HBDI: Verhaltensregeln für Wirtschaftsauskunfteien
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) hat am 03.06.2024 bekanntgegeben, dass er neue Verhaltensregeln für den Verband „Die Wirtschaftsauskunfteien“ genehmigt hat. Diese Regeln wurden nach einer umfassenden Überarbeitung der vorherigen Regelungen eingeführt und beziehen sich nur auf die Prüf- und Speicherfristen von rechtmäßig gespeicherten personenbezogenen Daten durch deutsche Wirtschaftsauskunfteien.
Verhaltensregeln nach Art. 40 DSGVO
Nach Art. 40 Abs. 1 Datenschutzgrundverordnung (DSGVO) wird die Ausarbeitung von Verhaltensregeln gefördert, die, ausgerichtet an den besonderen Bedürfnissen der einzelnen Verarbeitungsbereiche und Kleinstunternehmen sowie kleinen und mittleren Unternehmen, zur ordnungsgemäßen Anwendung der DSGVO beitragen sollen. Diese können nach Abs. 2 auch Verbände ausarbeitet, die die jeweiligen Interessengruppen vertreten. Die Verbände können dann den Regelentwurf der zuständigen Aufsichtsbehörde zur Überprüfung vorlegen. Die Regeln können keine neue Rechtfertigung für eine Datenverarbeitung schaffen, sondern lediglich an die besonderen Bedürfnisse angepasste, konkretisierte und verständliche aufgearbeitete Rahmenbedingungen erstellen.
Notwendige Anpassungen in Folge eines EuGH-Urteils
Im vorliegenden Fall geht es um Verhaltensregeln des Verbands „Die Wirtschaftsauskunfteien“. In Folge einer Beanstandung durch den HBDI vom 23.10.2023 war eine Überarbeitung notwendig. Er warf den Regeln Verstöße gegen die DSGVO, Beschlüsse der Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) und des Europäischen Datenschutzausschusses (EDSA) vor. Spätestens aber in Folge des Urteils des EuGH zum Schufa-Scoring war eine Anpassung zwingend erforderlich. Darin wertete der EuGH das Kreditscoring zum einen als automatisierte Entscheidung gemäß Art. 22 DSGVO und entschied zudem, dass Informationen zur Restschuldbefreiung im Rahmen der Privatinsolvenz zu lange gespeichert wurden.
Inhalt der neuen Verhaltensregeln
Die neuen Verhaltensregeln beziehen sich laut der Pressemitteilung der HBDI ausschließlich auf die Prüf- und Speicherfristen von rechtmäßig gespeicherten personenbezogenen Daten für deutsche Wirtschaftsauskunfteien. Die Frage, inwiefern die Speicherung der Informationen rechtmäßig ist, richtet sich weiterhin nach der DSGVO. Gleiches gilt für die Betroffenenrechte und die Handlungsbefugnisse der Datenschutzbehörden.
Verbesserungen für den Datenschutz
Der HBDI Alexander Roßnagel betont, dass „in den Verhandlungen mit dem Verband […] viele Verbesserungen für den Datenschutz“ erreicht werden konnten. Entsprechend der DSK-Kritik gibt es keine Speichervorgaben mehr zu Positivdaten und Kontomissbrauchsdaten. Zudem dürfen Wirtschaftsauskunfteien Daten, die auf Verträgen gemäß dem Kreditwesengesetz beruhen, nur noch beschränkt speichern. Speicherbar sind beispielweise weiterhin Informationen „über störungsfreie Verträge zu Girokonten und Kreditkarten“. Adressen und Geldwäschedaten fallen hingegen aus dem Anwendungsbereich heraus. Laut Roßnagel verbessert dies die „Zweckbestimmung und Zweckbindung der Speicherung“. Die Verhaltensregeln konkretisieren Fristbeginn und Fristende und bestimmen ein genaues Fristende für Adressdaten. Für Insolvenzdaten, verspätete Forderungsbegleichung und Restschuldbefreiungen gelten jetzt kürzere Fristen.
Gültigwerden der neuen Regeln
Zwei Verpflichtungen der neuen Verhaltensregeln entfalten erst ab dem 01.10.2024 und ab dem 01.01.2025 ihre Wirkung. Für die Umsetzung dieser Verpflichtungen müssen die Auskunfteien umfangreiche technisch-organisatorische Anpassungen durchführen, weshalb diese verlängerten Umsetzungsfristen vorgesehen sind. Bis zu den jeweiligen Fristen gelten die alten Verhaltensvorschriften fort.
Fazit
Durch die Überarbeitung und Anpassung an aktuelle Datenschutzanforderungen und das EuGH-Urteil stellt der HBDI sicher, dass die Verhaltensregeln für Wirtschaftsauskunfteien personenbezogene Daten besser schützten. Unternehmen müssen nun sicherstellen, dass sie die neuen Anforderungen bis zu den festgelegten Fristen vollständig umsetzen, um Rechtsunsicherheiten zu vermeiden und Sanktionen zu entgehen. KINAST als Externer Datenschutzbeauftragter hilft Ihnen gerne dabei, die verschiedenen Maßnahmen fristgerecht und regelkonform umzusetzen.