Eingelangt am 21.04.2008
Dieser Text ist elektronisch textinterpretiert. Abweichungen vom Original sind möglich.

Bundeskanzler

Anfragebeantwortung

Die Abgeordneten zum Nationalrat Mag. Maier, Kolleginnen und Kollegen haben am 6. März 2008 unter der Nr. 3742/J an mich eine schriftliche parlamentarische Anfrage betreffend Aufträge an das Scoringverfahren - Automatisierte Einzelentscheidungen - Datenschutz gerichtet.

Diese Anfrage beantworte ich wie folgt:

Vorab halte ich fest, dass sich die vorliegende Anfrage zum Teil auf Sachverhalte im Vollziehungsbereich des Bundesministeriums für Finanzen, des Bundesministeriums für Verkehr, Innovation und Technologie und des Bundesministeriums für Wirtschaft und Arbeit bezieht. Ich weise daher auf die weitgehend gleichlautenden Anfragen an den Bundesminister für Finanzen (3743/J und 3744/J), den Bundesminister für Ver-kehr, Innovation und Technologie (3745/J) und den Bundesminister für Wirtschaft und Arbeit (3746/J und 3747/J) hin.

Zu Frage 1:

Ø      Unter welchen Bedingungen dürfen in Österreich Scoringverfahren verwendet wer-den?

Aus datenschutzrechtlicher Sicht dürfen Scoringverfahren in Österreich nur dann ver-wendet werden, wenn sie den Bestimmungen des Datenschutzgesetzes 2000 (DSG

2000) entsprechen. Diesbezüglich weise ich insbesondere auf die Grundsätze betref-fend die Verwendung von Daten gemäß §§ 6ff DSG 2000, die Meldepflicht des Auf-traggebers gemäß § 17 DSG 2000, die Vorabkontrolle durch die Datenschutzkom-mission gemäß § 18 Abs. 2 samt der Möglichkeit, dem Auftraggeber gemäß § 21 Abs. 2 DSG 2000 Auflagen für die Datenanwendung zu erteilen, und das grundsätzliche Verbot von automatisierten Einzelentscheidungen gemäß § 49 DSG 2000 hin.

Zu den Fragen 2 und 10:

Ø      Müssen betroffene KonsumentInnen vom Einsatz von Scoringverfahren informiert werden? Müssen Ihnen dabei die konkreten Gründe für eine Antragsablehnung mitgeteilt werden? Oder genügt eine Standardablehnung?

Ø      Sind Sie der Auffassung, dass Anbieter KonsumentInnen obligatorisch über den Einsatz von Scoringverfahren, die verwendeten Daten und deren Gewichtung in-formieren müssen?

Der Auftraggeber einer Datenanwendung ist gemäß § 24 Abs. 1 DSG 2000 dazu an-gehalten, den Betroffenen in geeigneter Weise über den Zweck der Datenanwendung sowie Namen und Adresse des Auftraggebers zu informieren. Darüber hinausgehen-de Informationen sind gemäß § 24 Abs. 2 DSG 2000 zu erteilen, wenn dies für eine Verarbeitung nach Treu und Glauben erforderlich ist.

Datenschutzrechtlich gesehen besteht keine Verpflichtung des Auftraggebers, die kon-kreten Gründe für eine Antragsablehnung bzw. die Verweigerung eines Vertragsab-schlusses mitzuteilen. Dabei handelt es sich um eine zivilrechtliche Entscheidung. Dem Betroffenen stehen jedoch mit dem Auskunftsrecht gemäß Art. 26 DSG 2000 so-wie der Verpflichtung des Auftraggebers gemäß Art. 49 Abs. 3 DSG 2000, dem Betrof-fenen auf seinen Antrag hin den logischen Ablauf automatisierter Einzelentscheidun-gen in allgemein verständlicher Form darzulegen, weitere Instrumente zur Verfügung, um die Ablehnung nachvollziehen zu können.

Zu Frage 3:

Ø      Wie lange dürfen aus Sicht des Ressorts Unternehmen die von Auskunfteien etc. übermittelten Daten und errechneten Scorewerte von KonsumentInnen speichern und verarbeiten? Wann müssen diese gelöscht werden?

Grundsätzliche Vorgaben betreffend die zulässige Speicherdauer von Daten - sofern in der Praxis überhaupt eine Speicherung von Scorewerten stattfindet - finden sich in

§ 6 DSG 2000. Daten dürfen gemäß § 6 Abs. 1 Z 4 nur so verwendet werden, dass sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind. Darüber hinaus dürfen Daten gemäß § 6 Abs. 1 Z 5 nur solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist.

 

Zu Frage 4:

Ø     Dürfen diese personenbezogenen Daten über die Kreditwürdigkeit und errechnete Scorewerte über KonsumentInnen durch Unternehmen an Dritte weitergegeben werden?

Die Zulässigkeit der Verwendung von Daten ergibt sich aus §§ 7ff DSG 2000. Daten dürfen gemäß § 7 Abs. 1 DSG 2000 nur verarbeitet werden, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befug-nissen des Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinter-essen des Betroffenen nicht verletzen. Daten dürfen ferner gemäß § 7 Abs. 2 DSG 2000 nur übermittelt werden, wenn sie aus einer zulässigen Datenanwendung stam-men, der Empfänger seine ausreichende gesetzliche Zuständigkeit oder rechtliche Befugnis im Hinblick auf den Übermittlungszweck glaubhaft gemacht hat und durch Zweck und Inhalt der Übermittlung die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden. Darüber hinaus sind der Verhältnismäßigkeits-grundsatz sowie die Grundsätze des § 6 DSG 2000 zu beachten. Vor diesem Hinter-grund ist grundsätzlich davon auszugehen, dass eine Weitergabe von errechneten Scorewerten und personenbezogenen Daten über die Kreditwürdigkeit durch Unter-nehmen ohne entsprechende gesetzliche Zuständigkeit oder rechtliche Befugnis als nicht zulässig zu erachten ist.

Zu den Fragen 5. 7 und 12:

Ø      Sehen Sie einen über § 49 DSG hinausgehenden gesetzlichen Handlungsbedarf zur Regelung von automatisierten Bonitätsprüfungen von KonsumentInnen mit Hilfe von Scoringverfahren?

Ø      Sind Sie der Auffassung, dass der Einsatz von Scoringverfahren auf Ausfallrisiken begrenzt und branchenspezifisch geregelt werden muss?

Ø      Sehen Sie einen gesetzlichen Handlungsbedarf, wenn Bonitätsbewertungen auf-grund der Einsicht in Datenbanken Dritter vorgenommen werden und Auskunfts-und Löschungsrechte von Betroffenen damit ausgeschlossen werden? Wenn nein, warum nicht?

Das Bundeskanzleramt hat am 11. April 2008 einen Entwurf für ein Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (DSG-Novelle 2008) zur Begutachtung versendet. Dieser sieht auch Maßnahmen zur Stärkung von § 49 DSG 2000 vor. So sollen die Modalitäten für die Ausübung des Rechts auf Darlegung des

logischen Ablaufs einer automatisierten Einzelentscheidung gemäß § 49 Abs. 3 DSG 2000 präzisiert und die Durchsetzbarkeit dieser Bestimmung durch die Einführung einer Beschwerdemöglichkeit an die Datenschutzkommission verbessert werden.

Zu Frage 6:

Ø      Sehen Sie eine objektive Aussagekraft von Scoringverfahren? Ist die Prognosefä-higkeit von Scoringverfahren aus Sicht des Ressorts wissenschaftlich bewiesen?

Bei Scoringverfahren hängt - abgesehen von den datenschutzrechtlichen Aspekten -die Aussagekraft von den angewendeten Parametern ab, weshalb sich über die Zuverlässigkeit und wissenschaftliche Beweisarbeit keine allgemeinen Aussagen treffen lassen.

Zu Frage 8:

Ø      Sind Sie der Auffassung, dass bei der Beurteilung des Ausfallrisikos nur boni-tätsrelevante personenbezogene Daten berücksichtigt werden dürfen?

Aus datenschutzrechtlicher Sicht ist auf die Grundsätze der Verwendung von Daten gemäß § 6 DSG 2000 zu verweisen. § 6 Abs. 1 Z 3 DSG 2000 schreibt in diesem Zu-sammenhang vor, dass Daten nur verwendet werden dürfen, soweit sie für den Zweck der Datenanwendung wesentlich sind und über diesen Zweck nicht hinausgehen.

Zu Frage 9:

Ø      Sind Sie der Auffassung, dass Scoringverfahren von einer neutralen Stelle offiziell zugelassen und regelmäßig auf ihre Plausibilität hin geprüft werden müssen? Wie soll die Transparenz von Scoringverfahren lückenlos hergestellt werden?

§§ 16ff DSG 2000 sehen ein Melde- und Registrierungsverfahren unter Einbeziehung der Datenschutzkommission als weisungsfreie Kollegialbehörde mit richterlichem Ein-schlag vor. Gemäß § 17 Abs. 1 DSG 2000 hat grundsätzlich jeder Auftraggeber vor Aufnahme einer Datenanwendung eine Meldung an die Datenschutzkommission zum Zweck der Registrierung im Datenverarbeitungsregister zu erstatten. Meldepflichtige Datenanwendungen, die die Auskunftserteilung über die Kreditwürdigkeit der Betrof-

fenen zum Zweck haben, dürfen ferner erst nach Prüfung (Vorabkontrolle) durch die Datenschutzkommission aufgenommen werden. Aufgrund der Ergebnisse des Prü-fungsverfahrens kann die Datenschutzkommission gemäß § 20 Abs. 2 DSG 2000 dem Auftraggeber Auflagen für die Vornahme der Datenanwendung durch Bescheid erteilen, soweit dies zur Wahrung der durch das DSG 2000 geschützten Interessen der Betroffenen notwendig ist.

Hinsichtlich der Transparenz von Scoringverfahren darf auf die Ausführungen zu den Fragen 1 und 2 sowie 5, 7 und 12 verwiesen werden.

Zu Frage 11:

Ø      Ist es zulässig „Bonitätsdaten" von KonsumentInnen - positive wie negative - die u.a. von Auskunfteien ermittelt und zu Verfügung gestellt werden, in so genannten „Warnlisten" zu verarbeiten und als Entscheidungsgrundlage zu verwenden? Wenn ja, unter welchen Voraussetzungen?

Warnlisten stellen grundsätzlich Datenanwendungen dar, deren Zulässigkeit im Ein-zelfall anhand der Vorgaben des DSG 2000 zu beurteilen ist. Dabei sind insbeson-dere die Grundsätze der Datenverwendung gemäß § 6 DSG 2000, die Zulässigkeit der Verwendung von Daten gemäß §§ 7ff DSG 2000, die Meldepflicht des Auftrag-gebers gemäß § 17 DSG 2000, die Vorabkontrolle im Registrierungsverfahren durch die Datenschutzkommission gemäß § 18 Abs. 2 DSG 2000 und die Möglichkeit, ge-mäß § 21 Abs. 2 DSG 2000 bescheidmäßige Auflagen für die Datenverwendung zu erlassen, zu beachten.