#1 21. Dezember 2007 Der Bundesdatenschutzbeauftragte Peter Schaar hat bei einer Prüfung von 26 Telekommunikationsunternehmen schwere Verstöße gegen Datenschutzbestimmungen festgestellt. Wichtige Vorgaben des Bundesdatenschutzgesetzes (BDSG) beim Umgang mit Kunden bei der Vertragsanbahnung würden nur unzureichend eingehalten. Viele der untersuchten Firmen lehnen laut Schaar etwa Anträge automatisiert allein auf Basis von Scorewerten zur Kreditprüfung ab, speichern die Daten teils über Jahre hinweg und damit viel zu lange und missachten die gesetzlichen Auskunftsansprüche der Betroffenen. "Ich hätte nicht erwartet, dass wichtige Telekommunikationsunternehmen die Datenschutzrechte ihrer Kunden bei der Vertragsanbahnung in diesem Maße verletzen", zeigte sich der Hüter der Privatsphäre überrascht von den Ergebnissen. Die betroffenen Firmen seien aufgefordert worden, die Mängel "unverzüglich abzustellen". Schaar will dabei zunächst "auf die Einsichtsfähigkeit der Verantwortlichen" setzen. Sollte die beanstandete Praxis nicht geändert werden, müssten gegebenenfalls aufsichtsrechtliche Maßnahmen eingeleitet werden, um die Wahrung des Datenschutzes von Telefonkunden durchzusetzen. Konkret nutzen laut der Analyse alle beleuchteten Telcos die Dienste von Auskunfteien. Erst nach dem Einholen von Informationen über die Kreditwürdigkeit von Antragstellern werden Verträge abgeschlossen. In vielen Fällen handelt es sich dabei gemäß Schaar um so genannte Score-Werte, die über das individuelle Risiko Auskunft geben sollen. Dies gelte auch dann, wenn der Betroffene sich bisher stets vertragstreu verhalten habe. Ferner würden die Betroffenen in vielen Fällen über die Datenabfrage nur unzureichend informiert. Oft werde die Entscheidung über einen Vertragsabschluss dabei allein von der Höhe eines Scorewertes abhängig gemacht, moniert der Datenschützer. Eine solche Praxis verstoße gegen Paragraph 6a Datenschutzgesetz. Dieser verbiete es ausdrücklich, Entscheidungen mit rechtlichen Folgen oder anderen erheblichen Beeinträchtigungen für einen Betroffenen ausschließlich auf eine automatisierte Verarbeitung personenbezogener Daten zu stützen, die der Bewertung einzelner Persönlichkeitsmerkmale dienen. Genauso mangelhaft ist es laut Schaar, dass den Zurückgewiesenen häufig keine Möglichkeit gegeben wird, ihre berechtigten Interessen gegenüber dem Unternehmen im Rahmen einer neuen Prüfung der Entscheidung geltend zu machen. Gegen Paragraph 34 BDSG verstoße die Linie vieler TK-Anbieter, den abgelehnten Vertragspartnern nur wenig aussagekräftige Standardablehnungen zu schicken oder sie pauschal an Dritte für weitere Erklärungen für die vermeintlich schlechte Kreditwürdigkeit zu verweisen. Vielmehr müssten die Unternehmen den Betroffenen umfassend über die Daten Auskunft erteilen, die zu ihrer Person gespeichert sind. Schaar sieht seit längerem generell dringenden gesetzlichen Handlungsbedarf bei der automatischen Bonitätsprüfung von Verbrauchern mit Hilfe von Scoring-Verfahren, da diese oft heimlich erfolge und zur Diskriminierung beitragen könne. Insbesondere seien klare rechtliche Rahmenbedingungen für das Scoring erforderlich, um die Transparenz gegenüber den Verbrauchern zu gewährleisten. Der Mensch dürfe nicht auf einen Score-Wert reduziert und einer modernen Form der Wahrsagerei ausgeliefert werden. Das Bundesinnenministerium hat im September einen Gesetzentwurf für mehr Datenschutz und Durchsichtigkeit bei Auskunfteien angekündigt, mit dem sich das Bundeskabinett aber noch nicht befasst hat. Unter Scoring versteht man mathematisch-statistische Verfahren zur Einschätzung der Kreditwürdigkeit von Verbrauchern. Kreditinstitute und viele andere Firmen ziehen vor Erteilung eines Darlehens oder Vertragsabschlüssen Score-Werte heran, um einschätzen zu können, wie hoch das Risiko eines Ausfalls von Rückzahlungen ist. Die Methodik stützt sich auf Erfahrungswerte vergleichbarer Kreditnehmer sowie teilweise auf andere Informationen wie etwa soziodemographische Daten des Wohnumfeldes. (Stefan Krempl) / (anw/c't) Quelle: Schaar: Telekommunikationsunternehmen missachten Datenschutzbestimmungen | heise online + Multi-Zitat Zitieren