Datenabgleich bei Kreditüberprüfungen

Unternehmen, die im Versandhandel tätig sind, prüfen in der Regel die Kreditwürdigkeit potentieller Kunden. Entscheidend ist dabei, wie die finanzielle Situation der Vertragspartner überprüft wird. Daten dürfen zur Prüfung der Kreditwürdigkeit im Zusammenhang mit einem Vertragsabschluss nur beim Inhaber der Datensammlung einzelfallweise abgefragt oder abgeglichen werden. Bonitätsadressen dürfen nicht pauschal auf Datenträgern bekanntgegeben werden, sofern keine technischen Mittel für einen datenschutzkonformen Abgleich bestehen.

Wir erhielten einen Hinweis, dass die Wirtschaftsauskunftei X Personendaten in einer nicht datenschutzkonformen Weise bearbeiten soll. Wie sich herausstellte, verpflichten sich Kunden der Inkassostelle Y sämtliche Inkassofälle zur Bearbeitung zu übergeben. Die Daten von Schuldnern, gegen die Y ein Betreibungs- oder Konkursverfahren eröffnet hat oder Verlustscheine vorhanden sind, werden sodann der X bekanntgegeben. X gibt im Gegenzug bestimmten Kunden zur Prüfung der Kreditwürdigkeit ihrer Kundschaft regelmässig die aktuellsten Bonitätsadressen pauschal auf Datenträgern bekannt, die mit Bestelladressen von Neukunden batchmässig abgeglichen werden. Der Abgleich bezieht sich auf Name, Vorname, Adresse, PLZ und Ort. Bei genauer Übereinstimmung von Bestell- und Datenbankkriterien werden die entsprechenden Negativdaten ausgedruckt. Der Kunde verpflichtet sich vertraglich, die von X gelieferten Bonitätsadressen ausschliesslich für den eigenen, internen Gebrauch zu nutzen und keine Informationen an Dritte weiterzugeben oder zu verkaufen. Von X sind notariell beglaubigte Kontrolladressen eingebaut worden, um missbräuchlicher Verwendung vorzubeugen. Sollte trotzdem Missbrauch festgestellt werden, können diese Adressen als Beweismittel bei einer allfälligen Untersuchung eingesetzt werden.

Da der Datenabgleich nicht bei X als Inhaberin der Datensammlung erfolgt, sondern einer bestimmten Anzahl von Daten den Kunden bekanntgegeben werden, sind diese Bearbeitungsmethoden geeignet, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Der Eidgenössische Datenschutzbeauftragte verlangte mit folgender Begründung eine Änderung der Bearbeitung und erliess eine Empfehlung:
Es ist unbestritten, dass aus wirtschaftlicher Sicht ein Interesse an Informationen zur Überprüfung der finanziellen Situation der Vertragspartner besteht. Der Gesetzgeber hat diesem Bedürfnis im DSG auch Rechnung getragen, unter der Voraussetzung dass keine widerrechtliche Persönlichkeitsverletzung begangen wird und die allgemeinen Datenschutzgrundsätze eingehalten werden. Der allgemeine Grundsatz der Verhältnismässigkeit verlangt insbesondere, dass zwar soviele Daten wie nötig, gleichzeitig so wenige wie möglich, bearbeitet werden. Die regelmässige Bekanntgabe des ganzen aktuellen Datenbestandes auf Datenträgern zwecks Datenabgleich und ohne technische Sicherung ist nicht verhältnismässig, ausser es liege ein Rechtfertigungsgrund vor.
Als Rechtfertigungsgrund kommt die Prüfung der Kreditwürdigkeit einer anderen Person im Rahmen von Art. 13 Abs. 2 lit. c DSG in Frage. Danach dürfen weder besonders schützenswerte Personendaten noch Persönlichkeitsprofile bearbeitet werden und Dritten nur Daten bekanntgegeben werden, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen. Die Bonitätsadressen werden jedoch nicht direkt bei X überprüft, sondern den Kunden entgeltlich und pauschal auf Datenträgern zum Datenabgleich zur Verfügung gestellt. Dabei könnten die Datenträger nicht nur mit konkreten Kundennamen abgeglichen werden, sondern mit irgendwelchen Namen. Angesichts dieser Tatsache liegt eine Ausweitung des Bearbeitungszweckes vor, die bereits in den Vorarbeiten zum DSG umstritten war. Nach ausgiebigen Diskussionen im Stände- und Nationalrat wurde diese Ausdehnung indessen abgelehnt. Die Bekanntgabe eines ganzen Datensegmentes auf einem Datenträger zwecks Datenabgleich stellt somit eine Bekanntgabe dar, welche den Umfang der effektiv benötigten Daten bei Weitem übersteigt. Der Gesetzgeber hat in Art. 13 Abs. 2 lit. c DSG ausdrücklich vorgesehen, dass Dritten nur Daten bekanntgegeben werden dürfen, die sie für den Abschluss oder die Abwicklung eines Vertrages mit der betroffenen Person benötigen und nicht mehr. Daran ändert weder der Datenabgleich, noch die vertragliche Verpflichtung, die Daten ausschliesslich für den eigenen, internen Gebrauch zu nutzen, etwas. Vor diesem Hintergrund liegt eine Datenbekanntgabe vor, die von keinem Rechtfertigungsgrund legitimiert wird.

Wie der EDSB bereits 1994 in einer Empfehlung festgehalten hat, ist das globale, systematische Versenden von Kreditwarnlisten/Negativdaten mit Name, Adresse und Angaben über die finanzielle Situation evt. Schuldbetreibungs- und Konkursdaten potentieller Kunden zu unterlassen. Auskünfte sind nur einzelfallweise und auf Anfrage beim Inhaber der Datensammlung zu erteilen.

Unternehmen, die die Kreditwürdigkeit einer sehr grossen Anzahl von Personen zu prüfen haben, werden bei der Einzelabfrage mit einem erheblichen Aufwand konfrontiert. Deshalb müssen Lösungen gesucht werden, welche praktikabel sind und eine datenschutzkonforme Prüfung ermöglichen.

Der zusätzliche Aufwand, welcher X aus einem Datenabgleich erwachsen würde, ist der Kontrollmöglichkeit allfälliger weiterer widerrechtlicher Bearbeitungen der Daten durch die Kunden der X gegenüberzustellen. Der Aufwand für den Datenabgleich von maximal neun Kunden pro Monat dürfte keinen erheblichen Zeitaufwand verursachen. Dieser Mehraufwand ist gegenüber der Gefahr einer möglichen widerrechtlichen und nicht kontrollierbaren Weiterbearbeitung durch Kunden von X geradezu vernachlässigbar.

Nach dem heutigen Stand der Technik ist es jederzeit möglich einen Datenträger mit anderen Datensammlungen (z.B. elektronisches Telefonverzeichnis) abzugleichen, und Kopien aller vorhandenen Daten zu erstellen, welche anderweitig verwendet werden können. Diesen Umstand vermögen weder vertragliche Verpflichtungen noch notariell beglaubigte Kontrolladressen hinreichend zu verhindern. Zudem könnte ein entsprechender Missbrauch ohne Kontrolle nur schwierig überprüft werden.
Damit die Erteilung von Kreditauskünften im Einklang mit Art. 13 Abs. 2 lit. c DSG stehen, müssten Datenabgleiche beim Inhaber der Datensammlung stattfinden. Voraussetzung bei diesem Vorgehen ist, dass X keine neuen Adressen speichert, die Daten nicht anderweitig verwendet und der Kunde lediglich diejenigen Kunden auf Kreditwürdigkeit überprüfen lässt, mit welchen er einen Vertrag abschliessen will.

[Juli 1999]

Weiterführende Informationen

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/6--taegigkeitsbericht-1998-1999/datenabgleich-bei-kreditueberpruefungen.html