Verhaltensregeln als Schlüssel transparenten Handelns bei der KonsumentenKreditEvidenz (KKE). Ein Denk- und Diskussionsanstoß.
Gastbeitrag von Maximilian Kröpfl
Die KonsumentenKreditEvidenz (KKE) basiert auf dem Reziprozitätsprinzip. Eine abfrageberechtigte Stelle muss zugleich eine Information über die anzufragende Person preisgeben, um in der KKE über diese Person bereits verfügbare Informationen zu erhalten. Durch dieses ständige Wechselspiel von Geben und Nehmen werden Aktualität und Richtigkeit der Einträge gewährleistet. Aktuell umfasst die KKE mehr als 600 teilnehmende Banken, Leasingunternehmen und kreditgebende Versicherungen. Diese Zahl wird mit Inkrafttreten der nationalen Umsetzung der Verbraucherkreditrichtlinie NEU (VbrKrRL) schlagartig ansteigen. Der bisher recht geschlossene Kreis der Abfrageberechtigten wird sich in Zukunft stark ausweiten. Denn denselben Regeln wie bisher primär Banken und Leasingunternehmen unterliegen dann alle Kreditverträge, sofern sie nicht in eine der Ausnahmen fallen. Die wichtigsten Ausnahmen sind sicherlich bloße Zahlungsaufschübe und kostenlose Stundungen einer bestehenden Forderung. Diese werden jedoch in der Praxis oftmals zur Abfrage der WarenKreditEvidenz (WKE) des KSV1870 führen. Unterliegen Unternehmer als Kreditgeber der nationalen Umsetzung der VbrKrRL, haben sie eine eingehende Prüfung der Kreditwürdigkeit des Verbrauchers vorzunehmen und deshalb einschlägige und genaue Informationen über Einkommen, Ausgaben und andere finanzielle und wirtschaftliche Umstände vom Verbraucher oder aus einschlägigen internen und externen Quellen zu berücksichtigen. Erforderlichenfalls ist das Ausfallrisiko durch Abfragen in Datenbanken zu prüfen. Es ist somit sehr wahrscheinlich, dass es zukünftig weitaus öfter zur Abfrage der Zahlungsfähigkeit von bzw. der Ausfallwahrscheinlichkeit bei Verbrauchern kommen wird.
Schnelleinstieg Verhaltensregeln
Da sich die aktuell recht homogene Zusammensetzung an Abfrageberechtigten in Zukunft wohl diversifizieren wird, stellt sich die Frage, wie man den Schutz der personenbezogenen Daten und der Rechte und Freiheiten von Verbrauchern beim Betrieb der KKE weiterhin sicherstellt. Hierfür könnten sich datenschutzrechtliche Verhaltensregeln anbieten. Darunter versteht man ein Instrument der sektorspezifischen Standardisierung und Harmonisierung von Bestimmungen der DSGVO und einschlägiger Sonder- und Annexmaterien mit Genehmigung durch die zuständige Aufsichtsbehörde. Es geht somit darum, die wechselseitige Verpflichtung von Verantwortlichen oder Auftragsverarbeitern, bestimmte Arten von Datenverarbeitungen und datenschutzrechtlichen Fragestellungen auf einheitliche Weise durchzuführen. Ferner wird durch die Prüfung und Genehmigung der Verhaltensregeln durch die Aufsichtsbehörde Rechtssicherheit geschaffen. Die mit Verhaltensregeln verbundenen Gestaltungsmöglichkeiten sind mannigfaltig; der Inhalt grundsätzlich frei wählbar. Ein Blick nach Deutschland zeigt, dass man dort bereits Verhaltensregeln für Wirtschaftsauskunfteien betreffend Prüf- und Speicherfristen etabliert hat. Antragsberechtigt sind Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten. Kreditgeber im Sinne der VbrKrRL sind eine Kategorie von Verantwortlichen – sie können gemeinsam mit dem KSV1870, der die KKE betreibt, Verhaltensregeln auflegen. Hierfür muss nicht einmal eine eigene rechtsfähige Vereinigung errichtet werden, wenngleich dies aus unterschiedlichen Gründen Vorteile bietet.
Denkbarer Regelungsinhalt
Neben Regelungen zur Rollenverteilung zwischen dem KSV1870 und den Abfrageberechtigten und zur Rechtmäßigkeit, somit den Umständen, unter denen eine Abfrage (insbesondere aus datenschutzrechtlicher Sicht) zulässig sein soll, bieten Verhaltensregeln ein perfektes Instrument, um Aufbewahrungs- und Speicherfristen festzulegen und die Abwicklung von Betroffenenanfragen zu standardisieren bzw. deren Ausübung zu erleichtern. Wenngleich die Informationen in der KEE originär wohl kaum automatisierte Entscheidungen im Einzelfall ermöglichen, kann selbstverständlich nicht ausgeschlossen werden, dass diese Informationen von einzelnen Abfrageberechtigten hierfür verwendet werden. So können auch rechtssichere Vorkehrungen mithilfe von Verfahrensregeln getroffen werden.
Fazit
Datenschutzrechtliche Verhaltensregeln sind insbesondere in Österreich sehr beliebt. So haben beispielsweise die Internet-Service-Provider, die Smart-Meter-Betreiber, die Arbeitgeber privater Bildungseinrichtungen, die Adressverlage und Direktmarketingunternehmen und die Versicherungsmakler und Berater in Versicherungsangelegenheiten bereits Verhaltensregeln aufgelegt. Nicht zuletzt aufgrund der stetig steigenden Sensibilität beim Thema Datenschutz und Zahlungserfahrung, des steigenden Verbraucherbedürfnisses nach „Jetzt kaufen, später zahlen“ und der einschlägigen Urteile des EuGH zur automatisierten Entscheidung bei der Gewährung von (Kredit-)Verträgen wird man sich auch für die nächsten 60 Jahre der KKE praktikable Lösungen für den Interessenausgleich zwischen der kreditgebenden Wirtschaft und den kreditnehmenden betroffenen Personen überlegen müssen. Das Instrument der datenschutzrechtlichen Verhaltensregeln ist hierfür bestens geeignet.
Zum Autor:
Maximilian Kröpfl ist Rechtsanwalt und bei Herbst Kinsky Rechtsanwälte auf die Bereiche Data Strategy, Datenschutz, IP/IT und Wettbewerbsrecht spezialisiert. Er ist Gründer der Datenschutz-Informationsplattform rekono.io.
