a) Regelungsgegenstand und Regelungsbefugnis
Rz. 364
Der deutsche Gesetzgeber hat sich dazu entschlossen, in § 31 BDSG-Neu Regelungen "zum Schutz des Wirtschaftsverkehrs bei Scoring und Bonitätsauskünften" zu etablieren, deren Anwendungsbereich, wie generelle Zulässigkeit vor dem Hintergrund der vorbeschrieben europäischen Vorgaben zweifelhaft erscheint. Die Regelung orientiert sich an den bisherigen §§ 28a und 28b BDSG und soll den dort geregelten materiellen Schutzstandard auch unter Geltung der DSGVO sichern.
Rz. 365
Zwar sieht Art. 22 Abs. 2 Nr. 2 DSGVO eine Öffnungsklausel für Erlaubnistatbestände in anderen Rechtsvorschriften der Union oder der Mitgliedstaaten vor, soweit diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten. Die Norm gestattet ausdrücklich nur weitere Ausnahmen vom Verbot zu normieren, gibt aber den Mitgliedstaaten nicht die Befugnis, die in Art. 22 Abs. 2 Nr. 1 und 3 DSGVO normierten Erlaubnistatbestände einzuschränken.
Rz. 366
§ 31 BDSG-Neu normiert derartige Einschränkungen in Bezug auf die "Verwendung" von aus dem Profiling (genauer dem Scoring) gewonnen Erkenntnissen und sonstigen Bonitätsauskünften. Dabei weicht § 31 BDSG-Neu mit dem "Verwendungsbegriff" augenscheinlich vom "Verarbeitungsbegriff" ab, ohne jedoch eine klarzustellen, warum der Terminus der "Verwendung", anstelle der Verarbeitung überhaupt gewählt wird. Breits diese Kleinigkeit dürfte einen Verstoß gegen die DSGVO darstellen, die den Begriff der "Verwendung" personenbezogener Daten nicht kennt und – wie bereits dargestellt – anders als das bisherige BDSG auch keine Verarbeitungsstadien beschreibt, sondern allein den Tatbestand der Verarbeitung personenbezogener Daten kennt. Vor dem Hintergrund der Zielsetzung, §§ 28a und 28b BDSG in die neue Rechtslage zu transformieren, kann der Begriff der Verwendung europarechtskonform nur im Sinne der Verarbeitung verstanden werden. Nachdem die Verordnung in Bezug auf die automatisierten Einzelfallentscheidung, einschließlich dem Profiling, grundsätzlich und in allein unter Berücksichtigung der vorstehend bereits erläuterten Grenzen, eine Verarbeitung für zulässig erachtet, fragt sich, ob in der Neuregelung in § 31 BDSG-Neu, die davon spricht, dass Scores und Bonitätsauskünfte nur (!) verwendet (= verarbeitet) werden dürfen, wenn die in § 31 BDSG-Neu normierten Voraussetzungen kumulativ vorliegen, eine europarechtswidrige Einschränkung der Verarbeitungsbefugnisse des Verantwortlichen liegt. Die Norm kann – will sie überhaupt Bestand haben –allenfalls als "weitere" Befugnisnorm aufgefasst werden, so dass das "nur….wenn" durch ein "auch….wenn" zu ersetzen ist. Die vom Gesetzgeber normierte Einschränkung sollte möglichst zeitnah durch den EuGH überprüft werden. Die deutsche Regelung schränkt auch die Dienstleistungsfreiheit ein. EU-ausländische Unternehmen können ihre Scorewerte in Deutschland nur noch absetzen und vermarkten, wenn die strengen Voraussetzungen der "Verwendung" nach § 31 BDSG-Neu erfüllt sind. Problematisch wird es, wenn wir über einen Verantwortlichen sprechen, der zwar in Deutschland agiert, hier jedoch keinen Sitz hat und vielmehr aus dem Ausland heraus über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ein solcher Verantwortlicher unterfiele den Bestimmungen des BDSG-Neu nicht, sondern allein der DSGVO, er könnte daher – unbeschadet der in § 31 BDSG-Neu normierten Verwendungsbeschränkungen – auf dem deutschen Markt agieren und – gerade wenn es um die Forderungsdurchsetzung geht – erhebliche Vorteile gegenüber einem, dem BDSG-Neu unterfallenden Verantwortlichen haben. Bereits heute ist ein grenzüberschreitender Zusammenschluss von Inkassounternehmen keine Seltenheit mehr; verfügt ein Konzern europaweit über eigenverantwortliche Niederlassungen, so ist es ein leichtes der deutschen Schutznorm zu entgehen und die Verarbeitung aus dem Ausland heraus zu vollziehen. Dies kann für rein deutsche Mitbewerber auf dem Markt der Inkassodienstleistungen zu einem echten Wettbewerbsnachteil führen. Dass über die Regelungen in § 31 BDSG-Neu "insoweit für alle Beteiligten Sicherheit in der Weise geschaffen [wird], dass Scoringverfahren und Kreditinformationssysteme mit der Einmeldung von Positiv- und Negativdaten, die z.B. durch Kreditinstitute, Finanzdienstleistungsunternehmen, Zahlungsinstitute, Telekommunikations-, Handels-, Energieversorgungs- und Versicherungsunternehmen oder der Leasinggesellschaften erfolgt, prinzipiell weiter zulässig bleiben“ teilt der Autor dieses Werkes daher nicht."
Rz. 367
Die Regelungen in § 31 BDSG-Neu sollen – unbeschadet der vorstehend geäußerten Zweifel an der Rechtmäßigkeit der Norm als solches – nachfolgend näher dargestellt werden.