Nutzung eines Scores vs. Anwendbarkeit von Art. 22 DSGVO – DS News KW 11/2026

Transkript zur Folge:

Herzlich Willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der AmigoSense.
Wir starten heute wieder mit euch gemeinsam ins Wochenende und das natürlich
nicht ohne vorher einmal auf die Woche des Datenschutzes und der Datenschutz-Themen
dieser Woche geschaut zu haben. Mein Name ist Heiko Gossen.
Und mein Name ist Natalia Wozniak.
Heute ist Freitag, der 13. März, um genau zu sein. Und unser Redaktionsschluss, wie immer, um 10 Uhr.
Das sind so die wichtigsten Basisinformationen. Und dann würde ich sagen,
gucken wir einmal, was wir so alles im Gepäck haben, Natalia.
Oh, ich habe einen ganz großen Rucksack dabei. Ich habe einen Beschluss des
BGH zu Befugnissen der Polizei bei der Überwachung verschlüsselter Messenger-Dienste.
Dann habe ich ein Urteil des Landgerichts Mainz zum Adresswechsel als legitimen
Risikofaktor bei Wirtschaftsauskunft ein und einen aktuellen Hinweis zu einem
Chrom-Notfall-Update,
was zwei ausgenutzte Lücken schließt.
Und natürlich auch zwei aktuelle Veröffentlichungen, konkret die vom BFDI.
Ja, in der Rubrik habe ich auch eine Veröffentlichung und ich hätte dann auch
noch zwei Urteile mit dabei.
Einmal unser Titelthema, nämlich die Grenzen von Artikel 22 DSGVO im Bereich von Scoring.
Und wir gucken einmal auf eine Entscheidung vom Bundesverwaltungsgericht,
wo es um die Nutzung von Gesundheitsdaten im Rahmen der Gesundheitsvorsorge
einer Krankenkasse geht.
Okay, dann würde ich sagen, wir legen los.
Aber bevor ich zu meinem ersten Urteil komme, Heiko, du warst doch selber mal
zuletzt auf der anderen Seite, nämlich als Gast in einem Podcast.
Magst du unseren Zuhörern nochmal kurz davon berichten?
Ja, in der Tat. Ich war eingeladen beim Podcast Risikobasierter Ansatz von Michael
Rohrlich und Marc-Oliver Thoma.
Die hatten ein paar Fragen über mich.
Also da geht es weniger um die datenschutzrechtlichen Themen,
sondern tatsächlich interviewen die ihre Gäste mehr so ein bisschen zur Person.
Also wer da ein bisschen mehr erfahren will, der kann da natürlich gerne mal reinhören.
Das ist insgesamt ein empfehlenswerter Podcast, weil dort, wie gesagt,
sehr viele Personen, die im Datenschutz aktiv sind, schon Gast waren und von
daher durfte ich mich da und da habe ich mich sehr darüber gefreut auch einreihen.
Wo finde ich den Podcast, die Folge, wenn ich da jetzt am Wochenende reinschauen möchte?
Ja, am besten auf YouTube. Wenn man da nach risikobasierter Ansatz sucht,
dann wird man da eigentlich relativ schnell fündig.
Also von daher würde ich den Link auch in die Shownotes einmal packen.
Aber wie gesagt, am einfachsten ist es einmal auf YouTube gehen und da nach
risikobasierter Ansatz suchen.
Wunderbar, das mache ich.
Vielen Dank.
Und damit starte ich mit meinem ersten Urteil.
Der Bundesgerichtshof hat in einem wegweisenden Beschluss die Befugnisse der
Polizei bei der Überwachung verschlüsselter Messenger-Dienste wie WhatsApp oder
Telegram massiv eingeschränkt.
Die Richter stellten klar, dass Ermittler bei einer laufenden Quellentelekommunikationsüberwachung
nicht länger automatisch auf die gesamte Chat-Historie eines Verdächtigen zugreifen dürfen.
Der BGH stellt dabei fest, dass sie sich bei der Überwachung und Aufzeichnung
von Telegram-Chats, in dem Fall ging es eben um Telegram-Chats,
durch heimliche Aufschaltung ohne Einbeziehung des Informationsdiensteerbringers
oder Nutzers um eine Quellentelekommunikationsüberwachung handelt.
Denn, so der BGH weiter, ein Messenger-Dienst, wie hier eben Telegram,
stellt regelmäßig ein informationstechnisches System im Sinne des § 100a StPO dar.
Ein von den Ermittlungsbehörden veranlasstes Aufschalten und der Umgehung der
Kommunikationsbeteiligten mit technischen Mitteln stellt eben ein Eingriff in dieses System dar.
Demnach dürften ausschließlich diejenigen Inhalte überwacht und aufgezeichnet
werden, die ab dem Zeitpunkt der gerichtlichen Anordnung anfielen.
Eine darüber hinausgehende rechtswidrige Datenerhebung führt im Einzelfall zu
Unverwertbarkeit, also zum Beweisverwertungsverbot hinsichtlich der erhobenen Inhalte.
Ein solcher Rückgriff auf vergangene Nachrichten wird nach dem BGH nun rechtlich
als Online-Durchsuchung eingestuft, die eben deutlich strengeren gesetzlichen
Hürden unterliegt als das Mitlesen aktueller Kommunikation.
Eine reine Anordnung zu Quellen-Telekommunikationsüberwachung reicht dafür also nicht aus.
Im zugrunde liegenden Fall wurden die Beweise demnach rechtswidrig aus der Vergangenheit
kopiert und daher verhängte der BGH hier ein striktes Beweisverwertungsverbot.
Dieses Urteil stärkt das IT-Grundrecht erheblich, indem es den Schutz der digitalen
Privatsphäre vor uferlosen staatlichen Eingriffen sichert.
Damit ist auch die bisherige Praxis der Behörden, die Technik für eine umfassende
Überwachung des digitalen Vorlebens
zu nutzen, künftig voraussichtlich als rechtswidrig zu betrachten.
Insofern ein Urteil, was wichtig ist.
Auf dem ersten Blick vielleicht nicht so den datenschutzrechtlichen Bezug aufweist oder mit sich bringt.
Aber dennoch im Hinblick auf das IT-Grundrecht und auf die Vertraulichkeit der
Kommunikation und auf die Möglichkeiten der Ermittlungsbehörden eben auf die
Kommunikationsinhalte zuzugreifen, glaube ich doch einen Hinweis von uns wert.
Absolut. Wir haben ja auch hier viel über die Chatkontrolle,
die ja von der EU-Kommission und auch teilweise ja von nationalen Sicherheitsbehörden
ja immer wieder gefordert wurde, berichtet haben.
Finde ich, das ist eine schöne Ergänzung auch hier zu zeigen,
dass es natürlich auch national betrifft.
Einerseits natürlich Möglichkeiten gibt, für Ermittlungsbehörden in bestimmten
Fällen auf Geräte auch zuzugreifen und auf Telekommunikationsinhalte zuzugreifen.
Auf der anderen Seite das aber natürlich auch klar überwacht wird und entsprechende Grenzen hat.
So ist es.
Kommen wir zu einer anderen Grenze. Gesundheitsvorsorge rechtfertigt nicht automatisch
die Nutzung sensibler Gesundheitsdaten.
Das hat das Bundesverwaltungsgericht in einem Urteil zu privaten Krankenversicherungen klargestellt.
Das Bundesverwaltungsgericht in Leipzig hat nämlich entschieden,
dass Maßnahmen zur Gesundheitsvorsorge durch private Krankenversicherungen hier klare Grenzen haben,
wo eine Versicherung zum Beispiel Diagnosedaten aus eingerechten Rechnungen
auswertet, um Versicherte gezielt auf Vorsorgeprogramme hinzuweisen und dazu einzuladen.
Auf dieser Grundlage hat nämlich die Versicherung die Versicherten identifiziert
und etwa dann zu Programmen für Diabetes oder gegen Diabetes,
Asthma oder auch Rückenleiden dann entsprechend eingeladen.
Interessanterweise bei Neukunden hat die Versicherung dies auf eine Einwilligung
gestützt, bei Bestandskunden allerdings ohne Einwilligung diese Verarbeitungen
durchgeführt und sich dann hier auf andere Rechtsgrundlagen bezogen.
Hier hat das Gericht nun die Nutzung dieser Gesundheitsdaten ohne Einwilligung
der Betroffenen allerdings für unzulässig erklärt. Der Hintergrund ist hier,
dass der Landesdatenschutzbeauftragte in Rheinland-Pfalz diese Praxis bereits
im Februar 2022 beanstandet hatte.
Die Vorinstanzen in Mainz und Koblenz hatten die Datenverarbeitung zunächst
jedoch aber als zulässig bewertet.
Das Bundesverwaltungsgericht hat diese Entscheidung allerdings jetzt geändert
und die Klage der Versicherung abgewiesen.
Das Gericht hat festgestellt, dass Gesundheitsvorsorge grundsätzlich ein legitimer
Zweck der Datenverarbeitung sein kann.
Die entscheidende Frage war laut der Pressemitteilung des Bundesverwaltungsgerichts
jedoch die Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe F DSGVO.
Denn nach Auffassung des Gerichts haben hier die Interessen der Versicherten überwogen.
Besonders berücksichtigt wurde dabei der hohe Schutz der Gesundheitsdaten.
Und das Gericht hat auch nochmal darauf hingewiesen, dass das Vorsorgeprogramm
nicht zum medizinischen Kernbereich der Versicherung gehöre.
Auch hat die große Anzahl der Betroffenen und Versicherten hier nochmal und
eine unzureichende Information eine Rolle in der Abwägung gespielt.
Leider liegt der Volltext des Urteils noch nicht vor und ich konnte aus der
Pressemitteilung nicht so richtig klar ableiten, wie das Gericht bei der Prüfung
der Rechtmäßigkeit im 6.1.F.
Gelandet ist, dass ich ja jetzt hier mutmaßlich um Artikel 9 Daten handeln dürfte.
Von daher bin ich da natürlich auch noch gespannt auf den Volltext.
Und ich sage mal, jetzt aus einer Beraterperspektive würde ich natürlich auch
sagen, grundsätzlich ist es natürlich auch unglücklich vom Unternehmen,
hier zwei verschiedene Rechtsgrundlagen zu nutzen.
Also einerseits ist man ja offenbar der Auffassung schon gewesen im Unternehmen,
dass eine Einwilligung ganz gut wäre, sonst hätte man sie von Neukunden nicht erfragt.
Und dann aber bei Bestandskunden zu sagen, naja, dann machen wir es da ohne Einwilligung.
Ich glaube, da ist es auch sehr naheliegend, dass Aufsichtsbehörden da natürlich
dann mal die Augenbraue hochziehen.
So wie ich gerade auch. Dann komme ich auch zu meinem nächsten Urteil.
Das Landgericht Mainz hat entschieden, dass die Speicherung und Verarbeitung
veralteter Anschriftendaten durch eine Wirtschaftsauskunft sei,
im Rahmen des Bonitätsscorings grundsätzlich rechtmäßig ist und keinen Verstoß
gegen die DSGVO darstellt.
Die Kammer führt aus, dass die Verarbeitung von Adressdaten einschließlich eben
auch frühere Anschriften zur Wahrung berechtigter Interessen der Auskunft Teil
und ihrer Vertragspartner nach Artikel 6 Absatz 1 Lit. F. DSGVO zulässig ist.
Die Berücksichtigung von Adresswechseln bei der Bonitätsbewertung ist nach allgemeiner
Erfahrung ein legitimer Risikofaktor und nicht diskriminierend und wurde daher
vom Landgericht nicht beanstandet.
Die von der Auskunft DAI diesbezüglich eingehaltenen Speicherfristen und Verhaltensregeln,
die mit den Datenschutzaufsichtsbehörden abgestimmt wurden, stellen hier im
Rahmen der Interessensabwägung eben einen angemessenen Interessensausgleich dar.
Von daher, das Landgericht hat hier die Klage eines Betroffenen,
der die Löschung seiner alten Adressdaten begehrt hatte, daher im Ergebnis abgelehnt.
Ja, dann bleiben wir in dem Kontext Bonitätsscores bzw.
Auskunft teilen. Das Oberlandesgericht Stuttgart hat in einem Hinweisbeschluss
bestätigt, dass die Verwendung eines Bonitätsscores zusammen mit weiteren Entscheidungsfaktoren
keine automatisierte Entscheidung im Sinne des Artikel 22 DSGVO darstellt.
Der datenschutzrechtliche Kern der Entscheidung liegt in der Abgrenzung zwischen
Profiling und automatisierter Entscheidung nach § 22 DSGVO und dazu stellt das OLG klar.
Alleine die Erstellung und Nutzung eines Bonitätsscores führt nicht automatisch
zur Anwendbarkeit von Artikel 22, denn entscheidend ist vielmehr,
wie der Score in der Praxis eingesetzt wird.
Wenn der Score lediglich eine von mehreren Entscheidungsgrundlagen ist,
selbst wenn es eine wesentliche ist,
und die eigentliche Vertragsentscheidung etwa über einen Kredit oder Erstellung
eines Girokontos von einem Unternehmen unter Berücksichtigung weiterer Informationen
wie Einkommen, Vermögen oder Sicherheit getroffen wird,
liegt keine ausschließlich automatisierte Entscheidung vor.
Der Score ist dann halt nur in Anführungszeichen Profiling im Sinne von Artikel
4 Nummer 4 DSGVO und nicht selbst die Entscheidung.
Eine bloße faktische Vorgriffswirkung genügt also laut Gericht nicht für die
Eröffnung von Artikel 22 DSGVO.
Und im konkreten Fall hatte der Kläger hier gegen die Auskunft 3 geklagt.
Er wollte nämlich unter anderem feststellen lassen, dass sein Bonitätsscore
rechtswidrig erstellt wurde, verlangte also weitergehende Transparenz über die
Berechnung des Scores und machte auch Schadensersatz wegen angeblicher Nachteile
durch den Score geltend.
Hier war wohl die Eröffnung eines Girokontos verweigert worden von einer Bank.
Das finde ich gerade sehr interessant, denn auch mein Thema von gerade,
also das Landgericht Mainz, hat sich in seinem Urteil ebenso mit dem Thema Scoring
auseinandersetzen müssen.
Vielleicht ergänze ich an der Stelle, weil das geht so ein bisschen in die gleiche Richtung.
Konkret führte das LG dazu im Ergebnis aus, dass ein Verstoß gegen Artikel 22
DSGVO, also gegen die automatisierte Entscheidungsfindung, nicht vorliegt,
da die Entscheidung über einen Vertragsschluss nicht ausschließlich automatisiert erfolgt.
Wenn, wie hier im konkreten Fall, die Bonitätseinschätzung nicht aufgrund der
Verarbeitung veralteter Adressdaten getroffen wurde, sondern von einer natürlichen
Person mit eigener Entscheidungskompetenz.
Insofern auch das Landgericht Mainz hat die automatisierte Entscheidungsfindung abgewiesen bzw.
Nicht gesehen, weil die veralteten Adressdaten, die es in seinem Urteil zu betrachten hatte,
nicht direkt zur automatisierten Entscheidungsfindung geführt haben,
sondern einfach nur im Rahmen einer persönlichen, einer Person mit Entscheidungskompetenz
mit berücksichtigt werden konnten, neben vielen anderen Faktoren.
Und das unterstreicht ja nochmal. Also man muss halt genau gucken,
rein automatisierte Entscheidungen zulassen der Betroffenen nach 22 ist halt
schwierig, beziehungsweise unter sehr engen Voraussetzungen ja überhaupt möglich.
Und von daher ist genau dieses, man macht es nicht rein automatisiert halt enorm wichtig.
Okay, zum Thema automatisiert. Ich glaube, der Übergang passt nicht so gut,
aber ich komme zu meiner nächsten Nachricht.
Google hat nämlich heute Nacht in der Nacht von Donnerstag auf den heutigen
Freitag ein Notfallupdate für den Webbrowser Chrome veröffentlicht.
Der Grund ist bzw. sind zwei schwerwiegende Sicherheitslücken,
die bereits aktiv im Internet ausgenutzt werden oder wurden.
Eine Schwachstelle in der Grafikbibliothek Skia ermöglicht es einerseits Angreifern
über manipulierte Webseiten auf Speicherbereiche zuzugreifen und diese zu verändern.
Die zweite Lücke betrifft die JavaScript Engine V8 und erlaubt es,
über präparierte Webseiten Schadcodes innerhalb der Browser-Sandbox auszuführen.
Google bestätigt, dass bereits funktionierende Exploits existieren,
hält aber Details zu den Angriffen noch zurück.
Google empfiehlt aber zugleich, und das ist auch unsere Empfehlung an der Stelle,
umgehend auf die aktuellsten Versionen zu aktualisieren, die diese Lücken beseitigen.
Nutzerinnen und Nutzer sollten daher Chrome schnellstmöglich aktualisieren,
um die Schwachstellen zu schließen.
Sehr schön. Top aktuell. Was natürlich nicht davon ablenken soll,
dass wir auch noch eine Rubrik haben für Öffentlichungen und Veranstaltungen, zu der wir jetzt kommen.
Dort gibt es ein Update. Die DSK, die Konferenz der Datenschutzbeauftragten
der Länder und des Bundes, hat die Version 2.0 ihre Orientierungshilfe zur Einholung
von Selbstauskünften bei Mietinteressenten veröffentlicht.
Der Leitfaden unterteilt den Vermietungsprozess in drei Phasen,
vom Besichtigungstermin bis zum Vertragsabschluss und definiert hier auch jeweils
die zulässigkeitsspezifische Abfragen.
Die Orientierungshilfe stellt nochmal klar, dass freiwillige Einwilligungen
aufgrund des Machtgefälles oft unwirksam sind und stattdessen natürlich gesetzliche
Erlaubnistatbestände greifen müssen.
Und es gibt auch Inhalte zur Löschung von Daten, Diskriminierungsschutz und so weiter.
Meines Erachtens Pflichtlektüre für Immobilienmakler und alles sozusagen in
diesem Metier, aber natürlich auch private Vermieter, die hier sicherlich noch
ein Stück weit vielleicht noch sogar mehr Aufklärungsbedarf haben als vielleicht
professionelle Vermieter, die es regelmäßig machen.
Also auch hier gilt, gerne im persönlichen Umfeld weiterleiten und darauf hinweisen,
dass es diese Orientierungshilfe jetzt in der Version 2.0 gibt und man,
wie gesagt, als Vermieter sich da sicherlich gut anbietet.
Beratend sieht, wenn man da reinblau einblickt vorher.
Ich habe zwei weitere Veröffentlichungen, beziehungsweise direkt zwei Veröffentlichungen der BFDI mitgebracht.
Die Bundesdatenschutzbeauftragte Luisa Sprecht-Riemenschneider stellt eine sechsteilige
Unterrichtsreihe Was ist Datenschutz?
Für die Schulklassen 4 bis 7 zur Verfügung.
Die kostenfreien Materialien behandeln persönliche Daten, Privatsphäre,
Suchmaschinen, Informationsrechte, sichere Passworter sowie Social Media und Cybermobbing.
Sie sollen Lehrkräften helfen, Medienkompetenz und Datenschutzbewusstsein bei
den Schülern früh zu vermitteln.
Vielleicht ist das aber auch für alle Eltern interessant, die ihren Kindern
neben der Schule einen ersten Einblick in das Thema Datenschutzrecht bieten wollen.
Als zweites veröffentlicht die BFTI einen Bericht zu einem öffentlichen Konsultationsverfahren
über den datenschutzkonformen Umgang mit personenbezogene Daten im KI-Modell.
Dabei geht es vor allem um technische und rechtliche Fragen rund um KI-Systeme,
insbesondere um große Sprachmodelle, sogenannte Large Language Models.
Wichtig ist, dass die im Bericht dargestellten Positionen nicht unbedingt die
eigene Meinung der BFDI widerspiegeln.
Der Bericht dokumentiert vielmehr die unterschiedlichen Stellungnahmen aus der Konsultation.
Insofern sicherlich einen Lesehinweis wert, aber eben mit der Maßgabe,
dass es nicht die Meinung der BFTI selber ist.
Und damit sind wir mit den Veranstaltungshinweisen, glaube ich, gerade durch.
Wunderbar. Dann sind wir mit unseren Themen heute insgesamt durch.
Und uns bleibt nicht mehr und weniger als allen ein schönes Wochenende zu wünschen.
Dir vielen Dank, Natalia.
Dir ebenfalls, Heike.
Und damit bleibt uns gewogen und auf bald. Tschüss.