Datenschutz und Bonitätsprüfung: sind verdeckte Abfragen ohne Einwilligung der Betroffenen datenschutzrechtlich zulässig?
Beitrag von Herrn Rechtsanwalt Dr. Sebastian Kraska und Frau Rechtsanwältin Alma Lena Fritz
10.12.2009 - Die verdeckte Online-Bonitätsprüfung vor Abschluss von Verträgen im Internet erfreut sich hoher Beliebtheit. Aus der Sicht der Verkäufer ist dies verständlich, da sich das Zahlungsausfallrisiko hinsichtlich unzuverlässiger Kunden erheblich verringert. Aus der Sicht der Käufer ist diese Entwicklung jedoch nicht unproblematisch. Durch die Hintergrund-Überprüfung wird schließlich eine ausgesprochen private Information offengelegt, ohne dass der Betroffene hiervon Kenntnis erhält.
Wie funktioniert eine Bonitätsprüfung?
Die Kreditwürdigkeit eines Kunden wird von vielen Auskunfteien nach dem Scoringverfahren geprüft, indem von einer externen Datenbank der sogenannte Scorewert derjenigen Person abgerufen wird. Dieser enthält eine Aussage über das Kreditrisiko dieses Kunden, da sich mit Hilfe des Scorewertes die Prognose des Kreditausfallrisikos nach einem statistischen Wahrscheinlichkeitsverfahren ermitteln lässt.
Im Rahmen dieser Bestimmung lassen sich mehrere Merkmale heranziehen, wie zum Beispiel die Dauer der Geschäftsbeziehung, der Beruf, der Wohnort oder die eingebrachten Sicherheiten. Daraus wird eine gesamte Bonitäts-Note ermittelt, um eine Entscheidungshilfe zu geben. Je nachdem wie gut die Bonitäts-Note ausfällt wird das Unternehmen dann beispielsweise einen Kredit gewähren oder einen Kaufvertrag abschließen.
Bonitätsprüfung beim Abschluss von Kaufverträgen gerechtfertigt?
Es ist fraglich, inwieweit eine Bonitätsprüfung ganz grundsätzlich gerechtfertigt sein kann, wenn es sich um den Abschluss eines gewöhnlichen Kaufvertrages handelt. Im Gegensatz zu einem Dauerschuldverhältnis trifft den Verkäufer hier kein dauerhaftes Leistungsausfallrisiko, sondern lediglich ein einmaliges Risiko, wenn der Käufer seine Zahlungspflicht für bereits erhaltene Ware nicht erfüllt.
Das Risiko ist relevant, soweit es um Zahlung auf Rechnung oder um Zahlung via Lastschriftverfahren geht, da hier für den Käufer die Möglichkeit zur Rückbuchung besteht.
Die datenschutzrechtliche Bewertung
Nach der Datenschutz-Grundverordnung bedarf es der Verarbeitung personenbezogener Daten (worunter gem. Art. 4 Nr. 2 DSGVO auch das "Erheben" fällt) einer Rechtsgrundlage (Artt. 5 Abs. 1 lit. a, 6 Abs. 1 DSGVO).
Zunächst kommt - wie leider so oft - die Einwilligung des Betroffenen als Rechtsgrundlage in Betracht, die jedoch den klaren Nachteil mit sich bringt, dass diese freiwillig erteilt werden kann. Käufer, die gegebenenfalls etwas zu verbergen haben, würden wohl kaum einer Bonitätsprüfung zustimmen. Die Einwilligung ist folglich zur Risikominimierung aus Verkäufersicht ungeeignet.
Auch übersteigt eine solche Abfrage im Regelfall die Erforderlichkeit personenbezogener Datenverarbeitung in Vertragsverhältnissen. Die Erfüllung wäre auch ohne eine solche Abfrage möglich - jedoch mit erhöhtem Risiko. Somit scheidet die Vertragsnotwendigkeit als Rechtsgrundlage aus.
Damit kommt für eine zulässige verdeckte Online-Bonitätsprüfung lediglich ein berechtigtes Interesse des Unternehmers gem. Art. 6 Abs.1 lit.f DSGVO in Betracht.
Berechtigtes Interesse des Verkäufers?
Damit ist zu prüfen, ob ein berechtigtes Interesse des Verkäufers als Auskunftsersuchender begründet werden kann. Ein solches Interesse ist gegeben, wenn ohne die Übertragung die Empfängerstelle einen nicht zumutbaren Nachteil erleiden würde. Es kommen insoweit rechtlichte, wirtschaftliche und ideelle Interessen in Betracht, wobei jedoch einer Interessenabwägung mit den schutzwürdigen Belangen des Betroffenen ein besonderes Gewicht zukommt.
Vor DSVGO: Die Stellungnahmen des Düsseldorfer Kreises
Der Düsseldorfer Kreis (die informelle Vereinigung der obersten Aufsichtsbehörden für den nicht-öffentlichen Bereich (Unternehmen) im Datenschutzrecht) hat bereits in der Vergangenheit Stellung dazu bezogen, inwieweit ein berechtigtes Interesse gerade auch im Zusammenhang mit Bonitätsprüfungen gegeben sein kann.
In dieser Stellungnahme verneint der Düsseldorfer Kreis ein berechtigtes Interesse zur dauerhaften Abprüfung von Kunden von Versandhäusern. Diese dürften nur dann vereinzelte Bonitätsprüfung durchführen, wenn aufgrund eines konkreten Bestellvorgangs ein finanzielles Ausfallrisiko vorläge. Dies sei gegeben, wenn ein Ratenzahlungskredit vereinbart werden solle oder noch ein offener Saldo bestehe. In den übrigen Fällen seien die Versandhäuser nicht zur Abprüfung berechtigt.
Im Oktober diesen Jahres hat der Düsseldorfer Kreis erneut Stellung bezogen, diesmal für Bonitätsauskünfte über Mietinteressenten. Der Mietvertrag ist im zivilrechtlichen Sinn ein Dauerschuldverhältnis. Gemäß der Stellungnahme des Düsseldorfer Kreises kann selbst der Vermieter, der ein hohes Interesse an der Bonität des Mieters hat (da dieser aufgrund der mietrechtlichen Regelungen lange an seinen Vertragspartner gebunden wird), nur unter bestimmten Voraussetzungen die Bonität des künftigen Mieters erfragen. Genauer darf er eine Bonitätsabfrage erst als letzten Schritt durchführen, bevor der Vertrag endgültig zustande kommt. Daneben darf er nur gewisse Daten einholen und keinen generellen Scoringwert. Insofern lehnen die Aufsichtsbehörden selbst bei einem Dauerschuldverhältnis eine generelle Bonitätsprüfung ab. Zudem geht aus der Stellungnahme hervor, dass der Düsseldorfer Kreis nicht einmal eine – mehr oder weniger „freiwillige“ – Einwilligung des Mieters in eine umfassende Bonitätsprüfung für zulässig erachten würde.
Seit DSGVO: Stellungnahmen der Aufsichtsbehörden
Beispielhaft sei aus dem 35. Tätigkeitsbericht der baden-württembergischen Aufsichtsbehörde zitiert, die festhält, dass eine Bonitätsabfrage nach Art. 6 Abs. 1 lit. f DSGVO rechtmäßig sei, "wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen". -So sei wiederum mit Blick auf die Bonitätsprüfung ein solches Interesse anzunehmen, sollte man sich vor einem kreditorischen Ausfallrisiko schützen wollen.
Berechtigtes Interesse nur bei Erforderlichkeit
Nach weiterhin herrschender Meinung liegt also ein berechtigtes Interesse an der Kenntnis der personenbezogenen Daten eines Anderen nur insoweit vor, als die Kenntnis für die vom Empfänger beabsichtigten Ziele und Zwecke erforderlich ist. Je nach der Zweckbestimmung eines Auskunftssystems ist bereits der Empfängerkreis von vorneherein so festzulegen, dass hierzu nur solche gehören, bei denen ein solches Interesse vorliegen kann.
Betrachtet man in diesem Zusammenhang insbesondere die restriktive Haltung der Aufsichtsbehörden, so liegt im einfachen Kaufvertragsschluss im Internet noch kein berechtigtes Interesse zu einer vorherigen verdeckten Bonitätsanfrage. Ein einfaches Zahlungsausfallinteresse kann nicht höher bewertet werden als das Geheimhaltungsinteresse des Betroffenen. Darüber hinaus ist es auch nicht zwingend erforderlich, sich bei einer einmaligen Vertragsabwicklung einen Überblick über die gesamte Bonitätssituation des Betroffenen zu verschaffen.
Was heißt das konkret für Online-Händler?
Da ein gesetzlicher Ausnahmetatbestand nach dem oben Gesagten unserer Ansicht nach nicht im Regelfall einschlägig ist, bleibt für die dauerhafte oder durchgängige Durchführung einer Bonitätsprüfung nur die Einholung einer Einwilligungserklärung des Kunden. Die Einwilligungserklärung muss sich aber (um insbesondere den Prinzipien der Zweckbindung und der Datensparsamkeit zu genügen) auf die für den zu schließenden Vertrag wesentlichen Auskünfte beschränken, um den Zweck der gesetzlichen Regelungen nicht zu unterlaufen. Die Klausel, in welche die Nutzer einwilligen müssen, sollte also insbesondere genaue Information enthalten, welche personenbezogenen Daten genau abgefragt werden sollen. Dies werden im Regelfall die Kernangaben zur Person sowie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften sein. Darüber hinaus können auch Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen sowie weitere Positivmerkmale, wie vertragsgemäße Bedienung oder vorzeitige Rückzahlung von Krediten durch den Kunden abgefragt werden. - Sollte der Online-Händler in Ausnahmefällen dagegen in Vorleistung gehen, kann sich ein Interesse an einer Bonitätsprüfung gem. Art. 6 Abs. 1 lit. f DSGVO ergeben.
Fazit
Eine verdeckte Bonitätsprüfung vor Abschluss von Kaufverträgen im Internet ist in den meisten Fällen datenschutzrechtlich unzulässig. Soll dennoch eine Bonitätsprüfung vor Vertragsschluss durchgeführt werden, muss hierzu vorab die Einwilligung des Betroffenen eingeholt werden, die detaillierte Angaben zur geplanten Datenabfrage beinhalten muss. Nur in Ausnahmefällen (insbesondere bei bestimmten Dauerschuldverhältnissen) kann eine verdeckte Bonitätsprüfung zulässig sein. Eine datenschutzwidrige Bonitätsprüfung ist bußgeldbewehrt ist und kann, neben Ansprüchen des Betroffenen, Maßnahmen der Kontrollbehörden nach sich ziehen.