Praxishandbuch DSGVO. Tobias Rothkegel
dieses Wertes zu berücksichtigen sind, so dass § 31 BDSG indirekt auch Anforderungen für die Einmeldung von Daten und für die Bildung des Scorewertes aufstellt.178 Grundsätzlich richtet sich die Zulässigkeit der mit der Einmeldung und der Bildung des Scorewertes verbundenen Datenverarbeitung aber nach Art. 6 DSGVO.179 Wurden die Daten ursprünglich zu anderen Zwecken erhoben, sind auch die Anforderungen an die Zweckänderung gem. Art. 6 Abs. 4 DSGVO zu beachten.180
120
Aber auch die mit der Verwendung des Scorewertes verbundene Datenverarbeitung kann wohl nicht ausschließlich auf § 31 BDSG gestützt werden. Vielmehr richtet sich wohl auch deren Zulässigkeit zunächst einmal nach den allgemeinen Erlaubnisvorschriften, i.d.R. nach Art. 6 Abs. 1 lit. a, b, c oder f DSGVO.181 Übernimmt eine Vertragspartei z.B. ein Kreditrisiko, kann die Verwendung des Scorewertes an sich – soweit keine Einwilligung der betroffenen Person vorliegt – z.B. gegebenenfalls auf Art. 6 Abs. 1 lit. b oder auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.182 Werden dabei allerdings die Anforderungen des § 31 BDSG nicht eingehalten, darf der Scorewert (dennoch) nicht verwendet werden.183
121
§ 31 Abs. 1 BDSG enthält dabei die grundlegenden Voraussetzungen, unter denen ein Scorewert verwendet werden darf, die kumulativ vorliegen müssen:
1. Die Vorschriften des Datenschutzrechts müssen (insbesondere bei der Einmeldung und Berechnung des Scorewertes) eingehalten worden sein, i.d.R. die Anforderungen an die Einwilligung oder Art. 6 Abs. 1 lit. b bzw. f ggf. i.V.m. Abs. 4 DSGVO.184
2. Die zur Berechnung des Wahrscheinlichkeitswertes genutzten Daten müssen unter Zugrundelegung eines wissenschaftlich anerkannten mathematischstatistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sein.
3. Für die Berechnung des Wahrscheinlichkeitswertes dürfen nicht ausschließlich Anschriftendaten genutzt worden sein.
4. Im Fall der Nutzung von Anschriftendaten muss die betroffene Person vor Berechnung des Wahrscheinlichkeitswertes über die vorgesehene Nutzung dieser Daten unterrichtet worden sein, wobei die Unterrichtung zu dokumentieren ist.
122
§ 31 Abs. 2 S. 1 BDSG enthält sodann noch besondere, zu den Voraussetzungen gem. § 31 Abs. 1 BDSG hinzutretende Anforderungen für den Fall, dass der zu verwendende Scorewert über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person von einer Auskunftei berechnet wurde und dabei auch Daten über Forderungen mit einbezogen wurden.185 Die Zulässigkeit der Verarbeitung von anderen bonitätsrelevanten Daten, wie z.B. von Positivdaten, richtet sich gem. § 31 Abs. 2 S. 2 BDSG, auch zum Zwecke des Scorings, nach den (allgemeinen) Vorgaben der DSGVO.186
123
Zusätzlich können in diesem Zusammenhang auch noch die Vorgaben des Art. 22 DSGVO, also das Recht der betroffenen Person, keinen automatisierten Entscheidungen im Einzelfall unterworfen zu werden, zu beachten sein.187
124
Inwiefern der deutsche Gesetzgeber neben Art. 6 DSGVO und Art. 22 DSGVO auf nationaler Ebene noch spezielle Regelungen zum Scoring/zu Bonitätsauskünften einführen durfte, ist hochgradig umstritten.188 In einem Referentenentwurf für das „neue“ BDSG beriefen sich die Verfasser auf eine Regelungsbefugnis aus Art. 6 Abs. 4 DSGVO i.V.m. Art. 23 Abs. 1 lit. e DSGVO.189 In der finalen Gesetzesbegründung findet sich diese Passage aber nicht mehr. Vielmehr gibt der Gesetzgeber hier keine spezielle Öffnungsklausel mehr an, auf die er sich bei der Regelung beruft.
125
Teilweise wird vertreten, dass sich zumindest eine gewisse Regelungsbefugnis für die Mitgliedstaaten auch noch aus Art. 22 Abs. 2 lit. b DSGVO ergeben könne.190 Allerdings bezieht sich diese Öffnungsklausel nur auf automatisierte Entscheidungen im Einzelfall gem. Art. 22 Abs. 1 DSGVO und nicht auf das hiervon zu unterscheidende Scoring bzw. die hiervon zu unterscheidende Bonitätsauskunft.191 Eine Befugnis der Mitgliedstaaten, Art. 6 Abs. 1 lit. f DSGVO („Datenverarbeitung infolge einer Interessenabwägung“) weiter zu spezifizieren, scheidet wohl auch aus.192 Teilweise wird daher vertreten, dass sich in der DSGVO keine Öffnungsklausel für spezielle Regelungen in diesem Bereich auf nationaler Ebene befinde und dies auch dem Willen des Verordnungsgebers entspreche.193 Andere Autoren sind ebenfalls der Auffassung, dass sich in der DSGVO keine entsprechende Öffnungsklausel befinde, es sich bei den Regelungen zum Scoring aber auch zuvorderst um verbraucherschützende Vorschriften handeln würde und sie deshalb auf eine Befugnis aus diesem Bereich gestützt werden könnten.194 Weitere Autoren sind der Ansicht, dass § 31 BDSG auf die in Art. 23 Abs. 1 lit. i („Sicherstellung des Schutzes der betroffenen Person oder der Rechte und Freiheiten anderer Personen“) und lit. e („Sicherstellung des Schutzes sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats [...]“) DSGVO enthaltenen Öffnungsklauseln gestützt werden könne.195
126
Auch wenn somit derzeit noch nicht entschieden ist, ob der deutsche Gesetzgeber überhaupt befugt war, die Vorgaben an die Datenverarbeitung in § 31 BDSG zu erlassen oder ob diese Regelungen europarechtswidrig sind, sollten sich Unternehmen bei der Verwendung von Scorewerten und Bonitätsauskünften zur Vermeidung etwaiger Haftungsrisiken zumindest bis auf Weiteres an die Vorgaben aus § 31 BDSG halten.
127
So kann die Einhaltung der Vorgaben aus § 31 BDSG auch maßgeblich dazu beitragen, dass eine Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO („Verarbeitung infolge einer Interessenabwägung“), der – soweit die Regelungsbefugnis der Mitgliedstaaten abgelehnt wird – die Verwendung derartiger Daten in vielen Fällen regeln würde, zugunsten des Unternehmens ausgeht.196
128
Allerdings besitzt vorliegende Frage dennoch eine hohe praktische Relevanz: So könnte die Verwendung von Scorewerten geringeren Anforderungen unterliegen, wenn Unternehmen in diesem Zusammenhang nur die Vorgaben aus Art. 6 Abs. 1 lit. f DSGVO (bzw. einer anderen Erlaubnisvorschrift aus Art. 6 Abs. 1 DSGVO) und nicht auch die aus § 31 BDSG beachten müssten.
129
Endgültige Klarheit wird hier wahrscheinlich erst eine Entscheidung des EuGH bringen. Unternehmen, die Scorewerte oder Bonitätsauskünfte verwenden wollen, sollten jedenfalls prüfen, ob in der Zwischenzeit relevante Hinweise der Datenschutzaufsichtsbehörden bzw. Gerichtsentscheidungen ergangen sind.
c) Verhältnis zwischen dem Kunsturhebergesetz und der DSGVO
130
Hoch umstritten ist in der Praxis ebenfalls das Verhältnis zwischen dem KUG und der DSGVO, insbesondere Art. 6 Abs. 1 lit. f DSGVO. Diese Frage, mit der sich auch bereits mehrere deutsche Gerichte auseinandergesetzt haben, ist insbesondere für die Fragen relevant, unter welchen Voraussetzungen Bildnisse, wie z.B. Foto- und Videoaufnahmen von Menschen,197 angefertigt und verwendet, insbesondere veröffentlicht, werden dürfen, welche Anforderungen an eine Einwilligung und deren Widerrufbarkeit zu stellen und welche Informationspflichten insoweit zu erfüllen sind.198
131
Aufgrund der Vielzahl an unterschiedlichen Meinungen können an dieser Stelle nur die wesentlichen Grundzüge der Thematik im Hinblick auf die Zulässigkeit der Anfertigung und Verwendung von Bildnissen erläutert werden:
132
Das KUG regelt in §§ 22 und 23 nur die Verbreitung und die öffentliche Zurschaustellung199 von Bildnissen.200 Daher bemisst sich jedenfalls im Übrigen die Zulässigkeit der Anfertigung und Verwendung von Bildnissen