Datenschutz beim Kreditscoring von Auskunfteien: Eine Untersuchung zum Profiling (mit hohem Risiko) und zur automatisierten Entscheidung

Von Simon Henseler

Die vorliegende Publikation befasst sich mit einem viel diskutierten und bedeutsamen Anwendungsfall des Datenschutzrechts: der Bearbeitung von Personendaten für das sogenannte Kreditscoring durch schweizerische Auskunfteien. Neben konkreten, praktisch hochrelevanten Fragestellungen, die sich bei dieser automatisierten Methode der Kreditwürdigkeitsbeurteilung stellen, untersucht die Arbeit mit den Regelungen von Profiling (mit hohem Risiko) und automatisierten Entscheidungen zwei neue Ansätze im Datenschutzrecht der Schweiz und der EU zugleich in allgemeiner Weise. Damit verbindet die Untersuchung eine (primär) praktische mit einer (überwiegend) theoretischen Perspektive und bietet eine umfassende Analyse der Möglichkeiten und Grenzen der Bearbeitung von Personendaten beim Kreditscoring.

• Sprache: Deutsch
• Herausgeber: tredition GmbH
• Erscheinungsdatum: 15. Sept. 2025
• ISBN: 9783039940219

Buchvorschau

I

Einleitung

II

Einführung in das Problemfeld

Fidelia Zahler ist Kosmetikerin und wohnt an der Baselstrasse in Luzern. Da sie mit ihrem Kosmetikstudio ein regelmässiges Einkommen erwirtschaftet und keine nennenswerten Schulden hat, denkt sie sich nichts dabei, als sie bei einem neuen Lieferanten Waren auf Rechnung bestellen möchte. Als der Lieferant ihr den Rechnungskauf in seinem Online-Shop automatisiert verweigert und ihr wegen schlechter Kreditwürdigkeit ausschliesslich die sonst unübliche Vorkasse anbietet, staunt sie nicht schlecht. Wie sich für Fidelia Zahler erst später herausstellt, hat der zuletzt von vielen Zahlungsausfällen geplagte Lieferant eine Auskunftei, eine Dienstleisterin für Kreditwürdigkeitsauskünfte, beigezogen, welche die Wahrscheinlichkeit eines Zahlungsausfalls bei Fidelia Zahler als hoch beurteilt hat. Ausschlaggebend für den niedrigen Kreditscore, eine oft zu einer Zahl verdichtete Aussage über die Kreditwürdigkeit, war, dass sie an der Baselstrasse wohnt, einem Ort, der einen hohen Anteil an Personen mit schlechter Kreditwürdigkeit aufweist.

Dieses Szenario ist von einem Beispiel inspiriert, das die Staatspolitische Kommission des Nationalrates anlässlich der Totalrevision des Datenschutzgesetzes (DSG) im Zusammenhang mit den hochpolitischen Kreditwürdigkeitsprüfungen diskutiert hat.[1] Es illustriert das Spannungsfeld, in dem sich das Kreditscoring, eine Form der automatisierten Kreditwürdigkeitsprüfung, generell bewegt: Der Datenschutz und der Schutz der Persönlichkeit, insbesondere das Interesse an Transparenz und der Verwendung geeigneter, angemessener Informationen, stehen dem Schutz der kreditgebenden Wirtschaft, namentlich dem Interesse, kreditorische Risiken einschätzen und Zahlungsausfälle verhindern zu können,[2] gegenüber.[3] Diesem Spannungsfeld nehmen sich das DSG und die Datenschutzgrundverordnung der EU (DSGVO) an, indem sie etwa Vorgaben an Profilings (mit hohem Risiko), also automatisierte Bewertungen von persönlichen Aspekten wie der Kreditwürdigkeit, und an automatisierte Entscheidungen, allenfalls jene über die Verweigerung eines Kredits (betreffend Waren), machen. Die sich daraus ergebenden, vielfach neuen datenschutzrechtlichen Fragestellungen untersucht die vorliegende Arbeit.

---

SPK-NR vom 9./10. November 2017, S. 6. ↵

Daneben sind noch weitere Interessen, etwa jenes der Öffentlichkeit an der Funktionsfähigkeit der Kreditmärkte oder jenes der kreditinteressierten Person am Schutz vor Überschuldung, tangiert (vgl. dazu unten Teil 1, B.I.2. und B.I.3.). ↵

Vgl.

Peter

et al., S. 8;

Rudin

, digma 2007, S. 52. ↵

III

Ziel und Gegenstand der Untersuchung

1

Ziel der Untersuchung

Gegenstand der Untersuchung bilden die Rahmenbedingungen des schweizerischen und des europäischen Datenschutzrechts für das Kreditscoring durch Auskunfteien[1] in der Schweiz. Dabei liegt der Fokus auf einer bestimmten Phase im Verlauf des Kreditscorings,[2] nämlich der Berechnung des Kreditscores, die regelmässig als Profiling qualifiziert und – je nach Ansicht – unter Umständen eine automatisierte Entscheidung darstellt.

Ziel der Untersuchung ist es, die Vorgaben und Einschränkungen der einschlägigen Datenschutzerlasse für die Berechnung des Kreditscores und insbesondere die (zumindest für das schweizerische Recht) neuen Begriffe des Profilings und der automatisierten Entscheidung besser fassen zu können und einer dogmatisch möglichst fundierten und rechtssichereren Praxis zuzuführen. Gleichzeitig soll im Rahmen der gegenüberstellenden Darstellung von schweizerischem und europäischem Recht ein Beitrag zum vergleichenden Datenschutzrecht und dem besseren Verständnis des Einflusses des europäischen auf das schweizerische Recht geleistet werden.

---

Vgl. dazu unten Teil 1, C.II.1.↵

Vgl. dazu unten Teil 1, D.I.↵

2

Eingrenzung und Abgrenzungen des Gegenstands

Die vorliegende Untersuchung betrachtet das Kreditscoring,[1] also das Scoring zur Prüfung und Beurteilung der Kreditwürdigkeit. Scoringsysteme, die andere Zwecke wie beispielsweise die Betrugsbekämpfung, das Assessment von Bewerbenden oder die Personalisierung von Marketing verfolgen,[2] werden nicht thematisiert. Ferner richtet sich die Betrachtung auf die Praxis der schweizerischen Auskunfteien aus. Interne Kreditscorings, die etwa Banken oder Online-Shops für ihre eigene Verwendung betreiben,[3] werden nicht explizit behandelt, obschon sich viele Überlegungen dieser Untersuchung darauf übertragen lassen.

Die Untersuchung beschränkt sich auf das Datenschutzrecht, weshalb Vorgaben anderer Rechtsgebiete, namentlich des Konsumentenschutz-[4] und Lauterkeitsrechts,[5] nur am Rande thematisiert werden. Im Zentrum stehen das totalrevidierte DSG,[6] das am 1. September 2023 gemeinsam mit der dazugehörigen DSV in Kraft getreten ist (vgl. Art. 74 DSG), und die seit dem 25. Mai 2018 geltende DSGVO (Art. 99 DSGVO). Der Fokus liegt dabei auf den Vorgaben an ein Profiling und dem spezifischen Pflichtenprogramm bei einer automatisierten Entscheidung. Entsprechend werden die (allgemeinen) Betroffenenrechte, z.B. auf Auskunft oder Berichtigung,[7] höchstens beiläufig und die «Governance-Pflichten»,[8] also etwa jene zur Erstellung eines Bearbeitungsverzeichnisses, einer Datenschutz-Folgenabschätzung oder eines Bearbeitungsreglements,[9] gar nicht besprochen.

Beschränkung auf Kreditscoring natürlicher Personen

Auskunfteien spezialisieren ihre Angebote, bieten aber in aller Regel sowohl Kreditwürdigkeitsprüfungen von natürlichen als auch von juristischen Personen an.[10] Die vorliegende Untersuchung beschränkt sich auf die Kreditwürdigkeitsprüfung von natürlichen Personen. Grund dafür ist zunächst, dass das Datenschutzrecht die Daten juristischer Personen nicht (mehr) erfasst.[11] Viele der Daten, welche die Auskunfteien zur Beurteilung der Kreditwürdigkeit von juristischen Personen verwenden,[12] fallen (nunmehr) aus dem Anwendungsbereich der hier interessierenden Datenschutzerlasse.[13]

Freilich bearbeiten Auskunfteien für Kreditwürdigkeitsbeurteilungen von juristischen Personen auch Daten von natürlichen Personen, etwa der Geschäftsleitung der betreffenden juristischen Personen, um daraus Rückschlüsse auf die Bonität zu ziehen.[14] Bearbeitungen dieser Daten unterstehen dem Datenschutzrecht. Allerdings stellen sich bei juristischen Personen in Kernpunkten der vorliegenden Untersuchung andere Fragen. So fällt etwa das besonders geregelte überwiegende Interesse für Kreditwürdigkeitsprüfungen (Art. 31 Abs. 2 lit. c DSG) bei der Beurteilung der Bonität von juristischen Personen grundsätzlich ausser Betracht, nachdem die Bestimmung eine Kreditwürdigkeitsprüfung einer betroffenen Person,[15] mithin einer natürlichen Person, verlangt.[16] Die Frage eines Profilings (mit hohem Risiko) stellt sich bei juristischen Personen nicht, weil ein Profiling begriffsnotwendig die Bewertung persönlicher Aspekte einer natürlichen Person verlangt (Art. 5 lit. f DSG; Art. 4 Ziff. 4 DSGVO), und eine automatisierte Entscheidung muss sich (zumindest auch) auf eine betroffene, also natürliche Person auswirken (vgl. Art. 21 Abs. 1 DSG; Art. 22 Abs. 1 DSGVO).[17]

Hinzu kommt, dass sich auch in der Praxis die (allfälligen) datenschutzrechtlichen Auseinandersetzungen auf Kreditwürdigkeitsprüfungen von natürlichen Personen zu konzentrieren scheinen. Gemäss einer neueren, aber unter der Geltung des aDSG erfolgten Erhebung stammen die 100–160 Meldungen, die der EDÖB pro Jahr in Bezug auf die Praktiken der schweizerischen Auskunfteien erhält, allesamt von natürlichen Personen.[18] Auch der Schweizerische Gewerbeverband hielt für diese Erhebung fest, keine Beschwerden von juristischen Personen oder Personengesellschaften zu erhalten.[19]

Ausklammerung der KIVO der EU

Nach mehrjährigen Vorarbeiten hat die EU im Mai 2024 – nahezu zeitgleich mit der Verabschiedung der KI-Konv. durch den Europarat[20] – eine Verordnung «zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz» erlassen. Die KIVO verfolgt einen risikobasierten Ansatz, indem sie mehrere Kategorien von KI-Systemen[21] definiert und unterschiedlich einschränkt.[22] Neben dem Verbot ausgewählter Praktiken[23] sieht die Verordnung insbesondere technische und organisatorische Anforderungen sowie eine ex ante-Konformitätsbewertung für sog. Hochrisiko-Systeme vor.[24] Zu dieser Kategorie gehören etwa KI-Systeme, die bestimmungsgemäss für die Kreditwürdigkeitsprüfung und Kreditpunktebewertung natürlicher Personen verwendet werden sollen, mit Ausnahme von KI-Systemen, die zur Aufdeckung von Finanzbetrug verwendet werden.[25] Aufgrund des vorgeschlagenen extraterritorialen Anwendungsbereichs wird die Verordnung in bestimmten Konstellationen wohl auch für die schweizerischen Auskunfteien relevant sein.[26]

In der Schweiz kam im Dezember 2019 eine interdepartementale Arbeitsgruppe des Bundes in ihrem Bericht zu den Herausforderungen von Künstlicher Intelligenz zum Schluss, dass hierzulande zum aktuellen Zeitpunkt kein regulatorischer Handlungsbedarf in diesem Bereich bestehe.[27] Der Bericht veranlasste den Bundesrat in regulatorischer Hinsicht einzig dazu, Leitlinien für den Umgang mit Künstlicher Intelligenz in der Bundesverwaltung erarbeiten zu lassen.[28] Für Private bestehen derzeit weder besondere Vorgaben für den Einsatz von Techniken aus dem Bereich der Künstlichen Intelligenz noch liegt ein entsprechendes Gesetzgebungsprojekt vor.[29] An seiner Sitzung vom 22. November 2023 hat der Bundesrat allerdings vor dem Hintergrund der geschilderten europäischen Entwicklungen entschieden, beim UVEK eine Auslegeordnung zu den möglichen Regulierungsansätzen von Künstlicher Intelligenz in Auftrag zu geben, die bis Ende 2024 hätte vorliegen sollen.[30] Die schweizerische Lehre lehnt eine umfassende, horizontale Regelung in der Form eines Gesetzes nach Vorbild der KIVO (bisher) ab, anerkennt aber einen Handlungsbedarf im schweizerischen Recht und schlägt dafür punktuelle Anpassungen primär in bestehenden Gesetzen vor.[31]

Obwohl die KIVO der EU nach dem Gesagten auch gewisse Formen des Kreditscorings (der schweizerischen Auskunfteien) normiert, wird sie im Folgenden ausgeklammert, zumal es sich vorliegend um eine datenschutzrechtliche Untersuchung handelt. Aktuell ist zudem noch unklar, ob, wann und wie die Schweiz KI-Systeme bzw. deren Herausforderungen spezifisch adressieren wird, und es erscheint unwahrscheinlich, dass der Gesetzgeber in absehbarer Zeit ein mit der KIVO vergleichbares Gesetz erlassen wird. Dementsprechend wäre auch eine Gegenüberstellung des schweizerischen und des europäischen Rechts, wie sie im Folgenden vorgenommen wird, (noch) nicht sinnvoll möglich.

Ausklammerung der RL (EU) 2023/2225

Mit der im Herbst 2023 verabschiedeten (neuen) RL (EU) 2023/2225 betreffend Verbraucherkredite hat die EU (auch) die Vorgaben an die Kreditwürdigkeitsprüfung im Vorfeld bestimmter Kreditverträge im Konsumbereich weiter konkretisiert.[32] Hervorzuheben ist für den vorliegenden Kontext Art. 18 RL (EU) 2023/2225. Dessen Abs. 3 schränkt die Informationen, die der Kreditwürdigkeitsprüfung zugrunde gelegt werden dürfen, ein und hält explizit fest, dass dafür weder besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO[33] wie etwa Gesundheitsdaten noch soziale Netzwerke als externe Quellen verwendet werden dürfen.[34] Dessen Abs. 8 sieht zudem vor, dass der Verbraucher bei einer Kreditwürdigkeitsprüfung, die eine automatisierte Verarbeitung personenbezogener Daten beinhaltet, neu über das Recht verfügt, das Eingreifen einer Person aufseiten der Kreditgeberin zu verlangen.[35]

Diese Vorgaben haben zweifellos eine datenschutzrechtliche Dimension,[36] sind aber nicht Teil des unmittelbar anwendbaren europäischen Datenschutzrechts und ausschliesslich im Zusammenhang mit bestimmten Kreditverträgen zu berücksichtigen. Hinzu kommt, dass im schweizerischen Recht kein Äquivalent zu den angesprochenen Vorgaben der RL (EU) 2023/2225 besteht und derzeit (noch) unklar ist, ob ein Nachvollzug erfolgen wird. Zwar hatte dem geltenden Konsumkreditgesetz (KKG) bei dessen Erlass die erste Verbraucherkreditrichtlinie der EU als Vorbild gedient, die Schweiz vollzog aber bereits die 2008 durchgeführte Revision der Richtlinie nicht nach.[37] Aus diesen Gründen verzichtet die vorliegende Untersuchung auf eine nähere Betrachtung dieser Vorgaben.

---

Vgl. dazu unten Teil 1, A. ↵

Vgl.

Keats Citron/Pasquale

, S. 2, betr. das Assessment von Bewerbenden;

Peter

et al., S. 30, betr. Betrugsbekämpfung;

Weichert,

ZRP 2014, S. 168, betr. personalisierte Marketing-Massnahmen. ↵

Vgl. Schweizerische Bankiervereinigung, S. 17 ff., betr. Banken; EDÖB, Digitec Galaxus, Rn. 58, betr. einen Online-Shop; ferner dazu auch unten Teil 1, C.II.3.4. ↵

Zum europäischen Recht vgl.

Overbeck

, S. 207 ff. ↵

Vgl.

Peter

et al., S. 46 f.; Bericht Wirtschaftsauskunfteien, S. 21 f. ↵

Trotz der Bezeichnung «Totalrevision» blieb das DSG im Wesentlichen konzeptionell unverändert, weshalb die Rechtsprechung zum aDSG (regelmässig) auch für das DSG relevant bleibt (

Bühlmann/Schüepp

, Jusletter 2021, Rn. 1; vgl. auch

Weber/Henseler

, SZW 2020, S. 604).↵

Vgl. Art. 25 ff. und Art. 32 DSG; Art. 15 f. DSGVO. ↵

Die «Governance-Pflichten» werden zuweilen auch als «flankierende Massnahmen» bezeichnet (zum DSG vgl.

Rosenthal

, Jusletter 2020, Rn. 142 ff.;

Vasella

, TREX 2021, S. 273). ↵

Vgl. Art. 12 und 22 f. DSG sowie Art. 5 DSV; Art. 30 und 35 f. DSGVO. ↵

Unter den schweizerischen Auskunfteien beschränkt sich die Intrum AG auf Auskünfte über natürliche Personen, während sich die Dun & Bradstreet Schweiz AG (vormals Bisnode D&B Schweiz AG) auf solche über juristische Personen fokussiert (

Peter

et al., S. 15). ↵

Art. 2 Abs. 1 DSG (anders noch Art. 2 Abs. 1 aDSG); Art. 2 Abs. 1 i.V.m. Art. 4 Ziff. 1 DSGVO. ↵

Z.B. vorrechtliche und rechtliche Inkassodaten, Betreibungsauskünfte und Konkursmeldungen von juristischen Personen (vgl. EDÖB, Teledata, S. 22). ↵

Vgl. dazu unten Teil 2, A.I. ↵

Z.B. berücksichtigen Auskunfteien die Bonität der Unternehmensvertreter bei Auskünften über juristische Personen und bearbeiten dafür etwa deren Namen, Jahrgang, Anzahl aktiver Firmenmandate, Mandate in konkursiten Firmen etc. (vgl. EDÖB, Teledata, S. 23). ↵

Vgl. dazu unten Teil 3, D.IV.1.2.c. ↵

Die betroffene Person ist die natürliche Person, über die Personendaten bearbeitet werden (Art. 5 lit. b DSG; vgl. Art. 4 Ziff. 1 DSGVO); vgl. dazu auch unten Teil 2, B.I. ↵

Vgl. dazu unten Teil 4, D.III.1. ↵

Peter

et al., S. 38 und 40; vgl. auch Bericht Wirtschaftsauskunfteien, S. 9. ↵

Peter

et al., S. 37; vgl. auch Bericht Wirtschaftsauskunfteien, S. 9. ↵

Das Rahmenübereinkommen des Europarates legt Standards hinsichtlich Menschenrechte, Demokratie und Rechtstaatlichkeit beim Einsatz von KI-Systemen fest (vgl. Art. 1 KI-Konv.). Es verpflichtet die Unterzeichnerstaaten die vorgesehenen Prinzipien und Pflichten in innerstaatliches Recht zu überführen. Dabei genügen hinsichtlich Risiken und Auswirkungen, die sich aus den hier besonders interessierenden Tätigkeiten privater Akteure ergeben, angemessene, mit Ziel und Zweck der KI-Konv. vereinbare Massnahmen (Art. 3 Ziff. 1 lit. b KI-Konv.). Die Schweiz hat das Rahmenübereinkommen derzeit noch nicht unterzeichnet. ↵

Der weit gefasste Begriff ist in Art. 3 Abs. 1 KIVO wie folgt definiert: «ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, das nach seiner Einführung anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können.» ↵

Statt vieler

Becker/Feuerstack

, S. 62 f.;

Ebers

, S. 1 f.;

Voigt/Hullen

, S. 3. ↵

So verbietet die KIVO beispielsweise das Inverkehrbringen oder die Verwendung von bestimmten KI-Systemen, die Risikobewertungen über natürliche Personen hinsichtlich der Wahrscheinlichkeit ihrer Straffälligkeit vornehmen oder die Emotionen einer natürlichen Person am Arbeitsplatz oder in Bildungseinrichtungen ableiten (Art. 5 Abs. 1 lit. d und f KIVO).↵

Die KIVO enthält etwa Anforderungen an die Datenqualität, die technische Dokumentation und die Transparenz (vgl. Art. 8 ff. KIVO). Ausserdem setzt das Inverkehrbringen oder Inbetriebnehmen eine Konformitätsbewertung hinsichtlich der Anforderungen der Verordnung voraus (vgl. Art. 43 ff. KIVO). ↵

Die Einstufung von KI-Systemen als Hochrisiko-Systeme ist in Art. 6 f. KIVO geregelt. Gemäss Art. 6 Abs. 2 i.V.m. Ziff. 5 lit. b Anhang III KIVO gelten die erwähnten KI-Systeme als Hochrisiko-Systeme. ↵

Die Verordnung gilt etwa auch für Anbieter und Betreiber von KI-Systemen, die ihren Sitz in einem Drittland wie der Schweiz haben, wenn das vom System hervorgebrachte Ergebnis in der EU verwendet wird (Art. 2 Abs. 1 lit. c KIVO). Es erscheint denkbar, dass es für eine Verwendung in der EU bereits ausreicht, dass das Ergebnis eine Wirkung auf eine Person in der EU hat (vgl.

Rosenthal

, Jusletter 2024, Rn. 32). ↵

Bericht Arbeitsgruppe KI, S. 10 ff. ↵

Vgl. Leitlinien «Künstliche Intelligenz» Bundesverwaltung. ↵

Als einzige Ausnahme lassen sich (vorgeschlagene) Bestimmungen über den Einsatz von Künstlicher Intelligenz in der automatisierten Mobilität nennen (vgl. eingehend

Lohmann

, S. 620 ff.). ↵

Medienmitteilung vom 22. November 2023, Bundesrat prüft Regulierungsansätze für Künstliche Intelligenz, abrufbar unter <https://www.admin.ch/gov/de/start/doku​men​ta​tion/medienmitteilungen.msg-id-98791.html>, zuletzt besucht am 30. September 2024. ↵

Braun Binder

et al., Jusletter 2021, Rn. 56 ff.;

Morand

, Rn. 48;

Rosenthal

, Jusletter IT 2022, Rn. 38;

Thouvenin

et al., Künstliche Intelligenz, S. 2 f.;

Weber

, EuZ 2022, S. B 6 ff.; vgl. auch

Müller A

., S. A 22 f.;

Stengel

et al., S. 399, insb. in Bezug auf die Fintech-Branche;

Wildhaber

, S. 35 ff., insb. S. 62, in Bezug auf das ausservertragliche Haftpflichtrecht. ↵

Die Mitgliedstaaten müssen zur Umsetzung der Richtlinie bis am 20. November 2025 Vorschriften erlassen und veröffentlichen sowie ab dem 20. November 2026 anwenden (Art. 48 Abs. 1 RL [EU] 2023/2225). Mit Wirkung ab letzterem Datum wird auch die Vorgängerrichtlinie aufgehoben (Art. 47 RL [EU] 2023/2225). ↵

Vgl. dazu unten Teil 2, A.I.1.2.↵

Daran dürften sich die schweizerischen Auskunfteien ohnehin halten, nachdem sie sich darauf in ihren Verhaltensregeln selbst verpflichtet haben (IG Wirtschaftsauskunfteien Verhaltensregeln, Ziff. 8); vgl. dazu auch unten Teil 1, E.I.2.4 und E.II.3. ↵

Die Richtlinie sieht insb. die Rechte vor, «a) von de[r] Kreditgeber[in] klare und verständliche Erläuterungen zu der Kreditwürdigkeitsprüfung zu verlangen und zu erhalten, einschließlich der Logik und der Risiken der automatisierten Verarbeitung personenbezogener Daten sowie ihrer Bedeutung für die Entscheidung und ihrer Auswirkungen auf sie; b) gegenüber de[r] Kreditgeber[in] den eigenen Standpunkt […] darzulegen und c) eine Überprüfung der Kreditwürdigkeitsprüfung und der Entscheidung über die Kreditgewährung durch d[ie] Kreditgeber[in] zu verlangen» (Art. 18 Abs. 8 RL [EU] 2023/2225). ↵

Vgl. eingehend EDSB, passim. ↵

Kuhn

, Kreditsicherungsrecht, Rn. 227; vgl. auch

Barnikol

, S. 40 und 46 f. ↵

3

Relevanz des Gegenstands

Wirtschaftliche Relevanz

Die schweizerische Wirtschaft erleidet jährlich Verluste aus unbezahlten Forderungen in Milliardenhöhe. Allein die Verluste aus erledigten Konkursverfahren betrugen gemäss Bundesamt für Statistik im Jahr 2023 über CHF 2 Mia.[1] Dabei errechnet sich diese Summe anhand der in sämtlichen schweizerischen Konkursen angemeldeten Forderungen; nicht berücksichtigt sind damit die Verluste aus eingestellten Konkursverfahren, Pfändungen und Nachlassverträgen sowie nicht weiterverfolgten Zahlungsbefehlen.[2] Die Schweizerischer Verband Creditreform Gen, die ein Inkasso- und Auskunfteigeschäft betreibt, schätzt den effektiven wirtschaftlichen Schaden auf über CHF 11 Mia.[3] Diese Verluste – auch wenn sie sich auf natürliche und vor allem auf (vorliegend ausgeklammerte[4]) juristische Personen als Schuldnerinnen verteilen – vermögen das grosse Bedürfnis von Kreditgeberinnen zu veranschaulichen, vor dem Eingehen kreditorischer Risiken die Kreditwürdigkeit ihres Gegenübers zu überprüfen.[5]

Da den Kreditgeberinnen vielfach die für eine Kreditwürdigkeitsprüfung erforderlichen Informationen fehlen, beanspruchen sie gerne das Angebot von Auskunfteien,[6] und zwar nicht nur bei der Vergabe eines Darlehens oder des in der Praxis wichtigen[7] Kaufs auf Rechnung.[8] Vielmehr bieten Auskunfteien etwa auch Auskünfte und Kreditscores zur Einschätzung von (potenziellen) Mietparteien von Immobilien an,[9] und zumindest zwischenzeitlich plante eine Auskunftei ein Angebot betreffend Bewerbende.[10] Dabei gehören die Kundinnen der Auskunfteien den unterschiedlichsten Branchen an, wie Finanzdienstleistungen, Online-Handel, Telekommunikation, Logistik, Gastronomie, Gesundheit und Bau. Auch die öffentliche Hand sowie staatliche und staatsnahe Akteure, namentlich die Zollverwaltung oder die Schweizerische Post AG, zählen zu den Kundinnen.[11]

Insgesamt führt dies zu einer hohen Nachfrage nach Auskünften und einem beeindruckenden Jahresumsatz bei den grossen vier schweizerischen Auskunfteien, was ebenfalls die wirtschaftliche Bedeutung dieses Dienstleistungszweigs unterstreicht. Die vier grossen schweizerischen Auskunfteien allein erteilen pro Jahr über 70 Mio. Auskünfte und generieren einen Jahresumsatz[12] von rund CHF 100 Mio.[13] Nicht zuletzt aufgrund der Zunahme des Online-Handels[14] und des elektronischen Zahlungsverkehrs ist der Markt der Bonitätsauskünfte in den letzten beiden Jahrzehnten stark gewachsen und dürfte sich dieses Wachstum – wenn auch nicht gleich wie während der COVID-19-Pandemie – fortsetzen;[15] die vier grossen Auskunfteien gingen jedenfalls im Jahr 2018 von einem jährlichen Umsatzwachstum von drei bis fünf Prozent aus.[16]

Politische Relevanz

Die Relevanz des Themas zeigt sich auch in der politischen Diskussion in der Schweiz.[17] Bereits das aDSG kannte mit Art. 13 Abs. 2 lit. c eine Bestimmung, welche die Geschäftspraxis von Auskunfteien ermöglichen sollte,[18] und schon deren Erlass sorgte für einigen Gesprächsstoff: Strittig war zunächst, weshalb überhaupt ein besonders geregeltes überwiegendes Interesse erforderlich sei, wenn doch für Kreditwürdigkeitsprüfungen eine Einwilligung eingeholt werden könne.[19] Nach dem Grundsatzentscheid zugunsten eines überwiegenden Interesses gab es weitere Streitpunkte, insbesondere ob – wie vom Bundesrat vorgeschlagen – das besonders geregelte überwiegende Interesse auf Kreditwürdigkeitsbeurteilungen von kaufmännischen Unternehmen, also im Handelsregister eingetragenen Personen, zu beschränken ist[20] oder in welchem Umfang es Datenbekanntgaben an Dritte zu rechtfertigen vermag.[21]

Auch seither war die Tätigkeit von Auskunfteien im Bundesparlament immer wieder ein Thema; insbesondere Fragen zur Erkennbarkeit für die betroffene Person, zur Datenrichtigkeit und zum Löschungsrecht standen dabei im Fokus.[22] Die ständerätliche Motion Savary beabsichtigte 2012 sogar, die Bearbeitung von Bonitätsdaten explizit zu verbieten und auf das Betreibungsregister und die Datenbank der Informationsstelle für Konsumkredit (IKO)[23] zu beschränken.[24] Doch der Bundesrat erachtete ein solches vollständiges Verbot als zu weitgehend und stellte die Prüfung des gesetzgeberischen Handlungsbedarfs im Rahmen der Totalrevision des DSG in Aussicht.[25] Der Ständerat lehnte die Motion in der Folge ab.[26]

Im Rahmen der Totalrevision des DSG übernahm der Gesetzgeber mit Art. 31 Abs. 2 lit. c DSG den altrechtlichen Rechtfertigungsgrund für Auskunfteien in den wesentlichen Zügen ins neue Recht und anerkannte damit abermals die Notwendigkeit von Auskunfteien für das Wirtschaftsleben.[27] Jedoch war die Bestimmung im Einzelnen in verschiedener Hinsicht, gerade unter dem Aspekt des Profilings mit hohem Risiko,[28] bis zuletzt umstritten.[29] In der nationalrätlichen Kommission wurde sogar der Antrag gestellt, dass (wie bereits von der Motion Savary angeregt) Datenbearbeitungen für Kreditwürdigkeitsprüfungen ausdrücklich zu untersagen seien, unter Vorbehalt von Informationen aus Registern mit einer rechtlichen Grundlage wie der Datenbank der IKO und dem Betreibungsregister.[30] Die Kommission verwarf den Antrag, der die Tätigkeit von Auskunfteien verunmöglicht hätte, in der Folge deutlich.[31] Ebenso wenig konnten sich ausdrücklich Kreditwürdigkeitsprüfungen adressierende (zusätzliche) Transparenzvorgaben durchsetzen, die der Ständerat zwischenzeitlich noch befürwortet hatte.[32]

Kurz nach Abschluss der Totalrevision hatte der Bundesrat zur Beantwortung des Postulats Schwaab aus dem Jahr 2016 (erneut) zu untersuchen,[33] ob – auch unter Berücksichtigung des neuen DSG – eine stärkere Regulierung der Praktiken von Wirtschaftsauskunfteien erforderlich ist.[34] Namentlich war der Bundesrat aufgefordert zu prüfen, ob nicht «klare Grenzen» für die Informationsbeschaffung über Privatpersonen und Unternehmen einzuführen seien und welche rechtliche Konsequenzen die Nutzung von unvollständigen oder fehlerhaften Informationen über die Zahlungsfähigkeit habe. Dafür holte der Bundesrat eine externe Studie ein, die den Markt und das Geschäftsmodell der schweizerischen Auskunfteien analysierte sowie eine Beurteilung des Regulierungsbedarfs vornahm.[35]

In seinem stark auf die externe Studie abgestützten Bericht anerkannte der Bundesrat zunächst das erhebliche Interesse der am Wirtschaftsleben beteiligten Personen an der Durchführung von Kreditwürdigkeitsprüfungen.[36] Er stellte sodann fest, dass ein genügender Rechtsrahmen vorliege und die datenschutzrechtlichen Vorgaben sowie der Schutz betroffener Personen mit dem neuen DSG noch weiter verschärft würden; ein Bedarf an neuen (staatlichen) Regelungen bestehe nicht.[37] Der Bundesrat regte lediglich zusätzliche Massnahmen auf freiwilliger und selbstregulierender Basis zur Stärkung der Transparenz an, insbesondere Ergänzungen der (damaligen) Verhaltensregeln (vgl. Art. 11 DSG),[38] welche sich die schweizerischen Auskunfteien selbst auferlegt haben.[39]

Zuletzt forderte Ende 2023 Nationalrat Roduit in einer Motion die Schaffung einer beim EDÖB angegliederten Einrichtung, die Beschwerden von Konsumentinnen gegen Datenbearbeitungen durch private Inkassounternehmen und Kreditauskunfteien entgegennehmen und in diesem Bereich Sensibilisierungs- und Informationsarbeit leisten würde.[40] Nach Ansicht des Bundesrates sind die Ziele der Motion mit dem neuen DSG bereits weitgehend erfüllt und würde die angeregte Einrichtung keinen Mehrwert bringen, weshalb er die Motion zur Ablehnung empfahl.[41]

Rechtspraktische Relevanz

Die Tätigkeit der schweizerischen Auskunfteien und das Kreditscoring beschäftigen neben der Politik auch die Rechtspraxis,[42] oftmals ausgelöst durch Meldungen von betroffenen Personen. Pro Jahr gehen bei den Konsumentenschutzorganisationen Stiftung für Konsumentenschutz und Fédération romande des consommateurs zusammen rund 30 Meldungen ein.[43] Beim EDÖB sind es jährlich zwischen 100 und 160 Meldungen.[44] Sowohl bei den Konsumentenschutzorganisationen als auch beim EDÖB blieb die Anzahl der Meldungen über die letzten Jahre mehr oder weniger konstant.[45] Gewinnt das Thema zwischenzeitlich an Aktualität und medialer Aufmerksamkeit, so nehmen die Meldungen zahlenmässig zu.[46] Angesichts der Menge der erteilten Auskünfte in demselben Zeitraum handelt es sich bei dieser Anzahl freilich um verhältnismässig wenige Meldungen.[47]

Inhaltlich monieren die Meldungen insbesondere die Intransparenz der Datenbearbeitung oder Defizite bei der Datenrichtigkeit.[48] Den betroffenen Personen sei häufig unbekannt, dass Wirtschaftsauskunfteien existieren und Daten über sie gesammelt würden.[49] Ein Transparenzdefizit bestehe auch hinsichtlich der Erstellung der Kreditwürdigkeitsbeurteilung und der Datenweitergabe.[50] Bei der Datenrichtigkeit gilt als grösste Fehlerquelle die Falschidentifikation der betroffenen Personen.[51] Diese kann zu falschen oder unvollständigen Auskünften und in der Folge etwa dazu führen, dass eine betroffene Person zu Unrecht keinen Kredit erhält oder einen Vertrag nur mit Vorauszahlung schliessen kann.[52] Als weiteren Problemkreis bezeichnete der EDÖB bereits 2012, dass er seit längerem die Tendenz beobachte, dass Kredit- und Wirtschaftsauskunfteien immer mehr Daten über Personen bearbeiten würden.[53] 2018 sah er (noch immer) eine Gefahr, dass die Auskunfteien auch Daten sammeln würden, die zur Beurteilung der Kreditwürdigkeit nicht notwendig seien.[54]

Mit diesen und weiteren Problemkreisen befasste sich der EDÖB in den besonders erwähnenswerten Verfahren im Zusammenhang mit dem sog. Mietercheck[55] der Firma X (2008), der Datensammlung Teledata der damaligen Orell Füssli Wirtschaftsinformationen AG (2011) und den Datenbeständen der Zentralstelle für Kreditinformation (ZEK)[56] (2018).[57] Zuletzt leitete der EDÖB im Februar 2020 eine Sachverhaltsabklärung betreffend ein Unternehmen ein, das neben Bonitäts- und Kreditauskünften auch Inkassodienstleistungen anbietet. Grund dafür war, dass es angeblich aufgrund fehlerhafter Datenbankeinträgen zu Verwechslungen von Personen mit gleichen oder ähnlichen Namen bzw. Adressen gekommen sei.[58] Später erweiterte der EDÖB die Sachverhaltsabklärung um die Zulässigkeit der «negativen Haushaltstreffer»,[59] welche diese Auskunftei anbot.[60] Mit Schlussbericht und Empfehlung vom 17. März 2023 schloss der EDÖB die Sachverhaltsabklärung ab und verzichtete auf Empfehlungen hinsichtlich der Verwechslungen und fehlerhaften Datenbankeinträgen. Er empfahl aber die Einstellung der negativen Haushaltstreffer, woraufhin die Auskunftei diese Praxis beendete.[61]

Zu einem Verfahren vor Bundesverwaltungsgericht kam es betreffend das Angebot von Moneyhouse,[62] das eine umfassende Personen- und Firmensuche erlaubte und bei natürlichen Personen Zugriff auf systematisch verknüpfte Informationen zu deren privaten Wohn- und Lebenssituation gewährte.[63] Nachdem die Betreiberin von Moneyhouse die betreffende Empfehlung des EDÖB abgelehnt hatte,[64] erhob dieser Klage[65] vor dem Bundesverwaltungsgericht. In einem vielbeachteten[66] Entscheid konstatierte das Bundesverwaltungsgericht widerrechtliche Persönlichkeitsverletzungen seitens der Betreiberin von Moneyhouse und verpflichtete sie (unter Vorbehalt einer Einwilligung der betroffenen Personen), verschiedene Daten zu löschen sowie geeignete Massnahmen zur Datenrichtigkeit und Datensicherheit zu treffen.[67] Wie sich im Rahmen dieser Untersuchung zeigen wird, handelt es sich dabei aus datenschutzrechtlicher Sicht um den noch heute zentralen Leitentscheid für die Praxis der schweizerischen