Die Abwicklung von Geschäften hat sich vor allem durch den Onlinehandel immer weiter beschleunigt. Angesichts der Abwicklungsgeschwindigkeit von Onlineshops haben nur noch wenige Kunden für langwierige Prüfungen vor einer Kontoeröffnung oder Kreditgewährung Verständnis. Dadurch wird es jedoch auch immer leichter, sich Leistungen durch falsche Angaben zu erschleichen.
Die Vorlage gefälschter oder verfälschter Dokumente, wie zum Beispiel gefälschte Personalausweise oder manipulierte Verdienstbescheinigungen, führt immer wieder zur Gewährung von Leistungen oder Krediten, bei denen der Unternehmer mit seinem Zahlungsanspruch ausfällt. Zusätzlich sind Kreditinstitute nach dem Kreditwesengesetz (§ 25 h KWG) verpflichtet, Datenverarbeitungssysteme zu betreiben, mittels derer sie Geldwäsche, Terrorismusfinanzierung oder strafbare Handlungen erkennen können.
Daher besteht ein vermehrtes Interesse an der Nutzung von schnell verfügbaren Auskunfteiendiensten, in denen Daten zu strafbaren Handlungen gespeichert werden. Damit soll nicht zuletzt verhindert werden, dass ein Betrugsversuch solange bei wechselnden Unternehmern begangen wird, bis dieser ein- oder mehrmals erfolgreich war. Auskunfteiendienste, die erkannte Betrugsversuche speichern, sind mittlerweile als Datenpools am Markt verfügbar.
Die Aufsichtsbehörden sind mehrheitlich der Auffassung, dass solche Pools datenschutzrechtlich zulässig sind. Sie unterliegen jedoch wegen der Schwere des gespeicherten Vorwurfs, der eklatanten Auswirkungen auf Betroffene und vor dem Hintergrund des Art. 8 Abs. 5 der EU-Datenschutzrichtlinie sehr strengen und restriktiven Anforderungen. Die Aufsichtsbehörden haben sich mehrheitlich auf Voraussetzungen verständigt, die solche Datenpools erfüllen müssen. Die Einhaltung dieser Voraussetzungen wird sowohl bei dem Datenpool, als auch bei deren Nutzern überprüft.
Die Voraussetzungen unterscheiden nach den Phasen Einmeldung in den Pool, Verarbeitung im Pool und Beauskunftung aus dem Pool.
Einmeldung in den Pool
- Grundsätzlich scheidet eine Einmeldung auf Basis einer Einwilligung aus. Dies gilt insb. für die Einmeldung besonderer Arten personenbezogener Daten.
Eine Ausnahme gilt bei Opfern eines Identitätsbetruges. Diese werden nur mit ihrer Einwilligung und mit der Kennzeichnung als Opfer eines Betruges in die Warndatei aufgenommen. Der Ausschluss besonderer Arten personenbezogener Daten gilt auch für diese Fallgruppe. - Der Sachverhalt inklusive der Identität des Täters muss eindeutig festgestellt sein.
- Auffällige/ungewöhnliche Sachverhalte werden im Vorfeld klar und abschließend durch Fallgruppenkatalog oder Meldemerkmale definiert. Die Eingabe von Freitext darf zur Vermeidung von subjektiven Vermutungen nicht möglich sein.
- Der Vorwurf muss signifikant sein (keine Geringfügigkeit, ggf. Betragsgrenze; Nachweis der Erheblichkeit für die Betrugsabwehr).
- Der Vorwurf muss beweisbar sein (zum Beispiel durch den Nachweis der Vorlage gefälschter Dokumente).
- Es besteht eine umfassende Dokumentationspflicht zur nachträglichen Überprüfbarkeit der Einmeldung.
Die Einmeldung hat nur durch besonders qualifiziertes Personal zu erfolgen (Betrugspräventionsabteilung) und es muss klare Compliance-Regelungen geben.
Verarbeitung (Speicherung/Nutzung) im Pool
- Betroffene sind über ihre konkrete Einmeldung in den Pool zu unterrichten. Zusätzlich hat bereits zu Beginn der Geschäftsbeziehung eine allgemeine Unterrichtung zur Nutzung des Pools durch die einmeldende Stelle zu erfolgen.
- Alle üblichen Betroffenenrechte gegenüber einer Auskunftei sind zu erfüllen. Dazu zählt unter anderem eine umfassende Selbstauskunft, die Löschung, Sperrung und Berichtigung von Daten sowie eine Nachberichtspflicht gegenüber Datenempfängern. Dabei ist eine unverzügliche Bearbeitung zu garantieren.
- Die gespeicherten Sachverhalte dürfen weder für Bonitätsauskünfte, noch zur Berechnung von Score-Werten genutzte werden. Hierfür wird eine organisatorische Trennung der Geschäftsbereiche oder die Übertragung auf eine getrennte juristische Person bevorzugt.
Beauskunftung/Übermittlung aus dem Pool
- Auskünfte dürfen nur bei Vorliegen eines berechtigten Interesses der anfragenden Stelle bezogen auf die Betrugsprävention erteilt werden.
- Die Übermittlung muss auf die absolut notwendigen Daten beschränkt werden (die anfragende Stelle soll nur gewarnt und damit zur Vorsicht bewegt werden).
- Die Übermittlung darf nur an einen ausgewählt kleinen Kreis bei der anfragenden Stelle erfolgen.
- Das berechtigte Interesse ist bei der anfragenden Stelle zu dokumentieren. Seitens des Pools muss eine Stichprobenkontrolle erfolgen.
- Bei Warnmeldung aus dem Pool darf kein Automatismus zur Ablehnung bestehen. Vielmehr soll die Meldung nur berechtigter Anlass zu einer tieferen Prüfung sein (so genanntes Aussteuern).