Guter Kunde, schlechter Kunde
Bonushopper, Kündigungsscoring und das Datenschutzrecht
Vor Kurzem wurde bekannt, dass Auskunfteien wie die Schufa erwägen, Daten zur Vertragslaufzeit der Kunden von Strom- und Gasversorgern zu erheben und auf deren „Wechselfreudigkeit“ hin auszuwerten. Verbraucher- und Datenschützer befürchten, Strom- und Gasversorger könnten die Abfrage von Daten zur Vertragsdauer dazu nutzen, Vertragsschlüsse mit solchen wechselfreudigen Kunden zu verhindern. Ohne Maßnahmen des nationalen Gesetzgebers verstößt ein solches Kündigungsscoring jedoch gegen das (europäische) Datenschutzrecht.
Jenseits der Bonität
Das Modell zum Kündigungsscoring basiert auf zwei Schritten: Anbieter übermitteln Daten zu ihren bisherigen Vertragsbeziehungen an Auskunfteien und Auskunfteien übermitteln auf Grundlage dieser Daten bei vorvertraglichen Anfragen durch die Anbieter Informationen über die Kündigungswahrscheinlichkeit der potenziellen Kunden. Auch Telekommunikationsanbieter, Streaming-Anbieter und Anbieter anderer Abonnement-Modelle hätten wohl ein Interesse daran, Kunden auszuschließen, die den auf Dauer angelegten Vertrag regelmäßig nach der oft niedriger bepreisten Mindestvertragslaufzeit kündigen. Ebenso ist denkbar, dass Anbieter von Online Shops gewisse Sympathien für ein branchenweites Retouren-Scoring hegen. Der gemeinsame Kern dieser Maßnahmen: Sie würden über das klassische und im Datenschutzrecht bekannte Bonitätsscoring hinausgehen, das prognostiziert, mit welcher Wahrscheinlichkeit Kunden ihrer vertraglichen Zahlungspflicht nachkommen werden. Stattdessen geht es beim Kündigungsscoring darum, ob der Kunde – vertragsgemäß – von seinem Kündigungsrecht Gebrauch machen wird.
Hierbei mag man an die in der EU so nicht realisierbaren (S. 122 ff.) Social-Credit-Systeme in China denken, bei denen zahlreiche Daten, die den Alltag von Personen betreffen, Grundlage für die Berechnung eines Werts über ihre Vertrauenswürdigkeit und Zuverlässigkeit sind. Die Überlegungen der Auskunfteien für den Strom- und Gasmarkt sind zwar noch weit von Social-Credit-Systemen entfernt, nach dem geltenden Datenschutzrecht aber dennoch unzulässig.
Datenverarbeitung und automatisierte Entscheidung
Das Datenschutzrecht, d.h. vor allem die Datenschutz-Grundverordnung (DSGVO) und ergänzend die §§ 1-44 des Bundesdatenschutzgesetzes (BDSG), ist auf die Übermittlung, Speicherung, Verwendung und sonstige Verarbeitung der Vertrags- und Prognosedaten anwendbar, die Rückschlüsse auf die jeweiligen Personen zulassen. Zwar fällt jeder (teil‑)automatisierte Vorgang mit personenbezogenen Daten – wie eine Übermittlung – in den Anwendungsbereich des Datenschutzrechts. Es kann aber dennoch geboten sein, zwischen den Verarbeitungsvorgängen zu differenzieren, da jeder einzelne Verarbeitungsvorgang einem anderen Zweck dienen und potenziell separat im Hinblick auf die einschlägige Rechtsgrundlage zu prüfen sein kann. Dieser Beitrag betrachtet der Übersichtlichkeit wegen die genannten Vorgänge im Wesentlichen zusammen.
Soweit das Datenschutzrecht anwendbar ist, ergeben sich diverse Pflichten für die datenschutzrechtlich Verantwortlichen. So sind die Betroffenen über die Verarbeitungen zu informieren (Art. 13, 14 DSGVO) und etwa auch darüber, dass die bei einem Anbieter gespeicherten Vertragsdaten zukünftig für einen anderen Zweck verwendet werden sollen (Art. 13 Abs. 3, 14 Abs. 4 DSGVO). Dem Kündigungsscoring steht jedoch vor allem das Verbot mit Erlaubnisvorbehalt entgegen, aus dem sich die Notwendigkeit einer Rechtsgrundlage für jede Verarbeitung personenbezogener Daten ergibt. Dabei ist zwischen einer Rechtsgrundlage für die Verarbeitungen (insb. Art. 6 DSGVO) und einer für die darauf gestützte automatisiert erfolgende Entscheidung gegen einen Vertragsschluss (Art. 22 DSGVO) zu differenzieren.
Die Rechtfertigung der Verarbeitung
In Art. 6 Abs. 1 DSGVO findet sich ein Strauß an Rechtsgrundlagen für die Verarbeitungen personenbezogener Daten. Wenn man als Anbieter nicht gerade auf den Kunden stößt, der nahezu alle freiwillig ausgestalteten Checkboxen durchklickt und so in die Datenverarbeitung einwilligt (lit. a), braucht es eine gangbare Alternative. Verarbeitungen, die für die Vertragserfüllung oder für einen Vertragsschluss erforderlich sind, bedürfen hingegen keiner Einwilligung (lit. b) – wobei die Erforderlichkeit eng auszulegen ist((Vgl. etwa Frenzel, in: Paal/Pauly (Hrsg.), DS-GVO BDSG, 2. Aufl. 2018, Art. 6 DS-GVO Rn. 14.)). Allerdings ist weder die Übermittlung von Daten über ein bestehendes Vertragsverhältnis an eine Auskunftei noch die Berechnung eines Kündigungsscores und dessen Verwendung durch den Anbieter zur Erfüllung eines Vertrags oder für einen Vertragsschluss erforderlich. Beim klassischen Scoring hingegen kann eher an diesen Erlaubnistatbestand gedacht werden, da mit der Prognose über die Zahlung ein enger Bezug zu dem abzuschließenden Vertrag besteht. Letztlich entscheidend für die (Un-)Zulässigkeit der Maßnahme ist die Abwägung im Rahmen des Erlaubnistatbestands des berechtigten Interesses (lit. f).
Dabei handelt es sich um eine Interessenabwägung, wie sie auch aus anderen Gebieten des öffentlichen Rechts bekannt ist. Ein interessantes Detail hierbei: Überwiegen müssen die Rechte und Freiheiten des Betroffenen und nicht des Verantwortlichen. Außerdem determiniert die DSGVO die Interessenabwägung, etwa durch Wertungsvorgaben in den Erwägungsgründen. Besteht beispielsweise eine Kunden-Beziehung, kann sich dies zugunsten des Verantwortlichen auswirken (Erwägungsgrund 47 S. 2 DSGVO). In diesem Fall rechnet die betroffene Person schließlich eher mit einer Verarbeitung. Allerdings betrifft das nur die Übermittlung personenbezogener Daten über bestehende Verträge im Rahmen einer Kundenbeziehung, nicht aber die Berücksichtigung eines Scores vor Vertragsschluss.
Auf Seiten des Verantwortlichen steht vor allem das (berechtigte) wirtschaftliche Interesse (vgl. Art. 12 GG, Art. 16 GRCh), informiert über einen Vertragsschluss zu entscheiden, Kunden über eine möglichst lange Vertragslaufzeit zu binden und gegebenenfalls gar die eigene Insolvenz abzuwenden. Auf der Seite der betroffenen Person steht neben dem klassischen Datenschutz-Grundrecht (Art. 8 GRCh) bzw. der informationellen Selbstbestimmung (Art. 2 Abs. 1, 1 Abs. 1 GG) besonders das Interesse an einem Schutz vor Diskriminierungen (Art. 3 Abs. 1 GG, Art. 20 GRCh). Dieser Leitgedanke des Datenschutzrechts, der sich etwa an dem besonderen Schutz von Daten über die Ethnie und Gesundheit (Art. 9 DSGVO) zeigt und in den Erwägungsgründen 75 und 85 DSGVO explizit erwähnt wird, wird hier in anderer Weise relevant: Das angesprochene Scoring könnte der Ausgangspunkt dafür sein, Kunden zu diskriminieren, die ihre Privatautonomie im Einklang mit den Vorgaben der Rechtsordnung ausüben und einen Vertrag nach der Mindestlaufzeit kündigen.
Um die Eingriffsintensität der Verarbeitungen, die Ausgangspunkt für diese Diskriminierung sein können, zu beurteilen, sind im Rahmen der Interessenabwägung aus datenschutzrechtlicher Sicht mehrere Aspekte in die Waagschale zu werfen, und nach konkreter Verarbeitung zu unterscheiden. Ein branchenweites, anbieterübergreifendes Kombinieren von Daten, wenngleich unter der Kontrolle eines Dritten, erhöht das Risiko, dass umfassende Vertragshistorien über Jahre zusammengetragen werden. Je mehr und je länger Angaben über das Vertragsverhältnis gespeichert werden, desto eher überwiegt das Interesse der betroffenen Person. Gerade das umfassende und langfristige Zusammentragen von Vertragsinformationen erhöht jedoch den Aussagegehalt eines Kündigungsscores und wird daher seitens der Anbieter und Auskunfteien gewollt sein. Außerdem wirkt sich die Nähe zum Profiling als Verhaltensbewertung (Art. 4 Nr. 4 DSGVO) aus, das die DSGVO als besonders eingriffsintensiv wertet. Hinzu kommt, dass der Anbieter als Verantwortlicher sich mit Verwendung eines solchen Scores regelmäßig zu seinem eigenen Verhalten in Widerspruch setzen wird. Wer Kunden gezielt mit günstigen Angeboten über die Mindestlaufzeit – bei anschließend höheren Preisen – lockt, zugleich aber Kunden ablehnt, die solche Angebote (vertragsgemäß) „nutzen“, handelt widersprüchlich und damit entgegen der vernünftigen Erwartung (Erwägungsgrund 47 DSGVO) der betroffenen Person sowie Treu und Glauben (Art. 5 Abs. 1 lit. a DSGVO).
Freilich sind immer auch (weitere) Umstände des Einzelfalls zu berücksichtigen, doch die Interessenabwägungen werden in den seltensten Fällen zugunsten des Verantwortlichen – also des Anbieters oder der Auskunftei – ausfallen. Damit sind die Verarbeitungen nach Art. 6 Abs. 1 lit. f DSGVO unzulässig. Eine andere Rechtsgrundlage ist nicht ersichtlich, soweit man Öffnungsklauseln für den nationalen Gesetzgeber (Art. 6 Abs. 1 lit. c, e, Abs. 3 DSGVO) außer Betracht lässt.
Das Recht auf menschliches Eingreifen
Die Unzulässigkeit ergibt sich allerdings im Ergebnis nicht auch aus dem Verbot von rechtlich erheblichen Entscheidungen, die ausschließlich auf automatisierten Verarbeitungen beruhen (Art. 22 DSGVO). Die Norm konzentriert sich nicht, wie sonst in der DSGVO üblich, auf die eigentlichen Verarbeitungen, sondern auf Folgen, die an eine Verarbeitung geknüpft werden können. Ihr liegt der Gedanke zugrunde, dass rechtlich erhebliche Entscheidungen grundsätzlich nicht unter vollständigem Ausschluss unmittelbaren menschlichen Einflusses getroffen werden sollen.
Die Entscheidung gegen einen Vertragsschluss aufgrund eines Scores würde wohl vollständig automatisiert erfolgen, also ohne (finale) menschliche Prüfung. Art. 22 Abs. 2 DSGVO erkennt an, dass eine solche automatisiert getroffene Entscheidung im Zusammenhang mit dem möglichen Abschluss eines Vertrags erforderlich sein kann. Aber auch hier besteht – wie in Bezug auf Datenverarbeitungen und anders als beim klassischen Scoring mit Bezug zur Zahlungspflicht als Hauptleistungspflicht – kein ausreichend enger Zusammenhang mit dem Vertragsschluss. Kunden ablehnen zu können, die ihren Vertragspflichten nachkommen und ordnungsgemäß, aber früher als gewünscht kündigen, ist nicht für den Vertragsschluss erforderlich.
Stattdessen hilft ein Rückgriff auf eine Regelung des deutschen Gesetzgebers. Mit § 31 BDSG hat dieser – wenn auch nicht explizit (vgl. BT-Drucks. 18/11325, S. 101 f.) – von Öffnungsklauseln der grundsätzlich abschließenden DSGVO Gebrauch gemacht, um den Vorgang der Verwendung eines Scores und damit auch die automatisiert getroffene Entscheidung in diesem Zusammenhang zu ermöglichen. Die Regelung legt dabei gesondert Anforderungen für die Verwendung eines Score-Werts im Fall des klassischen Bonitätsscorings fest (Abs. 2) und enthält allgemeine Anforderungen für jegliche Prognosen im Zusammenhang mit Vertragsverhältnissen, soweit diese in Wahrscheinlichkeitswerte gegossen werden (Abs. 1). Letzteres gilt daher auch für das Kündigungsscoring.
Danach dürfen vor allem nur solche Daten Eingang in ein Scoringverfahren finden, die nachweisbar erheblich sind, um die Wahrscheinlichkeit zu berechnen und für die Berechnung ist ein anerkanntes mathematisch-statistisches Verfahren anzuwenden. Wenn der Verantwortliche diese Anforderungen beachtet, wäre eine vollständig automatisiert getroffene Entscheidung gegen einen Vertragsschluss rechtlich möglich. Allerdings bleibt es aber bei der vorgelagerten Frage nach einer Rechtsgrundlage für die Verarbeitungen, für die § 31 BDSG – freilich nicht unumstritten((Hierzu Kamlah, in: Plath (Hrsg.), DSGVO BDSG, 3. Aufl. 2018, Art. 22 DSGVO Rn. 9. Ausführlich zum Streitstand Taeger, in: Taeger/Gabel (Hrsg.), DSGVO BDSG, 3. Aufl. 2019, § 31 BDSG Rn. 36 ff.)) – nicht ebenfalls als Rechtsgrundlage herhalten kann, da sich § 31 BDSG auf die Verwendung der Scores konzentriert.
Eine Frage für den nationalen Gesetzgeber
Die Datenschutzbehörden der Länder und des Bundes wollen Anfang November zu diesem Thema beraten. Um den fehlenden menschlichen Einfluss auf eine Entscheidung gegen einen Vertragsschluss zu rechtfertigen, kann zwar die Regelung des § 31 BDSG herhalten, die Frage nach möglichen Rechtsgrundlagen für die Verarbeitungen selbst dürfte bei den Beratungen jedoch mehr Raum einnehmen. Der Erlaubnistatbestand des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO) bietet für das erweiterte Scoring regelmäßig keine ausreichende Rechtsgrundlage. Da es an einer anderen Rechtsgrundlage fehlt, setzt das Datenschutzrecht hier Grenzen und schützt auch den Bonushopper. Das gilt zumindest so lange, bis der nationale Gesetzgeber – sofern politisch gewollt – eine Regelung schafft, die das Kündigungsscoring ermöglicht.