Im Rahmen der Beratungen zur Revision der EU-Richtlinie über Verbraucherkreditverträge (2008/48/EG) hat der europäische Datenschutzbeauftragte (EDSB/EDPS) seine Stellungnahme abgegeben: Opinion 11/2021 on the Proposal for a Directive on consumer credits. Darin äussert er sich vor allem zu datenschutzrechtlichen Aspekten bei der Kreditprüfung und hält u.a. folgendes fest:
Die Digitalisierung im EU Consumer Credit Sector (EU-Verbraucherkreditmarkt) ziehe gemäss EDPS einen zusätzlichen Schutzbedarf für die Persönlichkeitsrechte der betroffenen Personen (Kreditnehmer) nach sich, insbesondere in den Bereichen der Peer-to-Peer Lending Platforms, Online Sales, Short-Term High-Cost Loans und Automated Decision-Making for Credit Scoring. Der EDPS empfiehlt in diesem Zusammenhang u.a. folgende Anpassungen der vorgenannten EU-Richtlinie:
(i) Von der Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) solle gänzlich abgesehen werden.
(ii) Auf die Auswertung von Search Queries oder das Herauslesen von Online Browsing Activities der Kreditnehmer solle ebenfalls verzichtet werden.
(iii) Dem Kreditnehmer solle im Voraus mitgeteilt werden, welche externen Quellen (Datenbanken, Auskunfteien) beigezogen würden, welche Betroffenenrechte er ausüben könne und an welche Kontaktperson er sich hierfür wenden könne.
(iv) Der Grundsatz der Datenrichtigkeit bzw. - qualität spiele eine wichtige Rolle und müsse mit angemessenen technischen/organisatorischen Massnahmen (TOM) sichergestellt werden.
(v) Für Profiling oder andere automatisierte Bearbeitungen solle nicht nur eine Human Intervention vorgesehen, sondern ein offenbar weitergehendes Assessment durch den Kreditgeber durchgeführt werden.
(vi) Diejenigen Kategorien personenbezogener Daten, welche als Parameter für die Erstellung einer personal offer verwendet werden sollen, müssten begrenzt, klar umschrieben und zusammen mit der verwendeten Logik offengelegt werden.
(vii) Personenbezogene Daten, welche im Zusammenhang mit der Prüfung der Kreditwürdigkeit bearbeitet werden, sollen nicht für Werbe- und Marketingzwecke verwendet werden dürfen.
(viii) Die vorliegenden Überlegungen sollen im Rahmen des laufenden Rechtsetzungsverfahrens zum EU Artificial Intelligence Act, insbesondere bei der Zertifizierung von KI-Systemen, berücksichtigt und koordiniert werden.
(ix) Schliesslich ist der EDPS der Meinung, das EU-Datenschutzrecht übe eine komplementäre Rolle zum EU-Konsumentenschutzrecht aus; auf welche Rechtsgrundlage sich diese Aussage stützen soll, wird jedoch nicht erwähnt.
Michal Cichocki