Bonitätsabfragen durch Unternehmen
Wirtschaftsauskunfteien wie die Creditreform, die Schufa oder Crif Bürgel, sammeln in umfangreichem Maße Informationen über Verbraucher und Unternehmen. Diese Daten umfassen neben Anschriftendaten auch Angaben über negatives Zahlungsverhalten, beispielsweise wenn ein Verbraucher in der Vergangenheit seinen vertraglichen Pflichten in finanzieller Sicht nicht nachgekommen ist. Anhand dieser Informationen erstellen Auskunfteien einen sogenannten Score-Wert, mithilfe dessen potentielle Vertragspartner einschätzen können, ob eine ausreichende Kreditwürdigkeit vorliegt. Hierdurch werden sie in die Lage versetzt entscheiden zu können, ob sie einem Kunden einen Kredit oder auch einen Kauf auf Rechnung anbieten können. Bei einem negativen Score-Wert erhalten Verbraucher wie auch Unternehmen im äußersten Falle überhaupt keine Kredite mehr, was existentielle Auswirkungen für die Betroffenen zur Folge haben kann.
Da im Rahmen einer solchen Bonitätsabfrage bei der Auskunftei durch den möglichen Vertragspartner eines Kunden personenbezogene Daten verarbeitet werden, sind die datenschutzrechtlichen Vorgaben zu beachten. Rechtsgrundlage für diese Verarbeitung kann Art. 6 Abs. 1 lit. f Datenschutz-Grundverordnung (DSGVO) sein. Danach ist die Verarbeitung zulässig, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist, sofern nicht die schutzwürdigen Interessen der Betroffenen der Datenverarbeitung entgegenstehen. Berechtigt ist das Interesse an der Bonitätsabfrage regelmäßig dann, wenn für das abfragende Unternehmen ein kreditorisches Ausfallrisiko besteht. Wird beispielsweise eine Ware erst versandt, nachdem der Kunde die Rechnung gezahlt hat, ist es grundsätzlich nicht mehr erforderlich, die Zahlungsmoral des Kunden zu durchleuchten. Anders kann dies freilich bei einem Mobilfunkvertrag aussehen. In einem solchen Falle darf das Telekommunikationsunternehmen prüfen, ob der Vertragspartner in der Lage ist, die monatlichen Rechnungen auch begleichen zu können.
Die Datenschutzaufsicht ist wieder vermehrt auf Sachverhalte gestoßen, in denen die Bonitätsabfragen unzulässig erfolgt sind.
In einem konkreten Fall erfuhr ein Betroffener im Rahmen einer bei einer Auskunftei geltend gemachten Selbstauskunft nach Art. 15 DSGVO, dass ein Unternehmen über seine Person eine Bonitätsabfrage eingeholt hatte. Bei dem Unternehmen handelte es sich um einen ehemaligen Vertragspartner des Betroffenen, wobei das Vertragsverhältnis unternehmensseitig gekündigt worden war. Dem Betroffenen schien die Bonitätsabfrage anlasslos zu sein, weshalb er Beschwerde bei der Aufsichtsbehörde einreichte.
Auf Nachfrage teilte das Unternehmen u.a. mit, dass der Beschwerdeführer in der Vergangenheit wiederholt negative Kommentare auf einem privaten Blog des Geschäftsführers des Unternehmens abgegeben habe. Aufgrund dessen begann der Geschäftsführer über den Beschwerdeführer zu recherchieren und stieß auf Jahrzehnte alte Zeitungsberichte, die den Beschwerdeführer mit mehreren Gerichtsverfahren in Verbindung brachten. Dies brachte das Unternehmen auf die Idee, eine Bonitätsabfrage über den Beschwerdeführer einzuholen, obwohl dieser während des bestehenden Vertragsverhältnisses keinerlei negative Zahlungsmoral aufgewiesen hatte. Dass das Unternehmen auf diesem Wege auf negative Zahlungsinformationen des Beschwerdeführers gestoßen ist, muss als reiner Zufallsfund bezeichnet werden. Jedenfalls nahm das Unternehmen diesen Umstand zum Anlass, das Vertragsverhältnis ordentlich zu kündigen.
Ein berechtigtes Interesse für die beschriebene Abfrage bestand mangels drohendem Zahlungsausfalls jedoch weder während des laufenden Vertrages noch nach der Kündigung. Im Rahmen der grundgesetzlich geschützten Privatautonomie wäre es dem Unternehmen ohnehin möglich gewesen, dass Dauerschuldverhältnis nicht weiter zu verlängern. Jedenfalls bedurfte es hierzu keiner Bonitätsabfrage des Beschwerdeführers.
Weiterhin fiel auf, dass es keine unternehmensinternen Vorgaben hinsichtlich der datenschutzkonformen Einholung von Bonitätsauskünften gab. Vielmehr wurden entsprechende Abfragen situativ vorgenommen. Um dies zu vermeiden, wurde mit dem Unternehmen ein datenschutzkonformer Prozess hinsichtlich der künftigen Einholung von Bonitätsabfragen abgestimmt. Es wurde dabei festgelegt, dass in einem mehrstufigen Prozess zu prüfen ist, ob ein berechtigtes Interesse an der Bonitätsauskunft besteht.
In einem weiteren Fall erfuhr ein Betroffener im Rahmen einer Selbstauskunft nach Art. 15 DSGVO, dass ein Unternehmen eine Bonitätsabfrage über seine Person eingeholt hatte, mit dem er nach eigenen Angaben jedoch in keinerlei Geschäftsbeziehung stehe. Das Unternehmen nahm gegenüber der Aufsichtsbehörde dahingehend Stellung, dass es sich bei dem Betroffenen um eine ehemalige Aushilfskraft eines Schwesterunternehmens handele. Dessen Lebensgefährte sei ein ehemaliger Mitarbeiter des Unternehmens, mit dem man sich in einer zivil- und strafrechtlichen Auseinandersetzung wegen Betruges im Zusammenhang mit arbeitsvertraglichen Pflichten befinde. Vor diesem Hintergrund sah man sich veranlasst, im Umfeld des Lebensgefährten über potentielle Tatmotive zu recherchieren. Insofern habe man auch die wirtschaftliche Lage des Beschwerdeführers unter die Lupe nehmen wollen, um mögliche Zusammenhänge herleiten zu können. Weitere Erläuterungen, inwiefern die Bonität des Beschwerdeführers hierfür erforderlich gewesen sein soll, wurden nicht vorgetragen. Ein berechtigtes Interesse lag demzufolge nicht vor. Das Unternehmen hat den datenschutzrechtlichen Verstoß schließlich eingeräumt.
Hinsichtlich der beiden datenschutzrechtlichen Verstöße wurden Bußgeldverfahren nach Maßgabe von Art. 83 DSGVO eingeleitet.
Fazit/ Empfehlung:
Bonitätsabfragen sind nur bei Vorliegen eines berechtigten Interesses des abfragenden Unternehmens zulässig. Das berechtigte Interesse besteht grundsätzlich in der Vermeidung von Zahlungsausfällen und kann daher nur dann geltend gemacht werden, wenn ein kreditorisches Ausfallrisiko (Kreditverträge, Rechnungskauf etc.) gegeben ist. In einigen Fällen werden Bonitätsdaten zweckwidrig abgefragt. Verbraucher sollten daher stets prüfen, welche Unternehmen über ihre Person eine Bonitätsauskunft einholen. Dies können sie über eine kostenfreie Selbstauskunft nach Art. 15 DSGVO, welche gegenüber den Auskunfteien geltend gemacht werden kann, in Erfahrung bringen.
Quelle: LfDI Saarland
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks