I. Einleitung: Warum sind Tätigkeitsberichte der Datenschutzaufsichtsbehörden praktisch hilfreich?
Jede Datenschutzaufsichtsbehörde muss jährlich einen Bericht über ihre Tätigkeit veröffentlichen. Die einschlägige Norm dazu lautet:
„Art. 59 DSGVO Tätigkeitsbericht
1Jede Aufsichtsbehörde erstellt einen Jahresbericht über ihre Tätigkeit, der eine Liste der Arten der gemeldeten Verstöße und der Arten der getroffenen Maßnahmen nach Artikel 58 Absatz 2 enthalten kann. 2Diese Berichte werden dem nationalen Parlament, der Regierung und anderen nach dem Recht der Mitgliedstaaten bestimmten Behörden übermittelt. 3Sie werden der Öffentlichkeit, der Kommission und dem Ausschuss zugänglich gemacht.“
Diese Tätigkeitsberichte (nachfolgend auch kurz TB) sind ein reicher Fundus zu den aktuell relevantesten datenschutzrechtlichen Themen sowie zur Praxis und zu den Auffassungen der Aufsichtsbehörden.1 Aus den Berichten lässt sich ablesen, worüber sich betroffene Personengruppen, z.B. Beschäftigte oder Kunden, beschweren, welche Datenpannen am häufigsten gemeldet werden und wie die Bußgeldpraxis2 ist. Da das Datenschutzrecht für die Kreditwirtschaft sich nach der EU-weit geltenden EU-DSGVO richtet und einheitlich angewendet werden soll (vgl. Art. 63 DSGVO), sollten auch durchaus Tätigkeitsberichte von Aufsichtsbehörden anderer Bundesländer, deren Aufsicht ein konkretes Kreditinstitut nicht unterliegt, von Interesse sein. Denn alle Tätigkeitsberichte sind hilfreich, um die eigene Datenschutzcompliance zu verbessern, indem die hierfür Verantwortlichen z.B. der Frage nachgehen, ob ein Fall, wie er in einem der Tätigkeitsberichte geschildert ist, im eigenen Hause auch vorkommen könnte. Auch kann etwa die Erkenntnis darüber, welches die am häufigsten gemeldeten Datenpannen sind, dabei helfen, die eigenen Sicherheitsmaßnahmen bzw. den eigenen „Instrumentenkasten“ zu verbessern, um rechts- und compliancekonform zu agieren und potentielle Schäden zu verhindern.
Daher soll – mit diesem Beitrag beginnend – in loser Abfolge über die kreditwirtschaftlich relevanten Meldungen und Themen aus den Tätigkeitsberichten der Landesdatenschutzaufsichtsbehörden berichtet werden. Hinzu können Themen kommen, die zwar nicht allein kreditwirtschaftsspezifisch sind, die aber dennoch auch für die Kreditwirtschaft eine gleichermaßen hohe praktische Bedeutung haben. Dies kann Themen betreffen wie etwa Beschäftigtendatenschutz, Datenschutz und KI / AI, Auskunftsanspruch und Kopie von Daten, Datenpannen und technisch-organisatorische Maßnahmen. Bislang haben im Berichtsjahr 2024 bereits zwölf Datenschutzaufsichtsbehörden ihre Tätigkeitsberichte vorgelegt; aus vier Bundesländern fehlen noch die Berichte.
Eines sollte man sich aber bewusst machen, um die Tätigkeitsberichte rechtssystematisch richtig einzuordnen: Es handelt sich um die Äußerung der Rechtsauffassung und Darstellung der Verwaltungs- und Aufsichtspraxis der Exekutive. Diese kann vor Gericht überprüft werden. Gerade in jüngster Zeit gab es einige auch für die Kreditwirtschaft wichtige Entscheidungen des EuGH, der das europäische Recht der DSGVO auszulegen hat.
II. Tätigkeitsbericht der hessischen Datenschutzaufsicht des Jahres 2023 (veröffentlicht in 2024)
1. Wert von Statistiken, Datenpannenursachen, etc. für die Datenschutzcompliance
Zu Beginn der Beitragsreihe zu den einzelnen Tätigkeitsberichten der Landesdatenschutzaufsichtsbehörden des Jahres 2023 soll hier der Tätigkeitsbericht der hessischen Datenschutzaufsicht 2023 ausgewertet werden.
Die hessische Datenschutzaufsicht ist aufgrund der Tatsache, dass die meisten Banken in Deutschland ihren Sitz in Frankfurt am Main haben und die Schufa ihren Sitz in Wiesbaden hat, mit besonders vielen kreditinstitutsbezogenen Datenschutzthemen befasst.
Aufschlussreich sind zunächst die Statistiken über die Meldungen von Datenschutzverletzungen nach Art. 33 DSGVO: Danach lag der am stärksten betroffene Bereich der Datenschutzverletzungen in den Branchen „Kreditwirtschaft, Auskunfteien, Handel und Gewerbe“ mit 533 Meldungen im Jahr 2022 und mit 718 Meldungen im Jahr 2023, und damit vor dem Bereich des Beschäftigtendatenschutzes (mit 362 Meldungen in 2023) und dem Gesundheitsbereich (mit 299 Meldungen in 2023) (S. 221 u. S. 251). Es ist nicht davon auszugehen, dass diese hohen Zahlen auf einen sorglosen Umgang mit personenbezogenen Daten bei Kreditinstituten zurückzuführen sind; vielmehr hängt die hohe Anzahl im Gegenteil damit zusammen, dass in der Kreditwirtschaft das Bewusstsein für Datenschutzcompliance besonders hoch ist und auch kleinere Datenpannen tatsächlich gemeldet werden. Grund dafür dürfte die Tatsache sein, dass Banken bereits mit der Einführung des § 42a Satz 1 Nr. 4 BDSG zum Stichtag 01.09.2009 zur Meldung von Datenpannen in Bezug auf „personenbezogene Daten zu Bank- oder Kreditkartenkonten“ verpflichtet waren und somit eine längere Melde-„Tradition“ besteht. Zudem gibt es in der Kreditwirtschaft mehr Datenschutz- und Compliance-Schulungen sowie spezialisierte Abteilungen in den Instituten für diese Themen als in anderen Branchen. Sinn und Zweck der Meldepflichten ist es, aus eigenen Fehlern zu lernen, Prozesse zu verbessern, hierbei erforderlichenfalls Hinweise zu Best Practice-Ansätzen von der Aufsichtsbehörde zu erhalten und durch die Datensammlung statistisch besonders häufige Datenpannengründe zu erkennen, um gegen deren Ursachen Maßnahmen ergreifen zu können. Die Top 10 Liste der häufigsten Datenpannenursachen führte folgende Gründe auf:
1. Fehlversand, Fehlzuordnung von Daten/Dokumenten;
2. Hackerangriffe, Phishing, Schadsoftware, Sicherheitslücken;
3. Verlust/Diebstahl von Unterlagen, Geräten etc.;
4. unrechtmäßige Offenlegung/Weitergabe von Daten;
5. unzulässige Einsichtnahme (fehlerhafte Einrichtung von Zugriffsrechten u.a.);
6. offener E-Mail-Verteiler;
7. Missbrauch von Zugriffsrechten;
8. unzulässige Veröffentlichung;
9. nicht datenschutzkonforme Entsorgung;
10. unverschlüsselter E-Mail-Versand.
2. Berichtete Rechtsfälle und Datenschutzthemen von Interesse
a) Versand von Online-Zugangsdaten an veraltete Mobilfunknummer
Die Landesdatenschutzaufsicht (LDA) Hessen berichtet im Bericht 2023 über einen Fall, bei dem ein Kreditinstitut Online-Zugangsdaten an eine frühere Rufnummer ihres Kunden datenschutzrechtlich unzulässig geschickt hatte (Ziff. 11.7, S. 171, TB 2023 Hessen).
Der Betroffene (also die Person, die von einer Datenverarbeitung betroffen ist) hatte die erste Geschäftsbeziehung mit der Bank beendet. Die Daten aus dieser ersten Geschäftsbeziehung speicherte die Bank in Erfüllung ihrer gesetzlichen Aufbewahrungspflicht und damit datenschutzrechtlich zulässig (Art. 6 Abs. 1c) DSGVO). Von dieser Speicherung waren auch die Kontaktdaten des Kunden, einschließlich seiner damaligen Mobilfunknummer, umfasst. Auch wenn man sich fragen kann, woraus sich die Pflicht, diese Nummer zu speichern, ergibt, sah die hessische Aufsichtsbehörde die Speicherung dieser Nummer als zulässig an, da durch die Sperrung für das operative System nach Beendigung der ersten Geschäftsbeziehung dem Schutzbedürfnis des Betroffenen ausreichend Rechnung getragen werde.
Nachdem der Betroffene eine neue, zweite Geschäftsbeziehung zum Kreditinstitut aufgenommen hatte, reaktivierte dieses die Daten aus der vorherigen Geschäftsbeziehung inklusive der alten Handynummer. Im Kontoeröffnungsantrag gab der Kunde seine neue Handynummer an. Statt zu hinterfragen, ob die alte Nummer noch gültig sei, speicherte die Bank die neue Handynummer als zweite Nummer des Kunden ab. Im Rahmen der Kontoeröffnung versandte das Kreditinstitut die Online-Kennung an alle hinterlegten Handynummern per SMS, also auch an die alte Nummer, auf die der Kunde keinen Zugriff mehr hatte. Sofern die Nummer vom Provider an eine andere Person vergeben worden wäre, könnte diese auch die Online-Kennung des Kunden erhalten haben. Die LDA Hessen sah hierin einen Verstoß gegen den Datenschutzgrundsatz der Integrität und Vertraulichkeit personenbezogener Daten (Art. 5 Abs. 1f) DSGVO). Danach müssen technisch-organisatorische Maßnahmen (TOM nach Art. 32 DSGVO) implementiert werden, die die Vertraulichkeit gewährleisten. Der Aufforderung, die Aktualität der Rufnummer vor Verwendung zu verifizieren, kam das Kreditinstitut nach und passte seine Verfahrensweisen entsprechend an.
b) Bonitäts-Scoring
Im Tätigkeitsbericht der LDA Hessen wird (in Ziff. 11.2) auch eine EuGH-Entscheidung vom 07.12.2023 (C-634/21) zum Bonitäts-Scoring thematisiert.3 In diesem Zusammenhang werden in Ziff. 11.1 des Weiteren die Empfehlungen der Datenschutzkonferenz der Datenschutzaufsichtsbehörden (DSK)4 vom 11.05.2023 an den Gesetzgeber zur Verbesserung der Regelungen zum Verbraucher- und Datenschutz beim Kreditscoring dargestellt.5 Die Vorschläge der DSK betreffen insbesondere zwei Aspekte: verständliche Informationen über das Scoringverfahren sowie die Qualität und Angemessenheit des Scorewertes.
c) Transparenz des Scoringverfahrens
Betroffene Personen sollen verständliche Informationen über das Wie und Warum des Scoringverfahrens erhalten, und zwar proaktiv über den Einsatz des Scoringverfahrens. Dadurch würde die bislang bestehende Pflicht, einem Verbraucher die Information einer Auskunftei mitzuteilen, wenn diese zu einer Ablehnung des Kreditantrages geführt hat (§ 30 Abs. 2 BDSG), auf alle Fälle der Nutzung eines Scorewertes erweitert. Führt der Scorewert zu einer Ablehnung eines Kreditantrages, sollen dem Betroffenen der Scorewert und seine Berechnung mitgeteilt werden. Betroffene Personen sollen auch darüber informiert werden, wie hoch die Prognosegenauigkeit ist, insbesondere beim Geoscoring. Das Scoringverfahren soll zertifiziert werden und den Betroffenen soll das Zertifikat mitgeteilt werden. Die Zertifizierung soll auch die Wissenschaftlichkeit der Scoreformel umfassen.
Wie bei vielen anderen Informationspflichten stellt sich allerdings die berechtigte Frage, ob die Betroffenen Zeit und Interesse haben, derartige Informationen überhaupt zur Kenntnis zu nehmen.
d) Qualität und Angemessenheit des Scores
Informationen mit geringem Aussagewert für die Wahrscheinlichkeit der Rückzahlung des Kredites sollen verboten werden. Dies betrifft Informationen wie z.B. die Bewertung von Namen, das Geoscoring und den Anschriftenwechsel, das Geschlecht sowie Daten aus sozialen Medien. Die Scorequalität soll durch richtige und aktuelle Daten erhöht werden. Hierzu soll die Zuverlässigkeit der Datenquellen bewertet werden. Betroffene sollen unkomplizierte Beschwerdeverfahren nutzen können, um unrichtige oder veraltete Daten berichtigen zu können.
Am 07.02.2024 wurde der Regierungsentwurf (vgl. BT-Drs. 20/10859 vom 27.03.20246) vorgelegt7, der vorsieht, § 31 BDSG durch einen neuen § 37a BDSG zum „Scoring“ zu ersetzen. Einige der Empfehlungen der DSK hat der Gesetzgeber zwischenzeitlich in diesem Entwurf zur BDSG-Novelle in § 37a BDSG aufgenommen. Noch ist das Gesetzgebungsverfahren nicht abgeschlossen und man darf gespannt sein, wie die endgültige Fassung aussehen wird.
e) EuGH-Urteil zur Datenverarbeitung von Daten zur Restschuldbefreiung
Im Tätigkeitsbericht werden unter Ziff. 11.3 die EuGH-Entscheidungen zur Restschuldbefreiung dargestellt (EuGH, Urt. v. 07.12.2023 - C-26/22 und C-64/22).8 Zwar wird ein berechtigtes Interesse einer Auskunftei zur Speicherung von Informationen über eine Restschuldbefreiung grundsätzlich im Interesse des „reibungslosen Funktionierens des gesamten Kreditsystems“ anerkannt. Es soll aber kein berechtigtes Interesse daran bestehen, die Daten länger zu speichern als im öffentlichen Register (sechs Monate statt zwei Jahre). Dies soll dem Interesse des Betroffenen an einer wirtschaftlichen Rehabilitierung entgegenstehen.
