Bundesgesetzblatt  Bundesgesetzblatt Teil I  2009  Nr. 48 vom 31.07.2009  - Seite 2254 bis 2257 - Gesetz zur Änderung des Bundesdatenschutzgesetzes

204-3
2254 Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 48, ausgegeben zu Bonn am 31. Juli 2009 Gesetz zur Änderung des Bundesdatenschutzgesetzes Vom 29. Juli 2009 Der Bundestag hat das folgende Gesetz beschlossen: Artikel 1 5. In § 26 Abs. 4 Satz 2 wird die Angabe ,,Satz 3 und 4" durch die Angabe ,,Satz 4 und 5" ersetzt. 6. Nach § 28 werden folgende §§ 28a und 28b eingefügt: ,,§ 28a Datenübermittlung an Auskunfteien (1) Die Übermittlung personenbezogener Daten über eine Forderung an Auskunfteien ist nur zulässig, soweit die geschuldete Leistung trotz Fälligkeit nicht erbracht worden ist, die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten erforderlich ist und 1. die Forderung durch ein rechtskräftiges oder für vorläufig vollstreckbar erklärtes Urteil festgestellt worden ist oder ein Schuldtitel nach § 794 der Zivilprozessordnung vorliegt, 2. die Forderung nach § 178 der Insolvenzordnung festgestellt und nicht vom Schuldner im Prüfungstermin bestritten worden ist, 3. der Betroffene die Forderung ausdrücklich anerkannt hat, 4. a) der Betroffene nach Eintritt der Fälligkeit der Forderung mindestens zweimal schriftlich gemahnt worden ist, b) zwischen der ersten Mahnung und der Übermittlung mindestens vier Wochen liegen, c) die verantwortliche Stelle den Betroffenen rechtzeitig vor der Übermittlung der Angaben, jedoch frühestens bei der ersten Mahnung über die bevorstehende Übermittlung unterrichtet hat und d) der Betroffene die Forderung nicht bestritten hat oder 5. das der Forderung zugrunde liegende Vertragsverhältnis aufgrund von Zahlungsrückständen fristlos gekündigt werden kann und die verantwortliche Stelle den Betroffenen über die bevorstehende Übermittlung unterrichtet hat. Satz 1 gilt entsprechend, wenn die verantwortliche Stelle selbst die Daten nach § 29 verwendet. (2) Zur zukünftigen Übermittlung nach § 29 Abs. 2 dürfen Kreditinstitute personenbezogene Daten über die Begründung, ordnungsgemäße Durchführung und Beendigung eines Vertragsverhältnisses betreffend ein Bankgeschäft nach § 1 Abs. 1 Satz 2 Nr. 2, 8 oder Nr. 9 des Kreditwesengesetzes an Auskunfteien übermitteln, es sei denn, Das Bundesdatenschutzgesetz in der Fassung der Bekanntmachung vom 14. Januar 2003 (BGBl. I S. 66), zuletzt geändert durch Artikel 15 Abs. 53 des Gesetzes vom 5. Februar 2009 (BGBl. I S. 160), wird wie folgt geändert: 1. Die Inhaltsübersicht wird wie folgt geändert: a) In der Angabe zu § 6 wird das Wort ,,Unabdingbare" gestrichen. b) Nach der Angabe zu § 28 werden folgende Angaben eingefügt: ,,§ 28a § 28b Datenübermittlung an Auskunfteien Scoring". 2. In § 4d Abs. 3 werden nach dem Wort ,,hierbei" die Wörter ,,in der Regel" und nach dem Wort ,,Personen" das Wort ,,ständig" eingefügt. 3. § 6 wird wie folgt geändert: a) In der Überschrift wird das Wort ,,Unabdingbare" gestrichen. b) Folgender Absatz 3 wird angefügt: ,,(3) Personenbezogene Daten über die Ausübung eines Rechts des Betroffenen, das sich aus diesem Gesetz oder aus einer anderen Vorschrift über den Datenschutz ergibt, dürfen nur zur Erfüllung der sich aus der Ausübung des Rechts ergebenden Pflichten der verantwortlichen Stelle verwendet werden." 4. § 6a wird wie folgt geändert: a) Dem Absatz 1 wird folgender Satz angefügt: ,,Eine ausschließlich auf eine automatisierte Verarbeitung gestützte Entscheidung liegt insbesondere dann vor, wenn keine inhaltliche Bewertung und darauf gestützte Entscheidung durch eine natürliche Person stattgefunden hat." b) Absatz 2 Satz 1 Nr. 2 wird wie folgt gefasst: ,,2. die Wahrung der berechtigten Interessen des Betroffenen durch geeignete Maßnahmen gewährleistet ist und die verantwortliche Stelle dem Betroffenen die Tatsache des Vorliegens einer Entscheidung im Sinne des Absatzes 1 mitteilt sowie auf Verlangen die wesentlichen Gründe dieser Entscheidung mitteilt und erläutert." Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 48, ausgegeben zu Bonn am 31. Juli 2009 2255 dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Übermittlung gegenüber dem Interesse der Auskunftei an der Kenntnis der Daten offensichtlich überwiegt. Der Betroffene ist vor Abschluss des Vertrages hierüber zu unterrichten. Satz 1 gilt nicht für Giroverträge, die die Einrichtung eines Kontos ohne Überziehungsmöglichkeit zum Gegenstand haben. Zur zukünftigen Übermittlung nach § 29 Abs. 2 ist die Übermittlung von Daten über Verhaltensweisen des Betroffenen, die im Rahmen eines vorvertraglichen Vertrauensverhältnisses der Herstellung von Markttransparenz dienen, an Auskunfteien auch mit Einwilligung des Betroffenen unzulässig. (3) Nachträgliche Änderungen der einer Übermittlung nach Absatz 1 oder Absatz 2 zugrunde liegenden Tatsachen hat die verantwortliche Stelle der Auskunftei innerhalb von einem Monat nach Kenntniserlangung mitzuteilen, solange die ursprünglich übermittelten Daten bei der Auskunftei gespeichert sind. Die Auskunftei hat die übermittelnde Stelle über die Löschung der ursprünglich übermittelten Daten zu unterrichten. § 28b Scoring Zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dem Betroffenen darf ein Wahrscheinlichkeitswert für ein bestimmtes zukünftiges Verhalten des Betroffenen erhoben oder verwendet werden, wenn 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind, 2. im Fall der Berechnung des Wahrscheinlichkeitswerts durch eine Auskunftei die Voraussetzungen für eine Übermittlung der genutzten Daten nach § 29 und in allen anderen Fällen die Voraussetzungen einer zulässigen Nutzung der Daten nach § 28 vorliegen, 3. für die Berechnung des Wahrscheinlichkeitswerts nicht ausschließlich Anschriftendaten genutzt werden, 4. im Fall der Nutzung von Anschriftendaten der Betroffene vor Berechnung des Wahrscheinlichkeitswerts über die vorgesehene Nutzung dieser Daten unterrichtet worden ist; die Unterrichtung ist zu dokumentieren." 7. § 29 wird wie folgt geändert: a) Absatz 1 Satz 1 wird wie folgt geändert: aa) Im einleitenden Satzteil werden die Wörter ,,oder Verändern" durch die Wörter ,, , Verändern oder Nutzen" ersetzt. bb) In Nummer 1 wird nach dem Wort ,,hat," das Wort ,,oder" gestrichen. cc) In Nummer 2 wird der Punkt durch ein Komma ersetzt und das Wort ,,oder" angefügt. dd) Folgende Nummer 3 wird angefügt: ,,3. die Voraussetzungen des § 28a Abs. 1 oder Abs. 2 erfüllt sind; Daten im Sinne von § 28a Abs. 2 Satz 4 dürfen nicht erhoben oder gespeichert werden." b) Absatz 2 wird wie folgt geändert: aa) In Satz 1 Nr. 1 Buchstabe b wird nach der Angabe ,,§ 28 Abs. 3" die Angabe ,,Satz 1" eingefügt. bb) In Satz 3 wird das Wort ,,Nummer" durch die Angabe ,,Satz 1 Nr." ersetzt. cc) Folgender Satz wird angefügt: ,,Die übermittelnde Stelle hat Stichprobenverfahren nach § 10 Abs. 4 Satz 3 durchzuführen und dabei auch das Vorliegen eines berechtigten Interesses einzelfallbezogen festzustellen und zu überprüfen." 8. § 34 wird wie folgt gefasst: ,,§ 34 Auskunft an den Betroffenen (1) Die verantwortliche Stelle hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser Daten beziehen, 2. die Empfänger oder die Kategorien von Empfängern, an die Daten weitergegeben werden, und 3. den Zweck der Speicherung. Der Betroffene soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnen. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, ist Auskunft über die Herkunft und die Empfänger auch dann zu erteilen, wenn diese Angaben nicht gespeichert sind. Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (2) Im Fall des § 28b hat die für die Entscheidung verantwortliche Stelle dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten sechs Monate vor dem Zugang des Auskunftsverlangens erhobenen oder erstmalig gespeicherten Wahrscheinlichkeitswerte, 2. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten und 3. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar in allgemein verständlicher Form. Satz 1 gilt entsprechend, wenn die für die Entscheidung verantwortliche Stelle 1. die zur Berechnung der Wahrscheinlichkeitswerte genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. 2256 Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 48, ausgegeben zu Bonn am 31. Juli 2009 Hat eine andere als die für die Entscheidung verantwortliche Stelle 1. den Wahrscheinlichkeitswert oder 2. einen Bestandteil des Wahrscheinlichkeitswerts berechnet, hat sie die insoweit zur Erfüllung der Auskunftsansprüche nach den Sätzen 1 und 2 erforderlichen Angaben auf Verlangen der für die Entscheidung verantwortlichen Stelle an diese zu übermitteln. Im Fall des Satzes 3 Nr. 1 hat die für die Entscheidung verantwortliche Stelle den Betroffenen zur Geltendmachung seiner Auskunftsansprüche unter Angabe des Namens und der Anschrift der anderen Stelle sowie der zur Bezeichnung des Einzelfalls notwendigen Angaben unverzüglich an diese zu verweisen, soweit sie die Auskunft nicht selbst erteilt. In diesem Fall hat die andere Stelle, die den Wahrscheinlichkeitswert berechnet hat, die Auskunftsansprüche nach den Sätzen 1 und 2 gegenüber dem Betroffenen unentgeltlich zu erfüllen. Die Pflicht der für die Berechnung des Wahrscheinlichkeitswerts verantwortlichen Stelle nach Satz 3 entfällt, soweit die für die Entscheidung verantwortliche Stelle von ihrem Recht nach Satz 4 Gebrauch macht. (3) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung speichert, hat dem Betroffenen auf Verlangen Auskunft über die zu seiner Person gespeicherten Daten zu erteilen, auch wenn sie weder automatisiert verarbeitet werden noch in einer nicht automatisierten Datei gespeichert sind. Dem Betroffenen ist auch Auskunft zu erteilen über Daten, die 1. gegenwärtig noch keinen Personenbezug aufweisen, bei denen ein solcher aber im Zusammenhang mit der Auskunftserteilung von der verantwortlichen Stelle hergestellt werden soll, 2. die verantwortliche Stelle nicht speichert, aber zum Zweck der Auskunftserteilung nutzt. Die Auskunft über die Herkunft und die Empfänger kann verweigert werden, soweit das Interesse an der Wahrung des Geschäftsgeheimnisses gegenüber dem Informationsinteresse des Betroffenen überwiegt. (4) Eine Stelle, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung erhebt, speichert oder verändert, hat dem Betroffenen auf Verlangen Auskunft zu erteilen über 1. die innerhalb der letzten zwölf Monate vor dem Zugang des Auskunftsverlangens übermittelten Wahrscheinlichkeitswerte für ein bestimmtes zukünftiges Verhalten des Betroffenen sowie die Namen und letztbekannten Anschriften der Dritten, an die die Werte übermittelt worden sind, 2. die Wahrscheinlichkeitswerte, die sich zum Zeitpunkt des Auskunftsverlangens nach den von der Stelle zur Berechnung angewandten Verfahren ergeben, 3. die zur Berechnung der Wahrscheinlichkeitswerte nach den Nummern 1 und 2 genutzten Datenarten sowie 4. das Zustandekommen und die Bedeutung der Wahrscheinlichkeitswerte einzelfallbezogen und nachvollziehbar Form. in allgemein verständlicher Satz 1 gilt entsprechend, wenn die verantwortliche Stelle 1. die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten ohne Personenbezug speichert, den Personenbezug aber bei der Berechnung herstellt oder 2. bei einer anderen Stelle gespeicherte Daten nutzt. (5) Die nach den Absätzen 2 bis 4 zum Zweck der Auskunftserteilung an den Betroffenen gespeicherten Daten dürfen nur für diesen Zweck verwendet werden. (6) Die Auskunft ist auf Verlangen in Textform zu erteilen, soweit nicht wegen der besonderen Umstände eine andere Form der Auskunftserteilung angemessen ist. (7) Eine Pflicht zur Auskunftserteilung besteht nicht, wenn der Betroffene nach § 33 Abs. 2 Satz 1 Nr. 2, 3 und 5 bis 7 nicht zu benachrichtigen ist. (8) Die Auskunft ist unentgeltlich. Werden die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung gespeichert, kann der Betroffene einmal je Kalenderjahr eine unentgeltliche Auskunft in Textform verlangen. Für jede weitere Auskunft kann ein Entgelt verlangt werden, wenn der Betroffene die Auskunft gegenüber Dritten zu wirtschaftlichen Zwecken nutzen kann. Das Entgelt darf über die durch die Auskunftserteilung entstandenen unmittelbar zurechenbaren Kosten nicht hinausgehen. Ein Entgelt kann nicht verlangt werden, wenn 1. besondere Umstände die Annahme rechtfertigen, dass Daten unrichtig oder unzulässig gespeichert werden, oder 2. die Auskunft ergibt, dass die Daten nach § 35 Abs. 1 zu berichtigen oder nach § 35 Abs. 2 Satz 2 Nr. 1 zu löschen sind. (9) Ist die Auskunftserteilung nicht unentgeltlich, ist dem Betroffenen die Möglichkeit zu geben, sich im Rahmen seines Auskunftsanspruchs persönlich Kenntnis über die ihn betreffenden Daten zu verschaffen. Er ist hierauf hinzuweisen." 9. § 35 wird wie folgt geändert: a) Dem Absatz 1 wird folgender Satz angefügt: ,,Geschätzte Daten sind als solche deutlich zu kennzeichnen." b) Absatz 2 wird wie folgt geändert: aa) Satz 2 wird wie folgt geändert: aaa) In Nummer 2 werden die Wörter ,,oder die Gewerkschaftszugehörigkeit, über Gesundheit oder das" durch die Wörter ,,,Gewerkschaftszugehörigkeit, Gesundheit," ersetzt. bbb) In Nummer 4 werden nach dem Wort ,,vierten" die Wörter ,,,soweit es sich um Daten über erledigte Sachverhalte handelt und der Betroffene der Löschung nicht widerspricht, am Ende des dritten" eingefügt sowie die Wörter Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 48, ausgegeben zu Bonn am 31. Juli 2009 2257 ,,ihrer erstmaligen Speicherung" ersetzt durch die Wörter ,,dem Kalenderjahr, das der erstmaligen Speicherung folgt,". bb) Folgender Satz wird angefügt: ,,Personenbezogene Daten, die auf der Grundlage von § 28a Abs. 2 Satz 1 oder § 29 Abs. 1 Satz 1 Nr. 3 gespeichert werden, sind nach Beendigung des Vertrages auch zu löschen, wenn der Betroffene dies verlangt." c) In Absatz 3 Nr. 1 wird die Angabe ,,Absatzes 2 Nr. 3" durch die Angabe ,,Absatzes 2 Satz 2 Nr. 3" ersetzt. d) Nach Absatz 4 wird folgender Absatz 4a eingefügt: ,,(4a) Die Tatsache der Sperrung darf nicht übermittelt werden." e) In Absatz 7 wird das Wort ,,werden" durch das Wort ,,wurden" ersetzt. 10. § 43 Abs. 1 wird wie folgt geändert: a) Nach Nummer 4 wird folgende Nummer 4a eingefügt: ,,4a. entgegen § 28a Abs. 3 Satz 1 eine Mitteilung nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig macht,". b) Nach Nummer 8 werden folgende Nummern 8a bis 8c eingefügt: ,,8a. entgegen § 34 Abs. 1 Satz 1, auch in Verbindung mit Satz 3, entgegen § 34 Abs. 2 Satz 1, auch in Verbindung mit Satz 2, oder entgegen § 34 Abs. 2 Satz 5, Abs. 3 Satz 1 oder Satz 2 oder Abs. 4 Satz 1, auch in Verbindung mit Satz 2, eine Auskunft nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig erteilt, 8b. entgegen § 34 Abs. 2 Satz 3 Angaben nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig übermittelt, 8c. entgegen § 34 Abs. 2 Satz 4 den Betroffenen nicht oder nicht rechtzeitig an die andere Stelle verweist,". Artikel 2 Dieses Gesetz tritt am 1. April 2010 in Kraft. Die verfassungsmäßigen Rechte des Bundesrates sind gewahrt. Das vorstehende Gesetz wird hiermit ausgefertigt. Es ist im Bundesgesetzblatt zu verkünden. Berlin, den 29. Juli 2009 Der Bundespräsident Horst Köhler Die Bundeskanzlerin Dr. A n g e l a M e r k e l Der Bundesminister des Innern Schäuble