|
|
A-1010 Wien, Ballhausplatz 1 Tel. ++43-1-53115/2527 Fax: ++43-1-53109/2702 e-mail: dsrpost@bka.gv.at DVR: 0000019 |
|
Per E-Mail: johannes.stabentheiner@bmj.gv.at dagmar.dimmel@bmj.gv.at kzl.b@bmj.gv.at
|
|
Betrifft: Entwurf eines Bundesgesetzes, mit dem das allgemeine bürgerliche Gesetzbuch geändert, ein Bundesgesetz über Verbraucherkreditverträge und andere Formen der Kreditierung zu Gunsten von Verbrauchern (Verbraucherkreditgesetz- VKrG) erlassen sowie das Konsumentenschutzgesetz, das Bankwesengesetz, das Versicherungsaufsichtsgesetz, das Wertpapieraufsichtsgesetz 2007, das Investmentfondgesetz, das Zahlungsdienstegesetz, die Gewerbeordnung 1994 und das Maklergesetz geändert werden
(Darlehens- und Kreditrechts-Änderungsgesetz – DaKRÄG)
Stellungnahme des Datenschutzrates
Der Datenschutzrat hat in seiner 193. Sitzung am 14. Jänner 2010 einstimmig beschlossen, zu der im Betreff genannten Thematik folgende Stellungnahme abzugeben:
1) Datenschutzrechtlich relevante Bestimmungen des Entwurfes:
Zu § 7 VKrG:
§ 7 VKrG sieht vor, dass vor Abschluss des Kreditvertrages der Kreditgeber die Kreditwürdigkeit des Verbrauchers anhand ausreichender Informationen zu prüfen hat.
Festzuhalten ist, dass gegen eine an den Wortlaut der entsprechenden Richtlinienbestimmung angelehnten Umsetzung im VKrG grundsätzlich nichts einzuwenden ist. Zu bemerken ist jedoch, dass die Terminologie in manchen Punkten nicht dem Wortlaut der Richtlinie entspricht, zumal in den Erläuterungen erwähnt wird, dass § 7 VKrG weitgehend wortgleich der Anordnung in der Verbraucherkreditrichtlinie entspricht. Nähere Determinierungserfordernisse ergeben sich jedoch vor dem Hintergrund des nationalen Rechts im Hinblick auf die im Folgenden genannten Aspekte:
Eine datenschutzrechtliche Regelung sollte neben Zweck und Anlass der Verwendung, Auftraggeber, Betroffenen, allfällige Übermittlungsempfängern und Angaben über technisch- organisatorische Besonderheiten der Datenverwendung insbesondere auch die Kategorien der zu verwendenden Datenarten enthalten. Die gegenwärtige Formulierung „anhand ausreichender Informationen“ erscheint diesbezüglich zu unbestimmt und sollte anhand von Datenkategorien näher spezifiziert werden. Eine solche nähere Determinierung könnte im Rahmen der Festlegung der Abfragemöglichkeit oder aber im Rahmen der Festlegung der zulässigerweise zu verarbeitenden Datenkategorien bei den betreffenden Datenbanken erfolgen. Es sollte (zumindest in den Erläuterungen) klargestellt werden, welche Datenbanken zur Bewertung der Kreditwürdigkeit von Verbrauchern herangezogen werden können. Aus datenschutzrechtlicher Sicht ist dabei von zentraler Bedeutung, dass die erfassten Datenbanken grundsätzlichen datenschutzrechtlichen Qualitätsstandards genügen.
2) Erwägungen über den legistischen Handlungsbedarf im Hinblick auf die Einführung verpflichtender Qualitätsstandards zur Führung von Bonitätsdaten-banken:
Die in Form eines Informationsverbundsystems gemäß § 50 DSG 2000 geführte Datenanwendung „Kleinkreditevidenz (Konsumentenkreditevidenz) zum Zweck des Gläubigerschutzes und der Risikominimierung (KKE)“ wurde mittels Registrierungsbescheids der Datenschutzkommission unter Auflagen genehmigt (vgl. DSK vom 12.12.2007, GZ K600.033-018/0002-DVR/2007). Teilnehmende Auftraggeber der KKE sind Kreditinstitute, Leasingunternehmen und kreditgebende Versicherungsunternehmen sowie der Kreditschutzverband von 1879 (KSV), der nebenbei zusätzlich die Rolle des Betreibers des Systems iSd § 50 DSG 2000 übernimmt. Die KKE enthält Daten über Kreditverhältnisse, und zwar – im Unterschied zur sog. Warnliste – auch sog. „Positivdaten“, nämlich Daten über Kreditverhältnisse ohne Zahlungsanstand.
Die im oa. Bescheid von der DSK erteilten Auflagen für die Datenverwendung im Rahmen der KKE betreffen die zulässigerweise zu erfassenden Daten (Bagatellgrenze: 300 EUR), Informationspflichten der Auftraggeber, die Einfügung eines Bestreitungsvermerks bei begründeter Bestreitung von Forderungen, Berichtigungs- bzw. Streichungspflichten bei rechtskräftiger Feststellung der Unrichtigkeit bzw. des Nichtbestehens der Schuld, konkrete Löschungspflichten samt Fristvorgaben, die Errichtung einer Auskunfts- und Beschwerdestelle beim KSV sowie die Verpflichtung zur regelmäßigen Überprüfung und Aktualisierung der enthaltenen Daten.
Ähnliches gilt für die ebenfalls in Form eines Informationsverbundsystems gemäß § 50 DSG 2000 geführte Datenanwendung „Warnliste der österreichischen Kreditinstitute zum Zweck des Gläubigerschutzes und der Risikominimierung durch Hinweis auf vertragswidriges Kundenverhalten“. Auch hier wurde den als Auftraggeber teilnehmenden Banken von der DSK entsprechende Auflagen für die Datenanwendung erteilt (vlg. DSK vom 23.11.2001, GZ K095.014/021-DSK/2001).
Darüber hinausgehende Datenbanken von Kreditauskunfteien unterliegen keinen datenschutzrechtlichen Sonderbestimmungen; für sie finden die allgemeinen Regeln des DSG 2000 sowie die – aus datenschutzrechtlicher Sicht – nur rudimentären Vorgaben des § 152 GewO (Kreditauskunfteien) Anwendung. Wie zahlreiche Beschwerden der DSK im Zusammenhang mit der gewerbsmäßigen Erteilung von Bonitätsauskünften belegen, bestünde in diesem Bereich jedoch ein eindeutiger regulatorischer Handlungsbedarf, um verpflichtende Qualitätsstandards zu etablieren. Es wäre zu überlegen, ob diesbezügliche Bestimmungen nicht (zumindest teilweise) in das VKrG aufgenommen werden sollten, um einen hinreichenden Datenschutzstandard bei den betroffenen Datenbanken sicherzustellen.
Zu erwähnen ist in diesem Zusammenhang weiters, dass im Jahr 2008 eine Reihe von Entscheidungen der Zivilgerichte ergingen, die das unbegründete Widerspruchsrecht gemäß § 28 Abs. 2 DSG 2000 auf Bonitätsdaten von Kreditauskunfteien für anwendbar erklärte, da sie „öffentlich zugänglich“ seien (vgl. ua. OGH 1.10.2008, GZ 6 Ob 195/08g). Ob diese Rechtsansicht auch auf Informationsverbundsysteme wie die KKE Anwendung findet, ist gegenwärtig noch unklar, da ein entsprechendes Verfahren derzeit beim OGH anhängig ist. Folge dieser Judikatur ist bzw. wäre es, dass Betroffene gemäß § 28 Abs. 2 DSG 2000 jederzeit und ohne Begründung gegen die Aufnahme ihrer Person bzw. bestimmter Datensätze in Dateien von Kreditauskunfteien Widerspruch erheben können und die Daten binnen acht Wochen zu löschen sind.
Zu der eben erläuterten Problematik weisen die Erläuterungen zum Entwurf eines VKrG (S. 18) auf folgendes hin, mit dem Zweck Missverständnissen zur Bonitätsprüfungen durch Datenbankanfragen zu vermeiden. So verlange die Verbraucherkreditrichtlinie selbst keinen bestimmten Standard an verbraucherkreditrechtlichen relevanten Datenbanken, sondern knüpfe mit ihren Geboten an dem gegebenen faktischen und rechtlichen Status quo an. Die Problematik des § 28 DSG 2000 mag daher zwar aus Anlass der Richtlinienumsetzung in der Wahrnehmung des Sektors besonders hervortreten, werde aber weder durch die Richtlinienumsetzung verursacht noch qualitativ verstärkt, daher seien allfällige Änderungen im Datenschutzrecht nicht im unmittelbaren Zusammenhang mit der Richtlinienumsetzung erforderlich. Ob und in welcher Weise derartige Änderungen dennoch vorgenommen werden, werde losgelöst von der Richtlinienumsetzung (weiter) zu diskutieren sein. Die Verwirklichung einer solchen Regelungsüberlegung bleibe gegebenenfalls einem eigenen Gesetzesvorhaben vorbehalten.
Angesichts der kaum trennbaren Verflechtungen mit den dargelegten Problemstellungen erscheint es aber sinnvoll, ehest möglich adäquate Lösungsmöglichkeiten zu erarbeiten. Unter diesen Prämissen ist es aber nun fraglich, wie bzw. in welchem Gesetz eine gesetzliche „Sanierung“ erfolgen kann. Dies wäre aber auch insbesondere von Bedeutung, da § 7 VKrG als Sanktion bei einem Sorgfaltsverstoß bei der Prüfung der Kreditwürdigkeit ein richterliches Mäßigungsrecht normiert.
Hinzuweisen ist in diesem Zusammenhang weiters auch auf die rechtliche Problematik von Scoringverfahren. Mit Kreditscoring versuchen Unternehmen die Kreditwürdigkeit von Kunden oder Partnerunternehmen nach einem vorgegebenen Verfahren mehr oder weniger automatisiert zu ermitteln. Auch hier bestehen offene Rechtsfragen. Es sollte auch hier im Hinblick auf die notwendige Transparenz für die Betroffenen eine gesetzliche Lösung angedacht werden, die den Zweck (Prognose des Kreditrisikos), die Art der Datenverarbeitung (Scoring), in generalisierter Form die einfließenden Daten (Antragsdaten, Unternehmensdaten aus soziodemografische Daten), Art der Nutzung (Vertragsschluss, Risikopricing) und beteiligte Stellen bzw. wem die Auftraggebereigenschaft zukommt und die Betroffenenrechte genau determiniert.
3) Schlussfolgerungen:
Aus Sicht des Datenschutzrates müsste – insbesondere im Hinblick auf den künftig europaweiten Austausch von Bonitätsdaten – eine gesetzliche Festlegung hinreichender und angemessener Qualitätsstandards für die Verarbeitung bonitätsrelevanter Informationen durch Kreditauskunfteien und Informationsverbundsysteme, die der Beurteilung der Bonität von Kunden und potentiellen Kunden dienen, erfolgen.
Darüber hinaus regt der Datenschutzrat an, bei Kreditscoring (hier versuchen Unternehmen die Kreditwürdigkeit von Kunden oder Partnerunternehmen nach einem vorgegebenen Verfahren mehr oder weniger automatisiert zu ermitteln) im Hinblick auf die notwendige Transparenz für die Betroffenen eine gesetzliche Lösung anzudenken, die den Zweck (Prognose des Kreditrisikos), die Art der Datenverarbeitung (Scoring), in generalisierter Form die einfließenden Daten (Antragsdaten, Unternehmensdaten aus soziodemografischen Daten), Art der Nutzung (Vertragsschluss, Risikopricing) und beteiligte Stellen bzw. wem die Auftraggebereigenschaft zukommt und allfällige spezielle Betroffenenrechte genau determiniert.
Wie auch zahlreiche Beschwerden der DSK im Zusammenhang mit der gewerbsmäßigen Erteilung von Bonitätsauskünften belegen, besteht in diesem Bereich ein eindeutiger regulatorischer Handlungsbedarf, um verpflichtende Qualitätsstandards zu etablieren, um einen hinreichenden Datenschutzstandard bei den betroffenen Datenbanken sicherzustellen. Eine derartige gesetzliche Anordnung würde auch bewirken, dass § 28 Abs.2 DSG 2000 nicht zur Anwendung kommen würde.
Der Datenschutzrat ersuchte daher das Bundeskanzleramt-Verfassungsdienst, im Vorfeld die Frage der Zuständigkeit zur Ausarbeitung eines derartigen Gesetzesentwurfes ehestmöglich zu klären, damit sich der Datenschutzrat in weiterer Folge an das zuständige Ressorts mit der Bitte um Ausarbeitung eines derartigen Gesetzesentwurfes wenden kann.
21. Jänner 2010
Für den Datenschutzrat
Der Vorsitzende:
MAIER
Elektronisch gefertigt