen des Betroffenen ergeben. Damit wird der Gesetzentwurf in diesem Punkt seiner Zielsetzung, die Transparenz der Verfahren zu verbessern und gleichzeitig mehr Rechtssicherheit für Unternehmen zu schaffen, nicht gerecht. Mit dem neuen Satz 2 sollen wenigstens die Daten durch Gesetz festgelegt werden, die auf keinen Fall für die Berechnung von Wahrscheinlichkeitswerten herangezogen werden dürfen. Dazu gehören wegen ihrer Sensibilität die Daten nach § 3 Abs. 9. Nicht verwendet werden dürfen ferner Daten, die an die Anschrift eines Betroffenen anknüpfen sowie die Wohnumfelddaten. Eine wirtschaftliche Benachteiligung von Personen, die beispielsweise in Gegenden mit einem geringen Einkommensniveau oder in Straßen mit vorwiegend älteren Gebäuden wohnen ist nicht gerechtfertigt und würde überdies gesamtgesellschaftlich unerwünschte Entwicklungen wie die Bildung von sozialen Brennpunkten und die Ausgrenzung von Personen mit geringem Einkommen fördern.

Die Verwendung von Schätzdaten soll untersagt werden, weil dadurch die Aussagekraft von Wahrscheinlichkeitswerten gemindert wird. Zu den Schätzdaten zählen beispielsweise eine Altersschätzung anhand des Vornamens einer Person oder die Herleitung des Familienstands einer Person aus Daten, die in einem öffentlich zugänglichen Verzeichnis (z.B. einem Adressbuch) enthalten sind.

8. Zu Artikel 1 Nr. 7 Buchstabe a Doppelbuchstabe dd (§ 29 Abs. 1 Satz 1 Nr. 3 BDSG) Buchstabe b Doppelbuchstabe aa Dreifachbuchstabe bbb (§ 29 Abs. 2 Satz 1 Nr. 2 BDSG) Doppelbuchstabe aa1 - neu - (§ 29 Abs. 2 Satz 3 - neu - BDSG)

Artikel 1 Nr. 7 ist wie folgt zu ändern:

a) In Buchstabe a Doppelbuchstabe dd ist Nummer 3 wie folgt zu fassen:
3. es für ein Scoring nach § 28b erfolgt.
b) Buchstabe b Doppelbuchstabe aa ist wie folgt zu fassen:
"aa) Satz 1 wird wie folgt geändert:
- aaa) In Nummer 1 Buchstabe b wird nach der Angabe "§ 28 Abs. 3" die Angabe "Satz 1" eingefügt.
- bbb) Der Nummer 2 wird folgender Satz angefügt:
  "Dieses Interesse ist stets anzunehmen, wenn personenbezogene Daten dem Betroffenen nicht zweifelsfrei zuzuordnen sind, es sei denn,
  - a) die verantwortliche Stelle hat alle zumutbaren Schritte unternommen, die Zweifel an der Zuordnung auszuschließen,
  - b) die Daten sind mit an Sicherheit grenzender Wahrscheinlichkeit dem Betroffenen zuzuordnen,
  - c) die Kenntnis der Daten ist für den Dritten, dem die Daten übermittelt werden, zum Schutz vor einem unmittelbaren erheblichen finanziellen Ausfallrisiko unerlässlich,
  - d) der Betroffene wird von der verantwortlichen Stelle über die Übermittlung unter Angabe der personenbezogenen Daten, die ihm nicht zweifelsfrei zugeordnet worden sind, benachrichtigt und e) der Dritte, dem die Daten übermittelt werden, verpflichtet sich die Daten nur zu verwenden, wenn er die Daten dem Betroffenen eindeutig zuordnen kann und anderenfalls die Daten unverzüglich zu löschen.""
c) Nach Doppelbuchstabe aa ist folgender Doppelbuchstabe aa1 einzufügen:
- "aa1) Nach Nummer 2 wird folgender Satz eingefügt:
  "(2) Die Übermittlung von nicht allgemein zugänglichen Daten über die Kreditwürdigkeit des Betroffenen ist nur zulässig, wenn der Dritte, dem die Daten übermittelt werden, zumindest ein unmittelbares finanzielles Ausfallrisiko geltend macht.""

Begründung

Zu Buchstabe a

Die Befugnis von Auskunfteien Daten zu speichern, die ihnen nach § 28a Abs. 1 oder 2 übermittelt worden sind, ergibt sich aus diesen Bestimmungen in Verbindung mit § 29 Abs 1 in der geltenden Fassung. Dies bedarf daher - anders als im Gesetzentwurf vorgesehen - keiner besonderen Regelung. Dagegen sollte die Befugnis dieser Stellen zum Scoring ausdrücklich festgelegt und nicht nur in der Regelung über die Auskunft an den Betroffenen (§ 34 Abs. 2 - neu -) als gegeben vorausgesetzt werden.

Im Übrigen müsste in Nr. 7 Buchst. a, Doppelbuchst. dd die Angabe "§ 28a Abs. 2 Satz 3" redaktionell in "§ 28a Abs. 2 Satz 4" geändert werden.

Zu Buchstabe b

Zu Doppelbuchstabe aa

Zu Dreifachbuchstabe aaa

Die Regelung entspricht Nr. 7 Buchst. b, Doppelbuchst. aa des Gesetzentwurfs.

Zu Dreifachbuchstabe bbb

In der Praxis der Auskunfteien kommt es ausnahmsweise auch zur Übermittlung personenbezogener Daten, die dem Betroffenen nicht eindeutig zugeordnet werden können. Der Übermittlung solcher Daten stehen grundsätzlich schutzwürdige Interessen des Betroffenen entgegen. Nur in extremen Ausnahmefällen kann eine solche Übermittlung berechtigt sein, insbesondere dann, wenn Anhaltspunkte dafür bestehen, dass eine nicht solvente Person eine falsche Identität verwendet, um uneingeschränkt am Wirtschaftsleben teilhaben zu können.

Vor einer solchen Übermittlung haben Adressaten des § 29 alle zumutbaren Möglichkeiten auszuschöpfen, Zweifel an der Zuordnung auszuschließen. Sie dürfen diese Verantwortung grundsätzlich nicht auf die Stellen abwälzen können, denen die Daten übermittelt werden.

Wegen der besonderen Risiken für den Betroffenen, die aus der Übermittlung von negativen Daten herrühren können, die ihn tatsächlich nicht betreffen, sind besondere Schutzvorkehrungen erforderlich. So orientiert sich die Regelung hinsichtlich der Vorgaben für die Verwendung und Löschung an § 10 Abs. 3 des Gesetzes über das Ausländerzentralregister.

Die Pflicht, den Betroffenen über jede ausnahmsweise erfolgende Übermittlung nicht eindeutig ihm zuzuordnender Daten zu benachrichtigen, ist zwingend geboten. Nur so kann der Betroffene rechtzeitig darauf hinwirken, dass künftig falsche Zuordnungen unterbleiben. Der künftig vorgesehene Auskunftsanspruch über entsprechende Daten (§ 34 Abs. 2 Sätze 3 und 4) reicht nicht aus. Die Unterrichtung des Betroffenen wäre von der Ausübung des Auskunftsanspruches abhängig und käme damit regelmäßig zu spät.

Zu Buchstabe c

Die Zulässigkeit der Übermittlung von Angaben zur Kreditwürdigkeit ist, sofern es sich dabei nicht um allgemein zugängliche Daten handelt, unter Abwägung der widerstreitenden Interessen nur zu bejahen, wenn der Dritte, dem die Daten übermittelt werden, zumindest ein unmittelbares finanzielles Ausfallrisiko hat.

9. Zu Artikel 1 Nr. 8 (§ 34 Abs.1 Satz 1, Absatz 2 Satz 1 und 3 und Absatz 4 Satz 1 BDSG)

In Artikel 1 Nr. 8 ist in § 34 Abs. 1 Satz 1, Absatz 2 Satz 1 und 3 und Absatz 4 Satz 1 jeweils nach dem Wort "Verlangen" das Wort "unverzüglich" einzufügen.

Begründung

Für die in § 34 vorgesehenen Auskunftsansprüche sind bisher keine Fristen geregelt.

Diese sind jedoch sowohl im Hinblick auf die in § 43 Abs. 1 Nr. 8a bis 8c BDSG vorgesehene Bußgeldbewehrung einer nicht rechtzeitigen Auskunftserteilung als auch zur Konkretisierung der Auskunftsansprüche der Betroffenen geboten. Durch die Legaldefinition der Unverzüglichkeit in § 121 BGB ist damit die im Hinblick auf die vorgesehene Sanktionsmöglichkeit erforderliche Bestimmtheit für den Bußgeldtatbestand gegeben.

Eine Konkretisierung der Rechtzeitigkeit im Zusammenhang mit der bußgeldbewehrten Verhaltenspflicht (§ 34) ist auch gegenüber einer Definition der Rechtzeitigkeit im Rahmen der Bußgeldvorschriften (§ 43) gesetzessystematisch vorzugswürdig.

10. Zu Artikel 1 Nr. 8 (§ 34 Abs. 1 Satz 3 und 4, Absatz 3 und 4 Satz 3 - neu -, Absatz 7, 8 und 8a - neu - BDSG)

In Artikel 1 Nr. 8 ist § 34 wie folgt zu ändern:

a) Absatz 1 Satz 3 und 4 ist zu streichen.
b) Absatz 3 ist wie folgt zu fassen:
(3) Abweichend von Absatz 1 haben Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung speichern,
- 1. auch Auskunft über personenbezogene Daten zu erteilen, die nicht gespeichert sind auf die aber im Rahmen der Übermittlung zugegriffen wird
- 2. auch Auskunft über Daten zu erteilen, die gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit einer Übermittlung von der verantwortlichen Stelle hergestellt werden soll,
- 3. auch Auskunft über Herkunft und Empfänger der Daten zu erteilen, wenn diese Angaben nicht gespeichert sind,
- 4. Auskunft über Herkunft und Empfänger der Daten dann nicht zu erteilen, wenn im Einzelfall das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt."
c) In Absatz 4 ist nach Satz 2 folgender Satz anzufügen:
"Der Anspruch nach Satz 1 und 2 besteht nicht, soweit die Auskunft nach Absatz 2 Satz 4 oder 5 bereits erteilt ist.
d) In Absatz 7 ist die Angabe "§ 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7" durch die Angabe "§ 33 Abs. 2 Satz 1 Nr. 2, 3, 5, 6 oder 7 Buchstabe b" zu ersetzen.
e) Absatz 8 ist wie folgt zu fassen:
(8) Die Auskunft ist, soweit in Absatz 8a nichts anderes bestimmt ist, unentgeltlich.
f) Nach Absatz 8 ist folgender Absatz 8a einzufügen:
(8a) Von Auskunfteien kann der Betroffene unentgeltlich Auskunft erlangen,
- 1. einmal im Kalenderjahr in Textform,
- 2. wenn er eine Benachrichtigung nach § 33 erhalten hat,
- 3. wenn besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig sind oder unzulässig gespeichert werden oder
- 4. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 oder 4 zu löschen sind.
Im Übrigen können Auskunfteien für die Auskunftserteilung ein Entgelt verlangen dessen Höhe jedoch nicht über die durch die Auskunftserteilung unmittelbar zurechenbaren Kosten hinausgehen darf. Im Falle des Satzes 1 Nr. 4 ist dem Betroffenen ein vor der Auskunftserteilung entrichtetes Entgelt zu erstatten."

Begründung

Zu Buchstabe a und b

Sonderregelungen für die Auskunftserteilung an den Betroffenen für Stellen, die geschäftsmäßig personenbezogene Daten zum Zwecke der Übermittlung speichern werden mit Ausnahme der Sonderregelungen zum Scoring in Absatz 3 zusammengefasst. Dies führt zu einer Vermeidung von Doppelregelungen.

Zu Buchstabe b

In Nummer 1 werden die Ausnahmetatbestände nach § 34 Abs. 1 Satz 4 und Abs. 2 Satz 1, die sich nur marginal unterscheiden, in einer Regelung zusammengeführt.

Nummer 3 verpflichtet insbesondere Adresshändler Dokumentationen über die Herkunft und die Empfänger der Daten vorzuhalten.

Abweichend von § 34 Abs. 1 Satz 4 in der Fassung des Gesetzentwurfs wird im vorgeschlagenen Absatz 2 Nr. 4 die Möglichkeit von Stellen, die geschäftsmäßig Daten zum Zwecke der Übermittlung speichern, Auskunft über die Herkunft und die Empfänger von Daten unter Berufung auf das Geschäftsgeheimnis zu verweigern, ausdrücklich auf Einzelfälle beschränkt. Damit wird verdeutlicht dass eine Auskunft über solche Daten nicht pauschal verweigert werden kann, sondern nur dann, wenn im konkreten Fall das Informationsinteresse des Betroffenen hinter dem Interesse an der Wahrung des Geschäftsgeheimnisses zurückbleibt. Diese Anforderung kann ausnahmsweise im Einzelfall bei Auskunfteien erfüllt sein, jedoch nie bei Adresshändlern.

Zu Buchstabe c

Verzicht auf einen doppelten Anspruch auf Auskunftserteilung.

Zu Buchstabe d

Absatz 7 entspricht in der Fassung des Gesetzentwurfs dem § 34 Abs. 4 des geltenden Rechts. Die Regelung ist insoweit nicht stimmig, als es keine Rechtfertigung gibt auch in Fällen des § 33 Abs. 2 Satz 1 Nr. 7a von der Auskunftspflicht freizustellen. Diese Unstimmigkeit wird beseitigt.

Die weiteren Änderungen sind redaktioneller Art.

Zu Buchstabe e und f

Der Gesetzentwurf behandelt alle nicht-öffentlichen Stellen, die Daten geschäftsmäßig zum Zweck der Übermittlung speichern, gleich. Dies ist nicht sachgerecht. Adresshändler sollten uneingeschränkt zur unentgeltlichen Auskunftserteilung verpflichtet sein. Lediglich für Auskunfteien sind Sonderregelungen sachlich gerechtfertigt, die in einem neuen Absatz 8a zusammengefasst werden sollen.

Der neue Absatz 8a unterscheidet sich vom Gesetzentwurf dadurch, dass er dem Betroffenen auch dann einen Rechtsanspruch auf unentgeltliche Auskunftserteilung einräumt wenn dieser eine Benachrichtigung nach § 33 über die erstmalige Übermittlung seiner Daten erhalten hat. In diesen Fällen hat er ein berechtigtes Interesse daran, von der Auskunftei zu erfahren, welche Daten diese über ihn speichert und an wen sie die Daten übermittelt hat, dem durch die Unentgeltlichkeit der Auskunftserteilung Rechnung zu tragen ist.

Die Auskunftserteilung soll im übrigen nicht nur in den Fällen des § 35 Abs. 1 und des § 35 Abs. 2 Satz 2 Nr. 1, sondern auch im Falle des § 35 Abs. 2 Satz 2 Nr. 4 unentgeltlich sein. Da die Auskunfteien die Auskunftserteilung häufig von der vorherigen Entrichtung eines Entgelts abhängig machen, soll für die Fälle, in denen die Auskunft ergibt, dass die Daten zu berichtigen oder zu löschen sind vorgesehen werden, dass das Entgelt zu erstatten ist.

Mit diesen Ergänzungen kann akzeptiert und im Gesetz auch zum Ausdruck gebracht werden, dass Auskunfteien in allen übrigen Fällen ein Entgelt verlangen dürfen.

Absatz 8 Satz 3 des Gesetzentwurfs wahrt die Interessen der Betroffenen nur scheinbar besser. Er läuft in der Praxis jedoch leer, weil Auskunfteien regelmäßig davon ausgehen, dass ihre Auskünfte gegenüber Dritten zu wirtschaftlichen Zwecken genutzt werden können.

11. Zu Artikel 1 Nr. 8 (§ 34 Abs. 2 Satz 1 Nr. 2, Absatz 4 Satz 1 Nr. 3 BDSG)

In Artikel 1 Nr. 8 ist § 34 wie folgt zu ändern:

a) Absatz 2 Satz 1 Nr. 2 ist wie folgt zu fassen:
"2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten in absteigender Reihenfolge ihrer Bedeutung für das im Einzelfall berechnete Ergebnis und".
b) Absatz 4 Satz 1 Nr. 3 ist wie folgt zu fassen:
"3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Daten in absteigender Reihenfolge ihrer Bedeutung für das im Einzelfall berechnete Ergebnis sowie".

Begründung

Die in Absatz 2 Satz 1 Nummern 2 und 3 und Absatz 4 Satz 1 Nummern 3 und 4 des Gesetzentwurfs vorgesehenen Regelungen bieten keine Gewähr dafür, dass der Betroffene durch die jeweils zur Auskunft verpflichtete Stelle auch tatsächlich in die Lage versetzt wird, seine Rechte sachgerecht auszuüben und mögliche Fehler in der Berechnungsgrundlage aufzudecken, wie es in der Gesetzesbegründung heißt. Die Gesetzesbegründung hat nämlich in den Wortlaut des Gesetzentwurfs keinen Eingang gefunden. Es ist daher zu befürchten, dass sich die Praxis darauf beschränken wird, Auskunft über Datenarten sowie den errechneten Gesamtwert und die Einzelwerte für die verschiedenen Merkmale zu erteilen, ohne dass der Betroffene einzuschätzen vermag, woran es letztlich liegt wenn der für ihn errechnete Gesamtwert niedrig ist und die für die Entscheidung verantwortliche Stelle eine negative Entscheidung getroffen hat.

Dem soll durch die vorgeschlagene Ergänzung begegnet werden.

Im übrigen soll das im Gesetzentwurf verwendete Wort "Datenarten" durch das Wort "Daten" ersetzt werden, um zu verhindern, dass Daten in einer Weise zusammengefasst werden die den schutzwürdigen Belangen der Betroffenen nicht hinreichend Rechnung trägt (z.B. "soziodemographische Daten").

12. Zu Artikel 1 Nr. 9 Buchstabe e - neu - ( § 35 Abs. 5 BDSG)

In Artikel 1 Nr. 9 ist nach Buchstabe d folgender Buchstabe e anzufügen:

"e) Absatz 5 wird wie folgt gefasst:
"(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht. Dies gilt nicht, wenn eine Interessenabwägung ergibt, dass das Interesse der verantwortlichen Stelle das Interesse des Betroffenen erheblich überwiegt oder wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung der Daten verpflichtet." "

Begründung

Nach aktueller Rechtslage dürfen grundsätzlich personenbezogene Daten für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien dann nicht erhoben, verarbeitet oder genutzt werden, wenn der Betroffene widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen das Interesse der verantwortlichen Stelle überwiegt. Die in § 35 Abs. 5 Satz 1 BDSG geregelte Interessenabwägung zwischen Betroffenem und verantwortlicher Stelle schränkt das Widerspruchsrecht des Betroffenen wesentlich ein. Die verantwortliche Stelle kann sich regelmäßig darauf berufen, dass ihr Interesse an einer Datenerhebung, Verarbeitung oder Nutzung das Interesse des Verbrauchers überwiegt. Daher soll der Verbraucher grundsätzlich ein umfassendes Widerspruchsrecht eingeräumt bekommen.

Ausnahmsweise sollen trotz Widerspruch des Verbrauchers personenbezogene Daten durch die verantwortliche Stelle erhoben, verarbeitet oder genutzt werden, soweit eine Interessenabwägung ergibt, dass das Interesse der verantwortlichen Stelle an einer Erhebung, Verarbeitung oder Nutzung der Daten das Interesse des Verbrauchers erheblich überwiegt oder wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung der Daten verpflichtet.

Durch diese Regelung wird die Kontrollmöglichkeit der Verbraucher über die Verwendung ihrer personenbezogenen Daten verbessert und die Verbraucher werden damit besser geschützt.

13. Zu Artikel 1 Nr. 10 Buchstabe a - neu - (§ 43 Abs. 1 Nr. 4a - neu - und Absatz 2 Nr. 1 BDSG)

Artikel 1 Nr. 10 ist wie folgt zu fassen:

"10. § 43 Abs. 1 wird wie folgt geändert:

a) Nach Nummer 4 wird folgende Nummer 4a eingefügt:
"4a. entgegen § 28a Abs. 2 Satz 4 personenbezogene Daten übermittelt."
b) Nach Nummer 8 werden folgende Nummern 8a bis 8c eingefügt:
<wie Vorlage>
c) Absatz 2 Nr. 1 wird wie folgt gefasst:
"1. unbefugt personenbezogene Daten, die nicht allgemein zugänglich sind erhebt, verarbeitet oder nutzt, auch in Verbindung mit § 11 Abs. 3 Satz 1.""

Begründung

Zu Buchstabe a

§ 28a Abs. 2 Satz 4 BDSG-E soll verhindern, dass Anfragen über Kreditkonditionen, welche Kunden zu Zwecken des Preisvergleichs bei mehreren Kreditinstituten stellen, zu Meldungen an Auskunfteien führen, die den Scorewert verschlechtern.

Gängige Scoringverfahren gehen davon aus, dass das Stellen von mehreren Kreditanträgen bei unterschiedlichen Kreditanbietern auf eine schlechtere Bonität des Kunden schließen lässt. Die Stiftung Warentest hat in dem Bereich Finanztest wiederholt festgestellt, dass Kreditinstitute zum Teil bei den Meldungen an Auskunfteien nicht zwischen Anfragen über Kreditkonditionen und konkreten Kreditanträgen unterscheiden. Das führt bisher dazu, dass der Preiswettbewerb für Kredite mittelbar erheblich beschränkt wird, indem Kreditkonditionenanfragen zu schlechteren Scorewerten führen können. Deshalb besteht das Risiko, je intensiver Kunden die Konditionen vergleichen, desto mehr steigen die geforderten Kreditzinsen. In diesem Falle würde der Wettbewerb ad absurdum geführt.

Ein Verbot dieser Praxis genügt nicht, um die Gefahr der Wettbewerbsbeschränkungen zu bannen. Das Verbot bedarf der Bußgeldbewehrung, um die Kreditinstitute zu sorgfältig differenzierten Datenweitergaben anzuhalten.

Zu Buchstabe b

Entspricht dem Regierungsentwurf.

Zu Buchstabe c

In jüngster Vergangenheit bekannt gewordene Verstöße nicht öffentlicher Stellen im Umgang mit personenbezogenen Daten, insbesondere die unbefugte Verwendung personenbezogener Daten durch Stellen, die personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, und der damit einhergehende Missbrauch von Daten über Bankverbindungen zur unbefugten Abbuchung von Geldbeträgen, geben Veranlassung, auch die unbefugte Nutzung nicht allgemein zugänglicher personenbezogener Daten als Ordnungswidrigkeit im Sinne des § 43 Abs. 2 einzustufen und im Falle der Bereicherungs- oder Schädigungsabsicht unter Strafandrohung zu stellen.

Dies hätte mehrere Vorteile. So könnte eine Vielzahl von Verstößen im Umgang mit personenbezogenen Daten nicht nur zivilrechtlich, sondern auch mit Mitteln des Straf- bzw. des Ordnungswidrigkeitenrechts geahndet werden. Nur beispielhaft zu nennen sind die unbefugte - vom Listenprivileg des § 28 Abs. 3 nicht erfasste - Nutzung personenbezogener Daten zu Werbezwecken, die Nichtbeachtung von Werbewidersprüchen nach § 28 Abs. 4 Satz 1 oder auch Zuwiderhandlungen des Auftragnehmers gegen Weisungen des Auftraggebers zu Lasten des Betroffenen.

Die unbefugte Nutzung personenbezogener Daten hat für den Betroffenen häufig die gleichen negativen Auswirkungen wie die unbefugte Übermittlung der Daten. So ist es nur konsequent, dass das Bundesdatenschutzgesetz die Zulässigkeit der Nutzung personenbezogener Daten schon jetzt grundsätzlich an die gleichen materiellen Voraussetzungen knüpft, die für Übermittlungen gelten.

Dann ist es aber auch logisch, die unbefugte Nutzung personenbezogener Daten ebenso als Ordnungswidrigkeit oder Straftat einzustufen wie die unbefugte Übermittlung. Die meisten Landesdatenschutzgesetze enthalten bereits entsprechende Regelungen, zum Teil über die Einbeziehung der Erhebung in die Phasen der Datenverarbeitung.

Die Bewehrung der unzulässigen Nutzung personenbezogener Daten als Ordnungswidrigkeit oder Straftat würde auch Auftragnehmer im Sinne des § 11 BDSG erfassen. Durch die zusätzliche Bezugnahme auf § 11 Abs. 3 Satz 1 wird zudem verdeutlicht, dass die Verwendung personenbezogener Daten entgegen den Weisungen des Auftraggebers den Tatbestand der unbefugten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten erfüllten kann.

Im Hinblick auf das Bestimmtheitsgebot von Strafnormen lässt sich die unbefugte Verwendung von Daten eines Auftraggebers durch einen Auftragnehmer, aber auch durch Mitarbeiter der verantwortlichen Stelle selbst, nur schwerlich unter den Tatbestand einer unbefugten Übermittlung subsumieren. Nach der vorgeschlagenen Änderung könnten auch solche Zuwiderhandlungen eines Auftragnehmers geahndet werden, die nicht bereits den Tatbestand des § 43 Abs. 3, 2. Alternative erfüllen, nämlich das unbefugte Beschaffen nicht allgemein zugänglicher Daten für sich oder einen anderen aus automatisierten Verarbeitungen.

Dieser Tatbestand dürfte bei der Verwendung personenbezogener Daten entgegen den Weisungen des Auftraggebers häufig erfüllt sein, siehe Urteil des BGH vom 27.4.2006 - I ZR 126/03 - zur unbefugten Verschaffung von Geschäftsgeheimnissen im Sinne des § 17 Abs. 2 Nr. 2 UWG.

14. Zu Artikel 1 Nr. 11 - neu - (§ 44 Abs. 2 Satz 1 BDSG)

In Artikel 1 ist nach Nummer 10 folgende Nummer anzufügen:

"11. In § 44 Abs. 2 Satz 1 werden nach dem Wort "verfolgt" die Wörter " , es sei denn dass die Strafverfolgungsbehörde wegen des besonderen öffentlichen Interesses an der Strafverfolgung ein Einschreiten von Amts wegen für geboten hält" eingefügt."

Begründung

Straftaten nach § 44 Absatz 1 BDSG werden bislang nur auf Antrag verfolgt.

Antragsberechtigt sind zum einen der Betroffene, auf dessen Daten sich die Straftat bezieht und zum anderen die verantwortliche Stelle, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit sowie die Aufsichtsbehörde.

Die Ausgestaltung der Strafvorschrift als absolutes Antragsdelikt wird der Bedeutung, die die Begehung der Straftaten für die Allgemeinheit haben kann, nicht gerecht. Insbesondere ist der unbefugte Umgang mit personenbezogenen Daten, wie er sich aus § 43 Abs. 2 BDSG in Verbindung mit § 44 Abs. 1 BDSG ergibt, geeignet, den Rechtsfrieden über den Lebenskreis des Betroffenen hinaus zu stören. Die Strafverfolgung wird insbesondere dann ein Anliegen der Allgemeinheit sein, wenn die Straftat nach § 43 Abs. 2 BDSG in Verbindung mit § 44 Abs. 1 BDSG personenbezogene Daten in großen Mengen betrifft.

Darüber hinaus ist zu berücksichtigen, dass der Umgang mit großen Datenmengen in der heutigen elektronisch vernetzten Gesellschaft zunimmt. Gleichzeitig wächst das Bedürfnis an einem nachhaltigen staatlichen Schutz insbesondere der personenbezogenen Daten vor unbefugten Übergriffen durch Dritte.

Hierzu korrespondierend muss die Möglichkeit geschaffen werden, ein Strafverfahren bei Vorliegen eines besonderen öffentlichen Interesses auch ohne Antrag einzuleiten.

Die Ausgestaltung des § 44 Abs. 2 Satz 1 BDSG als relatives Antragsdelikt schafft die erforderliche Flexibilität um dem Anliegen der Allgemeinheit am Datenschutz gerecht werden zu können. Gleichzeitig stellt das relative Antragsdelikt einen Ausgleich mit den persönlichen Interessen des Betroffenen dar. Dieser soll in den Fällen, in denen das besondere öffentliche Interesse nicht bejaht wird, selbst entscheiden können, ob er sich einer weiteren Beeinträchtigung seiner schutzwürdigen Belange in einem Strafverfahren aussetzen möchte.

Zum Gesetzentwurf allgemein

15.
- a) Der Bundesrat betont angesichts einer zunehmend technisierten Gesellschaft die Bedeutung und das Erfordernis eines modernen Datenschutzes, der in seinem Anwendungs- und Geltungsbereich, in seiner Transparenz gegenüber Betroffenen, in seinen Verarbeitungsbeschränkungen und seinen Kontrollen unter Abwägung der Interessen aller Beteiligten den wachsenden Anforderungen gerecht werden muss. Dabei darf jedoch nicht übersehen werden dass der Schutz der persönlichen Daten vor allem in der Eigenverantwortung jedes einzelnen Bürgers und jedes einzelnen Unternehmens liegt. Ein sorgfältiger Umgang mit den eigenen persönlichen Daten ist hierbei Grundvoraussetzung.
- b) Der moderne Geschäfts- und insbesondere der Dienstleistungsverkehr sowie die Zunahme von Internethandel und E-Commerce erfordern - wie es der vorliegende Gesetzentwurf insbesondere mit seinen Regelungen zum Scoring-Verfahren vorsieht - klare und rechtssichere Regelungen für alle Beteiligten.
- c) Der Bundesrat bekräftigt in diesem Zusammenhang seine Auffassung, dass illegaler Datenhandel mit allen zur Verfügung stehenden straf- und ordnungswidrigkeitenrechtlichen Mitteln konsequent verfolgt und der vorhandene Rechtsrahmen insoweit ausgeschöpft werden muss.
- d) Der Bundesrat hält über die im vorliegenden Gesetzentwurf vorgesehenen Regelungen hinaus zur Stärkung des Verbraucherschutzes insbesondere auch eine breit gefächerte Verbraucheraufklärung über die Möglichkeiten zur Verhinderung von Datenmissbrauch für erforderlich. Die dazu bereits erfolgten Maßnahmen verschiedener Organisationen, wie etwa der Verbraucherzentralen, werden ausdrücklich begrüßt. Die Verbraucheraufklärung sollte dabei insbesondere auch auf die unterschiedlich betroffenen Adressatengruppen (z.B. Senioren, Jugendliche) ausgerichtet werden.
16. Der Bundesrat fordert, den von der Bundesregierung vorgelegten Gesetzentwurf mit dem Ziel zu überarbeiten, dass für die Übermittlung und Nutzung der Daten Betroffener für Zwecke der Werbung, Markt- und Meinungsforschung nach § 28 Abs. 3 Nr. 3 BDSG sowie für die geschäftsmäßige Datenverarbeitung im Bereich der Werbung, Markt- und Meinungsforschung und des Adresshandels nach § 29 BDSG zuvor die Einwilligung des Betroffenen eingeholt werden muss. Dieses hat auch zu geschehen, wenn sich ein Unternehmen bei Inkrafttreten des Änderungsgesetzes bereits im Besitz derartiger Daten befindet. Die Bundesregierung wird um Prüfung gebeten, ob verfassungsrechtliche Anforderungen insbesondere des Rechtsstaatsprinzips dazu zwingen, eine Übergangsregelung zu schaffen, die es den vorbezeichneten Unternehmen gestattet, bei Inkrafttreten des Änderungsgesetzes bereits erhobene Daten noch innerhalb einer Übergangsfrist von einem Jahr zu übermitteln und zu nutzen.
Begründung

Ein wirksamer Schutz der Betroffenen vor Datenmissbräuchen setzt voraus, dass die Verarbeitung von Daten zum Zwecke der Werbung und der Markt- und Meinungsforschung und für den Adresshandel vom Vorhandensein einer Einwilligung abhängig gemacht wird. Hierbei muss auch dafür Sorge getragen werden dass bei schon vorhandenen Datenbeständen die Einwilligung nachzuholen ist.

Soweit Unternehmen in der Vergangenheit Daten zur Zwecke der geschäftsmäßigen im Rahmen der Werbung und der Markt- und Meinungsforschung und für den Adresshandel erhoben haben, kann dies ggf. zur Entwertung von Vermögenspositionen führen wenn diese Daten ab sofort nicht mehr übermittelt oder genutzt werden können, da die Beschaffung der erforderlichen Einverständniserklärungen einen gewissen zeitlichen Vorlauf benötigt und Adressdaten einem erheblichen Aktualisierungsbedarf unterliegen. Dies könnte die verfassungsrechtliche Zulässigkeit der Anordnung einer Pflicht zur nachträglichen Beschaffung einer Einwilligung mit der Übermittlung oder Nutzung berühren.

Die Bundesregierung wird vor diesem Hintergrund um Prüfung gebeten, ob sich die angestrebte Regelung nur bei Schaffung einer angemessenen Übergangsfrist rechtsstaatsgemäß umzusetzen ist. Unter Praktikabilitätsgesichtspunkten erscheint eine Übergangsfrist von einem Jahr sachgerecht.
17. Für das weitere Gesetzgebungsverfahren hält es der Bundesrat für notwendig, folgende weiteren Aspekte einzubeziehen:
- a) Der Bundesrat spricht sich für ein Kopplungsverbot in der Weise aus, dass Firmen einen Vertragsabschluss nicht von der Zustimmung zur Nutzung von Daten abhängig machen dürfen, die für die Vertragsabwicklung nicht benötigt werden.
  Begründung
  
  Weiter wird eine gesetzliche Regelung für erforderlich gehalten, die es Firmen verbietet die Zustimmung zu einer übermäßigen Datennutzung, d. h. zur Nutzung von für die Abwicklung eines Geschäfts nicht notwendigen Daten, zur Bedingung für den Vertragsabschluss machen. Durch ein solches Kopplungsverbot wird vermieden, dass Verbraucherinnen und Verbraucher bei einem Vertragsabschluss, an dem sie interessiert sind, in ihrer Entscheidungsfreiheit bei der Einwilligung zu einer vertragsfremden Nutzung ihrer Daten beeinträchtigt werden.
- b) Der Bundesrat setzt sich für eine gesetzliche Klarstellung ein, dass das Datenschutzrecht verbraucherschützenden Charakter hat, um den Verbraucherzentralen zu ermöglichen, gegen Verstöße zum Schutz der Verbraucherinnen und Verbraucher vorzugehen.
  Begründung
  
  Bisher wird von den Gerichten in Frage gestellt, dass es sich beim Datenschutzrecht um verbraucherschützende Normen handelt, die auch von den Verbraucherzentralen gerichtlich durchgesetzt werden können. Es ist daher im Interesse einer klaren Aufgabenzuordnung und Rechtssicherheit geboten, gesetzlich klarzustellen dass den Verbänden auch eine Verbraucherdaten schützende Funktion zukommt.
18. Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren zu prüfen,
- a) ob es sachgerecht ist, die in § 29 des Bundesdatenschutzgesetzes genannten nichtöffentlichen Stellen in anderen Vorschriften des Bundesdatenschutzgesetzes gleichzubehandeln b) wie die Bürger grundsätzlich besser davor geschützt werden können, dass nichtöffentliche Stellen ohne sachliche Rechtfertigung von ihnen Geburtsdaten, Telefon- und Telefaxnummern, E-Mail-Adressen und Bankverbindungsdaten erheben und an Dritte übermitteln; auch ist die Fragestellung einzubeziehen ob sich das Einverständnis in eine Datenübermittlung zwingend auf eine einmalige Datenübermittlung beschränken sollte;
- c) wie die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch nichtöffentliche Stellen für die Bürger transparenter gemacht werden kann insbesondere ob § 4 Abs. 3 des Bundesdatenschutzgesetzes dahingehend geändert werden soll, dass die Bürger bei der Erhebung ihrer Daten stets - bei Erhebung per Formular an hervorgehobener Stelle - in allgemein verständlicher Form und hinreichend konkret über die weitere Verwendung ihrer Daten, insbesondere auch über die Datenempfänger unterrichtet werden müssen. Geprüft werden sollte auch, ob die Nichtbeachtung einer solchen Vorschrift durch die verantwortliche Stelle die weitere Datenverarbeitung unzulässig macht und mit einem Bußgeld geahndet werden sollte;
- d) ob die Möglichkeiten der Bürger, wegen der Verletzung datenschutzrechtlicher Vorschriften von nichtöffentlichen Stellen Schadensersatz zu erlangen, verbessert werden müssen;
- e) ob es besonderer (datenschutz-)rechtlicher Regelungen für Callcenter bedarf.
  Zu denken ist insbesondere an eine gesetzliche Verpflichtung der Callcenter, dass ihre Mitarbeiter bei Anrufen den Namen ihres Auftraggebers, des Callcenters und ihren eigenen Namen nennen müssen;
- f) wie eine effektivere Selbstkontrolle der Datenverarbeitung nichtöffentlicher Stellen durch betriebliche Datenschutzbeauftragte erreicht werden kann;
- g) ob
  - aa) das den §§ 43 und 44 des Bundesdatenschutzgesetzes zugrunde liegende Regelungskonzept, insbesondere die Abgrenzung zwischen Ordnungswidrigkeiten und Straftaten, noch sachgerecht ist,
  - bb) § 43 des Bundesdatenschutzgesetzes für alle sanktionswürdigen Datenschutzverstöße Bußgeldtatbestände vorsieht,
  - cc) die in § 43 des Bundesdatenschutzgesetzes vorgesehenen Bußgeldrahmen, insbesondere die Höchstgrenze von 250.000 Euro, in allen denkbaren Fällen eine angemessene Ahndung von Datenschutzverstößen ermöglichen.
- h) ob die bereits für andere illegalen Geschäfte bestehende Möglichkeit der Abschöpfung von Gewinnen auch auf den Datenmissbrauch ausgedehnt werden kann, und i) ob das Strafantragserfordernis in § 44 Abs. 2 BDSG abgeschafft oder die Antragsberechtigung auf die Verbraucherzentralen ausgeweitet werden kann.
19. Der Bundesrat bittet zudem um Prüfung, ob im Hinblick darauf, dass bei bestimmten Unternehmen, insbesondere Callcentern, eine Vielzahl von Daten verschiedenster Unternehmen vorhanden sind und hier in besonderem Maße die Gefahr der illegalen Verknüpfung dieser Daten besteht, die in der Anlage zum BDSG zu § 9 Absatz 1 normierten Anforderungen zur Gewährleistung der Datensicherheit in diesem Bereich ausreichen oder zusätzlich eine Dokumentation der Herkunft, Nutzung und Weitergabe aller vorhanden Daten erfolgen muss.
Begründung

Wenn unterschiedlichste personenbezogene Daten unterschiedlicher Herkunft bei einem Unternehmen vorhanden sind - dies gilt insbesondere für Callcenter - besteht eine hohe Missbrauchsgefahr durch die unberechtigte Verknüpfung dieser Datenbestände. Dies gilt besonders, wenn sie wie beispielsweise Callcenter, im Wege der Auftragsdatenverwaltung tätig werden, so dass die datenschutzrechtliche Verantwortung gemäß § 11 Absatz 1 BDSG beim Auftraggeber liegt. Die jüngsten Vorfälle geben Anlass zu der Überlegung, ob die bisher getroffenen Maßnahmen zum Schutz der dem Auftragnehmer überlassenen Daten gerade auch vor einer unzulässigen Verknüpfung ausreichend sind, zumal in § 9 Satz 2 BDSG die Einhaltung der Anforderungen der Anlage lediglich von einer sehr weichen Abwägung abhängig ist. Eine Aufzeichnungspflicht hinsichtlich der Datenherkunft, -nutzung und -weitergabe könnte in besonderem Maße geeignet sein, dieser Missbrauchsgefahr entgegenzuwirken. Hierdurch würde sichergestellt, dass die oder der Datenschutzbeauftragte über eine hinreichende Grundlage zur Überprüfung der Rechtmäßigkeit der Datenbehandlung durch solche Unternehmen, insbesondere Callcenter, verfügt. Zudem würde den Ermittlungsbehörden der Nachweis von Verstößen erleichtert.
20. Die Bundesregierung wird gebeten, die sich auf das laufende Gesetzgebungsverfahren beziehenden Forderungen und Prüfbitten im Zusammenhang mit dem Kontodatenmissbrauch in das angekündigte weitere Gesetzgebungsverfahren zur Änderung des Bundesdatenschutzgesetzes einzubeziehen, sofern ihr eine Prüfung im Rahmen des laufenden Verfahrens nicht möglich ist.
Begründung

Nach dem "Datenschutzgipfel" des Bundesministeriums des Innern am 04.09.2008 hat sich eine neue Sachlage ergeben. Da im Ergebnis aufgrund des Kontodatenmissbrauchs zu einem späteren Zeitpunkt eine weitere Novelle zum Bundesdatenschutzgesetz angekündigt ist, dürfen die Forderungen und Prüfbitten, welche im aktuellen Gesetzgebungsverfahren keine Berücksichtigung finden nicht unberücksichtigt bleiben, sondern sind in einem künftigen Gesetzgebungsverfahren zum Bundesdatenschutzgesetz einzubeziehen.