Bei der Einrichtung von Datenbanken zur Betrugsabwehr (sog. Fraud Prevention Pools) ist wegen der Sensibilität dieser Daten und der möglichen Auswirkungen für betroffene Personen besondere Sorgfalt anzulegen. Das BayLDA widmete sich diesem Thema im aktuellen Tätigkeitsbericht.
FRAUD PREVENTION POOLS
Der Anstieg von betrügerischen Aktionen im Handel und im Internet, z. B. mittels Identitäts- oder Kreditbetrug, führt bei den Leistungsanbietern zu Überlegungen, mit welchen Maßnahmen die zunehmenden finanziellen Ausfälle eingedämmt werden können. Entstanden sind dabei auch firmenübergreifende Fraud Prevention Pools in Unternehmensgruppen sowie Fraud-Daten-banken bei Auskunfteien, z. B. mit Daten zu gefälschten Ausweisen und Lohnbescheinigungen.
WAS IST DABEI ZU BEACHTEN?
Mehrfach wurde das BayLDA in den letzten Jahren von Unternehmen um datenschutzrechtliche Beratung zur Verarbeitung personenbezogener Daten für die Betrugsbekämpfung gebeten. Nachfolgende Grundsätze sind bei der Gestaltung von Fraud Prevention Pools in der Wirtschaft aus datenschutzrechtlicher Sicht besonders zu beachten:
- Der Betrugssachverhalt inkl. Identität des Täters muss eindeutig festgestellt sein, um Falschverdächtigungen und Personenverwechslungen zu vermeiden.
- Der Vorwurf muss signifikant sein.
- Eine umfassende Dokumentationspflicht zwecks nachträglicher Überprüfbarkeit muss festgelegt werden.
IM HINBLICK AUF DIE DSGVO
Laut der Aufsichtsbehörde ist anzunehmen, dass Fraud Prevention Pools unter den vorher genannten Grundsätzen auch unter Geltung der DS-GVO nach der Interessenabwägungsvorschrift von Art. 6 Abs. 1 f) als zulässig angesehen werden können. Nach Nr. 47 ErwGr kann die Verarbeitung personenbezogener Daten im für die Verhinderung von Betrug unbedingt erforderlichen Umfang ein berechtigtes Interesse des jeweiligen Verantwortlichen darstellen.