§ 10 Absatz 2 KWG
(2) 1Institute dürfen personenbezogene Daten ihrer Kunden, von Personen, mit denen sie Vertragsverhandlungen über Adressenausfallrisiken begründende Geschäfte aufnehmen, sowie von Personen, die für die Erfüllung eines Adressenausfallrisikos einstehen sollen, für die Zwecke der Verordnung (EU) Nr. 575/2013 und der nach Absatz 1 Satz 1 zu erlassenden Rechtsverordnung verarbeiten, soweit
1.
diese Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Bestimmung und Berücksichtigung von Adressenausfallrisiken erheblich sind,
2.
diese Daten zum Aufbau und Betrieb einschließlich der Entwicklung und Weiterentwicklung von internen Ratingsystemen für die Schätzung von Risikoparametern des Adressenausfallrisikos des Kreditinstituts oder der Wertpapierfirma erforderlich sind und
3.
es sich nicht um Angaben zur Staatsangehörigkeit oder um besondere Kategorien personenbezogener Daten nach Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 handelt.
2Betriebs- und Geschäftsgeheimnisse stehen personenbezogenen Daten gleich. 3Zur Entwicklung und Weiterentwicklung der Ratingsysteme dürfen abweichend von Satz 1 Nummer 1 auch Daten verarbeitet werden, die bei nachvollziehbarer wirtschaftlicher Betrachtungsweise für die Bestimmung und Berücksichtigung von Adressenausfallrisiken erheblich sein können. 4Für die Bestimmung und Berücksichtigung von Adressenausfallrisiken können insbesondere Daten erheblich sein, die den folgenden Kategorien angehören oder aus Daten der folgenden Kategorien gewonnen worden sind:
1.
Einkommens-, Vermögens- und Beschäftigungsverhältnisse sowie die sonstigen wirtschaftlichen Verhältnisse, insbesondere Art, Umfang und Wirtschaftlichkeit der Geschäftstätigkeit der betroffenen Person,
2.
Zahlungsverhalten und Vertragstreue der betroffenen Person,
3.
vollstreckbare Forderungen sowie Zwangsvollstreckungsverfahren und maßnahmen gegen die betroffene Person,
4.
Insolvenzverfahren über das Vermögen der betroffenen Person, sofern diese eröffnet worden sind oder die Eröffnung beantragt worden ist.
5Diese Daten dürfen erhoben werden
1.
bei der betroffenen Person,
2.
bei Instituten, die derselben Institutsgruppe angehören,
3.
bei Ratingagenturen und Auskunfteien und
4.
aus allgemein zugänglichen Quellen.
6Institute dürfen anderen Instituten derselben Institutsgruppe und in pseudonymisierter Form auch von den mit dem Aufbau und Betrieb einschließlich der Entwicklung und Weiterentwicklung von Ratingsystemen beauftragten Dienstleistern nach Satz 1 erhobene personenbezogene Daten übermitteln, soweit dies zum Aufbau und Betrieb einschließlich der Entwicklung und Weiterentwicklung von internen Ratingsystemen für die Schätzung von Risikoparametern des Adressenausfallrisikos erforderlich ist.