Die verdeckte Online-Bonitätsprüfung vor Abschluss von Verträgen im Internet erfreut sich hoher Beliebtheit. Aus der Sicht der Verkäufer ist dies verständlich, da sich das Zahlungsausfallrisiko hinsichtlich unzuverlässiger Kunden erheblich verringert. Aus der Sicht der Käufer ist diese Entwicklung jedoch nicht unproblematisch. Durch die Hintergrund-Überprüfung wird schließlich eine ausgesprochen private Information offengelegt, ohne dass der Betroffene hiervon Kenntnis erhält.
Wie funktioniert die Bonitätsprüfung?
Die Kreditwürdigkeit eines Kunden wird von vielen Auskunfteien nach dem Scoringverfahren geprüft, indem von einer externen Datenbank der sogenannte Scorewert derjenigen Person abgerufen wird. Dieser enthält eine Aussage über das Kreditrisiko dieses Kunden, da sich mithilfe des Scorewertes die Prognose des Kreditausfallrisikos nach einem statistischen Wahrscheinlichkeitsverfahren ermitteln lässt.
Im Rahmen dieser Bestimmung lassen sich mehrere Merkmale heranziehen, wie zum Beispiel die Dauer der Geschäftsbeziehung, der Beruf, der Wohnort oder die eingebrachten Sicherheiten. Daraus wird eine gesamte Bonitäts-Note ermittelt, um eine Entscheidungshilfe zu geben. Je nachdem wie gut die Bonitäts-Note ausfällt wird das Unternehmen dann beispielsweise einen Kredit gewähren oder einen Kaufvertrag abschließen.
Bonitätsprüfung beim Abschluss von Kaufverträgen gerechtfertigt?
Es ist fraglich inwieweit eine Bonitätsprüfung ganz grundsätzlich gerechtfertigt sein kann, wenn es sich um den Abschluss eines gewöhnlichen Kaufvertrages handelt. Im Gegensatz zu einem Dauerschuldverhältnis trifft den Verkäufer hier kein dauerhaftes Leistungsausfallrisiko, sondern lediglich ein einmaliges Risiko, wenn der Käufer seine Zahlungspflicht für bereits erhaltene Ware nicht erfüllt.
Das Risiko ist relevant, soweit es um Zahlung auf Rechnung oder um Zahlung via Lastschriftverfahren geht, da hier für den Käufer die Möglichkeit zur Rückbuchung besteht.
Die datenschutzrechtliche Bewertung
Nach dem Bundesdatenschutzgesetz sind personenbezogene Daten grundsätzlich direkt beim Betroffenen zu erheben (§ 4 Abs. 2 BDSG). Damit eine Datenerhebung und anschließende Datennutzung zulässig ist, muss entweder eine gesetzliche Ermächtigung oder eine Einwilligung zur Erhebung (bzw. Nutzung) der Daten vorliegen.
Gemäß § 4 Abs. 2 Nr. 2a BDSG dürfen personenbezogene Daten bei Dritten ohne Mitwirkung des Betroffenen (sprich auch ohne seine Einwilligung) erhoben werden, wenn dies nach dem Geschäftszweck erforderlich ist.
Zu beachten ist aber bereits, dass dieser Ausnahmetatbestand generell eng auszulegen ist. Die Datenerhebung wird vom Gesetzgeber an dieser Stelle lediglich als Hilfsmittel angesehen, damit ein spezieller Geschäftszweck erreicht werden kann. Die Datenerhebung wird insoweit als erforderliches Mittel zur Erfüllung eines schuldrechtlichen Vertrages angesehen. Die Bonitätsprüfung bei einer Kreditauskunftei zur Anbahnung eines Kreditvertrages kann daher im Einzelfall datenschutzrechtlich zulässig sein. Anders ist die Rechtslage beim Abschluss eines Kaufvertrages, der als Hauptinhalt einmalige Leistungs- oder Lieferungspflichten vorsieht.
Damit müsste für eine zulässige verdeckte Online-Bonitätsprüfung ein spezieller Erlaubnistatbestand aus dem Bundesdatenschutzgesetz gegeben sein.
Relevant ist insoweit insbesondere § 29 Abs. 2 Nr. 1 BDSG. Gemäß dieser Vorschrift dürfen Auskunfteien Bonitätsauskünfte grundsätzlich nur erteilen, wenn der Dritte, dem die Daten übermittelt werden sollen, ein berechtigtes Interesse an ihrer Kenntnis glaubhaft dargelegt hat.
Berechtigtes Interesse des Verkäufers?
Damit ist zu prüfen, ob ein berechtigtes Interesse des Verkäufers als Auskunftsersuchender begründet werden kann. Ein solches Interesse ist gegeben, wenn ohne die Übertragung die Empfängerstelle einen nicht zumutbaren Nachteil erleiden würde. Es kommen insoweit rechtlichte, wirtschaftliche und ideelle Interessen in Betracht, wobei jedoch einer Interessenabwägung mit den schutzwürdigen Belangen des Betroffenen ein besonderes Gewicht zukommt.
Die Stellungnahmen des Düsseldorfer Kreises
Der Düsseldorfer Kreis (die informelle Vereinigung der obersten Aufsichtsbehörden für den nicht-öffentlichen Bereich (Unternehmen) im Datenschutzrecht) hat bereits in der Vergangenheit Stellung dazu bezogen, inwieweit ein berechtigtes Interesse gerade auch im Zusammenhang mit Bonitätsprüfungen gegeben sein kann.
In dieser Stellungnahme verneint der Düsseldorfer Kreis ein berechtigtes Interesse zur dauerhaften Abprüfung von Kunden von Versandhäusern. Diese dürften nur dann vereinzelte Bonitätsprüfung durchführen, wenn aufgrund eines konkreten Bestellvorgangs ein finanzielles Ausfallrisiko vorläge. Dies sei gegeben, wenn ein Ratenzahlungskredit vereinbart werden solle oder noch ein offener Saldo bestehe. In den übrigen Fällen seien die Versandhäuser nicht zur Abprüfung berechtigt.
Im Oktober diesen Jahres hat der Düsseldorfer Kreis erneut Stellung bezogen, diesmal für Bonitätsauskünfte über Mietinteressenten. Der Mietvertrag ist im zivilrechtlichen Sinn ein Dauerschuldverhältnis. Gemäß der Stellungnahme des Düsseldorfer Kreises kann selbst der Vermieter, der ein hohes Interesse an der Bonität des Mieters hat (da dieser aufgrund der mietrechtlichen Regelungen lange an seinen Vertragspartner gebunden wird), nur unter bestimmten Voraussetzungen die Bonität des künftigen Mieters erfragen.
Genauer darf er eine Bonitätsabfrage erst als letzten Schritt durchführen, bevor der Vertrag endgültig zustande kommt. Daneben darf er nur bestimmte Daten einholen und keinen generellen Scoringwert. Insofern lehnen die Aufsichtsbehörden selbst bei einem Dauerschuldverhältnis eine generelle Bonitätsprüfung ab. Zudem geht aus der Stellungnahme hervor, dass der Düsseldorfer Kreis nicht einmal eine - mehr oder weniger "freiwillige" - Einwilligung des Mieters in eine umfassende Bonitätsprüfung für zulässig erachten würde.
Berechtigtes Interesse nur bei Erforderlichkeit
Nach herrschender Meinung liegt ein berechtigtes Interesse an der Kenntnis der personenbezogenen Daten eines Anderen nur insoweit vor, als die Kenntnis für die vom Empfänger beabsichtigten Ziele und Zwecke erforderlich ist. Je nach der Zweckbestimmung eines Auskunftssystems ist bereits der Empfängerkreis von vorneherein so festzulegen, dass hierzu nur solche gehören, bei denen ein solches Interesse vorliegen kann.
Betrachtet man in diesem Zusammenhang insbesondere die restriktive Haltung des Düsseldorfer Kreises, so liegt im einfachen Kaufvertragsschluss im Internet noch kein berechtigtes Interesse zu einer vorherigen verdeckten Bonitätsanfrage. Ein einfaches Zahlungsausfallinteresse kann nicht höher bewertet werden als das Geheimhaltungsinteresse des Betroffenen. Darüber hinaus ist es auch nicht zwingend erforderlich, sich bei einer einmaligen Vertragsabwicklung einen Überblick über die gesamte Bonitätssituation des Betroffenen zu verschaffen.
Was heißt das konkret für Online-Händler?
Da ein gesetzlicher Ausnahmetatbestand nach dem oben Gesagten unserer Ansicht nach nicht einschlägig ist, bleibt für die Durchführung einer Bonitätsprüfung nur die Einholung einer Einwilligungserklärung des Kunden. Die Einwilligungserklärung muss sich aber (um insbesondere den Prinzipien der Zweckbindung und der Datensparsamkeit zu genügen) auf die für den zu schließenden Vertrag wesentlichen Auskünfte beschränken, um den Zweck der gesetzlichen Regelungen nicht zu unterlaufen. Die Klausel, in welche die Nutzer einwilligen müssen, sollte also insbesondere genaue Information enthalten, welche personenbezogenen Daten genau abgefragt werden sollen. Dies werden im Regelfall die Kernangaben zur Person sowie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften sein. Darüber hinaus können auch Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen sowie weitere Positivmerkmale, wie vertragsgemäße Bedienung oder vorzeitige Rückzahlung von Krediten durch den Kunden abgefragt werden.
Fazit
Eine verdeckte Bonitätsprüfung vor Abschluss von Kaufverträgen im Internet ist in den meisten Fällen datenschutzrechtlich unzulässig. Soll dennoch eine Bonitätsprüfung vor Vertragsschluss durchgeführt werden, muss hierzu vorab die Einwilligung des Betroffenen eingeholt werden, die detaillierte Angaben zur geplanten Datenabfrage beinhalten muss. Nur in Ausnahmefällen (insbesondere bei bestimmten Dauerschuldverhältnissen) kann eine verdeckte Bonitätsprüfung zulässig sein. Eine datenschutzwidrige Bonitätsprüfung ist bußgeldbewehrt ist und kann, neben Ansprüchen des Betroffenen, Maßnahmen der Kontrollbehörden nach sich ziehen. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de