Das Kabinett hat am 30. Juli 2008 den Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes (BDSG) beschlossen. Dem Regierungsentwurf waren drei Referentenentwürfe des Bundesministeriums des Innern (BMI) vorausgegangen, zu denen die Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) jeweils Stellung genommen hat (vgl. GDD-Mitteilungen 5/07, S. 2; 1/08, S. 1 sowie 3-4/08, S. 3).
Zuletzt hat das BMI den Verbänden im Juni 2008 eine überarbeitete Entwurfsfassung zukommen lassen und kurzfristig zu einer Anhörung eingeladen, bei der die GDD durch Herrn Klug (stellv. GDD-Geschäftsführer) vertreten war. Die GDD hat bei dieser Gelegenheit nochmals deutlich gemacht, dass sich auch der überarbeitete Entwurf nicht auf die ursprünglich als regelungsbedürftig identifizierte Datenverarbeitung bei Auskunfteien beschränkt, sondern vielmehr sämtliche Unternehmen und Behörden betrifft, die automatisierte Einzelentscheidungen treffen, sowie solche Unternehmen, die mittels Scoring-Verfahren Verhaltensprognosen erstellen. Bedauerlich ist aus Sicht der GDD insofern, dass auch der Regierungsentwurf nicht zwischen dem Scoring durch Auskunfteien und der automatisierten Erstellung von Wahrscheinlichkeitsprognosen durch andere Unternehmen differenziert. Im Rahmen des parlamentarischen Verfahrens sollte daher nochmals die Frage aufgeworfen werden, wer überhaupt bestimmen soll, was ein wissenschaftlich anerkanntes mathematisch-statistisches Verfahren ist, zumal das Unternehmensscoring anhand von unternehmens- bzw. branchenspezifischen Kriterien individuell und dynamisch erfolgt.
Weiterhin ist nicht abschließend geklärt, ob das sog. Werbescoring und das sog. Bewerberscoring von der BDSG-Änderung betroffen sind. In diesen Fällen dürfte es jedoch vielfach nicht um die Ermittlung von Wahrscheinlichkeitsprognosen für ein bestimmtes zukünftiges Verhalten, sondern primär um eine bedarfsorientierte Auswahl gehen.
Bedenklich ist aus Sicht der GDD ferner, dass sich die Bundesregierung im Hinblick auf die zu Auskunftszwecken vorzunehmenden Datenprotokollierungen nicht mehr vom Grundsatz der Datenvermeidung und Datensparsamkeit hat leiten lassen. Gegenüber dem letzten Referentenentwurf (Stand: Juni 2008) fällt überdies auf, dass die Bundesregierung beabsichtigt, weitere Ordnungswidrigkeitstatbestände im Bereich der Auskunft zu schaffen. Die GDD hatte schon im Rahmen ihrer Stellungnahme zu dem ursprünglichen Referentenentwurf (Stand: 10. September 2007) darauf hingewiesen, dass die Komplexität moderner Datenverarbeitungssysteme unter Umständen eine richtige bzw. vollständige Auskunft erschweren kann. Entsprechend der GDD-Stellungnahme hat die Bundesregierung aber davon Abstand genommen, eine Auskunftspflicht der Unternehmen bezüglich der zur Berechnung der Wahrscheinlichkeitswerte genutzten Datenarten in absteigender Reihenfolge ihrer Bedeutung für das errechnete Ergebnis zu regeln. Dem insofern noch im letzten Referentenentwurf vorgesehenen sortierungsbedingten Mehraufwand würde kein erkennbarer Mehrwert für den Betroffenen gegenüberstehen. Im parlamentarischen Verfahren sollte nochmals erwogen werden, die Auskunft - wie bereits im zweiten Referentenentwurf des BMI vorgesehen - auf die wesentlichen Datenarten zu beschränken. Damit wäre gewährleistet, dass der Betroffene nicht mit weniger entscheidungserheblichen Informationen überfrachtet wird.
Schließlich begrüßt es die GDD, dass der Regierungsentwurf ihrer Stellungnahme zu § 6a BDSG-E weitgehend Rechnung trägt, indem lediglich ausschließlich automatisiert getroffene Entscheidungen vom Grundsatz her verboten sein sollen. Auch im Rahmen der Gesetzesbegründung wird nunmehr auf insofern widersprüchliche Ausführungen im Sinne der angestrebten Rechtssicherheit verzichtet.
Die GDD wird ihre Kritikpunkte auch im Rahmen des parlamentarischen Gesetzgebungsverfahrens einbringen.