Anfang Februar 2024 wurde der Regierungsentwurf zum Ersten Gesetz zur Änderung des Bundesdatenschutzgesetzes in das Gesetzgebungsverfahren eingebracht (BR-Drs. 72/24). Das neue BDSG ist in die Jahre gekommen; die ersten Erhaltungs- und Modernisierungsmaßnahmen sind fällig. Der Gesetzentwurf enthält zu diesem Zweck einen bunten Strauß an Anpassungen und Änderungen.
Der RefE wurde vom Kabinett Anfang Februar 2024 als RegE in das offizielle Gesetzgebungsverfahren eingebracht (BR-Drs. 72/24). Im Vergleich zum RefE wurde der RegE erweitert. Er enthält eine neue Regelung zur Verarbeitung personenbezogener Daten zu Zwecken des Scorings (§ 37a BDSG-RegE). Über das nicht zustimmungsbedürftige Gesetz könnte im Bundestag noch vor der Sommerpause 2024 beraten und entschieden werden. Hier kommt es vor allem auf die Bearbeitungszeit in den zuständigen Ausschüssen an. Das Gesetz würde, wenn so verabschiedet, am ersten Tag des auf seine Verkündung folgenden Quartals in Kraft treten.
Unser geschäftsführender Gesellschafter Paul C. Johannes wurde gebeten, die geplanten Änderungen in einem Beitrag für die Fachzeitschrift „Der Betrieb“ zusammenzufassen und zu erläutern (siehe Johannes, .RegE zur Änderung des Bundesdatenschutzgesetzes: Neues zur Zusammenarbeit der Aufsichtsbehörden, zu Geschäftsgeheimnissen und zum Scoring, Der Betrieb 2024, Ausgabe 11, Seite 645 – zur online Version).
Die geplanten Änderungen im BDSG hätten insgesamt erhebliche Auswirkungen für betroffene Personen, die Auskunfteien und die Unternehmen, die Scoring-Verfahren nutzen. Für die betroffenen Personen würden die Änderungen einen Zuwachs an Transparenz und Kontrollmöglichkeiten bedeuten. Potenziell könnten sie mit der besonderen Ausgestaltung des Auskunftsrechts umfassendere Informationen über die Verarbeitung ihrer Daten und Einblicke in die Kriterien und Logik, die ihre Kreditwürdigkeit beeinflussen, erhalten. Dies würde ihre Position stärken und ihnen ermöglichen, ggf. gegen ungerechtfertigte Bewertungen vorzugehen.
Aufgrund der Rechtsänderungen zum Scoring müssten betroffene Unternehmen einmalig ihren Datenbestand und ihre Datenverarbeitungsprozesse prüfen und ggf. anpassen. Dies erfordert nicht nur technische und organisatorische Änderungen, sondern auch eine Neubewertung der verwendeten Daten und Algorithmen. Da direkt nur relativ wenige Unternehmen betroffen sein werden – rund ein Dutzend, schätzt der Gesetzgeber –, sei mit einem vernachlässigbar geringen einmaligen Erfüllungsaufwand zu rechnen. Grds. müssen aber wohl auch die Unternehmen, die sich auf externes Scoring verlassen, diese Umsetzung überprüfen und ggf. ihre eigenen Verfahren und Informationen anpassen. Außerdem verhält sich der Gesetzentwurf nicht zum Scoring außerhalb der selbst geschaffenen Verbotsausnahme. § 37a BDSG hätte keine Auswirkung auf nicht vollständig auf automatisierten Verarbeitungen beruhende Entscheidungen. Für jenes Scoring bleibt allein das allgemeine Datenschutzrecht maßgeblich. Insoweit wäre dort § 37a BDSG-RegE aber indirekt anwendbar, indem es auf offene Abwägungsklauseln wie Art. 6 Abs. 1 Unterabs. 1 lit. b) und f) DSGVO ausstrahlt.
Langfristig könnten die Änderungen zu faireren und transparenteren Scoring-Verfahren führen, die das Vertrauen der Verbraucher stärken. Die vorgeschlagene Regelung wäre für die restriktiver als § 31 BDSG, da es die Daten, die für externes Scoring verarbeitet werden dürften, einschränkt und die Informations- und Auskunftsrechte der betroffenen Personen konkretisiert. Ob dies i.S.v. Art. 22 Abs. 2 lit. b) DSGVO ausreicht, zu wenig ist oder gar zu restriktiv wirken würdet, um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Personen ausreichend in angemessener Weise zu wahren, wird nun im Zuge des offiziellen Gesetzgebungsverfahrens debattiert werden. Anpassungen von § 37a BDSG-RegE sind nicht ganz unwahrscheinlich.